איך ייגנב המאגר הביומטרי

By | 10 ביולי 2013

no2bioבמסגרת העבודה שלי, נדרשתי לעבור ביקורת אבטחת מידע של האתר על ידי גוף מסויים.

התקשר אלי מישהו ואמר שהוא עובד בשביל הגוף המזמין והוא יבצע אצלי את הביקורת וביקש לקבוע זמן ביומן.

ביקשתי ממנו להביא איתו אישור רשמי שהוא זה שהוסמך לבצע את הביקורת על ידי המזמין.

הוא הופתע מאד מהבקשה שלי. הוא אמר לי שאף אחד עדיין לא ביקש ממנו אישור כזה.

אמרתי לו שאני לא מוכן להציג את מערכת הניהול של האתר ולתת סיסמאות לאדם שאני לא מכיר ומציג את עצמו בטלפון.

הפתרון היה שהוא שלח אימייל למזמין העבודה (שאותו אני מכיר) והוא אישר לי שאותו איש מקצוע הוא אכן מי שהוא.

גם מזמין העבודה הופתע מהבקשה שלי.

אני מזכיר לכם – מדובר בביקורת אבטחת מידע המבוצעת על ידי אדם שטוען שזה מקצועו.

כשהגיע המבקר לבצע  את הביקורת, שוחחנו על זה שוב. אמרתי לו שלדעתי, מי שלא ביקש ממנו אישור על זהותו, צריך לקבל נקודה רעה על כך. הוא הבין את הנקודה.

אז איך ייגנב המאגר הביומטרי?

מישהו יתקשר למישהו ויגיד שהוא צריך לעשות משהו עם השרתים.

מישהו לא יבקש אישור וזיהוי ויאפשר לאותו מישהו לגשת למידע.

למה שמישהו שנשמע מקצועי ירצה להזיק? אנחנו הרי יודעים איך נראים ונשמעים פושעים.

ואז מישהו יחבר דיסק נייד ויקח איתו את המידע.

כל כך פשוט.

12 thoughts on “איך ייגנב המאגר הביומטרי

  1. Plonter

    הקטע הוא שהמאגר לא ממש יגנב. כל דיכפין עם אישור (או בלי) ישלוף כטוב ליבו מהמאגר. ואז… אגרון 2013 (או 2014) יהיה הרבה יותר מעודכן

  2. דורון אופק

    לא דריך שבאמת המאגר ידלוף על מנת שהוא ידלוף.

    כמות הנתונים הביומטריים שיש על אוכלוסיה (בעיקר כאשר מחזיקים תמונות ולא תבניות) היא כמות מוגבלת.
    המשמעות היא שאם למשרד התחבורה יש מאגר תמונות ביומטריות (ויש) והוא דולף, אפשר לראות זאת כאילו כל אותם פריטים ביומטריים דלפו מהמאגר של משרד הפנים , שהרי מדובר בתותו data .
    כך אם ידלפו המון מאגרי טביעות קטנים , ממקומות עבודה, מבניינים משותים, וכיוצ"ב … בעצם אותם חומרי גלם של המאגר הגדול – דולפים .
    כך ש"מאגרים ביומטרים מחלישים זה את זה"

    אזרחים, סרבו ביומטרי.

  3. איתי נתנאל

    והנה הוידאו הרלוונטי:
    ההתחלה (פחות או יותר) של Hackers, שם הילד פורץ לרובוט של חברת טלוויזיה כדי לבחור לעצמו מה לראות, והכל באמצעות טלפון ומודם. כל זה בשנת 1995:
    http://youtu.be/2efhrCxI4J0

  4. דורי

    אתה צודק לגמרי בנושא הזיהוי של מבצעי בחינות אבטחה – ברוב המקומות שאני מכיר, ואני מכיר לא מעט, לא טורחים לוודא שום דבר. מישהו אומר שהוא ישלח מישהו ומישהו אחר מקבל את זה כעובדה.
    אבל גם בלי קשר לזה – המאגר ידלוף/ייפרץ. הוא חשוב מדי ומפתה מדי ויהווה מטרה איכותית מאוד. בנוסף, אתה יכול להיות בטוח ששום דוח אבטחה עם ממצאים חמורים לא יראה את אור השמש, מה שפחות או יותר מבטיח ליקויים כרוניים שלא יתוקנו לעולם (בעיקר אם מדובר בליקויים ברמת הקוד, שיצריכו פיתוח מחדש. מפתחים לא אוהבים לתקן את עצמם ולעשות את אותה עבודה פעמיים, בטח לא יותר).

  5. קונטס

    אני רק מקווה שיפרצו את המאגר וישחררו אותו לעולם החופשי עוד שנה וחצי.

    ואז נראה את כל החכמולוגים שמבלבלים את השכל בעד המאגר.

    כי אם זה לא יקרה בשנה וחצי – שנתיים הקרובות, ובג"צ לא יתערב, תהיה פה מלחמה.

    זה כבר קו אדום.

  6. אורי1

    אנשי אבטחת מידע ובפרט מי שעושה ביקורות מטעמם הם חוליה חלשה בכל ארגון.. עם זאת לגבי המאגר הביומטרי, קשה לי להאמין שזה יהיה כל כך פשןט..
    אני אישית חושב שעם מניעת גניבת הזהויות שהוא יאפשר, לכידה של פושעים / שחרור חפים מפשע וכדומה כף הזכות נוטה.

  7. תומר

    אתה צוחק? בעברי אכן עשיתי דברים אלו במסגרת עבודתי בארגון די גדול, וכך הצלחתי לקבל הרשאות להרבה מערכות שלא הייתי אמור לקבל אליהן את אותן ההרשאות. זה אפילו לא דרש התחזות, אלא פשוט להגיד לאדם הנכון שאני צריך לבצע פעולה יזומה כלשהי באותה המערכת. יודגש שכמובן הכול התבצע בידיעת ואישור הממומנים עלי, ושימש אותנו בעיקר כדי לזהות כך פגמים במערכת ודרכים לשפר את ההגנה עליה.

    החכמה בפריצות מסוג זה הוא שהן דורשות אדם בעל כושר שכנוע גבוה מהממוצע, או זיהוי של החוליה החלשה במערכת. אם לדוגמה יבקש המנהל הישיר על הממונה על המאגר הרשאות צפייה במאגר, האם אותו ממונה יוכל להתנגד לכך מבלי להסתכן באיבוד משרתו? ואם אותו מנהל בכיר יפנה אל אדם בדרגה פחותה יותר, האם הוא יבצע את הדרישה שתוטל עליו מבלי להיוועץ במנהל הישיר שלו?

    במערכות היררכיות זו בעיה נפוצה, והפתרון לה הוא כנראה לנתק מההיררכיה את המחלקה האחראית על המערכת הרגישה, וכמובן גם לסמוך באופן מלא על כל אדם בעל גישה למאגר. השאלה היא אם תוכל לסמוך על אותם אנשים גם כאשר כל מיני ארגוני פשע וגופים מתחרים יציעו תמריצים כספיים לכול אחד שייחלץ עבורם פריטי מידע מסוימים מהמאגר מבלי להיתפס.

  8. אשה אחת עצבנית

    תומר – הפיתרון לחולשות אנוש הוא:

    – מערך הרשאות כללי (למי מותר לגשת, לאיזה חלק ממסד הנתונים, תשובות פרטניות או כוללניות רק לגודל אוכלוסיה מסויים ומעלה כתוצאה סופית)

    -מערך הרשאות נושאי (סיבה לגישה כמו תיק חקירה מסויים, בקשת דרכון)

    – מערך לוגים מסיבי מיום הקמת המערכת וניתן לאיחזור עם בדיקות מדגם כמו במכס (אחת לעשר גישות וכו') ע"י גורם בלתי תלוי שכולל, מי, מהיכן פיזית, מה שלף, נימוק וכו'.

    – לשליפות מסויימות ביצוע רק על יד שני מורשים (ולא מנהל וכפיף) ביחד באותו מקום וזמן, מקביל למנעול כפול בכספות בנקים. שימוש לא ראוי מחייב קנוניה…

  9. אהוד ש.

    מה שמעניין הוא שגם השיטה שלך, חנן, לקבל אישור היא עדיין רחוקה מאוד מהרמה הנדרשת במערכות מאובטחות היטב. זאת בהנחה שהאישור הגיע מהמזמין בדואר אלקטרוני רגיל. מייל מסוג זה אפשר לזייף במספר שיטות פשוטות וגם מתוחכמות יותר.

    הסיבה שאני כותב זאת אינה אנקדוטלית גרידא. העניין הוא שרמת האבטחה של מאגר צריכה להיות כזו שעלות הפריצה אליו תהיה גבוהה בהרבה מערכו. במקרה זה ערכו של המאגר עלול להיות מאוד מאוד גבוה, והמשמעות היא שמזמין פריצה יהיה מוכן לשלם הרבה מאוד כסף לפרוצים מקצועיים, ויש כאלו, והם יוכלו להשקיע הרבה מאוד על-מנת לעבור את שכבות האבטחה השונות.

    פרופ' אלי ביהם, דיקן הפקולטה למדעי המחשב בטכניון, אותו אני מכיר אישית, והוא מוכר בעולם כעילוי בתחום אבטחת המידע (משני הכיוונים), אומר כבר מזה זמן לכל מי שרוצה לשמוע שאין סיכוי שהמאגר הזה ישמר כנדרש:
    http://acheret.co.il/?cmd=articles.528&act=read&id=2722

    ולאישה העצבנית שהגיבה מעלי – הפתרון לחולשות אנוש הוא פשוט לא לקיים מאגר כזה.

  10. Shipless1

    All of you are missing the point. The problem isn't the security – that is only a side point. The main issue biometric I.D. is this: face recognition – with cameras everywhere your whereabouts is always known. In future it will be used for everything, banking – virtual money, employment, medical, transportation. Without it you will not be able to exist in society. It gives government total control. GovernmentS because it is all done by U.N. standards. Your I.D.will be used internationally. The question is, how are you all so indoctrinated already to the point where you accept that government has the right to do all of this. To have so much control. Government is supposed to be a means of administration, not total control. The government does not give you the right to work and raise a family and move from point A to B. These rights you were born with – they are God-given rights you were born with. Please, friends, look "out of the box."

  11. עוז

    אתה חושב יותר מדי מתוחכם.
    המאגר הביומטרי ייגנב כתוצאה של הפקרות פושעת!
    ראו כאן:

    news.nana10.co.il/Article/?ArticleID=967305

    לא להאמין שמישהו חשב להקים את המבנה הזה מעל פני הקרקע.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *