notes from the nice side of the fence

Israel is fast becoming the first country in the world to instate an obligatory national biometric identification system. this, we are told, is in place to prvent identity theft and increase our security as citizens. in the following article (originally in English), Bruce Schneier explains why this cannot be true by describing the nature of authentication systems and impersonation.

an incredibly informative Israeli website is now leading the movement against bio-ID.

 

למה טכנולוגיה לא תמנע גניבת זהות

התחזות אינה דבר חדש. ב-1556 הוצא אזרח צרפתי להורג באשמת התחזות למרטן גר (Martin Guerre), ורק לאחרונה התחזו האקרים לברק אובמה בטוויטר. התחזות אפילו אינה ייחודית לבני אדם: זמירים, פרפרי וייסרוי והתמנון החום - כולם משתמשים בהתחזות כאסטרגיית הישרדות. עבורינו, בני האדם, גילוי התחזות הוא בעיה קשה משלוש סיבות: אנחנו צריכים לאמת את זהותם של אנשים שאיננו מכירים, אנחנו מקיימים קשרים עם אחרים דרך ערוצי תקשורת “צרים” כמו הטלפון והאינטרנט, ואנחנו רוצים שמערכות ממוחשבות יעשו את האימות במקומנו.

בהתחזות מסורתית, אנשים עובדים על אנשים אחרים. זה עדיין נעשה כיום: התחזות למפני אשפה שלוקחים טיפים, התחזות לפקחי חניונים שלוקחים תשלום, או התחזות לנשיא צרפתכשעובדים על שרה פיילין. התחזות לשוטרים, שומרים וקוראי מונים היא טקטיקה שכיחה בפשיעה.

התכסיסים האלו עובדים משום שאנחנו באים במגע באופן קבוע עם אנשים שאנחנו לא מכירים. אף אחד לא יכול להתחזות בהצלחה לאח שלך, לחבר הכי טוב שלך או לבוס שלך, כיוון שאת מכירה אותם בצורה אינטימית. אבל שוטר או פקח חניה? זה הרי בסך הכל מישהו עם תג או מדים. אבל תגים וכרטיסי זהות יכולים לעזור רק אם יודעים איך לאמת אותם. האם את יודעת איך נראית תעודת שוטר תקפה, או איך להבדיל בין תג אמיתי של טכנאי טלפוני לבין תג מזויף?

למרות שאיננו יודעים לזהות תגים של בעלי תפקידים - אנחנו נוטים לבטוח בהם. נטייתנו הטבעית היא לבטוח במדים למרות שאנחנו יודעים שכל אחד יכול ללבוש אותם. כשאנחנו מבקרים באתר אינטרנט אנחנו קובעים לעצמנו אם אנחנו מאמינים לאתר על פי האמינות שהגרפיקה משדרת. אבל בינינו - כל אחד יכול לגזור ולהדביק גרפיקה. שימו לב בפעם הבאה שפקיד לוקח ממכם תעודה מזהה - רובם כלל אינם מעיפים מבט בתעודה.

ההתחזות נעשית קלה עוד יותר בערוצי תקשורת מוגבלים. כשמדברים בטלפון, איך אפשר להבדיל בין מישהי שעובדת בחברת האשראי שלך לבין מישהי שמנסה לגנוב פרטי חשבון והתחברות בנקאיים? כשמקבלים דואר אלקטרוני, איך אפשר להבדיל בין אנשי התמיכה של החברה שלך לבין האקרים המנסים לפרוץ לתוך הרשת - או בין ראש העיר של פריז לביןמתחזה? מדי פעם מישהו מצליח לשחרר את עצמו מהכלא על ידי שליחת הוראת שחרור מזויפת בפקס לסוהר שלו. זוהי הנדסה חברתית: להתחזות למישהו בצורה משכנעת מספיק כדי להשלות את הקורבן.

כיום, רבים מתהליכי אימות הזהות מבוצעים על ידי מחשבים. מחשבים יודעים לחשב מהר אבל הם בעלי כושר שיפוט גרוע וקל לעבוד עליהם. כך, אנשים יכולים להערים על מכמונות מהירות על ידי הדבקת לוחית רישוי מזויפת על המקורית, על קוראי טביעת אצבע בעזרת נייר דבק, או על סורקי פנים אוטומטיים בעזרת - ואני לא ממציא את זה - תצלום של פנים אחרות המוחזק לפני פניהם. אפילו השוטר המשועמם ביותר לא יפול באף אחד מהפחים האלו, בעוד שהמחשב נופל בפח בקלות.

זו הסיבה שגניבת זהות היא בעיה כל כך גדולה כיום. כל כך הרבה תהליכים של אימות נתונים מתרחשים ברשת תוך שימוש בכמות קטנה של מידע: שם משתמש, סיסמה, תאריך לידה, מספר ביטוח לאומי וכו’. כל אחד שמשיג את המידע הזה יכול להתחזות אליך מול מחשב, שפשוט לא יודע להבדיל ביניכם.

למרות הבעיות הללו, רוב מערכות הזיהוי עובדות טוב רוב הזמן. אפילו משהו מגוחך כמו חתימה בפקס עובד, ועוד בצורה מחייבת בפני החוק. אבל שום מערכת זיהוי אינה מושלמת, והתחזות תמיד אפשרית.

חוסר השלמות הזה הוא דווקא בסדר. אבטחה היא פשרה בין קלות שימוש, פופולריות אצל המשתמשים, עלות וגורמים נוספים. יותר זיהוי לא בהכרח יהיה יותר טוב. בנקים עושים את הפשרה הזו כשהם לא טורחים לאמת חתימות על צ’קים מתחת לסכומים של 25 אלף דולר. זול יותר להתמודד עם זיוף לאחר שהתבצע. אתרי אינטרנט עושים את הפשרה הזו כשהם משתמשים בסיסמאות פשוטות במקום במשהו מאובטח יותר, וסוחרים עושים את הפשרה הזו כשהם לא טורחים להשוות את החתימה שלך עם זו על כרטיס האשראי. אנחנו עושים פשרה דומה כשאנו בוטחים בתגים של שוטרים, במדים של בסט-ביי ובחתימות שעוברות בפקס עם אימות שטחי בלבד.

מערכות זיהוי טובות יודעות לאזן בין אימות שגוי ופסילה שגויה. מערכת נכשלת אם היא מזהה אדם אחד בתור אדם אחר (אימות שגוי), אבל היא נכשלת גם אם היא פוסלת את המשתמש האמיתי (פסילה שגויה). בבנקים יודעים כי עדיף שהכספומט יאפשר מדי פעם לרמאים להוציא כסף, מאשר למנוע ממחזיקי חשבונות לגיטימיים גישה לכספם. מצד שני, אימות שגוי במערכת שיגור גרעיני הוא הרבה יותר מסוכן; במקרה כזה, עדיף לא לשגר את הטילים.

מערכות זיהוי מבוזרות עובדות טוב יותר ממערכות מרוכזות. פתחי את ארנקך ותראי מבחר של חפצים שמאפשרים לזהות אותך בפני אנשים וארגונים שונים: הבנק שלך, חברת האשראי, הספרייה, מכון הכושר, המעסיקה שלך, כמו גם רשיון הנהיגה, המשמש כצורת זיהוי כוללנית בכל מיני מצבים. המגוון הזה הוא למעשה בטוח יותר מאשר כרטיס זהות בודד: יש לפרוץ כל מערכת בנפרד, ופריצה של אחת לא מקנה לתוקף גישה לכל השאר. זו אחת הסיבות שמערכות מרוכזות כמו תכנית Real ID בארה”ב הופכות אותנו לפחות בטוחים.

לבסוף, כל מערכת זיהוי טובה משתמשת במערכות הגנה עמוקות. כיוון שאף מערכת זיהוי אינה מושלמת, צריכים להיות אמצעי אבטחה אחרים במקרה שהזיהוי נכשל. זו הסיבה שכל המידע והנכסים של תאגיד כלשהו אינם זמינים לכל מי שמצליח לבלף את דרכו לתוך המשרדים הראשיים. זו גם הסיבה שלחברות אשראי יש מערכות שמנתחות דפוסים חשודים של הוצאות. וזו גם הסיבה שבעיית גניבת הזהות לא תיפתר כשיהיה קשה יותר לגנוב מידע אישי.

אנחנו יכולים להפחית את הסיכון שבהתחזות, אבל היא תמיד תהיה איתנו; טכנולוגיה לא יכולה “לפתור” אותה בשום מובן מוחלט. כמו בכל עניין של אבטחה, הטריק הוא לאזן את הפשרות. מעט מדי אבטחה, ופושעים ימשכו כסף מכל חשבונות הבנק שלנו. יותר מדי אבטחה, וכשברק אובמה יתקשר לברך אותך על הצלחתך בבחירות, לא תאמיני שזה הוא.

Tags: activism, israel, technology

This entry was posted on Wednesday, February 11th, 2009 at 5:10 am and is filed under Uncategorized. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.