שווה פיסת נייר?

בשנה וחצי האחרונות אני טס לא מעט לחו"ל, במסגרת העבודה. בכדי להקל על עצמי את ביקורת הדרכונים בישראל, הן הלוך והן חזור, נרשמתי למסלול המהיר של ביקורת הגבולות בנמל תעופה בן-גוריון. הרישום הוא חד-פעמי (באולם ביקורת הדרכונים ליוצאים מישראל), מאוד יעיל ומהיר. מקבלים כרטיס זיהוי מגנטי ומבצעים זיהוי של כפות הידיים. השירות אפשרי רק לבעלי דרכון ישראלי.
בפעמים הבאות, בכניסה וביציאה מישראל, פשוט ניגשים לאחת ממכונות "קיוסק" העומדות בשני צידי אולם ביקורת הדרכונים, מעבירים את הכרטיס ומניחים את אחת מכפות הידיים על משטח הסריקה – ואם עושים הכל כמו שצריך, בתוך פחות מדקה אתם יכולים להמשיך בדרככם. מאוד יעיל ומהיר.
(ואני לא נכנס כרגע לנושא המאגר הביומטרי, זה לא נושא הפוסט הזה)

אבל, נדמה לי שיש בעיה אחת עיקרית בתהליך הזה. הן ביציאה מהארץ וגם בחזרה, ביציאה מאולם ביקורת הדרכונים יש עמדת בדיקה נוספת, בה עומדים בודק או שניים, שתפקידם לוודא שאכן ביצעתם רישום יציאה/כניסה, בין אם אתם בעלי דרכון ישראלי או תיירים (ואני לא יודע כיצד נבדקים תיירים בעמדה זו). כלומר, שלא דילגתם באופן אלגנטי על ביקורת הדרכונים. לשם כך, ה"קיוסק" הביומטרי, בסיום זיהוי תקין, מוציא לכם "צעטאלע" (פתק ביידיש), על נייר פקס, כן, מהסוג הדוהה, שאתם מציגים לבודק, הוא מציץ בו ומאשר את כניסתכם לארץ המובטחת. הפתק נשאר ברשותכם, כמעין "קבלה" שאתם יכולים לשמור לעצמכם.
להלן דוגמא עדכנית (מחקתי כמה פרטים, כמובן. הקליקו להגדלה):

ואני שואל – האין כידוע חוזקה של שרשרת הוא כחוזק החוליה החלשה בה? לאחר כל התהליך הביומטרי המתוחכם, בסוף עומד בודק שמוודא טקסט שרשום על פיסת נייר?!  והוא מן הסתם כנראה בודק עשרות עד מאות אנשים במשמרת, כך שמן הסתם רמת העירנות שלו יורדת עם התקדמות המשמרת. יכול להיות שפספסתי כאן משהו או שיש בתהליך משהו סודי נוסף שהבודקים או מישהו נוסף בודקים, אבל זה בסימן שאלה. הדבר היחיד שאני רואה כאן כאפשרות לנסות ולאתר זיוף הוא חותמת התאריך-שעה.
מה הבעיה לזייף מראש מספר פתקים כאלו, שיהיו עם חותמת תאריך-שעה מקורבים לשעת הנחיתה/המראה (וכיום חברות התעופה הסדירות די מדייקות בלוחות הזמנים), לגשת לאולם הביקורת, לעשות עצמך מבצע את תהליך הזיהוי הביומטרי (לטובת מצלמות וידיאו שמן הסתם מכסות את האולם (לא בדקתי אם קיימות כאלו)), ולבסוף לגשת לבודק עם הפתק המתאים לתאריך-שעה, שהכנת מראש? (ובאולם הביקורת של הנכנסים, בין הקיוסקים והבודקים, יש גם שירותים, לנוחותכם)
אולי איזה עיתונאי אמיץ ינסה את זה? יכול להיות אחלה סקופ.

בתמצות, נראה לי שהנקודה כאן שהזיהוי הביומטרי, שאמור להיות זיהוי חזק, לבסוף מאושר על ידי זיהוי אנושי שהוא כנראה חלש, ולכן כנראה החולשה הזו ניתנת לפתרון על ידי יצירת איזור נפרד לזיהוי ביומטרי, שהכניסה אליו תהיה רק עם הכרטיס המגנטי, ובתוכו יהיה קישור ישיר בין הקיוסק לבין שער אלקטרוני, שייפתח רק אם הזיהוי בוצע בהצלחה (ורצוי שרק אדם אחד ישהה בכל פעם בכל שילוב של קיוסק-שער). כן, צריך לחשוב איך זה לא יראה כמו תור הכניסה של פרות לחליבה (…) או סתם סצינה מ-1984 (…), אבל זה כנראה ניתן לפתרון.

ואם כן נחזור לרגע לנושא המאגר הביומטרי המתהווה – הדוגמה הנ"ל מראה כיצד מדינת ישראל נושאת ראשה לשמיים בתחום הביומטריה ואבטחת המידע אך לבסוף, בפועל, רגליה מתבוססות בערימה של צעטאלאך מנייר פקס.

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

נער טוען לפריצת כרטיס התחבורה הציבורית "רב-קו"

נער בן 17, יוסי דהן, העוסק בפיתוח יישומים ל-iPhone, iPad ולטוויטר, במסגרת חברת Appmobil, טוען שהצליח לפרוץ את כרטיס הנסיעות החדש של (חלק) מהתחבורה הציבורית בישראל, רב-קו, (המבוסס על תקן Calypso).
טענה זו מובאת בכתבה באתר TheMarker, שכוללת בעיקר ציטוטים של הבחור ושל תגובת משרד התחבורה. נראה שלא נעשה ניסיון אמיתי על ידי העיתון לבדוק ולאמת בפועל את דברי הבחור ואת תגובת משרד התחבורה. העיקר, כרגיל, שיש כתבה מהירה ורעש ציבורי. נסתפק בזאת.

כמה הערות שלי, לאחר שבטובכם כמובן תקראו את הקישורים של הרב-קו ושל הכתבה:
– רשום לגבי הכרטיס: "רק הכרטיס בעל הפרטים מאפשר טעינה של חופשי חודשי, קבלת הנחות גמלאים, ילדים, נכים וביטוח המאפשר החזר כספי במקרה בו הכרטיס נהרס או אבד. כרטיס אנונימי ניתן תמורת תשלום של 10 ש"ח." אני עוד יכול להבין את מניעת ההנחות וההטבות, למניעת התחזות ואובדן הכנסות, אבל למה כרטיס אנונימי (שזה בדיוק מה שהיה עם כרטיסי הנייר) צריך לעלות 10 ש"ח?! הרי רק על נפח המידע שנחסך מהאחסון הדיגיטלי במסדי הנתונים של חברות התחבורה השונות היה צריך לסבסד את הכרטיסים האלו.
מצד שני, אנונימיות מפריעה למאמצי השיווק…

– מר דהן טוען "הצלחתי לנתח את כל המידע שיש בכרטיס הרב-קו, ואפילו להחליפו במידע קיים. עם עוד מעט עבודה אוכל בלי בעיה לטעון את הכרטיס בכמה נסיעות שאני רוצה, ואפילו לשנות פרטים". רגע, אני ממש לא מומחה לכרטיסים חכמים, ואולי מי מקהל הקוראים יוכל להאיר את עיניי ועיניי שאר הקוראים, אבל אם הוא הצליח להחליף במידע קיים את כל המידע שיש בכרטיס, לדבריו, אז למה הוא צריך "עוד מעט עבודה" בכדי לטעון את הכרטיס בכמה נסיעות שהוא רוצה ואפילו לשנות פרטים? הוא לא כבר עשה את זה?…

– מצוטט ש"דהן מציין כי מטרתו בפריצה היתה להוכיח באיזו קלות ניתן לפרוץ למאגרי מידע, ובעיקר למאגר הביומטרי." הא?! מה קשר מחט לתחת? איך הוא הגיע מכרטיס בודד אל פריצת מאגר נתונים?!

– בהמשך הכתבה מר דהן ממשיך להתרחב ולהתלהב עד מאוד על האפשרויות הנרחבות של מעקב אלקטרוני אחר נוסעי התחבורה הציבורית. נראה לי שהוא נסחף מעט והמעקב הזה, אני משער, יכול להיות גם בחלקו על בסיס הכרטיס האנונימי כי אני משער שגם לכרטיס זה יש מספר סידורי שהשימוש בו נרשם ומעקב פיזי קצר אחר אדם יכול להצליב בין הכרטיס האנונימי לבין אדם מסוים.

– תגובת דובר דן כמובן מוציאה במידה מסוימת את העוקץ מהכתבה.

– בדיוק חזרתי לפני מספר שבועות מפריז, שם עשיתי שימוש בכרטיס דומה לטובת מנוי שבועי למטרו, אבל נראה שהכרטיס שלהם שונה כי אין לו פס מגנטי (אבל יש כמובן שבב). כמו כן הטעינה, ככל שאני ראיתי, *כן* מחייבת מגע עם מערכת הטעינה (אם כי זה כמובן לא אומר שהטעינה היא לא אלחוטית).
מכיוון שמדובר בסה"כ בתקנים שנעשה בהם שימוש נרחב במדינות רבות ולאורך שנים ומדובר בייצור הכרטיסים על ידי חברה ידועה בתחום (ASK), הרי שייתכן שמר דהן הצליח למעשה לפרוץ לחלק ממערכת ההסעות הציבורית בצרפת (אבל לא רק כרטיסים, כן? גם מאגרי מידע!) ובכך למוטט את הסיכוי של חברות תחבורה ציבורית שם להרוויח כסף. אוּ – לָה – לָה…
אתם, כמובן, כמו מר דהן, מוזמנים לבדוק או להפריך את טענותיו. ממילא הוא אמר שנדרשת "רק עוד מעט עבודה", מה זה קצת עבודה לעומת נסיעה חינם בתחבורה ציבורית?

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

החטא הקדמון של אי-התקנת פאטצ'ים

קודם תקראו את הכתבה בגלובס בשם "פרצת מידע בישראל: ניתן לחדור למצלמות אבטחה של מוסדות שונים". גיא מזרחי, אותו אני מאוד מעריך, משום מה התלהב מכך. ורפי איבגי שביצע את העבודה העלה גם מספר תמונות לבלוג של גיא.

מכיוון שתחום ההאקינג הוא רווי אגו, לעתים ברמה ילדותית, אני רוצה להיות זהיר ולהצהיר שבכתיבת פוסט זה אין לי כוונה להלהיט יצרים, אבל מצד שני אני בהחלט רוצה להגיד את דברי (ואני לא מחשיב עצמי האקר, אז אני מוותר מראש…).
בלי להכיר את רפי ואם גיא מהלל אותו אז זה לבטח נכון ומבלי כוונה להרוס את חגיגת יחסי הציבור של סיטדל (כמות התגובות המתלהבות בכתבה של "גלובס" קצת חשודה), לא ברור לי מה החידוש המסעיר בפרסום הזה, לפחות עבור העובדים בתחום.

הרי נציג יבואנית המצלמות מצוטט: "הפריצות מתאפשרות במצלמות מהגרסאות הוותיקות. בשנתיים האחרונות, המצלמות שלנו מאובטחות לחלוטין".
"ומה עושים הלקוחות שקנו מצלמות לפני שנתיים?- שוורץ: הם צריכים לשדרג את התוכנה. הגרסאות החדשות בטוחות."

אז כן, זו תוכנה של חומרה (אז מה?), אלו מצלמות, זה סקסי, כולם אוהבים להציץ ולראות תמונות ולהרגיש כל יכולים, רואים ובלתי-נראים, אבל לא מדובר בפרצה חדשה שלראשונה נתגלתה בעולם אלא מדובר במצב הרגיל שלקוחות לא מעדכנים תוכנה בכדי לסתום חורים ידועים. הרי מזה חי כל עובד בתחום ה-PEN TEST, שמן הסתם בכל עבודה שניה (אם לא בכל עבודה ועבודה) מוצא לפחות פרצה אחת כזו, שכבר קיימת פרק זמן כלשהו ולא התקינו לה את הפאטצ', ודרכה הוא חודר למערכות הלקוח.

אם מישהו היה אומר לכם שהוא יכול לפרוץ ל-X כי ב-X יש רכיב תוכנה שנתגלתה בו פרצה לפני שנתיים ומאז תוקנה, לא ממש תתרגשו. סתם תאנחו כי שוב הלקוח לא עדכן פאטצ'ים.

כך שהמקרה הזה הוא טריגר טוב להביא אותי למה שזה כבר כמה זמן רציתי לכתוב ולא יצא לי – הרי כל הדרמה עם מיליוני המחשבים שנדבקו בינואר 2009 ב-Confiker היתה בגלל שלא התקינו עדכון של MS מאוקטובר 2008.
כלומר, יותר משהבעיה היא טכנית היא של מוּדעות ותפעול.
היצרן יוצר פאטצ'. הלקוח צריך לדעת על הפאטצ', הלקוח צריך להתקין, הלקוח צריך לאתחל את המחשב.
הצעד הראשון הוא הקל מבין כולם, השאר קשים לביצוע אבל אם הם יבוצעו נגיע למצב האידיאלי של מניעה במקום תיקון לאחר הדבקות והשבתה.
מניסיוני בארגונים זה לא קל, בייחוד הצורך באתחול. מילא תחנות עבודה שעוד יחסית קל לאתחל אותן – בשרתים זה יוצר התנגדות חריפה של אנשי הסיסטם, שבצדק רב רוצים להימנע מהשבתות של שרתים ויישומים מרכזיים, ותמיד קיים החשש שבאתחול משהו יידפק, ולו בגלל פעולת סיסטם עלומה שבוצעה מאז האתחול הקודם ועכשיו היא תגרום לבעיה (ומן הסתם מייד יאשימו את הפאטצ', וגם זה לפעמים נכון…).
אז אין ברירה, ואני תמיד אומר שפחד זה לא מדיניות, ולדעתי עדיף להימנע מהשבתה רוחבית של עשרות שרתים ו/או מאות תחנות לזמן לא קצר לצורך ניקוי קוד זדוני במחיר של השבתה לזמן קצר ומתוכנן בגלל אתחול שלאחר התקנת פאטצ'.

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

מחשבה על מהות הפגיעוּת

אני רוצה להציע מחשבה קצת אחרת על מושג הפגיעוּת (vulnerability).
פגיעות, בהקשר של אבטחת מידע, תתייחס לחולשות או סיכוי לפגיעה במידע או מערכות מידע.

פגיעות, כמושג, הרי מגיעה מחיי אנוש, חולשה של אדם המסכנת את גופו ו/או נפשו ומגבירה את הסיכון לפגיעה באותו אדם.
פגיעות היא משהו פסיבי, מעין תכונה קיימת, שרצוי לחזק/לתקן אותה בהקדם האפשרי, בכדי להקטין את האפשרות לפגיעה.

אם באג פוגע בחישובי המערכת, ביציבותה ובביצועיה – הרי שבאג לרוב יתממש באופן לא מכוון, בעת התרחשות של מקרים מסוימים, חלקם מקורם בבני אנוש וחלקם בתהליכים אוטומטיים.

פגיעות, לדעתי, היא למעשה לא יותר ממקרה פרטי של באג, אבל מקרה פרטי חשוב – פגיעות לא תהיה באג ולא תתממש, בדומה למקרים רבים בחיי אנוש, ללא כוונת זדון של בן אנוש (למעט אולי, מקרי DoS, שיכולים, בדוחק רב, להיחשב כחוסר יכולת לעמוד בעמוס גבוה של פעילות תפעולית לגיטימית).
פגיעות היא באג המונע ומתממש מתוך כוונת זדון אנושית בלבד.

הן בני אנוש והן מערכות תקשוב יכולים להתקיים זמן רב ללא נזקים אם הן חיות בסביבה שאינה עוינת או זדונית.
ללא היוזמה לניצול הפגיעות – הרי שניתן לומר כאילו שהפגיעות כלל אינה קיימת, כי לא בוצע פעולה כלשהי שחשפה או ניצלה את הפגיעות.

הרבה פעמים, באבטחת מידע, אנו נוטים להתרכז בצד הטכנולוגי של העבודה (ובשל כך גם מחפשים פתרונות טכנולוגים בלבד), ומתעלמים/מזניחים את הטיפול ביסוד האנושי המהותי הטבוע במקצוע אבטחת המידע (ובמקצועות הביטחון והאבטחה בכלל), שאיתו יותר קשה לנו להתמודד, הן אישית והן כארגון – כוונת הזדון.

גרועחלשבסדרטובמצוין (1 הצבעות, ממוצע: 5.00 מתוך 5)
Loading...