Archive for יולי, 2009

מאמרו של אלי ביהם נגד החוק הביומטרי

יולי 30, 2009

פרופ' אלי ביהם מהטכניון, מומחה אבטחה בעל שם עולמי, שחתום גם על מכתב המדענים, שטח את טענותיו כנגד המאגר הביומטרי ב-ynet.

אתמצת כמה מהטיעונים שהביא:

1. לא צריך ביומטריה כדי לייצר תעודות זהות שקשה ניתן לפרוץ. 

2. הביומטריה תפגע בפרטיות ובאבטחה. אבטחה ביומטרית תיצור מצגת שווא של ביטחון, בעוד הממשלה תוכל לחדור למערכות. גם מערכות ביטחוניות יחשפו לסכנה.

3. האזרחים לא יוכלו להחליף טביעות אצבעות אחרי שידלפו. "דור המדבר" הזה יהיה חשוף.

4.  המאגר – סכנה לביטחון המדינה. מדינות זרות יוכלו לזהות ישראלים. דווקא היהודים צריכים להיזהר (ביהם רומז בעקיפין לנאצים שחשפו את היהודים בעזרת תיעוד מוקפד.)

5. תהיה מוטיבציה רבה לדליפה. הרבה גורמים חזקים ירצו לשים ידם על המאגר, והסכנה לדליפה גדולה.

6. יתרונות המאגר: "לא אכחד: מאגר כזה יקל משמעותית על זיהוי אזרחים שאבדה להם תעודה, על יכולת זיהוי של אזרחים על ידי המשטרה ורשויות החוק, ועל תפיסת אזרחים בעלי שתי זהויות. יתרונות אלה חשובים לאותן רשויות ומקלים עליהן בעבודתן, אבל הם אינם משתווים לפגיעה בפרטיות האזרחים ולנזקים האחרים שעלולים להיגרם מקיום המאגר."

"אני מסיק שהיתרונות הנובעים מביומטריה קטנים בהרבה מהנזקים הפוטנציאליים, ומהסכנה לפרטיותו וביטחונו של האזרח, ואף לביטחון המדינה. כששמים את היתרונות והחסרונות של שימוש בנתונים ביומטריים על המאזניים, החסרונות שוקלים הרבה יותר. אי לכך אין להשתמש בנתונים ביומטריים בתעודות הזהות, קל וחומר אסור להקים מאגר ביומטרי."

מודעות פרסומת

קומיקס (לא ארץ לארנבים)

יולי 30, 2009

החוק הביומטרי: תשובות לשאלות

יולי 30, 2009

אינני מומחה אבטחה או משפטן או איש מז"פ, אבל אנסה לענות לשאלות המצוינות בבלוג של אהרן פוירשטיין על החוק הביומטרי. 

1. למה זה טוב ? כמה מן הפשעים המבוצעים בארץ יפתרו בזכות מאגר המידע ?

      ת: נתמקד בדיון זה במקרים שטביעות אצבע או תמונות לא נמצאות כבר במאגר הפושעים המשטרתי, מה שמייתר את הצורך במאגר החדש. כלומר, הפיענוח יהיה רלוונטי במקרה של עבריינים מתחילים. באמצעות תווי הפנים, יקח כמה שנים עד שתהיה טכנולוגיה שמאפשרת לקחת וידאו או תמונה אקראית בתנאים לא מבוקרים ותתן זיהוי אוטומטי של שם החשוד. לכן האמצעי הרלוונטי יותר כאן הוא טביעות האצבעות. כדי שאפשר יהיה להשתמש במאגר, צריך לאסוף את טביעות האצבעות מהזירה. זה לוקח זמן ומאמץ, שאותו כדאי להשקיע בעיקר בפשעים חמורים. נדרש שהעברין יפעל ללא כפפות, ושהשוטרים ימצאו את הטביעות ושהטביעות יהיו שלמות. כמו כן במאגר החדש יהיו רק שתי טביעות אצבעות ולא כל היד, כנראה. יש כאן הרבה דרישות שקשה להאמין שמתקיימות רוב הזמן. ידוע לי שבשנה שעברה פוענח רצח במקרה, כשהעבריין נעצר על עברה אחרת ומסר טביעות אצבעות. כך שיפוענחו פשעים, אבל כנראה לא הרבה.    

    ב. אילו פשעים ימנעו בשל כך?

      ת: המאגר יסייע בעיקר לתפוס פושעים בתחילת דרכם, כי הפושעים הוותיקים נמצאים כבר במאגר הפללי שקיים היום, ומכיל די.אנ.איי ואמצעי זיהוי מפורטים יותר. אולי זה יאפשר להחזיר עבריינים למוטב מוקדם יותר, וכך ימנעו פשעים. המאגר לא ימנע פשעים שיבוצעו ע"י אנשים שאינם במאגר. תיירים, שב"חים, תושבים ללא ת"ז, ילדים, וכל האזרחים שעוד לא הוציאו ת"ז ביומטרית לא יהיו במאגר הזה (זה עשוי להגיע למיליוני אנשים). המאגר פחות רלוונטי למניעת טרור, כי הוא מכיל מידע על ישראלים. המטה ללוחמה בטרור אמר שלא חייבים את המאגר, אבל הוא בעד. אבל המאגר יוכל למנוע טרור מצד ערביי ישראל ומצד מתנחלים (שהשב"כ עוד לא עצר ולקח מהם טביעות אצבעות).      

2. איך יקחו מכל האזרחים את המידע הביומטרי ? ואם לא כולם ייתנו- האם לא ידפקו רק הפראיירים הקבועים, משלמי המיסים, הולכי למילואים, תמימים ישרים וצדיקים, בעוד הנבלים ישבו בצד ויגחכו להם  ?

   ת: את המידע הביומטרי יקחו אנשים שעברו הכשרה לכך. זה יכול להיעשות אפילו ב"קיוסקים" ברשות הדואר. יש חשש להתחזות במעמד הזה. אזרח שרוצה להתחמק מהחוק יוכל אולי לעשות זאת. אין חובה להוציא תעודה ביומטרית אם יש לך תעודת זהות אחרת. העונש שלו יהיה שלא תהיה לו תעודת זהות/דרכון חדש. אם אדם איבד את תעודת הזהות הלא ביומטרית שלו הוא יכול להיכנס לבעיה. שוטר יכול תיאורטית לעצור אדם שהציג רישיון נהיגה במקום ת"ז אבל הסיכוי נראה לי קלוש בשנים הקרובות. מסקנה: מי שביצע פשע ולא נתפס, יוכל להמשיך להסתובב חופשי עוד כמה שנים מבלי להתאמץ. אם הוא ירצה, הוא יוכל לזייף את טביעת האצבע שלו כשיגיע למשרד הפנים.

3. מי עשוי להרוויח מן המאגר– מהי מפת האינטרסים הגורמת לגורמים אלו ואחרים להיות בעד או נגד המאגר ?

   ת: חברות אבטחת המידע שכבר זכו במכרז של משרד הפנים: HP ו OTI , מרוויחות מהמאגר, ועוד יותר מרוויחות משני מאגרים מפוצלים. המכרז עם HP עלה 270 מיליון ש"ח. קראתי הערכה על 20 מיליון ש"ח בשנה על תחזוקה. בכירי הממשלה ורשויות הביטחון יקבלו כוח רב שבו יוכלו להשתמש נגד פושעים וחפים מפשע כאחד. מי שיפסיד מהמאגר הם ערביי ישראל, שלא יהיו להם קשרים ברשות שמתפעלת את המאגר, כי נדרש סיווג ביטחוני. משרד הפנים/המשפטים ירוויח מהמאגר כי הוא יקבל תקציבים. כשהמאגר יזלוג, משרד הפנים/משפטים יהיה במרכז הביקורת, כך שהוא יפסיד מהמאגר, אבל רק בעוד כמה שנים. זאת סיבה טובה בשביל משרד הפנים לפצל את המאגר ולהפיל את הסיכון הרב של דליפה על משרד המשפטים.

4. אילו פשעים עשויים לקרות בגלל קיומו של המאגר ?

    ת: הפללה, התחזות ומעקב. כתבתי על זה בפוסטים קודמים. לפני הדליפה הפשעים יבוצעו על ידי: פקידי ממשלה סוררים ובכירי ממשלה נגד מתנגדיהם, ואחרי דליפת המאגר, על ידי כל עבריין. 

5. לידיו של מי עשוי המאגר להגיע ומה משמעות הדבר  ?

   ת: לפי החוק ישתמשו במאגר: משרד הפנים, המשפטים, המשטרה,  כל גורמי הביטחון, רשות ההגירה. יש אפשרות עתידית גם ל"ביטוח הלאומי" ואפילו בנקים ותאגידים, לפי החלטת הממשלה והכנסת (לא דורש חקיקה ראשונית). משמעות הדבר שיש בידי הממשלה כלים למעקב המוני אחרי חפים מפשע. אחרי הדליפה של המאגר, כל אזרחי העולם יוכלו לקבל את המידע. המשמעות: אין אנונימיות לישראלים. מדינות זרות ישתמשו במאגר כדי למצוא ישראלים. ארגוני טרור ימצאו ישראלים. עם השתכללות האמצעים הטכנולוגיים נגיע בעתיד הרחוק למצב שכל אחד בעולם יוכל לדעת בכל רגע איפה כל ישראלי נמצא. 

6. באילו דרכים יעקפו פושעים אמיתיים את המאגר (אלימלך סירקין וחבריו) ?

   ת: זיוף טביעת אצבע נחשב לפשוט. זה הודגם בפני ועדת הכנסת לחוק הביומטרי. האקרים גרמניים השיגו את טביעת האצבע של שר הפנים שלהם.

7. מדוע לא מתקיים דיון ציבורי אמיתי בסוגיה ? מדוע אין כנסים אקדמיים בנושא (כשלונה של האקדמיה)? מדוע אין דיון נוקב בתקשורת בעד ונגד המאגר (כשלונה של התקשורת)? מדוע באים העיתונים וכלי התקשורת לבכות אצלינו על אובדנם כאשר אני יכול למצוא בכל רגע נתון בלי סוף נתונים על הביקיני החדש של בר מיכאלי וכמעט שום דיון אמיתי בנושאים הקריטיים לחיינו ? – כך גם בנושא הקרקעות, כך גם בנושא המדיני, כך גם בנושאים הביטחוניים, כך כמעט בכל נושא. מדוע צריך שוקי גלילי לערוך רשימת בלוגרים ? כל פעם שמכינים רשימת בלוגרים אני יודע שאנחנו הולכים להפסיד. כי הבלוגרים נאלצים להזדעק כאשר אין דיון רציני בתקשורת. ובכל מקרה כזה בטוח שהרעים ינצחו. (זאת לדעתי השאלה החשובה מכולן).  

   ת: כנסים אקדמיים נערכו בהושאי אבטחת מידע ומשפטים (אוניברסיטת תל אביב, ד"ר מיכאל בירנהק). "מכתב המדענים" מראה שהאקדמיה מתעוררת, גם אם לאיטה. לדעתי הבעיה המרכזית היא בהסברת סוגיה מורכבת להמונים. כאן האשמה היא על עורכי החדשות שלא מבינים את הבהילות, על הכתבים שלא מוציאים את מיץ הזבל שעלה בכנסת (חוץ מכתבי הטכנולוגיה של ynet), ועלינו הבלוגרים, שלא מתנסחים בצורה מספיק חריפה ויושבים בבית.

לכל אחד יש מה להסתיר, אולי רק הסף משתנה

יולי 29, 2009

לאחרונה אני שומע וקורא קריאות בסגנון "אין לי מה להסתיר, ורק פושעים מתנגדים למאגר".

שאלה לי לאלה שאין להם מה להסתיר: האם הייתם מוכנים גם לחוקים הבאים?

– הממשלה תתמלל את כל שיחות הטלפון, ולשמור אותם במאגר. ישתמשו בתמלילים: שב"כ, משטרה, צה"ל, מס הכנסה, בית משפט, ביטוח לאומי, בנקים. 

– תוקם יחידת מלשינים שתדווח לשר לביטחון פנים על פשעים. בעיקר פשעים חמורים כגון חוסר נאמנות למדינה.

– בכניסה למקומות רגישים כגון ביניני ממשל, מקומות קדושים וקניונים צריך להוריד את הבגדים אם המאבטח דורש זאת.

– כל אזרח מקבל מהמדינה מצלמה ומיקרופון ושם אותה בביתו/במשרד. רק לשב"כ תהיה גישה למידע מאובטח זה.

– חוק המאפשר/מכריח חברות מסחריות לזהות אדם באמצעות טביעת אצבע. למשל, כדי להפקיד צ'ק תצטרכו לתת טביעת אצבע.

בקיצור, צריך להיות איזון בין צרכים ביטחוניים לפרטיות. אם "מכתב המדענים" אומר שלא צריך מאגר כדי למנוע זיוף, אז למה פקידי משרד הפנים/שטרית/אלי ישי מתעקשים? תשובה: כי הם יכולים.

סקירה של פרטיות במדינות העולם

יולי 29, 2009

הנה סקירה עולמית על מעקב ופרטיות במדינות רבות.

אפופניה

יולי 29, 2009

אחת הבעיות שיגרום המאגר ביומטרי, ואיתה תצטרך להתמודד מערכת אכיפת החוק, היא שטף המידע האדיר שהמאגר יספק לחוקרים. נניח למשל שבוחנים את כל טביעות האצבעות מזירת פשע. יש הרבה מאוד טביעות כאלה. אילו חשודים תבחר המשטרה לזמן לחקירה? אולי רק את החשודים שפרטיהם מעלים חשד לקשר נוסף לפשע. הנקודה החשובה היא שככל שיש לך יותר חשודים לפי טביעות אצבעותיהם, כך גדל הסיכוי שתמצא מביניהם חשוד שיש לו קשר נוסף לפשע. למשל, נניח שמצאנו 100 חשודים לפי טביעת אצבע בזירת הפשע, ואחד מה-100 הוא גם עמית לעבודה של הקורבן. ברור שנזמן אותו לחקירה. הבעיה היא שצרופי מקרים יקרו בתדירות גבוהה יותר הודות לכמות המידע שהמאגר יוסיף.

אפופניה (apophenia) היא מציאת תבניות במידע חסר משמעות. מי שראה את הסרט "נפלאות התבונה", אולי זוכר את הסצנה שבה הגיבור מביט באותיות ומספרים, והוא חושב שהוא רואה ביניהם מסרים מוצפנים. אפופניה גם קשורה למונח הסטטיסטי false positive.

מאגרי מידע ממשלתיים יעלו את כמות צירופי המקרים שמקשרים חפים מפשע לפשע שלא ביצעו. אפשר יהיה לקרוא לזה אכיפת חוק אפופנית. התיק יתפר על גופם של חפים מפשע ויתאים כמו חליפה איטלקית. לשופטים יהיה קשה להבדיל בין צירוף נסיבות מקרי לתיק מבוסס היטב. סניגורים יצטרכו להיות גם סטטיסטיקאים.

המאגר הביומטרי: יתרונות וחסרונות

יולי 29, 2009

יתרונות:

1. הקטנת הסיכוי להרכשה כפולה. לא מדובר על מניעת זיוף רגיל של תעודה (זה מושג באמצעות תעודה דיגיטלית), אלא על מניעת האפשרות ששני אנשים יקבלו שתי תעודות עם אותה זהות. זה ישמש למניעת הונאות של הביטוח הלאומי ולמניעת הסתננות לישראל.

2. מלחמה בפשע.  זיהוי פושעים ופיענוח פשעים. יחד עם זאת, רפ"ק דוד אטיאס, ראש המעבדה לזיהוי טביעות אצבע, טען בפני ועדת הכנסת שהסיכוי לפענח פשעים באמצעות המאגר נוטה לאפס.

3. זיהוי ממוחשב של אזרחים שלא מוכנים להזדהות בפני שוטר. זה אפשרי בתנאי שהאזרח הזדהה בעבר מול המאגר. צריך להביא את החשוד לתחנת משטרה, לצלם אותו ולשלוח מאגר. המאגר יחזיר רשימת זהויות אפשריות.

4. זיהוי גופות ואזרחים סניליים שנכנסו למאגר ונמצאו ללא תעודה עליהם.

5. בעתיד כולם יאספו טביעות אצבעות: בכניסה לארצות הברית, בכניסה לבנק, ובכניסה לסופרמרקט. אז למה שהממשלה לא תאסוף גם?

6. המאגר יהיה מוגן ע"י רשות שעם רמת אבטחה כמו בשב"כ.

חסרונות:

1. אובדן פרטיות של האזרח, והתאגידים. מסירת מפתחות למערכות אבטחה ביומטריות לידי הממשלה. הממשלה תתאמץ שהמאגר יהיה מאובטח מאוד, ורק למורשים תהיה גישה.

2. מעקב המוני בידי הממשלה. האח הגדול. גם באמצעות זיהוי פנים בוידאו.

3. מערכות ממשלתיות עם הגנה ביומטרית יחשפו להתקפה. למשרד המשפטים/הפנים יהיו המפתחות הביומטריים גם למערכות "המוסד", למשל.

4. דליפת המאגר. לא ניתן להחליף את טביעות האצבע. נזק לדור שלם. מספיק עובד סורר אחד שמדליף פעם אחת.

5. דליפת המאגר תאפשר לארגוני פשע, חברות מסחריות ואזרחים פרטיים להקים בקלות רבה יותר מערכות מעקב שיש כיום רק לממשלה.

6. דליפת המאגר תאפשר למדינות זרות לחשוף עתונאים, מרגלים ישראלים. אפשר יהיה לצוד יהודים ישראלים אפילו אם ישתמשו בדרכון זר. כמו כן יחשפו הסוכנים הממשלתיים בתוך ישראל: סוכנים סמויים של השב"כ והמשטרה. כמו כן יחשפו אנשים שקיבלו זהות במסגרת התוכנית להגנת עדים. פיתרון חלקי יהיה לשנות את המאגר כך שיגן עליהם, אבל זה לא יעזור לסוכנים שלא שינו את פרטיהם לפני שהמאגר דלף.

7. ניתן להשתמש בהצפנה לא ביומטרית כדי למנוע זיוף. המאגר מיותר.

8. המאגר ניתן לפריצה וחבלה. אזרח יכול להתחזות לאזרח אחר שעוד לא הזדהה בפני המאגר. ניתן לזייף את הנתונים במאגר המאכזי. אילולא היה מאגר, היה צריך לעבור תעודה תעודה ולזייף.

9. קיום המאגר על-פי חוק יוצר תחושת שווא בקרב הציבור ובתי המשפט, ששיטת האבטחה הביומטרית היא בטוחה, למרות שהיא קלה לזיוף. הנה למשל, קבוצת האקרים השיגה את טביעת האצבע של שר הפנים הגרמני. אחר כך הקבוצה הסבירה שאסור להשתמש במידע ביומטרי שאנחנו מפזרים בכל מקום כדי לאמת הזדהות. זה פשוט קל מדי לזיוף. הבעיה תהיה "תחושת הביטחון המוטעית" שנוצרת בציבור, כשהוא מזדהה עם אמצעים ביומטריים. גם שופטים בבתי משפט יטעו ויחשבו שהזדהות ביומטרית היא מאובטחת מאוד. "תחושת ביטחון מוטעית" בקרב הציבור תגרום להפללה, התחזות, גניבת זהות.  הרבה חשבונות בנק יתרוקנו, והרבה חפים מפשע שהתחזו להם יכנסו לכלא.

10. אזרחים חפים מפשע יופללו בידי הממשלה, ולאחר דליפת המאגר, בידי עבריינים.

12.  בעוד כמה שנים חברות מסחריות יבקשו מכל אחד טביעת אצבע ותמונה, ואז המידע הזה לא יוכל עוד לשמש לצורך הזדהות, כי הוא יהיה זמין מדי. כל אחד ידע לקשר בין תעודת הזהות שלכם לטביעת האצבע והתמונה שלכם כי אתם תתנו אותם כל הזמן. מי שלא יתן, לא יוכל לקנות בסופר מרקט, באינטרנט, או בכל מקום אחר. חברות מסחריות לא יתנו שירות ללא קבלת טביעת אצבע. בנקים ידרשו טביעת אצבע ממי שרוצה להפקיד צ'ק.

13. המאגר יקר. מקימים רשות חדשה שעלותה מוערכת בכ-20 מיליון ש"ח לשנה, בנוסף לעלות הקמה של 270 מיליון ש"ח. אפשר להשקיע את הכסף בדרכים יותר יעילות להשיג את היעדים.

14. מדרון חלקלק (mission creep). המדינה עלולה לשנות את יעוד המאגר אחרי שכבר ילקחו הטביעות מהאזרחים. למשל המדינה תוכל להחליט לתת את המאגר לתאגידים. חלק מהשינויים ידרשו חקיקה ראשית של שלוש קיראות בכנסת, חלק ידרשו רק אישור ועדה בכנסת, חלק ידרשו רק את אישור שר הפנים. עוד דוגמא: דרישת טביעת אצבע כדי לשלוח טוקבק.

15. דווקא הפושעים יזייפו את דרכם אל מחוץ למאגר, והאזרחים הישרים יכנסו אל המאגר ראשונים. דווקא השמות של חפים מפשע יעלו בחקירות. מאגר הפושעים הקיים היום במשטרת ישראל מכיל 800,000 ישראלים עם טביעות אצבע, די.אנ.אי., תמונות פרופיל וכו'. רפ"ק דוד אטיאס, ראש המעבדה לזיהוי טביעות אצבע, טען בפני ועדת הכנסת שהסיכוי לפענח פשעים באמצעות המאגר לכל האוכלוסיה נוטה לאפס, בין השארכי הוא מכיל רק שתי טביעות אצבע.

16. יתפרו תיקים. נניח שמצאו 1000 טביעות אצבע בזירת הפשע. לאחד מ-1000 החשודים יש קשר נוסף עם הקורבן. השופט עלול להשתכנע שזהו צירוף מקרים לא סביר ויאשים אדם חף מפשע. אבל השופט לא ידעשהמשטרה העלתה 1000 חשודים עד שמצאה את האחד שיש לו איזשהו קשר לקורבן. ראה פוסט: אפופניה.

17. אין דבר כזה מאגר נתונים בלתי פריץ. דו"ח מבקר המדינה 2009 מתריע כי משרד הפנים מתרשל באבטחת המידע, ומרשם האוכלוסין מסתובב באינטרנט. למאגר טביעות האצבע והפנים יש חשיבות רבה, וזה מעלה את המוטיבציה לפרוץ אליו.

18. חוק חופש המידע לא יחול על הרשות הביומטרית. כשהמאגר ידלוף, לא נדע מזה. במקרה הטוב ועדת הכנסת תקבל דיווח.

19. רוב הכללים לגבי דרישות האבטחה מהמאגר והשימושים האפשריים לא הוגדרו בחוק, אלא נקבע כי השר/ראש הרשות יחליט לגביהם. כך יש פתח לאבטחה זולה ולקויה, ולשימושים שלא הוגדרו.

20. אין יתרונות ביטחוניים למאגר מעבר למניעת הרכשה כפולה. חמי פקר, ראש תחום טכנולוגיות, המועצה לביטחון לאומי, אמר בפאנל ב-IDC שהסיבה למאגר הביומטרי מבחינת משרד הביטחון הוא מניעת הרכשה כפולה. אין עוד סיבות ביטחוניות. השר איתן אמר על זה בפאנל שאי אפשר לחוקק חוקים שמבוססים על סודות.

הנה מכתב רשמי ליו"ר הועדה לחוק הביומטרי שמרכז את ההתנגדויות

יולי 28, 2009

http://www.acri.org.il/story.aspx?id=2187

בלוג זה הוא חלק מקבוצת בלוגים נגד החוק הביומטרי

יולי 28, 2009

http://meirShitrit.co.il

http://www.notes.co.il/berman/index.asp

http://ira.abramov.org/blog/2009/07/28/my-tales-from-the-israeli-parliament/

מומחה אבטחת המידע מספר אחת בארץ מתנגד לחוק הביומטרי

יולי 27, 2009

דיקן הפקולטה למדעי המחשב בטכניון פרופ' אלי ביהם בהפגנה נגד החוק הביומטרי. דלגו 3 דקות ו-10 שניות.