יומן אבטחה

הבטחתי ברשימה קודמת לפרט יותר על הנושא הביומטרי ומדוע הוא פחות טוב ממה שנהוג לחשוב. אז דבר ראשון אני מפנה למשהו שכתבתי לפני כשנה. בעיקרון ביומטרי הוא מנגנון המבוסס על:

• סיסמא (טביעת האצבע).
• (סיסמא) קבועה (טביעת האצבע אינה משתנה).
• (סיסמא) שלא ניתן להסתיר (אנו משאירים טביעות אצבעות בכל מקום).

בניגוד לתדמית הרווחת, מנגנון ביומטרי אינו יודע לזהות טביעות אצבע (או כל טביעה אחרת), אלא הוא מסוגל להשוות דגימה של טביעה ביומטרית לדגימות הקיימות במאגר הנתונים. כך שהכשל הפוטנציאלי הראשון במנגנון ביומטרי הוא כשל הדגימה. נניח שלכל בנאדם טביעת אצבע ייחודית (אני כותב נניח כי למיטב ידיעתי אין מחקרים רבים בנושא), אין בכך כדי להעיד כי החיישן שלנו מצליח לדגום את טביעות האצבע השונות בצורה ייחודית. לשם המחשה - יש מיליארד הודים בהודו, אך למי שמבקר בהודו הם כולם נראים אותו דבר. כלומר, העובדה שיש שונות באוכלוסיה אינה מעידה בהכרח שהשונות תבוא לידי ביטוי במנגנון הדגימה והתצפית שלנו. כמובן שאם השונות לא באה לידי ביטוי בחיישנים שלנו, היכולת שלנו להבדיל בין הפרטים השונים אינה קשורה למידת השונות בין הפרטים אלא למידת הרגישות של המכשיר.

הכשל השני של מנגנון ביומטרי הוא שהוא מבוסס על סיסמא קבועה, שאינה מתחלפת ושאותה לא ניתן להסתיר. למעשה, כל אחד יכול לקחת טביעות אצבעות שלנו מכל מקום בו היינו. הסיבה היחידה שהדבר לא נעשה עד היום הוא שאין לכך כל שימוש. המשטרה לא רשאית לעשות זאת ולאחרים זה פשוט לא מקנה זכויות כלשהן. כמובן שככל שמנגנונים ביומטריים יהיו יותר זמינים ובשימוש התמונה זו תשתנה. נניח והצליחו לגנוב לי את טביעת האצבע ולייצר טביעה מזויפת, מה עושים? אני לא יכול להחליף את האצבע והמשמעות הרחבה יותר היא כשל של המנגנון כולו. להבדיל ממנגנוני אבטחה המתבססים על מתמטיקה ובהם כשל בנקודה אחת (אובדן המפתח) אינו מעיד על כשל במערכת, במנגנון ביומטרי כשל בנקודה אחת מהווה כשל של כל המערכת.

הכשל השלישי של מנגנון ביומטרי הוא שחלק מאוכלוסיית העולם בלתי דגימה. כלומר, היא לא תעבור מערכות ביומטריות ולטובת אוכלוסיות אלה צריך להחזיק מנגנון אבטחה נוסף. אם אנו מקבלים את הטענה (השגויה לטעמי) שאין יותר מאובטח מביומטרי, המשמעות היא שלעד נצטרך לעשות שימוש גם במנגנונים לא מספיק מאובטחים במקביל לביומטרי. אגב, ההערכות מדברות על סדר גודל של חמישה עד עשרה אחוזים שלא יעברו ביומטרי.

הכשל הרביעי של מנגנון ביומטרי הוא הקשר בין נוחות תפעולית לאבטחה. זהו קשר שלילי - ככל שהמערכת יותר מאובטחת יהיו בה יותר מקרים של הכשלת גורמים מורשים. ככל שהיא יותר נוחה לשימוש יהיו בה יותר מקרים של הכנסת גורמים לא מורשים. פועל יוצא הוא שנוחות המשתמש מתנגשת בצורה די ישירה עם רמת האבטחה, מה שלא קיים במנגנונים אחרים.

זה בקצרה על ביומטרי. ועדיין במקרים מסוימים אני בהחלט ממליץ לעשות שימוש במנגנונים ביומטריים. הכל בהתאם לניתוח הסיכונים ולצרכים הארגוניים.

צנזורה היא אבטחה של כישלון. כאשר חברות או ארגונים מפעילים צנזורה פירושו של דבר שמנגנוני האבטחה שהיו אמורים לפעול נכשלו. במובן זה צנזורה היא דבר חיובי - היא מהווה את מנגנון האבטחה האחרון לפני כשלון מלא. לעתים, לעתים רבות מדי, הצנזורה משמשת כמנגנון האבטחה הראשי ובמקרה זה מדובר בכשלון. כותבת שושנה פורבס על כך שהבעיה האמיתית של פורנו מגיעה דרך ספאם ותוכנות פרזיטיות. היא צודקת. הבעיה אינה גלישה רצונית לאתרי פורנו - אלא גלישה לא רצונית. גלישה לא רצונית היא תולדה של מחשבים אישיים לא מאובטחים וגם קניית שירותי סינון תוכן מספק האינטרנט (כפי שהציעו חברי הבלוגוספירה) לא תפתור אותם. במקום יום לאינטרנט בטוח, בו משרד החינוך מפרסם את חברת מייקרוסופט וחבורה של אנשים עושים כלום חד פעמי לעידוד הפחד מהאינטרנט, צריך לספק כלי אבטחה בעלות מגוחכת לתלמידים וללמד תלמידים בסדנאות (לא הרצאה חד פעמית) כיצד להגן על המחשב האישי. באותה הזדמנות אפשר גם ללמד הורים שהאינטרנט הוא לא מקום מפחיד, אלא כמו כל מקום ציבורי אחר - בעל הפוטנציאל החיובי והשלילי.

כמובן שבכל מה שקשור לגלישה רצונית לאתרי פורנו פתרון מעין זה לא יעבוד. במקרה זה השאלה שצריכה להישאל היא כיצד הגענו למצב שילדינו רוצים לגלוש לאתרי פורנו כל היום. ייתכן וצנזורה היא אכן הפתרון הראוי, אני לא יודע. אבל גם אם כן, קודם לכן צריך למצות את הפתרונות המונחים על דרך המלך - חינוך. הבעיה היא שכולם מפחדים מהאינטרנט. המורים, ההורים, המחוקק. כולם כל כך פוחדים והאינטרנט במקרה זה משמש כשעיר לעזאזל איכותי - עליו אפשר להטיל את כל הכשלים. מדוע הנוער שותה אלכוהול? אינטרנט. מדוע לא קוראים ספרים? אינטרנט. מדוע יש אלימות? אינטרנט. זה יותר קל מלהגיד על כל אחת מהשאלות - כי אני נכשל בתפקידי כהורה, כמורה, כמחנך.

חוק חסימת האתרים הוא חוק ראוי. במובן זה שהוא מיועד להתמודד עם בעיה אמיתית - חשיפה של קטינים לתכנים לא ראויים. על מנת לפתור את היבלית מציע המחוקק לכרות את שתי הרגליים, עם אופציה לעריפת ראש וכמו שאמרו חז"ל, הדרך לגיהנום רצופה כוונות טובות.

אני מעריך שהחוק לא יעבור וגם אם כן הוא לא ימומש (מסיבות טכניות). אך זו לא צריכה להיות סיבה למסיבה. כיוון שהבעיות שהחוק מנסה להתמודד עמן יישארו גם אחרי שהחוק ילך.

בערב פסח הודעות SMS הגיעו למשתמשים באיחור של שעות. זה אומר שכל מי שתכנן מערך אבטחה "חזק" המבוסס על שליחת סיסמה למשתמשים ב-SMS נפלו קורבן ל-DoS בלי שתכננו.

בהמשך לרשימה שפרסמתי שלשום

David Nicholson מסביר בבלוג שלו את אופי הפריצה לחשבונות HSBC. הוא לא אחד החוקרים, אך הוא לקוח הבנק והצליח לפענח, כנראה, את מה שהחוקרים "גילו".

הבנק עושה שימוש בקוד משתמש על מנת לזהות לקוחות. אלא שבמקום לבקש מהלקוחות להקליד את קוד המשתמש הם מתבקשים להקליד רק שלוש ספרות מתוכו. תמיד יהיו אלה שלוש ספרות רצופות ותמיד בסדר בו הן מופיעות (כלומר משמאל לימין). הוא מראה כיצד ניתן באמצעות זיהוי הקשות מקלדת וניתוח סטטיסטי של התפלגות מספרים לזהות לאחר שהוקלטו מספר תהליכי הזדהות את רצף המספרים. הוא הגיע להצלחה של ניחוש קוד המשתמש בתוך 12 נסיונות, החוקרים טוענים שהגיעו לכך בתוך 9 נסיונות. כמובן שכל זה תקף כל עוד המשתמש לא החליף את הסיסמא שלו (כלומר אני מניח שיש גם סיסמא שהמשתמש בוחר או שקוד המשתמש ניתן להחלפה על ידי המשתמש).

כדי לנצל את המתקפה צריך Keylogger על התחנה. אם כבר התקינו לך כזה, מה הבעיה לקחת צילומי מסך של חלון ההזדהות בו כתוב למשתמש אילו ספרות לכתוב? זה יחסוך את כל התהליך של הניתוח הסטטיסטי. שלא תבינו לא נכון, זו פרצה במערכת. אך HSBC לא שגו כשהחליטו שזה סיכון ששווה לקחת אותו. זו מתקפה לא טריוויאלית וגם לא מאוד יעילה מבחינת תוקפים. אולי היא תהפוך להיות טריוויאלית ויעילה, אך היא לא כזו כעת וכנראה לא הייתה כזו לפני שנתיים. מה גם שבהנתן הצורך בהשתלת קוד עוין על המחשב הנתקף, כמעט כל סוג הזדהות יהפוך להיות חשוף למתקפה.

מסתבר כי למי שחוקרת את תחום הביומטרי ב-Deloitte & Touche יש חשש שפשע העתיד הוא זיוף זיהוי ביומטרי. האמת היא שאם הייתי במקומה הייתי גם כן דואג. בערך. זיוף זיהוי ביומטרי הוא לא דבר חדש במיוחד, אף כי זה מפליא אותי איך עד היום כמעט כל מי שנוגע בביומטרי חושב שזה לא ניתן לביצוע. אני לא יודע אם Tsutomu Matsumoto היה הראשון לבצע זיוף של טביעת אצבע לצורך בדיקת אמצעי זיהוי ביומטריים, אך הוא כנראה הידוע מכולם. הוא עשה את זה באמצעות שימוש בחומרים שאפשר לקנות בכל חנות בעלות כוללת של בערך 100 שקל (את הטביעה עצמה הוא יצר מדובי ג'לי) במצגת הזו תוכלו לראות כיצד הוא עשה זאת (הוא הצליח להונות 11 מערכות מתוך 11 שנבדקו). אם עוד לא השתכנעתם, הנה ניסוי מוצלח אחר. ואגב, למיטב ידיעתי כבר הוכח כי ניתן לזייף גם קריאת רשתית.

בסופו של דבר, צריך להבין דבר מאוד בסיסי בזיהוי ביומטרי. זיהוי ביומטרי הוא זיהוי מבוסס סיסמא. סיסמא מורכבת אולי, אבל סיסמא סטטית שנשארת איתנו לכל החיים ושאנו משאירים בכל מקום (לכל הפחות במקרה של טביעת אצבע). יש הרבה יתרונות וחסרונות לזיהוי ביומטרי ואני לא מתכוון לסקור את כולם כאן. מה שכן אעשה זה להפנות אותכם לקטע ממאמר של ברוס שנייר:

Biometrics are powerful and useful, but they are not keys. They are useful in situations where there is a trusted path from the reader to the verifier; in those cases all you need is a unique identifier. They are not useful when you need the characteristics of a key: secrecy, randomness, the ability to update or destory. Biometrics are unique identifiers, but they are not secrets.

כתבתי כאן על התקיפה כנגד מנגנון ה-One Time Password של Citibank.

רק לידיעתכם, בניגוד לרושם שמנסים יצרנים ליצור, סיסמת OTP אינה תקפה לששים שניות, היא רק מתחלפת כל ששים שניות.

על מנת שהשרת יידע מה הסיסמא בכל רגע נתון ברכיב הוא מחזיק שעון עבור כל רכיב (או מחזיק שעון יחיד וכותב בצד את הסטייה של כל רכיב מהשעון שלו) לפיו הוא מחשב מה הסיסמה הנוכחית. מאחר ולכל רכיב יש סטייה משלו (מושפע מחום, לחות, תנאי ייצור וכדומה), השרת חייב לשמור מספר סיסמאות קדימה ואחורה עבור כל רכיב. כאשר משתמש מקיש סיסמה השרת מזהה את סטיית השעון ברכיב בהתאם לסיסמה שהוקשה.

כך שבפועל סיסמת OTP תקפה למספר דקות, כדי למנוע מצב שבגלל סטיית שעונים משתמש לגיטימי לא יכול להכנס למערכת.

המשמעות היא כמובן פרק הזמן שיש לתוקף פוטנציאלי לנסות להכנס למערכת מרגע שנחשף לסיסמא. מספר דקות זה הרבה יותר טוב ממספר שניות.

Rainbow Crack הנה שיטה לפיצוח אלגוריתמי Hash (הכוונה לסיסמאות שעברו Hash). זו שיטה מהדור הישן. לוקחים בסיס נתונים וכותבים בו את כל הצירופים האפשריים תחת אלגוריתם ה-Hash. כבר יצא לי לשמוע אנשי אבטחה שטוענים שאין תועלת ב-Hash כי אפשר לעשות להכל Rainbow Crack. אז זהו, שלא. אם זה היה כזה פשוט לרשום את כל האפשרויות לבסיס נתונים זה היה פשוט באותה המידה לבצע Brute Force. אלא שכמות האפשרויות עצומה ולכן בסיסי נתונים כאלה מכילים לרוב את הסיסמאות הנפוצות ביותר (כמה עשרות מיליונים של סיסמאות נפוצות). הדרך להתמודד עם שיטת פריצה כזו היא לא לבצע Hash על סיסמאות משתמשים סתם כך אלא להוסיף מרכיב אקראי לסיסמא ואז לבצע על כל העניין Hash.

במאמר מוסגר אציין כי Hash של סיסמאות משתמשים לא אמור להיות גלוי וגישה אליו אמורה להיות מוגבלת. הוא גם לא באמת אמור לעבור ברשת באיזושהי צורה.

מחפשים קישור לבסיס נתונים של Rainbow Crack ל-MD5?

הנה הקישור

הזדהות לאתרים פיננסיים באמצעות רכיבי סיסמא חד פעמית (OTP) הפכו למאוד נפוצים בחו"ל על מנת להתמודד עם פישינג. אלא שפתרונות כאלה אינם פותרים את בעיית הפישינג רק יוצרים לתוקפים סיבוכיות, כיוון שתוקף הסיסמא קצר.

מסתבר שיש כבר פתרון עברייני לזה והוא יושם אל מול citibank. פשוט בונים אתר פישינג שברקע לוקח את נתוני הזיהוי של המשתמש ומקליד אותם לאתר האמיתי ומחזיר למשתמש תשובה האם הנתונים שהקליד נכונים או לא.

אגב, לתשומת לבכם, במתקפת הפישינג הטלפוני כנגד PayPal עליה כתבתי כאן נקטו באותה השיטה.

אין מה להגיד, החבר'ה במדור הפשיעה לא נחים לרגע.

חבר הכנסת חסון (ישראל ביתנו) מציע כי טוקבקים באינטרנט יוגבלו לגולשים שמסרו את פרטיהם. מעבר לכך שהרעיון נפלא, אני תוהה כיצד בדיוק מתכננים לאסוף מהגולשים את הפרטים ומי בדיוק יאמת את הזהות שלהם. האם הכוונה היא שכל גולשי NRG (לא הרבה לדעתי) יגיעו לבית מעריב עם תעודת זהות להנפקת שם משתמש וסיסמא?

בכלל, בפסיקה שניתנה לאחרונה הוגדרו הכללים לחשיפת זהות גולשים ולא ברור מדוע חבר הכנסת חסון חושב שיש כאן איזו בעיה שצריך לפתור אותה מעבר לפתרון הקיים. כאן זה המקום להזכיר שאין מקום פחות אנונימי מהאינטרנט.

כמו שאומר Jester ל-Maverick ב-Top Gun:

You can run, but you can't hide.

(אח, אין כמו קיטש טוב)

הערה אחרונה לסיום. כל סוגיות ההזדהות תמיד תלויות בשאלת ההנפקה. זו הנקודה הכי קשה לפתרון ובמקרה גם הנקודה שכמעט אף אחד לא טורח לחשוב עליה. סתם בתור תרגיל מחשבתי תחשבו איך הנפיקו לכם את סיסמת הגישה למערכות שלכם בארגון והאם התהליך היה מאובטח או לא.

הכתבה הזו ב-Economist סוקרת את התחום של אינטיליגנציה מלאכותית מלאכותית. במה מדובר? כשאנשים עושים פעולה שבה הם יותר יעילים ממחשבים. ל-Amazon יש פרויקט נסיוני כזה שנקרא the Turk (על שם מתיחה של אוסטרי שהמציא "מכונה" שמשחקת שח-מט במאה ה-18, שנראתה כמו מכונה, אלא שבפועל ישב בפנים שחקן שח). Amazon מעוניינת לתווך בין מוכרים לקונים, כך שלדוגמא (ליישום קיים) אתם יכולים לשלוח שאלה ב-SMS ולקבל עליה תשובה. לכאורה עבדתם מול מחשב, אלא שברקע יושב בן אדם.

ולמה אני מספר את כל זה? כי בטכניקות כאלה עושים שימוש על מנת לעקוף את מנגנון ה-Captcha שגוגל הוסיפו ושכלכך התלהבתי ממנו בפוסט הקודם. איך עושים את זה? לדוגמא - מבקשים מגולשים לאתר פורנו לפענח שאלת Captcha בכניסה לאתר. ה-Captcha אינה של האתר עצמו אלא של אתר אחר אליו מפעילי אתר הפורנו מעוניינים לחדור.

נו, אז Captcha זה טוב או רע ליהודים? (ולשאר בני האדם כמובן).

גוגל הוסיפו feature ב-Gmail, כך שלאחר שלושה נסיונות כושלים להקלדת סיסמא מתווספת Captcha (Captcha הנה ראשי תיבות של completely automated public Turing test to tell computers and humans apart. בפועל מדובר בתרגיל שאמור להיות קל לבני אדם וקשה למחשבים כך שלא ניתן יהיה להפעיל רובוטים באתר. במקרה זה מדובר ב-Captcha ויזואלית).

אלא שלא תמיד מופיעה ה-Captcha. חשבתי אולי זה קשור ל-Session מול הדפדפן הפתוח, כך שאם הזדהת כבר בסיבוב הנוכחי הוא לא ינעל את המשתמש לאחר שלושה נסיונות. אני לא ממש בטוח והקהל מוזמן לנסות להבין לבד את הלוגיקה של גוגל. אני אשמח לדעת בכל מקרה.

איך שלא יהיה מדובר בשדרוג משמעותי מבחינת המשתמשים. סיסמאות מול אתרי web פריצות מאוד עקב חוסר היכולת המעשית לנעול ולנהל משתמשים. באופן זה נמנע התהליך של הרצת Brute Force מול משתמש מסוים וזה בהחלט תוספת אבטחה משמעותית. קדימה ישראבלוג!