במשך הדי×לוג ×‘×™× ×™ ובין ×™×•×¨× ×ורן, יועץ משרד ×”×¤× ×™× ×‘× ×•×©× ×”×ª×¢×•×“×•×ª החכמות. ××ª× ×ž×•×–×ž× ×™× ×œ×”×•×¡×™×£ ש×לות ו××¤× ×” ×ותן ×ליו.
החלק ×”×§×•×“× ×¤×•×¨×¡× ×›×ן, קחו רק לתשומת הלב ×ת ×”×זהרה שפירסמתי.
בתשובה לש×לותי לגבי ×”×מון הפגוע של משרד ×”×¤× ×™× (דליפת ×ž×¨×©× ×”×וכלוסין, ×¤× ×§×¡ ×”×‘×•×—×¨×™× ×•×¢×•×“ מ×גרי×) והעובדה ש×ין ×œ×”× ×יש במ"מ קבוע:
לגבי ×ž×ž×•× ×” במ"מ במשה"פ – × ×›×•×Ÿ ש×ין ×ž×™× ×•×™ רשמי ×בל ×–×” ×œ× ×ומר ש×ין עבודה ×‘× ×•×©×, ו×פילו עבודה ××™× ×˜× ×¡×™×‘×™×ª. בכמה ×©× ×™× ×”××—×¨×•× ×•×ª ש×× ×™ מכיר ×ת המשרד ×”×•× ×¢×©×” קפיצת מדרגה ×¨×¦×™× ×™×ª, בסיוע צמוד של ר×"מ ×•×¢× ×× ×©×™× ×ž×ד ×ž×§×¦×•×¢×™×™× ×©×¢×•×¡×§×™× ×‘×–×”. ×× ×™ מת×ר לעצמי שיהיה מי שיקפוץ ויגיד ×©×ž×¨×©× ×”×וכלוסין בכל ×–×ת דלף ×ž×©× ×בל ×–×” שוב משהו ×œ× × ×›×•×Ÿ. ×ž×¨×©× ×”×וכלוסין מכיל הרבה ×¤×¨×˜×™× × ×•×¡×¤×™× ×©×œ× ×“×œ×¤×•, והדליפה הייתה מלקוחות של ×”×ž×¨×©× ×©×ž×§×‘×œ×™× ×ותו על פי חוק. ×× ×™ הר×שון שישמח ×× ×™×¦×ž×¦×ž×• ×ליו ×ת הגישה בחוק.
בר×יון ×מר לי ×‘×™×”× ×©×”×©×‘"×› והמוסד ×¢×¦×ž× ×œ× ×ž×©×ª×ž×©×™× ×‘×‘×™×•×ž×˜×¨×™×” ×›×™ ××™× × ×¡×•×ž×›×™× ×¢×œ×™×”, ×™×•×¨× ×ורן טוען ×©×”×•× ×™×•×“×¢ מידע ×ישי ×ת ההפך. הצעתי שזו הסיבה ×©×—×™×™×‘×™× ×œ×§×™×™× ×“×™×‘×™×™×˜ גלוי ×•×œ×¤×¨×¡× ×¢×•×‘×“×•×ª.
×‘× ×•×©× ×”×”×¡×›×ž×” על עובדות – זו הגדרה ×ž×¢× ×™×™× ×ª להשערות/×”× ×—×•×ª/המצ×ות/מחשבות. לגבי הצורך בדי×לוג/דיבייט – בהחלט מוסכ×, ×× ×™×”×™×” מי שיעשה ×ת ×–×” מצד משה"פ ב×ופן שוטף.
××– מתי יפורסמו ההליכי×, החומרות וש×ר מרכיבי המערכת? ×חרי ×©×™×•×–×ž× ×• ×•×™×•×ª×§× ×•?
למה ×ž×¡×ž×›×™× ××™× × ×ž×¤×•×¨×¡×ž×™×? יש המון סיבות ×בל ×ציין רק ×חת כחומר למחשבה. ×–×” ש×תה ×ž×ª×¢× ×™×™×Ÿ ורוצה לדעת מתוך מעורבות ×זרחית ×–×” מ×ד יפה ור×וי להערכה, ×בל יש הרבה (×‘×¢×¦× ×”×¨×‘×” יותר) שירצו לדעת מתוך ×ž× ×™×¢×™× ×ž×¡×—×¨×™×™×. כבר ×”×“×¤× ×• כמה × ×™×¡×™×•× ×•×ª ×›×לו. לתת למישהו יתרון ×–×” בעייתי מ×ד ×ž×‘×—×™× ×ª חוק המכרזי×. ×’× ×¤×¨×¡×•× ×œ×›×•×œ× ×–×” בעייתי וגורר הרבה תגובות ש××™× ×Ÿ ×¢× ×™×™× ×™×•×ª ×•× ×•×¢×“×• רק להפגין כמה המגיב ×—×›× ×•×›×ž×” ×”×ž×¤×¨×¡×ž×™× ×˜×™×¤×©×™×. ×ž×¢×˜×™× ×‘×מת ×ž×ª×™×™×—×¡×™× ×‘×¦×•×¨×” ×¢× ×™×™× ×™×ª, × ×˜×•×œ×ª ××™× ×˜×¨×¡ מסחרי. השמירה על פרופיל × ×ž×•×š ו×פילו על "ערפל" מכוון עד לשלבי ×”×ž×›×¨×–×™× ×”×ž×¢×©×™×™× ×ž× ×¢×” עד ×›×” הרבה × ×™×¡×™×•× ×•×ª של ×’×•×¨×ž×™× ×¢×¡×§×™×™× ×œ×”×©×¤×™×¢ על מהלך ×”×¢× ×™×™× ×™×. ×–×” כל הזמן הליכה בין הטיפות ×בל ×–×” מ×ד מוכיח ×ת עצמו. ×›×™×•× ×’×•×¨×ž×™× ×¢×¡×§×™×™× ×©×•× ×™× ×¨×§ ×ž× ×—×©×™× ×ž×” ×ª×”×™×™× ×” הדרישות ×©×œ× ×• בכל ×ž×™× ×™ ×“×‘×¨×™× ×•×פילו ×ž×©×—×¨×¨×™× ×‘×œ×•× ×™ × ×™×¡×•×™ בתקשורת כדי ×œ× ×¡×•×ª ולדלות מידע שיועיל לה×. לצערי ×”×¢×™×ª×•× ××™× ×©×œ ×”×™×•× ×ž×ª×ž×¡×¨×™× ×‘×¨×¦×•×Ÿ ×œ×“×‘×¨×™× ×›×לו ×בל ×–×” מה שיש. בשורה ×”×ª×—×ª×•× ×” – שמירת הפרופיל ×”× ×ž×•×š ×”×™× ×”×›×¨×— בל ×™×’×•× ×”.
ש×לתי ×’× ×œ×’×‘×™ key-loggers:
קי ×œ×•×’×¨×™× ×–×” בעיה ש××™× × ×” ייחודית לשימוש בכרטיס ×—×›× ××œ× ×œ×©×™×ž×•×© במחשב בכלל. במקרה של כרטיס ×—×›× ×™×© כמה גישות לכך. הגישה הקל×סית ×ומרת שיש להשתמש ×‘×§×•×¨× ×¢× PIN PAD המ×פשר להזין ×ת ×”-PIN ישירות לכרטיס בלי ×©×”×•× ×™×¢×‘×•×¨ ×ת המחשב. יש קור××™× ×›×לו ויש ×›×לה ×פילו ×¢× ×”×¡×ž×›×” לפי CC. החיסרון ×”×•× ×‘×ž×—×™×¨ היקר בהרבה ובכך שצריך לבדוק ×× ××™ ×פשר לטעון ×œ×”× ×§×•×©×—×” ×–×“×•× ×™×ª, כך שהבעיה פשוט עברה ×œ×ž×§×•× ×חר.
הגישה ×”×©× ×™×™×” ×”×™× ×œ×™×™×¦×¨ תהליך ××™× ×˜×¨×קטיבי שבו המשתמש בכרטיס מקבל משוב בצורת CAPTCHA. משוב ×–×” כולל ×¤×¨×˜×™× ×¢×œ מה ×©×”×•× ×—×ª× ×™×—×“ ×¢× ×‘×§×©×” להקיש משהו (ספרה/×ות בודדת למשהו פשוט וצירוף ×× ×–×• פעולה כבדה שהרבה כסף בצידה). בצורה כזו ×’× ×× ×”×ž×—×©×‘ × ×’×•×¢ ×ו שהותקן בו קי לוגר חומרתי ×©×œ× × ×™×ª×Ÿ לגילוי ××– מה שהתוקף יכול לעשות ×–×” רק לשלוח ×ת ×–×” ×œ×ž×–×œ×•× ×‘×›×¤×¨ ×‘× ×™×’×¨×™×” ×©×ž×ª×¤×¨× ×¡ מלפתור קפצ'ות למחייתו. ×–×” ברוב ×”×ž×§×¨×™× ×ž×—×™×¨ בלתי × ×¡×‘×œ ×ž×‘×—×™× ×ª התוקף, מה ×’× ×©×”×ž×–×œ×•× ×¦×¨×™×š לדעת עברית (security by obscurity במיטבו…). ×–×” ×œ× ×¤×™×ª×¨×•×Ÿ ×ž×œ× ×בל ×–×” משהו שכן מ×פשר לחיות ×¢× ×–×” כסיכון מחושב. ×× ×ž×™×©×”×• השיג ×ת ×”-PIN שלך ×”×•× ×¢×“×™×™×Ÿ צריך ×ת הכרטיס ש×צלך ב××¨× ×§ ×ו לחכות שתבצע ×יתו משהו על המחשב ×”× ×’×•×¢, כדי להלביש על ×–×” עוד משהו. יש ×’× ×ת ההיבט המשפטי, ו×× × ×¢×©×ª×” פעולה בלי ידיעתך ×–×” הופך ×œ× ×•×©× ×©×œ ×“×™× ×™ ר×יות. ×›×מור ×–×” ×œ× ×™×™×—×•×“×™ לכרטיס ××œ× ×¨×œ×‘× ×˜×™ לכל פעולה ממוחשבת ×•×’× ×œ× ×ž×ž×•×—×©×‘×ª ש××™× ×š שולט בכל התהליך.
וחזרה לש×לת הש×לות – פרופסור ×‘×™×”× ×˜×•×¢×Ÿ בצדק שתעודות ביומטריות הן ×ולי רע הכרחי, ×בל עדיפות עליהן תעודות חכמות פשוטות יותר ×¢× ×”×’× ×” על הפל×סטיק ×ž×¤× ×™ × ×¡×™×•×Ÿ להחלפת ×”×ª×ž×•× ×” המודפסת. הדפסת ×”×ª×ž×•× ×” ×©× ×ž×©×ž×¢×” שיש מ×גר ×ª×ž×•× ×•×ª מופחתות.
למה ביומטריה ×•×œ× ×¨×§ כרטיס ×—×›×? × ×“×ž×” לי ×©×“×©× ×• בזה ×œ× ×ž×¢×˜. ×× ×–×” קל יחסית לקבל תעודה לגמרי ×מיתית בהרכשה כפולה ××– כרטיס ש××™× × ×• בר זיוף ×œ× ×¢×•× ×” לצורך ו×פילו מחריף ×ת המצב. ×”×מירה ×©× ×™×ª×Ÿ לבטל כרטיס ×ž× ×™×—×” ×©× ×¢×©×” בו שימוש רק מול מערכות מחשוב. במצי×ות המון ×©×™×ž×•×©×™× ×©×œ התיעוד ×ž×ª×‘×¡×¡×™× ×¢×œ הצגתו בלבד וכ×ן רשימת תעודות מבוטלות ×œ× ×¢×•×–×¨×ª.
×× ×—× ×• מש××™×¨×™× ×¢×§×‘×•×ª ××œ×§×˜×¨×•× ×™×™× ×‘×›×œ מקו×, ××œ× ×× × ×—×–×•×¨ הרבה ×©× ×™× ×חורה ×•× ×•×•×ª×¨ על הרבה ×“×‘×¨×™× ×©×”× ×—×œ×§ מהיו×-×™×•× ×©×œ× ×•. × ×©×לת הש×לה מה עדיף – צבר הולך וגדל של מידע ×¢×œ×™× ×• ×œ×œ× ×¤×™×§×•×— ×•×œ×œ× ×¨×’×•×œ×¦×™×” בשיטת המערב הפרוע ×ו משהו מצומצ×, מוגדר ו"רזה" ×ž×‘×—×™× ×ª מה ×©×”×•× ×ž×¡×¤×§, ×¢× ×¨×’×•×œ×¦×™×” מחמירה ×•×¢× ×¤×™×§×•×—.
×× ×™ ×œ× ×ž×¡×›×™× ×יתו כמובן. ××“× ×©×ª×¢×•×“×ª×• מבוטלת "מרחוק" ×¢"×™ מתחזה יקבל הודעה הביתה בצורת גלויה שתודיע לו שביו×, ×ž×§×•× ×•×©×¢×” כך וכך התייצב ××“× ×•×‘×™×˜×œ ×ת התעודה הקודמת שלו, ו×× ×–×” ×œ× × ×›×•×Ÿ ××– שייתור מיד קשר ×¢× ×”×ž×©×¨×“.
לש×לת השימוש הל×-××œ×§×˜×¨×•× ×™ בתעודה שיקשה על גילוי תעודות מבוטלות ×× ×™ יכול רק להגיד – ××– מה התועלת שבביומטריה לעז×זל? ××£ ×חד ×œ× ×™×¢×¦×•×¨ ××“× ×¢× ×ª×¢×•×“×” מזויפת ממיל×. ×× ×™ עדיין בדיעה ש×ין הצדקה כלכלית ובטיחותית להוסיף ביומטריה לתעודות ×›×©×”×¡×›× ×” ×©×ž× ×’×“ כל כך גדולה.