به گزارش
گرداب، استفاده از زیستسنجهها آخرین فناوری بشری برای تأمین امنیت است که در طیف وسیعی از فناوریها از سامانههای دیداری مبتنی بر پردازش تصویر نظیر امنیت رفتوآمد در فرودگاهها و مرزها تا ایجاد پایگاه دادههای مبتنی بر دادههای زیستسنجی برای کشف جرم و مجرم و حتی کارتهای اعتباری مجهز به حسگر اثر انگشت مورد استفاده قرار میگیرند.
اما همانطور که در مباحث امنیت شبکه و داده، هیچ سازوکاری صد در صد امن نیست و هیچ فناوریای بدون عیب نیست، باید از آسیبها و تهدیدهایی که متوجه این فناوری نوین است آگاه بود تا در آینده بتوان آسیبهای ناشی از آن را بهتر کنترل کرد.
استفاده از زیستسنجهها آخرین فناوری بشری برای تأمین امنیت است
با توسعه سختافزاری و نرمافزاری ابزارهای زیستسنجی در سطوح مختلف فناوری، لزوم شناخت و آشنایی با مزایا و معایب آن امری اجتنابناپذیر است، زیرا این فناوری نقش هویت کاربران را در فضای مجازی و دیجیتالی ایفا میکند و تمامی عملکرد ما و عواقب آن وابسته به هویت ما و نحوه احراز آن است.
زیستسنجهها جدیدترین و آخرین سطح دانش بشری برای ایجاد امنیت و جلوگیری از هرگونه تقلب هستند. توسعه طراحی به کمک هوش مصنوعی و تراشههای با دقت ساخت کمتر از ۶ نانومتر و همچنین کاهش قیمت طراحی و ساخت موجب افزایش دسترسیپذیری آنها تا تعبیه شدن در اکثر تلفنهای همراه و کاربردیتر شدن آنها تا ورود به حوزه مالی و بانکی شده است.
زیستسنجی در فناوری به چه معناست؟
الگوبرداری از ساختارهای موجود در طبیعت امری رایج در علوم مهندسی است. شناسههای طبیعی بیهمتا در هر فرد نظیر چهره، اثر انگشت، عنبیه چشم و حتی نحوه راه رفتن افراد موجب شده است که از این ویژگیها و شناسههای بیهمتا در مباحث مربوط به شناسایی و تشخیص و احراز هویت استفاده شایانی شود. اما گرانقیمت بودن و پیچیدگی بالای این فناوری موجب استفاده کم و بهندرت آن شده بود. علاوه بر این نکته دیگری که حائز اهمیت است آن است که شناسایی و استخراج ویژگیها و الگوهای (Pattern recognition) هر شناسه طبیعی و سپس مدلسازی کامپیوتری آن نیاز به برنامهنویسی پرحجم و سنگینی داشت که از توان برنامهنویسان و شرکتها خارج بود. در سالهای اخیر با توسعه هوش مصنوعی و ابداع روشهای خاص برنامهنویسی آن نظیر یادگیری ماشینی و یادگیری عمیق ، بُعد نرمافزاری استخراج هرگونه الگو از تمامی ساختارهای طبیعی حل شد، بهگونهای که برخی از محققان حتی از طریق بررسی الگوهای ساختاری گوش آن را جایگزینی برای اثر انگشت میدانند .
برخی از محققان الگوهای ساختاری گوش را جایگزینی برای اثر انگشت میدانند
چگونه اطلاعات زیستسنجی میتواند جایگزین رمز عبور شود؟
پیشنیاز کنترل و دسترسی به هر سامانهای، شناسایی کاربر (متقاضی) و تشخیص هویت مورد ادعای وی است. فرایند شناسایی و تشخیص هویت مبتنی بر اطلاعاتی است که از مشخصههای کاربر گرفته میشود و پس از بررسی صحت آن، مجاز بودن یا نبودن دسترسی کاربر مشخص میشود. بسته به اطلاعاتی که در هر پایگاه داده (Data base) نگهداری میشود اهمیت این فرایند نیز تعیین میشود. بهعنوان مثال اگر پایگاه داده ما بانک ژنوم حاوی اطلاعات بسیار مهمی از DNA افراد باشد، دسترسی به چنین اطلاعاتی میتواند در مباحث مربوط به توالی ژنی مورد سوءاستفاده قرار بگیرد که منجر به ایجاد ساختارهای بسیار خطرناک زیستی به جهت ایجاد موجودات یا گیاهان خطرناک یا حتی ایجاد بیماری میشود نظیر شائبههای موجود در مورد ساختگی بودن بیماری COVID-19 در آزمایشگاهها. اما در یک اتفاق واقعی، در جولای 2020 در حمله Phishing به یک شرکت فعال در حوزه ژنتیک که دارای بانکهای ژنومی است اطلاعات DNA افراد به سرقت رفت که این زنگ خطری برای سلامت و بهداشت همه مردم جهان است. از این رو پیشرفت و تکمیل فرایند شناسایی و تشخیص هویت امری بسیار مهم و اجتنابناپذیر است.
آنچه بهصورت معمول در تمام دنیا رایج است، ارائه سازوکار شناسایی و تشخیص هویت بر اساس گذرواژه (Password) و شماره شناسایی شخصی (PIN) است که آسیب اصلی وارده بر این روش حدس، افشای دانستههای فردی یا فراموشی است. آسیب دیگر که جنبه نرمافزاری دارد، حمله جامع یا Bruit force است که از این طریق گذرواژه یا PIN در اصطلاح شکسته میشود. برای حل مشکلات مذکور، استفاده از افزونههای فیزیکی نظیر کارت (پلاستیکی، مغناطیسی، هوشمند و ...)، توکن امنیتی (Security Token) و توکن تولید رمز یکبار مصرف (OTP) جهت افزایش ضریب امنیتی در سامانههای موردنظر مورد استفاده قرار میگیرند، اما مشکل اساسی این روش جعل آنها بوده است. به همین دلیل محققان به مشخصههایی که جعل آنها دشوار و در مواردی غیرممکن است نظیر مشخصههای زیستی روی آوردهاند. همانطور که گفته شد، مشخصههای زیستی بیهمتا و جعل آنها بسیار دشوار و پیچیده بوده و بهترین سازوکار برای فرایند شناسایی و تشخیص هویت هستند. اولین نمود پیادهسازی گسترده این روش در اکثر تلفنهای هوشمند است.
حمله فیشینگ به یک موسسه ژنتیکی همکار با پزشکی قانونی
چه آسیبها و تهدیدهایی در پس زیستسنجی است؟
جبرانپذیری پایین
اگر چنانچه اثر انگشت فرد به هر نحوی افشا شود دیگر همانند گذرواژه قابلتغییر و جبران نیست و هکر میتواند یک دسترسی غیرمجاز دائمی داشته باشد. در سال ۲۰۱۵ یک هکر آلمانی به نام جان کریسلر (Jan Krissler) با بازسازی تصویر اثر انگشت وزیر دفاع آلمان با استفاده از تصاویر موجود در سایت وزارت دفاع آلمان از دست وزیر و با تصویربرداری از فاصله ۳ متری از وزیر توانست امنیت مبتنی بر زیستسنجی را زیر سؤال ببرد. همچنین کریسلر در فاصله کوتاهی از معرفی تلفن همراه آیفون مدل S5 توانست حسگر اثر انگشت آن را بفریبد.
در نمونهای دیگر، محققان دانشگاه مهندسی نیویورک مدعی شدند که با استفاده از شبکههای مولد تخاصمی (Generative Adversarial Network) -که از این نوع شبکه در حوزه هوش مصنوعی برای همانندسازی دادههای واقعی استفاده میشود- دست به تولید اثر انگشت مصنوعی زدهاند.
تولید اثر انگشت با استفاده از فناوری GAN
نقض حریم خصوصی
با هجوم شرکتهای حوزه فناوری اطلاعات و مؤسسات مالی نظیر بانکها به استفاده از روشهای زیستسنجی برای افزایش ضریب امنیت سامانههایشان، اطلاعات دریافتی از کاربران و مشتریان نیز افزایش مییابد، و با توجه به اطلاعات خصوصی کاربران و مشتریان عملاً شرکتها را تبدیل به سازمان ثبتاحوال میکند و تبعات ناشی از نقض حریم خصوصی سنگینتر و گستردهتر میشود. بهعنوان نمونه میتوان به سوءاستفاده فیسبوک از دادههای زیستسنجی کاربران اشاره کرد.
در سال ۲۰۱۵ فیسبوک از تصاویر کاربرانش برای توسعه مدل هوش مصنوعی خود استفاده کرد تا به کمک آن بتواند تمام تصاویر بارگذاری شده را برچسبگذاری کند که این مسئله با اعتراض فعالان حریم خصوصی مواجه شد. در ایالت ایلینوی (Illinois) قانونی تحت عنوان BIPA وجود دارد که استفاده شرکتها را از اطلاعات زیستسنجی مردم منع میکند، با این حال فیسبوک بدون اخذ مجوزهای لازم از این اطلاعات استفاده کرده بود و در سال ۲۰۱۹ به پرداخت ۵۵۰ میلیون دلار جریمه از سوی دادگاه این ایالت محکوم شد . همچنین در سال ۲۰۱۸ فیسبوک در قالب چالشی به نام چالش دهساله باعث بارگذاری تصاویر دهساله گذشته بخش عمدهای از کاربرانش شد که به اعتقاد برخی، این چالش حیله فیسبوک برای تکمیل دادههای خود به جهت توسعه مدلهای هوش مصنوعی خود بود .
مشابه همین موضوع در مورد قوانین و دولتها نیز وجود دارد. بهعنوان مثال، در ایالاتمتحده آمریکا، FBI و اداره محافظت مرزی از یک پایگاه داده مبتنی بر دادههای زیستسنجی استفاده میکنند که به اعتقاد برخی NGOهای فعال در حوزه حریم خصوصی، این یک نقض آشکار حریم خصوصی است .
رصد و کنترل دائمی شهروندان با استفاده از اطلاعات زیستسنجی
علاوه بر آمریکا، اتحادیه اروپا ، انگلستان و برخی کشورهای دیگر نظیر برزیل اقدام به ایجاد پایگاه دادههای مبتنی بر دادههای زیستسنجی کردهاند که در این کشورها نیز با اعتراض فعالان حریم خصوصی مواجه شده است.
نتیجهگیری
با توجه به امینت بالای روشهای زیستسنجی و نیاز شرکتهای فناوری، کاربران و مشتریان به امنیت و یکتایی هویتها در فضای سایبری، قطعاً زیستسنجی جایگاه مهم و وسیعی در آینده خواهد داشت. با لحاظ این نکته و جمعآوری اطلاعات زیستسنجی ما توسط اکثر برنامههای تلفن همراه، توجه جدی به این هشدار لازم است که پایگاه داده اطلاعات زیستسنجی ما در خارج از کشور نگهداری میشود و دسترسی هکرها یا حتی سرویسهای جاسوسی خطری بسیار بزرگ علیه مردم و منافع ملی ما است. از این رو لازم است با انجام اقدامات فنی نظیر سامانههای کنترلی و نظارتی و وضع قوانین، از خروج اطلاعات حساس و مهم ملی جلوگیری شود تا در آینده مسبب مشکلات بزرگی نشود چراکه جاسوسی آژانس امنیت ملی آمریکا (NSA) و سازمان اطلاعات مرکزی آمریکا (CIA) در جمعآوری تمامی دادههای مردم جهان حتی دادههای زیستسنجی امری واقعی و درخور توجه است .
https://www.wired.com/2010/11/ears-biometric-identification
https://www.scmagazine.com/home/security-news/cybercrime/dna-companies-vulnerable-to-phishing-privacy-violations-after-attacks
https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands
https://www.nytimes.com/2020/01/29/technology/facebook-privacy-lawsuit-earnings.html
https://www.forbes.com/sites/nicolemartin1/2019/01/17/was-the-facebook-10-year-challenge-a-way-to-mine-data-for-facial-recognition-ai/#6cfd74055859
https://www.eff.org/deeplinks/2016/05/fbi-ngi-privacyact
https://www.zdnet.com/article/eu-votes-to-create-gigantic-biometrics-database
https://www.loc.gov/law/foreign-news/article/brazil-new-law-creates-dna-database-to-help-resolve-violent-crimes
https://www.nytimes.com/2014/06/01/us/nsa-collecting-millions-of-faces-from-web-images.html