כל העולם ואחותו שכותבים באיזה בלוג או בעיתונות כבר כתבו על הסכנות במאגר הביומטרי אולם נראה כי חלק לא קטן מהאנשים עדיין לא מבין על מה המהומה, אז רציתי להדגים משהו קטן.

לשם הדוגמא, נניח ואני פורץ לבנק, נניח בנק דיסקונט ואני מצליח עם טריקים שונים “להעלים” סכום של 100,000 שקל. מתי הבנק ירגיש בכך? תלוי מתי אני פורץ. בלילה לדוגמא, השרתים של הבנק מריצים סקריפטים שונים שמזכים חשבונות (העברות, הפקדות וכו’) ומחייבים חשבונות. (אם יש לכם מספר תנועות ביום, כנסו לחשבונכם בסביבות 8 בערב, תסתכלו על התנועות, ולאחר מכן כנסו בסביבות 10, חצות ו-2 בלילה, אתם תראו תנועות שונות).

אז נניח שהבנק ירגיש בגניבה תוך שעות ספורות. מה הבנק יעשה? צוות אבטחת המידע של הבנק יגש מיד לעבודה, יבדוק כתובות IP, יודיע למשטרה, יראה האם מעורבים שרתים נוספים בגניבה וכו’, כלומר הבנק מהרגע שמבחין בגניבה – פועל מיד להשבת הכספים ומעצר הגונב וגם מטפל בפירצת האבטחה וכו’. זה לא רק בבנק דיסקונט, זה בכל בנק.

מהבנק נעבור למגזר הממשלתי. החלטתי לגנוב מסמך או תיקיית מסמכים שאני מעוניין בה ואין לי רשות לגשת אליה. טריקים פה, טריקים שם והופס – התיקיית קבצים היא אצלי.

למעט גופים בטחוניים מובהקים (שב”כ, מוסד, שב”ס, חלקים ממשרד הבטחון) – בשאר הגופים אבטחת מידע היא בדיחה עצובה ותו לא. במקרים רבים פתרונות האבטחה הן קופסאות מאוד יקרות שנרכשו והביאו צד ג’ שיגדיר אותם (כמובן שצד ג’ לא לימד את האחראים לעומק מה הקופסא עושה, מה התכונות ואיך להגדיר. השתגעתם?). אז כן, אם אנסה לפרוץ מבחוץ ע”י סריקה של כל מיני פורטים, בוודאי שלא אגיע רחוק, לעומת זאת, אם אמצא איזו עובדת או עובד שנמצאים במצוקת מזומנים (או עובד ממורמר על מקום עבודתו), אתן להם חבילת מרשרשים ואיזה Disk on Key קטנטן והוראה “פשוט תריצי את התוכנה שננמצאת על הדיסק און קי”, סיכויי לשאוב את המידע גדולים בהרבה.

לאחר שקיבלתי את המידע הגנוב, מה הסיכוי שיתפסו אותי? קלוש. מדוע? כי רמת האבטחת מידע היא נמוכה, ובמקרים רבים אין מעקב אחר תעבורת קבצים, או שהגדרות האבטחה הן חלשות ומי שמנהל את המערכת הולך By the book ופשוט מתקין רק עדכוני אבטחה. אם אשתמש באיזה Zero Day Attack, הסיכוי שלי לקבל את אותו מידע תוך עקיפת מנגנוני האבטחה הוא גבוה, והסיכוי להיתפס – נמוך.

מכאן נעבור למאגר הביומטרי.

במדינות רבות בעולם, עניין הטמעת מנגנונים ביומטריים הוא דבר שנכנס בהרבה מערכות ציבוריות ופרטיות, רק שבניגוד לישראל, אין לממשלה שם מאגר מרכזי יחיד עם טביעות האצבע. שם, הן שמורות על הכרטיס ותו לא (למעט במקרים של חברות שמאחסנות את הטביעות בשרתים שלהם). אם יש לך לדוגמא מחשב נייד עם סורק אצבע, אז סריקת טביעת האצבע שלך נמצאת מוצפנת במחשב שלך, אבל היא לא נמצאת בשרתים של מיקרוסופט.

מאגר כזה הוא החלום הרטוב של גורמים פליליים, משרדי חקירות ובלשים פרטיים. האפשרות להפליל אותך גדלה שבעתיים מהמצב הנוכחי. קחו סתם דוגמא תיאורתית: ישבתם במסעדה, אכלתם, עזבתם את המקום ולאחר שעה אירע שם רצח והרוצח ברח. טביעות האצבעות שלכם תימצאנה במהירה ואתם תקבלו טלפון מהמשטרה או שוטר קשוח בדלתכם, כי המשטרה תשתמש במאגר כדי להגיע אליכם ולתשאל אתכם מה עשיתם במקום, מתי היית ואם יש לך הוכחות/אליבי. אין לך? ברכותיי, אתה חשוד. מכיר עו”ד טוב?

נחזור למסעדה – נניח שהרוצח רוצה להפליל אתכם. לא צריך להיות פרופסור כדי לדעת איך להעתיק טביעות אצבע שכבר השארתם במקום. יש מספיק אתרים ומדריכים ברשת לשם כך. כל מה שהרוצח צריך לעשות, זה להעתיק את טביעת האצבע שלך ממקום אחד, ולהדביק אותה בזירת הרצח במקום מחשיד, נניח על השולחן בו ישב האדם שנרצח. לא היית במקום? חובת ההוכחה היא עליך או שתכיר את אבו כביר מבפנים.

המדינה כבר עתה לא יודעת להגן אפילו על הפיילוט! עוד לפני שנאספה אפילו טביעת אצבע אחת, מחדלי האבטחה כבר חוגגים ונראה שמי שמקימי המאגר ובמיוחד החלק שאחראי על הנפקת התעודות פשוט לא מבינים באבטחה! אז כל הבטחותיו של שר הפנים הנכבד הן הבטחות ריקות שהמאגר לא יפרץ/יועתק.

מומחי אבטחה בעלי שם עולמי כבר התריעו עוד לפני שנה ושנתיים שמאגר כזה יפרץ ויועתק, אולם ח”כ שטרית ואחרים העדיפו להתעלם, ועכשיו גם השר סער מעדיף להתעלם. כשגורמים פליליים יגנבו את המאגר ויתחילו להשתמש בזה, לא תהיה אפשרות לחזור לאחור ועד שתתגלה הפריצה אותם גורמים יחגגו.

כמה שנים הסתובב המאגר “אגרון” בשוק? עוד מ-2003. מתי המשטרה עצרה בתכל’ס חשודים? ב-2011! אנחנו באמת צריכים סיבוב שני של זה?

היכן, היכן השכל שם???