Биометрия

Итак, сегодня, когда половина пользователей Интернета в России носит в кармане умные телефоны (смартфоны), хочу поделиться с вами некоторыми своими мыслями по поводу их функционала, а также некоторых других смежных областей: их защиты, защиты ваших персональных данных, биометрической защиты, а также возможных проблемных вопросов.

Несомненно, все эти цифровые тамагочи создаются с целью выдоить из их владельцев как можно больше денег. Для типового пользователя смартфона, затраты это: абонентская плата за мобильную сеть, разговоры и отправку SMS/MMS, абонентская плата за доступ к сети Интернет, оплата за программы (иногда по подписке), за фильмы и музыку (или разовые покупки, или по подписке), и другие платные сервисы.

Для доступа к ним используются аккаунты в различных сетях и сервисах.
Поисковая система Яндекс предоставляет вам доступ к поиску, электронной почте и многому другому, но хочет знать ваш телефон, адрес, имя фамилию и отчество, дату рождения, пароль (который, кстати у некоторых пользователей один для множества аккаунтов – чтобы было легче запоминать, что в корне неправильно, так как создает предпосылки для облегченного взлома всех аккаунтов, если эти данные куда-то утекли).
 
Система Google предоставляет аналогичный доступ к магазину фильмов, книг, музыки и программ Google Play Market, а также к облачным сервисам типа хранилища электронной почты Google Mail, хранилищу файлов Google Drive, социальной сети Google+ и многому другому (кстати, тоже по единому паролю).

Для полноценного использования большинства возможностей современного смартфона на базе операционной системы Android необходимо наличие минимум одного из вышеперечисленных аккаунтов и даже больше – если вы хотите, например, иметь доступ к социальным сетям ВКонтакте, Мой мир или Facebook. Не секрет – все эти товарищи не только предоставляют вам доступ к своим сервисам, они собирают ваши персональные данные (как и все операторы мобильной связи в России – Мегафон, МТС, Билайн, Теле2 и Ростелеком), данные о ваших платежах и многое другое. Они хотят знать о вас как можно больше – по возможности, всё.

Зачастую, и операторы мобильной связи (Мегафон, МТС и другие) и владельцы социальных сетей, и владельцы поисковых машин часто нарушают международные законы и Конституцию РФ, раскрывая эти данные третьим лицам (читайте больше о скандалах с Facebook). И как с них спросить? Ведь Конституция РФ – в России, а компания Яндекс на 51% голландская (информация из открытых источников), а компании Гугл и Facebook – американские. Вот создал Павел Дуров соцсеть ВКонтакте при участии СПбГУ, а потом продал большую часть акций и уехал куда-то за границу делать проект Telegram. Сама социальная сеть своим контентом часто нарушает закон 436-ФЗ об обязательной маркировке продукции значками 12+ и другими для защиты детей от агрессивной и неподходящей по возрасту информации. И с кого в этом случае спрашивать?

Мало того, что по умолчанию все ваши контакты в социальных сетях и переписка хранятся в облачной базе данных, данные контактов сотовой сети – в памяти телефона и на SIM-карте (к ним имеют доступ сотрудники оператора связи), теперь все ваши контакты также будут расположены в совместном российско-американском облаке Google (при выборе соответствующей опции, которая установлена по умолчанию). Тройное резервирование, но и тройной риск компрометации в случае взлома любого из трех аккаунтов – оператора связи, социальной сети, облака Google.

Для защиты телефона, в котором по умолчанию все это располагается придумано достаточно много. Шифрование данных по умолчанию – для современных моделей аппаратов, продающихся с 2018 года. Для разблокировки экрана – ключевое слово, PIN-код, графический ключ или фейсконтроль (по лицу) или же проверка заранее настроенных отпечатков пальцев.

Рассмотрим все, по порядку. Ключевое слово – надежно, но его надо помнить и постоянно вводить при разблокировке. Упало приложение экранной клавиатуры – и разблокировать телефон вы не сможете. PIN-код тоже надо вводить, его длина ограничена и при попадании аппарата в чужие руки он может быть подобран. Графический ключ имеет еще меньшее количество комбинаций, но удобен если в телефоне или планшете не хранится ничего важного.
 
Аппараты с фейсконтролем присутствуют на рынке давно, и надежность способа небольшая. Имеют значение параметры освещенности (не будет корректно работать в темноте), не будет срабатывать если вы оставили где-то аппарат и ушли на двадцать лет (лица людей меняются в процессе старения), не будет верно работать при разблокировке аппарата похожим лицом - двойником или родственником-близнецом, и в других случаях. Отпечаток пальца не так просто подделать (результативность зависит от конкретного датчика в аппарате), но рецепты в Интернете уже есть: например, распечатка отпечатка владельца, снятого с бокала на специальном принтере (уже опробовано в одном из американских технологических колледжей).

Если честно говорить об остальной биометрии – допускаю, возможно подделать и информацию о зрачке (в современных офтальмологических клиниках есть оборудование, которое делает и объемные фотографии глаза, поэтому вполне возможно и наличие аппаратуры, которая вам на 3D принтере что-то похожее распечатает). Не меньшее количество вопросов вызывают и голосовые данные. Существует много людей с похожими голосами, данные и громкость меняются в зависимости от состояния человека, как и скорость речи. Существует и программное обеспечение которое на основе нейронных сетей позволяет эти данные подделывать (как мимическую артикуляцию при произношении слов на видеозаписи – разрабатывается в США, находится в стадии бета-тестирования), так и речь (система разработана в университетах Канады).

Если интересуют конкретные примеры фальсификации – думаю, вы сможете, при необходимости, используя записанные голосовые данные ведущих теле- или радиопрограмм, политиков (мэров, губернаторов и депутатов), своих знакомых (записанных с диктофона), нарезанные в аудио редакторе и поддельные адреса сетевой аппаратуры, например, задать вопрос (сформировать запрос) голосом для голосовых помощников Яндекс.Алисы или Гугл. Остальное – дело техники. Ради интереса, нам удалось со смартфона (не используя поддельные сетевые адреса) запросить информацию голосом Полтавченко и Путина, взятыми из фраз их выступлений. Канадской программы, которая, с помощью нейросети, обучается говорить голосом человека на основе пятиминутного фрагмента записи у нас нет, но думаю что приобрести, при необходимости, ее можно.

Встречал в жизни и людей, которые похожи на знакомых голосами (но не внешне), а также внешне (но не по голосу, пропорциям и росту). Допускаю, что вполне возможна и подделка видефрагментов с какими-то действиями группами внешне похожих на выбранных лиц актеров. Если идти дальше, то могут быть фальсифицированы и телефонные разговоры, и даже посмертные признания (убийцы вначале записывают речь жертвы, а потом кончают её).

Вообще, купив очередной телефон с подключением к Интернету я был удивлен простотой заведения аккаунта и адреса электронной почты – продавцы просто спросили имя, и не требуя паспорта ввели его для регистрации, выдав нам готовый аппарат – точно также любой испанец Пабло Дурито может завести в системах Гугл, Яндекс, ВКонтакте и других электронную почту и аккаунт на имя Павла Дурова и успешно использовать её. Кстати, аккаунтов Павла Дурова в ВК подозрительно много. Думаю, большинство или тестовые или фейковые.

Вспоминая о похожих голосах и множестве часто меняемых по различным причинам телефонных номеров абонентов в сотовых сетях, допускаю что на базе мобильных операторов вполне возможен подбор для следующего владельца номера голоса, похожего на голос предыдущего владельца, что создает благоприятную почву для всякого рода мошенничеств и других преступлений. Просто посмотрев на свой текущий мобильный номер, и получая звонки от людей, которые говорили, что ошиблись номером, я подумал – а кому принадлежал этот номер до меня?

Тоже самое и с подписями – одна из знакомых бухгалтеров как-то похвасталась, что в совершенстве научилась подделывать подпись своего начальника (правда, по согласованию с ним). Чтобы не мотаться за 100 км с документами, она рисовала её сама.

Также хакеры подделывают и коды от программного обеспечения, и SSL-сертификаты сайтов в сети Интернет.

В общем, фальсифицируется много, включая биометрию, а при наличии бездонных вложений – почти всё. Технологии несовершенны, цифровой тамагочи, мобильные операторы и сеть Интернет от нас хотят только как можно больше платежей.