שווה פיסת נייר?

בשנה וחצי האחרונות אני טס לא מעט לחו"ל, במסגרת העבודה. בכדי להקל על עצמי את ביקורת הדרכונים בישראל, הן הלוך והן חזור, נרשמתי למסלול המהיר של ביקורת הגבולות בנמל תעופה בן-גוריון. הרישום הוא חד-פעמי (באולם ביקורת הדרכונים ליוצאים מישראל), מאוד יעיל ומהיר. מקבלים כרטיס זיהוי מגנטי ומבצעים זיהוי של כפות הידיים. השירות אפשרי רק לבעלי דרכון ישראלי.
בפעמים הבאות, בכניסה וביציאה מישראל, פשוט ניגשים לאחת ממכונות "קיוסק" העומדות בשני צידי אולם ביקורת הדרכונים, מעבירים את הכרטיס ומניחים את אחת מכפות הידיים על משטח הסריקה – ואם עושים הכל כמו שצריך, בתוך פחות מדקה אתם יכולים להמשיך בדרככם. מאוד יעיל ומהיר.
(ואני לא נכנס כרגע לנושא המאגר הביומטרי, זה לא נושא הפוסט הזה)

אבל, נדמה לי שיש בעיה אחת עיקרית בתהליך הזה. הן ביציאה מהארץ וגם בחזרה, ביציאה מאולם ביקורת הדרכונים יש עמדת בדיקה נוספת, בה עומדים בודק או שניים, שתפקידם לוודא שאכן ביצעתם רישום יציאה/כניסה, בין אם אתם בעלי דרכון ישראלי או תיירים (ואני לא יודע כיצד נבדקים תיירים בעמדה זו). כלומר, שלא דילגתם באופן אלגנטי על ביקורת הדרכונים. לשם כך, ה"קיוסק" הביומטרי, בסיום זיהוי תקין, מוציא לכם "צעטאלע" (פתק ביידיש), על נייר פקס, כן, מהסוג הדוהה, שאתם מציגים לבודק, הוא מציץ בו ומאשר את כניסתכם לארץ המובטחת. הפתק נשאר ברשותכם, כמעין "קבלה" שאתם יכולים לשמור לעצמכם.
להלן דוגמא עדכנית (מחקתי כמה פרטים, כמובן. הקליקו להגדלה):

ואני שואל – האין כידוע חוזקה של שרשרת הוא כחוזק החוליה החלשה בה? לאחר כל התהליך הביומטרי המתוחכם, בסוף עומד בודק שמוודא טקסט שרשום על פיסת נייר?!  והוא מן הסתם כנראה בודק עשרות עד מאות אנשים במשמרת, כך שמן הסתם רמת העירנות שלו יורדת עם התקדמות המשמרת. יכול להיות שפספסתי כאן משהו או שיש בתהליך משהו סודי נוסף שהבודקים או מישהו נוסף בודקים, אבל זה בסימן שאלה. הדבר היחיד שאני רואה כאן כאפשרות לנסות ולאתר זיוף הוא חותמת התאריך-שעה.
מה הבעיה לזייף מראש מספר פתקים כאלו, שיהיו עם חותמת תאריך-שעה מקורבים לשעת הנחיתה/המראה (וכיום חברות התעופה הסדירות די מדייקות בלוחות הזמנים), לגשת לאולם הביקורת, לעשות עצמך מבצע את תהליך הזיהוי הביומטרי (לטובת מצלמות וידיאו שמן הסתם מכסות את האולם (לא בדקתי אם קיימות כאלו)), ולבסוף לגשת לבודק עם הפתק המתאים לתאריך-שעה, שהכנת מראש? (ובאולם הביקורת של הנכנסים, בין הקיוסקים והבודקים, יש גם שירותים, לנוחותכם)
אולי איזה עיתונאי אמיץ ינסה את זה? יכול להיות אחלה סקופ.

בתמצות, נראה לי שהנקודה כאן שהזיהוי הביומטרי, שאמור להיות זיהוי חזק, לבסוף מאושר על ידי זיהוי אנושי שהוא כנראה חלש, ולכן כנראה החולשה הזו ניתנת לפתרון על ידי יצירת איזור נפרד לזיהוי ביומטרי, שהכניסה אליו תהיה רק עם הכרטיס המגנטי, ובתוכו יהיה קישור ישיר בין הקיוסק לבין שער אלקטרוני, שייפתח רק אם הזיהוי בוצע בהצלחה (ורצוי שרק אדם אחד ישהה בכל פעם בכל שילוב של קיוסק-שער). כן, צריך לחשוב איך זה לא יראה כמו תור הכניסה של פרות לחליבה (…) או סתם סצינה מ-1984 (…), אבל זה כנראה ניתן לפתרון.

ואם כן נחזור לרגע לנושא המאגר הביומטרי המתהווה – הדוגמה הנ"ל מראה כיצד מדינת ישראל נושאת ראשה לשמיים בתחום הביומטריה ואבטחת המידע אך לבסוף, בפועל, רגליה מתבוססות בערימה של צעטאלאך מנייר פקס.

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

אין הגנה מפני טמטום

תקראו את המקרה הזה של גברת טרה פיצ'גרלד (Tara Fitzgerald) (בעברית, באגלית כולל כתבת וידיאו). מדהים, לא?

יש למקרה הזה כמה פנים:

– רבים מן הסתם יראו בו חיזוק לטענות כנגד מיקור חוץ, אבל לדעתי זה היה יכול לקרות גם אם זה היה עובד ישיר של היצרן. נכון שהסיכוי היה נמוך יותר, אבל עדיין קיים.
– אחרים, מן הסתם מארה"ב, יכניסו לנושא נימה גזעית בתוספת לאנטי-מיקור-חוץ, מסוג של "תראו מה קורה כאשר לוקחים עבודה מאמריקאים ומעבירים אותה למדינת עולם שלישי".
כאילו שארה"ב היא מדינה של מלאכים ושם זה לא היה יכול לקרות. פחחח.
– אנשים, בייחוד עם אוריינות מחשובית נמוכה, לא מבינים את המשמעויות וההשלכות האפשריות של מה שהם עושים. את שילוב המרחק-זמן האפסי שבו אפשר להגיע מ-"פרטי" ל-"גלובלי". וזה כמובן מאוד עצוב במקרים מסוימים.
– לזכותה של גב' פיצ'גרלד נאמר שהיה לה האומץ (או שוב הטמטום?) כבר לעשות מזה סיפור חדשותי, שמן הסתם "העניק" לה ולמקרה פרסום עולמי. אם כמה אנשים ילמדו מכך לקח ובכך יימנעו משטויות – כבר הרווחנו.
– לדעתי צריך לשקול להקים בכל מדינה מנגנון של מעין "משמר אזרחי" דיגיטלי (כי ממילא למשטרה משאבים מוגבלים והיא מטפלת רק במקרים חמורים (או כאלו שיש להם פוטנציאל תקשורתי…), משא"ז אליו אנשים יוכלו לפנות במקרים כאלו ופחות חמורים כמובן, ושם יהיו מתנדבים בעלי ידע, אכפתיות ודיסקרטיות – שיעזרו לאנשים שזקוקים לעזרה ממוחשבת ולא יודעים מה לעשות ולמי לפנות.
– אין הגנה מפני טמטום.

ובכדי שנסיים עם חיוך, מצורף שיר רלוונטי למקרה שלנו – It's a small world של דיסני:

it's a world of laughter, a world or tears
its a world of hopes, its a world of fear
theres so much that we share
that its time we're aware
its a small world after all

CHORUS:
its a small world after all
its a small world after all
its a small world after all
its a small, small world

There is just one moon and one golden sun
And a smile means friendship to everyone.
Though the mountains divide
And the oceans are wide
It's a small small world

(chorus)

וכמובן השיר עצמו, בבקשה:


.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

אגב הדגים, אחד מהם פג תוקף. והשני בקרוב.

אגב הפוסט האחרון, חזרתי היום ל"זירת האירוע" לראות אם השתנה משהו, והסתבר, מעשה כשפים, שדווקא היום, יום שישי, 6/11/2009, פג תוקף התעודה הדיגיטלית של אתר מזרחי-טפחות שבו מתארח טופס
"שכחת / נחסמה סיסמתך", אליו הם מפנים את הלקוחות שלהם.

(תקליקו על התמונות להגדלה)

זמנך עבר

ועוד משהו לפני פרידה, שימו לב שגם התעודה של האתר הראשי של מזרחי-טפחות (שמשום מה מתאימה רק ל-www.mizrahi-tefahot.co.il אבל לא ל-mizrahi-tefahot.co.il (שנותן הודעת שגיאה על נושא זה), כאשר שני האתרים זמינים ופעילים לקהל הרחב) פגה בקרוב, ב-26/11/2009. כדאי להזמין מראש.
(כעיקרון אני ממליץ על תזכורת באאוטלוק, ככה, חודש לפני. זה מונע אי-נעימויות)

בלי WWW לא נכנס

בקרוב

(שום דבר אישי, מזרחי-טפחות, אני סתם תמיד משועשע מחדש מזה שארגונים לא שמים לעצמם תזכורת מוקדמת לרכישת תעודה חדשה)

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

בנקאי אוהב דגים?

(הכותרת היא פרפרזה על משפט ממערכון של "הגשש החיוור": "דייג אוהב דגים? אם אוהב אותם למה הוא מוציא אותם מהמים?")

קיבלתי מ"מזרחי-טפחות" מייל. פרסומי. לא זכור לי שנרשמתי לקבל מהם פרסומים, אבל נגיד שנרשמתי, כי הייתי (עדיין?) לקוח עקיף שלהם.

המייל, בתבנית HTML, הגיע משולח בעל השם "מזרחי-טפחות" וכתובת של donotreply@umtb.co.il (‏UMTB הוא דומיין של "מזרחי טפחות" שגלישה אליו תנתב אתכם לאתר באנגלית של הבנק. נכון לספטמבר 2013 הדומיין אינו פעיל כאתר אינטרנט).
בדיקת ה-Header של המייל הראתה שבפועל הוא נשלח מדומיין בשם mymarketing.co.il, מפיצי מיילים מסחריים (יש כאלו שיכנו זאת אחרת, אבל זו לא הנקודה כאן), וכלל גם קישור לצפייה בתוכן המייל (שייתכן ולא יהיה זמין לאחר פרסום פוסט זה) באתר של הדומיין web-view.net, שניסיון להגיע לשורש שלו יעביר אתכם לאתר של mymarketing.co.il הנזכר לעיל.
בכל מקרה, לטובת ההיסטוריה, אני מצרף כאן את התמונה שהיא הרקע של המייל (הקליקו להגדלה) וגם את הפרסומת המקורית כקובץ MHT בתוך ZIP (קובץ ה-MHT ייפתח באופן תקין ב-IE):

ילדים, בבקשה מצאו את הדג וצבעו אותו בצבעים עליזים

– הקלקה על פס הקישורים העליון (שנראה שפשוט הועתק מאתר מזרחי-טפחות) תפתח חלון חדש שיעביר אתכם לאתר הבית של מזרחי-טפחות, שאמנם הוא ב-SSL אבל כולל טופס שם משתמש וסיסמא לצורך כניסה ישירה לחשבון.

ישר לחשבון

הקלקה על המקטע הבא, "כל יתרונות שירות האינטרנט" או על אחד משלושת הריבועים שמתחתיו – תפתח לכם חלון חדש ישירות לטופס ייעודי בשם "כניסה לחשבונך" (שקישור "אבטחת מידע" אשר בתחתיתו אינו תקין…). (הקליקו להגדלה)

הכניסה מכאן

המקטע הבא, בעל הרקע האפור אינו כולל קישור, אבל המקטע התחתון, "שכחת/נחסמה סיסמתך? הקלק כאן!" פותח חלון חדש אל טופס ייעודי לשחרור סיסמא (שימו לב למקטע המסומן בריבוע אדום בתמונה המצורפת (הריבוע הזה הוא תוספת שלי)).

שימו לב למקטע המסומן בריבוע אדום (הריבוע הוא תוספת שלי)

אז מצוין. הבנק, בטופס הזה מזהיר את לקוחותיו מפני פישינג. אם מקליקים על הקישור המדובר, מגיעים לדף המסביר את תופעת הפישינג וכיצד להיזהר ממנה, בייחוד הטקסט הבא:

זהירות! דייגים בדרך!

אז כן, נכון, בנק מזרחי-טפחות לא מבקש מלקוחותיו במייל נתונים אישיים אודות חשבון הבנק, או סיסמאות גישה למערכות הבנק.
הוא רק מרגיל אותם שבתוך פרסומות מיילים שלו הוא מערבב נושאי שיווק עם נושאי תפעול/אבטחת מידע ונותן קישורים ישירים לניהול סיסמאות באתר שלו.
בגישה הזו, לדעתי, בנק מזרחי-טפחות מכין את הקרקע לביצוע פישינג נגדו, אמנם פישינג יותר עדין ועקיף מהמֻכָּר אבל בכך הבנק יורה לעצמו בכיס באופן ישיר ובאופן עקיף מחבל במאמצי שאר הבנקים לחנך את הלקוחות שהמיילים מהבנקים מכילים רק מידע שיווקי ולא תפעולי/אבטחתי, וזאת במטרה לגרום ללקוחות להיות מודעים לפישינג ולא להתפתות לו.

(6/11/09 – עדכון קטן לנושא, אגב הדגים, אחד מהם פג תוקף. והשני בקרוב.)

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

זיהוי קולי במערכת בנקאית. כיצד לא לעשות זאת.

לאחרונה עברתי בנק. לא נורא. קצת בירוקרטיה, אבל אפשרי וכדאי אם עושים סקר שוק ומשיגים תנאים טובים.

עוד לפני זה, היה לי צורך חד-פעמי להעברה דחופה של סכום כסף גדול למדי שמקורו בשיק של צד ג', אל חשבון העו"ש ומיד ממנו החוצה לצורך תשלום כלשהו, באותו היום, בשיק בנקאי.
פעולה רגישה ובעלת סיכון לבנק שלי, שנאלצה להתבצע במהירות בלתי-עו"שית בעליל, לבטח לגבי לקוח רגיל למדי כמוני.

דבר אחד שחזר בשני התהליכים משך תשומת הלב האבטחתית שלי – נוהל ההזדהות הטלפונית בין שני סניפי בנקים (בנקים שונים! לא שני סניפים שונים של אותו בנק).

אתם יודעים איך פקיד בנק מזהה את פקיד הבנק האחר בטלפון? גם אם הפקיד בבנק האחר הוא זה שהתקשר אליו?
הוא מבקש ממנו להשמיע לו את ג'ינגל (תזמיר בעברית צחה. הלוגו המוזיקלי/צלילי של החברה) הבנק שלו ממערכת ההמתנה הטלפונית של סניף הבנק האחר…
וזהו. מבחינת הפקיד בבנק שלי (ומתוך הנחה שהוא מכיר את הג'ינגל העדכני של הבנק האחר…) הוא כעת מדבר עם הפקיד רשמי בבנק האחר, שיכול כעת להעביר לו איזה מידע שהוא רוצה.

כמה קשה זה יכול להיות להשיג את הג'ינגל של כל בנק בישראל (פשוט להתקשר ולהקליט ממערכת ההמתנה) ולהשמיע אותו מחדש במסגרת "עוקץ" שרוצים לעשות לבנק?
אפשר כמובן לגבות את הסיכומים שהושגו בטלפון במשלוח פקס, שגם אותו מן הסתם לא נורא קשה לזייף.

סתם דוגמא מעניינת לנוהל בנקאי דה-פקטו (שמי יודע אם הוא בכלל רשמי ו/או ידוע להנהלות הבנקים), שהוא לגמרי עניין או"שי (ארגון ושיטות) ובלתי ממוחשב בעליל, אבל לגמרי חושף את הבנקים לסיכונים שהם אולי לא גדולים אבל לבטח מיותרים.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...