Biometrija, nauka o identifikaciji pojedinaca na osnovu njegovih jedinstvenih fizičkih i bihevioralnih karakteristika, ima bogatu istoriju. Međutim, tek krajem 19. veka, Ser Fransis Galton je uspostavio naučnu osnovu za identifikaciju otisaka prstiju.
Tokom godina, biometrija se značajno razvila i umesto ručnih metoda došla je do preciznih elektronskih sistema. Tokom šezdesetih godina prošlog veka, FBI je počeo da koristi računare za skladištenje i uparivanje otisaka prstiju. Sedamdesetih godina prošlog veka, razvili su se sistemi za prepoznavanje glasa, a osamdesete su donele tehnologiju za prepoznavanje šarenice oka. Pojava digitalnih kamera tokom devedesetih, otvorila je put sistemima za prepoznavanje lica.
Biometrija je postala sastavni deo različitih aplikacija, od obezbeđenja pametnih telefona do kontrole pristupa ozbiljno obezbeđenim objektima. Skeneri otiska prsta, na primer, sada su standardni na većini pametnih telefona, što omogućava korisnicima da otključaju uređaje samo jednim dodirom. Aerodromi i granična kontrola sve više usvajaju tehnologiju prepoznavanja lica za proveru identiteta putnika. U drugim oblastima, kao što je indijski program Aadhaar, skeneri šarenice se koriste u okviru nacionalne identifikacije. U međuvremenu, uređaji koje nosimo sa sobom i pametni kućni uređaji neprestano prikupljaju podatke o svakodnevnim aktivnostima svojih korisnika. U nekim slučajevima, pojedinci voljno predaju osetljive podatke, kao što se vidi kod kompanije 23&Me, koja se suočava sa finansijskim poteškoćama i razmatra prodaju DNK podataka svojih 15 miliona korisnika.
Međutim, rasprostranjena upotreba biometrije izaziva i ozbiljnu zabrinutost za privatnost. Za razliku od lozinki ili drugih akreditiva, biometrijski podaci kao što je DNK su nepromenljivi, odnosno, ne možete da ih promenite kada su ugroženi. Ta nepromenljivost podstiče strah o bezbednosti biometrijskih baza podataka. Strahovi i zabrinutost su sve rasprostranjeniji, jer baze predstavljaju atraktivne mete za zlonamerne aktere koji žele da dobiju pristup osetljivim ličnim podacima.
Šta je biometrija?
Biometrija se odnosi na automatizovano prepoznavanje pojedinaca na osnovu njihovih jedinstvenih bioloških karakteristika i karakteristika ponašanja. Ta tehnologija koristi merljive fizičke osobine, kao što su otisci prstiju, obrasci lica, skeniranje šarenice i prepoznavanje glasa, za utvrđivanje ili potvrđivanje identiteta.
S druge strane, bihevioralna biometrija je usredsređena na jedinstvene obrasce u nečijem ponašanju. Neki primeri bihevioralne biometrije su način na koji ljudi koriste tastaturu, komuniciraju sa ekranima osetljivim na dodir, pomeraju miša ili hodaju.
Kako funkcioniše biometrijska identifikacija?
Biometrijski sistemi obično obuhvataju nekoliko komponenti: uređaj za skeniranje da bi se snimili podaci, softver za obradu i upoređivanje tih podataka sa uskladištenim šablonima i bezbednu bazu podataka za skladištenje informacija. Poređenje se može obaviti na dva načina: identifikacija (podudaranje 1:N), gde se pojedinac upoređuje sa bazom podataka mnogih, ili verifikacija (podudaranje 1:1), gde se podaci pojedinca upoređuju sa određenim uskladištenim šablonom.
Biometrijski podaci osobe se prvo unose u sistem tokom upisa. U toj fazi, posebna karakteristika, kao što je otisak prsta, se prikuplja da bi poslužila kao biometrijska referenca pojedinca. To može da se sačuva kao neobrađena informacija (poput same slike) ili kao digitalni šablon. U slučaju digitalnog šablona, ključne karakteristike se izdvajaju i obrađuju da bi se napravio jedinstveni identifikator, koji se zatim čuva u bazi podataka.
Kasnije, tokom prepoznavanja, sistem detektuje biometrijske karakteristike osobe, izdvaja one ključne i uparuje ih sa sačuvanim šablonima da bi potvrdio autentičnost ili identifikovao pojedinca.
Ti šabloni su često jedinstveni za određeni sistem i mogu čak da budu ekskluzivni za određeni model. Zbog toga, sistem drugog dobavljača možda neće prepoznati šablon kojeg generiše jedan proizvođač, a ponekad čak ni novije verzije istog sistema. Zbog te specifičnosti, čuvanje šablona predstavlja znatno manji rizik od skladištenja sirovih biometrijskih podataka, kao što je kompletna slika otiska prsta.
Pretnje i slabe tačke u biometrijskim sistemima
Kao i svi ostali sistemi, biometrijski sistemi takođe imaju svoje slabe tačke.
Jedna od pretnji biometrijskim sistemima potiče od stvaranja lažnih karakteristika, gde napadači pokušavaju da prevare sistem da prihvati lažnu osobinu kao legitimnu. To može da obuhvati stvaranje sintetičkih otisaka prstiju, fotografija visoke rezolucije za prepoznavanje lica ili čak 3D štampanih maski koje oponašaju lice osobe. Opasnost se pojavljuje onda kada se napadač uspešno lažno predstavlja kao legitimni korisnik i tada može da dobije neovlašćeni pristup pod imenom spomenutog korisnika.
Upad u podatke predstavlja još jednu kritičnu slabu tačku u biometrijskim sistemima. Za razliku od lozinki, koje mogu da se promene ako su kompromitovane, biometrijski podaci, kad dospeju u pogrešne ruke, ne mogu da se menjaju. To je dugoročni bezbednosni rizik, jer napadači mogu neograničeno da koriste ukradene biometrijske podatke za krađu identiteta ili neovlašćeni pristup.
Na primer, 2019. godine, otkrivena je javno dostupna baza podataka koja sadrži otiske prstiju preko milion ljudi, zajedno sa podacima o prepoznavanju lica, nešifrovanim korisničkim imenima, lozinkama i ličnim podacima zaposlenih. Ta baza podataka je pripadala kompaniji koja opslužuje velike klijente, uključujući Metropolitan policiju Velike Britanije, izvođače radova u sektoru odbrane i banke, naglašavajući potencijalne rizike povezane sa skladištenjem biometrijskih podataka.
Još jedna pretnja biometrijskim sistemima je prilično slična sajber-rizicima koji se obično povezuju sa tradicionalnim tehnologijama. Napadi slanjem poruke (engl. replay attack) se dešavaju kada napadač uhvati važeći token ili potpis tokom sesije autentifikacije i kasnije ga ponovo koristi da bi dobio neovlašćeni pristup sistemu. Pošto je bilo koja vrsta podataka podložna takvim napadima (ako sistem nije bezbedan), zlonamerni akteri takođe mogu da ukradu podatke iz ranjivog sistema i koriste ih kad im je to potrebno.
Ti sistemi su otvoreni i za druge opasnosti i napade. U istraživanju Ruhr instituta za softversku tehnologiju na Univerzitetu Duisburg-Esen, istraživači su uspeli da otkriju ranije nepoznate bezbednosne probleme. Prema istraživanju, pogođeni su svi testirani drajveri za otiske prstiju, kao i novčanici kriptovaluta. Napadači bi mogli da iskoriste te slabe tačke da pročitaju biometrijske podatke ili ukradu celokupni iznos uskladištene kriptovalute. Identifikovanim ranjivostima dodeljeni su brojevi CVE-2021-3675 (Synaptics Fingerprint Driver), CVE-2021-36218 (SKALE sgxwallet) i CVE-2021-36219 (SKALE sgxwallet).
Platforma za digitalnu zaštitu SOCRadar objavila je na svojoj stranici dokument Vulnerabiliti Intelligence koji obezbeđuje napredni sistem upozorenja i obaveštava vas o novim kritičnim ranjivostima ili slabim tačkama u javnim uslugama i tehnologijama.
Tehnologije biometrije su otišle dalje od jednostavne autentifikacije na aplikaciji za nadzor, praćenje i personalizovano oglašavanje. Iako ta unapređenja nude značajne prednosti, ona takođe dovode do različitih rizika, posebno u vezi sa profilisanjem, zloupotrebom podataka i zabrinutošću za privatnost. Navešćemo vam neke primere koje ne bismo mogli da nazovemo pretnjama, ali svakako izazivaju zabrinutost zbog korišćenja podataka.
U spomenutom dokumentu je istaknuto nekoliko kompromitovanih datoteka, uključujući slike članova INAFIS-a (.PNG) koje su povezane sa e-porukama, podatke o otisku prsta (.VSK) povezane sa adresama e-pošte i Spring Boot aplikaciju zasnovanu na Javi sa svojstvima konfiguracije baze podataka. Napadač otvoreno spominje potencijal za dalje napade, navodeći da bi svako ko je u stanju da pokrene ili izvrši reverzni inženjering Spring Boot aplikacije mogao da dobije pristup preko 200 miliona brojeva indonežanskih ličnih karata preko API-ja i baze podataka aplikacije.
Biometrijski sistemi mogu da olakšaju opsežno profilisanje pojedinaca na osnovu njihovih jedinstvenih osobina. To profilisanje može da obuhvati osetljive informacije kao što su starost, pol, rasa, pa čak i karakteristike ponašanja. Rizik se sastoji u tome što organizacije mogu da koriste te podatke za donošenje odluka o pojedincima bez njihovog pristanka ili znanja. Na primer, profilisanje može da dovede do diskriminatorne prakse u oblastima, kao što su zapošljavanje ili osiguranje, gde se odluke donose na osnovu pristrasnih tumačenja podataka.
Zabrinutost postoji i zbog zloupotrebe prikupljenih podataka. Organizacije mogu da prikupljaju informacije u posebne svrhe, kao što su bezbednost ili poboljšanje korisničke usluge, ali ti podaci mogu se koriste i u druge svrhe bez saglasnosti korisnika. Takvi postupci postavljaju etička pitanja o autonomiji korisnika i transparentnosti rukovanja podacima.
Zaštita privatnosti je još jedna briga. Biometrijski podaci mogu da se prikupljaju bez znanja ili saglasnosti pojedinca putem tehnologija za nadzor koje pasivno snimaju slike lica ili otiske prstiju. Čak i kada su informisani, mnogi korisnici možda neće u potpunosti razumeti posledice davanja svojih biometrijskih podataka. Davanje saglasnosti postaje složenije kada se od pojedinaca zahteva da učestvuju u biometrijskim sistemima da bi pristupili uslugama ili zapošljavanju.
Deepfakes i manipulacija uz pomoć veštačke inteligencije
Deepfakes i manipulacija veštačkom inteligencijom predstavljaju značajne rizike u biometrijskim podacima, posebno u pogledu krađe identiteta i društvenog inženjeringa. Te tehnologije koriste napredne algoritme za kreiranje hiper-realističnih sintetičkih medija, koji mogu zlonamerno da se koriste da bi se prevarili pojedinci i sistemi.
Deepfakes mogu da olakšaju krađu identiteta i tako dozvole napadačima da stvore ubedljive kopije nečije ličnosti. To može da obuhvati generisanje lažnih video-zapisa ili audio-snimaka koji izgledaju originalno, što otežava pojedincima i organizacijama da razaznaju autentičnost. Napadači mogu da koriste takve lažne identitete da bi se lažno predstavljali kao pojedinci kako bi zaobišli različite bezbednosne mere u video-pozivima ili na društvenim mrežama, što bi im omogućilo pristup osetljivim podacima ili finansijskim resursima.
Zaključak. Uspostavljanje ravnoteže između inovacije i bezbednosti
Iako biometrija predstavlja skoro savršenu zamenu za tradicionalne lozinke, ne verujemo da će ih potpuno zameniti u bliskoj budućnosti. Biometrija se sve više koristi prilikom autentifikacije, jer lozinke imaju mnogobrojne slabe tačke, kao što su podložnost krađi i izazovi sa kojima se korisnici suočavaju u upravljanju višestrukim složenim lozinkama. Biometrija, koja koristi jedinstvene fizičke osobine kao što su otisci prstiju, prepoznavanje lica i skeniranje šarenice, nudi poboljšanu bezbednost i besprekornije korisničko iskustvo, jer nema potrebe da se lozinke pamte i unose pri svakom prijavljivanju.
Međutim, ostaje nekoliko izazova koji ometaju potpunu zamenu lozinki. Oni obuhvataju zabrinutost u vezi sa pouzdanošću i tačnošću biometrijskih sistema, potencijalnim problemima privatnosti i nepovratnom prirodom podataka, odnosno kada su jednom otkriveni, biometrijski identifikatori pojedinca ne mogu da se promene kao što je to moguće u slučaju lozinke. Pored toga, potreba za strategijama višefaktorske autentifikacije nagoveštava da se biometrija najbolje koristi sa tradicionalnim lozinkama, a ne kao samostalno rešenje.
I dok tehnologija nastavlja da napreduje, biometrija će verovatno igrati dominantniju ulogu u verifikaciji identiteta. Organizacije već počinju da usvajaju biometrijska rešenja uporedo sa tradicionalnim metodama za stvaranje slojevitog bezbednosnog pristupa koji uspostavlja ravnotežu između praktičnosti i snažne zaštite od neovlašćenog pristupa. Zbog toga, iako možda neće u potpunosti zameniti lozinke, biometrija je usvojena da bi transformisala digitalni bezbednosni pejzaž poboljšanjem procesa autentifikacije i korisničkog iskustva.