הניסוי בתעודות הביומטריות החדשות ובמאגר המצורף צפוי להתחיל בקרוב, אבל מסמכים של משרד המשפטים מגלים שרכיב חשוב בתוכנית, פרויקט ממיל"א (מנפיק ממשלתי לתעודות אימות), אינו מאובטח כהלכה - כך נחשף אמש (ראשון) לאחר שתוצאות בדיקת אבטחה ותכתובת פנימית בנושא דלפו בתפוצה רחבה לרשת.

פרויקט ממיל"א אחראי על ההנפקה המאובטחת של התעודה האלקטרונית, שתשולב בתעודה הפיזית. באתר ממשל זמין מסבירים כי "באמצעות התעודות האלקטרוניות לאימות ניתן יהיה להזדהות בפני מערכות מידע ושירותים מקוונים המצריכים 'אימות חזק' של המשתמש. מנגנון האימות מהווה תחליף לשימוש בשם משתמש וסיסמה".

פרויקט ממיל"א מהווה Certificate Authority, שאחראית על אמינות התעודות האלקטרוניות המונפקות. לשם כך הוא צריך להקים את "עוגן האמון", שעליו נסמכת אמינותן של כל התעודות. הפרויקט מוקם על ידי ממשל זמין ואמור להיות מנוהל על ידי רשות האוכלוסין וההגירה במשרד הפנים.

דורון אופק, מומחה אבטחת מידע ופעיל בתנועה לזכויות דיגיטליות, הסביר ל"הארץ" כי לא מדובר במידע הביומטרי אלא בתעודה דיגיטלית שאיתה ניתן להזדהות מול שירותי הממשלה. לדבריו, זה בעצם מה שנמצא בלב התעודה החכמה. "בעיות אבטחה ברשת הזו בעצם יוצרות בעיות אבטחה בכל רשת ההנפקה של התעודות הביומטריות".

עברו לתצוגת גלריה מתוך אתר ממשל זמין

במסמכי הנהלים של הפרויקט מצויין כי הוא "עושה שימוש במערכות חומרה ותוכנה מהימנות, המעניקות הגנה סבירה מפני חדירה, שיבוש, הפרעה או גרימת נזק לחומר מחשב ומקנות רמה סבירה של זמינות ואמינות. הממיל"א יעמוד בכל זמן פעילותו בדרישות אבטחת מידע פיזית ולוגית, נהלי עבודה מסודרים ודרישות תיעוד".

"מערכות ההגנה כוללות "ליבה" מאובטחת של תוכנת חתימה אלקטרונית ומערך של אמצעי תקשורת ואבטחה שנועדו להגן על הליבה, כך שיגיעו אליה רק בקשות ממקור מוסמך, מאובטח ובדוק. אמצעי האבטחה כוללים חומת אש, הצפנה, שרת קדמי – "פרוקסי" (proxy) - הבודק את המידע לפני הגעתו לשרת הפנימי הרגיש, וכן מנגנוני בקרה וביקורת הרושמים כל פעולה שבוצעה במערכת".

המסמכים, שנחשפו אמש בצינור לילה בערוץ 10 והגיעו גם לידי "הארץ" חושפים שורה של ליקויים שהתגלו בפרויקט ממיל"א במבחני חדירה של הרשות למשפט טכנולוגיה ומידע (רמו"ט) ובתוצאות ביניים של מבדקי חדירות שביצעה חברת האבטחה קומסק למערכת.

בבדיקה של קומסק התברר בין היתר:

1. המערכות של הפרויקט אינן מוגנות בתוכנות אנטי וירוס. בדו"ח מציינת קומסק מקרה אחר של פריצה ל-Certificate Authority, שגם בה לא הותקנו תוכנות אנטי וירוס בתוך מחשבי המערכת. החברה ההולנדית נקראה Diginotar, והפריצה לשרתיה אפשרה לגורמים איראניים לחדור לחשבונות ג'ימייל של 300 אלף אזרחים איראנים. בין היתר גם זויפו תעודות אבטחה של אתרי המוסד וה-CIA.

2. במערכת לא הותקנו מערכות התראה ובקרה (intrusion detection and prevention systems). "מטרת מערכות אלו הנה לא רק למנוע אלא גם לזהות ולהתריע בפני תקיפות וניסיונות חדירה למערכות, לא רק מחוץ לארגון אלא גם על ידי עובדים שאינם מורשים לבצע פעולות מסוגים שונים", נכתב בדו"ח של רמו"ט. "ללא מערכות התרעה לא ניתן יהיה לדעת האם מתבצעות פעולות חריגות במערכות ממיל"א ולתחקר אותן כדי למנוע שימוש לרעה בעתיד".

בנוסף מתברר שלא מתבצע רישום של תקריות הקשורות ב-Firewall.

3. על פי המסמך של רמו"ט, המערכת לא תוכננה לעבור עדכונים ידניים שוטפים. "מקובל בתחום, כי במערכות מבצעיות יתבצעו עדכונים ידניים, ולא הגיוני כי יהיו מערכות שאינן מעודכנות במשך שנה שלמה", נכתב בהמלצות. עוד צויין כי יש לכתוב נוהל "המתאר את התהליך בו פעם בשבוע נבדקים עדכונים חדשים למערכות השונות בסביבת TEST. לאחר אישור תקינות העדכונים עוברים "הלבנה" ולאחר מכן מותקנים במערכות

ממיל"א".

4. בקשות להנפקת תעודות מועברות ממשרד הפנים למערך להנפקת חתימות דיגיטליות (Certificate authority) ברשת פנימית בפרוטוקול לא מאובטח (HTTP).

בחוות הדעת של רמו"ט מסבירים כי "מבחינת מומחי אבטחת המידע אין הבדל ברמת האבטחה הנדרשת בין מערכת 'סגורה' למערכת 'פתוחה' לאינטרנט, מאחר וידוע כי דווקא מרבית ההתקפות מגיעות מרשתות פנימיות/עובדים ולא מרשתות האינטרנט".

למעשה, גם במקרה המפורסם הנוסף של דליפת מרשם האוכלוסין בשנת 2006, האחראי היה עובד קבלן במשרד הרווחה שהצליח לשים את ידיו על המאגר שמכונה אגרון.

5. ההצלבה בין בקשות להנפקה ממשרד הפנים לתעודות שהונפקו על ידי ממיל"א מתבצעת על ידי קובץ אקסל לא מוצפן.

ראש רמו"ט: לא יכולה לקבוע שהמערכת עמידה דיה

במכתב של עו"ד רבקי דב"ש, הממונה בפועל על רמו"ט, היא מציינת כי מנהל אגף מערכות מידע ברשות האוכלוסין וההגירה, מר יוגב שמני, מסר לה כי תשתיות המערכת נבדקו ונמצא כי היא עומדת ברמת אבטחה סבירה, "אך נאסר על הרשות להעביר לעיוננו את ממצאי הבדיקות שנערכו".

"אציין כי בשים לב למידע החלקי שנמסר לידנו, לחוות דעתו של יועץ האבטחה של רמו"ט ולמועד בו נמסר לידנו המידע, אין באפשרותי לציין כי לעניין הצורך במבדקי החדירות והצורך בתיקון ליקויים בעקבות תוצאותיהם, הונחה דעתי כי הנתונים שהוצגו בפניי

מספקים לעניין עמידות המערכת כנדרש בפרויקט מסוג זה", קבעה דב"ש.

לדבריה, רמו"ט אינה יכולה להשלים את הבדיקה בלוח הזמנים שנקבע להפעלת הפרויקט, בין היתר מפני שהמידע שביד הרשות חלקי. זאת מאחר שעדיין מדובר בממצאי ביניים של קומסק ומאחר שנאסר על העברת חלק המידע מרשות האוכלוסין לרמו"ט.

מומחה האבטחה, דורון אופק, הסביר שרמו"ט הוא הגוף שאמור לבקר ולפקח על משרדי הממשלה בנושא הזה. למעשה בכך שלא מועבר המידע, הגוף המבקר לא יכול לקבל תמונה מלאה של הנעשה.

במסמך המפרט את הליקויים מציין יועץ אבטחת המידע עומר פרידמן כי "גם בסעיפי הליקויים שמצאו קומסק שבהם ממשל זמין מאשרים כי יתקנו, לא נקבעו לוחות זמנים ולא ברור אם התיקון יתבצע לפני העלייה לאוויר של הפרויקט או אחריה ואם כך אזי תוך כמה זמן".

ממשרד המשפטים נמסר בתגובה: מדובר במסמך שעוסק בהיבטי אבטחת מידע של רכיב האימות האלקטרוני (PKI) הקשור לפרויקט תעודת הזהות החכמה. המסמך נכתב במסגרת חובת ההיוועצות של רשות האוכלוסין עם גורמי רמו"ט לגבי היבטים אלה- בהתאם לשגרת העבודה אשר נועדה לוודא את איכות התהליך.

המערכת החדשה טרם הופעלה והליקויים שעליהם מצביעה רמו"ט במסגרת הפיקוח שלה אמורים להיות נידונים בימים אלה מול הגורמים הרלוונטיים, כחלק מדיון מקצועי על תפיסת אבטחת המידע במערכת זו. יש לציין כי הדיון נמצא בראשיתו והמסמכים כוללים מידע ראשוני וגולמי. המערכת החדשה, שתופעל בינתיים כפיילוט, תיבחן לאורך כל תקופת הפיילוט על פי הסטנדרטים המחמירים ביותר מבחינת אבטחת מידע.

המסמך, שנשלח בדואר האלקטרוני, שוגר בשל טעות אנוש לתפוצה רחבה יותר לעומת תפוצתו המקורית. מנכ"ל משרד המשרד המשפטים, ד"ר גיא רוטקופף, הטיל על קב"ט המשרד לבדוק את האירוע ולהעביר אליו את מסקנותיו.

מרשות האוכלוסין וההגירה נמסר בתגובה: רמו"ט הנה אחד הגורמים עמם מחויבת רשות האוכלוסין להיוועץ בנושא, ועם זאת, אבטחת המערכת נעשית תוך התייעצות עם מומחים נוספים בתחום אבטחת המידע. התייחסות רמו"ט במסמך האמור אינה נוגעת לנתונים הביומטריים המצויים על התעודה הביומטרית כי אם לנתוני אימות אלקטרוניים המשמשים להזדהות מול אתרי ממשלה באינטרנט (שירותי ממשל זמין).

*****************************

מתוך דו"ח הבדיקה של קומסק שדלף: