נמל התעופה בן גוריון – דוגמא למחדל אבטחה
נמל התעופה בן גוריון – דוגמא למחדל אבטחה.
במאמרים קודמים ציינתי לא פעם כי Application Security מחייבת הסתכלות כוללת על המערכת.
אם נאבטח במקום אחד אבל נשאיר פרצה במקום אחר כאילו לא עשינו דבר.
דוגמא מעניינת לכך מצאתי בנמל התעופה בן גוריון.
רבים מאיתנו רשומים לשירות "הרישום המהיר" . יש לנו כרטים מיוחד להפעלת זיהוי ביומטרי בעזרת כף היד. הזיהוי עצמו מבוצע בעזרת טכנולוגיה מתקדמת ובטוחה. אבל האם שמתם לב מה קורה מיד אחר-כך ?
ובכן בסיום תהליך הזיהוי מייצרת המכונה Authenticator בדמות פתק קטן המודפס על ניר טרמי. פתק כזה ניתן להדפיס בכל חנות מכולת.
את הפתק אנו צריכים להראות לשוטרי הגבולות הנמצאים רחוק מהמכונה ולכן אין להם מושג אם באמת השתמשנו במכונה או אולי יצרנו את הפתק לבד.
אם חלילה יש נגדך צו איסור יציאה מהארץ, כל שעליך לעשות כדי לצאת מהארץ, הוא ללמוד את מבנה הפתק (Authenticator) ולייצר כזה בעצמך.
אז תגיע לשוטרת הגבולות ובנון שלאנטיות תן לה את הפתק שייצרת – ואתה בחוץ !
זו היא דוגמא קלאסית בה תהליך ה – Authentication מבוצע יפה אבל ה – Authenticator עצמו לא מוגן כלל.
ומה קורה באפליקציה שלך ?
לפני יומיים נולדה לי ילדה חמודה. עם הכניסה לבית החולים קיבלתי סרט פשוט (שגם אותו קל לייצר בבית) אשר יאפשר לי כניסה לתינוקיה והוצאת התינוקת ממנה.
בכניסה לתינוקיה נדהמתי לגלות כי כל מה שאני צריך לעשות זה להראות מרחוק לשומר המנונם שיש לי סרט על היד.
אף אחד לא יודע האם הסרט אמיתי או לא !!! והנה נכנסתי למקום השמור ביותר בבית החולים – מחדל !
שוב תהליך ה – Authentication מבוצע יפה אבל ה – Authenticator עצמו לא מוגן כלל.
ומה קורה באפליקציה שלך ?
מנו כהן-ישר