Ενημέρωση  »   Άρθρα   »  [arcl-0009]

Η ΑΣΦΑΛΕΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ
Βιομετρική

   Ένα σύστημα που βασίζεται στη βιομετρική "μαθαίνει" την προσωπικότητα του χρήστη ενός υπολογιστή, αυξάνοντας έτσι την ασφάλεια αναγνώρισής του σε περιβάλλοντα δικτύου.

   Όσοι έχουν ασχοληθεί έστω και λίγο με τα βιβλία του William Gibson θα αναγνωρίσουν τον cowboy, τον πειρατή δεδομένων. Οπωσδήποτε πρόκειται για επιστημονική φαντασία, αλλά ο πραγματικός κόσμος περιλαμβάνει κι αυτός φιγούρες cowboys: Είναι οι άνθρωποι οι γνωστοί ως hackers, των οποίων η διείσδυση σε προστατευμένα δεδομένα που βρίσκονται σε ψηφιακή μορφή σε δίκτυα υπολογιστών μοιάζει πολύ με το φανταστικό κόσμο του Gibson. Τα τελευταία χρόνια το φαινόμενο πήρε ανησυχητικές διαστάσεις, με αποτέλεσμα διεθνείς αλλά και στρατιωτικοί οργανισμοί να υποστούν σοβαρές βλάβες.


   Η ασφάλεια λοιπόν της πληροφορίας, ακόμα και της προσωπικής (ατομικά στοιχεία, τραπεζικοί λογαριασμοί κλπ), έχει αναδειχτεί σε μείζον θέμα. Το "ερώτημα του ενός εκατομμυρίου δολαρίων", όπως λένε οι Αμερικάνοι, είναι πως θα αποτρέψουμε ή τουλάχιστον θα ελαχιστοποιήσουμε την απώλεια των πληροφοριών που μας αφορούν και βρίσκονται αποθηκευμένες σε δίκτυα υπολογιστών. Κατά την περασμένη δεκαετία προτάθηκαν διάφορες λύσεις που όμως δεν ανταποκρίθηκαν στο δύσκολο ρόλο τους. Οι εν λόγω λύσεις αποτελούσαν τα πρότυπα διάφορων οργανισμών, μερικές δε από εκείνες ήταν:


1 Το πρότυπο Bell -Lapadula.
2 Το πρότυπο Bida.
3. Το μοντέλο Graham - Denning (GD).


   Όλες οι προσπάθειες έπεσαν στο κενό γιατί, όπως είπε πολύ σωστά ένας φιλόσοφος της Αναγέννησης: "ό,τι δημιουργείται από ανθρώπινο χέρι μπορεί να καταστραφεί από ανθρώπινο χέρι". Γι' αυτό οι επιστήμονες έστρεψαν τις προσπάθειές τους στη σοφία της φύσης, κι έτσι δημιουργήθηκε ο νέος κλάδος της βιομετρικής.


   Βιομετρική είναι η τεχνική-μέθοδος που μας επιτρέπει να αναγνωρίζουμε ένα άτομο από τα ιδιαίτερα ψυχοσωματικά του χαρακτηριστικά. Ως βιομετρική μπορεί να αναφερθεί η αναγνώριση ατόμων από τα δακτυλικά αποτυπώματα ή, κάτι ακόμα πιο σύγχρονο, τη χρήση της ίριδας του ματιού (η ίριδα του ματιού είναι διαφορετική για κάθε άτομο). Οι τεχνικές αυτές ήδη χρησιμοποιούνται π.χ. από τα εγκληματολογικά τμήματα ή για τη φυσική πρόσβαση σε εργαστήρια. Όμως που χρησιμεύει η βιομετρική στην επιστήμη των υπολογιστών;


   Η βασική ιδέα ήταν να βρεθεί ένας τρόπος επικύρωσης της αυθεντικότητας του χρήστη με ελάχιστο κόστος τόσο για τον χρήστη όσο και για το σύστημα. Σκεφτείτε, για παράδειγμα την περίπτωση, κάθε φορά που κάποιος θα συνδεόταν σε ένα σύστημα να του γινόταν αιματολογική-DNA εξέταση - κάτι που θα συνιστούσε τέλεια λύση για την ασφάλεια του συστήματος, σίγουρα όμως θα προκαλούσε πολλά προβλήματα στους χρήστες!


   To 1996, μια πρωτοποριακή μελέτη που έγινε στο πανεπιστήμιο Royal Holloway πρότεινε μια νέα μέθοδο βιομετρικής, η οποία ονομάστηκε "USER AUTHENTICATION WITH TYPING DYNAMICS". Η αρχή αυτής της μεθόδου έγκειται στο ότι κάθε χρήστης αντιμετωπίζει διαφορετικά το πληκτρολόγιο ως προς τον τρόπο με τον οποίο γράφει και συντάσσει προτάσεις. Βέβαια, επειδή ακόμα στα πληροφοριακά συστήματα δεν μπορεί να ελέγχεται ο δυναμικός γραφικός χαρακτήρας (πίεση στα διάφορα σημεία γραφής, μορφή γραμμάτων κ.ά.), πρέπει να χρησιμοποιηθεί ως βάση αναφοράς η συχνότητα γραφής των λέξεων. Ο ιδιαίτερος τρόπος με τον οποίο πληκτρολογούμε, που θα μπορούσε να ονομαστεί και "αποτύπωμα", οφείλεται βασικά σε δυο παράγοντες: την εμπειρία μας ως χρήστες και την ιδιαίτερη ψυχοσωματική σύνθεσή μας.


   O τρόπος λειτουργίας είναι απλός και ακολουθεί προκαθορισμένα βήματα. Στην αρχή το δίκτυο δέχεται κάποιον χρήστη, ο οποίος πληκτρολογεί ένα κείμενο και το δίκτυο ''εκπαιδεύεται'' σε αυτό. Η περίοδος αυτή ονομάζεται περίοδος προσαρμογής και η διάρκειά της κυμαίνεται από 2 έως 4 εβδομάδες, ανάλογα με τη συχνότητα πρόσβασης του δικτύου από το χρήστη. Δημιουργείται δηλαδή μία βάση γνώσης, που περιέχει τα ιδιαίτερα χαρακτηριστικά των χρηστών. Όταν λοιπόν ο χρήστης, αφού περάσει η περίοδος προσαρμογής του συστήματος σε αυτόν, συνδεθεί με το σύστημα και δώσει έναν κωδικό για επαλήθευση της ταυτότητάς του (μπορεί και εδώ να χρησιμοποιηθεί η τεχνική της αναγνώρισης), το σύστημα ελέγχει εάν πληκτρολογεί / εκτελεί τις διάφορες εντολές που ανήκουν στη ρουτίνα της δουλειάς του σύμφωνα με τα στοιχεία που έχει γι' αυτόν στη βάση γνώσης. Εάν όχι τότε του ζητά έναν άλλο κωδικό ή τον αποσυνδέει. Το μεγάλο κέρδος από τη χρήση βιομετρικών μεθόδων στην ασφάλεια πληροφοριακών συστημάτων είναι το ότι παρέχεται ένας σχεδόν τέλειος τρόπος αναγνώρισης νόμιμων χρηστών. Πλέον η αποστολή των hackers θα είναι σαφώς δυσκολότερη γιατί θα πρέπει να βρουν τρόπους: 1) να ανακτήσουν την πληροφορία που αφορά σε κάποια άτομα από τη βάση γνώσης και 2) να ξεγελάσουν το σύστημα προσποιούμενοι το συγκεκριμένο άτομο, κάτι από δύσκολο έως αδύνατο. Η διαφορά των βιομετρικών μεθόδων από τις κλασικές μεθόδους ασφάλειας (πρωτόκολλα σύνδεσης σε δίκτυα, πρότυπα, συνθηματικά κτλ) είναι οτι παρέχουν τέλεια ταύτιση με το άτομο. Για παράδειγμα, τα συνθηματικά είναι κάτι που ένας χρήστης κατέχει, που του έχουν δοθεί από τους διαχειριστές του δικτύου. Είναι δηλαδή πληροφορία που μπορεί να μεταδοθεί σε τρίτους. Η καινούρια προσέγγιση όμως ορίζει ως "σύνθημα'' -κλειδί το σώμα του ατόμου, που, επειδή είναι μοναδικό και χαοτικά πολύπλοκο, δεν μπορεί να αντιγραφεί. Η βιομετρική, όπως κάθε καινούρια θεωρία, έχει τους πολεμίους της, τα δε επιχειρήματά τους είναι αρκετά ισχυρά αν και στηρίζονται σε μη επιστημονικές βάσεις. Θεωρούν ότι με την απόσπαση πληροφοριών με τη βιομετρική παραβιάζεται η προσωπική ελευθερία και το απόρρητο της ιδιωτικής ζωής. Ακόμα υποστηρίζουν ότι η συγκεκριμένη πληροφορία σε λάθος χέρια μπορεί να αποβεί καταστροφική για το άτομο. Η τελευταία άποψη είναι αρκετά βάσιμη, γιατί, αν για παράδειγμα κάποιος γνωρίζει τη βιομετρική πληροφορία για ένα άτομο και ξέρει τον τρόπο να τη χρησιμοποιήσει για να ξεγελάσει ένα σύστημα, τότε θα έχει σχεδόν αυτόματα πρόσβαση σε όλα τα δίκτυα όπου είναι συνδεδεμένος ο χρήστης.


   Βέβαια η επιστημονική κοινότητα, ενήμερη για αυτά τα προβλήματα, ήδη μελετά λύσεις που σχεδόν θα εξαλείψουν την πιθανότητα κακοδιαχείρισης της βιομετρικής πληροφορίας. Μία πρόταση είναι η συνδυασμένη μέθοδος ασφάλειας με παράλληλη χρήση βιομετρικών πληροφοριών και συμβατικών μεθόδων, όπως συνθηματικά, πρωτόκολλα διασύνδεσης κ.ά. Μία άλλη πρόταση αφορά στη χρήση μίας έξυπνης κάρτας που θα περιέχει τη βιομετρική πληροφορία, την οποία ο χρήστης θα χρησιμοποιεί για να μπει στο σύστημα. Η προσέγγιση αυτή μειώνει τον κίνδυνο να περιέχεται η βιομετρική πληροφορία σε πάρα πολλά συστήματα και άρα να βρίσκεται εκτεθειμένη.


   Σύντομα θα εμφανιστούν στην αγορά τα πρώτα προγράμματα που θα επιτελούν ακριβώς αυτή τη διαδικασία (θα έχουν τη μορφή προγραμμάτων υποστήριξης δικτύου, ασφάλειας βάσεων δεδομένων κ.ά.). Ασφαλώς δεν θα εξαλείψουν το φαινόμενο της hi-tech εγκληματικότητας, αλλά σίγουρα θα κάνουν τη ζωή (και τα δεδομένα μας) πιο ασφαλή. Σίγουρα σε κανέναν δεν θα άρεσε να μάθει οποιοσδήποτε τον τραπεζικό λογαριασμό του ή -έστω- να χρησιμοποιούν άλλοι το χρόνο που διαθέτει σε κάποιον internet provider. Τα ιδιωτικά δεδομένα κάθε ατόμου είναι ιερά και πρέπει να μένουν απροσπέλαστα από αδιάκριτα μάτια.

Περιεχόμενα