Státní správa otevírá zlodějům dveře bytů

Nedávno jsme na tomto blogu upozorňovali na podceňovaný leč velmi závažný problém spočívající v tom, že občané nemají reálnou možnost odlišit pravé policisty od falešných. Stát tedy činí občany bezbranné vůči podvodníkům, když striktně požaduje, aby jeho úředníky respektovali a podřizovali se jim (a stanoví drakonické tresty za porušení tohoto požadavku).

Je jasné, že vybavit orgány veřejné moci papírem s razítkem nebo zalaminovanou průkazkou je naprosto bezcenné. Stejně tak bezcenný je běžný odznak, jaký si můžete vytisknout na nejbližší 3D tiskárně nebo objednat v nejbližší zámečnické dílně. Ostatně, z toho, že lidé vesměs nepožadují jejich předkládání, je vidět, že jim příliš nevěří.

Aby označení orgánů veřejné moci fungovalo, je zapotřebí:

• Aby průkazka či odznak obsahovaly takový ochranný prvek, který fakticky nemůže být napodoben nebo alespoň je to velice náročné a drahé.
• Aby občané dokázali snadno rozpoznat pravost. Malůvka inkoustem s měnícími se barvami moc nepomáhá, protože takových malůvek existuje spousta. Nepomáhá ani leský proužek se znakem České republiky, protože občan stejně neví, jaký vizuální efekt má hledat.
• Aby stát monitoroval pokusy o padělání a v případě rostoucího rizika, že padělatelé dokážou ochranné prvky hodnověrně napodobit, je rychle vyměnil.

To jsme připomínali v souvislosti s falešnými policisty, kteří zatím „jen“ odváží zboží a peníze, ale je představitelné, že by si někoho mohli odvést s sebou.

Varovali jsme tehdy, že to policií neskončí. A ejhle, články v tisku informují o tom, že se objevili falešní inspektoři kotlů. Od ledna letošního roku totiž platí povinnost vpustit do svého domu inspekci, která kontroluje nastavení kotle na pevná paliva. Pokud občan neotevře dveře, hrozí mu pokuta až 50 tisíc korun. Pro zloděje, kteří se chtějí dostat do bytů, není nic snadnějšího, než prohlašovat se za takového kontrolora.

Už se stalo, že podvodník se ohlásil předem, nedůvěřivá paní zavolala na úřad a vyptala se, zda k ní opravdu poslali kontrolu. Jenže kolik lidí ví, který úřad takové kontrolory vysílá? A co když takový člověk zazvoní u dveří a domáhá se okamžitého vstupu? Má občan zabouchnout a riskovat pokutu ve výši dvou průměrných měsíčních platů?

Opět máme tu stejný problém. Stát se dopouští hrubého zanedbání, veškerá rizika a náklady jsou přeneseny na občana. A přitom by bylo řešení tak jednoduché. Vybavit veškeré orgány veřejné moci jednotnou průkazku, umístit na ni velmi silné ochranné prvky a informovat lidi, jak rozliší pravé od falešného.

Welcome to the raceway

The right marking enables creating a product that cannot be imitated at all. To reach such goal, you need to the right technology, inspired design, and extensive communication.

Not long ago, it was published that Amazon´s portfolio includes some fakes. The internet giant is not deceitful; it just cannot examine all third party items of its vast portfolio.

The case of Amazon is just an illustration of the size and strength of counterfeiting industry. It grew up together with the growth of e-commerce and OECD now estimates that fakes for USD 500 billion are sold each year. If you produce a premium brand product and do not meet fakes, there are only three plausible explanation. Your brand is not interesting enough. You sell too cheap. You just do not know about forgeries.

Protection strategies and processes can be divided into two main groups.

Anti-counterfeit Big Brother

TRACKING PRODUCTS. Information about the move/shipment/inspection of the product is registered across its entire lifecycle. You can see a history of every individual product – day of production, moving between stores and distributors, dates of deliveries, etc. The most advanced products are integrated with tools for automated monitoring of e-shops to cross-check if all items sold are also registered in a tracking system.

These tracking systems are handy especially if a reasonable use of a product is conditioned by complete information (e.g. the latest supervision, measurement results, the number of working cycles passed, etc.). However, it leaves out that anti-counterfeit protection should be first and foremost a service for users. If somebody pays for a premium brand, he/she should be given a tool for genuineness verification.

Products like banknotes

MARKING PRODUCTS. A security element is placed on a product or its packaging. Watermarks and security ink printing (e.f. fluorescent ink) can deter small falsifiers. However, most of the today counterfeiting are realized in mass production factories and this kind of attackers can cope with this sort of protection. The most respectable producers of security inks screen their potential clients, but other ones are happy to sell to everybody. Watermarks and micro letters can be imitated as well.

A hologram is the strongest anti-counterfeit tool, but most of the holograms still do not guarantee full anti-counterfeit protection. Holograms are produced through mass production. If an attacker gets the master hologram, an unlimited number of falsified holograms can be produced. If the product is protected with an ordinary hologram, a sophisticated attacker can buy just one piece of branded product and derive the master from it.

Besides that, sometimes it is possible to create a hologram so similar that users are confused. Moreover, most users have no knowledge of hologram details. Look e.g. on a ticket of Prague City Transit. You can remark a metallic stripe on it. But who knows what letters and visual effects should be looked for. Most likely, any hologram including Prague City Transit logo would be accepted as genuine by most users.

No way without proper communication

Hologram protection can be bullet-proof, provided that the right technology and graphical effects are in place, an inspired design implemented and customer well informed what they should look for.

It can be expected that falsifiers potential will go up. In some cases, their production capacity will exceed the capacity of legal producers. The best premium brand producers will implement advanced anti-counterfeit measures. Products with lower level protection will be targeted. And technological race between attackers and defenders will continue.

Libor Šustr

The article has been published in Sale, Marketing and Media magazine.

 

Vítejte na závodní dráze!

Označit produkt tak, aby byl principiálně nepadělatelný, je možné. Vyžaduje to ovšem správnou volbu technologie, nápaditou grafiku a dostatek pozornosti věnovaný komunikaci.

Odbornými médii nedávno proběhla zpráva o tom, že Amazon prodává falešné značkové výrobky. To neznamená, že by byl internetový gigant málo poctivý. Není ale v jeho silách prověřit všechny položky, které třetí strany do e-shopu přináší. Je to jen jedna z ilustrací, do jak nesmírně rozsáhlých rozměrů se padělatelské odvětví rozrostlo s rozvojem internetu. OECD odhaduje, že každoročně se na světě prodá padělané zboží za 500 miliard dolarů.  Zkrátka, pokud vyrábíte značkové zboží a nesetkáváte se s padělky, jsou v zásadě jen tři možnosti. Buď vaše značka není dost zajímavá nebo se produkty prodávají příliš levně nebo o těch padělcích nevíte.

Obranné strategie a postupy můžeme v zásadě rozdělit do dvou skupin.

Protipadělský velký bratr

SLEDOVÁNÍ POHYBU PRODUKTŮ. Od chvíle, kdy výrobek opustí produkční linku, jsou informace o jeho pohybu zaznamenávány do informačního systému. U každého konkrétního kusu je pak možné sledovat celou jeho historii – putování mezi sklady, mezi distributory, termíny vyskladnění atd. Ty nejpokročilejší systémy jsou propojeny s automatickým sledováním obsahu internetových obchodů. To je  velmi užitečné tam, kde jsou přesné informace o produktu podmínkou jeho smysluplného využití (např. datum poslední inspekce, počet odpracovaných cyklů apod.) a kde je tudíž vedení záznamů nutností. Nicméně jako ochrana proti padělkům fungují jen omezeně. I když totiž odložíme stranou veškerá technická omezení, není zde naplněn základní účel ochrany proti padělání, jimž má být služba uživatelům. Když platí za značkové zboží, mají mít možnost samostatně ověřit si, že to zboží je skutečně pravé.

Výrobky jako bankovky

ZNAČENÍ VLASTNÍCH PRODUKTŮ. Zde jde o to, že na produktu nebo jeho obale je umístěn nějaký ochranný znak. Vodoznaky nebo tisk bezpečnostními inkousty (např. takovými, které mění barvu podle úhlu dopadajícího světla) mohou odradit padělatele z malé dílny, nicméně většina falešných výrobků je dnes vyráběna sériově v továrnách, a útočníci na takové úrovni si poradí i s ochrannými prvky. Solidní výrobci bezpečnostních inkoustů své zákazníky prověřují, nicméně jsou i tací, kteří si s tím hlavu nelámou. Podobně je možné imitovat i vodoznak a mikropísmo.

Nejsilnějším nástrojem pro značení produktů jsou hologramy, jenže ani většina z nich neumí poskytnout plnou ochranu. I hologramy se vyrábí sériově, takže stačí, aby se útočníkovi podařilo získat raznici.  A zkušený útočník tuto raznici dokáže rekonstruovat z hologramu, jedná-li se o „běžný hologram.“

Vedle toho existuje možnost vyrobit hologram natolik podobný, že uživatele zmate. Vezměte třeba jízdenku pražského dopravního podniku. Asi každý si všimne, že je na ní kovový lesklý proužek. Ale kdo ví, jaká tam být na něm písmena? Jakým způsobem se mají měnit? Není to spíše tak, že by uživatel pokládal za pravý jakýkoliv hologram obsahující logo dopravního podniku?

Bez důkladné komunikace to nepůjde

Ochrana hologramem je tedy možná, ale je zapotřebí pečlivě vybrat technologii, vizuální efekty, grafický návrh a samozřejmě zákazníkům jasně komunikovat, co na zboží hledat.

Další vývoj je očekávatelný. Možnosti falšovatelů dále porostou, v některých případech převýší padělatelská kapacita kapacitu legální výroby. Ti nejlepší výrobci začnou svoje produkty chránit důsledněji než dnes. Padělatelé začnou cílit na ty méně chráněné. A v tom všem bude probíhat neustálý technologický závod mezi útočníky a obránci.

Libor Šustr

Publikováno v časopise Sales, Marketing, Media 

Will your supermarket own your body?

Biometric technology vendors move their focus on midsize and small firms. It generates huge risks that have been neglected until now.

How many cards do you have in your wallet? In valet of a typical European, you can find an ID card, a driving license, one or two discount cards into restaurant chains, up to five cards to petrol stations or supermarket chains, health insurance, and car assistance. Now try to imagine that each of these cards is replaced by biometry entry in a database – fingerprint, voice, face geometry, iris, a rhythm of walk… the valets would not be so overloaded, there would be no need to deal with card losses, companies would improve their insight into customer behavior.

Do you think it is unrealistic? It was the prevailing vision at a trade show a and conference Connect:ID which took place a few weeks ago in Washington, D.C.  We introduced technological innovations for an anti-counterfeit protection of physical ID cards and passports. However, most of the participants focused on biometric readers, information systems for biometric data storing and, most strikingly, on big data tools tuned for biometry.

Iris readers for everybody

The main trends can be summarized as the following.

1)    Growing number of biometric features for definitive identification and authentication of a person. There is no need to rely on fingerprints. Fingers, iris, voice, face geometry, moves… rhythm of walk and heartbeat are innovations of this year. There is almost no part of human body that cannot be used for authentication.

2)    The readers are more and more available, smaller and smaller, cheaper and cheaper. There is a growing number of extensions for smartphones and notebooks.

3)    Because market of governments and authorities is close to the saturation and competition is limited to a quite small number of players, most vendors try to sell to smaller subjects, such as hospitals, towns, universities but mostly companies. Business models are adapted to smaller customers. You do not need to buy hundreds or tens of contact points. You can select just three readers; the server can be replaced by any notebook etc.

It must result in a situation described above, with out of sight consequences and the unknown impact on user privacy. Very likely, it is only a matter of time that most of the biometric information are compromised. Because many of them can be copied, such security incidents will generate a high risk of identity theft up to the end of your life. You can change your card if its number is compromised. You cannot change your fingerprint, voice, iris, etc.

Too easy destruction of privacy

Users may refuse to accept biometric solution but do not bet on it. Some users will refuse to use them. But experience from legacy projects, such as voice identification in Tatrabanka, show that most users are ready to trade privacy and security for comfort. Moreover, reading of biometric data is easier and easier. „Mrs. Smith, please look into the camera.“ There is even no need to take glasses off; the database entry is completed in a few seconds. Face geometry can be even red from a portrait photography.

Growing pressure on biometry solutions implementation, selling databases and automated data mining can be therefore expected. Most vendors do not worry about security issues. Direct question on representatives of the industry association was answered: We already recommended to implement strong security measures (without more detailed definition). And that´s all. The only skeptic view was expressed by a representative of Homeland Security stating that any transfer of biometric data through public communication networks is unacceptable, even if data are encoded.

Self-regulation does no work

We cannot expect anything else. The sales departments need to meet their quotas. It is not their job to take car of all consequences. They are in a situation: if I do not sell, anybody else does.

In theory, such issues should be mitigated by industrial associations. However, companies are not represented by gray hair men with many year experiences from technological development or security projects. The companies are represented by sales and marketing people who are actively interested in sales growth. There is no wonder that risks are underestimated.

It is a task for governments. Instead of mechanic „support of any technology innovation“, the governments should ensure that:

1. a) Users understand the situation, including difficult issues
2. b) Information security is perhaps not perfect but at least at a respectable level
3. c) There is a backup solution in place that enables people, whose biometric data have been compromised, to continue a normal life.

Story of microholograms – Part I.

A breakthrough innovation is backed by more than ten years of intensive work, research a risk taking. In the end, this enormous effort resulted in a big success. Today, microholograms are preferred choice for protection against counterfeiting a stealing around the world. They protect passports, tax stamps, art, machines parts… anything you like.

Micropholograms are tiny pieces of metal, from some 40 micrometers to half of millimeter. Seen by a naked eye, they look like metallic dust, but there is a hologram on each of them. On most of them, you can also find letters engraved. Of course, you need a magnifier to see hologram and letters. Seen with a magnifier, you can also mention a regular shape – hexagon, square or anything else required by a client.

From an idea to handmade production

The first demand came of OPTAGLIO´s daughter company Metallic Security in 2000. „Their salesmen met a product that consisted of adding small particles into lacker to enable attesting genuineness of a product.  They came and said, perhaps we can even produce something better. Perhaps we can put holograms on these particles.“

The first idea was transformed to a regular research requirement.  Researchers, antecedents of today OPTAGLIO Labs, were lucky because they could start from on-shelf solution. Two years earlier they developed technology for miniature nickel holograms as a byproduct of research focused on another topic.

Anyway, they needed to do a lot of work before they got real microholograms and production procedure. The procedure was quite complicated. A nickel table, photoresist depositing, covering, illuminating, activating, growing in a galvanic bath… up to getting out ready microholograms. The procedure was not easy, but it was realizable so that the manufacture style production could start.

Starting with cars, paintings, and statues

In 2004, OPTAGLIO patented microholograms. The breakthrough innovation attracted press attention, and holographic spray was introduced in the market. It was actually a transparent lacquer with added microholograms. The protected item was painted with this lacquer and protection was complete. In the first phase, it was mostly used for anti-theft protection of different valuable articles, from antiquities to car parts. In Baltics, an extensive project was launched covering tens of car dealers. It combined satellite tracking with marking of critical parts with microholograms.

However, microholograms were still waiting for its real coming to the market.

Learn more about microholograms here.

False policemen paradise

Two weeks ago, a false policeman came to a post office in Jezov (Czech Republic) a took „contaminated“ banknotes for tens of thousands Czech Crowns. It was not an isolated case. Web search engines show many similar cases from last several years, both from the Czech Republic and abroad.

Here we are facing a critical aspect of ID cards, although this point is not discussed often. ID cards are often examined in connection with a border crossing and other situations where people are checked by law enforcement officers. Of course, they need to examine masses of people and work efficiently. Nevertheless, if they suspect a detainee, there are many measures to disclose false identity from thorough interrogation through biometrics database to confrontation of relatives.

Millions of ordinary citizens are helpless in similar situations. Any time it can happen that they are approached by a person equipped with a police card and asking for anything. It is not the worst scenario if a false policeman takes your money. He can take you, using handcuffs. If you don´t believe and resist, you can meet nasty consequences (which actually happens, time to time).

Police badge and card are connected to almost unlimited power. We should, therefore, expect that they are protected against counterfeiting very strongly. Such protection would include a detailed description of badge and card on the police website. The description should enable a regular citizen to confirm genuineness immediately. It is also critical that badge and card are tough to counterfeit and tamper. Information necessary for genuine/false recognition would be communicated in TV, schools, etc.

But what is the reality? There is only a small preview on the web site of Czech Police. Very likely, there are no protective elements on the card. Even if they were, it would not be very helpful because people would not know what to check.

Altogether it means that the Czech Republic is a country where everybody can claim he is a policeman and this claim should be accepted. Two years ago, a young man created a police card from other material (photo paper instead of plastic) and was taking goods from shops for several weeks.

The same issue is connected with most of the law enforcement institutions across Europe. By the way, false policemen cases also demonstrate naiveness of unlimited reliance on biometry. Can anybody believe that a driver, stopped by a policeman, can identify this policeman through his fingerprint and policemen database record?

 

Ráj pro falešné policisty

Asi před dvěma týdny se stalo, že na poštu v Ježově na Hodonínsku přišel falešný policista a odnesl si několik desítek tisíc, pod záminkou, že bankovky jsou „kontaminovány“. Není to zdaleka ojedinělý případ. Internetový vyhledávač vás odkáže na desítky podobných případů z posledních let, v české republiky i zahraničí.

Narážíme tak na málo diskutovaný, nicméně nesmírně důležitý, aspekt osobních průkazů. Často se o nich hovoří v souvislostech s přechodem hranic a dalšími situacemi, kdy kontrolu provádí policejní složky. Samozřejmě, že potřebují postupovat efektivně a zvládnout prověřit ohromné masy lidí. Nicméně pořád jsou na tom tak, že pokud vás státní ozbrojené síly zadrží a mají podezření na vaši falešnou identitu, mají dost prostředků, aby se dozvěděli pravdu. Od důkladného výslechu přes databáze biometrických údajů až po konfrontaci s vašimi příbuznými.

Jenže miliony běžných občanů jsou v podobných situacích naprosto bezmocné. Kdykoliv je může oslovit osoba vybavená policejním průkazem a požádat v zásadě o cokoliv. Přijít o peníze ještě není tak špatné. Co kdyby falešný policista nasadil pošťačce pouta a odvedl si ji s sebou? A pokud snad neuvěříte, že dotyčná osoba je opravdu policista a kladete odpor, můžete očekávat poměrně drastické následky (jak se občas taky stává).

Pokud jsou tedy s policejním odznakem  a policejním průkazem spojeny tak obrovské možnosti a rizika, bylo by logické, že budou odpovídajícím způsobem chráněny. To by obnášelo minimálně to, že na webové stránce Policie ČR by visel detailní popis průkazu a odznaku, včetně ochranných prvků jako hologram či vodoznak. Byly by popsány tak, aby je běžný občan dokázal poznat na první pohled. A měly by takové parametry, že by je padělatel nedokázal napodobit ani na základě popisu na webu. Průkaz by samozřejmě musel být chráněn takovým způsobem, aby nebylo možné vyrobit hodnověrný padělek ani úpravou průkazu padělaného. Jak poznat pravý policejní průkaz – o tom by se občas mluvilo i v televizi a učily by se to i třeba děti ve škole.

Jenže realita? Na internetové stránce Policie ČR najdete malý nejasný náhled, a to je vše. Ochranné prvky nejspíš nejsou aplikovány žádné. I kdyby byly, příliš by to nepomohlo, protože by občané nevěděli, co kontrolovat.

Česká republika je tedy zemí, kde se může každý představit jako policista a každý musí jeho tvrzení akceptovat. Ostatně, jak snadné je podvádět ukázal mladík, který při výrobě falešného policejního průkazu nedodržel ani základní materiál (použil fotopapír místo plastu) a po několik týdnů si odnášel zboží z obchodů.

Jestliže má policie prostředky na luxusní automobily, a přitom není schopna vyřešit označování svých lidí, něco není v pořádku. Což, ostatně, není problémem jen Policie ČR, ale i dalších orgánů veřejné moci.

Mimochodem, případy falešných policistů dobře ukazují, jak naivní je neomezená důvěra v biometrii. Nebo snad někdo věří, že v budoucnu bude možné postupovat tak, že vás zastaví dopravní policista, vy vytáhnete z auta čtečku, načtete otisk jeho palce a zkontrolujete ho v policejní databázi?