שווה פיסת נייר?

בשנה וחצי האחרונות אני טס לא מעט לחו"ל, במסגרת העבודה. בכדי להקל על עצמי את ביקורת הדרכונים בישראל, הן הלוך והן חזור, נרשמתי למסלול המהיר של ביקורת הגבולות בנמל תעופה בן-גוריון. הרישום הוא חד-פעמי (באולם ביקורת הדרכונים ליוצאים מישראל), מאוד יעיל ומהיר. מקבלים כרטיס זיהוי מגנטי ומבצעים זיהוי של כפות הידיים. השירות אפשרי רק לבעלי דרכון ישראלי.
בפעמים הבאות, בכניסה וביציאה מישראל, פשוט ניגשים לאחת ממכונות "קיוסק" העומדות בשני צידי אולם ביקורת הדרכונים, מעבירים את הכרטיס ומניחים את אחת מכפות הידיים על משטח הסריקה – ואם עושים הכל כמו שצריך, בתוך פחות מדקה אתם יכולים להמשיך בדרככם. מאוד יעיל ומהיר.
(ואני לא נכנס כרגע לנושא המאגר הביומטרי, זה לא נושא הפוסט הזה)

אבל, נדמה לי שיש בעיה אחת עיקרית בתהליך הזה. הן ביציאה מהארץ וגם בחזרה, ביציאה מאולם ביקורת הדרכונים יש עמדת בדיקה נוספת, בה עומדים בודק או שניים, שתפקידם לוודא שאכן ביצעתם רישום יציאה/כניסה, בין אם אתם בעלי דרכון ישראלי או תיירים (ואני לא יודע כיצד נבדקים תיירים בעמדה זו). כלומר, שלא דילגתם באופן אלגנטי על ביקורת הדרכונים. לשם כך, ה"קיוסק" הביומטרי, בסיום זיהוי תקין, מוציא לכם "צעטאלע" (פתק ביידיש), על נייר פקס, כן, מהסוג הדוהה, שאתם מציגים לבודק, הוא מציץ בו ומאשר את כניסתכם לארץ המובטחת. הפתק נשאר ברשותכם, כמעין "קבלה" שאתם יכולים לשמור לעצמכם.
להלן דוגמא עדכנית (מחקתי כמה פרטים, כמובן. הקליקו להגדלה):

ואני שואל – האין כידוע חוזקה של שרשרת הוא כחוזק החוליה החלשה בה? לאחר כל התהליך הביומטרי המתוחכם, בסוף עומד בודק שמוודא טקסט שרשום על פיסת נייר?!  והוא מן הסתם כנראה בודק עשרות עד מאות אנשים במשמרת, כך שמן הסתם רמת העירנות שלו יורדת עם התקדמות המשמרת. יכול להיות שפספסתי כאן משהו או שיש בתהליך משהו סודי נוסף שהבודקים או מישהו נוסף בודקים, אבל זה בסימן שאלה. הדבר היחיד שאני רואה כאן כאפשרות לנסות ולאתר זיוף הוא חותמת התאריך-שעה.
מה הבעיה לזייף מראש מספר פתקים כאלו, שיהיו עם חותמת תאריך-שעה מקורבים לשעת הנחיתה/המראה (וכיום חברות התעופה הסדירות די מדייקות בלוחות הזמנים), לגשת לאולם הביקורת, לעשות עצמך מבצע את תהליך הזיהוי הביומטרי (לטובת מצלמות וידיאו שמן הסתם מכסות את האולם (לא בדקתי אם קיימות כאלו)), ולבסוף לגשת לבודק עם הפתק המתאים לתאריך-שעה, שהכנת מראש? (ובאולם הביקורת של הנכנסים, בין הקיוסקים והבודקים, יש גם שירותים, לנוחותכם)
אולי איזה עיתונאי אמיץ ינסה את זה? יכול להיות אחלה סקופ.

בתמצות, נראה לי שהנקודה כאן שהזיהוי הביומטרי, שאמור להיות זיהוי חזק, לבסוף מאושר על ידי זיהוי אנושי שהוא כנראה חלש, ולכן כנראה החולשה הזו ניתנת לפתרון על ידי יצירת איזור נפרד לזיהוי ביומטרי, שהכניסה אליו תהיה רק עם הכרטיס המגנטי, ובתוכו יהיה קישור ישיר בין הקיוסק לבין שער אלקטרוני, שייפתח רק אם הזיהוי בוצע בהצלחה (ורצוי שרק אדם אחד ישהה בכל פעם בכל שילוב של קיוסק-שער). כן, צריך לחשוב איך זה לא יראה כמו תור הכניסה של פרות לחליבה (…) או סתם סצינה מ-1984 (…), אבל זה כנראה ניתן לפתרון.

ואם כן נחזור לרגע לנושא המאגר הביומטרי המתהווה – הדוגמה הנ"ל מראה כיצד מדינת ישראל נושאת ראשה לשמיים בתחום הביומטריה ואבטחת המידע אך לבסוף, בפועל, רגליה מתבוססות בערימה של צעטאלאך מנייר פקס.

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

ראיון ברברס עם פלטפורמה

(אחת הכותרות ההזויות (אך המשעשעות) ביותר שיצא לי לתת בחיי)

רברס עם פלטפורמה הוא אתר פודאקסטים שהם למעשה ראיונות שמבצעים רן תבורי ואורי להב מחברת הסטארט-אפ Outbrain (שיצרה את וידג'ט רייטינג הכוכבים שיש בסוף כל פוסט באתר זה).
יש גם הסבר לשם המוזר הזה.
הראיונות, או סוג של תכנית אירוח רדיו אינטרנטית אם תרצו, עוסקים באספקטים מגוונים ורבים של עולם הטכנולוגיה.

הדרך שלי אל הראיון הזה מתחילה בעצם השימוש בוידג'ט של החברה שהוספתי אותו לבלוגים שלי, דרך הערות שונות ששלחתי לחברה על בעיות או הצעות שיפור שונות למוצר הזה של החברה, ועד להערה האחרונה שנגעה לחסימה של הוידג'ט על ידי תוסף אבט"מ ל-Firefox בשם NoScript שחסם את התוסף ובכך פגם במראה ובשימושיות של הבלוג. לפני שפניתי אליהם בנושא פניתי למפתח התוסף הזה בטענה שיכול להיות שיש בעיה בתוסף שלו אך הוא בדק ומצא ש-Outbrain לא הגדירו נכון ערך זיהוי כלשהו ובהמשך הוציא גרסת תיקון (1.9.7.1). אני פשוט יידעתי אותם על השגיאה שהוא הצביע עליה, בכדי שיתקנו את מה שצריך.
לאחר שיידעתי אותם על כך, באופן מפתיע הם שלחו אלי קופון מתנה של אמזון (בערך של 40$. אם חס וחלילה לא יהיה להם אקזיט, אז כנראה זה בגללי). זה מאוד הפתיע אותי והיה נחמד לדעת שמעריכים מידע מסייע שאתה מעביר מבלי לצפות לתמורה ובכל אופן הצד השני מרגיש צורך להגיד תודה מעבר לרגיל.

קצת לאחר המקרה הנ"ל, פנה אלי רן, הציג לי את אתר רברסים והציע שאבוא לראיון. הסכמתי מייד כי זו חוויה חדשה עבורי, מעולם לא התראיינתי עד היום בשום צורה וחשבתי שזו יכולה להיות התנסות מעניינת.

אז מהמפגש (שבו אורי לא היה יכול להשתתף והחליף אותו בהצלחה אלעד סלים, גם הוא מ-Outbrain) יצא "פודקאסט מספר 33 – אבטחת מידע", שעסק במגוון מאוד רחב של נושאי אבטחת מידע שהספקנו בקצת יותר מחצי שעה. אני מאוד מרוצה מהתוצאה. אני חושב, ואני בדרך כלל מאוד ביקורתי, שהראיון היה שוטף ומאוד מוצלח (אבל אני אובייקטיבי, כמובן).
אפשר לשמוע את הראיון גם באתר עצמו וגם להוריד משם קובץ MP3.

בראיון גם דיברנו קצת על חוק המאגר הביומטרי המתבשל. הייתי בפאנל ש-IFIS ארגנו השבוע בנושא ואני מכין פוסט בנושא, אבל זה ייקח קצת זמן כי תמיד עדיף קצת לקחת מרחק מהאירוע וללמוד קצת יותר על העניין בטרם מגיבים (וגם אין לי זמן…).

בכדי לא להשאיר אתכם בלי תכנים לשבת (ואפילו לשבוע הקרוב), אני מצרף כאן את הקישורים שאספתי לכבוד הפוסט המתהווה – הכוללים התייחסויות מרחבי הרשת לפאנל שהתקיים:

הכי כדאי שתתחילו מהצעת החוק הסופית, כקובץ RTF מאתר הכנסת – השם המלא של החוק המוצע הוא הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התשס"ט-2009 (35 עמודים). שמרתי לכם אותו אצלי גם כקובץ PDF:
הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התשס"ט-2009.
בנוסף, בכדי לראות כיצד התהווה החוק, תוכלו לקרוא את הפרוטוקולים של ועדת המדע והטכנולוגיה של הכנסת.

עיתונות ותקשורת
YNET –
ישי: "מוכן שיוקם צוות מומחים שיבחן את המאגר"
פרופ' שמיר מציע: מאגר טביעות אצבע מעומעם
חוק המאגר הביומטרי – הסיקור המלא
The Marker – "לא בכדי רוב המדינות לא מחזיקות במאגר",
מאיר שטרית: "יש בישראל מאגרים ביומטריים של מיליוני אזרחים. איפה הייתם?",
השר ישי: "מוכן להשקיע זמן בשכנוע על בטיחותו של המאגר"
"יש בישראל מאגרים ביומטריים של מיליוני אזרחים בלי שום הגנה"
גלובס – "המאגר הביומטרי משנה את יחסי האזרח-שלטון"
כלכליסט – ישי יקים צוות של מומחי אבטחת מידע לבדיקת חוק המאגר הביומטרי
אנשים ומחשבים –
שר הפנים, אלי ישי: צריך להקים צוותים מקצועיים כדי לדון בבעיות האבטחה של המאגר הביומטרי
הרב עובדיה יציל?
וואלה (כולל וידיאו) – ישי: "אולי אשנה דעתי על המאגר הביומטרי"
Nana10 – לקראת אסון: המאגר הביומטרי כבר כאן
ערוץ 7 – שטרית: האזרחים במדינה חיים בסיכון
הידען – שר הפנים אלי ישי על החוק הביומטרי: "לא חושש לשנות דעתי. אקים צוות מומחים"

בלוגרים וארגונים שונים
דר' קרין ברזילי-נהון (שומרת סף – מידע, חברה ומה שביניהם) (השתתפה כמרצה בפאנל) – מאגר ביומטרי – השוואה לגבי המצב במדינות העולם (יש שם קובץ אקסל המשווה את המצב בין המדינות השונות בנושא מאגרים ביומטריים – שתכניו נדונו על ידה בפאנל)
האתר של השר מיכאל איתן (להוכיח שאפשר אחרת!) – ד"ר ברזילי נהון: אין מדינה מערבית ודמוקרטית עם מאגר ביומטרי כזה
ישי ורטהימר (“הפר מחשבות באין סוד, וברב יועצים תקום”) – פאנל בנושא המאגר הביומטרי – לייב בלוגינג
יהונתן קלינגר (Intellect or Insanity) –
ככה, במרכז תל-אביב.
האם הצפנה היא הדרך? מחשבות על עתיד הפרטיות והחקיקה
מאגרג.
עירא אברמוב (אסכולת הכורסא) – הפאנל בבינתחומי והכיסוי בעיתונות (כולל תמונות שצילם, קישור מלא לתמונות בהמשך)
ניר פסי (Csec עבירות מחשב ואבטחת מידע) – שטרית: יש בישראל מאגרים ביומטריים של מיליוני אזרחים. איפה הייתם?
אופק דורון (חופש הדיבור) – האם ישראל יכולה / מצליחה להגן על נכסי המידע שלה?
הגר צימרמן (השב"כ אורג) – רק בגלל שאתה פרנואיד, לא אומר שהם לא אחריך
עבודה שחורה (פועלים למען מדינת רווחה!) – אלי ישי: אינני חושש לשנות דעתי בנושא המאגר הביומטרי

תמונות מהכנס
AntiBiometrics panel @IDC

אתרים ייעודיים למאבק בחוק
נכנסת לרשימה השחורה – המרכז לעצירת חוק המאגר הביומטרי
מטה המאבק במאגר הביומטרי – האגודה לזכויות האזרח בישראלBadbio: החוק הביומטרי – דיעות וידיעות בעיקר נגד החוק הביומטרי

(אני מקווה שלא הרסתי לכם את השבת… (-; )

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

הפורום הישראלי לאבטחת מידע – פאנל בנושא המאגר הביומטרי במדינת ישראל

(אני מתנצל שקצת שיגעתי אתכם. הפוסט פורסם במקור לפנות בוקר היום, אבל התבקשתי להוריד אותו כי נטען שעוד יהיו במהלך הלילה והיום שינויים. הנוסח הסופי יצא ב-12:35 בצהריים ואני עדכנתי אותו רק בשעות הערב, לאחר שחזרתי מהעבודה. השינויים הם מינוריים ומתייחסים רק לסדר הדוברים. מתנצל אבל העדפתי לכבד את בקשת IFIS)

בתור חבר ב-IFIS – קיבלתי הערב בדוא"ל הזמנה לפאנל שכותרתו "המאגר הביומטרי במדינת ישראל".

בכנות, חשבתי לעצמי, עוד בטרם קבלת ההזמנה הזו, שאם IFIS לא יעשו משהו בנדון, הרי שאין לגוף זה זכות קיום. קורסים בין החברים לבין עצמם זה נחמד ותורם, אבל המבחנים האמיתיים הם במהלכים המהותיים ברמה הציבורית-לאומית ואפילו הייתי אומר ברמה ההיסטורית.
אני מקווה שיהיה המשך מעבר לפאנל הזה, צעדים מעשיים כגון ביצוע לובינג בכנסת ואם צריך אפילו הגשת בג"ץ (אם כי, ככל שהבנתי את רוח הדברים – אין כוונה כזו. IFIS כנראה לא רוצה להיות גוף אקטיבי או נוקט עמדה, אבל זה נושא לדיון נפרד).

ההזמנה הגיעה כקובץ Word ואני המרתי אותו גם לקובץ PDF.
מפת הקמפוס כקובץ PDF מאתר הבינתחומי (כולל דרכי גישה אל הקמפוס בכללותו) – בנין ארזי-עופר נמצא בחלק השמאלי-עליון של המפה. בנוסף, הסבר מילולי ודרכי תחבורה.

הפאנל הוא בחינם אבל נדרשת הרשמה מראש בכתובת הדוא"ל daemon@e-nigmatech.com .

בכל מקרה, התוכן מועתק גם לכאן כטקסט רגיל:

"

הפורום הישראלי לאבטחת מידע והמרכז הבינתחומי הרצליה מתכבדים להזמינך
לפאנל
בנושא
"המאגר הביומטרי במדינת ישראל"
בהנחיית האלוף במיל' יעקב עמידרור, נשיא הפורום הישראלי לאבטחת מידע IFIS
יום רביעי 12 באוגוסט 2009 בשעה 10:00 , בנין ארזי – עופר, קמפוס מרכז הבינתחומי הרצליה
נושא הקמת המאגר הביומטרי נמצא במרכזו של פולמוס ציבורי נוקב , במהלך תהליכי אישור לחקיקה הנוגעים
להקמתו ולשימוש בו . עקב הנסיבות והמומנטום הציבורי , בכוונת הפורום הישראלי לאבטחת מידע
( www.ifis.org.il ( המסונף לאיל "א ) www.ila.org.il ( להעלות דיון ציבורי בנושא , ביום רביעי 12/8/09 בשעה
10:00 שיתקיים בקמפוס המרכז הבינתחומי הרצליה . בפאנל ישתתפו נציגי זרועות הבטחון, הממשלה, הכנסת,
מומחים ומקצוענים, אנשי אקדמיה, עיתונאים, והקהל הרחב.
מנחה: האלוף במיל' יעקב עמידרור, נשיא הפורום הישראלי לאבטחת מידע IFIS , סגן נשיא מכון לנדר בירושלים
10:00-10:05 דברי ברכה : פרופ' שמעון שוקן , בית ספר אפי ארזי למדעי המחשב , המרכז
הבינתחומי הרצליה
10:05-10:10 דברי פתיחה: המנחה – האלוף במיל' יעקב עמידרור נשיא הפורום הישראלי לאבטחת
מידע IFIS , סגן נשיא מכון לנדר בירושלים
10:10-10:20 ד"ר קרין ברזילי-נהון – עובדות: מאגרים ביומטריים בעולם
10:20-10:40 ח"כ מאיר שיטרית – יו"ר ועדת מדע וטכנולוגיה, הכנסת
10:40-11:00 פרופ' אלי ביהם, דיקן הפקולטה למדעי מחשב , הטכניון, חולשותיו של חוק הזיהוי הביומטרי
וישומו
11:00-11:20 השר מיכאל איתן, השר הממונה על השרות לציבור, סכנות חוק המאגר הביומטרי
11:20-11:40 השר אלי ישי, שר הפנים
11:40-12:30 שאלות ותשובות
12:30-13:00 הפסקה
* יתכן כי בפאנל ישתתפו מוזמנים נוספים.
הכניסה חופשית אך מותנית בהרשמה מראש: daemon@e-nigmatech.com
13:00-14:00 פאנל המשך )מקצועי(:
.1 חלופות למאגר: תעודות חכמות / ביומטריות ללא מאגר.
.2 אפשרויות הגנת המאגר הביומטרי ומאגרי מידע ממלכתיים בכלל.
בין המומחים המוזמנים: מר דוד ממן , יועץ אבטחת מידע; מר יהושוע פרייס, מכון התקנים הישראלי ; מר מיכה
וייס, CISO מזרחי-טפחות; מר איתי ינובסקי , CISO צים וסיו"ר הפורום הישראלי לאבטחת מידע ; אופיר ליבר,
CISO סמייל 012 ; ד"ר דוד מובשוביץ , מומחה אבטחת מידע , בית ספר אפי ארזי למדעי המחשב , המרכז
הבינתחומי הרצליה.
מנחה: אבי ויסמן, יו"ר הפורום הישראלי לאבטחת מידע IFIS .
האירוע בחסות הפורום הישראלי לאבטחת מידע IFIS ובחסות תכנית ההתמחות באבטחת מידע של
בית ספר אפי ארזי למדעי המחשב במרכז הבינתחומי הרצליה

"

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...