Kaspersky Lab Media Alert Sistemas Biométricos

Kaspersky Lab alerta para os problemas nos
sistemas de verificação biométricos
Lisboa, 11 de Outubro de 2013

Quando falamos de plataformas móveis, em meios externos instáveis, a luz e a
vibração aumentam a margem de erro e, por este motivo, o reconhecimento
facial do Android, por exemplo, falha em 30 ou 40% dos casos

Os sistemas biométricos utilizam modelos que podem ser reconstruídos para
imitar a amostra original
Todos os dias, milhões de equipamentos enfrentam e resolvem o mesmo problema: verificar
se somos quem afirmamos ser. A ferramenta mais utilizada para o fazer é a password. Não
obstante, este é um método muito susceptível a roubos ou esquecimentos. Devido aos
problemas surgidos com as chaves de acesso, tornou-se imprescindível desenvolver outros
sistemas para verificar a identidade dos utilizadores.
Uma destas vias alternativas é a verificação biométrica, que pode utilizar as nossas
impressões digitais ou a nossa voz, e sobre a qual se tem falado muito nas últimas semanas
depois do incidente da Apple com seu sistema de segurança biométrico Touch ID. De
acordo com os analistas da Kaspersky Lab, existe um grande problema: as técnicas
biométricas bem desenvolvidas precisam de ferramentas muito complexas e têm um
custo muito elevado.
Perigo! Estranhos à vista
A maior diferença entre um sistema ordinário de passwords e um sistema biométrico é que a
amostra original e a amostra a verificar nunca coincidem na perfeição. Não se podem obter
duas impressões digitais totalmente idênticas do mesmo dedo e a situação piora se usarmos
o rosto humano. Os traços faciais dependem da luz, da hora do dia, da presença ou
ausência de maquilhagem e, evidentemente, da idade. A voz, por sua vez, também é
afectada por múltiplos factores, como por exemplo uma simples constipação. Tendo em
conta estas condições, é realmente difícil desenvolver um sistema que permita o acesso
indiscutível ao legítimo utilizador, negando-o, por sua vez, aos estranhos.
Para resolver o problema, os sistemas biométricos tentam limpar as amostras digitalizadas
de qualquer elemento que interfira no processo de verificação, utilizando só as
características facilmente reconhecíveis. No entanto, este modelo deve coincidir com o
original de acordo com parâmetros matemáticos. Para um sistema de segurança médio,
assume-se como normal uma margem de erro de um acesso indevido por cada 10.000
tentativas de acesso e o bloqueio de um utilizador legítimo por cada 50 casos.
Quando falamos de plataformas móveis, em meios externos instáveis, a luz e a
vibração aumentam a margem de erro e, por este motivo, o reconhecimento facial do
Android, por exemplo, falha em 30 ou 40% dos casos.
Uma password para toda a vida
Se nos esquecermos ou nos for roubada uma password podemos sempre mudá-la. Se
perdermos as chaves de casa, podemos mudar a fechadura. Mas o que podemos fazer se
a nossa conta bancária utilizar a palma da mão como chave de acesso e alguém
roubar a base de dados que contém estas impressões?
As impressões digitais não podem ser mudadas. No entanto, este problema pode ser
resolvido, parcialmente, com as restantes impressões digitais. A má notícia é que os
sistemas biométricos utilizam modelos que podem ser reconstruídos para imitar a
amostra original.
Estes mecanismos têm alguns problemas de privacidade. As “senhas” biométricas
identificam o utilizador como o proprietário legítimo, tornando impossível que a
mesma pessoa tenha duas contas diferentes na mesma plataforma online. Além disso,
ainda que cada indivíduo tenha milhares de traços indistinguíveis, graças à ajuda do Geo-IP
e de outros meta-dados, é possível criar um perfil de utilizador único para cada pessoa. Se
alguém conseguir implementar este sistema em cada serviço web, então será muito fácil
rastrear a actividade online dos utilizadores.
Biometria na vida real
Deixando de lado os filmes de ficção científica e a investigação militar, para a Kaspersky
Lab existem dois casos em que nos deparamos com sistemas biométricos na vida real.
Algumas entidades bancárias estão a realizar provas com digitalizadores que analisam as
palmas das mãos em caixas automáticos (ATM) ou a voz nos serviços móveis. Outro
exemplo verídico são os leitores instalados nos dispositivos electrónicos como
computadores ou smartphones. A câmara frontal pode ser usada para a verificação facial,
um sensor pode reconhecer as impressões digitais ou inclusive podem-se utilizar os
altifalantes para o reconhecimento de voz.
Os sistemas de reconhecimento facial nem sempre conseguem distinguir um rosto real de
uma foto. Por outro lado, quando usamos um mecanismo destas características no nosso
dispositivo móvel, este é realmente exigente com as condições de luminosidade e com o
meio envolvente em general, de modo que não será necessário configurar sistemas
adicionais.
A maioria de programadores de sistemas de verificação de voz afirma que estes são
capazes de detectar vozes falsas, gravações, etc. Na verdade, alguns investigadores
afirmam que um software de alteração de voz pode enganar estes sistemas em 17% dos
casos. Além disso, os ataques man-in-the-middle são especialmente perigosos para os
sistemas de voz, porque é mais fácil obter uma amostra de voz que de outra parte do corpo.
Tanto os problemas práticos como os riscos em segurança têm impedido que os sistemas
de verificação biométricos substituam massivamente as passwords tradicionais ou os tokens
electrónicos. Uma verificação de identidade biométrica, hoje em dia, só é possível em certas
condições muito controladas como os serviços alfandegários nos aeroportos ou os postos
de controlo de um edifício, não funcionando com qualidade garantida noutras condições,
como através de smartphones por exemplo.
Links de utilidade:
http://newsroom.kaspersky.eu/pt/home/
Sobre a Kaspersky Lab
Kaspersky Lab é a maior empresa privada de soluções de segurança endpoint do mundo. A companhia está
entre os 4 maiores fabricantes de soluções de segurança endpoint do mundo*. Ao longo dos seus mais de 15
anos de história, a Kaspersky Lab continuou sempre a inovar em segurança TI e oferece soluções de segurança
eficazes para grandes empresas, PMES e consumidores. Actualmente, a Kaspersky Lab opera em quase 200
países e territórios de todo mundo, oferecendo protecção a mais de 300 milhões de utilizadores. Mais informação
em www.kaspersky.pt.
A empresa situa-se na quarta posição do Ranking Mundial de Fabricantes de Segurança Endpoint (por receitas) da IDC em
2011. Esta classificação foi publicada no relatório de IDC "Worldwide Endpoint Security 2012–2016 Forecast and 2011 Vendor
Shares (IDC #235930, July 2012)”. O relatório classifica os fabricantes de software de acordo com as receitas obtidas com a
venda de soluções de segurança endpoint em 2011.
Para mais informação, contactar:
LANÇA PALAVRA
Ana Paula
Tel. +351 243107197
Mov: +351 962543653
E-mail: [email protected]
KasperskyLab Iberia
Vanessa González
Directora de Comunicação
Tel. +34 91 398 37 52
E-mail [email protected]
© A informação contida no presente comunicado pode ser modificada sem aviso prévio. As únicas garantias dos produtos e
serviços da Kaspersky Lab ficam estabelecidos doravante nas declarações de garantia expressa que acompanham esses
produtos e serviços. Nenhum dos conteúdos da presente poderá ser interpretado como garantia adicional. A Kaspersky Lab não
se responsabiliza pelos erros técnicos ou editoriais ou omissões presentes no texto.