خروقات تشكّك في سلامة نظم القياسات البيولوجية وأمنها

تعكس البصمات المسروقة، والأيدي المزيّفة، والأصوات المركبة، وغيرها من التقنيات المريبة، كثيراً من التحديات التي تحيط القياسات البيولوجية Biometrics.
مع تصاعد وتيرة عمليات الاحتيال وسرقة بيانات الحسابات الإلكترونية والسيطرة عليها التي تؤرق خبراء الأمن، ظل كثير من النقّاد يعتقدون أن نظم القياسات البيولوجية للتصديق على الهوية الشخصية هي الحلّ.
ولكنّ أي مخضرم في عالم الأمن الإلكتروني سيقول لكم إنّ حلّ هذا الأمر ليس بسيطاً. صحيح أنّ المقاسات الحيوية تزوّدكم بصيغة مصادقة أكثر إحكاماً من عمليات وضع اسم المستخدم وكلمة المرور، ولكنّها تنطوي على مخاطرها الخاصة أيضاً.

خروقات حديثة
شرح الباحثون عدداً من الخروقات والقرصنات الأخيرة، وفصّلوا الفجوات التي قد تظهر في طبقات أي نموذج أمني يعتمد بدرجة كبيرة على القياسات الحيوية.
> اختراق نظام «بيوستار 2» BioStar 2 يعرّض مليون بصمة إصبع للانكشاف. وهذا النظام هو منصة إنترنتية مفتوحة متكاملة الجوانب الأمنية.
إنّ ثبات وعدم تغيّر القياسات البيولوجية الجسدية من شأنه أن يشكّل خطراً عند استخدامها كعامل مصادقة، إذا تمكّن القراصنة من اختراق البيانات. والحالة التي تحدّث عنها أخيراً موقع «دارك ريدينغز» الإلكتروني، حصلت قبل بضعة أسابيع، عندما وجد الباحثون الأمنيون قاعدة بيانات من المعرّفات (أدوات التعريف) البيولوجية غير محمية وغير مشفّرة، تديرها منصّة «بيوستار 2»، التي عرّضت معلومات ملايين الأشخاص للخطر. كانت هذه القاعدة تحتوي على 23 غيغابايت من البيانات التي تتألّف من معلومات التعرّف إلى الوجه، وأسماء المستخدمين وكلمات المرور غير المشفّرة، وبصمات أصابع مليون شخص.
> اختراق نظام مكتب شؤون الموظفين في الولايات المتحدة OPM»» يعرّض 5.6 مليون بصمة إصبع للانكشاف.
إنّ بروز قدرة القراصنة على استخراج بصمات أصابع 5.6 مليون موظف فدرالي كان من أهمّ التفاصيل الصادمة للاختراق المدمّر، الذي طال قاعدة بيانات الخاصة بمكتب شؤون الموظفين عام 2015. وتبيّن أنّ هذه البصمات تعود لأهمّ الأسماء وأكثرها حساسية في الحكومة الأميركية، ما جعل منها مخزن أسرار ثميناً، للخصوم.
> قرصنة ماسح بصمة الإصبع في هاتف «سامسونغ غالاكسي S10».
المشكلة في سرقة بصمات الإصبع من مخازن بيانات «بيوستار» و«OPM» هي أنّ القراصنة يستطيعون وبكلّ سهولة تقليدها باستخدام كلّ شيء من طبعات البصمة الشمع مثلاً إلى الطباعة ثلاثية الأبعاد المصنوعة على غرار أي معلومة مسروقة. هذه الحيلة ظهرت إلى العلن في 10 أبريل (نيسان) الماضي ندماً تمّ اختراق ماسحات بصمة الإصبع في أحدث هواتف «غالاكسي» من «سامسونغ».
> خرق نظام التعرّف إلى الوجه التابع للهيئة الجمارك وحماية الحدود بالولايات المتحدة. في أوائل هذا الصيف، أعلنت الحكومة الأميركية عن اختراق طرف ثالث لأحد المقاولين الفرعيين العاملين لدى هيئة الجمارك وحماية الحدود، استهدف مخزوناً سرياً لصور التعرّف إلى الوجه. وعرّض هذا الاختراق ما يقارب 100000 صورة لمسافرين ولوحات ترخيص تستخدمها الوكالة للتحقّق من هويات المسافرين والمصادقة عليها. وكان المتعاقد الفرعي، شركة «بيرسيبتيكس إل إل سي»، قد وضع الصور على خوادم لتكنولوجيا المعلومات، فقط لتتمّ سرقتها عبر اعتداء سيبراني خبيث.

تزييف اليد والصوت
> استخدام يد مزيّفة للتلاعب بالقياسات الحيوية. هذه الحيلة مصممة لتقديم تأكيد أفضل مقارنة بتقنيات قراءة بصمة الإصبع السهلة الخداع، وهي تُعرف باسم «التعرّف على رّاحة اليد والوريد» palm - vein recognition، ولكنّها بدورها لا تخلو من مواطن الضعف. فقد أفاد باحثون العام الماضي أنّهم قادرون على ابتكار يد مزيّفة من الشمع واستخدامها للتلاعب بنظم قياسات الوريد البيولوجية المنتجة من قبل «فوجيتسو»، و«هيتاشي»، إلا أن عملية ابتكار اليد تطلبت نحو شهر واعتمدت على 2500 صورة لأشكال الوريد.
> سوق البصمات. عشرات آلاف بصمات الإصبع الرقمية المسروقة تُعرَض في السوق السوداء
مع بداية هذا العام، اكتشف الباحثون في مختبرات «كاسبرسكي» سوقاً نشطة للبصمات الرقمية المسروقة. وأظهر مخزن البيانات الرقمية أنّ القراصنة يعملون بجدّ للتوصل إلى طرق احتيال تتمحور حول رصد القياسات البيولوجية السلوكية لأي مستخدم بهدف ابتكار عوامل مصادقة هوية مبينة على مقطع عرضي من السلوكيات والمواصفات.
> صناعة الصوت لخرق المصادقة الصوتية. يقول كثير من الخبراء إنّ المصادقة الصوتية هي الحلّ الأمثل لتفادي مخاطر الاختراق التي تواجهها القياسات الحيوية الأخرى، كبصمة الإصبع.
ولكنّ الحقيقة هي أنّ بصمات الصوت يمكن التلاعب بها أيضاً. فقد وجد الباحثون، العام الماضي، في مؤتمر «بلاك هات» أنّه وبنموذج صوتي صادر عن مكبّر صوت ومدّته عشر دقائق، تمكّنوا من اختراق أنظمة مصادقة صوتية متعدّدة. ونظراً لأنّ الشخصيات البارزة التي تكون عادة مستهدَفة موجودة على التواصل الاجتماعي، ومواقع المؤتمرات، وغيرها من الحلبات الإلكترونية التي تعجّ بالفيديوهات العامّة، لن يصعب على القراصنة الحصول على بصمات أصواتهم.