דורון אופק, מומחה אבטחת מידע: "אם אי-ביי נפרצה, מה יקרה במשרד הפנים הישראלי?"
"המדינה חייבת להפסיק עם הזחיחות שלה בהקמת מאגרי מידע שידלפו לבסוף", אמר אופק, מרצה לסייבר באוניברסיטת בן גוריון ומומחה אבטחת מידע
"אי-ביי (eBay) אינה חנות, היא אתר שמוכר אבטחת מידע לקונים. אם היא נפרצה, מה יקרה במשרד הפנים הישראלי? מדינת ישראל חייבת להפסיק עם הזחיחות שלה בהקמת מאגרי מידע – שידלפו לבסוף", כך אמר דורון אופק, מרצה לסייבר באוניברסיטת בן גוריון ומומחה אבטחת מידע.
אופק התראיין לאנשים ומחשבים בעקבות הפריצה לאתר המסחר המקוון.
לדברי אופק, המייעץ לצה"ל, לגופים ביטחוניים וחברות גדולות במשק, "אני קורא לגופי אבטחת המידע בישראל לקרוא את מפת הסייבר בעולם ולהבין את משמעות הפריצה: אי-ביי מוכרת בעצם אבטחת מידע. היא אתר מסחר שמתווך בין קונים למוכרים, שמשקיע באבטחה והגנה את מלוא הונו. אי-ביי אינה חנות, היא זירת סחר שמבטיחה לך שהכסף שלך יגיע לסוחר בצורה בטוחה ושהמוצר יגיע אל הקונה. הם מספקים את תשתיות אבטחת המידע וההגנה על הלקוח, שמאפשרים לי לרכוש ללא דאגות ושלא הייתי יכול לקבל אותם בשום מקום אחר, וההצלחה שלהם תלויה באבטחת המידע הזו".
"אם גורם שהוא כל כך חזק בשוק הגנת המידע נפל", אמר אופק, "על אחת כמה וכמה ממשלת ישראל, אשר לא תוכל לעמוד בפני הכוחות האדירים שפועלים בתחום. לא כי אין לנו אנשים מוכשרים, אלא כי מרכז העשייה של משרד הפנים הוא רישום אוכלוסיה ולא אבטחת מידע. אם אי-ביי נפרצה, מה זה אומר על המדינה, או גופים אחרים, פחות מקצוענים בתחום".
ישראל, סיכם אופק, "חייבת להפסיק עם הזחיחות שלה בהקמה של מאגרים שעלולים להזיק לאזרחי ישראל, כגון המאגר הביומטרי".
גון קמני, ראש הרשות למאגר ביומטרי במשרד הפנים, מסר בתגובה כי "המאגר יוקם כרשת מיחשוב נפרדת, שאינה מקושרת לכל רשת אחרת, לרבות לא לאינטרנט. מערכות המיחשוב של המאגר עצמאיות לחלוטין. בהתאם לכך, ועל פי תפיסת ההפעלה שנקבעה, מועברים הנתונים אל המאגר בתצורה ידנית מאובטחת – פעולה הנעשית על ידי עובדי הרשות הביומטרית. דרך פעולה זו שונה מהותית מתפעול אתרי סחר מקוון, דוגמת אי-ביי, המקושרים באמצעות האינטרנט לכל פינה בעולם".
לדבריו, "מטרת התיעוד והמאגר הביומטרי היא הגברת ההגנה על הפרטיות של אזרחי ישראל ומניעת שימוש לרעה בזהותם, הן לפשיעה כלכלית והן למטרות טרור בינלאומי. הקמת המאגר נעשתה מכוח חקיקה של הכנסת, שהתבססה על עבודת מטה נרחבת, תוך מתן מענה לכלל הסיכונים הקיימים בתחום ותוך מודעות מלאה לרגישות הנתונים ולחשיבות אבטחתם וההגנה על הפרטיות".
"נפגעים מעטים"
לדברי אנדרי דולקין, מנהל חדשנות סייבר בסייבר ארק, "כדי להתמודד עם תקיפה מסוג זה, הארגון יכול לפרוס מערכת שמאפשרת גישה פריבילגית ללא חשיפת סיסמאות החשבונות הפריבילגיים למשתמש הקצה".
דולקין ציין כי "בהתקפה על אי-ביי נפגע מספר קטן של משתמשים שהיו בעלי הרשאות גישה לבסיס הנתונים שהכיל את פרטי הלקוחות. החשבונות של אותה קבוצה קטנה הם חשבונות פריבילגיית, שכן הם מאפשרים גישה לנכס רגיש בארגון. על מנת להגן על חשבונות רגישים אלה, לא די לנקוט בשיטות הרגילות, המשמשות להגנה על כלל החשבונות הארגוניים – אלא יש צורך להוסיף אמצעים שמגדירים את אופן השימוש בחשבונות אלה, מנטרים את השימוש בהם ומזהים חריגות שיכולות להצביע על חטיפת חשבונות אלה על ידי תוקפים וניצולם לרעה".
הוא אמר כי "השיטה בה השתמשו ההאקרים אופיינית לתקיפות מכוונות (Targeted attacks), בהם התוקף אוסף מודיעין על הארגון שאליו הוא מנסה לפרוץ, מזהה את המשתמשים הרלוונטיים לתקיפה, תוקף אותם באופן נקודתי, לדוגמה באמצעות מייל או הפניה לאתר זדוני באינטרנט, ומדביק את מחשביהם בנוזקה. נוזקה זו מסוגלת להקליט הקשות מקלדת ובכך מאפשרת למעשה השתלטות על חשבון המשתמש של העובד בארגון".
כדי להתמודד עם תקיפה מסוג זה, סיכם, "הארגון יכול לפרוס מערכת שמאפשרת גישה פריבילגית ללא חשיפת סיסמאות החשבונות הפריבילגיים למשתמש הקצה – ובכך להגן על נכסיו הרגישים".
חברים, מה זאת הנאיביות הזו ? 1. אף מדינה בעולם לא הקימה מאגר ביומטרי יחד עם תעודות ביומטריות, אלא רק תעודות ביומטריות. 2. גם אם המאגר מנותק ומהאינטרנט, ידוע כי 70% מגניבות מידע מבוצעות ע"י בני אדם, אם ב "שוגג" או במזיד. 3. מאגר ביומטרי, גם אם "מקודד", ניתן לפריצה ולהשגת הנתונים - ואם זה יקרה - !!! א י ן ח ז ר ה !!! אין "טעינו", אין "הייתה בעיה", אין "קרתה תקלה" - אין חזור !!! נגנבה הזהות הפרטית של כל אחד מאיתנו. אמר פעם אינשטיין : "שני דברים בעולם הם אין סופיים, הטיפשות והיקום. ואני לא בטוח לגבי היקום" !!!
המידע שמור בשרתים בתצורה מקודדת שלא תאפשר לעבריינים גם במידה והמידע קיים אצלהם להפיק טביעת אצבע
לכל הטוענים שהמומחה לא צודק להערכתי טועים. למר אלי ויסברט המאגר כן יכול להזיק לאזרחי ישראל ,ולדוגמה באם ארגוני פשע יגנבו דגימות DNA יבצעו רצח ובזירת הפשע ישאירו עקבות DNA שנלקחו מהמאגר הביומטרי ואז אזרח תמים מואשם ברצח וזו רק דוגמה "האם הבנת את זה ברוך"? לדין אף קרקר אינו יכול להוכיח לך מעל דפי העיתונות שהוא מסוגל לחדור לארגונים ביטחוניים כלשהם כי ברגע שהוא חושף זאת הוא נעצר.
אם המומחה כל כך צודק, אסור לשמור שום מידע סודי בשום מקום, הרי הכל אפשרי לפרוץ.... אם הוא כל כך צודק, למה שלא יראה דוגמה כיצד הוא לוקח מידע ממשרד בטחוני בארץ? המידע של משרד הפנים לא יהיה מחובר לרשת האינטרנט, משמע, אין גישה מבחוץ אליו... נמאס מכל ההפחדות של "המומחים״ האלה...
לצערנו, בעבר כבר חשפו את מרשם האוכלוסין וחשיפה זו בוצעה על ידי עובד מדינה ולא "האקר" חיצוני. האם באמת ניתן להגן על עצמינו כאשר האויב נמצא בתוכינו? חומר למחשבה... http://www.themarker.com/technation/1.1770710
לדורון אופק, המאגר הביומטרי לא יכול להזיק לאזרחי ישראל בשום צורה, ואף רצוי להנגיש אותו לציבור, וגמור פעם אחת ולמיד הונאות העוקץ למיניהן.. מאגרי המידע המסוכנים הם דווקא של החברות הפרטיות לרבות בנקים, כרטיסי אשראי ורשתות שיווק מקוונות שאם מידע ידלוף מהן אזרחים רבים עלולים למצוא עצמם חסרי כל והבעלים שהם הטייקונים ממש לא מתאמצים לשמור על המידע. במקום לעסוק בטרור על הציבור אתם החוקרים צריכים לעסוק בפיתוח מודלים של מערכות מידע שלא יאפשר בצוע טרנזקציות רובוטיות ותהליך כניסה למערכת יהיה של יותר משלב אחד גם למשתמשים פריוולגיים. רעיון טוב יכולה להיות כניסה מאובטחת באמצעות תעודת הזהות הביומטרית או כרטיס חכם שיונפק על ידי בעל המאגר.
"כדי להתמודד עם תקיפה מסוג זה, הארגון יכול לפרוס מערכת שמאפשרת גישה פריבילגית ללא חשיפת סיסמאות החשבונות הפריבילגיים למשתמש הקצה" - לא ברור מה הקשר בין הפתרון למקור הבעיה.