Jump to content

  • הצטרפו למשפחה

    היי, היי אתה (או את) שם!

    אנחנו יודעים, נחמד להיות אנונימי, ולמי בכלל יש כוח להירשם או להיות עכשיו "החדשים האלה".

    אבל בתור חברי פורום רשומים תוכלו להנות ממערכת הודעות פרטיות, לנהל מעקב אחרי כל הנושאים בהם הייתם פעילים, ובכלל, להיות חלק מקהילת הרכב הכי גדולה, הכי מגניבה, וכן - גם הכי שרוטה, באינטרנט הישראלי. 

    אז קדימה, למה אתם מחכים? בואו והצטרפו ותהיו חלק מהמשפחה הקצת דפוקה שלנו.
     

תעודת זהות ביומטרית

dorki

מאת dorki
בתוך אוף-טופיק

 שיתוף
dir="rtl" style="text-align:right;"> שימו לב! השרשור הזה בן 4462 ימים, שזה ממש ממש הרבה ולכן הוא ננעל.

אם אתם פותחי השרשור ו/או יש לכם עדכון רלוונטי לנושא - פנו לאחד המנהלים ונפתח את השרשור חזרה לתגובות.

פוסטים מומלצים

sperial ראש למגובבים

sperial

פורסם
פורסם
לשושנה הפקידה במשרד הפנים אין גישה שתאפשר הורדת כל המאגר.

אבל לחיים, איש התשתיות שאחראי על ה-DB של המאגר - יש.

כמה "חיים" כאלו קיימים? כנראה לא כל כך מעט.

ומספיק שאחד מהם יהיה אידיוט או לחלופין ימכור את המאגר תמורת $$$.

 

ולדעתי לא ממש היו צריכים לעשות תעודה ביומטרית בכלל.

מה רע בתעודה שמכילה באופן אלקטרוני את:

1. אותם פרטי המידע שכרגע יש בתעודת זהות (כולל תמונה רגילה)

2. מספר סידורי נוסף (כמו שיש מספר דרכון שמשתנה בכל פעם שמנפיקים תעודה חדשה)

3. חתימה קריפטוגרפית של משרד הפנים שמאמתת את העובדה שהמידע הנ"ל הינו המידע שנכתב בתעודה כאשר הונפקה (ולא זויפו פרטים בתעודה).

 

ובנוסף לנהל במאגר מרכזי את רשימת המספרים הסידוריים של התעודות שהופקו וסטטוס (revocation list של התעודות שדווחו שאבדו/נגנבו),

ואפילו להפיץ באופן חופשי את רשימת המספרים הסידוריים של התעודות שנגנבו על מנת שכל גורם שמעוניין לוודא שלא משתמשים בתעודה גנובה מולו - יוכל לעשות זאת.

 

זה לא מספק את הרשיויות באירופה וארה"ב לצורך כניסה אליהן ללא ויזה. לכן לא תהיה ברירה אלא להנפיק דרכונים ביומטריים (איזה מזל יש לי - יש בידי דרכון ביומטרי אירופי). אבל מכאן ועד מאגר נתונים ביומטריים מרכזי הרדך ארוכה מאוד.

לפני 5 שעות, David32 כתב:

מה שאתה לא מבין זה שאתה מבזבז את הזמן שלך, את תעבורת האינטרנט שלך ואת אורך החיים של סוויצים במקלדת שלך.

 

  • תגובות 98
  • פורסם
  • תגובה אחרונה

המגיבים הפעילים ביותר בשרשור

ימים פופולרים

המגיבים הפעילים ביותר בשרשור

ימים פופולרים

E.L משקיען

E.L

פורסם
פורסם

במקום מאגר ביומטרי,היה אפשר לעשות כרטיס מגנטי חכם עם תמונה ונתונים שקשה לזייף.

מדינת חלם...

dorki פורומניאק

dorki

פורסם
  • פות"ש
פורסם

לא בטוח שמדינת חלם, כבר אמר הגדול מכולם מקיאוולי - שלא חשוב מה אתה עושה, העיקר שיש לך צידוק מוסרי לכך.

 

המדינה מצאה את הצידוק המוסרי וישנם מספיק מטומטמים שקונים אותו.

Dittohead נהג צעיר

Dittohead

פורסם
פורסם

3. חתימה קריפטוגרפית של משרד הפנים שמאמתת את העובדה שהמידע הנ"ל הינו המידע שנכתב בתעודה כאשר הונפקה (ולא זויפו פרטים בתעודה).

 

אני בספק שיש סיכוי שתתבצע הטמעת PKI בקנה מידה ארצי (מסופי מ"י, משרדי ממשלה וכיו"ב). וגם אם כן, זה יבוצע כמו שזה מבוצע בד"כ, ז"א, עקום ולא שקוף. וגם אם יקרה הדבר, הגורם האנושי ב-CA יהפוך להיות למטרה קבועה של כל מבצע HUMINT. :roll:

Leasingfahrzeug oder nichts

Asaf-R נהג שודים

Asaf-R

פורסם
פורסם

לגבי פריצה למאגר, כולם נותנים כדוגמה את מאגר משרד הפנים כמאגר שדלף - אבל יש הבדל ענק:

קודם כל, למאגר משרד הפנים חשופים אלפי אנשים, ועשרות גופים.

בנוסף, וזה הכי חשוב, אחת ל4 שנים המדינה מחלקת את נתוני משרד הפנים - בהתאם לחוק הבחירות, כחצי שנה לפני הבחירות, כל המפלגות שרצות לכנסת מקבלות ממשרד הפנים את המאגר בשלמותו, כולל כתובות, מספרי תז, משפחה וכו׳ - משם הדליפה הגדולה.

 

המאגר הביומטרי יהיה שמור, הגישה הישירה אליו תוגבל לכ10 עובדים בלבד - והכי חשוב - הוא לא יועבר לשום גורם.

אם המאגר המשטרתי מעולם לא דלף, אם המאגר הצבאי מעולם לא דלף - אין סיבה שהמאגר הזה ידלוף.

.We apologise for the inconvenience

Kernel נהג שודים

Kernel

פורסם
פורסם
המאגר הביומטרי יהיה שמור, הגישה הישירה אליו תוגבל לכ10 עובדים בלבד - והכי חשוב - הוא לא יועבר לשום גורם.

אם המאגר המשטרתי מעולם לא דלף, אם המאגר הצבאי מעולם לא דלף - אין סיבה שהמאגר הזה ידלוף.

 

פושע לא צריך את כל המאגר,

רשת פושעים ארצית לגניבת זהויות לא צריכה את כל המאגר.

 

כל מה שהם צריכים, זה לדוג באופן רנדומלי מישהו לפי מאפיינים מסויימים (צבע עור, שיער, מבנה פנים וכו'),

כדי להלביש עליו משהו.

 

זה יכול להיות חשבון בנק ופיזור שקים, ויכול להיות רצח או גניבת מידע מגופים מאובטחים מאוד (גם הטביעת אצבע שלך שם).

 

 

לצערנו, הדיג הזה קורה כבר היום,

כשחבר של שוטר מבקש ממנו לבדוק מספר רכב.

שחוקר פרטי יכול לשלוף לך את כל היציאות/כניסות מהארץ של אדם מסויים.

 

הבעיה עם הדיג הזה, שברגע שהוא כולל נתונים ביומטרים, ווואי ווואי, הלך על הדג.

----

m3x7r3m3 כותב. הרבה.

m3x7r3m3

פורסם
פורסם
לגבי פריצה למאגר, כולם נותנים כדוגמה את מאגר משרד הפנים כמאגר שדלף - אבל יש הבדל ענק:

קודם כל, למאגר משרד הפנים חשופים אלפי אנשים, ועשרות גופים.

בנוסף, וזה הכי חשוב, אחת ל4 שנים המדינה מחלקת את נתוני משרד הפנים - בהתאם לחוק הבחירות, כחצי שנה לפני הבחירות, כל המפלגות שרצות לכנסת מקבלות ממשרד הפנים את המאגר בשלמותו, כולל כתובות, מספרי תז, משפחה וכו׳ - משם הדליפה הגדולה.

 

המאגר הביומטרי יהיה שמור, הגישה הישירה אליו תוגבל לכ10 עובדים בלבד - והכי חשוב - הוא לא יועבר לשום גורם.

אם המאגר המשטרתי מעולם לא דלף, אם המאגר הצבאי מעולם לא דלף - אין סיבה שהמאגר הזה ידלוף.

 

את העובד שהדליף את מרשם האוכלוסין תפסו, והוא במקרה (או שלא) היה עובד של משרד הרווחה, לא מפלגה, ולא אף אחד מהגופים האחרים.

 

קרא כאן

 

אל תשווה בכלל למאגר הצבאי, כי זה מראה שאין לך שמץ של מושג על ההבדלים בארכיטקטורת הרשת.

לגבי הרשת המשטרתית - אני לא מכיר את הארכיטקטורה שלה, אבל אני מניח שזה דיי דומה לצבאית.

מה גם שהמנטליות הבמ"מית בשני הגופים הללו שונה לחלוטין מאשר במשרד ממשלתי.

 

אז כן למאגר הזה יש את כל הסיבות בעולם לדלוף, וזה רק עניין של זמן עד שזה יקרה, אני רק מקווה שזה ידלוף בזמן הפיילוט ובפיצוץ תקשורתי ענק שישמיד את המאגר המטומטם הזה.

 

ופושע לא צריך את כל המאגר, הוא רק צריך בנאדם רנדומלי אחד, וממנו רק את המידע הביומטרי של טביעת היד, משם לייצר כפפה עם טביעת היד של הקורבן זה סה"כ עניין של הכשרה, וכמו שאנחנו יודעים מעולם התוכנה, הדרישה גורמת לאנשים להיות מוכשרים.

ליאור

מאזדה 3 2.0 "ספיריט" 2020

בתאריך 12.5.2021 בשעה 13:54, יבגניפ כתב:

באמת. אני אוהב אותך כמו שאתה.

יבגני כבר לא אוהב אותי 😭

שניר106 נהג שודים

שניר106

פורסם
פורסם
לשושנה הפקידה במשרד הפנים אין גישה שתאפשר הורדת כל המאגר.

אבל לחיים, איש התשתיות שאחראי על ה-DB של המאגר - יש.

כמה "חיים" כאלו קיימים? כנראה לא כל כך מעט.

ומספיק שאחד מהם יהיה אידיוט או לחלופין ימכור את המאגר תמורת $$$.

 

ולדעתי לא ממש היו צריכים לעשות תעודה ביומטרית בכלל.

מה רע בתעודה שמכילה באופן אלקטרוני את:

1. אותם פרטי המידע שכרגע יש בתעודת זהות (כולל תמונה רגילה)

2. מספר סידורי נוסף (כמו שיש מספר דרכון שמשתנה בכל פעם שמנפיקים תעודה חדשה)

3. חתימה קריפטוגרפית של משרד הפנים שמאמתת את העובדה שהמידע הנ"ל הינו המידע שנכתב בתעודה כאשר הונפקה (ולא זויפו פרטים בתעודה).

 

ובנוסף לנהל במאגר מרכזי את רשימת המספרים הסידוריים של התעודות שהופקו וסטטוס (revocation list של התעודות שדווחו שאבדו/נגנבו),

ואפילו להפיץ באופן חופשי את רשימת המספרים הסידוריים של התעודות שנגנבו על מנת שכל גורם שמעוניין לוודא שלא משתמשים בתעודה גנובה מולו - יוכל לעשות זאת.

 

אתה טועה, אין הרבה חיים, יש אולי 1-2 חיים ואולי עוד 1-2 שלמה שנמצאים בדרגים מאוד גבוהים וגם להם יש גישה.

 

כמו בכל מקום בעל חשיבות - גישה לשרתי ה DB זה דבר אחד - את הסיסמא למשתמש ה ADMIN של ה DB - מקבלים אולי 2 אנשים, בטח לא יותר.

 

עם קבצי ה FULL BACKUP נשמרים בצורה נכונה (דהיינו גיבוי מקומי \ DR SITE ) - אז הכל בסדר, ועם LOG SHIPPING אין יותר מדי מה לעשות..

 

בכל מקרה - התאוריה היא חצי נכונה - אולי לא יצליחו להגיע לאותו חיים - אבל אנשים עושים טעויות ובצע כסף זה לא מילה גסה.

.קראו כאן - על השירות המזעזע שקיבלתי במסעדת פפריקה בפתח תקווה
m3x7r3m3 כותב. הרבה.

m3x7r3m3

פורסם
פורסם

זה בדיוק העניין, אתה אפילו לא צריך להגיע לחיים ולא לשלמה.

מספיק שתתקין logger על הכבל בין המכשיר הקורא של טביעת היד למחשב שלו, ותאסוף 2-3 טביעות (מידע Raw לחלוטין, לא מקודד ולא מאובטח בשום צורה).

 

אני מזכיר גם שניסוי הראה שבעזרת אנטנה כיוונית ניתן לקרוא את המידע שעובר בכבל בין מקלדת למחשב (מקלדת חוטית!) דרך הקיר וממרחק של 1.5 מטרים.

אז זה פחות מעניין לדעת ששניר 106 הקיש "www.carsforum.co.il", אבל זה מאוד מעניין שמישהו העביר את היד שלו בקורא, ומידע Raw כזה יכול להיות שווה הרבה כסף.

 

אל תשכח גם שהלשכות משרד הפנים לא מאובטחות ברמה של DRP Site או חוות שרתים ממשלתית.

ליאור

מאזדה 3 2.0 "ספיריט" 2020

בתאריך 12.5.2021 בשעה 13:54, יבגניפ כתב:

באמת. אני אוהב אותך כמו שאתה.

יבגני כבר לא אוהב אותי 😭

bagira ראש למגובבים

bagira

פורסם
פורסם
לגבי פריצה למאגר, כולם נותנים כדוגמה את מאגר משרד הפנים כמאגר שדלף - אבל יש הבדל ענק:

קודם כל, למאגר משרד הפנים חשופים אלפי אנשים, ועשרות גופים.

בנוסף, וזה הכי חשוב, אחת ל4 שנים המדינה מחלקת את נתוני משרד הפנים - בהתאם לחוק הבחירות, כחצי שנה לפני הבחירות, כל המפלגות שרצות לכנסת מקבלות ממשרד הפנים את המאגר בשלמותו, כולל כתובות, מספרי תז, משפחה וכו׳ - משם הדליפה הגדולה.

 

המאגר הביומטרי יהיה שמור, הגישה הישירה אליו תוגבל לכ10 עובדים בלבד - והכי חשוב - הוא לא יועבר לשום גורם.

אם המאגר המשטרתי מעולם לא דלף, אם המאגר הצבאי מעולם לא דלף - אין סיבה שהמאגר הזה ידלוף.

 

מזל שמשרד המשפטים חושב אחרת ממך!

 

 

חוות דעת שהוציא יועץ אבטחה חיצוני למשרד המשפטים, שהודלפה בטעות, מאששת את החששות וקובעת שהאבטחה של המאגר הביומטרי לוקה בחסר ● על פי הדו"ח, "הבקשות להנפקת תעודות מועברות ממערכות משרד הפנים לגורם המאשר בפרוטוקול לא מאובטח, אין נוהל עדכונים ולא הגיוני שהמערכת לא עודכנה במשך שנה" ● דו"ח שהוציאו מומחים מטעם ISACA ישראל מתריע אף הוא על אבטחת המאגר וממליץ "להפעיל את מלוא כובד אמצעי ההגנה המתאימים לסיכונים הכרוכים בו"

מחפש חלפים יעודיים לאימפרצה סטיישן ניו אייג'.

אשמח לדעת אם מישהוא מכיר אחת בפירוקיה.

שניר106 נהג שודים

שניר106

פורסם
פורסם
זה בדיוק העניין, אתה אפילו לא צריך להגיע לחיים ולא לשלמה.

מספיק שתתקין logger על הכבל בין המכשיר הקורא של טביעת היד למחשב שלו, ותאסוף 2-3 טביעות (מידע Raw לחלוטין, לא מקודד ולא מאובטח בשום צורה).

 

אני מזכיר גם שניסוי הראה שבעזרת אנטנה כיוונית ניתן לקרוא את המידע שעובר בכבל בין מקלדת למחשב (מקלדת חוטית!) דרך הקיר וממרחק של 1.5 מטרים.

אז זה פחות מעניין לדעת ששניר 106 הקיש "www.carsforum.co.il", אבל זה מאוד מעניין שמישהו העביר את היד שלו בקורא, ומידע Raw כזה יכול להיות שווה הרבה כסף.

 

אל תשכח גם שהלשכות משרד הפנים לא מאובטחות ברמה של DRP Site או חוות שרתים ממשלתית.

 

אני במקרה יודע שמשרד הפנים (הלשכות מחוברות בטרמינל לשרתים במיקום כלשהו בארץ) כן משתמש ב DRP SITE :) והחווה שהם ממוקמים בה היא אחת הטובות (מבחינת סקריוריטי)

.קראו כאן - על השירות המזעזע שקיבלתי במסעדת פפריקה בפתח תקווה
m3x7r3m3 כותב. הרבה.

m3x7r3m3

פורסם
פורסם

לא הבנת בכלל את מה שכתבתי.

 

האבטחה בלשכות היא לא האבטחה ב-DRP Site ולא בחווה (שם מן הסתם האבטחה הפיזית היא ברמה גבוהה), בלשכות האבטחה היא מינימלית ולרוב זה בסה"כ שומר מחברת אבטחה או משהו בסגנון.

 

אתה רק צריך להגיע למרחק של 1.5 מטר דרך קיר מהעמדת לקיחת פרטים ביומטריים, זה הכל.

 

ואני אפילו לא מתחיל לדבר על האקינג, אבטחה Low Level, Low Tech פיזית.

ליאור

מאזדה 3 2.0 "ספיריט" 2020

בתאריך 12.5.2021 בשעה 13:54, יבגניפ כתב:

באמת. אני אוהב אותך כמו שאתה.

יבגני כבר לא אוהב אותי 😭

bagira ראש למגובבים

bagira

פורסם
פורסם

על זה בדיוק מדברת הכתבה שהבאתי 2 הודעות מעל, מה שווה האבטחה של המערכת אם הבקשות להנפקת ת.ז. נשלחת ליצרן התעודות עם כל הנתונים הביומטרים בפרוטוקול לא מאובטח?

מחפש חלפים יעודיים לאימפרצה סטיישן ניו אייג'.

אשמח לדעת אם מישהוא מכיר אחת בפירוקיה.

שניר106 נהג שודים

שניר106

פורסם
פורסם
לא הבנת בכלל את מה שכתבתי.

 

האבטחה בלשכות היא לא האבטחה ב-DRP Site ולא בחווה (שם מן הסתם האבטחה הפיזית היא ברמה גבוהה), בלשכות האבטחה היא מינימלית ולרוב זה בסה"כ שומר מחברת אבטחה או משהו בסגנון.

 

אתה רק צריך להגיע למרחק של 1.5 מטר דרך קיר מהעמדת לקיחת פרטים ביומטריים, זה הכל.

 

ואני אפילו לא מתחיל לדבר על האקינג, אבטחה Low Level, Low Tech פיזית.

 

אתה טועה.

 

כל הדטה שמוקלד דרך הלשכות לא נרשמת בכלל ל DB המרכזי, ובטח שאין בו שימוש.

 

כל הלשכות משתמשות בכתיבה מקומית של הדטה - ומבצעים סנכרון אחת ל 48 שעות - לאחר ניטור פעולה נורמטיבית (ג'ובים שרצים לבדיקת אמינות ותאימות). גם אם תגיע עם עכבר מקלדת ו USB - ועם הסיסמא של מרים החביבה - לא תצליח לעשות שום דבר מעניין. הקריאה מוגבלת, והכתיבה לא קיימת.

 

יתרה מזה - כל שאילתא מעבר לסטנדרט (שנקבע ע"י מומחי אבטחה) תיצור ניתוק ותוציא אזהרה.

 

זה לא קל כמו שאתה חושב - אנחנו לא בסרט האקרס מ 1995 - אי אפשר פשוט להתחבר ולהתחיל להפגיז

.קראו כאן - על השירות המזעזע שקיבלתי במסעדת פפריקה בפתח תקווה
m3x7r3m3 כותב. הרבה.

m3x7r3m3

פורסם
פורסם

טועה אני לא, אתה כנראה לא הבנת.

אין צורך "להאזין" בכלל לתקשורת בין המסוף שבלשכה לשרת המרכזי, מה גם שזה קשה יותר עם כבלים שמסוככים בצורה הרבה יותר טובה.

אתה מאזין לכבל בין הקורא טביעת יד USB לבין המסוף, אתה שואב משם Raw Data שהקורא הסטנדרטי שולח למחשב.

למעשה בתור פושע אתה לא צריך שום דבר מעבר, לא מעניין אותך הפרטים הנוספים של אותו קורבן, שאבת את הטביעת יד שלו וזהו.

 

וכמו שאמרתי בכבלים כאלה שהם לא מסוככים כמו כבלי רשת למשל, אפשר להאזין להם ממרחק של 1.5 מטר דרך קיר עם בסה"כ אנטנה כיוונית.

 

אתה לא צריך לבצע שאילתות, כמו שאמרתי הכי Low Level, הכי Low-Tech שאפשר, אפילו לא מצריך ממך להיכנס בכלל ללשכה למקרה שהיא מנוטרת במצלמות, אתה יכול לשכור את המשרד הסמוך.

 

אין לי מושג למה אבל אתה טועה ומטעה

ליאור

מאזדה 3 2.0 "ספיריט" 2020

בתאריך 12.5.2021 בשעה 13:54, יבגניפ כתב:

באמת. אני אוהב אותך כמו שאתה.

יבגני כבר לא אוהב אותי 😭

 שיתוף
לרשימת הנושאים
×
×
  • תוכן חדש...