Κλεμμένα δάκτυλα: Ανίσχυρη η προστασία από την κλοπή των στοιχείων της βιομετρικής ταυτότητας.

Διαβάζουμε στο ID-ont:

Σχόλιο ID-ont.blogspot.com: Το άρθρο που ακολουθεί σε μετάφρασή μας, παρουσιάζει με γλαφυρό και εύληπτο για όλους μας τρόπο μια αλήθεια που όλοι λίγο-πολύ διαισθανόμαστε αλλά δεν γνωρίζουμε σε βάθος λόγω άγνοιας των ειδικών τεχνολογικών λεπτομερειών: Δεν υπάρχει «απαραχάρακτη» τεχνολογική μέθοδος αποτύπωσης προσωπικών δεδομένων σε μια ταυτότητα. Δυστυχώς όλες οι μέθοδοι παραβιάζονται και τα στοιχεία υποκλέπτονται. Απλά χρειάζεται στους κακόβουλους λίγο περισσότερος χρόνος… Ποιές είναι όμως τότε οι συνέπειες; Άλλο είναι να κλαπεί ένα PIN πιστωτικής κάρτας και άλλο ένα βιομετρικό στοιχείο (ένα στοιχείο του ευατού μας). Το ένα μπορούμε να το αντικαταστήσουμε. Το άλλο μπορούμε; Διαβάστε:

Σύμφωνα με τον Winston Churchill, δεν υπάρχει χειρότερο λάθος στην ηγεσία από το να υπόσχεται ψεύτικες ελπίδες. Ένας τομέας όπου οι ψεύτικες ελπίδες χρόνια τώρα αφθονούσαν είναι η ασφάλεια των πληροφοριών, το οποίο επαναλαμβάνεται και σήμερα.

Αυτή τη φορά η ψεύτικη ελπίδα αναφέρεται στο ότι μπορούμε να αναπτύξουμε έναν τομέα της τεχνολογίας που θα μειώσει σημαντικά το πρόβλημα της κλοπής των στοιχείων της ταυτότητας (identity theft). Φυσικά, η κλοπή ταυτότητας είναι ένα τεράστιο και αυξανόμενο πρόβλημα. Κάθε χρόνο, τα προσωπικά στοιχεία εκατομμυρίων Αμερικανών κλέπτονται από εταιρικές βάσεις δεδομένων. Οι εταιρείες υφίστανται κλοπές δισεκατομμυρίων δολαρίων, πρόστιμα εκατομμυρίων δολαρίων και, ίσως το πιο σημαντικό, την απώλεια της εμπιστοσύνης των πελατών τους.

Ακόμη χειρότερα, η κλοπή των στοιχείων της ταυτότητας μπορεί να βλάψει τα θύματα μέσω της απώλειας των αποταμιεύσεών τους, την απόρριψη αιτήσεών τους για δάνεια, ακόμη και άρνηση πρόσληψής τους σε εργασίες. Οι Διευθυντές Πληροφορικής (Chief Information Officers – CIOs) βρίσκονται αντιμέτωποι με μια πρόκληση για την ασφάλεια που απειλεί όχι μόνο τη βιωσιμότητα του τμήματος πληροφορικής, αλλά και την ίδια την εταιρεία ως ύπαρξη. Μέχρι σήμερα, τα «αντίμετρα» που έχουν αναπτυχθεί – κωδικοί πρόσβασης, PINs, μέθοδοι ταυτοποίησης – είναι αναποτελεσματικά. Όλα μπορούν να κλαπούν και να χρησιμοποιηθούν από τους ανθρώπους που θέλουν να κάνουν κακό (nefarious = αχρείους, ειδεχθείς).

Αυτό έχει κάνει τα χαμηλού κόστους βιομετρικά στοιχεία να φαίνονται ως ελκυστική λύση για τον έλεγχο της ταυτότητας (ταυτοποίηση) υπαλλήλων, πελατών, πολιτών, φοιτητών και οποιονδήποτε άλλον θέλουμε να αναγνωρίσουμε. Όμως τα οφέλη από τη χρήση βιομετρικών στοιχείων είναι περισσότερα των κινδύνων;

Η βιομετρία (τα βιομετρικά στοιχεία) δεν στηρίζονται σε κάτι που ΕΧΕΤΕ (πιστωτική κάρτα) ή κάτι που ΞΕΡΕΤΕ(το PIN), αλλά σε κάτι που ΕΙΣΤΕ (το δακτυλικό σας αποτύπωμα, το αποτυπώματα της παλάμης σας ή η ίριδα του ματιού σας). Αυτά τα μοναδικά βιολογικά στοιχεία αναγνώρισης διαβάζονται ηλεκτρονικά και μετατρέπονται σε μια σειρά από άσσους και μηδενικά (αλληλουχία αριθμών στο δυαδικό σύστημα) και αποστέλλονται στο μηχάνημα ταυτοποίησης (authenticator). Εκεί οι πληροφορίες συγκρίνονται με την σειρά των αριθμών – εννοεί την αλληλουχία των άσσων και μηδενικών στο δυαδικό σύστημα – που υπάρχουν στα αρχεία της βάσης δεδομένων του «ταυτοποιητή» (authenticator).

Σε αυτό ακριβώς το σημείο βρίσκεται το αδύνατο σημείο. Ο κίνδυνος υποκλοπής της μετάδοσης δεδομένων ή κλοπής της ίδιας της βάσης δεδομένων παραμένει αμετάβλητος. Εάν ένας αριθμός πιστωτικής κάρτας μπορεί να κλαπεί, τότε και η ακολουθία των αριθμών που αντιπροσωπεύουν ένα δακτυλικό αποτύπωμα μπορεί να κλαπεί το ίδιο εύκολα. Μπορεί να πάρει στους κλέφτες λίγο χρόνο για να «αναβαθμιστούν» για να αντιμετωπίσουν αυτή τη νέα πρόκληση, αλλά να είστε σίγουροι ότι θα το κάνουν. Αναμφίβολα, κατά τα επόμενα χρόνια, οι ειδήσεις για τις κλοπές των δακτυλικών αποτυπωμάτων, των αποτυπωμάτων παλάμης και της σάρωσης της ίριδας του ματιού θα είναι τόσο κοινές όσο είναι σήμερα οι κλοπές των αριθμών των πιστωτικών καρτών.

Κατά συνέπεια, αυτό σημαίνει ότι τα βιομετρικά στοιχεία θα μας αφήσουν ακριβώς εκεί που είμαστε σήμερα; Όχι, θα μας πάνε σε χειρότερη θέση από ότι είμαστε σήμερα. Σκεφτείτε το: Αν χάσετε την πιστωτική σας ή την κάρτα αναλήψεων, η εκδότρια τράπεζα μπορεί να σας την αντικαταστήσει. Αν το PIN σας διαρρεύσει, η τράπεζα μπορεί να σας δώσει ένα νέο. Ακόμη και ο αριθμός Κοινωνικής Ασφάλισης μπορεί να αντικατασταθεί. Αλλά τι θα κάνετε εάν κάποιος κλέψει την σάρωση της ίριδάς σας; Ποιος θα σας δώσει νέα μάτια;

Τι θα εμποδίσει τους κλέφτες από το να στείλουν ηλεκτρονικά στην τράπεζά σας το κλεμμένο δακτυλικό σας αποτύπωμα προκειμένου να πιστοποιηθεί ότι πραγματικά θέλετε να αδειάσετε τον τραπεζικό σας λογαριασμό μέσω ενός ΑΤΜ στο Ισλαμαμπάντ; Τι θα κάνετε όταν το ψηφιοποιημένο δακτυλικό σας αποτύπωμα βρεθεί σε μια κυβερνητική λίστα ατόμων οι οποίοι απαγορεύεται να επιβιβαστούν σε αεροπλάνα; Αν νομίζετε σήμερα ότι χρειάζεται «μια μέρα» για να επιβιβαστείτε σε ένα αεροπλάνο, περιμένετε να δείτε πως θα είναι όταν κάθε αστυνομική υπηρεσία στον ελεύθερο κόσμο θα έχει το δακτυλικό σας αποτύπωμα στο αρχείο των υπόπτων είτε για κλοπή είτε ακόμα χειρότερα, των υπόπτων για τρομοκρατική επίθεση.

Η πραγματικότητα είναι ότι τα βιομετρικά στοιχεία είναι προσεκτικά σχεδιασμένα μέτρα που αποσκοπούν στο να δώσουν στους ανθρώπους την εσφαλμένη εντύπωση ότι είναι πιο ασφαλείς από ό,τι ήταν πριν, όταν στην πραγματικότητα είναι εκτεθειμένοι σε μεγαλύτερο κίνδυνο. Τα θύματα που υπέστησαν κλοπή του Αριθμού Κοινωνικής Ασφάλισης (ΑΦΜ στη χώρα μας) ισχυρίζονται ότι μπορεί να πάρει τρία, πέντε ή και περισσότερα χρόνια για να «τακτοποιήσουν» το οικονομικό χάος που επέφερε η κλοπή αυτού του αριθμού. Πόσο καιρό όμως θα πάρει για να «τακτοποιηθεί» ένα κλεμμένο δακτυλικό αποτύπωμα;

Τι σημαίνουν όλα αυτά για τους CIO; Σίγουρα δεν βρίσκονται σε μια πολύ άνετη θέση. Αν και η απειλή της κλοπής πληροφοριών παραμένει αμετάβλητη, ο κίνδυνος να προκληθεί περιττή ταλαιπωρία στους εργαζόμενους, στους πελάτες και τους πολίτες είναι υπαρκτός. Κατά τα προσεχή έτη, θα δούμε πόσοι CIOs θα αναλάβουν τον ανεπίζηλο ρόλο να αντιμετωπίσουν τα πραγματικά δύσκολα περιστατικά και πόσοι άλλοι θα παραδοθούν στην εύκολη λύση της διάδοσης φρούδων ελπίδων σε ένα έντρομο εκλογικό κοινό.Ο George Tillmann είναι πρώην Διευθυντής Πληροφορικής (CIO), σύμβουλος διοίκησης και συγγραφέας του βιβλίου «Ο Επιχειρησιακά Προσανατολισμένος Διευθυντής Πληροφορικής»

Opinion: Stolen fingers: The case against biometric identity theft protection
October 27, 2009 10:56 AM ET

Computerworld – According to Winston Churchill, there is no worse mistake in leadership than to hold out false hopes. One area where false hopes have long abounded is information security, and it’s happening again.

This time the false hope we’re extending is that we can deploy one simple piece of technology that will significantly reduce the problem of identity theft. Of course, identity theft is a huge and growing problem. Each year, the identifying information of millions of Americans is stolen from corporate databases. Companies face billions of dollars in theft, millions of dollars in fines and, perhaps most important, the loss of customer trust.

Worse, identity theft can harm victims through lost savings, rejected loans and denied jobs. CIOs are faced with a security challenge that threatens the viability not only of the IT organization but of the entire corporation as well. To date, the countermeasures that we’ve deployed — passwords, PINs and authentication tokens — have been ineffective. All can be stolen and used by the nefarious.

This has made inexpensive biometrics look attractive for authenticating employees, customers, citizens, students and any other people we want to recognize. But do the benefits of biometrics outweigh the risks?

Biometrics rely not on something you have (a credit card) or something you know (a PIN), but something you are(your fingerprints, palm prints or retinas). Those unique biological identifiers are electronically read and converted to a string of ones and zeros and sent to an authenticator. There the information is compared with the string of numbers on file in the authenticator database.

And there is the weakness, for the risk of transmission interception or database theft remains unchanged. If a credit card number can be stolen, then the sequence of numbers that make up a fingerprint can be stolen just as easily. It might take thieves a little time to gear up to this new challenge, but gear up they will. Undoubtedly, in the years to come, news reports about fingerprint, palm print and retinal eye scan thefts will be just as common as credit card number thefts are today.

So, does that mean biometrics will leave us right where we are? No, they will leave us in a worse place. Think about it: If you lose your credit or ATM card, the issuing company can replace it. If your PIN becomes compromised, the bank can give you a new one. Even a Social Security number can be replaced. But what do you do if someone steals your retina scans? Who is going to give you new eyeballs?

What will stop theives from electronically sending your stolen fingerprints to your bank to confirm that you really do want to clean out your bank account through an ATM in Islamabad? What will you do when your digitized fingerprints wind up on a government No Fly list? If you think it takes forever to board a plane now, wait until every law enforcement agency in the free world has your fingerprints on file as a suspected thief or, worse, a terrorist.

The reality is that biometrics are a feel-good measure designed to give people the false impression that they are more secure than they were before, when in fact they are more at risk. Identity theft victims report that it can take three, five or more years to clean up the financial mess left after a stolen Social Security number. How long will it take to clean up a stolen fingerprint?

Where does this leave the CIO? Not in a very comfortable position. While the threat of information theft is unchanged, the risk of inflicting unnecessary hardship on employees, customers and citizens is very real. In the coming years, we will see how many CIOs stand up to the unenviable task of confronting the uncomfortable facts and how many surrender to spreading false hope to a fearful constituency.

George Tillmann is a former CIO, management consultant and the author of The Business-Oriented CIO (John Wiley & Sons, 2008). He can be reached at georgetillmann@optonline.net.

Advertisements
This entry was posted in Με ή χωρίς σχόλια and tagged , . Bookmark the permalink.

Σχολιάστε

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση / Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση / Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση / Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση / Αλλαγή )

Σύνδεση με %s