גניבת זהות? זה לא מסובך כמו שחשבתם 

מאת: חיים טולדנו ורביד לזינסקי , THIS ביקורת ואבטחת מידע

עד כמה אכן קלה פעולת הפריצה לתיבת הדואר האלקטרוני שלכם???

אם הגדרתם תשובה אמיתית לשאלות שיחזור הסיסמא, המופיעות בעת הביצוע של תהליך ההרשמה והזיהוי בעת פתיחת תיבת דואר אלקטרוני - הפכתם את משימתו של הפורץ, לפשוטה למדי. ביצוע של תחקיר מינורי, תוך שימוש במנועי חיפוש וברשתות חברתיות, יספק לכל פורץ מתוחכם ואף פחות, את כל המידע אחריו  הוא תר.

דוגמה טובה לכך התרחשה לאחרונה, כאשר נפרץ  חשבון הדואר האלקטרוני של גב' שרה פיילין, מושלת מדינת אלסקה והמועמדת הרפובליקנית לתפקיד סגן נשיא ארה"ב. פעולות הפורץ בעת ביצוע העבירה, הסתכמו בהקשה על פונקציית "שכחתי סיסמא" כאשר, השאלה שהופיעה לצורך זיהוי המשתמש הייתה- מה שמו של הכלב שלך? התשובה לשאלת הזיהוי נמצאה על ידי הפורץ, באופן פשוט למדי, לאחר ביצוע של חיפוש קצר ברשת. בתום המענה על שאלות הזיהוי, קיבל הפורץ סיסמא חדשה ובאופן זה הצליח לפרוץ בקלות ובמהירות לחשבון הדואר האלקטרוני של הגב' פיילין.

שימו לב, אילו שאלות שואלים אותנו בעת ביצוע תהליך  ההזדהות:

מתי פגשת את בן הזוג? מהי קבוצת הספורט האהובה עליך? איפה היית בירח דבש? מה שמה של חיית המחמד שלך?

השאלות הנ"ל ושאלות נוספות, מגיעות  לרוב מתוך מאגר קבוע המצוי במערכת מובנית המכילה שאלות אישיות קלות, שלרובן תשובות קלות לניחוש על ידי מי שמכיר אותנו. לדוגמא, מרבית שכנינו מכירים את שמות בני המשפחה וחיות המחמד שלנו ומרבית חברינו יודעים בדיוק איזו קבוצה כדורגל  אנו אוהדים. את יתר המידע הנחוץ לצורך הפריצה, ניתן לאתר במרחב הווירטואלי באמצעות רשתות חברתיות כמו פייסבוק, טוויטר, מייספייס, פליקר ושאר הרשתות בהן אנו רשומים כחברים וחושפים מידע על עצמינו. לאמיתו של דבר, אלו הן אינן שאלות אבטחה, אלא פרצות אבטחה המאפשרות חדירה לפרטיותנו במידה וינוצלו. באופן אירוני, סיסמא הנבחרת באופן רנדומאלי בטוחה הרבה יותר משאלות האבטחה המשמשות לצורך שיחזורה. לכן, סיסמא שנבחרה באופן רנדומאלי, מגינה על המידע שלנו בצורה טובה ואפקטיבית  יותר.

ממצאי מחקר שנערך על ידי חוקרי חברת Microsoft וחוקרי אוניברסיטתCarrnegie Mellon [1]  הצביעו                            על  כך שהגנה באמצעות שאלות אבטחה אינה מספקת ואף מקלה על אלו המבקשים לבצע עבירות כמו גניבת זהות ופריצה לחשבונות משתמשים בבנקאות מקוונת, דואר אלקטרוני וכו'.

בנוסף, הצביעו ממצאי המחקר כי במידה וקיימת הכרות עם האדם, סיכויי הניחוש של התשובה הנכונה לשאלות האבטחה עומדים על 17%. יתרה מזאת, סיכויי ניחוש על בסיס תשובות נפוצות עומדים על 13%!, כיוון שבשאלות בהן קיימות תשובות נפוצות כמו צבע אהוב, שם חיה או שם מורה, קיים סיכוי גבוה לנחש תוך 5 ניסיונות ולהגדיל את הסיכוי למתקפות אוטומטיות ולפריצות חיצוניות. נתון נוסף שעלה במחקר הצביע על כך, שבמידה וחל בעבר ניסיון פריצה לחשבון הדואר האלקטרוני של המשתמש על ידי מכריו, המשתמש ינסה להגדיר תשובות מתוחכמות הרבה יותר לשאלות האבטחה. אך, אליה וקוץ בה, כיוון שקיים סיכוי של כ-20% שהמשתמש ישכח את התשובות שענה לשאלות האבטחה, כאשר התשובות אינן אסוציאטיביות עבורו.

כיום, באפשרותם של המשתמשים לנסח באופן עצמאי את שאלות האבטחה כאשר ניסוח אישי ואינדיבידואלי מצטייר ככלי אבטחה חזק שביכולתו להקטין באופן משמעותי את כמות הפריצות לחשבונות משתמשים. מדובר, על שיטה המאפשרת ליצור שאלות אבטחה חזקות שביכולתן לספק הגנה אפקטיבית רבה יותר. בפועל, מרבית המשתמשים אינם מנצלים את הכלי הנ"ל לטובתם, אלא לרעתם, כיוון שמרבית השאלות שנכתבות הינן שאלות קלות אפילו יותר מהשאלות המובנות, כאשר השאלה הנפוצה ביותר שנכתבת היא "כמה הם 2+2?".

 בשל  אירועי אבטחת המידע האחרונים (פריצות מרובות לחשבונות משתמשים ועלייה ניכרת בגניבת זהויות), שוקדות חברות שונות על מציאת פתרונות יצירתיים נוספים, שיספקו את כל צרכי האבטחה של המשתמשים. לצורך הבנת מהות השינויים הטכנולוגיים שחלים בתחום אבטחת המידע, וכיצד הם פועלים לטובתנו, יש צורך בהבנת העקרונות עליהם מבוססים מנגנוני ההזדהות הנפוצים ביותר כיום.

נהוג לחלק את ההזדהות לפי שלושה מאפייני אימות:

1.       מאפיין שאנו יודעים – לדוגמא: הסיסמא לחשבון שלנו.

2.       מאפיין הנמצא ברשותנו (רכיב פיזי) – לדוגמא כרטיס חכם, תעודה דיגיטאלית, מכשיר סלולארי, מנגנון יצור סיסמא חד פעמי וכו'.

3.       מאפיין שהוא אנחנו (מאפיין פיזי) -  לדוגמא מנגנוני זיהוי ביומטריים כמו זיהוי מבוסס טביעת אצבע או תווי פנים.

מרבית  הממשקים שמוכרים לנו מבקשים מאיתנו שם משתמש וסיסמא ועל ידי כך מזהים, שאנו הבעלים של החשבון- בנק, מייל וכו'. זוהי הזדהות בסיסית.

הזדהות חזקה, המאפשרת רמת ודאות גבוהה יותר בזיהוי המשתמש, אמורה לכלול שניים מתוך שלושת הקריטריונים לעיל. לדוגמא, בעת משיכת מזומנים בכספומט, אנו נדרשים לספק מאפיין שיש ברשותנו (קריטריון מס' 2), שהוא כרטיס האשראי, ומאפיין שאנו יודעים והוא הקוד הסודי (קריטריון מס' 1). הבעיה מתחילה באובדן של  אחד ממרכיבי ההזדהות שלנו. למשל, כשאנו שוכחים סיסמא.

על מנת לזהות אותנו לצרכי שיחזור קיימות כמה טכניקות: שאלות אבטחה הן טכניקה אחת, שנחשבת כחלשה למדי ולא אמינה מספיק. אך גם בשמוש בטכניקת שאלות האבטחה, ניתן לשדרג את רמת האמינות שלה על ידי שימוש במערכת חכמה שנותנת ניקוד לתשובות לפי שימוש בתשובות נפוצות, כתיבת שאלות מותאמות משתמש וכו'.

קיימות טכניקות נוספות, הנחשבות לחזקות יותר כיום, כמו שימוש בכתובת דואר אלקטרוני אלטרנטיבית שהוגדרה מראש, אליה ניתן לשלוח סיסמא ראשונית חד פעמית, ושליחת קוד זמני למכשיר הסלולארי של המשתמש על ידי מסרון או צלצול עם הודעה קולית מוקלטת המוסרת קוד חדש.

בישראל עדיין נפוצה שיטת שאלות האבטחה לצרכי זיהוי, ברוב המערכות הבנקאיות, הרפואיות והממשלתיות. משתמשים בהן לא רק לצרכי זיהוי, אלא גם לצרכי הפעלת כרטיסי אשראי, אישור פעולות, החלפת סיסמאות וכו'.

לעומת המערכות הישראליות, חברת Google לדוגמא, המספקת שירותים קריטיים ברמה פחותה משירותים בנקאיים, ממשלתיים או רפואיים, מחייבת את משתמשיה בשירותים שונים לספק מספר טלפון סלולרי לצרכי איפוס ושינוי סיסמא באמצעות מסרון, או הודעה קולית  וזאת בנוסף לכתובת דואר אלקטרוני חלופי. בכך מציעה Google דרך בטוחה להגן על המידע והפרטיות של משתמשיה. נקווה שגם המערכות בישראל יאמצו את השיטות החדשות והבטוחות יותר, ויעברו לשלב הבא בשמירה ובהגנה על פרטיותינו ונכסינו.

אנו מזמינים אתכם להכנס לקישור הבא, בו תוכלו לבדוק את השאלות:

http://www.this.co.il/informationsecurity/password-recovery-hack.aspx

*חיים טולדנו, מנהל תחום אבטחת המידע ונשיא החברה, רביד לזינסקי תחום אבטחת מידע, דיס ביקורת ואבטחת מידע

*חברת דיס ביקורת ואבטחת מידע, מתמחה במתן שירותים מקצועיים ע"י מומחים בתחומי ביקורת פנימית, ניהול סיכונים ואבטחת מידע. החברה אשר הוקמה בשנת 2006 משלבת ידע וניסיון עשיר  הן בפן התהליכי והן בפן הטכנולוגי, ומסייעת לארגונים לשפר ולייעל תהליכים, לחסוך בהוצאות ולמקסם את רמת האבטחה בארגון. על לקוחות החברה בארץ ובעולם נמנים גופים פיננסיים, רשויות מקומיות, חברות ממשלתיות, חברות טלקום ועוד.

[1] S. Schechter, A. Bernheim Brush, S. Egelman, “It’s no secret. Measuring the security and reliability of authentication via ‘secret’ questions,” at IEEE Symposium on Security and Privacy, 17-20 May 2009.