לדף הכניסה של ישרא-בלוג
לדף הראשי של nana10
לחצו לחיפוש
חפש שם בלוג/בלוגר
חפש בכל הבלוגים
חפש בבלוג זה
 

יומן אבטחה

בלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות.

מלאו כאן את כתובת האימייל
שלכם ותקבלו עדכון בכל פעם שיעודכן הבלוג שלי:

הצטרף כמנוי
בטל מנוי
שלח

RSS: לקטעים  לתגובות 
ארכיון:


קטעים בקטגוריה: . לקטעים בבלוגים אחרים בקטגוריה זו לחצו .

קצת על עלויות המאגר הביומטרי


על עלות פרויקט המאגר הביומטרי נכתב כאן. כיאה לכתבה עיתונאית מהזן החדש, התחקיר מעמיק. על פי מצגת כנס מנכ"לים של משרד הפנים (קישור), עלות 5 מיליון תעודות הזהות יהיה 270 מיליון ש"ח (אגב, סביר בהחלט שעלות הנפקת הדרכונים תהיה יקרה יותר, עקב הטכנולוגיה השונה הנדרשת), מספר תעודות הזהות שקול למספר הדרכונים (כיוון שדרכונים נדרשים גם על ידי קטינים שאינם זכאים לתעודות זהות ומאחר ולדרכונים יש תוקף, ניתן להניח כי הכמויות שוות פחות או יותר). כך שעלות ההנפקה הראשונית היא כחצי מיליארד ש"ח. מאחר וכל שנה מונפקות בישראל כמיליון וחצי תעודות (והמספרים יירדו, אך לא בצורה דרמטית לדעתי), עוד כחמישים מיליון ש"ח יעלו ההנפקות השנתיות. כל אלו עלויות שאינן קשורות כלל לסוגיית המאגר הביומטרי אלא אך ורק לסוגיית השימוש בתעודות זהות חכמות. יש לזכור שכיום דרכון עולה כסף ותעודות זהות לא, אך עלות הדרכון הקיים נמוכה יותר מעלות הדרכון החדש ולכן לא ברור מה יהיה היקף ה"סבסוד" או אובדן ה"רווח" של המדינה מהמעבר לדרכונים החדשים (אלא אם יעלו את האגרה). באופן כללי חשוב לזכור - כדי לעבור לתעודות זהות מבוססות כרטיס חכם אין צורך בשינויי חקיקה או בהקמת מאגר כלשהו. למעשה, משרד הפנים כשל, כשל ושוב כשל לאורך שנים במעבר לתעודת זהות מבוססת כרטיס חכם וכל בעיות גניבת הזהות (אם ישנן כאלה) הן תולדה של כישלון מקצועי מערכתי זה במשרד הפנים. ולא (שוב - לא) בגלל היעדר מאגר ביומטרי.

הקמת המאגר אינה כרוכה בעלויות הללו כלל. הקמת המאגר כרוכה בשלושה מרכיבים מרכזיים שהנם פועל יוצא של עקרונות הפתרון שנבחר על ידי משרד הפנים (מאגר ביומטרי מרכזי):
1. הקמת רשות ממשלתית חדשה: הקמת רשות כזו דורשת תקנים, מבנים וטכנולוגיות.
2. ציוד הרכשה לכלל עובדי משרד הפנים שיעסקו במתן שירותי דרכונים ותעודות זהות.
3. תקנים נוספים הנדרשים לצורך ביצוע תהליך הנפקת הדרכונים ותעודות הזהות.

מאחר ואין לי ניסיון בהקמת רשויות טכנולוגיות ואינני מצליח לאתר נתונים על כמות העובדים העוסקים במלאכה כיום (יש סך הכל כ-1200 עובדים במשרד הפנים כיום), קצת קשה לי להעריך את העלויות. אני מניח שהקמת כל רשות חדשה זה עניין של עשרות מיליוני שקלים, לבטח רשות עם דרישות טכנולוגיות כאלה מורכבות. ציוד ההרכשה הנדרש (קוראי טביעת אצבע ומצלמות) יעלה גם הוא כמה מיליונים ולכך יש להוסיף התבלות ציוד. מרכיב מרכזי הוא כמובן כמות התקנים הנוספים. כאן אני דווקא כן יכול לשחק קצת עם הנתונים, כיוון שגם יש לי מעט ניסיון בנושא וגם המספרים הקיימים גלויים. לטובת העניין אניח מעט הנחות יסוד:
  1. זמן ההרכשה של טביעות ביומטריות ייקח כ-10 דקות יותר מהזמן שהוא לוקח כיום. מרכיב הזמן לוקח בחשבון שישנם אנשים איטיים יותר מקוראי הבלוג ונודניקים יותר מקוראי הבלוג (בטח נתקלתם בהם בעבר בהמתנה לשירותי משרד הפנים). מניסיון אישי, הרכשה ביומטרית לוקחת זמן, בטח אם האזרחים לא מרוצים.
  2. בכל גישה של אזרח להנפקת דרכון או תעודת זהות ללא תעודה מזהה קיימת, הבדיקה תכלול בדיקת שתי טביעות אצבע וצילום ביומטרי (שכן על כך נסמכת תפיסת האבטחה של משרד הפנים בכל האמור לשימוש בביומטריה) ולכן כל פנייה שכזו תארך אותן 10 דקות כמו בפעם הראשונה.
  3. בחודש עבודה ממוצע של עובד משרד הפנים (22 ימי עבודה בחודש, יום עבודה של 8.5 שעות - נתוני המגזר הפרטי...) יש 1122 הנפקות אפשריות, אם העובד עוסק כל היום רק בהנפקות ואלו אורכות רק עשר דקות יותר ממה שלוקח היום (כלומר, ניקיתי את הזמן הקיים היום) ובשנה 13464 הנפקות.

כדי להנפיק בתוך שנתיים את כל תעודות הזהות שמשרד הפנים מתכנן לרכוש (אגב, המכרז הוא לחמש מיליון תעודות, כשיש חמישה וחצי בעלי זכות בחירה ויותר מכך אזרחים הנדרשים לשאת תעודה מזהה (הנדרשת מגיל 16)) יש צורך בתוספת של 184 עובדים. מאחר וכל שנה משרד הפנים מנפק מיליון וחצי תעודות חדשות, על מנת לנפק אותם צריך עוד כ-110 עובדים. כלומר, העלות של קיומו של המאגר היא גידול של כעשרה עד חמש עשרה אחוז בעובדי משרד הפנים. בסך הכל, עם הרשות עצמה, אני מניח שמשרד הפנים יעלה את מצבת העובדים שלו בכעשרים אחוזים לפחות. על כך יש להוסיף כמובן תקני הדרכה, שדרת ניהול לתקנים החדשים וכדומה. ללא ספק תוספת נכבדה למוטת הניהול המצדיקה הקמת מאגר שיצדיק את התוספת. האבסורד הוא שכל משרדי הממשלה כמעט מתלוננים על מחסור בתקנים, כך שדווקא הבחירה בקיומו של מאגר ביומטרי מרחיקה את היעד המקורי - לחימה בזיופי תעודות הזהות. מניסיוני כאזרח (שאינו שונה מניסיונו של כל קורא בבלוג), הצורך בתוספת תקנים יתקע את התהליך הרבה אל מעבר לקשת.

מן הסתם אתם רוצים לדעת מה החלופה (כיוון שביקורת ללא חלופה אינה ראויה דיה). ובכן, במידה ומשרד הפנים מוותר על המאגר הביומטרי ועובר לשימוש בתמונות ביומטריות בלבד, ניתן לוותר לא רק על הקמת הרשות, אלא גם על כל הציוד הטכנולוגי הנלווה ועל כל התקנים הנלווים. מדוע? כיוון שכך עושים גם במדינות מסוימות באיחוד האירופי (יש לי דרכון כזה, אני יודע). במקום להביא תמונת "פספורט" שגזרת בבית מתמונה שהדפיסו הוריך בכיתה גימל, אתה נדרש להביא תמונה באיכות מוגדרת. בצלמניות עצמן קיימת תבנית אותה ניתן להניח על התמונה המודפסת ולוודא שהתמונה עומדת בקריטריונים (מרחק בין האוזניים, בין העיניים וכדומה). בעת הגעה למשרד הפנים הפקיד עושה מה שהוא עושה היום (ורק מוודא שהתמונה עומדת בקריטריונים שהוגדרו) ושולח את התמונה למרכז ההנפקה. מרכז ההנפקה סורק את התמונה באמצעות סורק אוטומטי וכך יוצר תמונה ביומטרית שנשמרת בתעודה עצמה. כלומר, אם משרד הפנים יוותר על הדרישה למאגר, הפרויקט יחסוך כמה עשרות מיליונים כל שנה (בנוסף לעלויות ההקמה) לקופת המדינה. מי שרוצה להבין מדוע בכלל מישהו ירצה פרויקט כל כך מנופח, מוזמן לקרוא את חוק פרקינסון (רמז: פרקינסון חקר כיצד זה שהקיטון בצי הבריטי לאחר מלחמת העולם הראשונה הוביל לגידול במטה בהיבטי כוח אדם).

גילוי נאות: הנתונים שהוצגו מבוססים על הערכות השאובות מניסיון והיכרות עם תפקוד המגזר הציבורי ואזרחי ישראל. אלו לא מספרים מוחלטים או מדעיים וכל אחד יכול לקחת אותם לאן שירצה. אני חושב שבסך הכל הם סבירים, אם לא אופטימיים, אך גם אם הם מנופחים בשלושים אחוזים הם עדיין מיותרים וגדולים מדי.
נכתב על ידי , 11/8/2009 21:08   בקטגוריות מאגר ביומטרי, פרטיות, ניהול אבטחת מידע  
13 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט
 


"אתה חייב את זה לעצמך, אתה חייב למשפחה"


היום בשבע בערב ברחבת הסינמטק בתל אביב תתקיים הפגנה נגד חוק המאגר הביומטרי. לשמחתו של שטרית יש כל כך הרבה רעות חולות כרגע על הפרק שאחד הנושאים המהותיים לדמוקרטיה בישראל נדחק לקרן זוית (וכלבי השמירה הישנוניים של הדמוקרטיה מנמנמים כהרגלם). אין לי ספק שלקוראי הבלוג ברורה המשמעות של קיומו של המאגר, אני גם בטוח שלא מעטים הם החושבים לעצמם "מה הטעם, זה משחק מכור". לכן אתלה בגבוהים ממני כשאצטט את גנדי (לא רחבעם) "היה השינוי שאתה רוצה לראות בעולם".

זו הפעם הראשונה שאני קורא לפעילות פוליטית מעל במת הבלוג, אני חושב שהזמנים מצדיקים זאת ועוד לא אחרנו את המועד.

עומר
נכתב על ידי , 25/7/2009 11:09   בקטגוריות מאגר ביומטרי, פרטיות  
26 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט
 


מאגר ביומטרי - חלופות (חלק ג' - חלופה מוצעת)


רשימה זו מהווה המשך לשני חלקים קודמים: חלק א' חלק ב'

על מנת לפתור את בעיית זיופי התעודות צריך לבצע מספר מהלכים שיתמודדו עם הנקודות הבאות:
  1. קלות הזיוף של התעודה.
  2. יכולת תיקוף.
  3. שימושיות נמוכה.
  4. יידוע אזרחים על הרכשה כפולה.
  5. מתן אפשרות לאזרחים לבטל תעודות ללא הגעה למשרד הפנים (ביטול ללא הנפקה).
לשם כך יש ליישם פתרון בשלושה חלקים (בסוף הרשימה אסביר מדוע לאחר יישום הפתרון יתייתר הצורך במאגר ביומטרי).
קלות הזיוף:
  • משרד הפנים מתכנן לעשות שימוש בכרטיס חכם ועל כך אין לי מה להוסיף. בין אם כרטיס חכם עם זיהוי ביומטרי לכרטיס או עם זיהוי באמצעות PIN נראה לי שהפתרון נכון ואינני רוצה להכנס בשלב זה להבדל בין החלופות.
  • כרטיס פלסטי קשה לזיוף. למרות השימוש בכרטיס חכם, יש לזכור שרוב העסקאות יבוצעו על ידי הצגת הכרטיס ולכן יש לבחור בטכנולוגיה קשה לזיוף של הפלסטיקה עצמה בכרטיס.
  • משרד הפנים צריך לאפשר קבלת תעודה מזהה רק למי שהזדהה. לצורך העניין כל תעודה מזהה רשמית (רישיון נהיגה/חוגר/דרכון), או עדות מקרוב משפחה הנושא תעודת זהות. כל האחרים ייכנסו באופן מיידי למסלול תשאול חריגים. 
  • משרד הפנים צריך ליידע אזרחים על כל בקשה להנפקת תעודה מזהה בשמם. מאחר ותעודות לא יונפקו במקום בלאו הכי, יש לשלוח מכתב בדואר רשום לכתובת הרשומה במשרד הפנים. במידה והאזרח שינה כתובת בשנה האחרונה, יש לשלוח דואר לכל אחת מהכתובות הרשומות בשנה האחרונה. בכל בקשה לשינוי כתובת יש לשלוח דואר רשום לכתובת הנוכחית.
יכולת תיקוף:
  • כחלק משימוש בכרטיס חכם יש לאפשר גישה לכל מי שיעשה שימוש בכרטיס החכם הן לרשימת התעודות הבטלות (CRL).
  • על מנת לאפשר לאזרחים מן השורה לאמת את תוקף תעודות הזהות יש לכתוב את זיהוי התעודה הדיגיטלית על גבי התעודה עצמה, כך שבהקשת רצף תוים באינטרנט (וללא קורא כרטיסים) ניתן יהיה לוודא האם תעודה היא בתוקף. אני צריך להשקיע קצת מחשבה באיך לבנות את המנגנון הזה (למשל, ניתן יהיה להקיש מספר זהות ומספר תעודה ולקבל תשובה האם התעודה בתוקף או לא, על מנת לצמצם אפשרות ל-Brute Force), אבל העיקרון הוא לאפשר לאזרחים מהשורה לאמת מספר זהות בלי צורך בקורא כרטיסים חכמים. באופן זה יימנעו גם הונאות המבוססות על השבתת הכרטיס החכם וביצוע הנדסה חברתית.
  • יש לאפשר לאזרחים לבטל את תעודת הזהות שלהם דרך האינטרנט. ניתן להמליץ לאזרחים להחזיק בבית צילום של תעודת הזהות. במידה והתעודה נגנבה, ניתן להקליד את מספר הזהות ואת מספר התעודה ולבטל את התעודה בלי להגיע למשרד הפנים (לצורך הנפקה מחודשת עדיין יצטרך האזרח להגיע למשרד הפנים).
שימושיות נמוכה:
  • אני חושב שזה אחד הדברים החשובים בכל פתרון אבטחה. התכלית של הגברת השימושיות היא לייצר מצב בו אזרחים מודעים לכך שהתעודה שברשותם אינה בתוקף או נגנבה/אבדה.
  • יש לייצר תעודה בגודל נורמלי, שנכנסת לארנק ממוצע.
  • יש לחייב זיהוי באמצעות תעודת זהות עבור פתיחת חשבון בנק (ניתן אף לדרוש שלאחר תהליך ההנפקה הראשוני אזרחים יידרשו להגיע לבנק לאמת את זהותם).
  • יש לחייב את רשות הדואר לאמת אזרחים באמצעות תעודת זהות מאומתת עבור קבלת דואר רשום ועבור כל שינוי בעלות רכב (קונה ומוכר).
  • בכל מצב בו בית עסק מעל גודל מסוים (כדי לא להרוג עסקים קטנים) מאפשר לעשות שימוש בכרטיס אשראי וללא הצגת תעודת זהות בתוקף (יש לזכור שעל פי חוק חובה להסתובב עם תעודת זהות), באופן קטגורי האחריות על העסקה במקרה של הונאה תהיה על בית העסק, גם אם כרטיס האשראי היה בתוקף. באופן זה כל אזרח יידע תמיד שהתעודה שלו בתוקף. אם נחיל את העיקרון על חברות הסלולר ורשתות הפארם/סופרים הגדולות, רבים הסיכויים שאזרחים יידעו מהר מאוד שהתעודה שברשותם אינה בתוקף. האמת היא שנראה לי שמרגע שתעודת זהות חכמה תהיה שם בחוץ בלאו הכי העסקים הגדולים יעשו זאת. בסופו של דבר זה יחסוך להם כסף, כך שאני בכלל בכלל לא בטוח שצריך פה איזה שהוא סוג של רגולציה.
המטרה המרכזית של אמצעים אלה הנה לצמצם את פרק הזמן מרגע ביצוע הונאה הוא הרכשה כפולה ועד שהאזרח בפועל יידע מזה. המטרה היא להפוך את זיוף תעודות הזהות לקשה ואת השימוש בתעודות זהות מזויפות לקשה עוד יותר. אמצעים אלה לא ימנעו לחלוטין זיופי תעודות, הם יהפכו את המימדים שלהם לסבירים ואת היקפי ההונאות לקטנים. לאלו שחוששים לעתיד הזייפנים, תמיד יהיה להם ממה להתפרנס.

נכתב על ידי , 22/7/2009 21:53   בקטגוריות מאגר ביומטרי, פרטיות  
14 תגובות   הצג תגובות    הוסף תגובה   1 הפניות לכאן   קישור ישיר   שתף   המלץ   הצע ציטוט
 


מאגר ביומטרי - חלופות (חלק ב' - ניתוח מצב קיים ואיומים)


רשימה זו מהווה המשך לחלק א'

על מנת להתמודד עם עמדת משרד הפנים אני רוצה להציג חלוקה לשני סוגים של הונאות: הונאות שבין אדם למקום והונאות שבין אדם לחברו. הונאות שבין אדם למקום קשורות רובן ככולן להונאות מול משרד הפנים (ואולי גם משרדי ממשלה שונים, אך איני בטוח) והונאות שבין אדם לחברו הנן הונאות מסחריות/כלכליות אחרות.
הונאות בתעודות זהות קיימות מתקיימות משתי סיבות עיקריות:
  1. קל לזייף תעודות זהות מרגע שנרכשו (כלומר, קל לייצר תעודה הדומה לדבר אמיתי), כך שקשה לאמת את אמיתותה של התעודה (כלומר, שתעודה זו יוצרה כמו שהיא על ידי משרד הפנים)
  2. קשה לאמת את תוקפה של התעודה (כלומר שתעודה לא בוטלה על ידי משרד הפנים).
למי מכם שאינו מודע לכך לכל אחד יש מספר זהות ומספר תעודת זהות. מספר הזהות הוא המספר שניתן לכם על ידי משרד הפנים בעת לידתכם או עלייתכם לארץ. מספר תעודת הזהות הנו מספר התעודה האחרונה שהונפקה לכם. לכאורה, הדבר הקל ביותר שיכול היה משרד הפנים לעשות הוא לאפשר לגופים עסקיים או פרטיים לקבל גישה למאגר התעודות הבטלות, כלומר למספרי התעודה של התעודות שדווח עליהן כי אבדו או נגנבו. השוואת תעודה מזויפת מול המאגר הייתה מגלה כי מדובר בתעודה שאינה בתוקף, אף אם היא אמיתית. אני חייב לסייג את דברי ולומר כי רצף המספרים הניתן היום לתעודות אינו באמת מאפשר לבצע מהלך שכזה כיוון שהוא אינו אקראי ואינו ארוך במיוחד.
אך בעיית ההונאות מרחיקת לכת יותר מקלות הזיוף וקושי התיקוף. תעודות הזהות אינן משמשות את האזרח ביומיום ולפיכך האזרח אינו זקוק לתעודדה והוא מתעורר לחסרונה רק ביום הבחירות. משרד הפנים הרחיק לכת ופתר בעיה זו בכך שאפשר להצביע עם רשיון נהיגה (צעד מבריק). לפיכך, גם אם נגנבה לכם תעודה וזויפה לא בהכרח תשימו לב. כך שגם אם יעצור אתכם שוטר או תלכו למשרד הפנים עם זיוף טוב דיו תוכלו לעבור, כיוון שאם התעודה לא דווחה כאבודה היא לא במרשם התעודות הבטלות. אגב, אני איני נושא עליי תעודת זהות כלל, מהסיבה הפשוטה שהתעודה אינה נכנסת לארנק (להבדיל מכל תעודה אחרת המונפקת על ידי כל רשות ממשלתית אחרת).
לסיכום ניתן לומר כי ישנם שלושה מרכיבים המייצרים כיום את קלות ההונאה:
  1. קלות זיוף.
  2. קושי תיקוף.
  3. שימושיות נמוכה.

אני רוצה לדבר מעט על הונאות, למרות שאני מודה שזה רחוק מלהיות תחום התמחותי.
הונאות, בניגוד לעמדת משרד הפנים, אינן מבוססות על תעודת הזהות. לעתים קיימת הנחת היסוד כי חוזק העמידה בפני הונאה הוא כחוזק מנגנון ההזדהות. בפועל, חלק גדול מההונאות אינו קשור כלל לנושאים של הזדהות, מכיוון שהנחת היסוד של האדם התמים היא כי מולו ניצב אדם תמים ולכן סוגיית הזהות כמעט ואינה מהותית. מעבר לכך, בעת שאדם מציג מסמכים מזויפים (וניתן לזייף מסמכים עדיין, בלי קשר לתעודה) הנראים מקוריים, זה מעניק באופן מיידי לזהות שלו כסות לגיטימית, כך שגם הצגה של תעודת זהות מזויפת ברמה לא הכי גבוהה עלולה לעבור את האזרח התמים (זה אינו יודע לוודא תקפות תעודה). גם אם אזרחים יוכלו לאמת את השבב החכם, ניתן להשביתו בקלות (או בתעודה מזויפת לשים שבב דמה) ובהנדסה חברתית פשוטה להסביר שהתעודה נפלה לאמבטיה של הילדים (בתוספת חיוך נבוך). עבור רוב המקרים תרגילים פשוטים יעבדו. בסופו של דבר חוזקה של התעודה עבור חלק גדול מההונאות יהיה בכלל כחוזק התעודה הפלסטית עליה יונפק.
נכתב על ידי , 22/7/2009 21:51   בקטגוריות פרטיות, מאגר ביומטרי  
2 תגובות   הצג תגובות    הוסף תגובה   2 הפניות לכאן   קישור ישיר   שתף   המלץ   הצע ציטוט
 


מאגר ביומטרי - חלופות (חלק א' - עמדת משרד הפנים)


למאמר זה שני המשכים: חלק ב' וחלק ג'

למען ההגינות אני חייב לציין שתמיד קל להיות בצד המבקר ויותר קשה להיות בצד העושה. על מנת שלא לאפשר למשרד הפנים להנות מהספק שהמאגר הביומטרי הנו הפתרון היחידי לבעייה המוצגת, במהלך שלוש הרשימות הקרובות אציג חלופה למאגר הביומטרי.

שלוש הסתייגויות לרשימה זו ולאלו שיבואו אחריה:
א. מקוצר זמן לא הקדשתי את מלוא המשאבים הנדרשים על מנת לבסס עבודת מטה שכזו ברמה הנדרשת. אי דיוקים ייתכנו וגם שיפורים; על אלה ועל אלה אשמח אם גולשים יצביעו, כך שאוכל לטייב את החלופות המוצעות.
ב. אינני מאמין בפתרונות אבטחה מושלמים. מניסיוני, כל פתרון אבטחה "מושלם" מעיד בעיקר על חוסר היצירתיות של מתכננו בלהבין את מוגבלותו הוא או את חוכמת היריב. תכלית החלופות שיוצגו הנה להפחית את רמת הסיכונים לרמה סבירה. כזו שעמה ניתן לחיות בשקט.
ג. משרד הפנים מדבר על תעודות זהות ודרכונים, בעוד שאני אעסוק בתעודות זהות בלבד. הסיבה היא שבנושא הדרכונים משרד הפנים נדרש לעמוד בתקינה בינלאומית שאינה כוללת קיומו של מאגר. לפיכך, מה שטוב ללטביה, אנגליה והולנד, צריך להיות טוב דיו גם בשבילנו. כך שמבחינתי אם ישנה הצדקה לקיומו של מאגר ביומטרי, היא חייבת להתקיים סביב תעודות הזהות.

עמדת משרד הפנים, למיטב הבנתי, הנה זו:
  1. ישנה בעיית זיופים של תעודות זהות. בעיה זו נובעת מקלות זיוף התעודה עצמה ומקלות קבלת התעודה במשרד הפנים.
  2. בעיית הזיופים מולידה תופעה של הרכשה כפולה, בה לאדם יש מספר זהויות במקביל. עובדה זו מאפשרת לו לקבל מהמדינה תגמולים שונים במקביל.
  3. המאגר הביומטרי נועד למנוע מצב של הרכשה כפולה במשרד הפנים באופן הבא:
    • כל אזרח המגיע למשרד הפנים מספק שתי טביעות אצבע מורות וצילום פנים.
    • כל אזרח יכול להירשם עם טביעות האצבע שלו רק פעם אחת, כיוון שבכל רישום למאגר נבדקות הטביעות שנלקחו אל מול כל הטביעות במאגר. באופן זה, גם אם אדם מחזיק כיום במספר זהויות, הוא ייאלץ לצמצמן לאחת לאחר הרישום הראשוני.
    • גם אם האזרח המזויף מניח טביעות אצבע מזויפות, כאשר יגיע האזרח האמיתי להירשם, תמצא אי התאמה בין הרישומים הקיימים לטביעות האצבע הקיימות, דבר שידרוש חקירה במהלכה ניתן יהיה לעלות על הזיוף (אך לא בהכרח על הזייפן).
חולשות בסיסיות בעמדת משרד הפנים:
  1. כל אזרח המגיע למשרד הפנים יכול לפצוע אצבע אחת או שתיים ובכך להירשם עם אצבעות אחרות מאלו שמשרד הפנים מתכנן. באופן זה בכל רישום הוא יירשם עם אצבעות שונות. זה יגביל את כמות הזיופים, אך לא ימנע אותם.
  2. הנחת משרד הפנים היא כי כל האזרחים יגיעו לרישום לטביעות אצבע (אחרת הזיופים לא יצופו). הנחה זו נכונה במידה מסוימת לדעתי, אך דווקא נכונותה מהווה את הסיבה מדוע אין צורך במאגר הביומטרי (ועל כך בהמשך).
  3. משרד הפנים מניח שביומטריה היא טכנולוגיה מוכחת ובלתי פריצה, על אף הניסיון בתחום. לטענת משרד הפנים טכנולוגיות הביומטריה בהן יעשה שימוש הן המתקדמות ביותר. מה שמשרד הפנים שוכח, או אינו רוצה לציין, הוא שהטכנולוגיה בו יעשה שימוש היא מיושנת. פשוט כיוון שהמכרז ייקח זמן, אך הקריטריונים המקצועיים בו כבר נקבעו. הטכנולוגיה של משרד הפנים תתחלף כל מספר שנים (8-10 שנים לכל הפחות), מספיק זמן לפתח טכנולוגיות פריצה ולנסות אותן. בפיתוח טכנולוגיות פריצה אני מכוון לזיוף טביעת אצבע כך שתעבור קורא ביומטרי מתוחכם.
  4. לפי נתוני משרד הפנים והמשטרה אחוז יוצא דופן של הנפקות תעודות הזהות מבוצע על ידי מנפיקים סדרתיים ובעלי רקע בהונאה. הסיבה שמשרד הפנים מודע לכך היא שאנשים אלה מנפיקים תעודות חוקיות לעצמם ולאחר מכן ניגשים לזייפנים מומחים על מנת לזייף את התעודה. דפוס פעולה זה לא צפוי להשתנות לאחר קיומו של המאגר הביומטרי ולמעשה מעיד כי קיומו של המאגר הביומטרי אינו בהכרח רלוונטי למניעת פעילות ההונאה בתעודות זהות מזויפות. כהערת אגב אציין כי מאפיינים אלה של הונאות אמורים להיות מטופלים על ידי הכרטיס החכם שבתוך תעודת הזהות, עליו יש כמובן הסכמה בדבר נחיצותו.
נכתב על ידי , 22/7/2009 21:50   בקטגוריות מאגר ביומטרי, פרטיות  
3 תגובות   הצג תגובות    הוסף תגובה   3 הפניות לכאן   קישור ישיר   שתף   המלץ   הצע ציטוט
 


מאגר ביומטרי, חוויות מהכנסת ומה כל כך חשוב בפרטיות


השתתפתי שלשום בדיוני וועדת הטכנולוגיה בנוגע לחוק המאגר הביומטרי. קצב הדיונים שמכתיב מאיר שטרית אינו מאפשר דיון רציני ומעמיק במשמעויות החוק למצדדים ולמתנגדים. נראה שכריכת המאגר עם הזיהוי החכם תפגע בכולנו. משרד הפנים צריך את החוק על מנת לאפשר התנעת ניפוק דרכונים ביומטריים, כאלה הנדרשים על ידי הרשויות השונות בעולם. אין צורך במאגר ביומטרי על מנת לעמוד בתקינה שכזו, אך במשרד הפנים החליטו שהם רוצים גם מאגר. ההנמקות לטובת המאגר מועטות מדי לטעמי ואינן מאזנות את הסיכונים הגלומים בו (ועל כך אפרט ברשימה נפרדת). קיימים מספר רב של צעדים שמשרד הפנים יכול לנקוט על מנת להתמודד עם סוגיית זיופי תעודות זהות, צעדים אותם לא נקט מעולם ככל הנראה. כעת, באבחת חקיקה מנסה משרד הפנים לתקן את העוול ההסטורי שגרם לנו (האזרחים התמימים), אלא שבמהלך זה מנסה המשרד שלא הצליח לעמוד בקצב הזמן לקפץ אל מעבר לזמן, לעתיד. והעתיד, כפי שיודע כל מי שחשב שיהיה כבאי כשיהיה גדול, אינו צפוי וכך גם שאלת השלכות קיומו של המאגר הביומטרי עלינו. בשתי מלים מבטיחים לנו כל הזמן ש"יהיה בסדר". נשמע מוכר? נשמע מטריד.

הסיכון המרכזי, כפי שנדמה לי כרגע הוא לא דליפה של המאגר על ידי פרצת אבטחה (למרות שזה סיכון ממשי ואף יותר מסביר בעיניי) אלא ניצול לרעה של המאגר על ידי רשויות באופן שיוביל לדליפתו או לאגירתו בידי רשויות שונות. למי מכם שלא עוקב אחרי הדיונים או הצעת החוק, המשטרה רוצה לאפשר לה לקבל נתונים ביומטריים של אזרחים על מנת לחקור פשעים. ניתן להתווכח על הצורך האמיתי בכך, בייחוד לאור העובדה ששאר משטרות העולם המערבי אינן מקבלות גישה למאגר שכזה (שאינו קיים ולו במדינה מערבית אחת). המשמעות ברורה - המשטרה אינה רוצה רק להצליב נתונים עם המאגר (על מנת לזהות פושעים שנעצרו) אלא גם לשלוף כמות עצומה של רשומות ישירות מהמאגר על מנת להשוות במעבדותיה לטביעות אצבע או תמונות שקיימות בידה. בכך רוצה המשטרה לאפשר לה להזליג בצורה שיטתית ומסודרת מידע מתוך המאגר הביומטרי החוצה ולקדם את חזון האח הגדול. כמובן שכל זה עטוף במעטפת משפטית נאה המחייבת חתימה של שופט על כל בקשה, אך בפועל מדובר בחותמת גומי חסרת משמעות. הלא בכל חקירת פשע יעלו טביעות אצבעות לא מזוהות והמשטרה תמיד תוכל לטעון שאלו הלא מזוהים הם החשודים האמיתיים. מכאן ועד להפיכת המאגר המשטרתי למאגר מקביל למאגר הביומטרי הדרך קצרה. אלא שבעוד שעל המאגר הביומטרי מטיל החוק סייגים וחובות רבים, לא כן על מאגר המשטרה שאיננו כלל "מאגר ביומטרי". נטפלתי למשטרה, אך יש לזכור שגם השב"כ יקבל גישה מלאה שכזו למאגר (אם לא יותר מכך).

ככל שאני מנסה להסביר את החשש לפרטיות, הטיעון המרכזי אותו אני שומע מאנשים הוא "אבל אני בסדר, מה יש לי לדאוג? ואם אהיה עבריין, אז שיבלשו אחרי". אני חושב שדווקא אנחנו "הבסדרים" צריכים לדאוג מהחוק, יותר מהעבריינים. אדם שיודע שכל פעולה שלו מתועדת ומשוייכת לו, נרתע מלבצע פעולות, גם פעולות מותרות. תחשבו על ילד (ההורים שביניכם) שיודע שהוריו עוקבים אחר כל צעד שלו. האם הוא מתנהג כטבעו, או שהתנהגותו משתנה בהתאם? כעת תחשבו על אדם בוגר שרוצה לצאת ולהפגין ויודע, מנסיון העבר, שבכל הפגנה יש מי שחוצים את הקווים. לא הוא, חס וחלילה, אך ישנם כאלה. אותו אדם בוגר יודע גם שכיום, כל הפגנה שלו תתועד תחת תיק אישי במחשבי המשטרה. אותו מפגין יודע גם שהוא עלול להיות מוזמן לחקירה פלילית, עובדה לגביה הוא עשוי להשאל במקום עבודה עתידי. אותו אדם בוגר נמנע כעת מלהשתתף בהפגנות. הוא אינו רוצה להסתכן. הוא מוותר על זכותו הדמוקרטית. הוא כבר וויתר על זכותו לפרטיות. חשבו על אדם שעובר ליד רכב משטרה שחונה באדום לבן ומצלם אותו בטלפון הנייד על מנת לשלוח לעיתון. כעת, הוא מסתכן בכך שהשוטר צילם אותו והוא יוזמן לחקירה, . או סתם יהיה חשוף להתנכלות מצד שוטר ש"יחטוף" כיוון שהתנהג כעבריין וינסה לפרוק את תסכולו על האזרח המתלונן. אין זה משנה כלל אם המשטרה אכן תעשה את הדברים האלה או לא. מה שחשוב הוא שהאזרח "יודע" שהיא יכולה. האם האזרח הישר ידווח על העבריין המשטרתי? או שאולי הפעם יעבור לידו ולא יאמר דבר? למה להסתבך עם המשטרה? הסכנה לפרטיות אינה סכנה לפרטים, אלא סכנה לדמוקרטיה. זו סכנה למעורבות אזרחית בחברה בה אנו פועלים. זו סכנה לנכונות שלנו לקחת סיכונים למען הצדק.

בעבר התנדבתי עם נוער רחוב במסגרת על"ם. במסגרת זו יצא לי לפגוש את המשטרה כפי שהיא נראית ברחוב, עת היא מתעמתת עם מי שנדמים כמפרים את הסדר הציבורי. מעולם בשיחותיי עם השוטרים לא הרגשתי נוח, תמיד נכחה שם ברקע האפשרות שמישהו מהם יחטוף את הג'ננה ויעצור אותי רק בגלל שהעזתי לומר לו שהתנהגותו אינה מקובלת. אחד הדברים המגנים עלינו בעמידתנו אל מול שוטרים ברחוב היא דווקא הפרטיות. נכון, חובה להציג תעודה מזהה לשוטר, אך אף שוטר לא יעצור אותך רק בגלל שאין לך תעודה מזהה. כאשר הפרטיות נעלמת, נעלמת איתה ההגנה הטבעית-הפסיכולוגית הניתנת לאזרח בבואו לסייע לחלש המתעמת עם נציגי החוק. האנונימיות אינה רק אמצעי לפושעים לבצע פשיעה, היא גם גורם המאפשר לאזרחים תמימים לנהוג בצורה הגונה וצודקת אל מול אי צדק ברור.

את כל אלה מסכן המאגר הביומטרי.
נכתב על ידי , 21/7/2009 09:41   בקטגוריות פרטיות, מאגר ביומטרי  
6 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט
 


בחירות אלקטרוניות בישראל - האם זה נחוץ?


נראה ששום דבר (לפחות לא שום דבר הגיוני) יעצור את אנשי משרד הפנים בבואם ליישם את תוכניות המחשוב שלהם. וכך אנו צפויים להכנס לעידן של בחירות אלקטרוניות. הכשלונות בעולם אינם מהווים תמרור אזהרה אלא רק אתגר לחבורת החדשנים בממשלה. בתזכיר הצעת החוק גלומים 7 יתרונות במעבר לבחירות אלקטרוניות (עמוד 3). רובם ככולם לא נכונים ולהלן סקירה שלהם:
  1. זיהוי חד חד ערכי של הבוחר: אין שום קשר בין זיהוי הבוחרים להצבעה בבחירות אלקטרוניות. הזיהוי יבוצע בדיוק כמו שהוא מבוצע היום, על בסיס תעודה מזהה לא חכמה שהונפקה על ידי המדינה. בהתייחס להגבלת האפשרות להצבעה כפולה - גם במקרה זה, מאחר ולא מתבצע רישום של מי קיבל איזה כרטיס חכם, ניתן להצביע הצבעה כפולה ולאתר אותה בדיוק כפי שזה היום. באותה המידה לא ניתן יהיה לדעת מי הצביע הצבעה כפולה. לעומת זאת, אם מישהו יחליף כרטיס חכם תקני בכזה שמריץ קוד שמיועד לזייף את רישום מכונת ההצבעה עצמה חברי הקלפי לא יוכלו לזהות זאת (היום כל קלפי חותמת על המעטפות שלה עצמה על מנת שתוכל לזהות שהמעטפות נופקו על ידה).
  2. קיצור זמן ההצבעה של כל מצביע ולפיכך צמצום מספר הקלפיות. הניסיון בישראל מלמד שזמן ההצבעה מתארך ולא מתקצר. יתר על כן, הבעיה המרכזית בקלפיות היא ההתפלגות הלא אחידה של המצביעים על פני שעות היום (את זה אני אומר מניסיון אישי כיושב ראש קלפי) שיוצרת עומס ולא כמות המצביעים בקלפי. גם עם קלפי אלקטרוני הרגלים אלה צפויים להשמר.
  3. מניעת הצורך בהפקת חומרי בחירות חד פעמיים. לא נכון - עדיין יהיו מרכיבים חד פעמיים כמו שילוט, פרגודים וכדומה. אבל שימו לב לנתון שלא מספרים לכם - עלות כל כרטיס חכם כזה היא סדר גודל של פי כמה מאות מאשר כרטיסי הנייר. הכרטיסים עצמם גם מתקלקלים. התוכנה דורשת שדרוג מעת לעת. רישיונות התוכנה עולים כסף כל שנה (להבדיל מפתקי נייר) לצורך קבלת תחזוקה. כל קלפי כזה יזדקק למחשב (ואולי מחשב גיבוי?). אני אשמח לראות מודל כלכלי שיראה האם בכלל אי פעם בחירות אלקטרוניות יהיו זולות יותר, בהתבסס על הנחות אמיתיות של אחוז אובדן, תקלות וכדומה. כמו כן, צריך להוסיף תלות של המערכת בהפסקות חשמל להבדיל מבחירות ידניות וכדומה.
  4. צמצום משמעותי של הקולות הפסולים. מאחר ואין נתונים על התפלגות הקולות הפסולים (כמה מתוכם אלו פתקים לבנים אידיאולוגיים) אין ביסוס לטענה זו. עם זאת, כנראה שיהיו פחות טעויות. ועדיין - אם בוחר שם מספר פתקים מאותו סוג בקלפי מקבלים את הצבעתו. לא נתקלתי במעטפה עם מספר פתקים שונים וגם אם כן - האם זו טעות או אידיאולוגיה? כך שקשה לדעת האם טיעון זה הנו בעל משמעות כלשהי להליך הבחירות בישראל.
  5. חסימת אפשרויות לזיופי בחירות: זו טענה יהירה שאינה מבוססת המציאות. אנקדוטה ממחישה - ישבתי בעבר על איפיון של פתרון אבטחה עם מומחה אבטחה מהסקטור הציבורי ושאלתי אותו מה אם הנחת היסוד שלו לגבי חוזק רכיב התוכנה שפיתח כושלת, אילו מנגנוני הגנה חלופיים יתמכו בכשלון זה. התשובה שקיבלתי הייתה שזה לא יכול לקרות ולכן לא צריך חלופות. אם לצטט את ברוס שנייר, כל אחד יכול לתכנן מערכת שהוא עצמו לא יוכל לפרוץ. חוכמה גדולה.
  6. מיידיות בספירת הקולות: שוב, חוסר הבנה של תהליך הבחירות. שני מרכיבים מאטים את תהליך הספירה: הספירה בקלפי - זו לא תשתנה כיוון שיהיה צורך להוציא כרטיס כרטיס ולבצע רישום שלו (מקביל להוצאת המעטפות לעיני כל חברי הקלפי). המרכיב השני הוא הסעת הקלפי עצמה למוקד הבחירות האיזורי ורישום הנתונים במחשבי משרד הפנים (כל הקלפיות מגיעות באותה השעה כך שנוצר עומס). שני גורמים אלה לא צפויים להשתנות (זוכרים שמדובר על מחשבי Stand Alone?), כך שהאשליה שמשהו יהיה יותר מהיר מבוססת על פנטזיות.
  7. צמצום משמעותי בערעורים. יופי - עכשיו שלא ניתן לערער כי לא ניתן להבין את התהליך אלא אם אתה ספק התוכנה, אז יהיו פחות ערעורים. זה שקול לטענה שאם נמנע מאזרחים את זכות העמידה בבג"צ יהיו פחות פניות לבג"צ וזו תהיה עדות לכך שהמדינה מתנהלת טוב יותר. התהליך בכללותו יהיה פחות דמוקרטי וזה נתפס במשרד הפנים כדבר טוב.
בכל קנה מידה הצעת החוק הזו לא אמורה לקדם את הדמוקרטיה בישראל. מדוע מקדמים אותה בכל זאת? כי יש כמה טכנופילים במשרד הפנים שחושבים שתפקיד הממשלה הוא להיות בחזית הטכנולוגיה ללא קשר לצרכי מדינת ישראל או הניסיון בישראל ובעולם.
החוק צריך להיחסם בכנסת לא בגלל הבעיות שהוא מעורר בתחום של פרטיות ודמוקרטיה, בראש ובראשונה בגלל שאין בו צורך. בזבוז כסף ללא תועלת. משרד הפנים לא הצליח עד היום למנוע זליגת נתוני אזרחים לכל דכפין, כשל בייצור תעודת זהות שאינה ניתנת לזיוף ומכוון כל הזמן לפרויקטים מגלומניים ולא נחוצים כתעודת זהות חכמה ובחירות אלקטרוניות. מישהו שם צריך להתחיל מהיסודות של שמירה על פרטיות האזרחים וטיפול טוב יותר בניפוק תעודות לפני שקופצים מעל לפופיק.

נכתב על ידי , 17/6/2009 10:23   בקטגוריות אבטחת מידע כללי, בטחון לאומי, כרטיסים חכמים, הצפנות ושמונצס, פרטיות, שווה קריאה  
2 תגובות   הצג תגובות    הוסף תגובה   1 הפניות לכאן   קישור ישיר   שתף   המלץ   הצע ציטוט
 


בין טפשות מוחלטת לטמטום גמור


משרד האוצר מבקש מקופות הגמל לקבל נתוני זיהוי של לקוחות על מנת שיוכל לבדוק את השירותים המסופקים להם. כמובן שמבחינת פגיעה בפרטיות לא ניתן לתאר דרישה זו אלא כפגיעה חמורה ולא נחוצה בפרטיות. משרד האוצר יכול לקבל משתמש פיקטיבי שיאפשר לו לבחון את כל השירותים שמקבלים העמיתים בלי לצפות בנתונים עצמם. לטובת בדיקות אבטחה מקובל להקים משתמשים פיקטיביים בסביבת הייצור של גופים פיננסיים על מנת שניתן יהיה לבחון את רמת האבטחה האפליקטיבית בסביבת הייצור. משתמש כזה יכול לבצע את כל הפעולות, למעט העובדה שאין להן כל משמעות כספית.

אבל בדרישה של משרד האוצר מסתתר מלכוד 22 קטן. אם החברות יספקו שם משתמש וסיסמא הן מודות כי באפשרותן לאחזר את סיסמאות המשתמשים. זה לכשעצמו צריך להיות עילה לתביעה כנגדן בגין היעדר הקפדה על דרישות אבטחה מינימליות. סיסמאות משתמשים אמורות להיות מוצפנות ב-Hash (עם קצת מלח בבקשה) ובלתי ניתנות לאחזור. לחילופין, אם רמת האבטחה ביישומים נאותה, עמידה בדרישת האוצר פירושה פגיעה בשירות לעמיתים שכן יש לאפס את סיסמת המשתמש ללא ידיעתו. זה לכשעצמו דרישה בלתי סבירה בעליל. נניח שהסיסמה הועברה לידי האוצר ונעשה בה שימוש לרעה. מי נושא באחריות? האם משרד האוצר? האם קופת הגמל?

על הציר שבין טפשות מוחלטת לטמטום גמור אני מתקשה למצוא את המיקום המדויק של החלטה זו. אבל ללא ספק היא יכולה להיכנס לפנתיאון ההחלטות המיותרות והמטופשות ביותר בהן נתקלתי.
נכתב על ידי , 22/9/2008 20:53   בקטגוריות אבטחת אפליקציה, פרטיות  
6 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט
 


האם מאגר ביומטרי מהווה סכנה לבטחון המדינה?


כפי שציינתי ברשימה הקודמת, אין כל צורך במאגר הביומטרי על מנת להלחם בזיופי דרכונים ותעודות זהות והטענה כאילו יש בכך צורך היא במקרה הטוב הונאה של הציבור וציבור המחוקקים בשם גחמה. אלא שנדמה כי למאגר שכזה עלולות להיות השלכות שליליות על בטחון המדינה, כאלה ההופכות את עצם קיום המאגר לבעיה בטחונית. כזו הגורמת לי להטיל ספק בשיקול הדעת של מי שחשבו על הרעיון ההזוי הזה.
לפני שאסביר את הסכנות הגלומות בקיום מאגר כזה, חשוב להסביר מדוע הטוענים כי גם במדינות אחרות נעשה שימוש בזיהוי ביומטרי טועים ומטעים. במדינות העולם המתוקנות, בניגוד לעמדתי (), אכן נעשה שימוש בזיהוי ביומטרי. אלא שזיהוי ביומטרי זה מבוסס על קיומה של חתימה ביומטרית חד כיוונית בתעודת הזיהוי (אגב, כמעט בכל המקרים מדובר אך ורק בדרכון ולא בתעודת זהות או תעודה מזהה אחרת). נושא הדרכון יצולם או יוטבעו אצבעותיו והנתון שיתקבל יועבר דרך אלגוריתם מתמטי מסוים, מהסוג ששימש ליצירת החתימה הראשונית ואז יושווה מול הנתונים בתעודה המזהה. במצב זה לא קיים מאגר ביומטרי ריכוזי ולמעשה לא קיים מאגר ביומטרי כלל, כיוון שקיימים רק ייצוגים חד כיווניים של זיהוי ביומטרי ולא דגימות מקוריות. המדינה מעוניינת לבצע משהו שונה בתכלית והוא הקמת מאגר של דגימות מקור.

זיהוי ביומטרי אינו משתנה לאורך שנים, כך על פי הגורמים המעוניינים בזיהוי שכזה. תעודת זהות יש לשאת מגיל 16, כך שסביר להניח שכוונת המחוקק היא כי עבור כל אזרח במדינת ישראל מגיל 16 יימצאו צילומים מלאים של טביעות אצבעות ופנים מהם ניתן לייצר דגימות ביומטריות. בפועל, כמובן, הנתונים יקיפו כמות רבה יותר של אזרחים, שכן כל אזרח המעוניין לצאת את גבולות המדינה יידרש לדרכון. ניסיון העבר של מדינת ישראל מלמד כי מידע המוגן על ידי חוק הגנת הפרטיות דולף החוצה. מידע אישי ממשרד הפנים מצוי באינטרנט, אך גם מידע ממאגרים משטרתיים וממאגרי בתי המשפט דולף החוצה על בסיס קבוע. אנחנו כמובן מודעים לכך רק כאשר זה מגיע לתקשורת, אך סביר להניח כי אלו מיעוט המקרים. אם נשלב את הנתונים הללו יחד נקבל כי המדינה מעוניינת להקים מאגר של דגימות מקור ביומטריות שבסבירות גבוהה ידלוף החוצה ובמצב כזה לא ניתן יהיה להשיב את הגלגל לאחור. יותר מזה, במידה ומסיבות של בטחון מדינה תרצה המדינה להוציא מישהו מהמאגר בשלבים מאוחרים יותר בחייו לא תהיה לכך משמעות.
אנו יודעים גם כן כי ניתן בקלות יחסית לזייף טביעות ביומטריות. מטבע הדברים הטכנולוגיות משתכללות, אך גם טכניקות התקיפה. פועל יוצא הוא שקיומו של מאגר ביומטרי מרכזי עלול לגרום לבעיית הזיוף אותה לכאורה (לכאורה בלבד, כיוון שזו אינה מטרת המאגר) מנסה המדינה למנוע. אלא שהמשמעות היא יותר דרמטית מ"ניתן לזייף ביומטרי". המדינה תבסס את הזיהוי הביומטרי שלה על נתוני הגלם המקוריים המצויים במאגר, עובדה שתאפשר לכל מי ששם ידו על המאגר ליצור זיוף בתנאי מעבדה ולבדוק אותו מול המאגר הממשלתי עד להתאמה מושלמת. באותה המידה שניתן לזייף טביעות אצבע, ניתן לזייף זיהוי פנים באמצעות מסיכת לטקס מהסוג שמשמש את תעשיית הקולנוע. בהנתן ההשקעה הכספית המתאימה תימצא המתקפה המתאימה. בייחוד לאור העובדה שגופי מדינה יעשו שימוש בטכנולוגיות מדף רגילות אותן יכול כל תוקף לקנות על מנת לבצע ניסויי מעבדה על יבש. מלכתחילה המטרה היא להתמודד עם אלו שמוכנים להשקיע כסף בתעודות מזויפות.
מספר תרחישים אפשריים:
  • כניסה לארץ - במידה ובנתוני המאגר הביומטרי ייעשה שימוש גם בביקורת הדרכונים (תוצאה סבירה לחלוטין), יהיה יותר קל להכנס לארץ בהסתר מאשר כיום, כיוון שבביקורת הביומטרית אין צורך לדבר עם איש, אלא רק לעבור בדיקה ביומטרית הנעשית מול מכונה, ללא לחץ זמן. כל שצריך לעשות הוא לאתר ישראלי בחו"ל (כיוון שבביקורת הדרכונים נרשם שיצא מהארץ - בהנחה ומישהו מצליב כניסות עם יציאות), לזהות אותו על בסיס המאגר (השוואת תמונה) ולהיכנס לארץ בלי לזייף דרכון (המראה עם דרכון זר ובביקורת הדרכונים זיהוי ביומטרי על בסיס טביעת אצבע). לחילופין, במידה וצריך דרכון ניתן פשוט לכייס ולהשתמש (עד שהאזרח התמים ייגש לשגרירות זה כבר יהיה חסר משמעות). 
  • פעילות מבצעית במדינות אויב - תארו לכם מצב בו לוחם מוסד נכנס למדינה עוינת עם דרכון זר אמיתי, אך מצלמת הוידאו בנמל התעופה משווה את נתוניו לנתוני המאגר הביומטרי ומגלה כי מדובר באזרח ישראלי? כמובן שגופי הבטחון ידרשו להוציא נתונים ביומטריים של אישים מסוימים מהמאגר, אך מאחר ואלו הוכנסו לשם בהיותם קטינים אין כל משמעות להוצאה מאוחרת. מספיק שבעותק שדלף לפני שאותו אדם נכנס לתפקיד המסווג הופיעו פרטיו.
  • זיהוי בעלי תפקידים בגופים מסווגים - תארו לכם שניתן יהיה לצלם את הנכנסים למתקנים מסווגים ובאמצעות תוכנת מחשב פשוטה לקבל את פרטיהם האישיים של כל הנכנסים ויותר מזה, לבנות מאגר נתונים מדויק ומקיף יותר על פעילותם של נושאי תפקיד רגישים. לדוגמא - לצלם את הנכנסים למתקן הקריה ולבנות פרופיל קצונה ובעלי תפקידים. 
  • כניסה למתקנים מסווגים - ישנם גופי בטחון העושים שימוש בזיהוי ביומטרי לטובת סינון בכניסה למתקנים. קיומו של מאגר ביומטרי עלול להפוך את הכניסה למתקנים שכאלו לקל יותר ממה שנדמה ולבטח יותר קל ממה שדמיינו מתכנני פתרון האבטחה בגופים. הם מתייחסים לביומטרי כאל משהו שהוא חלק מהאדם, אך אם המדינה מבקשת להקים מאגר דגימות מרכזי היא בעצם סותרת הנחת יסוד זו ביוצרה מאפיין של האדם שייצוג דיגיטלי מלא שלו קיים ברשותה.
הפעם האחרונה שביקרתי במשרד הפנים היתה לפני מספר שנים, אך אני מעריך שדבר לא השתנה. הנפקת תעודות זהות מבוצעת מול פקיד, המוציא הוראת הדפסה לגורם שני המקבל מהאזרח את התמונה. אין איש שמפקח כי לא קרה מצב בו אדם אחד ניגש להנפיק ואחר סיפק תמונה ובכך קיבל תעודה מזויפת (כך שאם יש נגדו צו עיכוב יציאה מהארץ הוא יכול לצאת ללא כל בעיה ועוד עם תעודה חוקית לחלוטין. למיטב זכרוני אירועים של גניבת חומרי גלם או מכירת תעודות מקוריות היו גם כן בעבר. הבעיה המרכזית של מדינת ישראל בכל האמור לזיופים היא חלמאות, טיפשות ועצלנות. את אלה גם שמונה מאות מאגרים ביומטריים ותשעים מיליון תעודות חכמות בהשקעה של שבעה מיליארד דולר לא יתקנו.
נכתב על ידי , 5/8/2008 15:46   בקטגוריות DRM, DLP וקיצורים אחרים, כרטיסים חכמים, הצפנות ושמונצס, פרטיות, שווה קריאה, בטחון לאומי, מאגר ביומטרי  
9 תגובות   הצג תגובות    הוסף תגובה   2 הפניות לכאן   קישור ישיר   שתף   המלץ   הצע ציטוט
 


הפוליגרף, הפוליגרף של א' והמציאות


וכך כותב רביב דרוקר על פרשת קצב והפוליגרף המתחדש:
"הנקודה החשובה היא, שפוליגרף לא יכול לבדוק את הנפש, במילים אחרות, הפוליגרף יכול לבדוק את השאלה אם א' מספרת אמת כשהיא אומרת שקיימה יחסי מין מלאים עם משה קצב. הוא לא מסוגל לענות ולא מתיימר אפילו אם הייתה או לא הייתה הסכמה ליחסי המין הללו."
אז זהו, שרביב דרוקר - כמו רבים אחרים - טועה. הפוליגרף מסוגל למדוד תופעות פיסיולוגיות. הנחת היסוד של הבדיקה היא שלאמירת שקר תופעות פיסיולוגיות מסוימות. במידה וזה נכון הרי שזה היה נכון גם לשאלת ההסכמה. אלא שפוליגרף מודד תופעות פיסיולוגיות שמשויכות ללחץ. באופן עקיף הלחץ משויך לשקר וזו בדיוק הסיבה שפוליגרף אמין כמו פוליטיקאי מצוי. מה שמדהים אותי זה עד כמה עיתונאים אוכלים את הקשקוש הזה.
והנה מופיעה לה תוכנית ריאליטי חדשה - הפוליגרף. התוכנית תעניק מליון שקל למי שייצא דובר אמת. ראיתי דוגמא אחת מגרסת המקור, בה נשאלה המועמדת האם היא חושבת שהיא בנאדם טוב. בלי קשר למה שהיא ענתה (יצאה דוברת שקר), מי מאיתנו לא היה מהסס בשאלה כזו. כאשר אנו צריכים לענות תשובת "שחור לבן" כמו בתוכנית שכזו, ההססנות שלנו מתרגמת לשאלה "האם התשובה שענינו תעבור את המכונה" וזו מתרגמת לחוסר בטחון. חוסר הבטחון הזה הוא צורה אחרת של אותה חרדת שקר שמכונת הפוליגרף נועדה לאתר. כך שמספיק שלא נהיה באמת רגועים עם התשובה שלנו כדי שנחשב כשקרנים. אין לזה כל קשר לאמת. כמובן שהמתמודדים בתוכנית אינם מודעים לסוגיות אלה ובטוחים שאם רק לא ישקרו יזכו במיליון. בלי לדעת את הסטטיסטיקה אני מניח שאחוז הזוכים יהיה קטן משמעותית מאחוז דוברי האמת בתוכנית.

עוד על פוליגרף כאן וכאן
נכתב על ידי , 9/7/2008 20:29   בקטגוריות אבטחת מידע כללי, פרטיות  
12 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט
 



דפים:  
כינוי: 

גיל: 50




65,379
הבלוג משוייך לקטגוריות: אינטרנט
© הזכויות לתכנים בעמוד זה שייכות לעומר טרן אלא אם צויין אחרת
האחריות לתכנים בעמוד זה חלה על עומר טרן ועליו/ה בלבד
כל הזכויות שמורות 2025 © עמותת ישראבלוג (ע"ר)