האקר הוכיח: גם טביעות האצבע שלכם אינן בטוחות
מומחה אבטחה הצליח להשיג את טביעת אצבעו של שר ההגנה הגרמני בעוד הלז נואם בכנס בינלאומי. זאת, על ידי שימוש בצילום ברזולוציה גבוהה והפיכת התמונה לטביעת אצבע מזויפת - שבכוחה להטעות מנגנוני אימות זהות
השימוש באמצעי זיהוי ביומטרים כגון טביעות אצבע או רשתית הפך בשנים האחרונות לחומת המגן האחרונה של חסידי אבטחת המידע. ואולם, על פי מה שהציג ההאקר סטארבאג במהלך הכנס השנתי של ה-Chaos Computer Club, גם טביעות אצבע אינן בטוחות. ההאקר הציג שיטה שמאפשרת לגנוב את טביעת האצבע שלכם על ידי צילום בעזרת הסמארטפון.
- בעקבות מתקפת הסייבר: איך נראה האינטרנט במדינה המבודדת בעולם?
- אלה הן חמש הנוזקות שעשו להאקרים את השנה
- צ'ק פוינט: פרצת אבטחה חמורה התגלתה במיליוני נתבים ברחבי העולם
סטארבאג המחיש את השיטה בהדגמת גניבת טביעת האצבע של שר ההגנה הגרמני בזמן שהלז נאם בכנס אחר. ההאקר צילם את היד של השר במהלך נאומו, והצליח לייצר תמונה נקייה ולא מטושטשת של פני האגודל של השר. לאחר מכן, תוך שימוש בתוכנות ריטוש מסחריות הוא הצליח לבצע הפרדה של מבנה טביעת האצבע. כל מה שנותר לו לעשות זה להדפיס בתלת ממד את הטביעה לקבלת העתק מדויק שלה.
מעבר להישג המקורי ולחשיבה שמאחורי השיטה, סטארבאג העלה מספר נקודות חשובות למחשבה: כיום השימוש הגובר בטביעות אצבע כמפתח לנעילה ופתיחה של מכשירים ושירותים שונים עלול לחשוף את המשתמשים לסכנות, למרות שכביכול מדובר בשיטה הרבה יותר אמינה משם משתמש וסיסמה. עוד שאלה חשובה היא כיצד ניתן לוודא שטביעת האצבע אכן שייכת למשתמש. לבסוף, השימוש באמצעי יחידני לזיהוי הוכח שוב כבעייתי - כיום הנטייה היא לדרוש הזדהות על ידי מספר אלמנטים מזהים או שילוב בין סיסמאות, שמות משתמש ותכונות ביומטריות. בכל מקרה, עץ ההאקר לפוליטיקאים ללבוש כפפות באירועים ציבוריים.
תוכנת ריגול במשרד של קאנצלרית גרמניה
בתוך כך, נודע כי אותרה נוזקת Regin בתוך מחשב ששייך לאחת מעוזרותיה של קאנצלרית גרמניה אנגלה מרקל. מדובר בנוזקה מתוחכמת במיוחד שמשמשת לריגול ושמסוגלת לבצע צילומי מסך, מעקב אחר הקלדה ואף מאפשרת שליטה מרחוק על המחשב המודבק. הנוזקה פותחה כנראה על ידי ה-NSA וה-GCHQ (סוכנויות מודיעין האותות של ארה"ב ובריטניה בהתאמה) אך לא בטוח כי הן אלו שעמדו מאחורי השימוש שלה במחשב של הפקידה הבכירה.
הנוזקה עצמה הוחדרה על ידי שימוש במחשב הביתי של הפקידה, שאחראית על מחלקת המדיניות האירופית בממשלת גרמניה. הפקידה לקחה איתה הביתה טיוטה של נאום על דיסק און קי, עבדה על הקובץ במחשב לא מאובטח וכך הביאה את הנוזקה למחשב המשרדי. בדיקה שבוצעה על יתר המחשבים במשרדי הקאנצלרית הראתה שרק המחשב של הפקידה הותקף.
הסיכוי שמדובר בניסיון הדבקה מכוון גבוה מאוד והוא מראה שהמשתמשים לא תמיד מודעים לסכנות שאורבות להם. Regin נחשפה לראשונה על ידי אתר The Intercept שהוקם על ידי אדוורד סנודן וגלן גרינוולד ותיאר את תפקידה ככלי ריגול שיוצר במיוחד למעקב אחר ממשלות, ארגונים ומכוני מחקר.