חסינות מערכות לזיהוי ביומטרי – מפני עוקף בידוק באמצעות מניפולציה טכנולוגית, סייבר והערמה
חסינות מערכות לזיהוי ביומטרי – מפני עוקף בידוק באמצעות מניפולציה טכנולוגית, סייבר והערמה
מאת: אור שלום*
שוק טכנולוגיות הזיהוי הביומטרי, כמנגנון זיהוי חזק, ממשיך להתפתח בעולם. שוק זה צלח היטב גם את הסיכונים שנבעו, בין היתר, מתכתיבי הקורונה והדרישות המחמירות של הרשויות וגופי התקינה למעבר לשיטות בדיקה בתנאי מרחק, ללא מגע (Safe Distance וה- Touchless) ובתנאים משתנים, כגון: זיהוי פנים גם בתנאי כיסוי פנים גבוה, דגימת טביעות אצבע מרחוק וללא מגע. כל זאת מבלי לפגוע בדיוק הבדיקה ואף לשפר אותה עוד יותר. היכולות שהושגו אל מול תבחיני ה-NIST ותקינות נוספות מעוררות השראה. כך לדוגמא, שיפור משמעותי של זיהוי פנים בכיסוי מסכה מעל האף ועוד.
ההישגים ושיפור הביצועים לזיהוי חד- חד ערכי משפיעים על צריכת מערכות ביומטריות בשוק האבטחה. היכולת לשלב טכנולוגיות זיהוי חד-חד ערכיות בשילוב עם היבטים תפעוליים ותכונות נוספות של שמירה על בריאות וסטריליות של העוברים והשבים (כגון אולמות נוסעים) האיצו את מגמות הצריכה לטכנולוגיה זו. מגמת הצטיידות זו בלטה בעיקר בגופים ביטחוניים רגישים, תשתיות קריטיות והגנת גבולות, חברות ומוסדות פיננסים ובשנים האחרונות התרחבה לחברות ציבוריות וארגונים פרטיים. כך לדוגמא, הטמעת קיוסקים בבידוק עצמי המשלבים הזדהות ביומטרית בשדות תעופה בסינגפור, קנדה ובארה"ב שיפרו באופן משמעותי את חוויית הנוסעים בתהליכי הבידוק ותרמו משמעותית לאבטחה חכמה. מטרת האבטחה החכמה, כמושג שתפס תאוצה בעיקר בעולם התעופה, היא לחזק את האבטחה, תוך צמצום חיכוך עם העוברים והשבים, הגברת יעילות והפחתת עלויות תפעול.
מערכות אלו הינן אטרקטיביות לתקיפה בראיית התוקף מתוך הרצון שלו להסיג גבול ולעקוף תהליך בידוק או גניבת מידע אטרקטיבי של נתוני הזדהות ביומטרית לצורך שימושים שונים (לרבות שיקולים הקשורים בהפללה וכד'). עצם העובדה כי המערכות מושתתות על טכנולוגיות מחשוב ותוכנה הן חושפות את המערכות לתהליכי מניפולציה (גם מרחוק ובאופן שלא מחייב מגע עם המערכת) וכן גם התקפות סייבר.
חקר מקרה 1 – מניפולציה והערמה על מערכות לזיהוי פנים (Face Recognition) באמצעות ML ותהליך איפור (באופן לא מחשיד): במחקר שבוצע בפקולטה להנדסת מערכת באוניברסיטת בן גוריון בשנת 2021 הוכחה יכולת להתחקות וללמוד את האלגוריתמים של תהליך זיהוי הפנים במערכת הטכנולוגית באמצעות שימוש ב- Machine Learning. זאת, במטרה לסגל יכולת מניפולטיבית והשפעה על הקלט עצמו בתהליך ולמנוע יכולת לזהות פנים חשודות הקיימות במאגר הנתונים של המערכת. המחקר הוכיח השפעה מרחוק על המערכת באמצעות שימוש באיפור ובאופן שלא מחשיד אל מול הנוף והסביבה (שכן שימוש באיפור הוא טריוויאלי וכך הוא לא יעורר חשש גם בסביבת שדה תעופה, ארגון וכד'). מחקר זה מעניין בשל העובדה כי ההתקפה בוצעה במתווה של Blackbox מלא ללא מגע עם המערכת, באופן לא מחשיד וע"י בן אנוש. הוכחת יכולת זו מדגישה את הסכנה ואת הצורך בדרישות
מחמירות לחסינות אלגוריתמים כמו גם חשיבה אבטחתית ליתירות במערכות שונות (מסוגים שונים ויצרנים שונים) במטרה להבטיח את העמידה במשימה. לשיטה זו, שימוש במערכות שונות במעגלים שונים יבטיח כיסוי גבוה יותר ועמידה במשימה זו.
חקר מקרה 2 – תהליך ניחוש – ע"י יצירת מקטעים ביומטריים שכיחים והרצתם במערכת: רוב המערכות לזיהוי טביעות אצבעות סורקות מקטעים ביומטריים נקודתיים מטביעת האצבע בעת הבדיקה. זאת, בעיקר בשל טעמים ארגונומיים בממשק שבין האדם והמכונה ובמטרה לצמצם את זמן הבדיקה באופן משמעותי (שכן, ככל שהדגימה תהיה בכיסוי רחב יותר כך תהליך העיבוד ישפיע על זמן הבדיקה). דגימה אקראית נקודתית זו עוברת תהליך השוואתי של אזור זה בלבד אל מול המאגר. המשמעות היא שתוקף צריך להתאים רק אחת מתוך עשרות או מאות טביעות אצבע חלקיות שנשמרו כדי לקבל גישה. עובדה נוספת היא, שלמרות שטביעות אצבע הן ייחודיות לכל אדם ואדם קיימים תכונות (אזורים) שכיחים ודומים לרוב האוכלוסייה. מכאן, פריצת דרך במחקר של אוניברסיטת מישיגן בארה"ב ע"י יצירת חילול (ג'ינרוט) של מקטעים ביומטריים שכיחים באמצעות שימוש ב- AI (ה- AI האיץ משמעותית יכולת זו) כמאגר אפשרי לתקיפת מערכות ביומטריות ע"י התקפת Brute force במתווה של Dictionary attack4. על אותו העיקרון, במחקר של הפקולטה להנדסת מחשבים והנדסת חשמל באוניברסיטת ת"א, פיתחו החוקרים, ליאור וולף, תומר פרינדלדר ורון שמלקין, 9 תבניות גינריות של פנים המאפשרות התחזות ליותר מ-40% מהפנים שזמינות במערכות אלו.
מעבר לבקרה הכוללת בדיקת חיות, שעליה ארחיב בהמשך, נדרש תיכנון המשלב יכולת של הצלבה או דגימה של לפחות 2 דגימות באזורים שונים באותה הסריקה, מה שיקטין באופן משמעותי את הסיכויים לשכיחות אפשרית זו. ברמת תהליך התיכנון וההטמעה יש לשקלל את גודל דגימת המקטע הביומטרי (רצוי שבדרישות לביצועים לספקי המערכות יעלו תנאים ודרישות לכיסוי ודגימה רחבה הרבה מעל הממוצע ומבלי לפגוע במהירות הדגימה, במטרה להימנע מבעיות תפעוליות של עיכוב בבדיקה), שימוש במערכות הסורקות את כף היד או בדיקת מנד הדוגמת מספר מקטעים ואזורים באצבעות שונות. וכן שילוב של 2FA במטרה להבטיח את זהותו של הנבדק. במטרה להבטיח את חוסן המערכת יש לוודא כי קיימת בקרה למניעת הרצת ניחושים ונעילת מערכת (ללא יכולת איפוס) לאחר מספר ניחושים לא מוצלחים (תוך שקלול היבטים תפעוליים).
תוכנית לחסינות והגנה על מנגנוני הזיהוי הביומטרי (תפקוד ופונקציונליות המערכת):
1. תהליך התכנון והצטיידות במערכות מבוססות תקינה וסטנדרט אבטחה לאומיים ובינלאומיים:
הנושא של דרישות בתהליך התכנון והצטיידות הוא מאוד חשוב בעולמות האבטחה, כל שכן כאשר מדובר בהתבססות על טכנולוגיות וסיכונים נלווים (לרבות סייבר, מערכות End of life, שרשרת אספקה ועוד). הישענות על תקינה וסטנדרטים יבטיחו רמת ביצועים (יכולת מדידה והשוואות) מדויקים ובאחוזים גבוהים, ארכיטקטורת סייבר מאובטחת וחוסן מערכות. יכולות התקיפה הן מאוד מפותחות ולצידן לא מעט הוכחות יכולת בגופי מחקר, פקולטות להנדסה ומעבדות בינלאומיות. על כן, כבר בשלב התיכנון יש להתבסס על תקנים המכוונים לדרישות
ורמת הביצועים, ההשוואות (מנועי השוואה ביומטריים) לאופן הגנת הנתונים, העברה בין ממשקים וטכנולוגיות שונות ועוד. בתהליך הטמעת המערכות יש לדרוש מהספקים עמידה בתנאים וברף שיוצבו בהתבסס על התקינות והסטנדרטים. אופן הטמעה זה, יצמצם משמעותית את החשיפה לסיכונים תפעוליים, סייבר ומניפולציות כחלק ממאמץ לעקוף בידוק או פגיעה במערכת.
גם, בהמשך, לאחר תהליך ההטמעה (ואף כחלק מתנאי ההתקשרות) מומלץ לעקוב אחר מחקרים ובחינות שמבוצעות ע"י גופי מחקר כדוגמת ה- NIST וגופים פדרליים כדוגמת ה- DHS במטרה להבטיח דרישות ובקרות שיחסנו את המערכת On Job.
2. צמצום סיכונים הנובעים מגישה למערכת ולמידע – גישה פיזית למערכת היא מאוד אטרקטיבית בראיית התוקף. הן מהטעם של טיפול
במערכת לצורך הטמנות לשם שיבוש המערכת והן מהטעם של גניבת מידע הכולל דגימות, זהויות וכד'. בהתאם לכך, יש לתכנן את ההגנה על המערכת במספר רבדים הכוללים בקרות תהליכיות, שיטתיות ובקרות טכנולוגיות. אם ניקח, לדוגמא, מערכת במרחב הציבורי (כדוגמת שדה
תעופה) יכולות להיות לא מעט הזדמנויות בראיית התוקף. החל מגניבת המערכת או רכיב מהמערכת, טיפול במערכת, הטמנה או שילוב רכיב אוגר מידע או רכיב משדר ועוד. על כן, ברמת התכנון למניעת גישה יש לתכנן את ההגנה במעגלים הבאים: התממה, הצנעת מערכת (ככל שניתן) ושילוב מנגנונים למניעת התעסקות – הצנעת המערכת במטרה למנוע בבקרות המתמימות את המערכת (ללא שיוך וזיהוי עם שם חברה). ככל שקיים רצון לתקוף את המערכת לרוב מתחילה ההתקפה באיסוף מידע אודות שם המערכת בשימוש והיצרן. מכאן ימשיך התוקף לאיתור מודיעין וחולשות רלוונטיות למערכת ומערכות ההפעלה או להצטיידות במערכת לצורך אימוני תקיפה. לא פעם, מספיק בראיית התוקף לעיין בחוברת ההפעלה/מדריך למשתמש בכדי למצוא חולשות, הזדמנויות, סיסמאות וכד'.
מאמצי ההתממה חשובים ומסכלים בעיקר לאור העובדה כי באזורים בהם קיימים קיוסקים ותחנות ביומטריות קשה להתעכב זמן רב ועל כן הניסיון להתחקות אחר שם המערכת והסוג נעשה בחטף, תוך מטרה לאתר את שם היצרן ופרטים נוספים הטבועים על המערכת.
כמובן שפעולה זו מחייבת חשיבה לאורך כל חיי הפרויקט (משלב האפיון, המכרז ועד שלב ההטמעה). במטרה למנוע תקיפה פיזית יש לשלב מנגנונים למניעת התעסקות (Antitamper). מיקום המערכת תחת השגחה פיזית – תחת פיקוח של גורם אנושי מתודרך או באזור מפוקח מצלמות תוך היערכות והתאמה למצבי תקיפה שונים בחסות לחץ וקהל רב או בזמנים מתים.
הגנות על המידע הקיים – בקרות הכוללות בידול בין סביבות, קידוד קלט והצפנת תעבורה במערכת ובין מערכות משיקות, מימוש בקרות
לזליגת מידע, רידוד מידע בתחנת הקצה ותהליכי גריטה מסודרים (תוך מטרה למנוע סיכונים הנובעים משאריות מידע מתהליכים וסיכונים אפשריים ולא מפוקחים).
3. מימוש בקרות בדיקת חיות (liveness): מטרת מנגנונים לבדיקת חיות הן להבטיח את יכולת המערכת לקבוע שהיא מתממשקת עם בן אנוש נוכח פיזית ולא עם בוט ספאם, חפץ דומם מזויף, וידאו או נתונים מוזרקים. מימוש בקרות אלו יכול להיות ע"י בדיקת מדדי דופק, ניתוח זרימת דם ועוד.
קונספט מעניין של מחקר של הפקולטה להנדסת אלקטרוניקה ומחשבים של אוניברסיטת BYU בהובלתו של פרופ' לי (D. J. Lee) המתבסס על תהליך אימות דו שלבי (2FA) כתהליך מבטיח לבדיקת חיות המתבססת על הצלבה בין בדיקת תמונה והצלבה אל מול מנד שפתיים (בדגימה שנלקחת מראש). כמובן שקיימים אתגרים אל מול מערכות ללא מגע וכן אל מול טכנולוגיות ה-AI ותעשיית ה- Deepfake ורמת הדיוק המושגת. על כן, יהיה נכון להפריד את תהליך האימות הדו שלבי בין 2 מערכות שונות (וכך גם לצמצם סיכונים הנובעים מתקיפת המערכת בסייבר).
4. הגנת סייבר: הגנת הסייבר על המערכת היא חיונית מאוד נוכח פופולאריות התקיפה במרחב זה. בבסיס חליפת ההגנה יש לוודא בידול מוחלט של המערכות מתקשורת מבוססת Over The Air (OTA) במטרה לצמצם את הסיכונים בתקיפה המתבססת על הקישוריות לאינטרנט
או התקפות אלחוטיות מהסביבה הקרובה. יש לנקוט שינויים והקשחות למערכת בהתאם להמלצות היצרן כבר בשלב הקליטה (לרבות שינוי סיסמאות טכנאי וכד'). יש לוודא, ככל הניתן, שימוש בתוכנות מאובטחות במטרה לצמצם סיכונים מבוססי תוכנה כאשר הערך החשוב ביותר זה שימוש בתוכנה מקודדת שלא תאפשר התחקות לאחור לצורך איסוף נתונים ושינוי פקודות (לדוגמא שינוי הגדרות והחלפת פקודות לפיהן המערכת תיתן פקודה לפתיחה דווקא במצב של אי זיהוי והתאמה ביומטרית וכד'). ערך מרכזי נוסף הוא כמובן תעבורה מוצפנת במערכת ובין רכיביה. מאחר והתקפת Brute force מבוסס Dictionary attack היא פופולארית ועולה במספר מחקרים – נכון לוודא כי קיימות בקרות מתאימות כנגד התקפה זו.
5. שימור כשירות בחוסן המערכת: השינויים הטכנולוגיים, השיפור ביכולות ה- Deepfake, חולשות מפורסמות וסיכונים הנגרמים על ציר שרשרת אספקה מחייבים תהליכים סדורים לווידוא שהגדרות המערכות לא משתנות, הקשחת המערכת מעת לעת בהתאם לחולשות מפורסמות. לצד אלו, בדיקות שגרתיות כחלק מתהליך של מיפוי סיכונים, תיקון ושיפור.
על כן, מעבר לתהליך השגרתי של מינוי גורם תחזוקה טכני בעל אוריינטציה אבטחתית, יש לבצע בדיקות כיול (רצוי גם ערכה המתבססת על תבניות גנריות כפי המחקרים בחקר מקרה 2). מומלץ להפעיל לפחות אחת לשנה צוות אדום לבחינת חוסנה של המערכת. רצוי שהתקיפה תהיה מלאה מהמימד הפיזי למימד הסייבר על בסיס מגמות תקיפה בסייבר ושילוב תבחינים ושיטות תקיפה למערכות ביומטריות כפי העולה בספרות המקצועית, במחקרים והדגמות. אופן מתווה מלא זה יאפשר להעריך את הסיכון באופן הנכון וכמובן יאפשר טיפול נכון בפערים העולים.
הכותב הינו מומחה לתחומי האבטחה, טכנולוגיות HLS וסייבר ויועץ למשרדי ממשלה, תעשיות ביטחוניות והמשק. בוגר תואר שני ובעל הסמכות ממלכתיות ואזרחיות בעולמות האבטחה והסייבר. בין היתר עוסק בייעוץ ופיתוח עסקי לגופים וחברות ביטחוניות בנושאי תיכנון ובניית הגנה, חדשנות וטכנולוגית אבטחה, תרגולים ואימונים בזירות האבטחה והסייבר.