Człowiek jako suma kliknięć

Człowiek jako suma kliknięć
Gdy podczas przeglądania strony internetowej znika kursor myszy, może chodzić o zwykły błąd komputera, ale może to być też test, którego celem jest inwigilacja użytkownika. W przypadku korzystania z telefonu komórkowego czujniki ekranu dotykowego rozpoznają właściciela po sposobie przesuwania palcem po urządzeniu, po tym co naciska i jak trzyma swój aparat.

Sposób dotykania, przewijania i pisania na ekranie telefonu lub klawiaturze może być cechą równie indywidualną i niepowtarzalną, jak odciski palców lub rysy twarzy. Aby walczyć z oszustwami, coraz więcej banków i handlowców śledzi fizyczne ruchy odwiedzających, gdy korzystają oni ze stron internetowych i aplikacji. Niektórzy używają tego rodzaju technologii tylko do eliminacji automatycznych ataków i podejrzanych transakcji, inni posuwają się znacznie dalej, tworząc na podstawie tych behawioralnych danych dziesiątki milionów profili klientów - w efekcie mogą identyfikować użytkowników po tym, jak ci dotykają swoje urządzenia, przytrzymują je i po nich stukają.

Gromadzenie danych jest niedostrzegalne dla obserwowanych osób. Korzystając z sensorów w telefonie lub kodu na stronach internetowych, firmy potrafią zbierać tysiące danych, co znane jest pod nazwą "biometria behawioralna". Dla specjalistów ds. bezpieczeństwa taka technologia stanowi potężne narzędzie walki o to bezpieczeństwo. Poważne jego naruszenia względem danych są bowiem zjawiskiem niemal codziennym. Cyberprzestępcy pozyskują miliardy haseł i innych poufnych danych osobowych, które mogą być później wykorzystane do kradzieży kont bankowych i handlowych oraz nieuczciwego otwierania nowych kont.

- Tożsamość jest ostateczną walutą cyfrową i przedmiotem ataku na skalę przemysłową - powiedział w sierpniu w rozmowie z "New York Times", Alisdair Faulkner. Jest on jednym z założycieli firmy ThreatMetrix, która tworzy oprogramowanie do wykrywania oszustw dla dużych firm handlowych i finansowych. Wielu klientów jego przedsiębiorstwa używa lub testuje behawioralne narzędzia biometryczne.

Biometria behawioralna
Biometria behawioralna

 

Oszust wykryty po nietypowych zachowaniach

Zwolennicy prywatności postrzegają narzędzia biometryczne jako problematyczne, dlatego chociażby, że niewiele firm ujawnia użytkownikom, kiedy i jak ich ruchy oraz gesty są śledzone. Prawnicy z fundacji Electronic Frontier uważają, że tylko niewielki mały krok dzieli wykorzystanie tego narzędzia do wykrywania oszustw od użycia go do zdobywania najbardziej prywatnych informacji o człowieku.

Royal Bank of Scotland, jeden z niewielu banków, który publicznie mówi o gromadzeniu danych biometrycznych, dwa lata temu rozpoczął testy technologii na prywatnych rachunkach bankowych dla zamożnych klientów. Obecnie rozszerza system na wszystkie 18,7 mln kont biznesowych i detalicznych. Kiedy więc klienci logują się na swoje konta w Royal Bank of Scotland, oprogramowanie zaczyna rejestrować ponad dwa tysiące różnych interaktywnych gestów. W telefonach mierzy kąt, pod jakim ludzie trzymają swoje urządzenia, identyfikuje palce, których używają do machania i stukania, oblicza nacisk, jaki wywierany jest na ekran, czy szybkość przewijania. Na komputerze rejestruje rytm naciśnięć klawiszy i sposób, w jaki porusza się myszką.

Szkocki bank korzysta z oprogramowania zaprojektowanego przez małą nowojorską firmę BioCatch. Mogła ona rozwinąć swój pomysł dzięki dostępności taniej mocy obliczeniowej oraz wyrafinowanym systemom czujników wbudowanych obecnie w większość smartfonów.

Dla każdego użytkownika tworzony jest profil ruchów i gestów. Zebrane dane są następnie porównywane z ruchami klienta po każdym zalogowaniu się na stronę banku. Jak zapewnia producent, system może wykrywać oszustów z 99-procentową dokładnością.

Przedstawiciele banku chętnie przytaczają pewną historię. W pewnym momencie oprogramowanie zaczęło odbierać nietypowe sygnały pochodzące z konta zamożnego klienta. Po zalogowaniu użytkownik korzystał z kółka przewijania myszy, czego klient o tym profilu nigdy wcześniej nie robił. Następnie wpisywano znaki na pasku numerycznym na górze klawiatury, a nie na bocznej podkładce numerycznej, której zazwyczaj używał klient. W konsekwencji zadziałał alarm. System bankowy zablokował środki finansowe na koncie - późniejsze dochodzenie wykazało, że rzeczywiście zostało ono zhakowane. Zastosowanie biometrycznego systemu zabezpieczeń zakończyło się więc sukcesem.

Alarm hakerski
Alarm hakerski

 

Udało się to jednak głównie dlatego, że ten przypadek był niezwykle rażący. Zazwyczaj zachowanie typowego użytkownika nie jest wcale tak bardzo powtarzalne, jak zwykło się sądzić. Ludzie korzystają z urządzeń inaczej, gdy są zmęczeni, chorzy, nietrzeźwi, rozpraszani przez otoczenie lub gdy się spieszą. Co więcej, sposób, w jaki piszemy w pracy czy szkole, jest odmienny od tego, który stosujemy, siedząc w domu na kanapie. Oprogramowanie do monitorowania zachowań potrzebuje więc tysięcy elementów, aby opierając się na prawdopodobieństwie rozpoznać, czy dana osoba jest tą, którą ma być. Zachowania użytkowników - czego nawet oni sami nie zauważają - różnią się od siebie w ogromnym stopniu, dlatego oszustowi tak trudno jest je podrobić. Z drugiej jednak strony, klienci nie wiedzą, że gdzieś tam w tle pracuje technika monitorowania, bo nie narzuca ona widocznych i drażniących wymogów, które zazwyczaj towarzyszą sprawdzianom w dziedzinie bezpieczeństwa. Nie trzeba naciskać kciukiem czytnika linii papilarnych telefonu, ani wpisywać kodu uwierzytelniającego.

Firmy nazywają to doświadczenie "niekłopotliwym". Strażnicy prywatności nazywają je niebezpiecznym.

Czytnik linii papilarnych
Czytnik linii papilarnych

 

Nie tylko bankowość

Systemy biometryczne są dziś w stanie nawet wykrywać schorzenia. Jeśli ręka kierowcy, który na nic się nie uskarżał, wpadnie w długotrwałe drżenie, firma ubezpieczająca jego samochód może uznać to za problem - zwłaszcza, jeśli jest nią bank, który wykrył niecodzienne zachowanie poprzez własne oprogramowanie zabezpieczające.

- Jest taki rodzaj danych, które zazwyczaj są szczególnie chronione, ale w tym przypadku o żadnej ochronie nie ma mowy - powiedziała „NYT” Pam Dixon, dyrektor wykonawczy World Privacy Forum. - Firmy używają tych systemów bez uprzedzenia.

W większości krajów nie istnieją żadne przepisy regulujące gromadzenie i wykorzystywanie danych biometrycznych. Banki i handlowcy czasami sami przechowują dane biometryczne swoich klientów, jednak w wielu przypadkach pozwalają na to zewnętrznym dostawcom rozwiązań, z którymi współpracują. To, zdaniem pani Dixon, znacznie zwiększa ryzyko nadużyć.

BioCatch stworzyło już profile ok. 70 mln osób i monitoruje sześć miliardów transakcji miesięcznie. Niektórzy konkurenci BioCatch mają jeszcze większe sieci. Forter, nowojorski startup, który sprzedaje online oprogramowanie do wykrywania oszustw, oparte na biometrii behawioralnej, twierdzi, że jego baza danych zawiera informacje o 175 mln ludzi z ponad 180 krajów. Ponad tuzin firm IT - począwszy od mikroprzedsiębiorstw, a skończywszy na gigantach takich jak IBM - wbudowało techniki biometrii behawioralnej w oprogramowanie zabezpieczające, które sprzedają firmom i bankom.

Biometria behawioralna zadomowiła się już w wielu dziedzinach lepiej, niż nam się wydaje. Weźmy np. znane internautom kody captcha. Najpierw trzeba było przepisywać literki, by potwierdzić, że nie jesteśmy robotem. Później - klikać w rysunek znaku drogowego czy samochodu. Dziś wystarczy zaznaczyć, że nie jesteśmy maszyną. Na pierwszy rzut oka może się to wydawać bez sensu - przecież robot bez trudu nauczy się klikać, że nie jest robotem. I właśnie tu wkracza biometria behawioralna. Google mierzy geometrię ruchu myszką albo sposób, w jaki dotykamy ekranu. Robot zrobi to szybko, automatycznie. Człowiek ma mniej pewną rękę.

Jak wynika z raportu Gartnera, opublikowanego w styczniu 2018 r., do roku 2022 biometria behawioralna zastąpi podawanie haseł. Jeśli jednak ktoś myśli, że rezygnacja z gadżetów i Internetu pozwoli nam żyć dalej spokojnie i prywatnie, to może być w błędzie.

Australijscy naukowcy opracowali niedawno prototyp ubrania, które wykorzystuje chód człowieka jako wzór uwierzytelniający. Oczywiście nie musimy tego ubrania nosić, ale świadomość, że właściwie dowolna aktywność człowieka może posłużyć do jego bezbłędnej identyfikacji, brzmi cokolwiek niepokojąco.