מצלמות אבטחה ברחוב, בעד או נגד ?

[סתם בא לי היחיד]

אם כך אנחנו לא מדברים על אותו מאגר מידע,

אני מדבר על קובץ ענק, המכיל את כל אזרחי המדינה, הפעילים ושאינם פעילים. ניתן לבצע בו כל חתך שרוצים ולשלוף מידע על פי כל חתך.
גם אלה שנפטרו בינתיים הופיעו בקובץ, לגבי מי שנפטר לפני 2006 הופיע בתיבה המתאימה שהוא נפטר ותאריך הפטירה שלו.

אם למדינה לא היה איכפת שהקובץ דלף החוצה כדבריך, מדוע אם כך טרחו לחפש, למצוא ולהעמיד לדין את מפיץ הקובץ ? הסתבר שהמפיץ הוא עובד קבלן במשרד הרווחה.

עוד נזק מעובדי הקבל המועסקים ללא בדיקה בטחונית מינימלית, העיקר שיהיה יותר זול. זה עוד דבר שנהנתניהו הביא לנו באמריקה.

 

[אוריקו Uriku]

לא טענתי שזהו אותו מאגר רק מפני שהאחרון

דיגיטאלי, בכל קובץ דיגיטאלי השמור כנתונים ולא כתמונה אפשר לבצע חיתוכים.

אם המדינה הייתה רוצה לשמור על המידע היא הייתה משקיעה יותר אמצעים לשמור עליו.

 

[Emile Zola]

אני אסביר לך איזה אסון יקרה במקרה דליפה

1. עבריינים יוכלו לשתול טביעת אצבע שלך בזירות פשע ואז תצטרך להוכיח שאין לך אחות.

2. ארגוני טרור וממשלות אוייב יוכלו לזהות ביומטרית אזרחים ישראלים בקלות, עם מצלמה דיגיטלית ותוכנה להשוואת פנים ביומטרית.

ואלו 2 דוגמאות פשוטות.

3. מתחזה יכול בשלבי הקמת המאגר הביומטרי להתחזות לאדם אחר, ולגנוב את זהותו.

גם המאגר "אגרון" שהופץ חפשי באינטרנט גרם וממשיך לגרום לנזקים.

כל עבריין שהוריד את האגרון יכול לאתר כתובת של קורבנותיהם.

שודדים יכולים לבצע חיתוך לפי גיל בשכונה מסויימת ולקבל רשימת בתים של פנסיונרים הנוחים לפריצה.

פדופיל יכול לעשות אותו דבר בחיתוך לפי קבוצת גיל כדי לקבל רשימת קרבנות פוטנציאליים.

הסיכון לנזק עומת הסיכוי לתועלת פה הוא לחלוטין מוטה לכוון הסיכון.

בוא אני אתן לך עוד דוגמה, אפילו שהמאגר לא ידלוף, וישמש לפענוח פשעים.
תאר לך מצב בו אתה עומד בתחנת אוטובוס ונשען עם כף היד על קיר בתחנה בזמן שאתה מחכה...
אתה עולה לאוטובוס, וכמה דקות אחרי מתבצע שם רצח.
מז"פ לא מוצאים שום ראייה בזירה מלבד טביעת כף היד שלך...
מה אתה חושב שיקרה?
אתה תיעצר, תחקר ואם תהיה חסר מזל גם תשב בכלא.

אז גם בהנחה המאד אופטימית שהמאגר לא ידלוף, הוא מסוכן בידי המשטרה ומערכת ה"צדק" בישראל.

 

[אוריקו Uriku]

תרשה לי לחדד כמה דברים לפני שתעלה עוד טעונים

1. לשתול טביעת אצבע אפשר כבר עכשיו, עם סלוטיפ ושרותיים ציבוריים זה יהיה יותר טוב מהדיגיטאלי....הוא גם יאסוף את השומנים הטבעיים מהעור.
2.יש מאגר שכזה בישראל ואפילו עם דגימות די אן אי...ברי עליך שהמאגר הזה מכיל את כל "הבחורים הטובים" שלנו. מה עכשיו שניתן למוני את המפחות של המדינה?
3. מה מונע מהם עכשיו להלך עם זהות בדויה?
4. נו טוף, לא הצדקתי את ההדלפה, אם המדינה הייתה רוצה לשמור על זה כמו שצריך זה היה נשמר. ככה הופסקה ההדלפה מהמשטרה, היום שוטר לא יכול לבקש מידע ללא הצדקה ודוח מפורט מדוע דרש את המידע.
5. עוד לא שמעתי על עבריינים שהשתמשו במאגר...אבל לך תדע.

 

[Emile Zola]

אז אחדד לך את החידודים

1. זה שאפשר לשתול טביעת אצבע באמצעים אחרים לא אומר שצריך לספק דרכים נוספות לעשות זאת. אם יש לך את המאגר, אין צורך להתאמץ כדי לייצר טביעת אצבע בצורה שאתה הצעת - הרבה יותר קשה לעקוב אחרי מישהו, לקוות שהוא יצטרך ללכת לשרותים ציבוריים, לחפש אחרי שסיים טביעת אצבע, לקוות שהיא אכן שלו ולא של מי שהיה לפניו... אתה מבין? דליפת מאגר ביומטרי הופכת את התהליך להרבה יותר פשוט.

2. אני מניח שאתה מתכוון למאגר משטרתי של עבריינים, ולמאגר זה יש תועלת אמיתית ונחוצה לצורך פענוח פשעים.

3. שהתחזות תהיה הרבה יותר חזקה. למי אתה תאמין? למי שמחזיק בתעודה ביומטרית, והמאגר מזהה כאמיתי, או למישהו אחר?
עבור האדם שגנבו את זהותו בדרך זו, יהיה קשה הרבה יותר לצאת מהתסבוכת הזו.

4. ברור שההדלפה לא מוצדקת. ויפה שהם נזכרו שם במשטרה.

5. ברור שלא תשמע, מה אתה חושב? שהם יפרסמו איך הם מבצעים פשעים?

 

[אוריקו Uriku]

עוד טיפה חידוד בשפיץ

1. אם רוצים להפליל אותך אז כדאי יהיה להרדים אותך ושתול את כולך בזירה ועדיף מת....שלא תוכל להתכחש (ציני)

.
2. לא, אני מתכוון למאגר של כולנו...טובים ורעים.
3. בוא נצמצם על דרך השלילה, מי שנאספו ממנו הנתונים כבר קודם ועבריינים שהורשעו. לכמה הגענו.....הרבה פחות מהמתחזים היום.
4. לפחות 15 שנה עברו.
5. כבר לא זוכר מה היה בסעיף הזה...אז אני מוכן להסכים אתך

 

[Emile Zola]

לפחות התקדמנו לאנשהו

לא הבנתי את 2 - מאגר של כולנו? אני לא שמעתי על כזה.

לא הבנתי את תגובתך ב 3.
4. גם לפני 15 שנה וגם לפני 5,000 שנה, שוטר שמבקש מידע על אזרח צריך סיבה מוצדקת ושהגישה תהיה מתועדת.
כך תימנע (או לפחות תפחית) גישות שאינן לצורך אכיפת החוק.

אני מגיע מתחום מדעי המחשב ומערכות מידע.
ואני מכיר מערכות קיימות, של ארגונים גדולים, עם מידע סודי, וקשה מאד לשמור על המידע מצד אחד זמין למי שצריך ומצד שני לשמור שלא ייקרא ע"י מי שאינו מורשה.

אני גם יודע איך מתבצעים המכרזים הממשלתיים.
ספציפית במכרז המאגר זכתה HP, ואני מכיר את תהליכי העבודה שלהם.
הם שוכרים קבלנים חיצוניים ששוכרים קבלנים חיצוניים ששוכרים... נו הבנת...
בסוף את מלאכת התכנות עושה בוגר טרי מהאוניברסיטה שאין לו מושג באבטחת מידע.
לאחר מכן, במקרה הטוב משלמים לגורם חיצוני שיבדוק את אבטחת המידע, וגם פה, אותו גורם תלוי בזמן והתקציב שמעמידים לרשותו כדי לפרוץ...
בקיצור - הסיכוי שעם כל השחיתות בארץ יצליחו להקים כזה מאגר מבלי שידלוף הוא שואף ל 0 לצערי.

 

[אוריקו Uriku]

2. את צה"ל אתה מכיר?

3. אולי עכשיו תבין.

כמו שאמרתי, אם ירצו אין זו אגדה.

 

[Emile Zola]

ולזה אתה קורא "כולנו" ?

חרדים? ערבים? חולי נפש? סתם אנשים שלא עשו צבא? אנשים שטרם מלאו להם 18?...

דבר שני, יש הרבה מה לכתוב על ההבדלים בין הדוגמה שהבאת לבין המאגר הביומטרי שמוצע, אני לא יכול לפרט מעבר למה שנכתב.

 

[אוריקו Uriku]

לפחות הבנת שאפשר אחרת

 

[Emile Zola]

ממש לא, אי אפשר אחרת

לצערי הדרך שלך להיווכח בכל תהיה רק כשהמאגר הביומטרי ייפרץ.

 

[SSL11]

הדליפה של מרשם האוכלוסין גרמה נזק עצום

כאשר האקר פורץ למאגר שמכיל מידע על כרטיסי אשראי בארץ, קל לו בהרבה להשתמש בהם ולמכור אותם אם יש בידיו גם את מספרי הזהות של בעלי הכרטיסים ואת כתובתם. במסגרת עבודתי יצא לי להשתתף בחקירות של פריצות למערכות מידע של בנקים בארץ וכמעט תמיד מתברר שהפורץ נעזר במידע משלים ממאגרים פרוצים אחרים שבראשם מרשם האוכלוסין. להערכתי, הנזק המצטבר למשק הישראלי בגלל הדליפה של מרשם האוכלוסין נמדד במאות מיליוני שקלים לשנה. ישנו גם נזק בטחוני רב, וכמובן נזק לפרטיות של כולנו.

כמובן שדליפה של המאגר הביומטרי תהיה גרועה בהרבה.

 

[אוריקו Uriku]

גם אני יכול לכתוב בכל משפט שני שלי נזק רב

כל עוד לא אספו נתונים על כך זוהי רק השערה שנובעת מדמיון פורה.

איך זה עזר להקר לפרוץ למערכות בנקים? הוא ניסה את מספר תעודת הזיהוי של פקיד הבנק כסיסמה?

מי לא זוכר פריצות כאלה ברחבי העולם ללא קשר למרשם אוכלוסין שנפרץ שם?
לפני כ10 שנים מישהו שלח לי תוכנה עם אלפי מספרי כרטיס אשרי לרכישה בנט.

 

[SSL11]

תשובה

כמה דוגמאות כיצד דליפת מרשם האוכלוסין עוזרת לפרוץ מערכות פיננסיות.

1. מאגרי מידע רבים מסודרים לפי מזהה ייחודי. במקרה הישראלי המזהה הייחודי הוא מספר תעודת זהות. כשאתה פורץ למאגר נתונים הרבה פעמים אתה מגיע למידע חלקי שאתה צריך לסדר כדי שיהיה לו ערך משמעותי. רשימה שמספקת התאמה בין כמה קריטריונים, כתובת ושם, ובין המזהה הייחודי, מאפשרת שחזור ממוכן של חתיכות כאלה של המאגר.

2. בנוסף, מאגרי מידע רבים מחזיקים רשומות, כמו גם ססמאות לחשבונות, לאחר שעברו הצפנה חד כיוונית שנקראת HASHING. היתרון בכך הוא שבמקרה של פריצה המידע הנ"ל לא נחשף. אבל, בגלל שמדובר בהצפנה של כמות קטנה של מידע, ובגלל שהאלגוריתם של הHASH ידוע, ניתן לבנות בסבלנות טבלאות שבעזרתן הפיענוח של המידע הוא כמעט מיידי. אלה נקראות RAINBOW TABLES. "הצרה" היא שבגלל שכמות הנתונים והססמאות האפשריות היא עצומה, לא ניתן להשתמש בטבלאות כאלה לפיענוח רשימות של פיסות מידע ארוכות שאינן ידועות מראש. למשל, לא סביר שלמישהו יש טבלת פענוח כזו שמכילה את פיסת המידע "אוריקו,כהן,תז01234567,תלאביב" ואת ערך הHASH שלה כי זו רשומה שאינה נכונה ושהיא ארוכה מדי. אבל, כל פורץ יכול, תוך זמן קצר,לחשב את ערך הHASH של כל הרשומות הנכונות שמופיעות במרשם האוכלוסין ולייצר טבלא שאותה הוא יכול להשוות לערכים שהוא מוצא, למשל, על שרת הבנק שאליו הוא פרץ.

3. פעולות פיננסיות רבות עוברות בקרה בעזרת השוואה של מספרי זהות, כתובת, ושם מלא לפרטי מחזיק הכרטיס. הסיבה שקוד הCVC בגב הכרטיס מגן עליך הוא שהוא נמצא בגב הכרטיס, בנפרד ממספר הכרטיס. כך היה גם עם מספר הזהות שלך - הוא נמצא על תעודת הזהות שלך ובנפרד מהכרטיס - עד לדליפת מרשם האוכלוסין. אם היית בודק את מספרי האשראי הגנובים ששלחו לך סביר שהיית רואה שהשימוש ברובם דורש מידע נוסף. הקרדרים הכי אמינים תמיד יימכרו רשימה של מספרי אשראי ותאריכי תוקף עם מאגר נלווה של CVC, מספרי זהות במקרה הישראלי או SSN במקרה האמריקאי, כתובות, תאריכי לידה, ושמות.

אשר להערכות שהצגתי, כללתי בהם רק נזקים מוערכים מפריצות למוסדות פיננסיים שמחזיקים רשומות של ישראלים בכל העולם ושל תושבי ישראל. אלה הערכות שאני נתקל בהם במסגרת עבודתי. אם התכוונת לאמר שאלה מעצם טבען הערכות גסות, אני מסכים איתך. אבל מאידך הן אינן כוללות נזקים נילווים כמו למשל כתוצאה מגניבת זהות, חשיפת מידע פיננסי, רפואי, ביטוחי, ונזקים לביטחון המדינה.

 

[אוריקו Uriku]

אני נוטה לקבל את דבריך המשכנעים, ברם

סטרינגים של טקסט או ערך מספרי בשבירת קוד רק מקצרים את זמן פריצת ההצפנה.
אתה תמיד יכול להכניס שם נפוץ מספר טלפונים ולקבל הצלבה ואימות קוד הצפנה המכילה רשומות אנשים.
אחד התרגילים בלימודי וכתרגול להבנת רקורסיה בנראית הייתה הכנת תוכנה לפיצוח קודים משולבים של מספרים ותווים.
במחשבים הביתיים של אז (15 שנים ויותר) זה דישדש אבל עשה עבודה מדוייקת.

 

[שובו של גוי ואבוי]

מעניין מה שכתבת מה שמטריד אותי זה שכל הסכרים נפרצו ממילא- אם קופ"ח מכיב מוכרת את המאגר חברים שלה, שנחשב בין מאגרי הנתונים הרפואיים המתקדם בעולם, נשאלת השאלה : בתוך כמה זמן תהיה הצלבת מידע פיננסית ורפואית של כל אחד ואחת על גבי כרטיס מגנטי פשוט לכל מי שרק יחפוץ בכך תמורת תשלום גבוה כמובן.

 

[Emile Zola]

נכון, אך הכניסה לארה"ב איננה חובה

ויש לי בעיה גדולה עם ההשוואה לארה"ב במישור הביטחון האישי ואבטחת המידע... אנחנו רחוקים שנות אור מהם בכמות ובאיכות לובשי המדים.
אם המאגר יהיה נגיש למשטרה, הוא יהיה נגיש גם לעולם התחתון בסבירות גבוהה.

 

[SSL11]

תשובה לדברי אייל

הטענה שהמאגר נועד לפתור בעייה של אנשים שמגיעים למשרד הפנים ומוציאים מספר תעודות בשמות שונים, היא הטעייה. הבעייה הזו היא "בעייה" מדומה שמשרד הפנים לא הביא מעולם ראייה לקיומה, אפילו במקרים בודדים. כך הוסבר בפרוש בדו"ח מבקר המדינה הקודם. הבעייה הזו לא קיימת כי משרד הפנים לא מחלק תעודות אוטומטית לכל מי שמבקש. ראשית, עליך לעבור תשאול, שנית, אם בעל הזהות שאתה מנסה לגנוב כבר הוציא תעודה, מייד הפקיד יידע שאתה מנסה לגנוב זהות ואתה תעצר. כך שאם אתה עבריין שמנסה להסתתר - הדבר האחרון שכדאי לך זה לנסות מזלך במשרד הפנים. מה ייצא לך מכך? אם יש לך הרשעות קודמות, כמו לרוב העבריינים, אז ממילא למשטרה יש מידע ביומטרי מצויין לגביך. ואם אין לך הרשעות קודמות, אז למה להסתכן ולהתפס עכשיו?

אני מבין שאתה מנסה להרשים בדבריך על "נתונים מוצפנים בשיטות מורכבות מאד". למי שאינו בקיא בתחום אבטחת המידע זה נשמע אולי משכנע, אולם רוב מוחלט של מומחי המחשבים המובילים בארץ טוענים שאין לדבריך כיסוי ושהמאגר ניתן יהיה לפריצה ואינו חסין מפני דליפה. בין המומחים הללו תוכלו למצוא את כל ראשי הפקולטות למחשבים בארץ, כל חתני פרס ישראל למחשוב ועוד רבים וטובים. הנה, לדוגמא, כמה מן המתנגדים החריפים ביותר למאגר הביומטרי. הרשימה הנ"ל חלקית ביותר.

האם אתה יכול להצביע על פרופסור למחשבים יחיד בארץ שחושב שהמאגר הביומטרי נחוץ, יהיה חסין מפריצה, או שלא ניתן למצוא לו חלופות בטוחות ואתיות יותר?

 

[שובו של גוי ואבוי]

מעבר לכך איפה בכל העולם כולו, כולל בדיקטטורות הכי נאלחות עד לצפון קוריאה, יש מדינה / שלטון שנקטו בצעד כולל כזה, ואני אפילו לא מדבר על פיילוט?

במדינה שנמצאת במאבק קיברנטי מול איראן, היית מצפה שתהיה זהירות רבה יותר בניהול ממלכתי של מאגרי אדם חד חד ערכיים.

 

[הדרך הקלה ביותר]

אז בוא נסתכל יותר רחוק רגע

נמתח את הזמן....

מה ההשלכות ? לדעתי.....עם כל הטכנולוגיה של היום, קניות דרך סמארטפונים, זיהוי עם מחשבים, מצלמות אבטחה בכל מקום, יהיה די קל, בעולם הדיגיטלי, בהנחה שהכל נשמר שם, ואכן זה נשמר, יהיו מלא התחזויות, גניבות, גניבות כסף, כרטיסי אשראי, זהויות, עקב זה כל הפרטים שלנו יהיו חשופים בפני מוסדות ממשלתיים והאקרים, יהיו המון מלחמות סייבריות, ועקב זה בטח תקום משטרה וירטואלית, שזה קיים היום אבל זה יהיה באכיפה 100% ולא כמו עכשיו אכיפה מדשדשת, המערכות ידרשו אבטחה יותר כבדה בעולם הוירטואלי, וכתוצאה מזה בטח העולם הוירטואלי, בעתיד הרחוק, ישמש אותנו במאה אחוז בכל הפעולות שנצטרך לעשות.

כל מה שכתבתי קיים כבר היום, אבל בעתיד זה יהיה הרבה יותר גרנדיוזי.

שזה מעלה גבה דווקא לתוכנית של בוש האבא בזמנו שאמר שהם מתכננים על משטר אחיד בכל העולם שבו הכל יהיה מבוקר ובר שליטה, תוכנית ה-nwo - ראשי תיבות של new world order, הוא אמר בזמנו שהגלגלים כבר התחילו לנוע, והנה עובדה אנחנו רואים את זה לאט לאט משתרש בחיי היום יום שלנו

הרשויות כבר התחילו לסגור אתרי שיתוף שירים וסרטים בחינם, בכל המוסדות התחילו להכניס מערכת לזיהוי על פי טביעת אצבע, שמן הסתם עוברת למאגר ביומטרי של הרשיות, הסמארטפונים גורמים לנו להיות חשופים עם כל המידע שאנחנו מקלידים בהם, כל המידע הזה גם נאגר, והוא זמין לרשויות, אפילו בעזרת הסמארטפונים כבר אפשר לאתר אותנו בכל נקודה בעולם, לאט לאט אנחנו נכנסים תחת משטר שיודע הכל עלינו, ועם הפרטים האלה אפשר להשליט סדר ואפילו מניפולציה, שתגמור סופית על האמון בין בני אדם, בעתיד הרחוק נראה לי נהיה תחת שלטון שאם רק תעז לקלל בבית, אתה תקבל דוח על שפה לא נאותה.

ואם הרשויות רוצות לשכנע אנשים להתחיל להכניס מצלמות אבטחה לתוך הבית שלהם זה יהיה מאוד קל, פשוט מאוד יתחילו לעשות תוכניות על רציחות ופשע בתוך הבתים, ישטפו את הראש של העם בשאם יכניסו מצלמות אבטחה עם מוקד, ככה הכל יהיה מובקר והמשטרה תגיע למנוע אסון, לאט לאט האהבלים יגידו כן, יתחילו להתקין מצלמות בתוך הבית, עד שזה יתחיל להיות מקובל, אחרי איזה עשר עשרים שנה תראה את רוב העולם עם מצלמות בבית, בקיצור....אנחנו לקראת עידן של איבוד הפרטיות לחלוטין, וזה יהיה בעתיד הרחוק, אבל יהיה.