Bezpieczeństwo dokumentów fizycznych i fałszerstwo

Do napisania tego wpisu przekonał mnie wpis Sz.P. Koniecznego,lub któregoś innego współredaktora serwisu Niebezpiecznik, a mianowicie krótkie wspomnienie na linkblogu, o dość starej (nie)funkcjonalności programów PSP i Photoshop (ale nieobecne np. w programach takich jak GIMP), które odmawiają obrabiania grafiki z walutą taką jak np. dolar…

Dla większości komentujących było jasne, że jest to tzw. EURion – od niedawna, dostępny chyba i na nowych banknotach NBP. Dla mnie też było to najprawdopodobniejsze, choć w przypadku takiego dolara, czy funta, brać należy pod uwagę również inne możliwości, co zostało omówione np. w obszernym artykule Doktora Stephena J. Murdocha. Sugeruje on, że w przypadku Funta Brytyjskiego (i niektórych innych walut zapewne), zabezpieczenie przed edycją nie ogranicza się do znaku/znaków EURion, lecz stosowane jest (najprawdopodobniej) co najmniej kilka algorytmów sprawdzających.

Omawiana „anegdota” sugeruje jednak, że nawet dobrzy specjaliści od bezpieczeństwa informatycznego, nie zawsze równie dobrze znają mniej związane z techniką cyfrową systemy zabezpieczeń, które spotykamy w codziennym życiu i nowinki ich dotyczące. Nawet pomimo tego, że na zachodzie jednym z efektów „kultury hackerskiej” był np. wzrost zainteresowania tzw. lockpickingiem. (UWAGA: posiadanie narzędzi do otwierania zamków dla osób nie będących ślusarzami w Polsce grozi poniesieniem odpowiedzialności z art. 129 kodeksu wykroczeń) u nas takie „poboczne” kwestie wydają się najwyraźniej niedocenione, jako element „niewarty uwagi”, drugorzędny, albo jako problem emerytów z „agencji ochroniarskiej” jakich mamy trochę w naszym kraju – choć stanowią nadal element systemu bezpieczeństwa firmy.

A przecież, to jest ważne, gdyż fizyczne dokumenty to nie tylko dowody osobiste czy pieniądze, ale i papierowe dokumenty firmowe, których utrata może być równie dotkliwa, jak utrata danych drogą elektroniczna, a sfałszowanie – równie dotkliwe dla firmy, jak fałszerstwa dokonywane drogą elektroniczną czy fałszowanie pieniędzy dla państwa. Tym samym warto, by omówić tą sprawę publicznie, np na tym blogu.

Zwłaszcza wobec drastycznego przykładu – wciąż są tysiące osób, które w dobrej wierze podpisują puste kartki papieru przerabiane na weksle, weksle in blanco, a nawet przekazują dla uzyskania pracy skan swojego dowodu osobistego. To ostatnie jest również wręcz szaleństwem, w dobie (nawet kiepskiej jakości) tzw. kolekcjonerskich dowodów osobistych.

Fałszerstwa w świecie fizycznym bywają groźniejsze niż w cyberprzestrzeni – pomimo mniejszego matematycznego wyrafinowania. Zwłaszcza ze względu na poziom metod zabezpieczania się przed nimi. Przez lata fałszowano testamenty, papiery wartościowe, dzieła sztuki i wszystko inne, co ma jakąkolwiek wartość. I robi się to nadal. I przestępcy będą to robić dalej. Dlatego też, wiedza o fizycznych metodach fałszerstwa w fizycznym świecie wciąż ma i będzie mieć znaczenie. Samo fałszerstwo, może przyjąć bardzo różne formy. Celem wykrycia fałszerstwa w danej branży, konieczne jest znanie metod stosowanych przez fałszerzy w tej branży i różnic pomiędzy obiektem sfałszowanym a oryginałem, oraz narzędzi koniecznych do dokonania tego odróżnienia.

Najlepszym przykładem historii obrony przed fałszerstwem, jest historia fałszowania pieniędzy.H istorie z fałszowaniem walut sięgają naprawdę starożytnych czasów, choć początkowo przejawy były nieco inne, niż w przypadku pieniądza papierowego. Były związane głównie z uzyskiwaniem w miarę podobnej odkuwki (bo pieniądz wówczas był wykonany ze stopów zawierających np. złoto) ale o mniejszej masie, czy zawierającej mniej metalu szlachetnego. Objawiało się to zwłaszcza poprzez okrawanie monety po brzegach. Odpowiedzią na takie zjawisko psucia monety stało się bardzo sprytne zabezpieczenie – znamiona na krawędziach (wg. wikipedii – wprowadzone przez Isaaca Newtona),którego pozostałości można zaobserwować choćby w przypadku dzisiejszych monet – co można zobaczyć na stronie NBP.

Dzisiejsze zabezpieczenia, zarówno waluty papierowej jak i dowodów osobistych są skomplikowane i wielowarstwowe; należą chyba do najbardziej zaawansowanych stosowanych na świecie. Niektóre zabezpieczenia nowych banknotów opisano w broszurze i ulotce NBP – natomiast, część zabezpieczeń waluty pozostaje utajniona i jest znana jedynie niektórym pracownikom wytwórni papierów wartościowych. Jeśli chodzi zaś o zabezpieczenia dowodów osobistych, są one omówione w materiałach szkoleniowych policji (centrum szkolenia policji w Legionowie – link do materiału),oraz – jeśli chodzi o nowe zabezpieczenia – na stronie MSW. Są one na tyle liczne i zniechęcające,że dziś lub w niedalekiej przyszłości fałszowanie tych dokumentów nie będzie się opłacać, lub jest/będzie stosunkowo drogie. W istocie fałszywe „kolekcjonerskie” dowody osobiste, mające być obiektem śledztwa ABW nie wydają się zaawansowanym fałszerstwem.

Przykłady zabezpieczeń waluty i dowodów osobistych to:

    • Odpowiednio dobrana receptura materiału (papieru,plastiku itd) – struktura fizyczna,chemiczna itd. (zwykle tajna)
    • Odpowiednie farby (często zastrzeżone i publicznie niedostępne,bądź o ściśle ewidencjonowanym obrocie) o charakterystyce zmiennej optycznie, bądź widoczne w świetle UV użyte w dokumencie.
    • Znaki wodne – jednak nie jako „tło”, czy inny element wydruku na zwykłej kartce, ale jako element struktury papieru powstały na etapie produkcji papieru (wypukłość i wklęsłość).
    • Druk wypukły
    • Mikrodruk (ale przy takich zabezpieczeniach możliwy jest nie tylko tekst – również obrazy,kody QR itd)
    • Nitka zabezpieczająca – często pokryta mikrodrukiem, umieszczona podczas procesu produkcji dokumentu.
    • Folia hot-stamping – często zawierająca „hologramy”, nanoszona na dokument.
    • Efekt recto-verso – zabezpieczenie polegające na tym, że drukowane z 2 stron elementy razem dają pod światło cały obraz. Wymaga precyzji. Przykład ? Korona w nowych banknotach złotówki.

Wspomniany już EURion i inne rozwiązania – jako charakterystyczny element i zabezpieczenie przeciw kopiowaniu a może i edycji.

Ponadto, do zabezpieczenia (celem zabezpieczenia oryginalności)  wydruków i dokumentów stosuje się też np:

  • Tło glioszowe – obecne choćby w świadectwach szkolnych i innych
  • Druk irysowy
  • Numerowanie druku (wykrywanie kolizji dokumentów – które nie powinny zachodzić)
  • Włókna
  • Broki
  • Efekt kątowy
  • Tagi RFID
  • W przypadku plastiku – Bubble Tag, czyli kody pęcherzykowe
  • Concealogram – czyli wykorzystanie steganografii w obrazach drukowanych bazując na półtonach. Patent amerykański firmy Concealogram inc. : nr. US 20130019767 A1 [tutaj]. Sama steganografia, jak najbardziej może być wykorzystywana w fizycznych dokumentach i naprawdę może być całkiem zaawansowana.
  • Podpis – można go nie doceniać,można go podrobić przy użyciu kserowania – ale tak podpis szefa NBP jak i zwykłego człowieka jest przypadkiem naturalnego zabezpieczenia biometrycznego.

Przechodząc do bezpośrednich zabezpieczeń przed kopiowaniem dokumentu papierowego, istnieje co najmniej kilka rozwiązań:

  • Tło antykseryczne – cienkie (i często gęste) linie, z którymi urządzenia kserujące nie radzą sobie zbyt dobrze
  • Odpowiedniego rodzaju papier światłoczuły (najlepiej przy określonych zakresach widma – samozniszczenie podczas kopiowania, czy może nawet przy próbie wyniesienia)
  • Specjalny, „odporny na kopiowanie” papier „niszczący kopię” – może to być rodzaj tła antykserycznego  – nie było szczególnie trudne znalezienie stron www firm go produkujących jak: MicroFormat inc. z USA,czy strona europejska – bodajże firmy Conquest Paper: www.copyproof.eu – poniżej jej materiał reklamowy:

Od razu zaznaczam – cen nie znam. Choć niewątpliwie, w tym przypadku są one wysokie. Natomiast, niektóre środki zabezpieczające, np. odpowiednie „hologramy” można załatwić w Chinach, niektóre zabezpieczenia można wprowadzić we własnych dokumentach bez problemu i dużego wysiłku technicznego,a inne metody zabezpieczające wiążą się z posiadaniem odpowiedniego sprzętu poligraficznego.

Ponadto, stosunkowo nowym rodzajem zabezpieczenia przed wyciekiem informacji jest indywidualizacja dokumentów. Pomysł ten proponowali naukowcy z Politechniki z Darmstadt (projekt SiDiM) jako rodzaj DRM, ze sztuczki tej próbował też skorzystać Elon Musk w Tesla Motors wysyłając każdemu pracownikowi lekko zmodyfikowane e-maile, w celu zidentyfikowania winnych „przecieków” do prasy.

Systemy zabezpieczeń pieniędzy i dokumentów, same w sobie są również interesujące ze względu na wyjątkowo kompleksowy ich charakter. Używa się wielu zabezpieczeń naraz. W kryptografii, takie rozwiązanie traktuje się niekiedy jako podejrzane, a nawet potencjalnie groźne, ze względu na możliwość oddziaływania na siebie szyfrów, co teoretycznie ma obniżać bezpieczeństwo. (Więcej na ten temat można przeczytać w anglojęzycznym wydaniu Wikipedii, pod hasłem Multiple Encryption, natomiast sam problem jest traktowany jako kontrowersyjny, wśród niektórych twierdzenie, o obniżeniu jakości szyfrowania, poprzez wielokrotne szyfrowanie spotyka się z intensywną krytyką)  W istocie jednak, zastosowanie różnych rodzajów zabezpieczeń w formie „poziomów bezpieczeństwa” również w informatyce ma miejsce – np. obok systemów typu firewall, serwery używać mogą również polityki SE Linux (jak ktoś ufa rozwiązaniom stworzonym przez NSA), obok logów mogą być generowane cyfry kontrolne plików itd. itp.

No dobrze. Zabezpieczenia tekstu pisanego. Czy to wszystko ? Ależ nie. Przy wprowadzaniu technologii druku 3D niewątpliwie również stosowane będą trójwymiarowe (swego rodzaju) „znaki wodne”, poprzez zostawienie w odpowiednich miejscach projektu pustek – a może, w przyszłości, również zastosowanie innych materiałów lub wtrąceń. Wcale też nie wydaje mi się, że na na tym się zresztą skończy, bo jeśli technologia druku 3d stanie się popularniejsza i tańsza, problem piractwa może wejść w nową przestrzeń… Przestrzeń trójwymiarowych produktów. Zresztą nawet jeśli nie, to czy firmy nie walczą już dziś z „podróbkami” ?

Idźmy dalej: bezpieczeństwo dokumentacji fizycznej i fizycznych przedmiotów nie ogranicza się do ich zabezpieczenia, problemem jest też ich przesyłanie. Dla informatycznych specjalistów od bezpieczeństwa przechwycenie klasycznej, fizycznej  korespondencji może wydawać się przykre lecz trywialne, albo nie zaprzątują sobie tym głowy. To błąd. Kontrola korespondencji, jej podmienianie itd. w warunkach prawdziwej poczty (nie tylko naszego monopolisty ale i np. firm kurierskich) jest zagrożeniem, z którego nie tylko trzeba sobie znaleźć sprawę – jest też zagrożeniem z którym również można walczyć.

Bezpośrednim zagrożeniem dla informatyków byłoby np. przechwycenie przesyłki z hardware. W artykule „Stealthy Dopant-Level Hardware Trojans„, wspominanym choćby w poprzednim roku na stronie Info Security Magazine, omówiona jest możliwość złośliwego uszkodzenia generatora liczb losowych procesorów Intela. Żeby to zrobić, trzeba np. otworzyć pudełko z procesorem – jeśli nie dochodzi do tego w fabryce. Efektem jest podminowanie podstaw budowanego przecież zawsze w oparciu o sprzęt (hardware !), rozwiązania informatycznego i bezpieczeństwa szyfrowania w szczególności. Oczywiście, w powyższym konkretnym przypadku można np. odejść od szyfrowania z użyciem procesora, ale co, jeśli napastnik wykorzysta zamiast tego np. lukę BadUSB, albo zmieni firmware BIOSU ? Tudzież coś podmieni ?

Listy przesyłane pocztą (np. zawierające hasło, do przesłanej internetem zaszyfrowanej treści,lub jego fragment) też można otworzyć. Sam jako dziecko odklejałem znaczki przy użyciu pary – otworzyć kopertę też tak można. Proste ? Jak najbardziej, lecz niekoniecznie dla wszystkich – i niekoniecznie tak, by nie było to wykryte. Istnieją oczywiście rozwiązania, które mogą zabezpieczyć kopertę lub jej zawartość przed jej otwarciem, które nie zostałoby odkryte (co miałoby dość przykre efekty dla osób komunikujących się). O jednym z takich fizycznych zabezpieczeń, opartych o kalkę kopiującą wspomina „CIA Flaps and Seals Manual” (autor: John M. Harrison), sugerując, że użycie pary może uszkodzić kalkę (ang. carbon paper). Rozwiązaniem tego problemu, stosowanym przez CIA, była wg. tego podręcznika zwykła woda w niewielkich ilościach, która kalki najwyraźniej nie uszkadzała (stąd wykrycie wynikało najpewniej z wpływu temperatury, lub pary wodnej wdzierającej się do koperty). Podręcznik ten również, wspominał o oddziaływaniu na celofanowe zabezpieczenia czterochlorkiem węgla (który jednak obecnie jest mniej używany i jest niewątpliwie śmiertelnie trujący). Jako remedium na pieczęci woskowe, proponował on też mieszaninę oleju mineralnego i odczynnika do modelowania dentystycznego „albastone powder” (obecnie chyba nie produkowany), brytyjskiego producenta SS White celem odwzorowania pieczęci. Potencjalnym problemem było jednak użycie np. różnych rodzajów wosku (w tym niepopularnych wosków), czy stopienie wosku celem naniesienia pieczęci ponownie. Problem ten miałby pierwszorzędne znaczenie, w przypadku przekazania jednocześnie fotografii zapieczętowanego listu innym kanałem komunikacji. Wspomniany też był problem możliwości użycia odpowiedniej trucizny przez wysyłającego, celem wyeliminowania potencjalnego inwigilatora.

W praktyce zatem, istnieje szereg metod fizykochemicznych zarówno na „zaatakowanie” fizycznej korespondencji tak, by nie zostawić śladu, jak i sposobów, by takie ataki wykryć a nawet im przeciwdziałać. Nie jest wcale tak, że fizyczne dokumenty nie stanowią przedmiotu badań, nad bezpieczeństwem obiegu informacji. Przeciwnie. Materialne obiekty przenoszące informację są od szeregu lat integralną takich systemów częścią.

W określonych przypadkach, zabezpieczenia fizyczne wysokiej jakości powinny wspomagać zabezpieczenia cyfrowe, a ignorowanie zabezpieczeń fizycznych, może mieć nawet drastyczne konsekwencje dla zabezpieczeń cyfrowych.

PS: Dla osób postronnych, które tu zawędrowały i czują się przestraszone. W wpisie korzystano z legalnych i publicznie dostępnych źródeł informacji.

Reklamy

One thought on “Bezpieczeństwo dokumentów fizycznych i fałszerstwo

  1. Ale jak jest się rządem z wystarczająco dużym budżetem, to większość z tych zabezpieczeń można obejść, nie to co oparte na kryptografii…
    A o tej indywidualizacji dokumentów to słyszałem w kontekście sprzedaży ebooków, ale to wystarczyło porównać dwie kopie.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s