השטות של המאגר הביומטרי

כל העולם ואחותו שכותבים באיזה בלוג או בעיתונות כבר כתבו על הסכנות במאגר הביומטרי אולם נראה כי חלק לא קטן מהאנשים עדיין לא מבין על מה המהומה, אז רציתי להדגים משהו קטן.

לשם הדוגמא, נניח ואני פורץ לבנק, נניח בנק דיסקונט ואני מצליח עם טריקים שונים “להעלים” סכום של 100,000 שקל. מתי הבנק ירגיש בכך? תלוי מתי אני פורץ. בלילה לדוגמא, השרתים של הבנק מריצים סקריפטים שונים שמזכים חשבונות (העברות, הפקדות וכו’) ומחייבים חשבונות. (אם יש לכם מספר תנועות ביום, כנסו לחשבונכם בסביבות 8 בערב, תסתכלו על התנועות, ולאחר מכן כנסו בסביבות 10, חצות ו-2 בלילה, אתם תראו תנועות שונות).

אז נניח שהבנק ירגיש בגניבה תוך שעות ספורות. מה הבנק יעשה? צוות אבטחת המידע של הבנק יגש מיד לעבודה, יבדוק כתובות IP, יודיע למשטרה, יראה האם מעורבים שרתים נוספים בגניבה וכו’, כלומר הבנק מהרגע שמבחין בגניבה – פועל מיד להשבת הכספים ומעצר הגונב וגם מטפל בפירצת האבטחה וכו’. זה לא רק בבנק דיסקונט, זה בכל בנק.

מהבנק נעבור למגזר הממשלתי. החלטתי לגנוב מסמך או תיקיית מסמכים שאני מעוניין בה ואין לי רשות לגשת אליה. טריקים פה, טריקים שם והופס – התיקיית קבצים היא אצלי.

למעט גופים בטחוניים מובהקים (שב”כ, מוסד, שב”ס, חלקים ממשרד הבטחון) – בשאר הגופים אבטחת מידע היא בדיחה עצובה ותו לא. במקרים רבים פתרונות האבטחה הן קופסאות מאוד יקרות שנרכשו והביאו צד ג’ שיגדיר אותם (כמובן שצד ג’ לא לימד את האחראים לעומק מה הקופסא עושה, מה התכונות ואיך להגדיר. השתגעתם?). אז כן, אם אנסה לפרוץ מבחוץ ע”י סריקה של כל מיני פורטים, בוודאי שלא אגיע רחוק, לעומת זאת, אם אמצא איזו עובדת או עובד שנמצאים במצוקת מזומנים (או עובד ממורמר על מקום עבודתו), אתן להם חבילת מרשרשים ואיזה Disk on Key קטנטן והוראה “פשוט תריצי את התוכנה שננמצאת על הדיסק און קי”, סיכויי לשאוב את המידע גדולים בהרבה.

לאחר שקיבלתי את המידע הגנוב, מה הסיכוי שיתפסו אותי? קלוש. מדוע? כי רמת האבטחת מידע היא נמוכה, ובמקרים רבים אין מעקב אחר תעבורת קבצים, או שהגדרות האבטחה הן חלשות ומי שמנהל את המערכת הולך By the book ופשוט מתקין רק עדכוני אבטחה. אם אשתמש באיזה Zero Day Attack, הסיכוי שלי לקבל את אותו מידע תוך עקיפת מנגנוני האבטחה הוא גבוה, והסיכוי להיתפס – נמוך.

מכאן נעבור למאגר הביומטרי.

במדינות רבות בעולם, עניין הטמעת מנגנונים ביומטריים הוא דבר שנכנס בהרבה מערכות ציבוריות ופרטיות, רק שבניגוד לישראל, אין לממשלה שם מאגר מרכזי יחיד עם טביעות האצבע. שם, הן שמורות על הכרטיס ותו לא (למעט במקרים של חברות שמאחסנות את הטביעות בשרתים שלהם). אם יש לך לדוגמא מחשב נייד עם סורק אצבע, אז סריקת טביעת האצבע שלך נמצאת מוצפנת במחשב שלך, אבל היא לא נמצאת בשרתים של מיקרוסופט.

מאגר כזה הוא החלום הרטוב של גורמים פליליים, משרדי חקירות ובלשים פרטיים. האפשרות להפליל אותך גדלה שבעתיים מהמצב הנוכחי. קחו סתם דוגמא תיאורתית: ישבתם במסעדה, אכלתם, עזבתם את המקום ולאחר שעה אירע שם רצח והרוצח ברח. טביעות האצבעות שלכם תימצאנה במהירה ואתם תקבלו טלפון מהמשטרה או שוטר קשוח בדלתכם, כי המשטרה תשתמש במאגר כדי להגיע אליכם ולתשאל אתכם מה עשיתם במקום, מתי היית ואם יש לך הוכחות/אליבי. אין לך? ברכותיי, אתה חשוד. מכיר עו”ד טוב?

נחזור למסעדה – נניח שהרוצח רוצה להפליל אתכם. לא צריך להיות פרופסור כדי לדעת איך להעתיק טביעות אצבע שכבר השארתם במקום. יש מספיק אתרים ומדריכים ברשת לשם כך. כל מה שהרוצח צריך לעשות, זה להעתיק את טביעת האצבע שלך ממקום אחד, ולהדביק אותה בזירת הרצח במקום מחשיד, נניח על השולחן בו ישב האדם שנרצח. לא היית במקום? חובת ההוכחה היא עליך או שתכיר את אבו כביר מבפנים.

המדינה כבר עתה לא יודעת להגן אפילו על הפיילוט! עוד לפני שנאספה אפילו טביעת אצבע אחת, מחדלי האבטחה כבר חוגגים ונראה שמי שמקימי המאגר ובמיוחד החלק שאחראי על הנפקת התעודות פשוט לא מבינים באבטחה! אז כל הבטחותיו של שר הפנים הנכבד הן הבטחות ריקות שהמאגר לא יפרץ/יועתק.

מומחי אבטחה בעלי שם עולמי כבר התריעו עוד לפני שנה ושנתיים שמאגר כזה יפרץ ויועתק, אולם ח”כ שטרית ואחרים העדיפו להתעלם, ועכשיו גם השר סער מעדיף להתעלם. כשגורמים פליליים יגנבו את המאגר ויתחילו להשתמש בזה, לא תהיה אפשרות לחזור לאחור ועד שתתגלה הפריצה אותם גורמים יחגגו.

כמה שנים הסתובב המאגר “אגרון” בשוק? עוד מ-2003. מתי המשטרה עצרה בתכל’ס חשודים? ב-2011! אנחנו באמת צריכים סיבוב שני של זה?

היכן, היכן השכל שם???

מאגר ביומטרי: הנה סיפור מעניין

זה זמן אני מחפש עבודה (כן, איש סיסטם לינוקס, לא פרילאנסר, בעל הבית שלי אלרגי לשוטף + נצח זמן תשלום) והבוקר נמאס לי, אז החלטתי לשים פעמיי ללשכת התעסוקה (לא הייתי בעבר כי לא הייתי זכאי לתשלום אבטלה.. ככה זה שמי ששוכר אותך מחליט אחרי 3-4 חודשים ששכר אותך לקצץ את המשרה שלך … ושל עוד 50 אנשים כי "כנראה" הולכים לרכוש את החברה). אמרתי לעצמי: אולי, אולי בין עבודות הסידור ארגזים / שטיפת כלים / עוזר שף / מחסנאי, אולי נמצא איזה עבודה במחשבים.. אני טיפוס אופטימי נו… 🙂

חיפשתי ברשימות, ומצאתי עבודה אחת .. קלדנות. החלטתי "להמר" על זה ונראה מה יהיה. צריך קצב של הקלדה של יותר מ-60 מילים בדקה (בעברית אני במהירות של 3 ספרות לדקה) והעבודה היא ל-7 שעות יומיות + שעות נוספות. כמה משלמים? אה, שאלה טובה, לפקיד אין מושג ירוק.

לאחר שנתתי לו את מס' המשרה, הגיע החלק המעניין: הבחור ניגש איתי לעמדה ממוחשבת שם המתין לנו מסך מגע ו.. סורק אצבע, וכך רבים לא יודעים אולי, אבל מדינת ישראל מוכנה לתת לך תעסוקה אך ורק אם האצבע שלך תיסרק באותו מעמד. סורקים אותך באיכות נמוכה, אח"כ באיכות גבוהה.

אינני יודע אם הסריקה הולכת למשרד הפנים. אני מהמר ש-כן. מכיוון שהפקיד שם קצת לחץ (בלחיצה כמו של פטיש!) על האצבע הנסרקת, החלטתי לבדוק משהו: ביקשתי ממנו שיסרוק מחדש (המצאתי תירוץ: יש לי לכלוך על האצבע, הנה אני מנקה) ומה רואות עיניי? שעל מנת לעדכן את סריקת האצבע שלי, הפקיד מקיש את אותו קוד שהקיש כדי להכניס את הסריקה הראשונה שלי! זה לא חור אבטחה, זה חור שאפשר להעביר דרכו צי משאיות!!

מה החור הזה בעצם אומר? שאם מחר איזה עבריין רוצה להפליל מישהו, כל מה שהם צריכים את הקוד (שלא ממש קשה לזכור אותו.. הוא 5 או 6 ספרות כמדומני, לא ניסיתי לזכור אותו) ואז אפשר להחליף את הסריקה של העבריין בסריקה של מישהו אחר. אם יש רפליקציה (או לחלופין מאגר מאוחד) של סריקות האצבע, אותו עבריין לא ייתפס כי במשטרה (שוב, אם המאגר שלה משוכפל או משותף עם משרד ממשלתי אחר) יש מידע שונה מהמידע האמיתי. כל עניין השינוי יקח בערך .. 30 שניות, והרי כולנו יודעים כמה "קשה" לשחד פקיד ממשלתי לתת את הקוד…

חברים יקרים, קוראים נכבדים.. זו לא אבטחת מידע. זו בדיחה! שוב, אין לי מושג אם המשטרה מקבלת מלשכת התעסוקה או ממשרדים אחרים את סריקות האצבע, אבל הקלות המבהילה בה ניתן לשנות סריקת אצבע צריכה היתה להדליק נורות אדומות בראש כל חברה שכתבה את התוכנה ובגוף שהכין את המפרט והשיטה לסרוק ו/או לשנות סריקת אצבע, ואם לא ישנו את השיטה בקרוב, לא יקח זמן רב עד שעבריינים יתפסו את הפואנטה והזיופים יתחילו.

עדכון: למי ששאל, בסוף לא לקחתי את העבודה. לא יודע, 2800 ש"ח לחודש (כן, ברוטו)..