В Минцифры подготовили проект постановления правительства, в котором определяются механизмы идентификации клиентов российскими хостерами — предоставляющие услуги размещения оборудования, данных и веб-сайтов компании будут обязываются проводить данную процедуру с 1 декабря 2023 года.

Источник изображения: Pete Linforth / pixabay.com

Идентификация клиентов хостинговых компаний сможет проводиться четырьмя способами, гласит документ на «Федеральном портале проектов нормативных правовых актов»: при помощи «Госуслуг» и Единой биометрической системы, усиленной квалифицированной электронной подписи (УКЭП), переводом средств из банка в России или другой стране ЕАЭС, а также личной явкой с документами. Для физического лица это может быть паспорт или иной удостоверяющий личность документ; для ИП — паспорт и выписка из ЕГРИП; для представителя юрлица — выписка из ЕГРЮЛ и документ, подтверждающий полномочия на заключение договора.

Компании, оказывающие услуги хостинга, подлежат госрегулированию на основании поправок к федеральным законам «О связи» и «Об информации», которые 31 июля подписал президент страны. Новые нормы предписывают хостерам сотрудничать с силовыми ведомствами и Роскомнадзором, а Роскомнадзор должен вести реестр хостинговых компаний, попадание в который является необходимым для осуществления этой деятельности в России. Работающим в России сайтам новые редакции законов не позволяют регистрировать новых пользователей без российских номера телефона или адреса электронной почты.

Конфиденциальность в условиях метавселенной может оказаться невозможной без мер безопасности нового поколения, гласят результаты исследования, проведённого учёными Калифорнийского университета в Беркли.

Источник изображения: Gerd Altmann / pixabay.com

Самым удивительным аспектом исследования стал тот факт, что для идентификации пользователя в виртуальном пространстве требуется чрезвычайно малый объём данных, поэтому настоящая анонимность в метавселенной может быть вообще исключена. Современные гарнитуры виртуальной реальности оборудуются многочисленными камерами, микрофонами и сенсорами, собирающими различные данные: черты лица пользователя, тембр голоса, движения глаз, а также окружающие его объекты в доме или офисе. В перспективе допускается даже установка ЭЭГ-сенсоров, считывающих показатели активности мозга через кожу головы. И даже если удалить весь этот комплект, анонимность обеспечить всё равно не получится — для идентификации человека достаточно проанализировать простые данные о его движении.

Под «простыми данными» подразумеваются движения трёх базовых точек, отслеживаемых гарнитурами виртуальной реальности: одной на голове и двух на руках пользователя — это минимальный набор данных, необходимых для работы в виртуальной среде. Учёные из Беркли проанализировали 2,5 млн анонимных записей от более чем 50 тыс. пользователей VR-приложения Beat Saber и обнаружили, что для идентификации человека с точностью 94 % необходимы данные о его движении, которые записывались всего 100 секунд. При этом половину пользователей можно было идентифицировать по 2-секундному фрагменту данных. Исследование потребовало работы алгоритмов искусственного интеллекта, но нужно учесть, что данные были крайне скудными — 2 секунды движения всего трёх точек.

Источник изображения: dlohner / pixabay.com

Это представляет серьёзную угрозу конфиденциальности пользователей — в исходом виде анонимность в метавселенной оказывается невозможной. Помимо идентификации личности, этих же скудных данных достаточно, чтобы определить конкретную информацию о человеке: рост, пол и преобладающую руку. А в сочетании с данными других датчиков идентификация может быть ещё более точной. Если человек подключается к метавселенной и посещает виртуальный мебельный магазин, он с большой вероятностью будет производить простые движения: брать виртуальные предметы с виртуальных полок или отступать на несколько шагов, чтобы увидеть, как они смотрятся. Учёные Беркли подчёркивают, что все эти повседневные движения уникальны для каждого человека так же, как и его отпечатки пальцев.

Защитить же конфиденциальность пользователей в метавселенной будет намного сложнее. В качестве одного из вариантов исследователи предлагают передачу данных с сенсоров на промежуточные ресурсы, которые будут их искажать. Но это означает появление информационного шума, снижение точности гарнитур виртуальной реальности и потерю удовольствия от игры, в которой требуются физические навыки. Есть и альтернативный вариант — ввести отраслевые нормативы, запрещающие платформам метавселенной хранить и анализировать данные о движениях человека. Такие нормативы будут призваны защитить общественность, но исполнение подобных требований будет непросто обеспечить — отрасль обязательно будет им противостоять. Хотя если потребители не будут чувствовать себя в безопасности в метавселенной, то сделать виртуальные пространства важной частью повседневной жизни человека будет затруднительно.

Apple отказалась от использования сканера отпечатков Touch ID во флагманских смартфонах, начиная с iPhone X в 2017 году, заменив его на биометрическую систему распознавания по лицу Face ID. После этого в Сети периодически появлялись слухи о намерении компании вернуть Touch ID в свои смартфоны. Как полагает обозреватель Bloomberg Марк Гурман (Mark Gurman), это вряд ли произойдёт.

Источник изображения: 9to5mac.com

В свежем выпуске своей рассылки Power On Гурман рассказал, что Apple протестировала различные варианты размещения датчика Touch ID, включая установку под экраном или в кнопке питания, подобно планшетам iPad Air и iPad mini. Вместе с тем несмотря на проведённое тестирование, журналист считает маловероятной возможность использования одного из этих вариантов в смартфонах Apple «по крайней мере, в обозримом будущем».

«Последние несколько лет в Apple велись дискуссии о возвращении Touch ID в high-end модели iPhone. Компания протестировала Touch ID, встроенный в экран, и даже подумывала о том, чтобы разместить его на кнопке питания. На данный момент я считаю, что Face ID никуда не денется, а Touch ID не вернётся на флагманские iPhone — по крайней мере, в обозримом будущем», — сообщил Гурман в своём бюллетене.

Гурман допустил, что Apple могла бы встроить датчик Touch ID в кнопку питания на младших моделях iPhone, таких, как iPhone SE. Вместе с тем он отметил, что «ничего не слышал об этом на самом деле».

Полиция и другие правоохранительные органы США нашли недорогой инструмент, позволяющий отслеживать мобильные устройства даже в населённых пунктах с населением менее 100 тыс. человек, сообщают Associated Press (AP) и правозащитная организация Electronic Frontier Foundation (EFF). Речь идёт о системе под названием Fog Reveal.

Источник изображения: Gerd Altmann / pixabay.com

Американские власти пользуются системой Fog Reveal по крайней мере с 2018 года, применяя ресурс для расследования преимущественно тяжких преступлений, таких как убийства и массовые беспорядки в Капитолии. Систему разработала компания Fog Data Science из американской Вирджинии — согласно местным законам, его использование допускается без ордера, а результаты поступают мгновенно. Обычно для выявления местоположения мобильного устройства требуется ордер и обращение в Apple или Google, и ответа в некоторых случаях приходится дожидаться неделями.

Для отслеживания геопозиции гаджетов Fog Reveal обращается к рекламным идентификационным номерам, уникальным для каждого мобильного устройства. Данные в систему поступают от агрегаторов, которые получают их из приложений, предоставляющих таргетированную рекламу, например, от клиентов Waze и Starbucks. При этом сеть кофеен и принадлежащая Google служба предсказуемо отрицают, что давали своим партнёрам явное согласие на обмен данными с Fog Reveal.

Источник изображения: Bruce Emmerling / pixabay.com

Информацию о сервисе получили сотрудники EFF, которые впоследствии передали материалы AP. Правозащитники описывают инструмент как «своего рода бюджетную программу массового слежения» — лицензия стоит от $7500 в год, и некоторые ведомства покупают одну на несколько отделов, чтобы сэкономить. Журналисты AP установили, что компания Fog продала около сорока лицензий двум десяткам правительственных агентств, сотрудники которых, в свою очередь, составили несколько сотен поисковых запросов в базе из 250 млн устройств.

Данные в базе сервиса анонимизированы, однако следственные органы всегда имеют возможность провести анализ информации и воссоздать «модель жизни» человека. Создатель сервиса предоставляет архив геопозиции по каждому объекту за последние 180 дней, хотя управляющий партнёр компании Fog Мэтью Бродерик (Matthew Broderick) признал, что технически доступна ретроспектива «на три года назад».

В течение последних лет американские власти применяли Fog Reveal с разной степенью успеха. Прокурор округа Вашингтон (шт. Арканзас) Кевин Меткаф (Kevin Metcalf) признал, что использовал систему в обстоятельствах, когда в отсутствие ордера нужно было действовать быстро: например, при расследовании убийств или поиске пропавших детей. «Думаю, людям придётся принять решение, хотим ли мы всех этих бесплатных технологий, хотим ли всей этой халявы, хотим ли всех этих селфи. Но мы не можем пользоваться ими и в то же время говорить: „Я лицо приватное, и вам вот это всё смотреть нельзя”», — заключил господин Меткаф.

Технологии распознавания лиц неплохо проявляют себя при выявлении нужных людей в толпе, однако старение человека значительно усложняет для них задачу — в отдельных случаях она становится непосильной. При отсутствии новых снимков человека достаточно всего пяти лет, чтобы серьёзно воспрепятствовать работе системы лицевой идентификации.

Источник изображения: Tumisu / pixabay.com

К неутешительным для современных решений выводам пришла группа учёных из Норвежского университета естественных и технических наук (NTNU), возглавляемая кандидатом наук Марселем Гриммером (Marcel Grimmer). При помощи алгоритма искусственного интеллекта сгенерировали 50 000 человеческих лиц и искусственно их состарили, чтобы посмотреть, как справятся с этой задачей системы лицевой идентификации.

Создатели коммерческих систем распознавания лиц не раскрывают принципов работы своих алгоритмов, поэтому в качестве испытуемых были выбраны решения с открытым исходным кодом. В ходе тестирования исследователи обнаружили, что по мере увеличения возраста образцов точность срабатывания систем понижалась, а по достижении пятилетней разницы между образцом и сверяемым с ним изображением начинались заметные сбои. По достижении 20-летнего порога шансы на положительный результат становились чрезвычайно малыми.

Важным аспектом оказывался возраст образцов: системам было труднее справляться с лицами людей до 20 или старше 60 лет — в эти периоды возрастные изменения происходят быстрее. Господин Гриммер пояснил, что лица младенцев сильно меняются даже за два месяца — можно делать снимок ребёнка каждый месяц, и гарантии результата всё равно не будет. Небольшие изменения в лице отмечаются до 20 лет. Аналогичные процессы начинаются и после 60 лет: «снова меняется форма головы, и появляются более выраженные морщины», а значит, снижается и доля положительных срабатываний.

Самое простое решение для поддержки штатной работы систем лицевой идентификации — регулярно обновлять образцы снимков. Впрочем, это зависит от конкретной задачи, и если речь идёт о конфиденциальности, возрастные изменения могут оказаться естественной формой защиты от вторжения в частную жизнь.

В процессе передачи российскими банками биометрии клиентов в Единую биометрическую систему (ЕБС) выявился целый ряд проблем, главная из которых связана с Библиотекой контроля качества (БКК), пишет «Коммерсантъ». Как сообщают источники газеты, текущая версия БКК, служащая в качестве фильтра для приёма данных, пропускает лишь 10–30 % предоставленной банками биометрии.

Источник изображения: Pixabay

По словам замруководителя НСФР Александра Наумова, основная проблема при переносе в ЕБС биометрических данных, собранных банками, заключается в том, что стандарты качества этих данных не совпадают.

Различаются и типы собираемых показателей. Если в ЕБС аккумулируются фотографии и образцы голоса, то в коммерческих биометрических системах (КБС) могут использоваться отпечатки пальцев, снимки сетчатки глаза, рисунка вен ладони и т. д. По оценке Александра Наумова, в лучшем случае в ЕБС может попасть только около 10 % образцов из КБС. Это составляет лишь 4–5 млн слепков, если исходить из сведений источника «Коммерсанта» на рынке биометрии, утверждающего, что в КБС банков насчитывается 60–70 млн слепков лица, из которых уникальны 40–50 млн образцов. Голосовой биометрии гораздо меньше — порядка 10–20 млн слепков.

Участники рынка предложили поправки в профильный закон с целью отложить передачу данных на 2023 год с сентября нынешнего года. По словам источника «Коммерсанта», реальный экспорт образцов из банков может начаться в лучшем случае через четыре–шесть месяцев или даже ещё позже.

Ресурс «Коммерсантъ» сообщил о планах Центробанка вменить в обязанность банкам регистрировать новых клиентов в приложениях с идентификацией через единую биометрическую систему (ЕБС).

Согласно опубликованному на сайте Центробанка проекту указания «О критерии для мобильных приложений банков с универсальной лицензией…», нарушителям приказа грозит запрет выдавать в приложениях кредиты и открывать клиентам вклады.

В пояснительной записке к документу указано, что замечания к нему принимаются до 28 июля, и что он вступит в силу спустя 10 дней после опубликования.

В настоящее время, как сообщили участники рынка, через мобильные приложения оформляются основная часть вкладов и заметная доля кредитов. Регистрация производится с помощью банковской карты. По их мнению, эта идея актуальна для новых клиентов, хотя банкам всё же придётся добавить в мобильные приложения идентификацию по ЕБС, чтобы сохранить возможность проводить через них основные операции с физлицами. На это кредитным учреждениям понадобится 10–15 млн руб., говорит исполнительный директор «Национальной платежной ассоциации» Мария Михайлова. Но главная проблема заключается в том, что люди неохотно сдают биометрию, и новыми сервисами это не исправить.

По данным Банка России, в ЕБС зарегистрировано всего 236,4 тыс. пользователей, в то время как в собственных биометрических базах банков их насчитывается миллионы.

Согласно недавно принятому закону, банки могут передавать в ЕБС свои биометрические базы данных без согласия клиентов. Но это проблему не решает, так как банки при сборе данных предъявляли требования на порядок ниже, чем указаны в ЕБС. А этого недостаточно для выдачи таких высокорисковых операций, как кредиты и операции с депозитами.

Руководитель «Национального платёжного совета» Алма Обаева считает, что предложенный Центробанком способ пополнения ЕБС «выглядит немного насильственным». Она предположила, что «государству очень надо, чтобы граждане сдали свои биометрические данные».

Государственная дума Российской Федерации приняла в третьем чтении законопроект, который позволяет финансовым организациям передавать в Единую биометрическую систему (ЕБС) персональные данные россиян без их согласия.

Источник изображений: pixabay.com

Отмечается, что нововведение нацелено на обеспечение возможности использования технологии биометрической идентификации и аутентификации максимальным количеством организаций.

Несмотря на то, что биометрические данные могут направляться в ЕБС без получения согласия их владельца, пользователь будет в обязательном порядке уведомляться о факте передачи. При этом законом закреплено предоставление возможности отказаться от обработки биометрических персональных данных в ЕБС.

Предполагается, что инициатива поспособствует расширению применения Единой биометрической системы для оплаты товаров и услуг без пластиковых карт. Норма должна вступить в силу с 1 марта 2023 года.

«Также закон вводит нормы об особенностях создания и эксплуатации государственных информационных систем в случаях, если их операторами являются частные организации, действующие в рамках соглашений о государственно-частном партнерстве или концессионных соглашений. Так, закрепляется, что в период действия таких соглашений концедент или публичный партнер обеспечивает доступ концессионера или частного партнера к информации, которая содержится в такой системе и необходима для исполнения ими своих обязательств по соответствующим договорам», — сообщает ТАСС.

В российской столице открывается набор тестировщиков системы Face Pay в наземном городском транспорте. Об этом сообщил заместитель мэра Москвы по вопросам транспорта Максим Ликсутов.

Источник изображений: facepay.mosmetro.ru

Face Pay — это способ полностью бесконтактной оплаты проезда: идентификация пассажира осуществляется по изображению лица. Чтобы использовать сервис, нужно пройти регистрацию в мобильном приложении «Метро Москвы»‎, привязать фотографию своего лица, карту «Тройка» и банковскую карту со средствами для оплаты проезда.

«По поручению мэра Москвы Сергея Собянина мы продолжаем развивать платёжные сервисы в городском транспорте. В апреле мы тестировали технологию Face Pay с нашими сотрудниками в автобусе, а теперь приглашаем присоединиться пассажиров — набираем группу из 100 человек. Затем планируем позвать ещё больше участников и расширить зону тестирования», — приводит «РИА Новости» слова господина Ликсутова.

Протестировать сервис можно будет на маршруте М3 — автобус с бортовым номером 151568 и чёрной наклейкой Face Pay. Участники программы получат специальную версию приложения «Метро Москвы» (регистрация в нём не даёт возможности прохода по Face Pay в метро).

Британское правительство готовится представить новые правила, которые обяжут Facebook✴, Google и другие интернет-платформы идентифицировать личности пользователей. Данная мера станет частью анонсированного в прошлом году «Закона о безопасности в Интернете», направленного на борьбу с анонимными «троллями» в Сети.

Источник изображения: Gerd Altmann / pixabay.com

Технологические компании должны будут самостоятельно принять решение о способах идентификации личности пользователей на этапе создания учётных записей. Однако правительство, в частности, предложило использовать изображения профиля, верифицированные системами лицевой идентификации, двухфакторную аутентификацию, а также удостоверения личности государственного образца. Контролировать исполнение закона будет британский регулятор Ofcom.

Правительство, кроме того, предложило меры по защите граждан от «законных, но вредных» материалов. Эта мера позволит, например, родителям устанавливать дополнительные настройки веб-серфинга для детей, которые будут получать отфильтрованные результаты поиска по определенным темам.

Как это обычно бывает, за неподчинение требованиям закона предусматриваются оборотные штрафы — санкции в размере до 10 % от глобальной выручки компании. Для техногигантов масштаба Google и Facebook✴ речь пойдёт о миллиардах долларов. Помимо экономических мер воздействия предусмотрена также блокировка сервисов в стране.

В британском правительстве уточнили, что намерение ввести новые правила возникло ещё в 2018 году и только усилилось после прошлогоднего инцидента, когда несколько чернокожих футболистов сборной Англии по футболу подверглись массированной анонимной травле в Сети после финала «Евро-2020» — тогда петиция в поддержку новых норм набрала более 700 тыс. подписей. Впрочем, у инициативы есть и критики, которые напоминают, что анонимность в интернете благотворно сказывается на деятельности защитников прав различных меньшинств.

Группа исследователей из Франции, Израиля и Австралии нашла новый способ довольно точно идентифицировать каждого отдельного пользователя в интернете — это можно незаметно сделать с помощью графических процессоров. Новый способ получил название DrawnApart.

В последние годы людей всё больше заботят вопросы конфиденциальности в интернете — многим категорически не нравится, что за их действиями следят. Благодаря этому, например, появились законы, обязывающие сайты спрашивать разрешение у пользователей на сбор файлов cookie или другой информации. На фоне этого недобросовестные сайты стали собирать другие данные для идентификации, например конфигурацию устройства и ОС, время, разрешение экрана, язык и прочее. Но это не даёт возможности точно идентифицировать каждого пользователя, разве что распределить его в ту или иную группу.

Исследователи же решили рассмотреть возможность получения точных идентификаторов на основе графических процессоров, отслеживаемых с помощью WebGL — кроссплатформенного API для рендеринга 3D-графики в интернете, который является частью практически каждого современного браузера.

Источник изображений: Arxiv.org

Используя эту библиотеку, система отслеживания DrawnApart может подсчитывать количество и скорость исполнительных блоков в графическом процессоре, измерять время, необходимое для завершения рендеринга вершин, обработки функций и многих других задач. Инструмент использует короткие программы GLSL на вершинных шейдерах, по времени обработки которых и определяется конфигурация GPU. Разработчики создали как метод с выводом на дисплей (onscreen) с выполнением небольшого числа операций с интенсивными вычислениями, так и без вывода (offscreen), который подвергает графический процессор более длительному и менее интенсивному тестированию.

Разница «следов» двух идентичных GPU

В процессе генерируются «следы», состоящие из 176 измерений, сделанных в 16 точках, на основе чего и получается уникальный идентификатор. Что интересно, зависит он исключительно от GPU — замена CPU или других компонентов ПК не изменили «следы». И что наиболее важно, даже два одинаковых GPU от одного и того же производителя оставляют немного отличающиеся «следы», потому как в процессе производства они всё же получают небольшие отличия на уровне транзисторов. Эти отличия невозможно заметить в обычных повседневных операциях, но они могут стать полезными в контексте сложной системы отслеживания вроде DrawnApart, которая как раз нацелена на выявление таких отличий. Исследователи проверили свою систему на 2550 устройствах с 1605 различными процессорами.

Точность идентификации

DrawnApart пусть и не отличается стопроцентной точностью, но в сочетании с современными алгоритмами отслеживания способен увеличить среднюю продолжительность слежки за целевым пользователем примерно на 67 %, с 17,5 до 28 дней. Помимо этого, на DrawnApart не влияют загруженность системы и самого GPU, перезагрузки системы и другие изменения в ней во время работы.

Время отслеживания

Добавим также, что разрабатываемые сейчас API-интерфейсы GPU следующего поколения, в первую очередь WebGPU, включают вычислительные шейдеры, которые дополнят существующий графический конвейер. Это может предоставить ещё больше способов идентификации и отслеживания интернет-пользователей.

Разработчик WebGL API, компания Khronos Group, получила отчёт исследователей по методу DrawnApart и уже сформировала группу для обсуждения возможных решений проблемы с разработчиками браузеров и другими заинтересованными сторонами.

Группа учёных Плимутского университета (Великобритания) предложила технологию, которая добавит новый уровень идентификации владельцев смартфонов — на основе особенностей их походки.

Источник изображения: Cheyenne Reeves / pixabay.com

В исследовательском проекте приняли участие 44 добровольца в возрасте от 18 до 56 лет. В течение периода от 7 до 10 дней им было поручено носить в чехле на поясе смартфоны. Добровольцы занимались своими повседневными делами, а смартфоны при помощи гироскопов и акселерометров замеряли и фиксировали характерные особенности их движений при ходьбе. В ходе исследования каждый из них совершил около 4 000 «единиц пешей активности», которые учёные разделили на три категории: нормальная ходьба, быстрая ходьба и подъём либо спуск по лестнице.

По завершении эксперимента для каждого испытуемого была создана «сигнатура» походки, учитывающая её особенности. А учёные попытались совершить обратное действие — идентифицировать того или иного человека, основываясь только на этих сигнатурах. Они преуспели в 85 % случаев, причём данный показатель вырос до 90 %, когда из набора данных исключили категорию движения по лестнице. Проценты ошибок составили: 11,38 % для нормальной ходьбы, 11,32 % для быстрой ходьбы, 24,52 % для подъёма и 27,33 % для спуска по лестнице.

Авторы проекта признают, что такие показатели далеки от совершенства, однако, уверены они, эти числа можно улучшить при дальнейшем развитии системы идентификации. В перспективе она могла бы хорошо себя зарекомендовать, работая параллельно с другими методами распознавания человека — об их полной замене речи не идёт.