השטות של המאגר הביומטרי

כל העולם ואחותו שכותבים באיזה בלוג או בעיתונות כבר כתבו על הסכנות במאגר הביומטרי אולם נראה כי חלק לא קטן מהאנשים עדיין לא מבין על מה המהומה, אז רציתי להדגים משהו קטן.

לשם הדוגמא, נניח ואני פורץ לבנק, נניח בנק דיסקונט ואני מצליח עם טריקים שונים “להעלים” סכום של 100,000 שקל. מתי הבנק ירגיש בכך? תלוי מתי אני פורץ. בלילה לדוגמא, השרתים של הבנק מריצים סקריפטים שונים שמזכים חשבונות (העברות, הפקדות וכו’) ומחייבים חשבונות. (אם יש לכם מספר תנועות ביום, כנסו לחשבונכם בסביבות 8 בערב, תסתכלו על התנועות, ולאחר מכן כנסו בסביבות 10, חצות ו-2 בלילה, אתם תראו תנועות שונות).

אז נניח שהבנק ירגיש בגניבה תוך שעות ספורות. מה הבנק יעשה? צוות אבטחת המידע של הבנק יגש מיד לעבודה, יבדוק כתובות IP, יודיע למשטרה, יראה האם מעורבים שרתים נוספים בגניבה וכו’, כלומר הבנק מהרגע שמבחין בגניבה – פועל מיד להשבת הכספים ומעצר הגונב וגם מטפל בפירצת האבטחה וכו’. זה לא רק בבנק דיסקונט, זה בכל בנק.

מהבנק נעבור למגזר הממשלתי. החלטתי לגנוב מסמך או תיקיית מסמכים שאני מעוניין בה ואין לי רשות לגשת אליה. טריקים פה, טריקים שם והופס – התיקיית קבצים היא אצלי.

למעט גופים בטחוניים מובהקים (שב”כ, מוסד, שב”ס, חלקים ממשרד הבטחון) – בשאר הגופים אבטחת מידע היא בדיחה עצובה ותו לא. במקרים רבים פתרונות האבטחה הן קופסאות מאוד יקרות שנרכשו והביאו צד ג’ שיגדיר אותם (כמובן שצד ג’ לא לימד את האחראים לעומק מה הקופסא עושה, מה התכונות ואיך להגדיר. השתגעתם?). אז כן, אם אנסה לפרוץ מבחוץ ע”י סריקה של כל מיני פורטים, בוודאי שלא אגיע רחוק, לעומת זאת, אם אמצא איזו עובדת או עובד שנמצאים במצוקת מזומנים (או עובד ממורמר על מקום עבודתו), אתן להם חבילת מרשרשים ואיזה Disk on Key קטנטן והוראה “פשוט תריצי את התוכנה שננמצאת על הדיסק און קי”, סיכויי לשאוב את המידע גדולים בהרבה.

לאחר שקיבלתי את המידע הגנוב, מה הסיכוי שיתפסו אותי? קלוש. מדוע? כי רמת האבטחת מידע היא נמוכה, ובמקרים רבים אין מעקב אחר תעבורת קבצים, או שהגדרות האבטחה הן חלשות ומי שמנהל את המערכת הולך By the book ופשוט מתקין רק עדכוני אבטחה. אם אשתמש באיזה Zero Day Attack, הסיכוי שלי לקבל את אותו מידע תוך עקיפת מנגנוני האבטחה הוא גבוה, והסיכוי להיתפס – נמוך.

מכאן נעבור למאגר הביומטרי.

במדינות רבות בעולם, עניין הטמעת מנגנונים ביומטריים הוא דבר שנכנס בהרבה מערכות ציבוריות ופרטיות, רק שבניגוד לישראל, אין לממשלה שם מאגר מרכזי יחיד עם טביעות האצבע. שם, הן שמורות על הכרטיס ותו לא (למעט במקרים של חברות שמאחסנות את הטביעות בשרתים שלהם). אם יש לך לדוגמא מחשב נייד עם סורק אצבע, אז סריקת טביעת האצבע שלך נמצאת מוצפנת במחשב שלך, אבל היא לא נמצאת בשרתים של מיקרוסופט.

מאגר כזה הוא החלום הרטוב של גורמים פליליים, משרדי חקירות ובלשים פרטיים. האפשרות להפליל אותך גדלה שבעתיים מהמצב הנוכחי. קחו סתם דוגמא תיאורתית: ישבתם במסעדה, אכלתם, עזבתם את המקום ולאחר שעה אירע שם רצח והרוצח ברח. טביעות האצבעות שלכם תימצאנה במהירה ואתם תקבלו טלפון מהמשטרה או שוטר קשוח בדלתכם, כי המשטרה תשתמש במאגר כדי להגיע אליכם ולתשאל אתכם מה עשיתם במקום, מתי היית ואם יש לך הוכחות/אליבי. אין לך? ברכותיי, אתה חשוד. מכיר עו”ד טוב?

נחזור למסעדה – נניח שהרוצח רוצה להפליל אתכם. לא צריך להיות פרופסור כדי לדעת איך להעתיק טביעות אצבע שכבר השארתם במקום. יש מספיק אתרים ומדריכים ברשת לשם כך. כל מה שהרוצח צריך לעשות, זה להעתיק את טביעת האצבע שלך ממקום אחד, ולהדביק אותה בזירת הרצח במקום מחשיד, נניח על השולחן בו ישב האדם שנרצח. לא היית במקום? חובת ההוכחה היא עליך או שתכיר את אבו כביר מבפנים.

המדינה כבר עתה לא יודעת להגן אפילו על הפיילוט! עוד לפני שנאספה אפילו טביעת אצבע אחת, מחדלי האבטחה כבר חוגגים ונראה שמי שמקימי המאגר ובמיוחד החלק שאחראי על הנפקת התעודות פשוט לא מבינים באבטחה! אז כל הבטחותיו של שר הפנים הנכבד הן הבטחות ריקות שהמאגר לא יפרץ/יועתק.

מומחי אבטחה בעלי שם עולמי כבר התריעו עוד לפני שנה ושנתיים שמאגר כזה יפרץ ויועתק, אולם ח”כ שטרית ואחרים העדיפו להתעלם, ועכשיו גם השר סער מעדיף להתעלם. כשגורמים פליליים יגנבו את המאגר ויתחילו להשתמש בזה, לא תהיה אפשרות לחזור לאחור ועד שתתגלה הפריצה אותם גורמים יחגגו.

כמה שנים הסתובב המאגר “אגרון” בשוק? עוד מ-2003. מתי המשטרה עצרה בתכל’ס חשודים? ב-2011! אנחנו באמת צריכים סיבוב שני של זה?

היכן, היכן השכל שם???

מאגר ביומטרי: הנה סיפור מעניין

זה זמן אני מחפש עבודה (כן, איש סיסטם לינוקס, לא פרילאנסר, בעל הבית שלי אלרגי לשוטף + נצח זמן תשלום) והבוקר נמאס לי, אז החלטתי לשים פעמיי ללשכת התעסוקה (לא הייתי בעבר כי לא הייתי זכאי לתשלום אבטלה.. ככה זה שמי ששוכר אותך מחליט אחרי 3-4 חודשים ששכר אותך לקצץ את המשרה שלך … ושל עוד 50 אנשים כי "כנראה" הולכים לרכוש את החברה). אמרתי לעצמי: אולי, אולי בין עבודות הסידור ארגזים / שטיפת כלים / עוזר שף / מחסנאי, אולי נמצא איזה עבודה במחשבים.. אני טיפוס אופטימי נו… 🙂

חיפשתי ברשימות, ומצאתי עבודה אחת .. קלדנות. החלטתי "להמר" על זה ונראה מה יהיה. צריך קצב של הקלדה של יותר מ-60 מילים בדקה (בעברית אני במהירות של 3 ספרות לדקה) והעבודה היא ל-7 שעות יומיות + שעות נוספות. כמה משלמים? אה, שאלה טובה, לפקיד אין מושג ירוק.

לאחר שנתתי לו את מס' המשרה, הגיע החלק המעניין: הבחור ניגש איתי לעמדה ממוחשבת שם המתין לנו מסך מגע ו.. סורק אצבע, וכך רבים לא יודעים אולי, אבל מדינת ישראל מוכנה לתת לך תעסוקה אך ורק אם האצבע שלך תיסרק באותו מעמד. סורקים אותך באיכות נמוכה, אח"כ באיכות גבוהה.

אינני יודע אם הסריקה הולכת למשרד הפנים. אני מהמר ש-כן. מכיוון שהפקיד שם קצת לחץ (בלחיצה כמו של פטיש!) על האצבע הנסרקת, החלטתי לבדוק משהו: ביקשתי ממנו שיסרוק מחדש (המצאתי תירוץ: יש לי לכלוך על האצבע, הנה אני מנקה) ומה רואות עיניי? שעל מנת לעדכן את סריקת האצבע שלי, הפקיד מקיש את אותו קוד שהקיש כדי להכניס את הסריקה הראשונה שלי! זה לא חור אבטחה, זה חור שאפשר להעביר דרכו צי משאיות!!

מה החור הזה בעצם אומר? שאם מחר איזה עבריין רוצה להפליל מישהו, כל מה שהם צריכים את הקוד (שלא ממש קשה לזכור אותו.. הוא 5 או 6 ספרות כמדומני, לא ניסיתי לזכור אותו) ואז אפשר להחליף את הסריקה של העבריין בסריקה של מישהו אחר. אם יש רפליקציה (או לחלופין מאגר מאוחד) של סריקות האצבע, אותו עבריין לא ייתפס כי במשטרה (שוב, אם המאגר שלה משוכפל או משותף עם משרד ממשלתי אחר) יש מידע שונה מהמידע האמיתי. כל עניין השינוי יקח בערך .. 30 שניות, והרי כולנו יודעים כמה "קשה" לשחד פקיד ממשלתי לתת את הקוד…

חברים יקרים, קוראים נכבדים.. זו לא אבטחת מידע. זו בדיחה! שוב, אין לי מושג אם המשטרה מקבלת מלשכת התעסוקה או ממשרדים אחרים את סריקות האצבע, אבל הקלות המבהילה בה ניתן לשנות סריקת אצבע צריכה היתה להדליק נורות אדומות בראש כל חברה שכתבה את התוכנה ובגוף שהכין את המפרט והשיטה לסרוק ו/או לשנות סריקת אצבע, ואם לא ישנו את השיטה בקרוב, לא יקח זמן רב עד שעבריינים יתפסו את הפואנטה והזיופים יתחילו.

עדכון: למי ששאל, בסוף לא לקחתי את העבודה. לא יודע, 2800 ש"ח לחודש (כן, ברוטו)..

כמה מילים על המאגר הביומטרי

אין ספק שהנושא מאוד חם בבלוגים (101 בלוגרים כתבו עליו עד כה לפי האתר של שוקי גלילי). רבים הסבירו באריכות, בפשטות ובשלל צורות כמה המאגר הזה יזיק יותר משיועיל, עוד מעצם קיומו ועד להעתקתו ושימוש בתוכן ע”י גורמים פליליים. אני רוצה לתפוס גישה מעט שונה.

אתחיל עם סיפור קצר שהתרחש לפני מס’ שנים. ישבתי עם איש מערכות מידע שעובד בבנק כלשהו לאכול משהו בזמן שהיה להם הפסקת אוכל, והוא התפאר בפניי איך הבנק מתחזק את המערכות שלהם כך שמידע לא יזלוג וכיום זולת מס’ אנשים באותו סניף, אין לאיש אפשרות לדעת פרטים על החשבון (כמו תנועות, מצב חסכונות וכו’). חייכתי. הרי ידוע שמידע של לקוחות בבנקים הם לא דבר שכל כך קשה להשיג ואמרתי לו זאת, אך הוא התווכח וטען שהמערכות סגורות. החלטנו להתערב על סכום צנוע של 50 ש”ח. הוא יתן את שמו המלא והעיר שהוא גר, אני משיג לו דרך צד ג’ את 3 התנועות האחרונות שהוא ביצע בחשבון הבנק שלו מבלי לדעת את מס’ חשבון הבנק שלו או מס’/שם סניף. התנאי הוא: אני לא משתמש בשום מחשב, ואני עושה את הכל מולו בזמן שאנחנו אוכלים, גג חצי שעה המידע אצלו או שאני מפסיד 50 ש”ח.

הרמתי טלפון וביקשתי מאיש מחשבים שעובד בחברת חקירות לדלות את המידע הנ”ל (אותו איש מערכות מידע שעובד בבנק האזין לשיחה ולא השתתף) וביקשתי ממנו מה שאותו איש ואני התערבנו. רבע שעה לאחר מכן אותו איש מחשבים חייג בחזרה עם 3 השורות האחרונות: סכום הויזה החודשי שירד, וכן 2 פעולות משיכה מכספומט שאותו איש מערכות מידע ביצע. הוא היה בהלם.

image

ח”כ שטרית מנסה עם הועדה שהוא מנהל אותה להעביר בכל הכח את אותו חוק מאגר ביומטרי, כאילו שבלי אותו חוק המדינה מחר קורסת. כשמדברים איתו על כך שמאגר כזה יכול להיפרץ, הוא טוען שזה “בלתי אפשרי” וכי יש בידיו דו”ח “סודי” על כך שזה בלתי פריץ. משום מה אני בטוח שאם הדברים נכונים, מיקרוסופט, אורקל, סאן ועוד מס’ חברות ישמחו לרכוש את ה”פטנט” הזה של מאגר נתונים בלתי פריץ, כי מה לעשות: אין מאגר נתונים בלתי פריץ.

זו בעצם הטעות המרכזית של מר שטרית: או שהוא נותן שיוליכו אותו באף (לאחרונה עלתה השמועה כי השם של חברת אבטחת המידע OTI כחברה ש”לוחשת באוזנו” של שטרית לגבי המאגר הביומטרי), או שהוא פשוט משקר לציבור.

אני אחזור שוב: לא חשוב כמה חומות אש ישימו, לא חשוב כמה מנגנוני אבטחה יוטמעו במערכת עם בסיסי נתונים רגישים, הכשל המרכזי אינו במערכות אלא באלו שמפעילים את המערכות. כל אדם ניתן לשיחוד או “שימון” תלוי בבעיות/צרות שיש לאותו אדם, וכסף, מה לעשות, זה דבר מסנוור.

מבחינה טכנית, שכפול הנתונים אינו דבר מסובך כל כך. (בשביל שלא יהיו לאנשים כל מיני רעיונות איך לעשות זאת אסביר בכלליות) כל מה שצריך לדעת הוא איזה בסיס נתונים מדובר, איזה עדכוני אבטחה מותקנים על השרתים ועל בסיס הנתונים, ומספיק שעדכון אבטחה אחד קריטי של בסיס הנתונים שלא הותקן, כדי להשתמש בפירצה זו ע”י סקריפט שאותו ניתן לשמור על Disk On Key עם נפח אכסון גדול (יש כיום כבר 256 ג’יגה!), ולבקש מאותו איש משוחד להכניס את הדיסק און קי לתחנה שלו או לשרת (משום מה בשרתים במקרים רבים שוכחים לנעול את כניסות ה-USB), ולהריץ את הסקריפט. הסקריפט יכול “להתחבא” וליצור snapshot דחוס בשקט מבלי שאף אחד ירגיש, כולל תמונות ומידע אחר (תלוי בבסיס הנתונים, שיטת אחסון – אם זה בקבצים או ישירות בתוך הבסיס נתונים). הסקריפט יכול למחוק לאחר מכן מהמערכת כל הודעה שנעשתה פעולה מחשידה כולל מההיסטוריה של המשתמש.

לאחר מכן, כשיש את הנתונים לגוף המשחד, כל מה שצריך לעשות זה לבנות דף/תוכנת גישה פשוטה לנתונים, וזהו – יש לנו משהו ביד שאפשר להשתמש בו ולהפליל אחרים. מכאן הדרך קצרה שגורמים פליליים ישתמשו בנתונים כדי להפליל אחרים ומה שיותר חשוב: המידע הפרטי של אזרחי ישראל נמצא בידיים עוינות.

ח”כ שטרית היקר: מאכילים אותך לוקשים ואתה בולע את זה. עירא אברמוב ודורון אופק שמשתתפים בדיונים מכירים את המערכות האלו כמו את כף ידם והאמן לי שאתה יכול לסמוך על מילתם כשהם אומרים מה שהם אומרים על מאגר כזה. עו”ד יהונתן קלינגר בהחלט מבין גם בנושא. הם מומחים, אז אולי תתן להם צ’אנס ותרד מהעץ הזה בבקשה?