Wojsko USA wykorzystywało w Afganistanie urządzenia do biometrycznego rejestrowania ludzi. Były wykorzystywane m. in. do identyfikacji osób w punktach kontrolnych, do kontroli dostępu do sił lokalnych czy podczas poszukiwania ludzi. Część z tych urządzeń pozostawiono, gdy wojska amerykańskie w pośpiechu wycofywały się z Afganistanu. Badacze z CCC przeanalizowali dane z tych urządzeń i stwierdzili, że - gdy dostaną się one w niepowołane ręce - mogą stanowić zagrożenie dla ludzi z Afganistanu i Iraku. Urządzenia zawierają bowiem dużą liczbę danych biometrycznych i innych osobowych - nazwiska, odciski palców, skany tęczówki czy zdjęcia Afgańczyków i Irakijczyków

  1. Rys historyczny: pełna rejestracja biometryczna w Afganistanie

Cała ludność Afganistanu miała zostać skatalogowana biometrycznie - również przy wsparciu Bundeswehry. Systematyczne rejestrowanie odcisków palców, tęczówek, twarzy i DNA miało umożliwić odróżnienie tych dobrych od tych złych. Programy takie jak Zautomatyzowany System Identyfikacji Biometrycznej (ABIS) miały umożliwiać w każdej chwili identyfikację znanych przestępców, ale także lokalnych służb czy członków służb bezpieczeństwa. Każda baza danych biometrycznych to tykająca bomba zegarowa. Ponieważ talibowie przechwycili urządzenia biometryczne, istnieją obawy, że urządzenia te mogą zostać wykorzystane do identyfikacji członków byłych oddziałów czy służb lokalnych. Human Rights First opublikował więc przewodnik, jak się chronić: https://web.archive.org/web/20220129015722/https://humanrightsfirst.org/resource/evading-misuse-biometric-data

  1. Ryzyko znali wszyscy

Przed nadzorem biometrycznym nie da się uciec: nie możemy po prostu zmienić naszych danych biometrycznych. Zagrożenie nie było zaskoczeniem nawet dla rządzących. Już w 2007 roku jeden z członków amerykańskiej armii ostrzegał przed porównywalną bazą danych biometrycznych w Iraku i zwracał uwagę, że w niewłaściwych rękach baza stałaby się listą celów

  1. Dane nie są zabezpieczone

Teoretycznie bez zastosowania dodatkowych czynników dostęp do baz biometrycznych nie powinien być możliwy. Oczywiście gdyby tak było, talibowie wciąż mogliby po prostu korzystać z pozostawionych im urządzeń. “Niestety” - piszą badacze z CCC - “nasze badania pokazują również, że dane na mobilnych urządzeniach biometrycznych są całkowicie niezabezpieczone. Bez problemu mogliśmy je czytać, kopiować i analizować.”

  1. Używane urządzenia dostępne na aukcjach online

Zaalarmowani doniesieniami o urządzeniach biometrycznych w rękach Talibów, Matthias Marx, snoopy, starbug, md i inni członkowie CCC zaczęli zbierać informacje o tych urządzeniach. W trakcie tego procesu natrafili na kilka ofert w internetowym serwisie aukcyjnym. W ten sposób udało się poddać podobnym badaniom kryminalistycznym 4 urządzenia typu SEEK II (Secure Electronic Enrollment Kit) oraz HIIDE 5 (Handheld Interagency Identity Detection Equipment). Z technicznego punktu widzenia badania użytych urządzeń były wręcz nudne: wszystkie nośniki danych były niezaszyfrowane. Jako ochronę dostępu należało wprowadzić jedynie dobrze udokumentowane standardowe hasło. Baza danych była również standardową bazą danych o standardowych formatach danych. Można było go wyeksportować w całości przy niewielkim wysiłku.

  1. Wrażliwe dane biometryczne 2632 osób

Wyodrębnione dane były imponujące: na różnych urządzeniach zakupionych w sieci znajdowały się nazwiska i dane biometryczne dwóch amerykańskich wojskowych, współrzędne GPS miejsc, w których przebywali w przeszłości oraz obszerna baza danych biometrycznych z nazwiskami, odciskami palców, skanami tęczówki i zdjęciami 2632 osób. Urządzenie z tą konkretną bazą danych znajdowało się w 2012 r. gdzieś pomiędzy Kabulem a Kandaharem

  1. Brak świadomości ryzyka wśród producentów, armii USA i Bundeswehry

Po przeprowadzeniu badania CCC poinformowało o luce producenta urządzeń SEEK, Crossmatch Technologies (dziś: HID Global), oraz dwóch znanych nam użytkowników urządzeń - Departament Obrony USA i niemiecką Bundeswehrę. Poinformowano także odpowiednie podmioty, że w internecie można bez problemu kupić używane sprzęty z wysoko wrażliwymi danymi. Jednak wygląda na to, że wyciekiem danych nikt się nie przejął: “Otrzymaliśmy potwierdzenie odbioru z Bundeswehry, Departament Obrony uprzejmie skierował nas do producenta, a producent nie zrobił nic. Po dwóch i pół miesiącach od naszego zgłoszenia udało się zamówić online kolejne urządzenie biometryczne.”

  1. Nieodpowiedzialność zagrażająca życiu

“Nieodpowiedzialne obchodzenie się z tą technologią ryzyka jest niewyobrażalne” - powiedział Matthias Marx, który kierował grupą badawczą CCC. Konsekwencje są groźne dla życia wielu ludzi w Afganistanie, którzy zostali bez skrupułów porzuceni przez USA i Rząd Federalny [Niemiec]. Jest dla nas nie do pojęcia, że producent i wojskowi byli użytkownicy nie przejmują się tym, że używane urządzenia z wrażliwymi danymi są dostępne w sieci" - kontynuuje Marx.

A przecież to wszystko dało się przewidzieć, bo baz danych biometrycznych nie da się skutecznie i trwale zabezpieczyć przed bezprawnymi działaniami. To, co stało się w Afganistanie, to tylko przedsmak - w przyszłości wiele baz danych biometrycznych może się dostać w niepowołane ręce. Dlatego scentralizowane gromadzenie takich danych w dużych ilościach jest w zasadzie zawsze złym pomysłem.

  1. Mamy jeszcze kilka pytań:

Jeśli chodzi o protokół ustaleń, interesuje nas rola Bundeswehry: Czy dane zebrane w ramach mandatu ISAF zostały faktycznie usunięte? Jak Bundeswehra poradziła sobie z ryzykiem, że afgańska baza danych biometrycznych może stać się listą celów? Jak są lub były zabezpieczone przed nadużyciami urządzenia i dostęp do biometrycznych baz danych Bundeswehry? Czy lokalne siły zostały poinformowane o ryzyku związanym z zapisem biometrycznym? Czy Bundeswehra była w stanie zabezpieczyć lub zniszczyć własne lub obce urządzenia do gromadzenia danych biometrycznych?

Linki w tekście źródłowym. Temat był swego czasu poruszany w Niemczech, ale w to wczytam się na spokojnie jutro i ew. podlinkuję. dodatkowo: https://interaktiv.br.de/biometrie-afghanistan/ i po angielsku: https://interaktiv.br.de/biometrie-afghanistan/en/index.html

  • pfm
    link
    fedilink
    11 year ago

    Zastanawiam się, jak w ogóle nazwać takie informacje, ale cały czas ciśnie mi się “na usta” określenie odpady informacyjne. Dla hamerykańców już nieprzydatne, więc jak odpady, pozostawione samym sobie.

    • @didleth@szmer.infoOP
      link
      fedilink
      11 year ago

      ale przydatne - wykorzystają to prędzej czy później, żeby dowalić się do CCC. Nienawidzą ich i chyba najbardziej boli ich to, że CCC jest w Niemczech, czyli poza USAmerykańskim zasięgiem :-) I chociażby pod tym kątem plany wspólnej europejskiej bazy danych (takiej, w której m. in. proamerykańskie polskie służby będą mieć dostęp do danych z Niemiec) brzmią niepokojąco