קטגוריה: ביומטריה

טביעות אצבע, רשתיות, תמונות, מאגרים, שטרית וכל מה שבינהם

פורסם ב

הלך על מז"פ

שני פוסטים אחורה הפנ(ת)ה אותי הקורא(ת) הנאמנ(ה) זמ"מ למאמר מדעי של ד"ר דן פרומקין על אימות פורנסי של דגימות DNA. במאמר בNYT הוא מספר למעשה כמה קל לכל סטודנט לתואר ראשון בביולוגיה לפברק דגימת רוק או דם שלי עם הרוק והדם שלו, אם יש לו את ה-DNA שלי ממאגר כלשהוא (למשל זה שמשטרת ישראל אוספת כבר כמה שנים). מדען מNIST מגיב בכתבה שזה מאוד מרשים אבל הוא "לא חושב שהפושע הממוצע יטרח ללמוד וליישם את השיטות האלו". הזמן יגיד. אם הפשע ישתלם, אנשים ישקיעו בציוד.

המאמר מציע גם שיטה לזיהוי אם חתימת הDNA זויפה או שמדובר בDNA אורגני, אבל מעבר לכך לא מגלה בעצם דבר חדש. זה לא מבטל את הDNA כראיה אבל זה מאוד מחליש אותה, ויאלץ את מז"פ לעבוד יותר קשה. הבעיה העיקרית היא, שהשיטה של "הגברת DNA" שמשמשת כאן מזייף פוטנציאלי היא לרוב אותה השיטה בדיוק שמשמשת את מז"פ כדי להגביר דגימה לצורך בדיקתה.

הפרטים בוודאי ידועים לשלטונות החוק, אבל זה אומר שאיפשהוא מישהוא עובד על שיטות לעבוד גם על הבדיקה הזו. בקצב התקדמות שוק הביוטכנולוגיה, אני בטוח שהלוחמה הזו תהפוך ליותר יצירתית מהר מאוד, והמרוויחים יהיו כמובן יורשיו של מייקל קרייטון, אולפני הוליווד, ופושעים עשירים שונים. בלייד ראנר, מישהו?

סלאשדוט התייחסו לעניין, כמובן והתגובות לא אחרו להגיע…

מגיב א': דפיקה רצינית. (דורג "5, אבחנה חשובה")
מגיב ב': רק תזהר לא להשאיר עדות DNA מפלילה…

עדכון: חפירה גוגלאית מהירה מראה שזה סיפור מהתחלת השנה, הנה ב"הארץ".

עדכון שני: יכולתי להשבע שהכתבה היתה עם תאריך 01/01/2009 קודם, עכשיו אני רואה שהיא מלפני פחות מיום. באג? כנראה, כי הצצה נוספת בכותרת שלה מיד מזה אותה כתרגום של זו מהטיימז. מוזר מאוד.

פורסם ב

מידע ששוחרר ולא יוחזר – רשימה קטנה לסיבור האוזן

זוכרים איך נעצר המאגר בגרמניה? האקרים פרסמו את טביעת האצבע של השר הממונה באינטרנט אחרי שהיא נלקחה מאיזו כוס או בקבוק. אולי בקבוק בירה גרמנית טובה ואולי סתם בקבוק מים מינרליים, אי אפשר לדעת…
בפחות מאלף מילים, אייבי נתן אומר: שתו רק מים!

פורסם ב

חייך, אכלת אותה

לפי מעריב מצלמות האבטחה לא מנעו את רצח קרפ ולא ברור אם יעזרו לפענח אותו. הסטטיסטיקות בלונדון (מהערים המצולמות בעולם) מראות שיפור מסוים במצב סוגי פשיעה מסוימים ולא באחרים, ועדיין מעדיפים להוציא הוצאות חד פעמיות (כמעט) על ציוד מאשר להוסיף משכורות והכשרה לאנשים.

אהודק עושה את התפירה בין נושא הבטחון האישי המתרופף וחקיקות המעקב של הממשל המטורפף. גם ברוס שנייר מזהיר כי גם תעודות אובר-חכמות עדיין לא ימנעו את גניבת זהותכם כי אנשים נוחים להטיה והטעיה. בפוסט על סכנות השימוש החוזר במידע אישי, אבנר פינצ'וק שלף את הציטוט המצוין הבא שלו לגבי חקיקה, ממשל וטכנולוגיה:

"History will record what we, here in the early decades of the information age, did to foster freedom, liberty and democracy. Did we build information technologies that protected people's freedoms even during times when society tried to subvert them? Or did we build technologies that could easily be modified to watch and control? It's bad civic hygiene to build an infrastructure that can be used to facilitate a police state."

Bruce Scneier: Risks of Data Reuse

טכנוקרטיה, אולי עתיד פאשיסטי, אפשר לפתח את הנושא עד למשטרת הגירוש של הזוהמה מהתחנה המרכזית, אבל אני אכנס לדיכאון, עזבו.

פורסם ב

"הקלינגר הזה שונא מזרחיים"

עוד לא הצטרפתם לשגעון הקומיקס החדש? 🙂

התחיל בהיתוך, המשיך דרך ליכטש, ערן ורד ואחרים. הציטוט שהבאתי הוא מהבלוג של שוקי.

ויכוח בדף שיחת ערך על חשיבות הופעת הצ"ח הכללת אמצעים ביומטריים בויקיפדיה. אני עצוב מזה שיש בכלל אדיוטים ויקפדנים שמתנגדים בגלל סמנטיקה של "זה עוד לא חוק", כאילו שהחשיבות הציבורית והחברתית של האירוע המתמשך הזה איננה ראויה לציון, ויכול להיות שהעברתו ויישומו ישנו את פני החברה הישראלית. האם האתר השביעי-הכי-פופולארי באינטרנט העברי יכול באמת להרשות לעצמו להתעלם מזה? לשמחתי דוד שי מסכים איתי ומנמק שהערך מאוד ראוי (אתם רואים? אני יודע לפרגן. האיש יודע להפעיל שיקול דעת הגיוני. כשבא לו).

למי שיש הרשאות כתיבה בויקיפדיה, עשו טובה והוסיפו אולי לינקים לדו"חות הבריטיים בנושא, למאבק נגדו במקומות אחרים בעולם, למאמר של קרין ברזילי נהון כסימוכין לציון העובדה שם שאין מדינות דמוקרטיות בעולם עם מאגרים כאלו, וכולי.

אגב, איתרתי כמה מהתמונות שלי מפליקר שהועלו לויקישיתוף והעליתי לשם תמונות משופרות. התמונות מככבות להן עכשיו בויקיפדיה בתור התמונות הרשמיות של הערכים על ביהם, Biham, ברזילי-נהון, ישי, Yishai ושטרית (הציצו בדף השיחה, פרטים מעניינים על הרקע האקדמי שלו).

אני מקווה שלא ירגישו שם שתמונות שאני מעלה בקומונס למעשה משנות את פני הויקיפדיה העברית שעדיין חוסמת אותי. האם אני פוגע בשלטון ה"חוק" בפעולות חתרניות אלו…?

לבסוף (כי אני חייב לעוף), עמוס שולח לי תזכורת לבאות – פרצות ממשיכות להתגלות במערכות ההצבעות האלקטרוניות בארה"ב. במורד הדרך עוד מחכה לנו חוק להצבעה אלקטרונית שאינני מאמין ביישומו מסיבות שונות (ואפרט בפסט ביום אחר).

בקיצור, אנחנו צריכים להקים EFF ישראלי, ויפה שעה אחת קודם. לי אין פנאי או כסף ליזום את זה, אבל אשמח לסייע למי שיתניע ויוביל.

תוספת – לשונאי פייסבוק, נפתח פורום אנטימאגרביומטרי בתפוז.

פורסם ב

ההצעה של פרופ' עדי שמיר לא מסברת את אוזני

ניב ליליאן כתב על ההצעה שזרק לחלל האוויר עדי שמיר בזמן הדיונים אתמול. הרעיון הוא לעבור מזיהוי חד-חד ערכי למצב שבו קבוצות (נגיד מאה איש ומאה תמונות וטביעות אצבע) נזרקים ביחד באותה הפיילה. הזיהוי, לדבריו, יהיה בודאות של 100 מתוך 7 מליון במקום אחד מ7 מליון, וכך המאגר "די אמין" באימות זהות, אבל אם המאגר דולף הוא "לא שמיש" לזייפני זהות.

אבל לגנוב לי בקבוק בירה עם טביעת אצבע ולכייס לי את הארנק כשאני מוסח בפאב זה עדיין אפשרי? איך נמנעה פה גניבת זהות אם הטביעה הזו עדיין תזהה אותי מול מחשבי ממשלה, וה"סיסמא" לא ניתנת להחלפה?

לכן אני מודה שלי אישית ההצעה נשמעה טיפה נאיבית ולא מבושלת בלשון המעטה.

פרופסור שמיר, מתמטי מדי?

אני לא יודע אם פרופסור שמיר עצר לחשוב מעבר למתמטיקה או שפשוט זרק לאוויר את הרעיון "נא". אני רוצה להאמין למשל שביהם בחיים לא היה פולט דבר כזה כי הוא לא מסתכל רק על הפתרון המתמטי אלא גם על הצד הפראקטי של השוואת רשימות. אפילו במצב תיאורטי אידאלי של מאגר נאיבי, הדבר היחידי שזה "פותר" זה את השאלה של מה קורה אם דולף המאגר, וברור שבנקודת ההזדהות מוצלבים מחדש שמי, פני, מספר הת"ז שלי וטביעת האצבע ממילא בכל פעם שאזדהה, ומי אומר שאותה נקודה (קיוסק מידע או מחשב אישי ביתי) אמינה ונקיה מוירוסים ומאזיני RFID וכולי? הבטחון של מערכת עמימות "1 מתוך 100" שכזו איננו שונה מהמערכת המוצעת הנוכחית למעשה מבחינת במ"מ בנקודות הקצה, שהופכות להיות נקודה יותר מעניינת לגנבי הזהות (ויותר קשה להגנה ממאגר מרכזי).

אני יכול לדמיין כאן כמה התקפות – הרי אם שולחים למאגר את מספר תעודת הזהות שלי והוא מחזיר מאה ט"א אפשריות לתחנת הקצה שמשווה את כולן לאצבע (או אצבעון לטקס) שהצגתי למסוף, המסוף יודע עלי עכשיו יותר מאשר המאגר המרכזי – עדיף לשאוב ממנו מידע בטיפטופים מאשר להתקיף את המאגר בירושלים בבונקר… ובכל מקרה עדיין עומד פה מסוף שרוב האנשים לא יטרחו לנגב את טביעת האצבע שלהם מחלונית הסורק שלו אחרי השימוש.

אגב הועלה גם הרעיון של מאגר של גיבובים (HASH), אני לא יודע מספיק כדי להגיד מה דעתי עליו (טיפה יותר טוב ממאגר מידע מקורי אבל עדיין בעייתי?). על כל פנים ברור לי שכל מצב שבו הטביעה או התמונה מאוחסנות בצורתן המלאה (ולא רק גיבוב של הפירוק הפרמטרי) בכרטיס (במיוחד RFID) או במאגר, אינו מקובל עלי לחלוטין, ולא אכפת לי אילו עמימויות עדי שמיר מציע כאן. ארחיק ואומר שצוות המאבק כבר מקבל תעודות ביומטריות כרוע הכרחי, אבל למעשה כמו פרופ' ביהם גם תעודת זיהוי ביומטרית ללא מאגר מטרידה אותי. הסיבה היא ההתקהות של פקידים שנסמכים על הטכנוקרטיה הזו. אני מפחד מהיום שאצבעוני לטקס ישתוללו חופשי, פקידים יתעלמו בפיהוק כשיבוא מישהו שונה לגמרי מהתמונה, כי מהר מאוד הם ילמדו להגיד ש"המכונה אמרה שזה הוא אז חשבתי שהוא הסתפר או משהו". במקרה הממש גרוע יצומצמו כמויות הפקידים לקבלת קהל (צפו גל שביתות) ויוחלפו בקיוסקי מידע אלקטרוניים, וביום שיגלו את היקף זיופי הזהות בהם וגם יעיזו להודות שידעו את זה מזה זמן אבל אף אחד לא רצה ליטול אחריות, יצטרכו לשכור מחדש ולאמן דור חדש של פקידים (או, בינינו, עובדי קבלן), והברדק ימשך חודשים ארוכים.

שאננות מפעילי האמצעים הטכנוקרטיים תקרה בהכרח והיא מסוכנת, סוף פסוק.