איך ייגנב המאגר הביומטרי

12 thoughts on “איך ייגנב המאגר הביומטרי”

1. Plonter 10 ביולי 2013

   הקטע הוא שהמאגר לא ממש יגנב. כל דיכפין עם אישור (או בלי) ישלוף כטוב ליבו מהמאגר. ואז… אגרון 2013 (או 2014) יהיה הרבה יותר מעודכן
2. דורון אופק 10 ביולי 2013

   לא דריך שבאמת המאגר ידלוף על מנת שהוא ידלוף.

   כמות הנתונים הביומטריים שיש על אוכלוסיה (בעיקר כאשר מחזיקים תמונות ולא תבניות) היא כמות מוגבלת.
   המשמעות היא שאם למשרד התחבורה יש מאגר תמונות ביומטריות (ויש) והוא דולף, אפשר לראות זאת כאילו כל אותם פריטים ביומטריים דלפו מהמאגר של משרד הפנים , שהרי מדובר בתותו data .
   כך אם ידלפו המון מאגרי טביעות קטנים , ממקומות עבודה, מבניינים משותים, וכיוצ"ב … בעצם אותם חומרי גלם של המאגר הגדול – דולפים .
   כך ש"מאגרים ביומטרים מחלישים זה את זה"

   אזרחים, סרבו ביומטרי.
3. איתי נתנאל 10 ביולי 2013

   והנה הוידאו הרלוונטי:
   ההתחלה (פחות או יותר) של Hackers, שם הילד פורץ לרובוט של חברת טלוויזיה כדי לבחור לעצמו מה לראות, והכל באמצעות טלפון ומודם. כל זה בשנת 1995:
   http://youtu.be/2efhrCxI4J0
4. דורי 10 ביולי 2013

   אתה צודק לגמרי בנושא הזיהוי של מבצעי בחינות אבטחה – ברוב המקומות שאני מכיר, ואני מכיר לא מעט, לא טורחים לוודא שום דבר. מישהו אומר שהוא ישלח מישהו ומישהו אחר מקבל את זה כעובדה.
   אבל גם בלי קשר לזה – המאגר ידלוף/ייפרץ. הוא חשוב מדי ומפתה מדי ויהווה מטרה איכותית מאוד. בנוסף, אתה יכול להיות בטוח ששום דוח אבטחה עם ממצאים חמורים לא יראה את אור השמש, מה שפחות או יותר מבטיח ליקויים כרוניים שלא יתוקנו לעולם (בעיקר אם מדובר בליקויים ברמת הקוד, שיצריכו פיתוח מחדש. מפתחים לא אוהבים לתקן את עצמם ולעשות את אותה עבודה פעמיים, בטח לא יותר).
5. קונטס 10 ביולי 2013

   אני רק מקווה שיפרצו את המאגר וישחררו אותו לעולם החופשי עוד שנה וחצי.

   ואז נראה את כל החכמולוגים שמבלבלים את השכל בעד המאגר.

   כי אם זה לא יקרה בשנה וחצי – שנתיים הקרובות, ובג"צ לא יתערב, תהיה פה מלחמה.

   זה כבר קו אדום.
6. איתי צור 10 ביולי 2013

   http://www.smbc-comics.com/?id=2526
7. אורי1 10 ביולי 2013

   אנשי אבטחת מידע ובפרט מי שעושה ביקורות מטעמם הם חוליה חלשה בכל ארגון.. עם זאת לגבי המאגר הביומטרי, קשה לי להאמין שזה יהיה כל כך פשןט..
   אני אישית חושב שעם מניעת גניבת הזהויות שהוא יאפשר, לכידה של פושעים / שחרור חפים מפשע וכדומה כף הזכות נוטה.
8. תומר 11 ביולי 2013

   אתה צוחק? בעברי אכן עשיתי דברים אלו במסגרת עבודתי בארגון די גדול, וכך הצלחתי לקבל הרשאות להרבה מערכות שלא הייתי אמור לקבל אליהן את אותן ההרשאות. זה אפילו לא דרש התחזות, אלא פשוט להגיד לאדם הנכון שאני צריך לבצע פעולה יזומה כלשהי באותה המערכת. יודגש שכמובן הכול התבצע בידיעת ואישור הממומנים עלי, ושימש אותנו בעיקר כדי לזהות כך פגמים במערכת ודרכים לשפר את ההגנה עליה.

   החכמה בפריצות מסוג זה הוא שהן דורשות אדם בעל כושר שכנוע גבוה מהממוצע, או זיהוי של החוליה החלשה במערכת. אם לדוגמה יבקש המנהל הישיר על הממונה על המאגר הרשאות צפייה במאגר, האם אותו ממונה יוכל להתנגד לכך מבלי להסתכן באיבוד משרתו? ואם אותו מנהל בכיר יפנה אל אדם בדרגה פחותה יותר, האם הוא יבצע את הדרישה שתוטל עליו מבלי להיוועץ במנהל הישיר שלו?

   במערכות היררכיות זו בעיה נפוצה, והפתרון לה הוא כנראה לנתק מההיררכיה את המחלקה האחראית על המערכת הרגישה, וכמובן גם לסמוך באופן מלא על כל אדם בעל גישה למאגר. השאלה היא אם תוכל לסמוך על אותם אנשים גם כאשר כל מיני ארגוני פשע וגופים מתחרים יציעו תמריצים כספיים לכול אחד שייחלץ עבורם פריטי מידע מסוימים מהמאגר מבלי להיתפס.
9. אשה אחת עצבנית 11 ביולי 2013

   תומר – הפיתרון לחולשות אנוש הוא:

   – מערך הרשאות כללי (למי מותר לגשת, לאיזה חלק ממסד הנתונים, תשובות פרטניות או כוללניות רק לגודל אוכלוסיה מסויים ומעלה כתוצאה סופית)

   -מערך הרשאות נושאי (סיבה לגישה כמו תיק חקירה מסויים, בקשת דרכון)

   – מערך לוגים מסיבי מיום הקמת המערכת וניתן לאיחזור עם בדיקות מדגם כמו במכס (אחת לעשר גישות וכו') ע"י גורם בלתי תלוי שכולל, מי, מהיכן פיזית, מה שלף, נימוק וכו'.

   – לשליפות מסויימות ביצוע רק על יד שני מורשים (ולא מנהל וכפיף) ביחד באותו מקום וזמן, מקביל למנעול כפול בכספות בנקים. שימוש לא ראוי מחייב קנוניה…
10. אהוד ש. 11 ביולי 2013

    מה שמעניין הוא שגם השיטה שלך, חנן, לקבל אישור היא עדיין רחוקה מאוד מהרמה הנדרשת במערכות מאובטחות היטב. זאת בהנחה שהאישור הגיע מהמזמין בדואר אלקטרוני רגיל. מייל מסוג זה אפשר לזייף במספר שיטות פשוטות וגם מתוחכמות יותר.

    הסיבה שאני כותב זאת אינה אנקדוטלית גרידא. העניין הוא שרמת האבטחה של מאגר צריכה להיות כזו שעלות הפריצה אליו תהיה גבוהה בהרבה מערכו. במקרה זה ערכו של המאגר עלול להיות מאוד מאוד גבוה, והמשמעות היא שמזמין פריצה יהיה מוכן לשלם הרבה מאוד כסף לפרוצים מקצועיים, ויש כאלו, והם יוכלו להשקיע הרבה מאוד על-מנת לעבור את שכבות האבטחה השונות.

    פרופ' אלי ביהם, דיקן הפקולטה למדעי המחשב בטכניון, אותו אני מכיר אישית, והוא מוכר בעולם כעילוי בתחום אבטחת המידע (משני הכיוונים), אומר כבר מזה זמן לכל מי שרוצה לשמוע שאין סיכוי שהמאגר הזה ישמר כנדרש:
    http://acheret.co.il/?cmd=articles.528&act=read&id=2722

    ולאישה העצבנית שהגיבה מעלי – הפתרון לחולשות אנוש הוא פשוט לא לקיים מאגר כזה.
11. Shipless1 15 ביולי 2013

    All of you are missing the point. The problem isn't the security – that is only a side point. The main issue biometric I.D. is this: face recognition – with cameras everywhere your whereabouts is always known. In future it will be used for everything, banking – virtual money, employment, medical, transportation. Without it you will not be able to exist in society. It gives government total control. GovernmentS because it is all done by U.N. standards. Your I.D.will be used internationally. The question is, how are you all so indoctrinated already to the point where you accept that government has the right to do all of this. To have so much control. Government is supposed to be a means of administration, not total control. The government does not give you the right to work and raise a family and move from point A to B. These rights you were born with – they are God-given rights you were born with. Please, friends, look "out of the box."
12. עוז 31 באוגוסט 2013

    אתה חושב יותר מדי מתוחכם.
    המאגר הביומטרי ייגנב כתוצאה של הפקרות פושעת!
    ראו כאן:

    news.nana10.co.il/Article/?ArticleID=967305

    לא להאמין שמישהו חשב להקים את המבנה הזה מעל פני הקרקע.