|
קטעים בקטגוריה: .
לקטעים בבלוגים אחרים בקטגוריה זו לחצו .
שימושיות ואבטחת מידע
החלטתי לפתוח מדור חדש. ברשימות קרובות ועתידיות אנסה להתייחס קצת להשפעה של עיצוב שימושיות על אבטחת המידע במערכות. ככלל, תחום אבטחת המידע מתוכנן לרוב על ידי מומחים בתחום עבור מומחים בתחום. הבעיה היחידה בתפיסה הזו היא שאבטחת מידע מיושמת בפועל על ידי אנשים שאינם מומחי אבטחת מידע (משתמשי המחשב הארגוניים).
אתחיל בשתי דוגמאות משני עולמות שונים: יישום SSL בעולם (דוגמא שחוקה, אך חשובה) ורכבת ישראל. אני מקווה בהמשך להרחיב ביותר דוגמאות.
מנגנון ה-SSL המוכר בדפדפנים אמור היה לספק מנגנון אבטחה מעולה. תעודה דיגיטלית, מבוססת על קריפטוגרפיה חזקה, מאפשרת לכל גולש לאמת בצורה מעולה מול איזה אתר הוא פועל. יתר על כן, בתעודה הדיגיטלית רשומה כתובת האתר וזו מוצלבת על ידי הדפדפן ובעת צרה הדפדפן מתריע. אלא מה, המעצבים של פתרון זה לא לקחו בחשבון שהמשתמשים פשוט אינם יודעים לקרוא תעודות דיגיטליות ואינן מבינים את הודעות האזהרה. במקום לייצר מנגנון פשוט שמשתמשים מן היישוב יוכלו להבינו יצרו המתכננים פתרון טכנולוגי מצוין אך לא שימושי. בשנה האחרונה נכנסה לשימוש תעודה חזקה, מי מכם שיגלוש לדוגמא לאתר בנק הפועלים יראה כי שורת ה-URL צבועה בירוק. אלא שתעודה שכזו עולה יותר כסף ובלאו הכי, רוב התעודות אינן ירוקות. בפועל, גולשי בנק הפועלים אינם יודעים (וכיצד יידעו) כי עליהם לצפות לתעודה ירוקה ובהיעדרה, מה עליהם לעשות? אין לי פתרון שימושיות טוב לעניין ה-SSL, אבל די ברור שאחת הסיבות לפשטותן של הונאות פישינג בתחילת דרכן נבעה מהעובדה שמשתמשים פשוט התרגלו למה שלימדו אותם - אם יש ציור של מנעול, האתר בטוח.
עד כאן SSL. היציאה מרכבת צפון (סבידור מרכז לאלו שלא יודעים מה זה רכבת צפון) מרוחקת משערי הכניסה ומבוצעת באמצעות סבסבות חד כיווניות. פתרון מעולה, אך לא כזה שלוקח בחשבון את קהל היעד. אם למשל אתם הורים עם ילדים קטנים ועגלות, אין לכם ממש איך לצאת מהתחנה. כיצד יוצאים בעלי העגלות (שלא לדבר על בעלי מוגבלויות)? פשוט מאוד: דרך דלתות החירום, אלו שאמורות להיות נעולות ועליהן המאבטחים לא באמת משגיחים. בפועל, אין בעיה להכנס דרך הדלתות הללו (ולא דרך הכניסה המסודרת), כיוון שתמיד יימצא מישהו שייצא מדלתות אלה (טוב, האמת היא שאני מניח שכולם נוהגים כמוני, אך בהחלט ייתכן שישנם כאלה שזורקים עגלות או ילדים מעבר לגדר). מנגנון אבטחה פיסי חייב להבנות באותם תקנים בהם מחוייבת בניית מבנים, קרי - נגישות לבעלי צרכים מיוחדים. המשתמשים תמיד יגברו על פתרון האבטחה במקרים בהם קיימת התנגשות בין שימושיות לאבטחה.
| |
פרצת אבטחה בנתב"ג
לא כל כך אכפת לי שבמעריב חשפו פרצת אבטחה בנתב"ג, כיוון שאני חשפתי אותה קודם (לפני כמעט שנה). חבל שאף אחד במערכת הבטחון לא קורא את הבלוג הזה, אולי משהו היה משתפר.אז הנה, אנסה לתרום את תרומתי הקטנה לפתרון הבעיה. הבעיה אינה נובעת מקלות זיוף הפתקים (טוב, קצת) אלא בעיקר מניתוק הקשר בין תהליך הבידוק לתהליך המעבר. הפתרון אינו לייצר פתקים חדשים ומחשב שיסרוק אותם, אלא לחבר את עמדות הבידוק הביומטרי לקרוסלה שנפתחת על פי פקודה. זה נשמע מאוד פשוט לייצר פתקים ושמחשב יסרוק אותם, אבל כשחושבים על זה לעומק (אם חושבים על זה לעומק), זה לא כזה פשוט, מאחר וגם המחשב הסורק לא יוודא שמי שעושה שימוש בפתק הוא בעל הפתק. תיאורטית אני יכול לטוס עם חבר שלי, להעביר יד במכונה הביומטרית וללכת לתור הידני. החבר העבריין שלי יעבור במחשב האוטומטי ואני אעבור במחסום הידני. ועוד לא דיברתי על התמודדות עם Replay Attack (טסתי לחו"ל ושלחתי לחבר שלי בפקס את הפתק שלי - החבר עשה שימוש חוזר בפתק ועבר אף הוא). הבעיה עם הפתרון שנזרק לחלל האוויר הוא שאף אחד לא טרח כך נראה לבדוק מה הם הסיכונים. בכלל, כתבתי את זה בעבר ואולי צריך לחדד את הנקודה - כל מערך הבידוק המשטרתי תכליתו להעסיק כמה שיותר שוטרים ולא לאפשר תהליך כמה שיותר מאובטח. באמצעות מספר שערים קטנים ניתן לקצץ בכמות השוטרים בנתב"ג ולייצר תהליכי בידוק הרבה יותר יעילים ואיכותיים.
אבל כמו שכתבתי בתחילה - במערכת הבטחון לא קוראים את הבלוג.
| |
נתב"ג (שוב), תורת המחירים וילדות קטנות
אז הנה חזרתי מעוד טיסה ושוב בנתב"ג מספקים לי חומר למחשבה (ולבלוג). אלמלא הפתטיות של הדברים שאציג ברשימה זו הייתי צריך לשלוח מכתב תודה לנתב"ג על שהם מספקים לי נושאים לבלוג. אבל תחילה משהו על מחיר אבטחת מידע. רוב הארגונים מניחים כי אבטחת מידע טובה יקרה מאוד ולכן מתפשרים על רמת אבטחה נמוכה יותר, כזו ההולמת את הסיכונים הנתפסים על ידם (בהנחה ומישהו ישב לעשות ניתוח סיכונים בארגון). שתי דוגמאות מנתב"ג מראות כיצד אבטחת מידע גרועה יכולה להיות יקרה, כאשר החלופה הייתה יכולה להיות טובה הרבה יותר וגם זולה יותר.
- כאשר חוזרים מטיסה עוברים בביקורת הדרכונים. בארץ, בניגוד לכל שדה תעופה בו ביקרתי, החליטו לפצל את תהליך ביקורת הדרכונים לשני חלקים: ביקורת הנכנסים ושער הכניסה לאחר ביקורת הדרכונים. ברוב שדות התעופה, לאחר שהבודק סיים את בדיקתו הוא יפתח לך מעין שער קטן באמצעותו תעבור את ביקורת הדרכונים. האחראי לבדיקה ולמעבר לשלב הבא הוא אותו הגורם. בארץ לעומת זאת (אגב, זה כך גם ביציאה) לאחר סיום הבדיקה מקבל הנבדק פתק קטן (שלא לומר עלוב וקל לזיוף) אותו הוא אמור לתת לשוטר שניצב בשער הכניסה מאחורי ביקורת הדרכונים (בלי יכולת לראות מה קורה באיזור ההוא). מאחר וכמות השוטרים קטנה משמעותית מכמות בודקי הדרכונים (עכשיו באוגוסט היו שלושה כאלה וכעשר עמדות בדיקת דרכונים), תמיד יש לחץ באיזור המעבר. ביום שישי האחרון למשל, השוטר אליו פניתי היה כה עסוק שיכולתי לעבור שם שש פעמים בלי שהיה שם לב. המתנתי דקה עד שיחזור לעיסוקיו (אגב, הוא היה עסוק במענה לשאילתות מודיעין של תיירים) ואז נתתי לו את הפתק, עליו לא הסתכל כלל. כמה קשה אם כן להכנס לישראל עם דרכון מזויף? יותר קל ממה שנדמה ובטח יותר ממה שרצוי.
- עד כאן - ניתוח האבטחה. עכשיו לגבי ניתוח העלות - בהנחה ובמהלך השנה יש רק שוטר אחד (ולא שלושה כמו שהיו בשישי), ניתן להניח כי עלות מנגנון האבטחה הזה הוא 21 משמרות שבועיות של שמונה שעות שמבוצעות על ידי 4.5 שוטרים המבצעים כל אחד 5 משמרות שבועיות (לא כולל מפקחים). אלה עולים למדינה כל אחד לפחות 7000 ש"ח בחודש (לדעתי כפול מבחינת עלויות כוללות, בהנתן גם שבתות וחגים, אבל אני מעדיף להדגים את האבסורד עם נתונים מצומצמים). כלומר, פתרון האבטחה הזה עולה כל שנה כמעט ארבע מאות אלף ש"ח. מדי שנה. החלופה - בניית שערונים קטנים לכל בודק דרכונים בעלות של כמה אלפי שקלים לשער (מה שיציב את הפתרון באיזור של עד 150,000 ש"ח הקמה ונניח 30 אחוזי תחזוקה בשנה). וזה בהערכות אופטימיות לעלות הנוכחית ופסימיות לעלות האלטרנטיבית.
- לאחר שחזרתם לארץ והתפלחתם כיוון שבביקורת הדרכונים השוטרים היו עמוסים ובודקי הדרכונים לא משגיחים באמת מי עובר דרכם, החלטתם לקחת מונית. ביציאה משדה התעופה ישאלו אתכם כל מיני אנשים אם תרצו מונית. אלו הם החאפרים - החאפרים אינם באמת חאפרים, הם פשוט בעלי מוניות שלא משלמים לרשות שדות התעופה דמי מונית. בתור המוסדר מתייצבות כל המוניות המשלמות את דמי המונית של הרשות - אלו הנהגים המקוריים. לאחר שתעלו על מונית, אם בחרתם במונית "אורגינל", המונית תעצור בשולי הדרך לפני היציאה משטח שדה התעופה ושם תתעכבו על מנת לתת פתק עם אישור תשלום דמי מונית למפקחת. מה קורה אם נסעתם עם חאפר? הוא לא יעצור ולא יראה ששילם דמי מונית. פתרון האבטחה מתבסס על זה שהמפקחת תאסוף את הפתקים מהמוניות האמיתיות (רוב המוניות) בעוד שהיא רושמת את מספרי המוניות של החאפרים. בפועל, חוץ מלהפריע לנוסעי המוניות ששילמו דמי מונית להגיע למחוז חפצם, המפקחות אינן תורמות להגנה על נכסי הרשות. איך יוכלו אם הן צריכות גם לטפל במוניות שעוצרות וגם לרשום את מספרי המוניות החולפות בכביש מהיר, חשוך עם שלושה נתיבים?
- לאחר שברור למה הפתרון גרוע, בואו ננתח את העלות והחלופה. העלות היא 5 עובדים לאורך כל השנה (פה כבר צריך מפקח) והעלות לעובד היא 5000 ש"ח בחודש (מה שמציב את כולם בשכר מינימום). אני מתעלם מעלויות נגזרות כמו מדים, הסעת העובדים לחור שבו החליטו למקם אותם, תחזוקת המבנה הקטן שבנו להם, סיכונים מקצועיים (דריסה) וכדומה. הפתרון עולה כל שנה כמעט שלוש מאות אלף ש"ח ומספק רמת אבטחה ששואפת לאפס. הלוא בלאו הכי אלו שעומדים בתור משלמים את המיסים גם אם לא ינסו לתפוס אותם. החלופה היא לשים שלוש מצלמות עם תוכנה לזיהוי מספרי לוחות רישוי, מהסוג שמשתמשים בו בכביש 6. כאן אנו מדברים על תוכנה שממש תבדוק מספר רישוי בהצלבה לנתוני משרד התחבורה (מונית רשומה) והוצאת חשבונית תשלום בסוף כל חודש. מנגנון אבטחה אופטימלי שיגדיל את ההכנסות, אך כנראה שעלותו לפחות בשלב הראשוני עולה על לאיזור מאות אלפי השקלים. גם במקרה זה אני מעריך שבטווח זמן הפתרון הזה יהיה יותר כלכלי, כאשר משקלים לא רק את עלויות התחזוקה הנמוכות משמעותית אלא גם את העליה בהכנסות.
עד כאן לגבי כמה אבטחה גרועה עולה. דרך אחרת להסתכל על זה היא שבהרבה כסף ניתן לקנות פתרונות גרועים. זה לא תירוץ לחיפוש פתרונות זולים, אלא הכוונה לניתוח אמיתי וריאלי של פתרונות האבטחה בהם ארגונים בוחרים.
הערה קטנה ואחרונה שקשורה לבטחון אישי של ילדים ופחות לאבטחת מידע (אבל זה הבלוג היחידי שיש לי, אז סליחה אם זה לא הכי מתאים). הייתי ביום שישי בחנות במודיעין (מהרשתות שמוכרות בגדים לכל הגילאים), חיפשנו לבת שלנו בגדים במבצעי סוף העונה. המוכרת האדיבה שלפה לנו שני פריטים - מכנס קצר בגזרה אופנתית שמזכירה לי תמיד בגדים של זונות (כמו המכנסונים שלובשות ג'וליה רוברטס וחברותיה בסרט אישה יפה) ומכנס ארוך שיחס המותן רגל בו מתאים לאנורקטיות (המותן כשל ילדה בת 3, המכנס כשל ילדה בת 5). הורים תמיד חוששים שהילדים שלהם יצפו במסרים אלימים באינטרנט (שומו שמיים) או בטלוויזיה (השטן הנורא). אבל ילדות קטנות (ושלי עוד לא בת 4) יכולות להפנים שאנורקסיה היא דבר רצוי גם מקניית מכנס אופנתי בגיל קטן מאוד. פשוט כי המכנס תמיד יהיה ארוך עליה והדבר היחידה שהיא יכולה לשלוט בו על מנת להתאים למכנס זה לאכול פחות. לחילופין, חולצות מעטפת ומכנסי פופיק לילדות בנות 3 ו-4 משדרות הרבה מסרים מיניים לילדות שאין להן מושג מה זו מיניות. המסרים האלה מתבשלים שם במשך שנים ופורצים החוצה בגיל 8-10 כשהילדות כבר מבינות מה זה להיות נשים קטנות. וכך במקום להיות ילדות עד גיל ההתבגרות הן מתבגרות ומאבדות את הילדות בטרם עת.
אז הלכנו לשילב, שם עדיין מוכרים לבנות 3 בגדים שמיועדים לילדות ולא לנשים קטנות בנות 3.
| |
מדוע כל כך קל לפרוץ לקריה ואיך ניתן לפתור זאת
לפני יומיים שלושה שודרה כתבה באחד מערוצי החדשות על כך שביקורת שנערכה בבסיס מחנה מטכ"ל (הקרייה בשפת העם) הצליחה להיכנס ללא כל בדיקה, עם רכב, למחנה הקרייה. אני בעצמי כתבתי מספר פעמים בבלוג זה על כך שניתן ואף עשיתי זאת. בהזדמנויות שונות, כאשר מזדמן לי דיון בקריה, אני מנסה לעשות זאת עם אחוזי הצלחה לא רעים (לפחות בשליש מהניסיונות אני מצליח) ואני כמובן מדווח לאנשי הקשר שלי בקרייה. הם מצידם מקפידים (בדרך כלל) להסביר לי שזו לא אחריותם ולכן זה נחמד מאוד שאני מעורר את מודעותם, אך הם אל מתכוונים לעשות דבר בנושא.
את בעיית הכניסה לקרייה מנסה הצבא לפתור כבר שנים רבות, בהצלחה מוגבלת (בלשון המעטה). אני רק יכול להניח שהסיבה היא שבצבא כאשר מתגלה מחדל אבטחה אומרים לשומרים לשמור טוב יותר ומאיימים עליהם ביותר עונשים. שינוי המרחב המוגן הוא לרוב לא חלק משיפור תהליכי האבטחה. אלא שבכל האמור בשערי כניסה, המתחם הפיסי הוא בעל ההשפעה הרבה ביותר על יכולתו של אדם להיכנס. מתחם כניסה לבסיס הבנוי בצורה גרועה יוצר עומס. עומס יוצר לחץ. לחץ יוצר טעויות בשיקול דעת. טעויות בשיקול דעת מאפשרות לאנשים כמוני להיכנס בלי בדיקה. לכן על מנת לצמצם את האפשרות של גורם לא מורשה להכנס צריך לטפל בגורמי הלחץ ולא בשומרים.
לקרייה מספר רב של כניסות. בהערכה גסה הייתי אומר שש, אבל אני לא בטוח. עקב המיקום הבעייתי של הקרייה, המחנה אינו יכול להקצות מרחב גדול לכל שער כניסה ומאידך רוב השערים ממוקמים על צירים ראשיים ועמוסים (שדרות שאול המלך, רחוב קפלן ודרך פתח-תקווה). התוצאה היא שרוב (כל) השערים קטנים מאוד ובשעות העומס נוצרים פקקים בכניסה למחנה. מאידך, כמות כוח האדם הנדרשת לאייש שער כניסה הבנוי לטפל בכמות נכנסים רבה אינה גדולה בצורה משמעותית מזו הנדרשת לטפל בכמות נכנסים קטנה (עקב תקורות מינימליות כמו מאבטחים שאינם בודקים את הנכנסים). התוצאה של תכנון אבטחה זה הוא ריבוי שערים הבנויים בצורה קלוקלת ורמת פיקוח נמוכה.
במקום זאת ניתן לצמצם את כמות השערים (מדוע צריך שני שערים ברחוב קפלן בהפרש של 20 מטרים זה מזה?). להתיר כניסת רכבים אך ורק משני שערים והולכי רגל רק משלושה שערים. את השערים הפתוחים יש לתכנן כך שבכל שער יהיה חדר המתנה הפונה לעבר סבסבת הכניסה לבסיס (כך שהמבקרים יוכלו להמתין בניחותא לליווי בלי לעמוד לשומרים על הראש). עבור רכבים יש לפנות מתחם המתנה מסודר - יש לאסור את נוהל "מספר האישור" שנבדק בקשר ובמקומו לאלץ את המבקר לחנות את הרכב ולגשת לשער לקבל תו כניסה לרכב, זאת על מנת להוריד את הלחץ מהשומר שנמצא בחוץ, בחום או בגשם. מאחר ופינינו כוח אדם ניתן לאייש את השערים ביותר אנשים בלי להעלות את כמות כוח האדם המנוצלת. עבור החיילים הקבועים והמבקרים הקבועים בבסיס יש לייצר מנגנון זיהוי ביומטרי בנוסף לכרטיס החוגר ולאפשר כניסה מהירה של החיילים ללא צורך בבקרה אנושית פעילה אלא מדגמית בלבד.
בגדול, נראה לי שזה יספק.
| |
מאגר ביומטרי למדינת ישראל, מי צריך כזה?
רוב הטיעונים כנגד הקמת מאגר ביומטרי מרכזי במדינת ישראל (ככתוב בתזכיר חקיקה חדש) יתבססו על סוגיות של אבטחת מידע והגנת הפרטיות ומן הסתם גם אני אתרום את חלקי בניתוח הבעייתיות בפרויקט מגלומני שכזה. אלא שגישה כזו מעודדת את עצם הקמת המאגר בכך שהיא מאשררת את עצם נחיצותו. כאשר דנים בתוצאות השליליות של הקמת המאגר בלבד מחזקים את הטענה כי יש צורך במאגר כזה ולכן השאלה היחידה שצריכה להיבחן היא שאלת המידתיות. זו בדיוק הסיבה בגללה אני רוצה להתחיל ולבחון את הדרישה מצד הצורך ולא מצד התוצאות השליליות (לאלו אגיע בשלב מאוחר יותר). מספר טענות מועלות בתזכיר החקיקה כסיבות/צרכים למאגר שכזה:
- על מנת למנוע זיופי תעודות זהות ודרכונים.
- כדי לאפשר במניעת וחקירת פשעים.
- כדי לאפשר זיהוי אנשים שאינם מעוניינים להזדהות.
- כדי לאפשר זיהוי חללים.
מניעת זיופי תעודות זהות ודרכונים: ללא ספק קיימת בעיה עם מסמכים רשמיים של מדינת ישראל, הקלים מאוד לזיוף. מהיכן נובעת פשטות הזיוף? מהשימוש בחומרים קלים לזיוף. לדוגמא, שטר של 20 שקלים קשה לזייף וקשה להשחית. תעודת זהות לעומת זאת עשויה מחומרים אחרים, פשוטים יותר לזיוף ונהרסים בקלות. אם כן, מדוע לא פשוט לעשות שימוש בחומרים איכותיים יותר וקשים יותר לזיוף בתעודת הזהות או הדרכון? שאלה טובה. רשיון הנהיגה החדש שקיבלתי אך אתמול אינו קל לזיוף כמו תעודת זהות (למרות שגם הוא ניתן לזיוף) ואינו יקר. מדוע לא לייצר תעודות זהות טובות יותר? אולי כי אז לא ניתן יהיה לקדם פרויקטים כמו מאגר ביומטרי. השימוש באמצעים ביומטריים אמור לספק את ההגנה המיטבית כנגד זיופים. אלא שאליה וקוץ בה - נכון להיום מחקרים מראים שניתן לזייף אמצעים ביומטריים (טביעות אצבע) ולפחות רשימה מעניינת אחת שקראתי לאחרונה קוראת תיגר על זיהוי פנים. בכלל, מי אמר שתעודות מזויפות הנן בעיה? ואם הן בעיה, על מי הן מעיקות? לא מצוינים נתונים בתזכיר למעט סטטיסטיקה של אובדן תעודות. ובכן כנראה שבאמת תעודות מזויפות הנן סוגיה המפריעה למסחר תקין, מאפשרות לאנשים לפתוח חשבונות בנק פיקטיביים, לעשות שימוש בפנקסי המחאות של אחרים וכדומה. הטמעת אמצעי זיהוי ביומטריים בתעודה מזהה כלשהי לא תפתור את כל אלה, אלא אם ניתן גישה לכל בית עסק למאגר הביומטרי או נספק לו את האפשרות לבצע השוואות ביומטריות. בשלב זה, לפחות על פי התזכיר נדמה כי השימוש במנגנונים הביומטריים אמור להיות מותר רק לגופי מדינה ובכך למעשה מכריזים על פתרון שאינו מיועד לפתור את הבעיה לשמה נוצר. סוגיות אחרות אגב הנן שביומטריקה, כביומטריקה, מתבססת על מדידה. החוק אינו מגדיר ואף אינו מגדיר מי יגדיר את סוגי המדידה, רמת הרגישות שלהן ותוצאות ה-False Positive וה-False Negative שלהן. בכלל, על אילו תקנים יתבססו המנגנונים הביומטריים? לא מצוין.
על מנת שבתי עסק יוכלו להגן על עצמם מזיופים (המטרה העקרונית של סעיף זה) הם צריכים לא רק תעודה שקשה לזייף אלא גם תעודה שקל לוודא. כלומר המנגנון הנדרש הוא כפול - קשה לזייף, קל לאמת. שטר הנו דוגמא קלאסית לאמצעי מסוג זה. טביעה ביומטרית? למיטב ידיעתי לא. רוב הסיכויים שעסקים יעשו שימוש ברכיבים הלא ביומטריים של התעודה (עיצוב הכרטיס) על מנת לאמת את תקפותה.
הנה שני רעיונות זולים בהרבה לפתרון בעיית הזיופים:
- לכל תעודה יש מספר תעודה המופיע מאחוריה (ת"ז) או על כל דף (דרכון). ניתן לפרסם באינטרנט את מספרי כל התעודות הפסולות, גנובות וכד'. זה לכשעצמו יחייב זייפנים לעבודה הרבה יותר אינטנסיבית ויוריד את כמות הזיופים.
- ניתן לנפק תעודות זולות אך קשות יותר לזיוף, כדוגמת רישיון נהיגה חדש או כל דרכון אחר בעולם (ללא המרכיב הביומטרי).
מניעת וחקירת פשעים
בסוגיית המאגר הביומטרי, כמו גם בסוגיית הרשומה הרפואית הממוחשבת קיימת הנחת יסוד לפיה הבעיה המרכזית עמה גורמי המקצוע מתמודדים הנה חוסר מידע ולא (למשל) חוסר כוח אדם, חוסר משאבים או חוסר מקצועיות. המאגר הביומטרי אמור לאפשר למשטרה לבקש להשוות טביעות אצבע שנמצאו בזירת פשע מול המאגר הארצי ובכך לסייע לה לאתר חשודים. אלא מה, תהליך שכזה יגרור לעליה עצומה בכמות החשודים בכל זירת אירוע ויעמיס על המשטרה (עוד חשודים, עוד הצהרות, עוד גביית עדויות ורובם כמובן חפים מפשע). האם זה יסייע למשטרה בחקירת פשעים או יפגע בה? לדעתי זה רק יפריע למשטרה וייצור הסתמכות יתר על מנגנון הזיהוי הביומטרי כיוון שהוא נגיש, תוך פגיעה בתהליכים אחרים. מעבר לכך, טביעות האצבע שנלקחות במשטרה שונות באופן הדגימה מאלו שיילקחו במאגר הביומטרי. לא ברור האם השירות המבוקש יספק תוצר כלשהו והאם הוא יהיה ניתן לשימוש במתכונת המוצעת (סוגיות טכנולוגיות גרידא).
זיהוי אנשים שאינם מעוניינים להזדהות
האמת שכנגד זה אין לי מה לומר, למעט שמי שלא רוצה להזדהות לא יזוהה גם על ידי שתי טביעות אצבע (שניתן להשחית...) ותווי פנים שניתן לשנות.
זיהוי חללים
הנה מטרה ראויה באמת. אלא מה, מהי כמות החללים הלא מזוהה במדינת ישראל בכל שנה? ולטובת העניין חיילים אינם נספרים כי מהם לוקחים דגימות דנא ולכן לא צריך טביעות אצבע. זו נראית לי בעיה כל כך זניחה.
סיכום ביניים
נדמה כי המטרה האמיתית של החוק אינה למנוע זיופים של תעודות זהות כפי שכתוב בפתיח לתזכיר החקיקה אלא דווקא לספק לגופי הבטחון מאגר ביומטרי על האזרחים. את סוגיית הזיוף ניתן למנוע בצורה זולה יותר וללא שימוש במאגר ביומטרי מרכזי (גם אם נעשה שימוש במאגר ביומטרי ניתן לעשות שימוש במאגר שאינו ניתן לשחזור ושאינו מרכזי), זיהוי אנשים שאינם רוצים להזדהות וזיהוי חללים הנן בעיות זניחות וכך אנו נשארים על מאגר ביומטרי למעקב אחרי אזרחי המדינה. מבחינה פונקציונאלית לא הוכח כלל וגם לא נטענה הטענה שהמאגר נחוץ כדי לטפל בפשיעה ושהחסם העיקרי כיום הוא היעדר יכולת לנתח טביעות אצבע. נדמה כי מאגר שכזה יפריע למשטרה במילוי תפקידה יותר מאשר יועיל. באופן כללי אגב, לא התרשמתי שתזכיר החקיקה מגובה בעבודת מטה אמיתית המנתחת צרכים, סיכונים ותהליכים. נדמה כי תזכיר החקיקה נולד מתוך מספר גחמות - הרצון הנצחי של גופי בטחון ושיטור לקבל את כל הנתונים האפשריים על כל האזרחים; הרצון של משרד האוצר לקדם תעודת זהות דיגיטלית; הרצון של משרד הפנים להסיט את האש מחוסר המאמצים שלו לטפל בסוגיית זיוף תעודות רשמיות.
כך נולד לו פרויקט מסוכן, מגלומני ובזבזני. מאחר והוא משרת את רצונות האוצר והבטחון, אגב, כנראה שבמקרה זה לא יהיה מחסור תקציבי.
| |
דיאלוג
היא: יכול להיות שהוא עבר פה עכשיו עם המזוודות בלי לעבור בידוק?
הוא (בנונשלנטיות): אז תרדפי אחריו.
היא (זורקת מבט לאחור: נראה לך?
הוא מקמט את פניו בנימה של "נו שוין".
היא: נקווה שאין לו שום דבר (או משהו כזה, לא הקשבתי).
המקום: נמל תעופה בן גוריון, שלב בידוק תיקי היד.
הזמן: יום שני בבוקר (באיזור השעה 05:30).
מסקנה: ואחרי זה אנשים מתפלאים איך אני נכנס לקריה בלי שיבדקו אותי. שומרים עושים את עבודתם מעולה כשקהל היעד מתנהג בהתאם לנהלים. הבעיה עם פורצים היא שכולם אנאלפבתים. עובדה - הם לא קוראים את הנהלים.
| |
חשבתם שזכרון נדיף מתנדף? אז חשבתם.
חוקרים בפרינסטון הצליחו לחלץ מידע מזכרון RAM לאחר שהוציאו אותו מהמחשב. העיקרון די פשוט - קירור הזכרון מאיט את קצב התנדפות הזכרון (חזרת התא למצב הבסיסי שלו). בעיקרון, בניגוד למקובל לחשוב, זיכרון נדיף אינו מתנדף בעת ניתוק החשמל אלא כמה שניות לאחר מכן (שניות ספורות עד חצי דקה). השונות היא פועל יוצא של צפיפות התאים - תאים צפופים יותר בשבב יגרמו לנידוף מהיר יותר (ציפוף התאים מאפשר ניצול גבוה יותר של השבב אך גם מוביל לצריכת חשמל מוגברת). מה שהם הצליחו להוכיח זה שבקירור השבב למינוס חמישים מעלות ניתן לקבל מספיק זמן עבודה על מנת לחלץ את השבב ולהתקין אותו בחומרה אחרת, או פשוט להעלות מערכת הפעלה מדיסק ולקרוא את מה שכתוב ב-RAM.
על פניו ההשפעה החזקה ביותר היא על מערכות צופן להגנה על מחשבים ניידים והחוקרים הוכיחו כי הם יכולים לשחזר את המידע ממערכות שהוצפנו באמצעות כלי ההצפנה של Vista, Apple ו-TrueCrypt (קוד פתוח...). הכוונה ליישומי Full Disk Encryption והתקיפה היא כאשר המחשב פעיל, כלומר ההצפנה מנוטרלת (אך המחשב עשוי להיות נעול או במצב Standby). בעיקר כיוון שהיישומים הללו צריכים לטעון מפתחות הצפנה לזכרון הנדיף ומרגע שאלו חולצו ניתן היה לשחזר מידע. העובדה שהגנה פיסית חיונית לאבטחת מערכות מידע ידועה ואיננה חדשה. החידוש כאן הוא העובדה שניתן לעקוף בצורה פשוטה יחסית מערכות צופן מורכבות. אני חושב שבמערכת הבטחון בכלל ובצבא בפרט צריכים להתייחס ברצינות למחקר זה ולהשלכותיו.
| |
קצרים
טעיתי. אני לא בטוח אם כתבתי את זה פה, אך בהחלט אמרתי את זה בצורה ברורה בפורומים מקצועיים - הסבירות למתקפת פישינג על בנק בארץ נמוכה וכנראה שלא תקרה בשנתיים שלוש הקרובות. זה הזמן לאכול את הכובע (אני מתייחס כמובן לפישינג על לאומי), למרות שאני עדיין מאמין שהסבירות למתקפות כאלה נמוכה. בעיקר בגלל שפוטנציאל הגניבה נראה לי נמוך באופן יחסי. צריך לזכור שלמרות שיעורי חדירה גבוהים אולי של האינטרנט ללקוחות בארץ, אנחנו עדיין מדינה שיש בה רק שבעה מיליון תושבים. רוב הבנקים מטילים מגבלות לא קטנות על העברות כספים ורוב הלקוחות לא מנצלים את היכולת להעביר כספים, כך שלחלקם זה חסום לחלוטין (כמו אצלי למשל) ואצל חלקם יש מספר חשבונות מוגדרים מראש להעברה. כך שאם יש תוחלת למתקפת פישינג נראה לי שזה יהיה סביב הרצת מניות, אבל טעיתי פעם אחת אז אולי זו הפעם השניה.
לפני שבועיים הייתי בדיון בקריה. הגעתי לשער ויקטור - היו שם הרבה שוטרים צבאיים ומאבטחים, אז מאחר ולא תואם לי אישור מראש ולא היה לי חשק להמתין יותר מדי פשוט נכנסתי. יש כנראה סיבה לכך שיש שם שערי זכוכית יפים - כיוון שלטובת אבטחה הם לא משמשים (היו פתוחים לחלוטין), אז לפחות שיהיו יפים. אין מה לומר, הבסיס השמור במדינה.
במקום העבודה שלי ישנה חברה שליד משרדה אני עובר מעת לעת. ככל החברות גם להם יש מנעול קוד בכניסה. אלא שהם בחרו במנעול מעוצב ויפה, כזה שבו הלחצנים עשויים גומי רך ונאה. גומי רך ונאה שמתלכלך מכל לחיצה. נכנסתי לשם לפני כשבועיים (בלי הזמנה) ואמרתי לפקידת הקבלה (המשתאה) את הקוד ושכדאי להם להחליף את המנעול כיוון שכל אחד יכול לדעת את הקוד מהסתכלות על המנעול (בניחוש הראשון). לפני מספר ימים ראיתי מישהו יוצא משם אז שאלתי אותו אם הקוד הוא עדיין מה שאני מכיר. הוא השיב שכן אז אמרתי לו שכדאי להם להחליף. תשובתו הייתה - עדיין אין לנו מה לגנוב, אז אנו לא דואגים. מה שיפה זה שאחרי שיהיה להם מה לגנוב, כבר לא יישאר להם מה לגנוב ואז לדאוג כבר לא יעזור.
| |
הורים, מי שומר על הילד שלכם?
הסיבה המרכזית לדלדולו של הבלוג בחודשים האחרונים היא שנולדה לי תינוקת לפני כחמישה חודשים ואני מתקשה למצוא שעות ערות ועירנות. הגיעה שעתה של הפעוטה החמודה (מאוד) ללכת לפעוטון. בדקנו פה, בדקנו שם, ראיינו, שאלנו, חיפשנו המלצות וכיוצא באלה דברים שהורים עושים. מצאנו מקום שנראה מוצלח, עד אשר סיפרה לנו הגננת (בגאווה, יש לומר) שבגן יותקנו מצלמות אבטחה שיאפשרו להורים לבחון את הנעשה בגן. בעקבות רצח תאיר ראדה וההצעה לעשות שימוש במצלמות אבטחה בבתי ספר כתבתי על משמעויות מהלך זה והאפקטיביות שלו (כאן וכאן).
חששם של ההורים בגן מובן. בייחוד לאור כתבות תחקיר המפורסמות מעת לעת וחושפות מקרי התעללות בילדים. אלא שחשש זה מוביל לנקיטת צעדי "אבטחה" שבעיקר פוגעים במטרה שלשמם הוקמו ואינם מסייעים לאבטחה (או במקרה הזה לבטחון הילדים). והנה הסיבות המרכזיות:
- כפי שכתבתי בעבר, מחקרים מראים שמצלמות אבטחה אינן מסייעות בהפחתת רמת הפשיעה. אמנם מחקרים אלה אינם מתייחסים לגני ילדים, אך אין סיבה ממשית להעריך שהמצב שונה. גננת המעוניינת להתעלל בילדים באחריותה תמיד תמצא פינה שאינה מכוסה במסגרת מערך הצילום שנפרש בגן. לכל היותר, מצלמות אבטחה בגן ילדים יגרמו להתעללות יצירתית, כאילו שזה מה שחסר לנו בחיים.
- רוב הצילומים על גננות או גננים מתעללים בוצעו באמצעות מצלמות נסתרות. התקנת מצלמות גלויות, שמיקומן ידוע אינו שקול להתקנת מצלמה נסתרת. התקנת מצלמות נסתרות לאחר יידוע הצוות על קיומן שכאלה (ללא חשיפת מיקומן) אמנם יכול לשמש כגורם מרתיע, אך באותה המידה יכול להכניס אוירה של חשש וחשדנות לגן ילדים. בדיוק האווירה הנחוצה להתפתחות תקינה של עוללים. האפשרות האחרונה של שימוש במצלמות נסתרות ללא יידוע הצוות אינה באה בחשבון ומפירה את פרטיות הצוות.
- אנשים אינם מתנהגים אותו הדבר בפני המצלמה ושלא בפניה. ברוב המקצועות אין משמעות רבה להשפעה זו, כיוון שהמרכיב הרגשי/חברתי אינו נוכח בצורה דומיננטית בעבודה. בגן ילדים מרכיב זה דומיננטי ולכן שינוי התנהגות הצוות שכעת צריך לשחק לעיני המצלמות עלול לפגוע בצורה משמעותית בתפקוד הצוות ולפגוע בילדים.
- כאשר נותנים להורים גישה למצלמות הגן בזמן אמת (וגם לא בזמן אמת) הופכים את גן הילדים למופע רייטינג. לכל הורה (אני מניח/מקווה) קשה לראות את הילד שלו בוכה, מקבל מכה וכדומה. אלו מצבים טבעיים לחלוטין, שכאשר הם קורים בסביבתנו אנו מטפלים בהם בצורה שקולה. בין היתר כיוון שיש לנו את היכולת לראות את ההקשר המלא של האירוע. בצילום אין הקשרים - לא ניתן לעקוב אחר כל מה שקורה כל הזמן וניתן (בסופו של דבר) רק לשים לב שהילד בוכה או חטף מכה. כתוצאה מכך הורים יתערבו בניהול התקין של הגן ללא שיש להם כלים מתאימים וללא הצדקה.
- מאחר ולא כל ההורים יעשו זאת, התוצאה תהיה אסימטריה בהתפתחות הגן - יהיו מספר הורים שישפיעו יותר בצורה שהם מאמינים שטובה יותר לילדיהם, תוך הפקעה חלקית של שיקול הדעת של הצוות.
מצלמות בגן ילדים הן רעיון גרוע. אם לחזור רגע לעולם אבטחת המידע בכללותו, ניתן לומר כי כל פתרון אבטחה משפיע על המציאות ויוצר בעיות חדשות. זה לכשעצמו אינו צריך להרתיע אותנו מיישום פתרונות אבטחה או חיפוש כאלה, אך זה אמור למנוע מאיתנו להסתכל על כל פתרון שהוא כפתרון קסם ולנסות לבחון את השפעות הפתרון הנבחר. במקרה של גני ילדים אין תחליף לפיקוח של הורים, פיקוח ניהולי, קשר בין הורים (על מנת לבנות תמונה שלמה יותר של המתרחש בגן) והקשבה לילדים. מצלמות זה דבר מצוין, בשביל תמונות סוף שנה.
ואנקדוטה אחרונה מהגן ומפתרונות אבטחה - המנהלת הסבירה לנו שיותקן אינטרקום בשער הכניסה המוביל לדלת הפעוטון. לכאורה אמצעי אבטחה מעולה. בפועל, לא ניתן לפתוח את דלת הפעוטון מבחוץ, כך שזהו אמצעי מיותר והשער עצמו מצוי במקום חשוף לגשם ורוח, מה שמעלה את הסבירות שבימים חורפיים הוא יושאר פתוח על מנת שלא לעכב הורים עם תינוקות בגשם. אבל זה עוד אמצעי שקונה שקט של הורים ומסיט את תשומת ליבם מהעיקר.
| |
מסתבר שפושעים הם לא אנשים נחמדים (חידה ופתרונה)
ברשימה הקודמת הראיתי תמונה מתחנת הרכבת השלום בתל אביב ושאלתי מה ליקוי האבטחה. כפי שציין דן בתגובות הבעיה היא שהסבסבת שאמורה למנוע מאנשים להיכנס דרך היציאה נמצאת מאחורי השומר. התוצאה היא שבכניסה יש שני מנגנוני אבטחה (שומר וסבסבת) וביציאה אין אף מנגנון אבטחה. מבחינה סטטיסטית, אגב, בממוצע בכל פתח יש מנגנון אבטחה אחד.
באחת הרשימות הקודמות כתבתי על Defense in Depth, או מה שקרוי גם מעגלי הגנה, שיטת הבצל, או כל שם אחר שתרצו. אחד העקרונות המהותיים במימוש מעגלי אבטחה הוא שכל מעגל אבטחה צריך להיות בעל ערך סגולי משל עצמו למערך האבטחה. במקרה הזה, מיקום סבסבת שאינה מאפשרת לצאת דרך הכניסה, כאשר היציאה ממוקמת בצמוד לכניסה, חורג מהכלל הזה. מנגנון האבטחה הזה אינו תורם במאום לתכנון האבטחה הכולל ובפועל המצב הוא שכל אחד יכול להכנס דרך היציאה, כאשר אין ממש איום של יציאה דרך הכניסה.
הנקודה בה רציתי לעסוק היא בעצם זו - רובנו מקבלים החלטות על סמך הנחות לא מודעות. אחת ההנחות הנפוצות בתחום אבטחת המידע (מהתרשמות אישית) היא ההנחה שפורצים/פושעים ושאר מרעין בישין ינסו לפרוץ מאותם מקומות בהם מיקמנו אמצעי אבטחה. בעת האחרונה אני שם לב יותר ויותר למערכי בקרת כניסה המשקיעים אנרגיה רבה בסינון הנכנסים, אך משאירים את היציאות פרוצות. כאשר בוחנים את מערך האבטחה הנטייה הטבעית של מנהלי אבטחת המידע היא לנסות לעקוף את בקרת הכניסה המתוכננת - זו שהמבקרים שאינם מנסים לפרוץ נכנסים דרכה. אלא שהפורץ הממוצע לא ינסה להיכנס משם בהכרח, אלא עשוי לנסות להכנס מהיציאה דווקא.
בעבר היה נהוג לנסות לפרוץ מנגנוני הצפנה דרך פיצוח האלגוריתם. היום מקובל לנסות מתקפות עקיפות (side channel attacks). מתקפות שכאלה מנסות למצוא פרצת אבטחה במערכת כמכלול ולא מנסות לפרוץ את רכיב האבטחה המרכזי בלבד (האלגוריתם). פעמים רבות אני נתקל במערכות מידע בהן מושם דגש רב על תכנון מנגנון ההזדהות, אלא שמתברר שישנה דלת אחורית, או שהשרתים עליהם מורצת המערכת פרוצים וכך אנו נשארים עם מנגנוני אבטחה מעולים ומערכת פרוצה. כדי לבנות מערך אבטחה ראוי, עלינו להניח כי ניתן לחדור למערכת או לארגון מכל נקודה ובכל נקודה במערכת עלינו לשאול את עצמנו לא האם פורץ ינסה לפרוץ מנקודה זו, אלא כיצד הוא יעשה זאת.
| |
דפים:
| כינוי:
גיל: 48
|
בבלוג זה
בכל הבלוגים
