Vaše odtlačky prstov nie sú v bezpečí. Hackeri ich vedia získať aj z fotografií

Znie to ako scéna z filmu o Jamesovi Bondovi. Akreditujete sa ako novinár, vojdete do miestnosti, kde má práve významný politik tlačovú besedu a z tesnej blízkosti spravíte niekoľko záberov z kvalitného fotoaparátu.

Na rozdiel od iných novinárov vás však nezaujíma politikov prejav, ale jeho ruky.

Z detailných fotografií si neskôr pomocou softvéru a dobrej tlačiarne vytvoríte verný obraz odtlačkov, ktoré môžete použiť napríklad pri vstupe do nejakej supertajnej miestnosti.

Hacker, čo dostal ministerku obrany

Časť z toho sa už podarilo Janovi Krisslerovi, nemeckému hackerovi s prezývkou Starbug, ktorý to na konci roka demonštroval na konferencii Chaos Computer Club. Jeho obeťou sa stala Ursula von der Leyen, nemecká ministerka obrany.

Žiadny kontakt, na to, aby sa Krisslerovi podarilo získať jej odtlačky, mu stačilo len pár kvalitnejších fotografií z tlačovej konferencie. „Politici budú pravdepodobne na verejnosti nosiť rukavice,“ vtipkoval podľa BBC Krissler na stretnutí hackerov.

Krissler nepatrí medzi klasických hackerov, ktorí svoju identitu skrývajú za tisíckami počítačov a využívajú slabosti zabezpečenia online systémov vo svoj osobný prospech. Už dlhodobo upozorňuje a ukazuje na slabé stránky biometriky.

Odtlačky sú v kurze

Tú čoraz častejšie využívajú aj komerčné spoločnosti, aby vytvorili pohodlné zabezpečovacie systémy, ktoré overujú alebo zisťujú totožnosť na základe osobných charakteristík ľudí. Okrem odtlačkov prstov sem patrí napríklad očná rohovka, hlas či DNA. A pomaly nahrádzajú klasické PIN kódy a tokeny.

Biometrika sa dnes využíva napríklad v pasoch či občianskych preukazoch. Nájdete ju však aj v najnovších modeloch smartfónov. Napríklad Apple v roku 2012 práve preto kúpil za 356 miliónov dolárov spoločnosť AuthenTec, ktorá vyvíjala softvér založený na využívaní odtlačkov prstov.

„Ak aj vy využívate komplikované heslá, ktoré chránia vaše mobily, odblokovanie je zdĺhavé – o to viac, ak sa práve ponáhľate a nesprávne zadáte jeden zo znakov. Odblokovanie cez odtlačky? Jednoducho to funguje. Znova a znova. Položíte prst na tlačítko, počkáte a – ste dnu,“ opísal výhody systému Charles Arthur vo svojej recenzii pre denník Guardian.

Samsung pri najnovších modeloch zašiel ešte ďalej. Dotykom prstov môžete nielen odblokovať svoj smartfón, pomocou odtlačkov budete môcť dokonca vykonať platbu cez PayPal.

„Som si istý, že niekto s dobrou kópiou vašich odtlačkov a niekoľkými základnými schopnosťami na výrobu materiálov – alebo dokonca len s dobrou tlačiarňou, sa môže dostať do vášho iPhonu,“ napísal pre magazín Wired Bruce Schneier, odborník na bezpečnostné systémy.

Je teda prenikanie biometriky do každodennej technológie problémom?

Nie je to až také jednoduché

„Každý bezpečnostný systém sa dá cielene prekonať, najmä ak je nesprávne nastavený,“ povedal pre Denník N Stanislav Lencz, ktorý sa venuje využitiu odtlačkov v zabezpečovacích systémoch.

„Krisslerovo posolstvo, hoci mierne demagogické, vnímam skôr ako volanie po zodpovednom a dôslednom prístupe pri používaní biometrie,“ dodáva. Krissler by bol podľa Lencza skutočne úspešný, len ak by dokázal prekonať štyri hlavné prekážky.

Hackeri či špióni by museli v prvom rade zrekonštruovať odtlačok prsta. Z neho by potom museli odvodiť tvary a štruktúry a následne ich použiť na replike. Potiaľto sa dostal aj Krissler, čo však ešte stále neznamená, že by bol schopný spôsobiť skutočnú škodu.

Na to by muselo ešte platiť, že zabezpečovací systém je založený výlučne na odtlačkoch prstov a že by tento systém vyhodnotil falošný prst ako pravý.

V skratke – na to, aby sa niekto dostal do vášho smartfónu, nestačí, aby si odfotografoval vaše prsty. V prvom rade by potreboval samotný mobil.

A je veľmi pravdepodobné, že by neuspel v prípade nemeckej ministerky obrany – stačilo, aby bol zabezpečovací systém, napríklad pri vstupe do tajnej miestnosti v budove ministerstva obrany, založený na kombinácii viacerých bezpečnostných prvkov.

Viete, kde sú vaše dáta?

Problém však môže nastať inde.

Pri odtlačkoch funguje biometria nasledovne – položíte prst na zariadenie, ktoré pri prvom použití oskenuje štruktúry vášho prsta. Z neho vyberie určité znaky, ktoré sa ako šablóna uložia do databázy. A s touto šablónou sa budú vaše otlačky porovnávať zakaždým, keď budete chcieť získať vstup, či už do mobilu, alebo pri platbe.

Pre bezpečnosť je úplne kľúčové, kam sa odosielajú dáta použité v šablóne.

„Ak je systém centralizovaný, existuje veľká databáza s biometrickými informáciami, ktorá je pred hackermi nechránená,“ vysvetľuje expert Schneier.

„Zariadenie musí predstavovať bezpečnú jednotku, ktorú by prakticky nemalo byť možné nabúrať zvonka. Nemalo by ísť o otvorený systém,“ hovorí Lencz. Ak sa snažíte odblokovať smartfón, údaje sa ukladajú na samostatný čip, ktorý je v telefóne a nie je online.

Schneier však upozorňuje, že nie všetky aplikácie fungujú rovnako.

„Pokojne môžete použiť odtlačky na odblokovanie telefónu. Je však niečo úplne iné, ak svoje prsty používate na vstup do konta na iCloud-e. Centrálna databáza, ktorú táto aplikácia používa, predstavuje obrovské bezpečnostné riziko,“ tvrdí Schneier. To isté platí aj pri využívaní biometrie na finančné operácie.

Opatrnosť, opatrnosť, opatrnosť

Základom je preto opatrnosť. Predtým, ako sa niekam prihlásite pomocou odtlačkov, by ste si mali overiť, čo sa vlastne s dátami o vás deje.

„Ja sám mám rešpekt pred používaním nielen biometrie, ale akejkoľvek elektronickej identity. Ale to je aj otázka určitej gramotnosti a dôvery ku konkrétnej aplikácii,“ hovorí Lencz zo slovenskej firmy INNOVATRICS, ktorá sa zaoberá vývojom biometrických systémov.

Bezpečnostní experti však upozorňujú, že dokonalé zabezpečenie neexistuje. „Je to o neustálych pretekoch medzi vami a útočníkmi,“ citovala BBC Johna Adyea, bývalého šéfa britskej rozviedky GCHQ.