Výskumníci z New York University (NYU) Tandon School of Engineering a Michigan State University College of Engineering vytvorili syntetický odtlačok prsta, ktorý funguje ako pakľúč a je spôsobilý oklamať skener na mobilnom telefóne.  V závislosti od počtu záznamov odtlačku uložených v zariadení a pri počte 5 možných pokusov na odomknutie, zaznamenali úspešnosť niekde medzi 26 až 65 percentami užívateľov. Hoci zatiaľ stále nejde o metódu, ktorá je použiteľná za každých okolností, samotný mechanizmus a aktuálne výsledky výskumníkov jednoznačne potvrdzujú obavy o bezpečnosť pri použití skenerov využívajúcich neúplné odtlačky.

 

Odtlačky v pasoch sú dovolené

Včerajší deň priniesol ochrane osobných údajov práve takéto rozhodnutie Súdneho dvora Európskej únie. Rozsudkom vo veci C-291/12 Michael Schwarz/Stadt Bochum ohľadom využívania odtlačkov prstov v cestovných dokladoch súd skonštatoval, že hoci ich zber a ukladanie do cestovných pasov predstavuje zásah do práva na rešpektovanie súkromného života a na ochranu osobných údajov, tieto opatrenia sú odôvodnené kvôli zabráneniu akémukoľvek podvodnému používaniu cestovných pasov.

Súd sa vyjadril, že nariadenie Rady (ES) č. 2252/2004 z 13. decembra 2004 o normách pre ochranné prvky a biometriu v cestovných pasoch a cestovných dokladoch vydávaných členskými štátmi je platné, aj keď stanovuje povinnosť používať biometriu v cestovných dokladoch.

Z textu tlačového komuniké č. 135/13 vydaného 17.10.2013 v Luxemburgu uvádzame:

„Nariadenie č. 2252/2004 stanovuje, že cestovné pasy obsahujú vysoko bezpečné pamäťové médium, ktoré okrem zobrazenia tváre obsahuje dva odtlačky prstov. Tieto odtlačky prstov môžu byť použité iba na účel overenia pravosti cestovného pasu a totožnosti jeho držiteľa.

Pán Schwarz požiadal mesto Bochum (Nemecko) o vydanie cestovného pasu, nesúhlasil však s tým, aby pri tej príležitosti boli odobrané jeho odtlačky prstov. Keďže mesto odmietlo jeho žiadosť, pán Schwarz podal žalobu na Verwaltungsgericht Gelsenkirchen (správny súd v Gelsenkirchene, Nemecko), v ktorej navrhoval, aby sa tomuto mestu uložila povinnosť vydať mu cestovný pas bez odobratia jeho odtlačkov prstov.

V tomto kontexte sa správny súd pýta, či je nariadenie platné v rozsahu v akom ukladá žiadateľovi o cestovný pas odovzdať svoje odtlačky prstov a stanovuje ich ukladanie do cestovného pasu, najmä vzhľadom na Chartu základných práv Európskej únie. Rozsudkom z dnešného dňa na túto otázku Súdny dvor odpovedal kladne.

Hoci zber odtlačkov prstov a ich ukladanie do cestovných pasov predstavuje zásah do práva na rešpektovanie súkromného života a na ochranu osobných údajov, tieto opatrenia sú v každom prípade odôvodnené cieľom chrániť cestovné pasy proti akémukoľvek podvodnému používaniu.

Súdny dvor v tejto súvislosti konštatuje, že napadnuté opatrenia sledujú najmä cieľ všeobecného záujmu, zabrániť nelegálnemu vstupu osôb do Európskej únie. V súvislosti s týmto účelom sú zamerané na predchádza nie falšovaniu cestovných pasov a zabránenie ich podvodnému používaniu.

Z údajov, ktorými disponuje Súdny dvor nevyplýva a navyše sa ani neuvádzalo, že opatrenia nerešpektujú podstatu predmetných základných práv.

V nadväznosti na to Súdny dvor konštatuje, že napadnuté opatrenia sú vhodné na dosiahnutie cieľa ochrany cestovných pasov proti ich podvodnému používaniu tým, že podstatne znižujú nebezpečenstvo, že neoprávneným osobám bude omylom povolené vstúpiť na územie Únie.

Nakoniec napadnuté opatrenia nejdú nad rámec toho, čo je potrebné pre dosiahnutie uvedeného cieľa.

Pokiaľ ide o odoberanie odtlačkov prstov, Súdnemu dvoru nebolo oznámené dostatočne účinné opatrenie, ktoré by bolo menej zasahujúce do práv. Súdny dvor najmä poznamenáva, že úroveň technologickej zrelosti metódy založenej na rozpoznávaní očnej dúhovky nedosahuje úroveň metódy založenej na odtlačkoch prstov a že z dôvodu jej podstatne vyšších nákladov ku dnešnému dňu je menej vhodná na všeobecné používanie.

Pokiaľ ide o zaobchádzanie s odtlačkami prstov Súdny dvor poznamenáva, že odtlačky prstov hrajú osobitnú rolu v oblasti identifikácie osôb vo všeobecnosti. Porovnanie odtlačkov prstov odobratých na určitom mieste s odtlačkami prstov uloženými v databáze umožňujú stanoviť prítomnosť určitej osoby na tomto mieste, či už v rámci kriminálneho vyšetrovania alebo s cieľom nepriameho sledovania takej osoby.

Súdny dvor však poznamenáva, že nariadenie výslovne spresňuje, že odtlačky prstov môžu byť použité iba na účel overenia pravosti cestovného pasu a totožnosti jeho držiteľa. Okrem toho nariadenie stanovuje uchovávanie odtlačkov prstov iba v samotnom cestovnom pase, ktorý zostáva vo výlučnej držbe jeho držiteľa. Keďže nariadenie nepredvída žiadnu inú formu ani žiadny iný prostriedok na uchovávanie týchto odtlačkov, nemožno ho vykladať, ako poskytujúce právny základ na prípadnú centralizáciu údajov vyzbieraných na jeho základe alebo na použitie týchto údajov na iné účely než zabránenie nelegálnemu vstupu osôb na územie Únie.

Súdny dvor okrem toho konštatuje, že nariadenie bolo prijaté na vhodnom právnom základe a že v konaní, ktoré viedlo k prijatiu opatrení uplatniteľných v prejednávanej veci nedošlo k chybám, keďže Parlament sa na tomto konaní plne zúčastňoval ako spolunormotvorca.“

Záverom snáď dodávame len odkaz na analýzu Chaos Computer Clubu, ktorý už niekoľko rokov požaduje zákaz biometrie z dôvodu bezpečnostných rizík.

LINK:
Úplné znenie rozhodnutia Súdneho dvora Európskej únie v slovenčine
Rozhodnutie na stránkach Súdneho dvora

Biometria na iPhone 5s prelomená

V neskorý sobotný večer prekvapili členovia Chaos Computer Clubu (CCC) svet správou, že úspešne obišli TouchID použité na nových iPhonoch 5s. Pôvodné informácie priamo zo supportu Apple, ktoré hlásali „veľmi vysokú úroveň bezpečnosti“ pri použití TouchID, tak boli vyvrátené použitím úplne štandardných prostriedkov. Pomerne jednoduchý postup vytvorenia falošného odtlačku prsta pozostával z odfotenia odtlačku rozlíšením 2400dpi, vyčistením, obrátením a vytlačením laserovou tlačiarňou s rozlíšením 1200dpi na priehľadnú fóliu tenkou vrstvou toneru. Potom už len po vytlačenom odtlačku rozmazať ružové latexové mlieko, nechať predýchať a falošný odtlačok je hotový. Jeho použitie demonštrovali aj v tomto Youtube (Video).
„V skutočnosti je senzor Apple od ostatných senzorov odlišný len vyšším rozlíšením. Takže jediné čo sme museli urobiť bolo navýšiť rozlíšenie nášho falzifikátu.“ Hacker Starbug, ktorý vykonal za CCC experiment dodal: „Ako sme už pred rokmi hovorili, odtlačky by vôbec nemali byť používané na zabezpečovanie. Zanechávate ich všade a je veľmi jednoduché vytvoriť z nich falzifikáty.“

Hovorca CCC Frank Rieger: „Dúfame, že tento krok konečne zbaví ľudí ilúzií ohľadom biometrie odtlačkov prstov. Je proste hlúposť používať ako každodenný bezpečnostný token niečo, čo nemôžete zmeniť. Verejnosť by už viac nemala byť klamaná biometrických priemyslom a ich falošnými bezpečnostnými prehláseniami. Biometria je v podstate technológia vyvinutá na potláčanie a riadenie, nie však na dennodenné zabezpečovanie prístupu k zariadeniam.“

ZDROJ: CCC

Test face recognition systému na hokejovom zápase v USA

USA boli odjakživa ťahúňov vo využívaní moderných technológií vo všetkých sférach života. Policajná práca a národná bezpečnosť nie sú vôbec výnimkou. Denne nás na TV obrazovkách udivujú CSI seriály, ktoré sú vo väčšine prípadov len sci-fi. A to nielen pre našich policajtov, ale aj pre tých amerických. Občas k nám však preniknú správy o technike, ktoré priblížia imaginárny televízny svet tomu skutočnému. Takýmto prípadom je aj BOSS – Biometric Optical Surveillance System. Skratka je použiteľná aj v slovenčine, keďže BOSS je vlastne v preklade biometrický optický sledovací systém. Ide o technológiu, ktorá automaticky rozoznáva tváre zachytené videokamerami a porovnáva ich s trojrozmernými signatúrami uloženými vo svojej databáze. Napriek menu BOSS (šéf) je systém v službách amerického Department of Homeland Security (DHS), ktoré sa hrdí tým, že dokáže rozoznať tváre jednotlivcov až na vzdialenosť 50 až 100 metrov.

Momentálne prebiehajú prípravy na ostré testovanie a na tento účel bol zvolený hokejový štadión, po ktorom sa budú pohybovať testovacie subjekty v čase prebiehajúceho zápasu v 6000-miestnej hale Toyota Center v Kennewicku (Washington). Počas hokejového zápasu 21. septembra sa budú vo vybraných monitorovaných sektoroch pohybovať 20 zamestnanci Pacific Northwest National Laboratory (PNNL) pracujúci pre DHS, ktorých má systém rozoznať spomedzi ostatných hokejových fanúšikov tvoriacich pozadie. Ako uviedol HeraldNet: „Polovica zamestnancov bola inštruovaná správať sa normálne, akoby boli na zápase a ostatní dostali príkazy pohybovať sa konkrétnym smerom okolo davu v presne vymedzených časoch…“. Podľa HeraldNet sa bude systém snažiť zo zaznamenaného videa identifikovať iba 20 zamestnancov PNNL: „Hokejoví fanúšikovia, ktorí chcú využiť možnosť opt-out, môžu nasledovať značky vedúce do koridorov bez kamier.“

Takéto testovanie by v našich podmienkach nebolo ani z ďaleka jednoducho realizovateľné. Hokejový štadión by sa síce dal označiť za priestor prístupný verejnosti, ale účel a využitie kamerových záznamov je v danom prípade prísne limitované. Testovanie experimentálnych face-recognition systémov by tak narazilo na zákon o ochrane osobných údajov už pri získavaní video záznamu. Následne by bolo potrebné uplatniť aj ustanovenia týkajúce sa biometrie, ktorej regulácia je v Európe oproti USA prísnejšia.

ZDROJ:
http://www.dhs.gov/
http://www.heraldnet.com/

Biometria nahradí každodenné používanie hesiel

Ako je už pomaly tradíciou, aj koncom roka 2011 zverejňuje IBM svoje predpovede technologického pokroku na nasledujúcich 5 rokov. Za posledných pár rokov vízií možno badať, že sa triafajú tak 50 na 50, čo nám však nebráni zastaviť sa pri jednej z nich. Je ňou pokrok v oblasti biometrických technológií a ich nasadenie do reálneho života. Pri ochrane osobných údajov nám z tohtoročných TOP5 zasvietilo „nahradenie klasických hesiel skenovaním tváre, šošoviek či rozpoznávaním hlasu“. Predpovede idú dokonca tak ďaleko, že hlásajú vytvorenie unikátneho bio-hesla pre online svet založeného na skenovaní viacerých prvkov biologickej identity jednotlivca. Hoci to znie jemne futuristicky, rozpoznávanie tváre, hlasu či šošoviek je technológia súčasnosti, ktorá si nachádza miesto v stále väčšom množstve zariadení. Nikoho už neprekvapia laptopy, netbooky, externé disky s čítačkou odtlačku prsta na zjednodušenie prihlásenia. Možno očakávať, že niečo podobné aj pri mobilných telefónoch či iných zariadeniach.

Používanie biometrie je na Slovensku, podobne ako v ostatných krajinách EÚ pomerne prísne regulované. Zákon o ochrane osobných údajov určuje pravidlá pre prevádzkovateľov informačných systémov s biometrickými údajmi výrazne prísnejšie, a to najmä z dôvodu vyššej citlivosti týchto údajov, ktoré označuje ako osobitnú kategóriu osobných údajov. Zákon definuje biometrický údaj ako osobný údaj fyzickej osoby, na základe ktorého je jednoznačne a nezameniteľne určiteľná. Ako neuzavretú množinu príkladov uvádza odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny, profil deoxyribonukleovej kyseliny. Dúfajme, že pri najbližších legislatívnych zmenách nahradí analýzu DNA, niektorý zo šťastnejších príkladov, keďže ide o proces analýzy vzorky metódami molekulárnej biológie a genetiky vykonávaný z nekódujúcich úsekov molekuly deoxyribonukleovej kyseliny neobsahujúcich informácie o špecifických dedičných vlastnostiach, teda metóda skúmania DNA ako takej. Výsledkom analýzy je profil DNA vo forme alfanumerického kódu.

V prípade nefiremnej klientely, keď koncový užívateľ zariadenia je zároveň aj osobou, ktorej biometrický údaj sa využíva v zásade problém nie je. Nikoho nemožno obmedzovať v nakladaní so svojimi údajmi, nie to ešte hroziť mu za takéto konanie sankciou zo strany štátu. To však neplatí pre firemný segment, pracujúci s biometriou svojich zamestnancov, spolupracovníkov, klientov či zákazníkov. Takýto subjekt je považovaný za prevádzkovateľa biometrického informačného systému a ešte pred jeho zavedením ho spravidla čaká konanie o povolení osobitnej registrácie na Úrade na ochranu osobných údajov Slovenskej republiky, ktoré sa však úspešne skončí iba pre minimálne množstvo prevádzkovateľov. Treba preto zvážiť, kedy a či je prevádzkovateľ povinný požiadať o osobitnú registráciu.

Naša legislatíva totiž na takýto nástup biometrie nie je pripravená a v kontexte noriem EÚ odsúva firemnú klientelu do ilegality. Pokiaľ sa ľady pohnú na európskej úrovni, u nás to bude potom hračka.

ZDROJ: http://www.ibm.com/