Qualquer parte do corpo cuja medida possa ser individualizada pode ser considerada como um atributo biométrico. Há inúmeras possibilidades de atributos biométricos que podem ser medidos, como: tamanho linear ou volumétrico, matiz, timbre, relação ou posicionamento entre outras partes, emanações eletromagnéticas ou de odores, etc.. Os atributos biométricos estão sempre conosco, pois é impossível esquecermos um dedo ou um olho, bem como são impossíveis de serem emprestados também. Portanto algo que é individual, que pode ser mensurável, não imprestável e que pode dizer quem é você, é um excelente elemento para uso nos processo que exigem identificação.
Por estes motivos e pela constante diminuição dos custos envolvidos na implantação dos leitores biométricos, este mercado tem crescendo ano após ano. Sendo pulverizado e acessível a qualquer pessoa, seja pela aquisição de um equipamento com leitor, ou como usuário de um sistema que necessite do controle biométrico para dar continuidade de suas atividades. É neste ponto que começa o problema. Será que realmente os riscos de acessos indevidos justificam a implantação de um sistema biométrico?
Muitos, olhando apenas para a segurança do sistema diriam que sim. Ora, custos baixos, fácil implementação, e bom aceite pelo usuário, por que não? Contudo, somente estão olhando os benefícios para a segurança de seus sistemas e se esquecendo dos riscos intrínsecos ao usuário. Explico: quanto maior a exposição dos atributos biométrico, sem critério, maior o risco de roubo ou comprometimento eterno da identidade.
Apesar disso continuamos cadastrando dedos em aeroportos, como os indicadores nos postos de fronteiras dos Estados Unidos e no Japão. A geometria da mão nos parques da Disney. De janeiro de 2006 a julho de 2007 mais de 100.000 pessoas que entraram na Inglaterra pelo Aeroporto de Heathrow deixaram registrados seus dados biométricos da Iris de pelo menos um dos olhos. O departamento de Homeland dos Estados Unidos esta expandindo a leitura e guarda de informações biométricas dos 10 dedos! Academias de ginástica e até danceterias em São Paulo já armazenam a geometria da mão como passe de entrada ou comanda digital (literalmente). Alguns notebooks, pendrives e celulares somente funcionam com a impressão digital do dono. Os mais inovadores reconhecem a face do usuário. Algumas câmeras fotográficas diferenciam rostos do resto da imagem, efetuando a correta fotometria e foco. Os bancos também estão investindo nesta tecnologia, instalando biométricos leitores de íris, e de veias da palma da mão. Neste ponto, volto ao risco da exposição.
Quando a utilização de atributos biométricos estão vinculados ao acesso à informações bancárias ou acesso a outros países, o roubo deste atributo poderá trazer grandes problemas ao dono. Sabemos que sistemas financeiros primam pela segurança da informação de seus clientes, de igual modo imaginamos que sistemas de proteção anti-terrorismo adotados por diversos paises na triagem de acesso de passageiros, também tenham um alto nível de proteção. Mas e quanto a academia ou a danceteria que freqüentamos? Ou o pendrive, celulares e notebook que portamos e que às vezes deixamos desatendidos, passíveis de serem roubados? Será que o nível de proteção dos dados biométricos nestes lugares ou equipamentos garante igual proteção dada pelos sistemas financeiros e migratórios?
Noticiários recentes informam sobre a quantidade de documentos eletrônicos como, relatórios, planilhas e até base de dados, que são esquecidos em lugares públicos, ou estavam armazenados em equipamentos roubados e sem a devida criptografia, ou foram remetidos para destinatários errados, ou se perderam nos correios. No Brasil até dados privativos sobre a renda de algumas pessoas podem ser encontrados a venda por camelôs. E, no entanto cadastramos o mesmo atributo biométrico para uso financeiro e acesso a danceteria ou para acionamento de equipamentos portáteis, e mais recentemente para abrir nossa própria casa, graças às fechaduras biométricas, onde o nível de segurança pode ser tão baixo, que bastou uma xerox da impressão digital do dono para enganá-la (ver Mythbuster episódio 56 Crimes and Myth-demeanors 2).
Algumas empresas e escola já estão colocando biométricos para verificar a legitimidade do acesso. O grande vencedor tem sido os leitores de impressão digital, com pequenas variações quanto ao modo de leitura, mas com algoritmos similares. Já é possível fraudar as minutiae (conjunto de detalhes das impressões digitais), com um tipo de gel, ou, como já citado, por "Xérox". Um colega conseguiu que um leitor identificasse uma impressão digital, apenas soprando ar úmido e quente (literalmente no bafo), sobre a marca deixada anteriormente por um usuário no vidro de leitura. Lógico que normalmente em sistemas 1 para 1 há de ter outro fator de autenticação como um Pin (token), mas se fosse um sistema 1 para N, este colega teria ganhado o acesso.
Outro fator é que por ser um algoritmo matemático que transforma o que foi lido em digital, e como nem sempre posicionamos os atributos biométricos no leitor exatamente igual quando foi armazenado no cadastramento, é adicionado neste algoritmo um fator de proximidade permitida. Se extremamente rígido, o fator será alto e apenas autenticará leituras extremamente parecidas com o original, ou com um índice de percentual de igualdade alto. O contrário também é verdadeiro, portanto fatores de proximidade baixos permitiram uma maior possibilidade de autenticação de atributos similares ao original. No primeiro caso poderão ocorrer os falsos negativos, quando o acesso é negado a quem deveria ter o acesso. Já no segundo caso, poderá ocorrer o falso positivo, permitindo acesso a quem não devia.
Portanto a possibilidade de comprometimento de um atributo biométrico aumenta cada vez nos cadastramos em novos sistemas, pois desconhecemos os fatores aceitáveis de proximidade e de armazenamento da informação biométrica. Parafraseando o conselho para uso de cartões de crédito na Internet: Somente utilize o atributo biométrico em locais que primam pela segurança de seus dados. Outro conselho é solicite a política de privacidade da empresa, leia-oe veja suas garantias. Tenha sempre em mente, que a quantidade de atributos biométricos é finita e, portanto sua preservação é mais importante que tudo aquilo que você sabe, ou que você tenha.
0 comentários:
Postar um comentário