Nežite v minulosti. Vstúpte do budúcnosti! Stačí odtlačok prsta, očná dúhovka, vlastná tvár či dokonca hlasový povel. Perfektné zabezpečenie. No… až na ten jeden malý problém. Nedeľník TOUCHIT vážne i nevážne. Nezviazané IT témy na tisíc spôsobov.
A čo ste nepočuli tú novinu? Písanie alfanumerických hesiel je prežitok. Je čas sa ponoriť do úžasného sveta biometrických hesiel. Veď čo ak klasické heslo zabudnete, alebo sa ho niekto dozvie? Tuto hľa, priložte si prštek na senzor, zažmurkajte do kamerky a nechajte si odmerať tvar análneho žliabku. Budete tak v bezpečí.
Nie, toto nie je žiadna kritika súkromia. Biometrický identifikátor zvyčajne nikdy neopúšťa vaše mobilné zariadenie a je neprenosný. Ak vás zaujíma ako tieto typy senzorov fungujú a čo sa skrýva v ich útrobách, na úžitok vám padne môj článok v júnovom vydaní nášho časopisu, ktorý sa čo nevidieť objaví.
V tomto Nedeľníku sa chcem ale venovať práve tomu jednému malému problému. Tým je to, že drvivá väčšina typov biometrických identifikátorov sa dá ukradnúť. To pravdaže platí aj pre tie klasické alfanumerické heslá, ale tie biometrické majú odlišnosť v tom, že ich stačí ukradnúť len raz. A ukradnuté zostanú už navždy. Z vašej strany totiž nemáte možnosť ich zmeniť a zostanete o ne okradnutý až do svojej smrti.
Aké máte krásne oči mladá pani
Skenovanie očnej dúhovky patrí k typickým ukážkam biometrie. Každá dúhovka má unikátnu vzorku, ktorá je na modrých či iných svetlých očiach aj dobre viditeľná. V obvyklej hnedej podobe je síce málo výrazná, ale pod infračerveným svetlom sa pekne ukáže.
Technológia prakticky funguje na základe jednoduchej fotografie. Vaše oči zariadenie odfotí a pri overení ich porovnáva s pôvodným vzorom, vytvoreným pri úvodnej fotografii, keď ste zabezpečenie uvádzali do prevádzky.
Zamyslite sa však nad jednou vecou. Ako ťažké je fotografiu vašich očí získať? Nie veľmi. Nosíte ich stále pri sebe a rozhodne nechodíte stále s nasadenou motorkárskou helmou, alebo veľkými slnečnými okuliarmi. Stačí teda len byť nablízku a je hotovo. Dobrá fotovýbava to zvládne aj na vzdialenosť pár metrov.
A neexistuje absolútne žiadny spôsob, ako tomu zabrániť. Ak sa niekto rozhodne odfotiť vaše dúhovky infračervenou kamerou, skrátka to urobí. Sedíte na lavičke v parku a čítate knihu? Pribehnem a poviem „kuk, vyletí vtáčik“, na čo sa na mňa pozriete presne v momente, ako pár centimetrov od vás stlačím spúšť fotoaparátu.
Práve ste boli okradnutý. Skúste ma potom naháňať ako zlodeja peňaženky. Než si uvedomíte čo sa stalo, už budem dávno stratený v dave. To ako som vyzeral už bude len hmlistá predstava v štýle „no mal dve oči a dve ruky a zvláštne znamenie bolo, že bol bez klobúku“.
Ak by šlo o peňaženku, šlo by o nepríjemnosť. Zanadávali by ste si, kúpili by ste si novú a z všetkého by vám zostala už len trpká spomienka. Čo ale s ukradnutou podobou dúhoviek? Nuž, veru nič.
Takéto „kradnutie“ jeden na jedného dáva pravdaže zmysel len vtedy, ak by sa niekto zajímal výhradne o vás. Je to podobné ako s klasickými alfanumerickými heslami. Málokto sa zaujíma iba o to vaše. Podvodníci kradnú heslá hromadne, v podobe databáz nejakej webovej služby a následne majú heslá pre tisíce či milióny účtov, ktoré potom predávajú ľubovoľnému počtu záujemcov.
Podobne hromadne to možno spraviť aj so zberom dúhoviek. Pozrite sa ako veľká je kamera, ktorá tieto fotky robí. Päť milimetrov. Viditeľná je pri tom len optika infra senzoru fotoaparátu a dióda emitujúca okom neviditeľné infračervené svetlo.
To sú dva malé krúžky s priemerom 1 mm. Kde všade môžu byť? Čo tak ich dať na dvere obchodu, pod plagát upozorňujúci na koncert kapely, nalepiť ich na konštrukciu bankomatu, autobusového poriadku, alebo skrátka len niekade na hranu displeja, na ktorý sa okoloidúci pozerajú.
A máte to. Neprestajný prísun tisícov a tisícov nových dúhoviek, dostupných na predaj. Tuto Štefan to vykonal v Bratislave a predáva ich za 5 eur. Marco to vykonal v Barcelone a Madride a predáva ich za 10 eur a Johny to isté spravil v New Yorku a Washingtone a ponúka ich za pár dolárov. Databázy dúhoviek pri tom rastú, pribúdajú stále nové a nové až napokon, čuduj sa svete, sú v nich už skoro všetci.
Že sú zbytočné, keď nikto nevie komu patria? No tým si nebuďte taký istý. Táto doba rýchlo letí preč. Stačí spolu s nimi robiť fotografiu tváre. Za posledné roky pokrok v tejto oblasti letí doslova raketovo. Facebook či Google rozpoznávanie tváre milujú. Triedenie fotiek, automatické tvorenie popisov, systémy nemajú problémy rozoznať vás, tetu Terezu ani vášho psíka Bobíka.
Ako to vyzerá, keď takáto technológia ide do služieb iného kalibru ukazuje ruský FindFace. Ten umožňuje zobrať akúkoľvek fotografiu a porovnať ju s verejnými fotografiami na sociálnej sieti VKONTAKTE, s viac ako 200 miliónmi používateľov (najpopulárnejšia sieť v Rusku a iných post sovietskych krajinách).
Už dnes je teda pomerne dobre možné v kaviarni urobiť fotku osoby a následne podľa jej tváre nájsť jej profil na sociálnej sieti. To často znamená poznať jej meno, okruh priateľov, zamestnanie či záľuby. A tieto metódy sa v blízkej budúcnosti budú už len zlepšovať.
Ale to som nebol ja
Už to mám. Zachráni nás hlasová biometria! Veď hlasový asistenti ako Cortana, Siri či Alexa nás rozpoznajú podľa toho, akým hlasom sa s nimi rozprávame.
Teda, zatiaľ ešte nie. Pekný príklad v tejto súvislosti sa udial v januári v americkom Dallase. Rodičia nechali v blízkosti zariadenia Echo od Amazonu svoju 6 ročnú dcérku, ktorá si v rámci hry zvykla pýtať sa ho na všelijaké otázky.
Jedného dňa dievčatko povedalo, že sa chce hrať s domčekom pre bábiky a následne položilo otázku „Môžeš mi zohnať domček pre bábiky?“. Elektronický asistent v podobe Alexy zareagoval a vykonal objednávku z e-shopu Amazonu.
V základe nešlo i nič výnimočné. Keď masívny domček od KidKraft dorazil poštou, rodičia si uvedomili chybu a následne nastavili na zaradení nutnosť overenia heslom pred nákupom. Zrejme vzhľadom na masívnosť si hračku nenechali a darovali ju miestnej detskej nemocnici.
Zdanlivo mohlo byť po všetkom, avšak prípadu si všimla lokálna televízia, pričom jeden z moderátorov vyslovil vetu: „Je zábavné ako to malé dievčatko skrátka len povedalo, Alexa, objednaj mi domček pre bábiky a zariadenie ho objednalo“. Táto veta následne spustila Echo zariadenia ľudí, ktorí daný program pozerali.
Možno si teda poviete, že v budúcnosti sa to očividne zlepší tým, že zariadenia budú spoľahlivo rozpoznávať kto hovorí. Na čo potom už vytvárať heslá? Moja dcéra si už nič neobjedná. Hlasový asistent bude totiž reagovať iba na mňa.
A čo len asistent. Rovno nech to je aj môj bankový účet alebo dvere ku môjmu super inteligentnému domu. Prídem domov, poviem „Ahoj dvere, som doma“ a zámok sa odomkne. No nie je to skvelé?
Veď nevadí, že skoro každý človek dnes neprestajne nosí vo vrecku smartfón, ktorý môj hlas môže nahrať a kedykoľvek prehrávať. Aké to úžasné zabezpečenie.
Keď s nikým nejednáte v rukavičkách
Ale nič nie je stratené, nie? Zachráni nás iný druh biometrie. Odtlačky prstov. Tak. Hotovo. Vyriešené. Tie sú predsa bezpečné a nedajú sa len tak získať, nie?
No, možno vás to prekvapí, ale získavajú sa presne tak ako dúhovky očí. Odfotením. V roku 2014, kedy sa začali čítačky objavovať na smartfónoch vo veľkom, túto demonštráciu vykonal Jan Krissler na každoročnom nemeckom kongrese hackerov Chaos Communication.
Predviedol pri tom získané odtlačky Ursuly von der Leyen, nemeckej ministerky obrany. Na ich získanie použil oficiálne publikované fotografie a takisto ich odfotil zopár aj sám, zo vzdialenosti niekoľko metrov.
Pre dostatočne kvalitný fotoaparát s ostrým obrazom a dobrým priblížením nejde o nič problematické. Následne už záleží na tom, aký senzor chcete oklamať. Ak ide o kapacitný senzor, musíte odtlačok vytlačiť v 3D podobe z vodivého materiálu. Ak ide o optický senzor odtlačkov, stačí priložiť fotografiu ako takú.
Oklamanie týchto metód pri tom nemusí byť vždy viditeľné. Ak máte na bruškách svojich prstov nalepené cudzie odfotené odtlačky, alebo na nich máte blanku z vytlačeného vodivého materiálu so skutočným reliéfom, nie je to vidieť.
Ak potrebujete oklamať zas skener dúhovky, na verejnosti nebudete prikladať fotografiu. Koniec koncov, tak to ani nefunguje, pretože výrobcovia sa tomu snažia zabrániť podrobnou detekciou zaoblenia oka, ktoré 2D fotka pravdaže nemá. V máji však úspešný a pritom jednoduchý postup ukázala hackerská skupina Chaos Computer Club, ktorá na infračervenú fotografiu oka a jeho dúhovky nalepila dioptrickú šošovku, ktorá sa o zaoblenie postarala.
No a v základe nie je problém, takto upravenú dúhovku nosiť, pretože stredovú časť pre čiernu zrenicu, ktorou vidíme, máme všetci rovnakú a môžeme ju nechať nezakrytú.
Ale veď to sa predsa nikomu neoplatí
Teraz si možno hovoríte, že všetko je to príliš komplikované. To predsa nikto nebude robiť kvôli hlúpemu prístupu ku smartfónu. A máte pravdu. Nikto nebude hromadne fotiť prsty a oči ľudí, aby si mohol odomknúť ich telefóny.
Ako dlho to ale takto ešte bude? Biometria zažíva svoj boom. Kľúče a alfanumerické heslá nie sú „in“. Za ako dlho sa firmy vyvalia s úžasnými systémami na dúhovky a odtlačky, ktorými budeme otvárať dvere svojich domov, štartovať naše autá, pristupovať k bankovým účtom a skrátka čomukoľvek inému?
Ani vtedy sa nikomu neoplatí vyvíjať riešenia, ktoré biometrické odtlačky dúhoviek či odtlačkov prstov dokážu chrliť ako na bežiacom páse za cenu nula, nula nič?
Ste si istí, že nikto nebude vytvárať databázu v štýle: Janko Mrkvička + fotografia a identifikátor jeho sociálneho účtu + fotografia jeho odtlačkov prstov a dúhoviek? To všetko pri tom, keď to na každého človeka na zemi stačí vytvoriť len raz?
Ak na internete používate pre registráciu na rôznych službách napríklad prezývku Frajer5428, alebo svoje ozajstné meno, ktokoľvek si môže zakúpiť súčasné ukradnuté databázy hesiel, predávané za pár desiatok až stoviek dolárov a pozrieť sa, či sa také meno v nej nenachádza.
Ak áno, heslo stačí skúšať (obvykle automaticky spolu s ďalšími používateľmi) na veľkom množstve iných služieb, či pasuje spolu s vašim menom. Ak ste si heslo od úniku nezmenili na všetkých službách, je prakticky hotovo.
Za ako dlho sa začnú šíriť databázy s nafotenými biometrickými odtlačkami, na rýchle následné použitie? Ono to s tým zbavením sa dvojfaktorovej autentifikácie a alfanumerických hesiel nebude tak ľahké, ako by sa v súvislosti s biometriou mohlo zdať.
O biometrii sa často hovorí, že to je najlepšie heslo, pretože ho nikdy nezabudnete a máte ho stále pri sebe. Zabudne sa ale dodať, že je to preto, že ho všetkým stále pretŕčate na obdiv a ktokoľvek si ho môže vziať.
A čo je na tom najlepšie? Tieto ukradnuté bioidentifikátory sú platné naveky! Na rozdiel od bežných hesiel si totiž nikto svoje dúhovky a odtlačky zmeniť nemôže. Paráda.
Nedeľník TOUCHIT hľadajte na našom webe ako inak než v nedeľu. Ak ste predchádzajúce zmeškali, nájdete ich všetky pod rovnomenným kľúčovým slovom.