במקום טביעת אצבע – הדור הבא של הזיהוי הביומטרי [טור אורח]

בשנים הקרובות זה יהפוך לרווח יותר ויותר – את התוים שאנחנו מקלידים יחליף זיהוי חד ערכי, ביומטרי וייחודי. כן, יש לכך גם לא מעט סיכונים, אבל האבולוציה הזו כבר בלתי נמנעת

shutterstock finger print

מאת: אבי תורג’מן, CTO and founder של חברת הסטראטאפ BioCatch.

עובדה מוגמרת היא שחלקים גדלים והולכים של חיינו מנוהלים בדרך זו או אחרת במרחב הווירטואלי, והמגמה רק עתידה לגדול. למעשה בתקופתנו חלק ניכר מכוח היזמות הטכנולוגית מופנה למציאת דרכים נוספות להעברת חלקים נוספים של חיינו למרחב הווירטואלי. מובן אם כן שגם איומי הסייבר הופכים משמעותיים יותר ונוגעים לכולנו.

דווקא בסיטואציה הזו נוצר מתח שעל פניו נשמע מעט פרדוקסלי – מצד אחד אנו קוראים כמעט מדי יום על פריצות לחשבונות בנק, אשראי, אימייל, ורשתות חברתיות ובתוך כך מדווחים על גניבות של מידע רגיש המופץ באופן הפוגע בפרטיותם של משתמשים תמימים. מצד שני כאשר מתעוררות יוזמות המשתמשות בכלי הזיהוי החזק ביותר הידוע כיום: הזיהוי הביומטרי – שמטרתן להגן עלינו, אנו נרתעים מהדרישה לחשוף מידע אינטימי. וכך לא פעם אנו דוחים על הסף את אותן יוזמות שמטרתן בין השאר להגן על הפרטיות, בשם אותה פרטיות.

החשש מפני גניבת זהות

אם כן, ברור כי ככל שחיינו עוברים להתנהל בזירה הווירטואלית, כך גם חלקים גדולים יותר של הפעילות העבריינית עוברים להתנהל ברשת. ובעולם שבו הגיאוגרפיה כבר לא משחקת תפקיד גם מרחב האפשרויות של העבריינים גדול הרבה יותר. אלא שמן הצד ההגנתי, למרות שעקרונות רבים התופסים בעולם הפיסי כבר אינם חלים בעולם הווירטואלי, תפיסות ההגנה ברשת לא הפנימו מספיק את ההבדלים המהותיים בין שני העולמות, וכך נוצר פער מסוכן המשמר את היתרון של אותם עבריינים. הגישה הביומטרית המסורתית היא דוגמא מצוינת לצורת הגנה שעובדת טוב בעולם האמתי אך לחלוטין לא אפקטיבית בעולם הווירטואלי, ויותר מכך נותנת בידי העבריינים אפשרויות נוספות לגניבת הזהות שלנו.

הזיהוי הביומטרי הינו שיטה מאוד מוצלחת לאמת זהותו של אדם. בבסיס השיטה עומדת מדידה פשוטה יחסית של תבנית ביולוגית כלשהי הייחודית לכל אדם בשל היותה נגזרת מה-DNA שלו, ומכאן כוחה ועדיפותה על פני שיטות אחרות. ישנן מדידות ביומטריות מסוגים שונים, כאשר הנפוצה מבין כולן היא טביעת האצבע. שיטות מוכרות נוספות, הן סריקת רשתית, זיהוי תבניות הפנים, ואפילו זיהוי דפוס פעילות הלב. המדידות הללו כולן נופלות תחת הקטגוריה של ‘ביומטרי פיסיולוגי’, שכן הן קשורות באופן ישיר למבנה ופעילות פיסיולוגיים הנגזרים מה-DNA של האדם. אולם ישנם סוגים נוספים של מדידות ביומטריות – ביומטרי התנהגותי, מדידות אלו קשורות לפיזיולוגיה של האדם רק באופן עקיף, ולכן מבחינה סטטיסטית הן פחות מדויקות מהביומטרי הפיזיולוגי, אבל בעולם הסייבר יש להן יתרון יחסי מאוד משמעותי עליו נעמוד בהמשך.

זיוף טביעת אצבע על בסיס תמונה

השימוש הנפוץ והמוכר ביותר בזיהוי ביומטרי פיסיולוגי הוא בעולם הפיסי – למשל בכניסה למבנים רגישים, בפתיחת כספות, בשערי גבולות, וכיו”ב.. אולם לביומטרי המסורתי והמוכר יש חולשה אחת מאוד משמעותית כאשר מיושמת בעולם הווירטואלי והיא שמדובר במדידה חד פעמית של מידע סטטי. כאשר אדם נכנס למבנה פיסי כלשהו, מרגע שזהותו אומתה והוא נכנס לבניין, תהליך הבידוק הסתיים. לא כך בעולם הסייבר. עולם הסייבר הינו עולם וירטואלי בעל גבולות, מעברים, כניסות ויציאות גמישות מאוד המוגדרים ע”י ביטים. מעצם מהותו אין שום דבר קשיח בהגדרות המרחב הווירטואלי. באמצעות מניפולציות נכונות, ולעיתים פשוטות, ניתן לכופף את הגבולות ולאפשר למשל למשתמש לא מורשה להיכנס לאזורים מאובטחים יחד עם המשתמש המורשה, או מיד אחריו, לבצע פעולות במקביל אליו, ואפילו להחליף אותו, לזרוק אותו החוצה ולהישאר לבד במקומו.

כחלק מהניסיונות לממש שיטות ביומטריות בעולם הסייבר, מאמצים רבים נעשים במטרה להגן על המידע הביומטרי מפני גניבה ושימוש לא מורשה. הרי החתימה הביומטרית, מלבד היותה בלתי ידועה למשתמש באופן מפורש, היא בדיוק כמו כל סוד או סיסמא אחרים הניתנים לגניבה. והנה רק לפני שבועיים פורסם כי האקרים הצליחו לזייף את טביעת אצבעה של שרת החוץ של גרמניה וזו על פי תמונה בלבד. אולם מעבר לכך נוכלים היום מסוגלים לפרוץ לחשבונות מקוונים מבלי להתעסק בכלל עם מזהי האימות של המשתמש, ביומטריים או אחרים. מכאן שהניסיונות להגן על המזהים הביומטריים מפני גניבה אינם רלוונטיים במקרה הספציפי הזה של ניסיון חדירה לחשבון מקוון (אם כי הן משמעותיות בהקשרים לפעולות פליליות אחרות הנסמכות על גניבת הזהות הביומטרית). אחת הדוגמאות הידועות היא שימוש בכלי הקרוי RAT – Remote Access Trojan. בשיטה הזו יתקין הנוכל תוכנה זדונית על מכשיר הנתקף, כאשר מטרתה אינה גניבת מזהה ההתחברות, אלא מתן אפשרות להתחברות מרחוק לאותו מכשיר. וכך נותר לנוכל להמתין לרגע שבו המשתמש יכנס לחשבון הבנק, ה-GMAIL או לכל חשבון אחר, ובצורה פשוטה מאוד להיכנס לחשבון יחד עם המשתמש ולבצע פעולות בשמו. במקרה של נוכל מתוחכם יותר הוא אף ידע להפעיל טכניקות של MITB – Man In The Browser אשר יציגו למשתמש אתר וחשבון מזויפים ויגרמו לו להמשיך לעבוד באתר המזויף, בזמן שהנוכל לבדו עובד בחשבון האמתי ומבצע את זממו.

ברור אם כן, כי בתרחיש המתואר אין זה משנה עד כמה חזק יהיה מזהה האימות – טביעת אצבע או סריקת רשתית – הנוכל יכנס לאתר רק לאחר שהמשתמש החוקי יספק בכניסה כל מה שיידרש. על כן ברור כי הכוח הביומטרי הפיסיולוגי במקרה זה חסר כל רלוונטיות לעצירת המתקפה.

חמור מכך, שימוש בביומטרי מסורתי בעולם הסייבר רק מסכן עוד יותר את הפרטיות של המשתמש וחושף אותו לגניבת המידע הביומטרי שלו מבלי שהוא מגן עליו בשום צורה, לא על חשבונותיו המקוונים וממילא לא על הפרטיות שלו.

מכאן שהדרך היחידה להתמודד עם מתקפות מהסוג המתואר היא באמצעות מדידה רציפה של מידע ביומטרי המחולץ מתוך פעילות המשתמש. כלומר, זהות המשתמש מאומתת באופן ביומטרי על בסיס הצורה הייחודית של הפעולות המבוצעות על ידו.

shutterstock heart rate

התנהגות ביומטרית, כן, יש דבר כזה

שיטות ביומטריות התנהגותיות, שהן גם רציפות וגם מבוססות על הפעילות הספציפית של המשתמשים, הן הדור החדש של הביומטריה בהגנה על משתמשים בעולם הווירטואלי. שיטות אלו נופלות תחת הקטגוריות של ביומטרי התנהגותי רציף. כאשר הפרמטרים הנמדדים מושפעים משילוב של הפיסיולוגיה של האדם, הפסיכולוגיה שלו, וסוגי החומרה איתה הוא עובד.

כאשר משתמש מבצע פעילות מסוימת באתר אינטרנט הוא מבצע אינטראקציה עם האתר באמצעות עכבר, מקלדת, מחוות טאצ’, או מחוות אחרות. האינטראקציה הזו היא נגזרת של הפיסיולוגיה שלו, היכולות הקוגניטיביות שלו, וסוג החומרה אותה הוא מפעיל. ניתוח האינטראקציה הזו ולמידת הדפוסים הקוגניטיביים של המשתמש, מאפשרים בנייה של פרופילים ביומטריים דינאמיים המחולצים באופן ישיר מפעילות המשתמש באתר. בצורה הזו כאשר משתמש לא מורשה ינסה לבצע פעולות, פעולות אלו יהיו חייבות להיעשות בדיוק באותו האופן שבו המשתמש המורשה היה מבצע אותן.

יתרון בולט נוסף של השיטות הביומטריות ההתנהגותיות הוא שהן שקופות למשתמש. בעוד שיטות האימות המסורתיות מאלצות את המשתמש להיות מעורב בתהליך האימות באופן שהוא לפעמים מתסכל וגוזל מהמשתמש זמן ומאמץ, השיטות הביומטריות ההתנהגותיות מאפשרות למשתמש חוויה נקייה ממטרדים והסחות הקשורים בהגנה שלו.

החיסרון המשמעותי של הביומטרי ההתנהגותי הוא מההיבט של דיוק המדידה. המובהקות הסטטיסטית של המדידה נמוכה מהמובהקות של מדידות פיסיולוגיות כגון טביעת אצבע. נוסף על כך, איסוף המידע נעשה באופן פאסיבי ללא מעורבות המשתמש, מה שיוצר מצב הידוע כ”סביבה לא מבוקרת” (uncontrolled environment) שבו למידת ההתנהגות וזיהוי המשתמש עלולים לקחת זמן רב מדי, עד כדי כך שהם הופכים את הטכנולוגיות הללו לא רלוונטיות. לכן מצד אחד על ספקי הפתרונות להציע דרכים יצירתיות להתגבר על בעיית “הסביבה הלא מבוקרת” ובתוך כך לשפר בצורה משמעותית את דיוקי השיטה, ומצד שני ארגונים המטמיעים טכנולוגיות שכאלו נדרשים לקחת בחשבון את השגיאות הללו ולנהל את הסיכון ביחס למקרה הספציפי.

לסיכום

השיטות הקלאסיות לאימות זהות באופן ביומטרי הן טובות מאוד בעולם הפיסי, שבו הגבולות, ברורים. עולם הסייבר הוירטואלי שונה. הדרך להתמודד עם איום זה הוא ע”י הטמעה של שיטות ביומטריות מהדור החדש, שיטות המאפשרות אימות ביומטרי רציף המבוסס על הפעילות שמבצע המשתמש. מדובר בטכנולוגיות למידה מאוד מתקדמות ובשוק גדל ומתפתח, שכבר סומן ע”י האנליסטים כגון גרטנר, כהבטחה הגדולה של אבטחת הסייבר בעתיד. בנקים רבים וארגונים ביטחוניים בעולם כבר מבינים שזו אולי הדרך המוצלחת ביותר להתמודד עם גניבת זהויות במרחב הווירטואלי, ובהתאם לכך יותר ויותר ארגונים מטמיעים טכנולוגיות שכאלה כחלק מהותי בהגנה על השירות שלהם.

קרדיט תמונה: finger print via shutterstock, heart rate via shutterstock

 

 

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

2 תגובות על "במקום טביעת אצבע – הדור הבא של הזיהוי הביומטרי [טור אורח]"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
דג ברשת
Guest

הגזמה! עודף חרדות יוביל עודף פרצות. במקום זיהוי ביומטרי של התנהגות (ועובדים שיסכימו לספק מידע רפואי על עצמם לכל דיכפין) אולי שיצמידו מזהה רכיבי נפיחות לכסא וככה תהיה לכל אחד/ת טביעת פלצנות?
בתכלס הרי בהרבה מקומות עובדים מעבירים סיסמאות וזהות אחד לשני, בידיעעת המעסיק ולפעמים בהנחייתו. גם במקומות שנדרש סיווג אי אפשר לכפות על העובדים את השימוש הקבוע בו. ושימשו במידע בזדון אפשרי בקלות יחסית למי שיש לו/ה כוונות זדון או בצע, אכן לא חייבים לחדור פיזית לאותו מחשב.

Demikulo
Guest

Genius. No doubt bio-behavioral authentication is the future, basically as it releases the need of the annoying traditional authentication process..
Go go go!!

wpDiscuz

תגיות לכתבה: