דף הבית  >> 
 >> 

הרשם  |  התחבר


ביומטריה חסרת עקבות 

מאת    [ 07/10/2007 ]

מילים במאמר: 1857   [ נצפה 5246 פעמים ]

ביומטריה חסרת עקבות -  טכנולוגיה שמאמתת זהותו של נדגם ובו זמנית גם שומרת על צנעת הפרט שלו 


 שיטות לזיהוי חד-משמעי של מתחזה המציג דרכון, תעודת זהות או אמצעי תשלום הפכו בשנים האחרונות למשימה כמעט בלתי אפשרית. ההשלכות של שיטות זיהוי לא אמינות ובטוחות עלולות להיות הרסניות בעיקר למערכות זיהוי ממלכתיות, בנקאיות, פיננסיות ולאזרחים תמימים שזהותם זויפה או עומדת בספק, ועלולות לכלול סיכון בטחוני, אבדן של כספים, מידע אישי ומידע סודי, כך שווידוי אמינות הזיהוי ו/או המידע המועבר הפך ליעד כמעט עיקרי במערכות מידע מבוזרות.רק לצורך המחשה, גארטנר, האנליסט המוביל של מחקרים בתעשיות הטכנולוגיה והמידע הגלובאליים, מעריך "שב-12 החודשים שהסתיימו ב  2005, הונאת הכספומט וכרטיס החיוב בארצות הברית לבדה גרמו להפסדים של 2.75  מיליארד דולרים (הפסד ממוצע של 900 דולר לתנועה)".גארטנר טוען עוד "שרוב ההפסדים נספגו ע"י הבנקים והמוסדות פיננסיים שהנפיקו את אמצעי התשלום שזויפו ולקחו על עצמם את האחריות לגניבות".  מסלקות פיננסיות, חברות האשראי ובנקים חייבים לסמוך על פרטים הנשלפים מתעודות זהות, דרכונים, כרטיסים מגנטיים או כרטיס חכם כלשהוא ואינם יכולים לקשור באופן וודאי בעל כרטיס (זהות, אשראי, כספומט וכו') לאדם הנושא אותו, הבעיה מחריפה במיוחד  כאשר מדובר במערכת מבוזרת ובזייפן המחזיק פרטים מועתקים או גנובים ועושה בהם שימוש כבעל אמצעי זיהוי לגיטימי. שיטות אימות זיהוי ברשת וגם לכספומטים, יש ממגבלות רבות. סיסמאות וקודים סודיים "זולגים" בצורה לא חוקית לצופה סמוי, כרטיסי אשראי ניתנים בקלות להעתקה ולזיוף. בכל מערכת סליקה טלפונית ניתן "ליירט" בפשטות שיחות בהם נעשה תשלום בכרטיס אשראי. ברגע שזייפן כרטיס או זייפן זהות משיג גישה לאמצעי תשלום או שם משתמש וסיסמא של לקוח חוקי, תהייה לו גישה מוחלטת למשאבים המותרים ללקוח החוקי. כך קורה גם בזמן תשלום או העברת מספר כרטיס האשראי ברשת. למרות שהמידע שנשלח ברשת נעשה דרך שיטות הצפנה מאובטחות, מערכות עדכניות לא מסוגלות להבטיח שהפעולה מתבצעת ע"י הבעלים החוקיים של הכרטיס, מכיוון שבעליו החוקיים של כרטיס וגם הזייפן מעבירים למערכת החיוב מספרים שמייצגים מספר כרטיס אשראי ותאריך התפוגה שלו, אפילו הכרטיס עצמו לא צריך להיות מוצג פיזית. גם היום ניתן לאסוף מספרי אשראי בכל מסעדה כמעט. למרות שפרצה זאת ידועה זה מכבר, עדיין ניתן למצוא על העתקי חיוב האשראי מספר מלא של כרטיס האשראי ותאריך התפוגה שלו (ניתן למצוא זאת על הספח שעליו חותמים) ואם בכך לא די, כיום ניתן להשיג התקן קורא/כותב לכרטיס מגנטי בכל חנות כמעט לציוד מחשבים - פעולת העתקה (ויזואלית ו/או מגנטית) נעשית בזמן מסירת כרטיס האשראי בתחנות דלק בחנויות ובמסעדות בהם בזמן החיוב לא קיימת נוכחות רצופה של בעל הכרטיס. הגופים הפיננסיים יצאו מנקודת הנחה נאיבית ש"ההגנה ויזואלית" לכרטיס "יקשו" על זיוף. כיום כל האקר מחשבים, כבר מבין שנקודת החולשה של כל מערכת היא המערכת המותקפת עצמה - כאשר החוליה החלשה קיימת במערכת המותקפת, מיותר לגנוב או לזייף כרטיס פלסטיק הרי גם להאקר עצמו יש כרטיסי כספומט ואשראי אישיים מקוריים שהונפקו ע"י הבנק כשהשם או השם כפי שמוצג בתעודה מזהה אותה הציגו לבנק מודפס על הכרטיס. ההאקר מציג כרטיס מקורי וחוקי שעליו "מאוכסן" מידע מזויף כך שגם אם תידרש "תעודה מזהה" של מחזיק הכרטיס, ה"פרטים הויזואליים" על הכרטיס יהיו "תואמים" לתעודה המזהה של מוסר הכרטיס אולם החיוב של המידע המגנטי עצמו יהיה מזויף...  מאוד קשה ליירט זיוף כזה מכיוון שבעל הכרטיס המקורי לא מודע לשכפול ואין במערכת הפיננסית כל התראה בזמן אמת על חיוב מזויף. הכחשת עסקאות היא תהליך ארוך ומיגע בייחוד בארץ כי ע"פ החוק הקיים חברת האשראי היא זאת שאמורה לספוג הפסד במקרה של זיוף. לקוחות שנופלים קורבן למרמה סובלים ארוכות עד לטיפול סופי בבעית זיוף כי העסק שנתן את השרות לא יסכים לוותר על החיוב מטבע הדברים, כך שהמערכת הפיננסית בסופו של דבר, תאלץ לשאת בתוצאות הבעיה שהולכת ומחריפה.

"העתקה מהשרוול" או  כרטיסי אשראי מקוריים "מוסבים"
נראה שהצפי להשקעות חדשות בשיטה המשלבת כרטיס חכם (כרטיס פלסטי עם צ'יפ אלקטרוני) תופס תאוצה  ואמור (שוב) "רק לעכב זיופים" (מיותר להרחיב אך גם שיטת הכרטיס הכחם פרוצה לחלוטין - הסיבה פשוטה-  לוגית ה"מערכת תוקפת את עצמה"). לפי כל הסימנים ה"סיבה" למעבר לשיטה החדשה היא "להרוויח זמן" ע"פ המאמרים המתפרסמים לאחרונה בעולם, הרעיון שעומד אחר השינוי הוא ל"אלץ" סוחרים והעלי עסקים לעבור לשיטת החיוב בכרטיס החכם (מתוך הנחת יסוד שרובם ישארו מאחור) כשברקע קיימת ודאות מוחלטת שהמערכת כבר פרוצה, המטרה כנראה להרוויח זמן ולהימנע (זמנית) מאחריות חברות האשראי לפיצוי במקרה של הכחשת עסקה או זיוף לנותני השרותים.... מנגנון הכרטיס החכם (EMV) נפרץ כבר מזמן בגרמניה ובצרפת ולאחרונה באוסטרליה בהיקפים גדולים... עובדה זאת מוסתרת מהציבור.   בעולם בו שיטות תשלום וזהות מתבצעות ע"י הצגת כרטיסי  פלסטיק, מאוד פופולארית, השאלה המרכזית היא: האם המערכת ערוכה לסמוך על כרטיס כזה? עד שלא יהיה קשר ממשי בין מחזיק הכרטיס לכרטיס עצמו, התשובה בוודאי ברורה: "לא, היא איננה ערוכה!! (כל מחזיק כרטיס כספומט יודע שהוא יכול לשלוח חבר או קרוב משפחה להוציא כסף עבורו מהמכונה...  למכונת הכספומט אין היום כלים לוודא מי מחזיק בכרטיס ומיהו בעל הכרטיס - לעומתה פקיד בסניף היה מגלה די בקלות שלא מדובר בעל החשבון המוכר לו אישית).

שיטות ביומטריות יכולות לספק פתרונות לאימות זיהוי הרבה יותר מדויקות ואמינות המבוססות על הפרטים הפיזיולוגיים של הנדגם. מוסדות פיננסיים ביפן (פוג'יטסו והיטצ'י) החלו להשתמש בסורקים ביומטריים במיוחד בכספומטים אך נתקלים בבעיות תאימות קשות בין הבנקים השונים הרי לא מקובל בבנקים למסור מידע אישי ( נתון ביומטרי) על לקוחותיהם, ועדיין לא קיימים תקנים לאיסוף מידע ביומטרי וגם כי במדינות המערב הרעיון נתקל בהתנגדות נחרצת בגלל חשש מוצדק לפגיעה בצנעת הפרט במקרה של גניבה ו/או חשיפה. הרי כולם כבר יודעים שאין דרך בטוחה לשמר מאגרי מידע ברשת, הדבר חמור במיוחד כשאין למידע הביומטרי תחליף במקרה של חשיפה או גניבה כפי שניתן להחליף כרטיס פלסטיק או תעודה אחרת שנגנבה, לבנקים או לארגונים אחרים אין דרך ממשית לפצות לקוחות במקרה שמאגר מידע עם פרטים פיזיולוגיים ייחודיים של לקוחותיהם ייגנב או ייחשף.. החלפה או שינוי של מנגנוני הצפנה ביומטריים בכל מקום בעולם, בכל פעם שמאגר מידע ייפרץ בבנק או משרד כלשהו נשמע הזוי...

 

 זיהוי ביומטרי במכשירי כספומט ביפן ההנחה שחלק מהמהפכה בזיהוי היא להפוך את גופו של אדם לאמצעי זיהוי אולטימטיבי, מסוכנת מאוד. כל דבר ניתן לזיוף! בוודאי ביומטריה (כפי שהוכיח פרופ' מצימוטו מאונ' יוקוהמה ביפן). אם למישהו בעלות על הפרטים הביומטריים של לקוח, למעשה יש לו בעלות על המהות או "אני" של הלקוח. חשיפה או אבדן של קניין ביומטרי היא בעיה תמידית לכל חייו של מוסר המידע, משום שאין דרך לבטל פרטים פיזיולוגיים או התנהגותיים של אדם. מידע ביומטרי שנאסף בבסיסי נתונים לצורכי "אימות זיהוי" עלול להיות מנוצל למטרות שאין להם כל קשר ישיר לאימות הזיהוי של פרט המציג תעודה או כרטיס, בזמן אמת. הימצאותה של טביעת אצבע אקראית על שטר של כסף או על מצע אחר בזירת אירוע, עלולה לאפשר "שיחזור נתיב" לאדם תמים שפרטיו הביומטריים שמורים במערכת מידע שנאסף מלכתחילה "רק" למטרת מניעה של הונאה וגניבת זהויות. דבר שאולי טוב לרשויות האכיפה רע מאוד לאזרחים תמימים. בשיטת איסוף מידע ביומטרי, השאלה המרכזית היא: האם הפרט יכול לסמוך על מערכת האכיפה?פתרון אולטימטיבי חייב לתת מענה לכל הבעיות שהוצגו כולל יצירת תקן בעל מכנה משותף פשוט לכל אמצעי הסריקה הביומטריים שימנע איסוף נתונים ייחודיים ומיותרים שאין דרך חוקית לשתפם או להעבירם ברשת או לצדדים שלישיים ובכך גם למנוע פגיעה בצנעת הפרט ובפרטיות. חברה ישראלים בשם אינווייה למחקר ופיתוח שהוקמה בקיץ 2006 ע"י מיכה שפיר ורונן בלכר, יזמים מנוסים בתעשיית ההיטק ואבטחת מידע שוקדת על פיתוח מערכת זיהוי ביומטרי שאינה משתמשת בעקבות ביומטריים מכל סוג ו גם לא שומרת  שום נתון בכרטיס חיצוני, למניעת חשיפה או אבדן. אינווייה מו"פ נענתה לאתגר יחודי לבנות מנגנון זיהוי ביומטרי אמין שמראש תוכנן להיות לא ייחודי מנקודת מבט ביומטרית, וללא צורך בבסיסי נתונים או עקבות שיש באפשרותם לקשור נדגם מסוים למידע פיסיולוגי ייחודי ומהותי מחוץ לתחום מערכת האימות הביומטרית עצמה וברגע המדידה עצמו, כך שתוצאת המדידה, נכונה אך ורק לרגע המדידה עצמו, בכך גם נמנעת אחריות הדוגם אפילו אם מדובר במשטרה או שב"כ (שמראש "פטורים" מאחריות פיצוי במקרה של חשיפה) לשמירת הנתונים שהיו צריכים להיות צבורים במערכת מידע לעניין חשיפתם, גנבתם וכמובן אכסונם. הפטנט הייחודי של אינווייה יוצר אסימון זיהוי אמורפי חסר צורת ביטוי ביומטרית, הנקרא "BIdToken" (אסימון זיהוי  ביומטרי לא ייחודי), אשר תוכנן להיות חסר עקבות מבחינה ביומטרית מכל כיוון (מסריקה חזרה לתמונה או מתמונה לערך ייחודי), כך שצורה או מייצגים ספציפיים של מידע ביומטרי ייחודי לא ישמרו. הפתרון דומה לקוד סודי של  כספומט, שיש לו קורלציה או קשר בין משתנים זמניים לביומטריה, שיטה זאת, מחייבת את הנדגם להיות נוכח בזמן תהליך הזיהוי. ל"אסימון" של מערכת הזיהוי הביומטרית אין ערך אמיתי אלא רק בתהליך זיהוי ביומטרי ספציפי, בגלל היותו לא ייחודי.  אם נבחן מדוע עד היום לא נכנסה מערכת זיהוי ביומטרית כאמצעי הזיהוי האולטימטיבי, נתקל במספר לא קטן של סיבות מכשילות:

·         נתונים ביומטריים ייחודיים אינם ניתנים לביטול לאחר חשיפתם ואינם מאפשרים התכחשות במקרה של זיוף, גניבה או חשיפה ועלולים לפגוע בזכויות הפרט של בעליו.

·         אין דרך לפצות פרט על אבדן, גניבה, או חשיפה, או שימוש לרעה בקנייניו הביומטריים והייחודיים שלו (כל כרטיס אחר ניתן לבטל/להחליף) בנקים בוודאי לא ייקחו אחריות לפיצוי כזה.

·       מאגר נתונים ביומטריים ייחודיים פוגע בצנעת הפרט ואין לנדגם ביומטרי יכולת שליטה על הנתונים הפיסיולוגיים שלו לאחר שנמסרו, הודפסו או נשמרו במאגר מידע חיצוני כולל בכרטיס אישי.

·        לא קיים תקן לניהול מאגרי מידע ביומטרי בגלל שאיסוף כזה מהווה עבירה פלילית, ולכן גם לא קיים תקן גורף לאופן הסריקה הביומטרית.

·         איתור דגימה במאגר מידע ביומטרי גדול (השוואה של אחד לרבים) בעייתי מאוד ויוצר טעויות קבועות בזיהוי בגלל סטיות סטטיסטיות ככל שהמאגר גדול יותר היקף הטעויות גדל בהתאמה.

·        על פי חוק הגנה על הפרטיות, אסור לגופים שאינם מוגדרים "אוכפי חוק או משטרה" לאסוף נתונים ביומטריים גם אם הם נמסרים "בהסכמה". מקומות עבודה המאלצים עובדים למסור מידע ביומטרי ומאכסנים אותם במאגרי מידע, עוברים על החוק.

·        כרטיס חכם המכיל מידע ביומטרי ייחודי, טוב כל זמן שלא אבד. כרטיס חכם עם מידע ביומטרי תאורטית לא ניתן להחלפה לאחר שהמידע הביומטרי נחשף.

·         כרטיס חכם המצוי בידיו של זייפן ומכיל בתוכו מידע ביומטרי ללא עותק במערכת מידע לצורכי אימות (פועל כחוק) יאפשר זיוף או "יירוט" הנתונים כי אין למה להשוותם. מצד שני כאמור, אגירת נתונים ביומטריים של לקוחות במערכת מידע תפגע בצנעת הפרט של בעליו ומהווה עבירה פלילית.

 

 כשמתכננים מערכת אבטחה (כולל ביומטריה), חשוב לא לתת לה יותר מדי יכולות, מכיוון שאם גורם עוין מצליח להשיג גישה למערכת בעלת יכולת גורפת, השפעה השלילית תהיה רבה ויקרה מאוד, אם לעומת זאת, מערכת האבטחה תהא פשוטה יותר, ההצלחה של הפורץ תהיה מוגבלת מקומית ולא גורפת.הטכנולוגיה של אינווייה נותנת מענה לחסרונות שהוצגו ע"י שימוש בפטנט זיהוי ביומטרי חסר עקבות  שתוכנן להיות לא ייחודי. הפתרון של אינווייה הוא היחידי שמנטרל את חובת הדרישה לאמון ע"י צדדים שלישיים.  על אינווייה:אינווייה (Innovya), מחקר ופיתוח הוקמה בקיץ 2006 ע"י מיכה שפיר ורונן בלכר, יזמים מנוסים בתעשיית ההיטק ואבטחת מידע. לחברה פטנט מהפכני העוסק בשיטות זיהוי ביומטריות לא ייחודיות. תפקיד מערכת האימות של אינווייה, לאשר חד משמעית זיהוי של נדגם הניצב בפני מערכת זיהוי ביומטרית ללא צורך בהפקה או שימוש בפרטים ביומטריים אגורים. הפטנט של אינווייה מבטל את הצורך בבסיסי נתונים, איסוף מידע או הדפסה או לקיחה של דגימה ביומטרית והשארת הדגימה או תוצאותיה על מצע חיצוני כל שהוא, ובכך מאמתת את זהות הנדגם ובו זמנית שומרת על צנעת הפרט שלו.    

 

מיכאל (מיכה) שפיר משמש כטכנולוג מדען ראשי ויזם במספר רב של חברות היי טק העוסקות בעיקר ברשתות תקשורת, אבטחת מידע, ציוד רפואי, ומחקרים ביו טכנולוגים.



מאמרים חדשים מומלצים: 

חשבתם שרכב חשמלי פוטר מטיפולים? תחשבו שוב! -  מאת: יואב ציפרוט מומחה
מה הסיבה לבעיות האיכות בעולם -  מאת: חנן מלין מומחה
מערכת יחסים רעילה- איך תזהו מניפולציות רגשיות ותתמודדו איתם  -  מאת: חגית לביא מומחה
לימודים במלחמה | איך ללמוד ולהישאר מרוכז בזמן מלחמה -  מאת: דניאל פאר
אימא אני מפחד' הדרכה להורים כיצד תוכלו לנווט את קשיי 'מצב המלחמה'? -  מאת: רזיאל פריגן פריגן מומחה
הדרך שבה AI (בינה מלאכותית) ממלאת את העולם בזבל דיגיטלי -  מאת: Michael - Micha Shafir מומחה
ספינת האהבה -  מאת: עומר וגנר מומחה
אומנות ברחבי העיר - זרז לשינוי, וטיפוח זהות תרבותית -  מאת: ירדן פרי מומחה
שיקום והעצמה באמצעות עשיה -  מאת: ילנה פיינשטיין מומחה
איך מורידים כולסטרול ללא תרופות -  מאת: קובי עזרא יעקב מומחה

מורנו'ס - שיווק באינטרנט

©2022 כל הזכויות שמורות

אודותינו
שאלות נפוצות
יצירת קשר
יתרונות לכותבי מאמרים
מדיניות פרטיות
עלינו בעיתונות
מאמרים חדשים

לכותבי מאמרים:
פתיחת חשבון חינם
כניסה למערכת
יתרונות לכותבי מאמרים
תנאי השירות
הנחיות עריכה
תנאי שימוש במאמרים



מאמרים בפייסבוק   מאמרים בטוויטר   מאמרים ביוטיוב