בעיות אפשריות בתעודת זהות חכמה

18.6.06 עומר טרן "יומן אבטחה"
… אני גם קורא להקמת פורום מומחים בלתי תלוי שיבחן את השלכות פרויקט שכזה על פרטיות האזרחים, בטחונם ותועלות חברתיות וכלכליות שיש בפרויקט (אם בכלל), לעומת המחיר הצפוי (חברתי וכלכלי). בדומה לפרויקט שנעשה בבריטניה.
נושא תעודת הזהות החכמה נשמע מאוד מלהיב… למעשה, הכל יכול להיות הרבה יותר גרוע מכפי שהוא היום… אם לוקחים בחשבון שמטרת תעודת הזהות הדיגיטלית לאפשר ביצוע פעולות במרחב הוירטואלי, המשמעות תהיה שדווקא החשש מגניבת הזהויות שמהווה את התמריץ המרכזי (לכאורה) לפרויקטים מסוג זה עלול להתממש ולהותיר אותנו במצב חמור הרבה יותר מכפי שהוא כיום…

אלא שזה לא סוף הסיפור. היה ויום אחד חברות מסחריות יעשו שימוש בתעודת הזהות הדיגיטלית כאמצעי זיהוי, אנו נגלה שלא רק שקל לגנוב זהויות אלא שקשה להתכחש להן. … כתוצאה לגופים מסחריים יהיה תמריץ הרבה יותר קטן לאבטחת מערכות.

בשלב הזה אני מניח שצריך להסביר מדוע כרטיס חכם כתעודת זהות חכמה זה לא דבר כה מאובטח. הכרטיס עצמו יכול להיות מאוד מאובטח (אף כי ניתן לפרוץ גם את אלה). אלא שכרטיס חכם עושה שימוש בישות מארחת שרמת האבטחה בה אינה ידועה (מחשב המשתמש). ניתן בקלות יחסית להאזין להקלדות הקוד הסודי של הכרטיס על ידי המשתמש ובאמצעות סוס טרויאני למפות את כרטיס המשתמש למחשב מרוחק. ניתן במתקפה לא מורכבת מדי ולבטח אטרקטיבית להשתלט מרחוק על כרטיס חכם של משתמש.

עכשיו בואו נחבר את הנתון הזה עם כמות המשתמשים בשירותי בנקאות מקוונת בישראל (כמה מאות אלפים), עם כמות המחשבים הנשלטים מרחוק על ידי עבריינים… ונקבל מתכון לפשיעה מקוונת שיטתית.

אין תגובות:

No REAL ID