Все под контролем: Кто и как следит за тобой

Биометрическое пиратство

Когда Washington Post опубликовала информацию о предстоящей продаже фотографий с водительских удостоверений в Южной Каролине, это вызвало взрыв негодования. Штат сразу же попытался разорвать контракт, мотивируя это нарушением права граждан. Но судья штата отклонил данный аргумент, заявив, что законодательство не запрещает такую продажу.

В результате этого и других инцидентов некоторые штаты, возможно уже в ближайшее время, примут законы, запрещающие продажу фотографий с водительских удостоверений частному бизнесу. Но гораздо труднее не допустить использования бизнесменами собственных ресурсов для создания базы данных с фотографиями. Установленные возле кассовых аппаратов видеокамеры уже сейчас фиксируют изображение каждого, кто пользуется кредитной картой. Не представляет никакой сложности совместить эту информацию с именем владельца предъявляемой карты. Эта схема настолько проста, что не заставит себя долго ждать, если только такая практика не будет запрещена законодательно.

Профессор электротехнического факультета университета Торонто Стив Ман [Steve Mann] назвал фиксацию изображения человека без его согласия пиратством образа [likeness piracy]. [53] Ман доходчиво объяснил разницу между пиратством образа и нарушением авторских прав [copyright infringement]: авторское право защищает лишь произведения в фиксированной форме. Нарушение авторского права подразумевает присвоение и использование определенного изображения, в то время как пиратство образа подразумевает присвоение и использование изображения человека в принципе.

В законодательстве Соединенных Штатов и других стран вопрос пиратства образа урегулирован. Например, в штате Нью-Йорк считается преступлением использование изображения человека в рекламе без его согласия. Этот закон появился еще в начале XX века, когда торговцы начали размещать лица людей на упаковках с продуктом как форму его одобрения, не получив предварительно официального разрешения человека. Кто-то может предположить, что данный закон будет работать и в XXI веке, защищая нас от пиратства образа и биометрического пиратства. Но он будет бессилен, если политика в области биометрии будет устанавливаться на основании сложившейся в бизнесе практики.

Идентификация с использованием смарт-карт

Смарт-карта, вроде изображенной на рисунке карты фирмы Gemplus, представляет собой обычную пластиковую карту с размещенным на ней тонким микрочипом. Чип может включать в себя микропроцессор и несколько килобайт памяти. Самое популярное применение смарт-карт – «электронные кошельки», когда карта используется в качестве носителя электронной наличности. Смарт-карта может быть использована и в качестве носимого банка данных, причем владелец карты не может модифицировать находящуюся на карте информацию. В приведенном примере смарт-карта используется в качестве идентификатора, содержащего оцифрованную фотографию владельца и, возможно, отпечатки пальцев. Пограничник сравнивает лицо стоящей перед ним женщины с ее фотографией, считанной со смарт-карты. Поскольку изменить записанное в карту фотоизображение гораздо сложнее, чем переклеить обычную фотографию на документе, разработчики считают такую технологию более безопасной. Хотя эта технология считается сегодня наиболее безопасной, это значит лишь, что создателей поддельной карты ждет более высокое вознаграждение. В конечном счете смарт-карта будущего окажется не более защищенной, чем кредитные карты сегодня. [Фотографии любезно предоставлены фирмой Gemplus]

Уже сегодня крупнейшая служба доставки United Parcel Service (UPS) является также и крупнейшим биометрическим пиратом. При доставке большинства отправлений UPS требует, чтобы получатель расписался в качестве подтверждения получения. В 1987 году UPS начала оцифровывать изображения подписей получателей и хранить их в базе данных. Изображение могло быть отослано по факсу любому, кто позвонил в UPS по номеру 800 и запросил уведомление о вручении отправления. В 1990 году UPS усовершенствовала свою пиратскую технологию, оснастив своих курьеров портативными компьютерами, названными «устройствами для сбора информации о доставке» – DIAD [Delivery Information Acquisition Device]. Каждый компьютер оснащался встроенным считывателем штрих-кодов и специальным планшетом для подписи. Доставив отправление, курьер считывает штрих-код и предлагает получателю расписаться на планшете. Эти данные записываются в память DIAD, после чего, конечно, попадают в базы данных UPS.

Когда я обратился в компанию с жалобой на такую практику, пресс-секретарь UPS Пэт Стифен [Pat Steffen] объяснила мне, что инициатива сделать подписи доступными в электронном виде исходила от клиентов UPS. Подписи рассматривались как подтверждение доставки. Оцифровка этого подтверждения позволяла UPS работать с ними, как и с любыми другими цифровыми данными. Отправка по факсу сертификатов с подтверждением о доставке осуществляется компьютерами UPS автоматически, объяснила мне Стифен. Клиентам UPS также предоставляется возможность получить специальное программное обеспечение для отслеживания доставки и просматривать подписи непосредственно на своем персональном компьютере. [54]

Самое забавное, что, сделав оцифрованную собственноручную подпись клиента широко доступной, UPS тем самым принизила ее значимость. Как только подпись оцифровывается, ею очень легко манипулировать с помощью компьютера, например поставить ее под контрактом. Система UPS особенно уязвима: вы можете отслеживать доставку отправлений, зная номера накладных, которые присваиваются последовательно, например «0930 8 164 904», «0930 8 164 913», «0930 8 164 922». Зная номер выданной в UPS квитанции, злоумышленник может использовать эту информацию для составления полного списка получателей отправлений и присвоить копию подписи каждого получателя.

UPS понимает уязвимость своей системы, но не предпринимает серьезных действий по ее ликвидации. На web-сайте компании можно увидеть замечание следующего содержания:

Говоря по правде, UPS не делает практически ничего для противодействия атакам криминального характера. «Если кто-то захочет узнать номера отправлений, он сможет это сделать. Если кто-то захочет сделать что-то еще, я думаю, что это ему тоже удастся. И этому сложно противостоять», – говорит Стифен. Но подобрать номер было бы сложнее, если бы UPS использовала более длинные числа для номеров накладных и не назначала их предсказуемым образом.

Финансовое сообщество нашло лучший способ внедрить биометрию в практику бизнеса. Известно, что мошенники всегда имели возможность украсть бланки чеков или напечатать свои, чтобы потом заполнить их и обналичить. Поэтому в 1997 году Sea First и множество других банков Западного побережья стали фиксировать на обратной стороне чека отпечаток большого пальца, если человек, предъявивший чек для обналичивания, не имел счета в банке. Отпечатки пальцев фиксировались с помощью специальных чернил: человек макал палец в подушечку с чернилами и ставил отпечаток на обратной стороне чека, после чего легко удалял с пальца остатки чернил. Если чек оказывался поддельным, в распоряжении Sea First оставался отпечаток пальца мошенника, причем реальный, а не хранимая в компьютере электронная копия, используя которую можно былс переложить вину на другого. Поскольку SeaFirst было известно также и точное время, когда чек был предъявлен для обналичивания (оно фиксировалось на чеке и в компьютере), можно было легко получить фотографию мошенника из архивных записей системы видеонаблюдения. Поиск по отпечатку пальца мог быть также осуществлен при помощи большого количества систем AFIS. Увы, несмотря на то что данная система безупречна с технической точки зрения, ее использование имеет побочный эффект: люди, предъявляющие в банк чеки, ощущают себя неуютно, потому что с ними обращаются как с потенциальными преступниками.