Autor: Erich Moechel
V budoucnu by měl být bezvízový vstup do EU možný pouze s chytrým telefonem a speciální aplikací. Před odjezdem je třeba pořídit selfie a nahrát do evropského systému ETIAS s žádostí o bezvízový vstup. Totéž bude platit při vstupu do Spojených států pro občany EU.
Tento snímek je nezbytný pro biometrické kontroly poskytované při výstupu, aby bylo zajištěno, že osoby vstupující do země, které v zemi zůstaly po uplynutí bezvízového období, budou detekovány. Americký výstupní kontrolní systém plánovaný od začátku po 18 letech vývoje právě dosáhl úrovně „technických ukázek“.
DHS
Tato biometrická časová osa je převzata z prezentace Naela Samhy, výkonného ředitele CBP’s Targeting and Analytics Systems Directorate. Ukazuje historii plnou nezdarů vstupního a výstupního systému US-VISIT, jehož vývoj zadal prezident GW Bush, ale dosud nebyl dokončen. Prezentace se uskutečnila během červnového „průmyslového dne“ eu-LISA. eu-LISA je odpovědná za provozní řízení velkých IT systémů, jako je schengenská databáze SIS2, vízový systém a databáze otisků prstů EURODAC, které budou všechny integrovány do vstupního systému EU EU ETIAS. ORF.at má z tohoto jednodenního setkání videozáznam.
Vše je otázkou času
Časový faktor již hrál ústřední roli v prezentacích úředníků ministerstva vnitřní bezpečnosti USA na „průmyslovém dni“ agentury eu-LISA: jak dlouho trvá provedení biometrické identifikace na hraničních kontrolách. Shromážděná data od cestujících je nutné porovnávat v reálném čase, za čtečkami vstupují do rozsáhlé sítě databází. Na příkladu londýnské stanice St. Pancras – odkud odjíždí Eurostar Express do Bruselu a Paříže – odhadla poradenská společnost Augmentiq doby latence, ke kterým dochází při tomto porovnání dat, když se používají systémy, které také umožňují výstupní kontroly.
Tento postup trvá třikrát déle než u běžných biometrických kontrol, zejména u prvních záznamů v biometrickém databázovém systému. Nová identita musí být nejprve klasifikována a propojena v celém systému. Tento problém je nyní vyřešen povinnou předběžnou registrací, která zahrnuje selfie osoby, kterou je třeba pořídit pomocí konkrétní aplikace. Holandský ReadID, který se specializuje na online biometrickou identifikaci, má s takovou aplikací již mnoho zkušeností, které od roku 2017 využívají banky a průmysl pro online autentizaci, zejména v Nizozemsku.
augmentiq
Příslušná poradenská společnost Augmentiq sídlí v Londýně a je tak nová jejich stránky jsou ve výstavbě. Ve skutečnosti jde o spin-off indické cloudové skupiny LTI, která je od roku 2016 kotovaná na indické burze NSE a působí mezinárodně.
Všechno hacknutelné, nebo co?
Následovalo několik prezentací start-upů z prostoru EU a tolik aplikací, které by také měly zaručit bezpečnou biometrickou identifikaci od okamžiku, kdy cestující vytvoří své registrace v ETIAS nebo US-VISIT. Protože je k tomu v nekontrolovaném prostředí k dispozici libovolné množství času, mají útočníci také libovolné množství času na pokusy o manipulaci. První generace biometrických vstupních a výstupních systémů se ukázala jako extrémně náchylná k tomu, pokud nebylo kontrolováno autentizační prostředí.
Počínaje rokem 2006 poskytoval Kosmik z Chaos Computer Club nejlepší zábavu na relevantních akcích na hackerské scéně se svou show otisků prstů, kdy oklamal řady a řady jednoduchých skenerů otisků prstů s klonovanými otisky na místě. USA tehdy testovaly takovéto skenery pro dva indexy, které slibovaly velmi rychlou autentizaci na východech z nástupních bran na letištích, pro výstupní systém. Pozdější pokusy o použití skenování duhovky místo toho selhaly stejně trapně. Tyto systémy, i když jsou rychlé, byly mnohem náchylnější k manipulaci, protože byly oklamány jednoduchými fotografiemi duhovky držené před kamerou.
iProov
iProov sídlí v Londýně a používá ho například Ministerstvo vnitra Spojeného království a ve zdravotnictví. Přichází aktuální hackování půl tuctu těchto biometrických systémů založených na fotografiích a videu v Německu ne úplně překvapivé, z prostředí CCC.
Další tzv. bezpečnostní faktory
V prezentacích dvou start-upů bylo poukázáno na různé možnosti manipulace při vzdálené autentizaci prostřednictvím zařízení, která nejsou pod kontrolou autentizátora. Systém iProov využívá vícebarevné osvětlení obličeje smartphonu při pořizování selfie jako další bezpečnostní faktor. Pořadí různých barevných kombinací nebylo možné napodobit, řekl během prezentace.
Innovatrics na druhou stranu spoléhá na integraci systému umělé inteligence, který zajistí, že selfie kamera zachytí spíše obličej skutečné osoby než zmanipulovanou fotografii. Jak již bylo zmíněno, v polovině června proběhly prezentace biometrických systémů založených na chytrých telefonech. Začátkem srpna byla zveřejněna zpráva bezpečnostního výzkumníka Martina Tschirsicha, rovněž z Chaos Computer Club.
inovátoři
Innovatrics je slovenská společnost s pobočkami v České republice, Brazílii, Saudské Arábii, Singapuru, Tchaj-wanu a Spojených státech amerických.
Všechno hacknutelné, to bylo jasné
Jménem německého Spolkového úřadu pro „bezpečnost informačních technologií“ (BSI) byl Tschirsich schopen předvést úspěšné útoky na více než půl tuctu známých metod autentizace videa. Poněkud alarmující je jednoduchost prostředků, kterými byly tyto útoky možné. Jak všichni křičeli na nebezpečí deepfakes generovaných umělou inteligencí, Tschirsich potřeboval „komerční spotřební elektroniku“, konkrétně fotoaparát, televizní obrazovku a notebook, spolu s bezplatnými softwarovými nástroji, červeným akvarelem a otevřeným zdrojovým kódem, zejména pro úpravy obrázků a videa.
Protože se jedná o zakázkovou práci pro BSI, nebyl jmenován žádný výrobce. Protože však většina testovaných aplikací pochází od evropských společností, je pravděpodobné, že mezi ně patří i ty zde popsané. V úvodním shrnutí se uvádí: „Předpoklad, že známé slabiny v procesech videoidentifikace by mohly být odstraněny pomocí ‚použití umělé inteligence‘, se v praxi ukázal jako nesprávný.“
„Celoživotní hráč. Bacon fanatik. Vášnivý introvert. Totální internetový praktik. Organizátor.“
