גניבת זהות ביומטרית

בעקבות פרשת כרטיסי האשראי בשבוע שעבר, קראתי הבוקר כתבה בכלכליסט שהתייחסה לגניבת מאגרי מידע באופן כללי, והקלות הבלתי נסבלת של גניבת נתונים אישיים ממאגרי מידע כמו פנקס הבוחרים. באופן טבעי, חלק גדול מהטוקבקים לכתבה דיבר על "המאגר הביומטרי" ומה יקרה כשהוא ייגנב; אבל אחת התגובות הצליחה להקפיץ אותי. כותב יורם מרחובות:


מה הקשר ביומטרי ??? אני לא מבין את הרפלקס המותנה בכל כתבה שמזכירה פריצה למאגר כלשהו לדבר על הביומטרי. יש במדינת ישראל הרבה מאגרי מידע שמאובטחים היטב. קצת מגוחך להשוות מאגר מידע שנבנה על ידי מומחי האבטחה של השב"כ למאגרי מידע של אתרי קופונים או דומיהם. קיימות היום דרכי אבטחה להגן על מאגרי מידע.

עצוב עד כדי טראגי, ברשותכם אנסה להסביר למה.

מאגר מידע נועד לשמור ולאחזר מידע. זה עד כדי כך פשוט: לא משנה מי אחראי לו וכמה שומרים חמושים עומדים בכניסה, עצם תכלית המאגר היא להכניס ולהוציא מידע. מאגר נתונים ביומטריים, על פי ההצעה שמנסה לקדם מאיר שטרית, הוא ריכוז גדול של טביעות אצבעות של כל אזרחי המדינה (ואולי גם צילומי פנים באיכות גבוהה או פטנטים אחרים); כל אדם שירצה לחדש תעודת זהות או דרכון יידרש למסור טביעת אצבעות, הן תישלחנה למאגר המידע המרכזי ותישמרנה שם. אם ביום מן הימים ירצה שוטר כלשהו לחקור את המעורבים בארוע מסויים, יוכל לבקש ולקבל את טביעות אצבעותיו של כל אחד מאיתנו. מידע נכנס, מידע יוצא. כל היתר זה פרטים שוליים: מי מורשה לבקש מידע, מי יכול לאשר את הבקשה, איזה סיווג בטחוני צריך על מנת לעבוד ברדיוס של 200 מטר מהמחשב המרכזי שבו הכל שמור.

האם יש ערך למידע הזה? בוודאי. החשש הגדול הוא שהמידע יהפוך להיות משחק ילדים, כפי שקרה לאחר דליפת מרשם האוכלוסין לפני כמה שנים: כל ילד משיג עותק של המאגר ומשוטט בו להנאתו, זה קל כמו טיול בוויקיפדיה בין הערכים באמצעות קליקים. ברגע שמאגר כמו "אגרון" משולב בנתונים ביומטריים, אז כל טביעת אצבע הופכת ללינק – וכל נוסע באוטובוס יכול לדעת מי אחז בעמוד לפניו, איפה הוא גר וכמה אחים יש לו. לא קשה לחשוב על סיטואציות בהן זה יכול להפוך למשהו פלילי, אבל גם ללא הפלילי זה לא רעיון טוב שכל מצלמת אבטחה בעולם תוכל אוטומטית לזהות מי ישראלי ומי לא.

אם מסירים את מגבלות הציניות, רואים ששום דבר לא מונע מפושעים "כבדים" להשתמש בטביעות אצבעותיו של אדם אחר בצורה מכוונת: מרגע שהמידע גלוי, אפשר גם לזייף אותו וכך להפליל אחרים. אף אחד לא יודע האם יעשו את זה, אבל זה אפשרי – וההבדל המשמעותי בין מאגר ביומטרי למספרי כרטיס אשראי הוא שכרטיסי אשראי אפשר לבטל ולהנפיק חדשים, אבל את טביעות האצבעות אי אפשר להחליף.

האם המידע הביומטרי יכול לדלוף? בוודאי. הרי מעצם טבעו המאגר נועד לשליפת מידע בדיוק באותה מידה כמו הכנסת מידע, המידע כבר שם וכל מה שצריך זה למצוא את הדרך לשאוב אותו החוצה.

עד כמה זה קשה לפרוץ את הגנות המאגר הביומטרי? שאלו את עצמכם: משכורת חודשית של שוטר היא, במקרה הטוב, לא יותר מ-10,000 שקל. יהיו אלפי שוטרים עם גישה למאגר המרכזי, כמה כסף צריך כדי למצוא שוטר אחד ולשכנע אותו לבקש נתונים ביומטריים מהמאגר המרכזי? בעבר הייתי בעמדה בכירה ביחידה צבאית עם מאגר נתונים אישיים לא קטן, היתה לי אפשרות טכנית (וכמוני לעוד עשרות אנשים) לשאוב את כל הפרטים מהמאגר ולהעביר אותם לאמצעי אחסון לא מאובטח, בצורה שלא היתה משאירה שום עקבות. כמה יעלה למצוא מישהו עם ההרשאות המתאימות ולהפעיל עליו לחץ כזה או אחר? האם הסכום הזה נשמע מופרך עבור עורך דין בכיר, או חברה מסחרית גדולה, או גוף מודיעין של ממשלה זרה?

בתיאוריה, הרעיון של "סיווג בטחוני" אמור לפתור את הבעיה הזו ע"י מניעת גישה ממי שאולי פעם יהיה אפשר להפעיל עליו לחץ. זה נחמד אבל לא רציני, הרי אנשים נמצאים בתפקידים רגישים במשך שנים ארוכות ומצבם האישי משתנה עם הזמן. וגם אם ננסה לשפר את ההגנות הטכניות על המאגר, זה רק עניין של זמן ולא משנה את הסיטואציה הבסיסית: המידע נמצא שם, ורק צריך לשלוף אותו.

אז מומחי האבטחה של השב"כ לא יכולים לעשות כלום? יש הבדל ענק בין מידע שקשה להשיג – כמו מחשב מוגן ומאובטח בסגנון "משימה בלתי אפשרית" – ובין מידע שפשוט לא קיים. הרבה יותר קל להימנע מהבעיה מאשר לנסות להתגונן מפניה. המצב כרגע הוא שלא שאלו את מומחי האבטחה האם כדאי להקים מאגר של מידע ביומטרי, אלא הנחו אותם להקים מאגר כזה ולהגן עליו – וזו נקודת התחלה גרועה מאוד.

מה הקשר לאתרי הקופונים? הטעות הקריטית של אתרי הקופונים לא היתה אבטחה קלוקלת, אלא עצם זה שהם שמרו את מספרי כרטיסי האשראי של הלקוחות. לא היתה להם שום סיבה הגיונית לשמור אפילו מספר כרטיס אשראי אחד לאחר ביצוע עסקה, אבל הם לא חשבו שיש בזה בעיה כלשהי. בלי לשים לב הם הקימו מאגר מידע על אלפי לקוחות, שאפשר היה להסתדר מצויין בלעדיו.

גם אם המאגר הביומטרי יוקם בצורה מוגנת הרמטית, ולא יתאפשר לאף טכנאי להחליף חלק מקולקל בלי תקופת נסיון של שנה ותחקיר בטחוני והמלצות ופיקוח צמוד – לא צריך יותר מהחלטה ניהולית אחת של הקמת "עותק מהיר" לשימוש של גוף אחר (נגיד, ביקורת הגבולות) כדי לשחרר את המידע מעול האבטחה. מקבלי ההחלטות לעולם לא יהיו מודעים לעומק הטכני של המשמעויות, סביר להניח שתוך כמה שנים תימצא דרך קלה יותר להגיע למידע הנכסף. ומרגע שיצא לאויר העולם – לא נוכל לעשות דבר.

מודעות פרסומת
פוסט זה פורסם בקטגוריה טכני. אפשר להגיע ישירות לפוסט זה עם קישור ישיר.

9 תגובות על גניבת זהות ביומטרית

  1. volcman הגיב:

    אם הוא אכן יוקם, זו תהיה בכייה לדורות, וגם זה בהמעטה. אנשים עוד לא מבינים את זה, וחבל.
    מתי יתעוררו? אחרי שהוא ידלוף, כשיבינו שכל הסוסים כבר ברחו מהאורווה…

    • עירא - Ira הגיב:

      "אם הוא אכן יוקם"? בשטחים יש מאגר ביומטרי של פלסטינים כבר מ2000, במשרד הרישוי יש מאגר ביומטרי של פנים של 3.5 מליון נהגים כבר מאז 2005 בערך (והם חולקים אותו חופשי עם משרד הפנים וסביר שגופים אחרים, הם לא מוכנים לספר), ולבסוף יש את המאגר של משרד הפנים שהוקם ויתחיל להתמלא בשבועות הקרובים ברגע שמשרד הפנים יציע אותו לאנשים בלשכות. כל התוכנה והחומרה כבר מוכנים, פחות או יותר…

  2. A הגיב:

    אז מה אתה מציע? להמנע מהקידמה?
    על בסיס אותה גישה, היינו עדיין מדליקים אש עם אבנים, מכיוון שגפרורים זה מסוכן.

    צריך לנהל סיכונים, יתכן בהחלט שמבחינת היתרונות והחסרונות זה יהיה כדאי להקים את המאגר,
    אבל אני לא חושב שמישהו חשב על כך, גם התומכים ולא המתנגדים.

    • יאיר הגיב:

      לא נאמר בשום מקום שצריך "להימנע מהקידמה". ההפך הוא הנכון.
      היו הרבה הצעות חלופיות למאגר הביומטרי, כמו למשל תעודות זהות חכמות עם חתימה דיגיטלית ונתוני זיהוי ביומטריים על גבי התעודה. פתרון כזה יאפשר לזהות קשר בין אדם לבין תעודת הזהות שלו, ולמנוע זיופים וכפילויות, ללא שום צורך במאגר מרכזי.
      ניהול הסיכונים הוא בדיוק הבעיה כאן – הסיכון במאגר ביומטרי הוא קולוסאלי ונראה שמקבלי ההחלטות עושים כל מה שהם יכולים כדי להתעלם מהסיכון. ובמקום להימנע מהבעיה, מנסים לחפש דרכים להגן על משהו שמלכתחילה לא זקוקים לו.

      • A הגיב:

        כלומר, אתם נגד מאגר מרכזי, אבל בעם תעודת זהות הכוללת נתוני זיהוי ביומטרים?
        האם תעודה כזו תהיה אפקטיבית ללא בדיקה מול מאגר מרכזי?

      • יאיר הגיב:

        אפקטיבית ועוד איך. המאגר המרכזי יכיל אינדיקציה של תעודות שהונפקו, כך יהיה ניתן לוודא שהתעודה אותנטית ולא נשללה מאז הנפקתה.
        הנתונים הביומטריים יישמרו רק על התעודה, ויאפשרו זיהוי ודאי של אדם מול תעודתו.
        התעודה עצמה תהיה חתומה דיגיטלית ע"י סמכות מרכזית, וכך תימנע אפשרות זיוף.

        כל זה הוסבר אינספור פעמים למקבלי ההחלטות, ולשווא.

      • A הגיב:

        1. כיצד בודקים שטביעת האצבע שעל התעודה היא מתאימה?
        ע"י מתן טביעת אצבע של האדם ובדיקה במכשיר שמשווה זאת לטביעה שבתעודה?

        2. גם כאשר מציגים עמדה נגדית, חשוב להבין את עמדת התומכים,
        קל להאשימם כבורים, אבל האמנם ההסבר למקבלי ההחלטות הינו לשווא?
        מה טיעוני הנגד שלהם?

      • יאיר הגיב:

        בגדול, כן.
        כמו שעירא כתב, אתה מוזמן לקרוא את פרוטוקול הוועדה כדי להבין מה היו טיעוני הנגד.

    • עירא - Ira הגיב:

      דברו על זה, כתבו על זה, ועדיין בעלי הידע והנסיון לא הצליחו לשכנע את בעלי השררה. אתה יכול לקרוא את מאות הכתבות והפוסטים בנושא, והפרוטוקולים של הוועדה בכנסת.

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s