Журнал «Вокруг Света» №01 за 2009 год
Шрифт:
24 июня, Германия. Обнаружено, что базы данных 15 госучреждений с информацией по 500 000 граждан (имена, семейное положение, вероисповедание) три месяца находились в открытом доступе: служащие не сменили пароль, использованный в документации как пример.
19 августа, США. Холдинг Dominion Enterprises обнаружил, что в начале года из-за хакерской атаки произошла утечка кредитных анкет 92 000 клиентов.
27 августа, Великобритания. На интернет-аукционе продан подержанный компьютер компании Graphics Data с финансовыми данными (номера счетов, подписи, телефоны) около миллиона человек.
29 августа, США. Bank of New York признал, что в мае потерял при транспортировке 10 магнитных лент с незашифрованными именами, адресами, датами рождения и номерами социального страхования 12,5 миллиона клиентов.
8 сентября, Южная Корея. Украдена база данных по 11 миллионам клиентов интернет-провайдеров с персональными номерами (аналог паспорта), телефонами, адресами. В числе пострадавших — министр внутренних дел, спикер парламента, руководитель секретной службы.
18 сентября, Норвегия. Государственное налоговое управление по ошибке разослало журналистам диски с данными налоговых деклараций 4 миллионов граждан за 2006 год.
13 октября, Великобритания. В Министерстве обороны пропал жесткий диск с данными 600 000 военнообязанных, включая адреса, банковские реквизиты, номера паспортов, водительских прав и телефонов.
На помощь контролерам, следящим за камерами видеонаблюдения, уже приходят автоматические системы распознавания лиц. Фото: SPL/EAST NEWS
Проверено электроникой
Идентификаторам доверяют. Да и как не поверить официальной бумаге с подписью должностного лица и печатью соответствующего органа? Но именно поэтому идентификаторы подделывают, когда стремятся выдать себя за другого человека. В английском языке такие преступления называют identity theft — «кража идентичности». Это, кстати, не очень удачный термин, поскольку идентичность-то как раз украсть нельзя, можно лишь примерить на себя чужой идентификатор. В России подобные деяния попадают в обширную категорию мошенничества.
Самый универсальный международно признаваемый идентификатор человека — это номер его паспорта. А, как мы помним, в схеме паспортной идентификации самое слабое звено — связь документа с физическим телом его владельца. После событий 11 сентября 2001 года правительства многих стран решили в числе прочего заделать и эту брешь в безопасности, внеся в документы своих граждан биометрическую информацию. Соответствующие стандарты и технологии были согласованы через Международную ассоциацию гражданской авиации ICAO, поскольку вне собственной страны человек чаще всего предъявляет документы именно в аэропортах.
Теперь в новые паспорта, отмеченные специальным символом, впечатан электронный чип, несущий стандартизованные персональные и биометрические данные. Из последних, правда, широко используют пока только и так имеющуюся внутри документа фотографию, но некоторые страны уже готовы записывать на чип отпечатки пальцев и сканы радужной оболочки. Если на контрольном пункте обнаружится, что их рисунки не соответствуют вашим, это будет все равно что подать пограничнику паспорт с явно чужой фотографией. Подделать такой рисунок куда труднее фотографии: даже если научиться подменять впечатанную микросхему, записанные данные должны быть заверены электронной цифровой подписью, которая есть только у органов, выдающих биометрические паспорта. Прочитать подписанные данные можно свободно, а вот сгенерировать их без секретного ключа цифровой подписи не получится.
Это весьма надежная привязка. Пытаясь продемонстрировать уязвимость биометрических паспортов, хакерская группа The Hacker’s Choice изготовила в 2006 году поддельный документ на имя Элвиса Аарона Пресли. Оказалось, что в терминале аэропорта Амстердама данные из паспорта были без помех прочитаны и показаны на экране. Однако это не обеспокоило официальные органы. В отличие от сканеров пограничного контроля использованный хакерами терминал был лишь справочным устройством, он считывал данные из паспорта, но не проверял их цифровую подпись. Так что для создания полноценного поддельного биопаспорта злоумышленникам по надобится украсть секретный ключ, которым МВД той или иной страны подписывает данные в чипах паспортов, а это уже шпионаж высокого полета. Но рано или поздно и такое должно случиться, поэтому в будущем ключи планируется периодически менять, и тогда добропорядочным гражданам придется обновлять свои паспорта.
Прощай, приватность
Каждая проверка идентификатора может порождать след — запись в базе данных об обстоятельствах этого события. Предъявляя паспорт в аэропорту, гостинице или полицейскому, составляющему протокол о ДТП, будьте готовы к тому, что ваши данные останутся в электронном документальном отчете. И если органы власти проявят к вам интерес, эта информация будет извлечена на поверхность. Но так было и раньше, до введения в обиход биометрических документов. Что же изменилось?
Пока почти ничего — эпоха биометрии еще только начинается. Раньше человек оставлял информационный след лишь в немногих местах, как правило в государственных учреждениях. Процедура эта была достаточно трудоемкой и выполнялась вручную. Сейчас люди, сами того не замечая, порождают множество записей в базах данных. Эти базы разрозненны, поскольку принадлежат разным организациям, и для каждой используется свой идентификатор: для государства — паспортные данные, в банке — номер кредитки, в супермаркете — скидочная карта, на работе — электронный пропуск, у сотового оператора — номер, у интернет-провайдера и на разных сайтах — многочисленные логины с паролями. В случае серьезного расследования почти все эти идентификаторы можно связать с одним человеком, но для этого нужны специальные оперативно-розыскные мероприятия.
Биометрические паспорта отмечены специальным значком, напоминающим контакт смарт-карты, однако в действительности информация считывается из паспорта бесконтактно. Фото: REX/RUSSIAN LOOK
Биометрическая идентификация избавит нас от вороха карточек. Достаточно махнуть биопаспортом перед считывающим устройством, провести пальцем по сканеру и получить все, что причитается. Но платой за удобство станет единый биометрически привязанный к вам идентификатор для самых разных баз данных. При наличии доступа к ним можно будет быстро и просто получить массу информации о вашей частной жизни: с кем общаетесь, что покупаете, где отдыхаете, часто ли задерживаетесь на работе. Добавьте к этому данные из вашего блога — и перед мошенником открывается огромный простор для деятельности. А главное, имея такие базы с миллионами записей, преступник может оптимальным образом подбирать себе жертву. И не думайте, что базы персональных данных так уж труднодоступны. В мире постоянно обнаруживаются крупные утечки, и это, вероятно, лишь малая часть от числа реально происходящих. Если раньше составить на человека исчерпывающее досье могли лишь некоторые государственные органы, то сейчас это рутинная работа служб безопасности коммерческих компаний. Приватность стремительно вымывается из нашей жизни.