מדינת ישראל מעודדת חברות לא לבזבז כסף על אבטחת מידע

נעם רותם ועידו קינן, סייברסייבר

כיסינו לא מעט כשלים טכניים וניהוליים שהובילו לפירצות אבטחה ולדליפות מידע משמעותיות בשלוש העונות של הפודקאסט הפופולרי סייברסייבר. אלו היו יכולות להימנע לו היו אנשי מקצוע מעורבים בתהליך, והחלטות היו מתקבלות על בסיס מקצועי.

אולם התנהלות הרשויות (רשות הפרטיות של משרד המשפטים, 🎵מערך הסייבר הלאומי🎶 של משרד ראש הממשלה ומשטרת ישראל של המשרד לבטחון פנים) בפירצות האבטחה המשמעותיות שהתגלו בשנה האחרונה, והגילויים החדשים שאנחנו מביאים פה, מצביעים על כשל מתמשך ותשתיתי, ולא על טעות נקודתית. תוסיפו לזה העדר כלי אכיפה כלשהם, ואנחנו מקבלים נזיד מהביל של חלמאות, חוסר מקצועיות, ולא פחות חשוב מכך – חוסר אכפתיות לפרטיות של כל אחת ואחד מאיתנו.

ההיסטריה חוזרת על עצמה

נתחיל מחברת רנעד, ספקית מערכת שעוני נוכחות חברות, שחשפנו שהפקירה מידע של לקוחותיה, ולא סגרה את הפירצה אלא שלושה שבועות שלמים ופריכים אחרי הדיווח הראשוני שלנו ומעורבות סמלית של מערך הסייבר. נריה באשה, מאזין נאה של הפודקאסט, לא האמין למשמע אוזניו. “רנעד??”‘, הוא מלמל בתדהמה. באשה הצטייד במאפה ופתח את האימייל כדי לחפור בערמות האימיילים שלו, וכעבור מספר שניות, כשמצא את מבוקשו, נאנח אנחה עמוקה ונשען, שמוט איברים, על כסאו. “זה לא יכול להיות”, חשב. מולו ריצד מייל ששלח לפני כמעט שלוש שנים, ב-20 באפריל 2018, ל🎵מערך הסייבר הישראלי🎶, ובו פירוט כשלים של חברת רנעד שהובילו לחשיפה של כל עובדי הארגונים המשתמשים במערכות שעוני הנוכחות של החברה.

באשה גילה שבאמצעות שימוש בכלי הפריצה המשוכלל דפדפן, הוא יכל לגשת למידע של כל אחד ואחת מלקוחות החברה, ללא כל הגבלה של סיסמה או אמצעי אחר שימנע ממנו לעשות כן. “התקשרתי לרנעד טק והסברתי להם את העניין – תגובתם הייתה שככה הם עובדים. נראה שהם לא מתכוונים לשנות את זה”, הוא סיפר במייל ל🎵מערך הסייבר🎶. “אשמח אם תוכלו להסדיר את עניין מולם ולעדכן אותי כשהנושא טופל”.

נשמע מוכר? חכו חכו! תגובת 🎵מערך הסייבר🎶 לא איחרה להגיע, וכעבור יומיים הם חזרו אליו עם התשובה הבאה: “שוחחנו עם החברה הן אודות חוסר הקשחת השחת [הטעות במקור, כנראה התכוונו “השרת”; נ”ר, ע”ק] והן אודות חוסר מידור ההרשאות. מהחברה נמסר כי יטפלו בנושא. אנו נעקוב אחר העניין”. באשה היה מאושר. “תודה רבה על הטיפול, משמח לראות שיש גוף במדינת ישראל שאפשר לפנות אליו בנושאים האלו”, ענה להם, ודמעת התרגשות נצצה בזווית עינו.

שלושה שבועות חלפו, ובאשה, שחרד לפרטיות המידע של אזרחי ישראל, ראה שלמרות ההבטחות לא נעשה דבר. הוא לא התעצל ובאמצע חודש מאי שלח מייל נוסף: “שלום, ראיתי שהנושא עדיין לא טופל, האם יש צפי לטיפול?”

עובד/ת אלמוני.ת של הגוף הישראלי המתוקצב ב-250 מיליון ש”ח ענ(ת)ה במייל לא חתום: “אכן הנושא עדיין לא טופל אך החברה פועלת על מנת לטפל בנושא. אנו בקשר רציף עם החברה לטיפול בנושא – הבעייתיות נגרמת עקב ‘טיפול’ בסביבה חיה, כאשר יש צורך לא לפגוע ברציפות העבודה. בימים הקרובים הנושא אמור להיפתר, נעדכן בזמן שיקרה”.

כאמור, שלושה שבועות חלפו מבלי שנעשה דבר, ו🎵מערך הסייבר🎶 מבטיח טיפול “בימים הקרובים”. אם נסיר מנעם לרגע את כובע הלץ המגיש את הפודקאסט הפופולרי סייברסייבר ונחבוש את כובע מנהל הפיתוח הרציני שהוא ממלא בעשורים האחרונים, נאמר שאין שום סיבה, אפילו לא אחת, שטיפול בבעיית אבטחה פשוטה כזו, של מידע חשוף הנגיש למי שאינו אמור לראותו, יקח שלושה שבועות. ואם חברה שאתם עובדים איתה מגיבה בצורה כזו – הדבר אומר דרשני, שלא לדבר על פטרני, שלא לומר תבעני תביעת רשלנות ענקית.

בימים הקרובים

אבל מה לבאשה כי ילין – 🎵מערך הסייבר🎶 הבטיח טיפול מהיר “בימים הקרובים”, ומה הם עוד כמה ימים אל מול שלושת השבועות שקדמו לכך? וזה לא שהיו לו ברירות אחרות, לאור תגובת החברה כשהוא עצמו פנה אליה – “הם אמרו שככה הם עובדים ולא נראה שהם מתכוונים לשנות זאת”, סיפר לנו. לכן הוא התאזר בסבלנות, והמתין.

והמתין.

והמתין.

החודשים חלפו, פרחי האביב קמלו, חודש יוני נכנס ויצא, אחריו גם חודש יולי, וחודש אוגוסט החרה החזיק אחריו, “הימים הקרובים” הפכו לשבועות וחודשים, והמידע על לקוחות החברה – עדיין נגיש וזמין לכל גולש ודורש. רק ב-26 באוגוסט, חמישה חודשים(!) אחרי הדיווח של באשה, ולמרות “הקשר הרציף” של 🎵מערך הסייבר🎶 עם חברת רנעד, נסגר החור. זו התנהלות לא פחות משערורייתית, ובאשה, ששבע מרורים, לא טרח אפילו לבדוק אם הטענה הזו נכונה, והסתפק במענה לקוני של “תודה רבה”.

אבל זה לא הכל. לא, זה לא הכל.

שנה אחת קודם לכן, בהשתלשלות נפרדת לחלוטין מזו המתוארת מעלה, קבע משרד המשפטים לגבי רנעד כי “לא קיימה החברה את החובה המוטלת עליה לאבטחת מידע הקבועה בסעיף 17 לחוק הגנת הפרטיות התשמ”א-1981”, וזאת בעקבות “אירוע אבטחת מידע […] שהביא לזליגתם של קבצים ורשומות הכוללות מידע אישי של עובדים, משכורות וכד’ לרשת האינטרנט”. בהחלטתו דרש המשרד מחברת רנעד “לבצע פעולות מתקנות ליישום רמת האבטחה הנדרשת”.

הפקרת סייבראבטחה ופרטיות שביצעה רנעד 🖼️ אתר משרד המשפטים
הפקרת סייבראבטחה ופרטיות שביצעה רנעד 🖼️ אתר משרד המשפטים

ומה נעשה בין אירוע האבטחה של 2017 לזה שגילה באשה שנה שלמה מאוחר יותר? לא יותר מדי, מסתבר. משרד המשפטים לא טרח לבדוק שהחברה מיישמת את הנדרש ממנה, 🎵מערך הסייבר🎶 עדיין לא היה בתמונה (וגם אם היה בתמונה סביר שלא היה נעשה יותר), והחברה המשיכה להזליג את המידע של לקוחותיה לכל עבר. לא פלא ששנה לאחר הקביעה של משרד המשפטים, באשה נתקל בו שוכב על רצפת האינטרנט. ומטריד מאוד שכמה שנים אחר כך – עד היום, למעשה – המידע עדיין חשוף.

מכיוון שקוד המקור הפעיל על המערכות גם הוא חשוף, אפשר לראות את תאריכי השינוי האחרון בו. חלקים גדולים בו לא עודכנו מאז 2017, ויש בו קוד שנכתב עוד ב-2005. זאת אומרת – חברה ש”שמה ‘בראש מעייניה’ [המרכאות הפנימיות במקור, נ”ר] את נושא ההובלה בתחום הפיתוח והשירות, על ידי שימוש בטכנולוגיות מתקדמות והקפדה על רמת מקצועיות גבוהה” – מפעילה קוד ישן ולא מעדכנת אותו במשך שנים.

על אודות חברת רנעד  🖼️ אתר רנעד
על אודות חברת רנעד 🖼️ אתר רנעד

תגובת מערך הסייבר הלאומי:

השנה קיבל המערך 360 דיווחים על חולשות בארגונים שונים מחוקרי אבטחה ומקורות נוספים – עלייה של 80% בהשוואה לשנה שעברה. זאת, נוסף ל-5,000 פניות יזומות שביצע המערך לארגונים בשנה וחצי האחרונות, בהכוונה לסגירה של חולשות חמורות רוחביות ונפוצות. רוב הארגונים מתייחסים ברצינות לדיווחים שמגיעים מהמערך ומטפלים בסגירת החולשות במהירות. מי שבוחר לא לסגור את הפירצה – מוצא עצמו חוזר ומבקש את עזרת המערך בטיפול בתקיפה. כמו כן, במקומות שבהם למערך יש סמכות בחוק, חולשות נסגרות במהרה.

גלעד ארדן מעודד חברות שסרחו

רצף האירועים האלה מעלה שאלות קשות לגבי היכולת של המדינה לכפות על חברה מסחרית לאבטח את המידע של כולנו, אבל מה עם המידע של המדינה עצמה? כאמור, בשנים 2017-2018 היתה מעורבת רנעד בלפחות שני אירועי אבטחה משמעותיים, שחשפו את פרטיהם של אלפים רבים של עובדים, וטופלו על ידי שני משרדי ממשלה שונים. למרות זאת בחר המשרד לבטחון פנים בראשות השר גלעד ארדן להתקשר עם החברה ולהפקיר בידיה מידע על עובדיו; כמוהו גם הרשות הארצית לכבאות והצלה, שלוש שנים ברצף, בפטור ממכרז.

התנהלות החברה היא דבר אחד. אנחנו מניחים שאם הם מתעקשים לא להבין דבר באבטחה או באיכות מוצר – זו זכותם, וזה עניינם מול הלקוחות שלהם. את התנהלות המדינה – איננו מבינים. שלושה אירועי אבטחה משמעותיים שונים מצביעים על התנהלות סדרתית. גופים אזרחיים שבוחרים להתעלם מהתנהלות כזו – אפשר לבקר את שיקול דעתם, ואנו קוראים לעובדים שפרטיהם נחשפו לבוא בשאלות למנהליהם ואולי אפילו לדרוש פיצוי כספי ואחר. אבל משרד ממשלתי בטחוני? כאן יש שתי אפשרויות בלבד: רשלנות או שחיתות.

חוזים ממשלתיים של רנעד 🖼️ מפתח התקציב
חוזים ממשלתיים של רנעד 🖼️ מפתח התקציב

אם המשרד לבטחון פנים לא ידע על אירועי האבטחה והעדר הטיפול בהם, לא שאל, לא בדק, לא וידא את יכולות החברה בתום אבטחת המידע – מדובר ברשלנות מהמדרגה הראשונה, ומי שחתם על ההתקשרות הזו ראוי אולי שיבחן קריירה אחרת, יתכן שבתחום ניקוי הגללים מכלוב הסמורים בגן החיות התנכ”י.

אבל אם ידעו הגורמים הרלוונטים במשרד לבטחון פנים על שני אירועי האבטחה, העדר הטיפול בהם, והעדר כל תרבות של אבטחת מידע בארגון, ועדיין בחרו להמשיך בהתקשרות – כאן אולי יש מקום לערב גורמי חקירה משמעותיים יותר.

מרשות כבאות והצלה נמסר:

כבאות והצלה לישראל סיימה כבר בשנת 2019 את ההתקשרות העסקית עם חברת “רנעד טק מחשבים” כחלק ממאמץ ארגוני להחיל מערכת השכר הממשלתית (מרכבה) בתחנת כיבוי באר שבע.

יובהר להלן כי החברה שפיתחה מערכת ייעודית לאיסוף נתוני נוכחות ותמחור שכר בתחנת כיבוי באר שבע עשתה זאת עוד בתקופת איגודי הערים וטרם הקמת מערך כבאות והצלה . יתרה מכך, החברה זכתה מהאוצר לפטור על מתן שרותי תמיכה למערכת והוא חודש גם בשנים לאחר הקמת הרשות לכבאות מתוך רצון להחיל רציפות שכר לעובדי התחנה.

נוכח סיום ההתקשרות עם החברה כל טענה על חשיפת כשלי אבטחת מידע אינה מענייננו.

אלקטור אלקטור אלקטור!

המסקנה המתבקשת מהשתלשלות האירועים הללו היא שאין אף מבוגר אחראי בשום חוליה בשרשרת שאמורה להגן על פרטיות ואבטחת המידע של כולנו, המטופל בידי חברות אזרחיות. אנחנו רואים גם שאין מבוגר אחראי שאמור להגן על המידע של עובדים בארגונים בטחוניים. מה כן יש? גוף סייבר שמקבל 250 מיליון ש”ח בשנה ושמתפקד כמערכת ניתוב שיחות, ורשות הפרטיות שמתפקדת כאריה מנייר ושבמשך שנים קוצצו סמכויותיה עד שבשלוש השנים האחרונות אפילו לא טורחים בממשלה למנות מנהל/ת במינוי קבע, ומי שעומדת בראשה כממלאת מקום מתפקדת גם כראש רשות אחרת. אז מי נשאר להגן עלינו, האזרחים?

תשובה לשאלה הזו קיבלנו בצורה של דוח של משרד המשפטים על מפעילי אפליקציית הבחירות אלקטור, שבמחדליהם המתמשכים הביאו לחשיפת פרטיהם של מיליוני אזרחים ישראלים. ההחלטה מנוסחת בלשון שאין לטעות בה, ולמעשה אומרת שהגרסה שמסרו מפעיליה של אלקטור – שקרית. משרד המשפטים מצא “ליקויים רבים וחמורים באבטחת המידע במערכות המידע של חברת אלקטור, וכן בהתנהלותה כמחזיקה של מידע אישי ורגיש”. “גם לאחר תיקון הליקויים הראשוני”, כותבים שם, “עדיין ניתן היה לחדור למערכות המידע שלה ולהגיע אל פנקסי הבוחרים ואל מידע אישי המצוי במערכת”. אבל את זה כבר ידענו.

הפרזנטור של אלקטור, ראש הממשלה בנימין נתניהו, בסרטון תעמולה
הפרזנטור של אלקטור, ראש הממשלה בנימין נתניהו, בסרטון תעמולה

כזכור, מפעילי אלקטור טענו בתצהיר רשמי לוועדת הבחירות כי “פרצת האבטחה באפליקציה התגלתה ביום שבת (8.2), והיא נמשכה ‘פרק זמן קצר מאוד’ ש’נמדד בשניות'”. בפועל היה מדובר על למעלה שבוע שבו כל אדם עם ידע בסיסי יכל לגשת למידע של כל אזרחי המדינה בגיל הצבעה, ושכפי שמציין משרד המשפטים לא תוקן “תוך שניות”. הודעת משרד המשפטים כוללת קביעות קשות וחמורות לגבי התנהלות החברה, וזו מצידה מספקת שקרים על שקרים על שקרים לגורמים רשמיים של המדינה. גם כאן נראה שמדובר בהתנהלות סדרתית וחוסר לקיחת אחריות. בימינה כבר החליטו להשתמש באלקטור בבחירות הקרובות, ובליכוד שוקלים.

ומה העונש שקיבלו חברת אלקטור, ומפלגות הליכוד וישראל ביתנו שהעבירו לה מידע פרטי ורגיש על כולנו מבלי לבדוק את יכולת החברה להגן עליו, בתום שנה של חקירה מאומצת של משרד המשפטים? ניחשתם נכון – כלום. שום דבר. המסר שמעבירה המדינה לחברות וארגונים המחזיקים את המידע שלנו ברור – אין צורך להשקיע באבטחת מידע, אין צורך להשקיע בהגנה על המידע, מבחינתם לשים אותו פתוח ברשת עם שלט ניאון מהבהב “כאן מידע למסירה בחינם”. זה כמובן מגיע עם שורה ארוכה של צקצוקים ונזיפות ונפנופי אצבעות של המדינה, אבל בפועל – כשמנהל עומד בפני החלטה אם להשקיע סכום כסף בהגנה על המידע או להשקיע את אותו סכום כסף בשיפור איכות המאפים בישיבות ההנהלה – הבחירה ברורה.

אין שירביט – אין אימפקט

וכאן אנחנו מגיעים לחלק הכואב ביותר. כשאין חוק – כל דאלים גבר. אם המידע של רנעד היה מקבל את אותו הטיפול שקיבל המידע של חברה הביטוח שירביט, היינו רואים טיפול שונה לחלוטין. כשכנופיית פושעי סייבר ביקשה לסחוט את חברת הביטוח הישראלית ואיימה לפרסם מידע שגנבה מהשרתים – שורה ארוכה של גופים התייצבו במשרדי החברה והכריחו אותה להשבית את מערכותיה עד אבטחתן. לא היה הליך של “החברה אומרת שיקח שלושה שבועות לאבטח את המידע, אנא התאזרו בסבלנות”. סגרו, פשוט הגיעו וסגרו את המערכות עד לתיקון, לבדיקה של התיקון, לבדיקה חוזרת של הבדיקה הקודמת, ורק כשהיו בטוחים שהמידע סגור – התירו את המשך הפעילות.

מדוע כשאין כנופיית כופר, הטיפול לא זהה? מדוע המדינה מאפשרת לחברה להגיד, בלי להתבייש, “חכו שלושה שבועות, עד אז המידע ימשיך לדלוף”? מדוע במקרה אלקטור לא השביתה המדינה את המערכות של החברה עד לתיקון הליקויים, בדיקתם, וקבלת אישור להמשך תחת פיקוח? 

רשיון הנהיגה שלכם באתר שירביט 🖼️ פרסומת של שירביט
רשיון הנהיגה שלכם באתר שירביט 🖼️ פרסומת של שירביט

בניגוד לנטען במספר פורומים – המערכת הפרוצה של אלקטור המשיכה לפעול גם לאחר גילוי הדליפה החמורה, טענה שמחזק דוח משרד המשפטים: “גם לאחר תיקון הליקויים הראשוני עדיין ניתן היה לחדור למערכות המידע שלה ולהגיע אל פנקסי הבוחרים ואל מידע אישי המצוי במערכת”. זאת אומרת – המערכת נותרה חשופה באוויר והמשיכה לאפשר גישה למידע שבתוכה, ואף אחד לא אמר “די”. אנחנו יודעים לספר שהמידע של אלקטור נלקח *לפחות* חמש פעמים *אחרי* שהחברה טענה שחור האבטחה תוקן. זו לא התנהלות שצריך לקבל, וזו ודאי לא התנהלות שאפשר לקבל. היה פה כשל משמעותי של כל הגופים המעורבים, והכשל הזה מקבל מסגור נאה עם ההחלטה שלא להטיל שום סנקציות על אלקטור ועל המפלגות שחשפו את כולנו לשורה ארוכה של איומים, אחת מהן מפלגת השלטון מזה יותר מעשור, שהעומד בראשה, ראש הממשלה בנימין נתניהו, קרא בקולו שוב ושוב להשתמש באפליקציה המחוררת. 

אגב, הליכוד עשוי להשתמש באלקטור שוב במערכת הבחירות הקרובה. החלטה טרם התקבלה, אך אלקטור היא החברה המובילה בתחום, לפי יועץ התקשורת של שר הדיגיטל דודי אמסלם, נמרוד אלירן סבח, שאף החמיא לחברה בראיון לכלכליסט: “הם הוסיפו הרבה אלמנטים בעקבות מערכת הבחירות האחרונה. הם למדו את המערכת בצורה הטובה ביותר. בסופו של דבר, אלקטור הביאה את התוצאה”.

רק ברוטפורס הם מבינים

אם במקום “סתיו”, אמן פיתוי הדטאבייסים שפנה אלינו עם הממצאים החמורים באלקטור, היתה מוצאת את המידע “אביב”, העומדת בראש כנופיית פשע, והיתה משתמשת בו לסחיטה או מוכרת אותו לגורמים עוינים  – אני מניח שהאימפקט היה שונה. אם במקום א’, ג’, ונריה באשה, שפנו אלינו אחרי שרנעד ומשרדי הממשלה כשלו פעם אחרי פעם לאבטח את המידע שם, היתה “אביב” זו שמוצאת אותו וסוחטת שורה ארוכה של אנשים וגופים ישראלים – אני מניח שתשובה כמו “חכו שלושה שבועות בזמן שאנחנו נחים בים” היתה מתקבלת בפחות הבנה.

בהודעה שפרסם ראש 🎵מערך הסייבר🎶, יגאל אונא, לסיכום 2020, הוא כתב:

בחודשים האחרונים ובעיקר מאז פרוץ משבר הקורונה הניסיונות התגברו משמעותית, במגוון רחב ושונה של תוקפים, מטרות, שיטות או טכנולוגיות. כל זה מלווה גם במלחמת תודעה – יצירת לחץ ופרובוקציות מצד התוקפים. לצד זה גם צבר הפרסומים האחרונים בארץ ובעולם הביאו ארגונים להיות ערניים יותר וכתוצאה מכך להאיר עם זרקור לתוך הרשת שלהם ולמצוא שם דברים חריגים. מהצד השני, צבר הפרסומים הזה מעודד תוקפים לפעול במרחב ואף בצורה בוטה ומוחצנת יותר. כחלק מזה אנחנו צופים כי תוקפים ימשיכו לנצל את ההד הציבורי כדי לנסות לגנוב מידע נוסף או לפרסם מידע ישן.

מתוך אתר מערך הסייבר הלאומי
מתוך אתר מערך הסייבר הלאומי

אי אפשר להיות יותר מפורש מזה: לפי אונא, הפרסומים על תקיפות הם אלו שמעודדים את התוקפים, וההד הציבורי הוא שמעודד תוקפים לנסות לגנוב מידע ולפרסמו. לא הרשלנות שבבניית מערכות מחוררות; לא הטיפול הסלחני של המדינה; לא הכסף הרב שאפשר להרוויח מסחיטה וממכירה של מידע גנוב; לא הפוטנציאל לפגיעה טקטית, מורלית ואסטרטגית במדינת ישראל ותושביה מבלי לירות טיל אחד – האשמה היא בתקשורת תאבת הסקופים ובציבור ההיסטרי.

אם דליפה של מידע על ישראלים לגורמים פליליים או למדינות אויב היא מה שנדרש כדי להביא לשינוי בהתנהלות המדינה לגבי המידע הפרטי של כולנו – מדובר במסמר נוסף בארון הקבורה של מדינת החוק שאנחנו מספרים לעצמנו שיש לנו כאן. אם מי שמכתיב את מדיניות הממשלה הם ארגוני פשיעה, או ארגוני ביון זרים – נחרה נחזיק אחרי ג’ון לנון ופול מקרטני ונאמר: “לט איט בי”.

____________________________
נעם רותם הוא חוקר סייבראבטחה. עידו קינן הוא עיתונאי טכנולוגיה ומפיק פודקאסטים. השניים מגישים יחד את סייברסייבר, פודקאסט על האקרים ומאפים


🎵מערך הסייבר🎶: מערכת ניתוב שיחות ב-250 מיליון ש”ח לשנה ☎️

מזה תקופה עולים קולות שונים מתוך התעשייה המבקרים את התנהלותו של 🎵מערך הסייבר🎶 אל מול האיומים הניצבים בפני המשק הישראלי, ובעצם תוהים לגבי חשיבות קיומו של גוף שהיקף סמכויותיו והיקף פועלו לא ברורים לאיש, כולל לאלה העובדים בו.

המערך, שהוקם לפני מספר שנים בהוראתו של הפרזנטור של אלקטור וראש הממשלה בנימין נתניהו, בא לכאורה לתת מענה לשלל מתקפות המתרחשות במרחב האינטרנטי הישראלי, הן במישור המקצועי והן במישור הלוגיסטי-הכנתי, שאמור להנחות את המשק לנקוט באמצעים על מנת לצמצם את חשיפתו למתקפות כאלה.

ברם, פעילותו בשטח מעלה לא מעט סימני שאלה לגבי תפקודו במרחבים האלה, ונחיצותו של עוד גוף יקר ומסורבל שבפועל השפעתו על המשק זניחה עד לא קיימת. וכמה אנחנו משלמים על התענוג המפוקפק הזה? על פי אמיתי זיו ב”דה מרקר” – כ-250 מיליון ש”ח בשנה, לפני מאפים.

מקרה מבחן

בואו ניקח למשל את המקרה של חברת רנעד, המפעילה מערכת כח אדם עבור מעל מאה ארגונים ישראלים, בהם מספר חברות גדולות, ישובים משני צידי הקו הירוק, ועוד. אודות מה שהתרחש שם תוכלו להאזין לפרק של הפודקאסט הפופולרי סייברסייבר בו יחד עם ידידי רן בר-זיק ועידו קינן אנחנו מסבירים על הכשלים הרבים, הבסיסיים, והמגוונים, שהובילו לדליפת המידע הרגיש מתוך מערכות החברה, וכאן אני מבקש להתייחס לתפקודו של 🎵מערך הסייבר🎶 בפרשה הזו. בפסקאות הבאות אפרט את השתלשלות התכתובת ביני לבין מערך הסייבר לגבי דליפת המידע של חברת רנעד:

ומעשה שהיה – כך היה

⌛ יום שלישי ה-29 בדצמבר, 10:51 בבוקר: אני שולח מייל ל🎵מערך הסייבר🎶 ובו אני מפרט לפרטים את מהות הפרצה, דרכים לשחזר אותה, ואפילו מוסיף תמונות עם מידע רפואי רגיש שדולפות מהמערכת. סיימתי את המייל “בברכת חברים”, והמתנתי.

⌛ יום שלישי ה-29 בדצמבר, 12:32: עונה “מיכל” מ🎵מערך הסייבר🎶 (אין להם שמות משפחה שם, אולי בגלל כמות אנשי השב”כ שעובדים שם, החליפו טייטל, ומתקשים להיפרד מההרגלים הישנים. בתור אדם שעובד מול עשרות גופים דומים ברחבי העולם – ישראל זה המקום היחיד בו נתקלתי בנוהג הנפסד הזה, אבל שאלה יהיו הבעיות שלהם). “מיכל” מודה לי על פנייתי, מוסרת כי הנושא בבדיקה ויטופל בהתאם, ומסיימת בטון שירותי: “לכל שאלה או בקשה נשמח לסייע”. התרגשתי.

יום שלישי ה-29 בדצמבר, 16:41: אחרי הצהריים, מגיע מייל נוסף, הפעם חתומ/ה עליו “יהב”, שמודיע/ה לי בהתרגשות פואטית כמעט: “בהמשך לדיווח שהתקבל / אעדכן כי החולשה טופלה”.

איזה טיפול מרהיב! מהירות ויעילות מהאשלון העליון! התמלאתי שמחה, דמעה קטנה נצצה בזווית של העין ו”התקווה” החל להתנגן ברקע. עד שהרצתי בדיוק את אותן בקשות שהופיעו במייל האסגרה, וראיתי שלא נעשה דבר. כל המידע עדיין היה חשוף. למרות הצהרתו/ה הנרגשת של “יהב” כי הנושא טופל, הנושא לא טופל. “התקווה” התחלפה בנעימת הנושא של “פונאר”, ושלחתי מייל תשובה.

שעון נוכחות 🖼️ Hans Eiskonen
שעון נוכחות 🖼️ Hans Eiskonen

⌛ יום שלישי ה-29 בדצמבר, השעה 17:50: המייל שיצא מתיבת הדוא”ל שלי הכיל את המילים “למרבה הצער, החולשה לא טופלה והמידע עדיין זמין ונגיש. מציע בחום לחבר את הגוף הפרוץ עם גורם מקצועי מהתחום”.

ואז – דממה. לא ציוץ ולא אוושה נשמעה מכיוון הגוף המתוקצב בכ-250 מיליון ש”ח לשנה ושזה ליטרלי התפקיד המרכזי שלו, אז המתנתי.

והמתנתי.

והמתנתי.

יום ראשון ה-3 בינואר: מאחר שלא נשמע ציוץ מכיוון הגורם המקצועי שטען שהוא מטפל בעניין, שלחתי מייל נוסף: “לא קיבלתי מענה למייל הקודם שלי ולכן מבקש לעדכנכם שהמערכת עדיין פרוצה לכל דורש בעל דפדפן, ועדיין זולגת את פרטיהם של עשרות אלפי עובדים ישראלים. לטיפולכם הנבון אודה, נעם”.

⌛ פחות מחצי שעה מאוחר יותר: מענה נחת בתיבת הדוא”ל שלי. הפעם הית/ה זה/ו “לירן” שעדכנ/ה כי “התקבל דיווח מגורם אבטחת מידע בחברה שהטיפול בנושא הדיווח ייקח בין שבוע ל10 ימים”. זאת אומרת – קודם התבצע תיקון תוך חצי שעה, דבר שמבחינת 🎵מערך הסייבר🎶 סגר את הנושא – כי לא טרחו לבדוק כלום, ועכשיו תשובה מופרכת ומוגזמת כמו “המידע ימשיך לדלוף עוד שבוע וחצי” מתקבלת בסטואיות שהיתה מעלה את קנאתו של הדלאי לאמה.

פה חשדתי

התחלתי לחשוד שעובדי 🎵מערך הסייבר🎶 לא באמת מתעניינים ב”סייבר”, אלא מתמקדים בהעברת הודעות מצד אחד לצד השני בלי לעצור רגע ולהגיד “חברה נחמדה, אנחנו מעריכים את השקר הקודם שלכם, אבל ברשותכם – סגרו את המערכת עד התיקון, כי עם כל הכבוד להערכות המופרכות שלכם, המידע של אזרחי ישראל אינו הפקר”.

אבל – מי אני שאטיל ספק במקצוענים מהמערך. כמנהל פיתוח עם ניסיון של יותר מעשרים שנה בתעשייה, קשה לי לחשוב על סיבה אמיתית לכך שתיקון פשוט כל כך, במערכת שאינה קריטית, יקח עשרה ימים, אבל אמרו שבוע עד עשרה ימים? אולי באמת צריך לזרוע את החיטה שתגדל וממנה ייצרו את הקמח באמצעותו יאפה הבורקס שיאפשר למפתח העצל לקום ממקום מרבצו ולתקתק כמה שעות על המקלדת על מנת למנוע נזק נוסף לאלפי אנשים. אז חיכיתי.

אבל למה אין מספר פקס?? 🖼️ אתר 🎵מערך הסייבר🎶

10 בינואר, חמש אחרי הצהריים: המידע המשיך לדלוף ולסכן אלפי אזרחים ישראלים. לא התעצלתי, ושלחתי מייל נוסף:

בשעה טובה אנחנו חוגגים יום הולדת שבועיים לדיווח, ועד כה לא נעשה דבר על מנת למנוע מהמידע להיות חשוף, והוא עדיין (!) זמין לכל אדם בעל דפדפן. לעניות דעתי מדובר בהתנהלות שערורייתית ומזלזלת מצד החברה, אבל מי שנפגע כאן הם אלפי עובדים שחשופים לשלל מריעין בישין ושאין להם שום דבר שהם יכולים לעשות נגד זה. לידיעתם, ובתקווה גם לטיפולכם, נעם”.

כאמור – שבועיים חלפו מאז נודע ל🎵מערך הסייבר🎶 ולחברה שמידע רפואי ואישי רגיש על אלפי עובדים במשק חשוף ונגיש לכל אדם החמוש בדפדפן – ודבר לא נעשה. כלום, נאדה, זילץ’, וואלה אישי, אפילו לא החור של הבייגעלה. ולמרות זאת – לאיש מהמעורבים לא נראה שיש פה איזושהי בעיה. מערך הסייבר בתפקיד שירותי המזכירות שמעבירים הודעות, החברה עם שיקוליה המשונים שמעדיפה לא לעשות דבר, והאזרחים? כרגיל – משלמים את המחיר.

⌛ חצי שעה מאוחר יותר: “נעמי” מ🎵מערך הסייבר🎶 כתבה כי “הנושא בבדיקה”.

אני רק שאלה

⌛ 12 בינואר 2021: התקבל מייל נוסף, הפעם מ”מור”, שטענ/ה כי “נעשתה בדיקה מול הארגון, צפי לסיום הטיפול בתחילת שבוע הבא”. זאת אומרת – הטענה הראשונה שהנושא טופל – שקרית. הטענה השניה שהטיפול יקח שבוע עד עשרה ימים, הערכה מופרכת לכל הדעות, ועדיין הערכה – שקרית. עלתה הערכה חדשה, והמידע של אלפי אזרחים ישראלים (וגם כמה כאלה שאינם אזרחים, כמו למשל בעל התפקיד “תאילנדי” מאחת המערכות של החברה) – עדיין דולף.

הודיתי ל”מור” על העדכון, אבל לא הייתי בטוח שהבנתי נכון. ל🎵מערך הסייבר🎶 אין דעה בנושא? אז כתבתי: “רק כדי לוודא ולמנוע אי הבנות בפרסום – עד אז מבחינתכם אין בעיה שכל המידע נשאר פתוח, ואין כל דרישה לאבטח אותו עד עדכון הקוד, נכון? אני רוצה לוודא שאני מדווח נכון על השתלשלות העניינים התמוהה הזו”.

שאלה לגיטימית לגוף שמתיימר להגן על אזרחי ישראל מפני מריעין בישין ברשת, לא? אז מסתבר – שלא.

תוך זמן קצר ענתה “נעמי”, והפעם באריכות: “אנו מודים לך על הדיווח ושמחים על שיתוף הפעולה שלך עם המערך בנוגע לגילוי חולשות. כפי שמקובל בעולם, האחריות על סגירת חולשות וצמצום החשיפה מהן מוטלת על בעל המערכות, כאשר גם תכנית גילוי חולשות אחראית אינה מסירה את האחריות מהארגון הנוגע בדבר. נבהיר כי אנחנו רואים בחומרה רבה כל חשיפה של מידע אישי. הבהרנו לארגון את המשמעויות של החשיפה לצד המלצות לסגירת הפער ודחיפותו ואנו חוזרים ובודקים למול הארגון את סטטוס הטיפול תכופות. אף על פי כן, חשוב לציין כי מערך הסייבר הלאומי אינו גוף אכיפה בהקשר זה. אנו נדאג לעדכנך כאשר הטיפול בחולשה על ידי הארגון יסתיים”.

אתם מבינים? הם רואים חשיפה של מידע אישי בחומרה. הם הבהירו לארגון את המשמעויות והדחיפות, והם חוזרים ובודקים את הסטטוס. זהו, זה בקצרה כל תפקידו 🎵מערך הסייבר🎶. על זה אנחנו משלמים 250 מיליון ש”ח בשנה. שירותי העברת הודעות עם אפס סמכות ואפס אחריות. כאן מסתכם הכל.

🎵מערך הסייבר🎶 מטפל בפירצה של רנעד 🖼️ מונטי פיית’ון, עיבוד מחשב

ואגב, אם הם אכן “חוזרים ובודקים”, מדוע אמרו ש”הנושא בבדיקה” כששאלתי – למה זה עוד פתוח? נשמע יותר כמו מרכזיה ופחות כמו חמ”ל, אבל אם הם אומרים – הם בטח יודעים.

ובכל זאת

ובכל זאת, אולי לא הבנתי נכון? הרי לא יתכן שתמורת 250 מיליון ש”ח בשנה אנחנו מקבלים שירות לקוי שכזה, אז שלחתי מייל נוסף ובו כתבתי: “תודה על ההסבר. אם אכן אלה הדברים – תפקידכם בשרשרת הזו לא ברור לי איזה ערך יש בהעברת דיווחים אליכם. אני לא אומר את זה לגנותכם, חלילה, רק מבקש לוודא שאני לא מפספס שום דבר בתפקידכם במשחק, אם הוא מסתכם בהעברת דיווחים לגופים הדולפים ותו לאו.”

הפעם לא התקבל מענה. לא מאשים אותם, תכלס. מה הם יכולים לענות “כן, אתה צודק?” או “אתה טועה אבל אנחנו לא יכולים להסביר לך למה”, או שבדיוק החל פרק של “סברי מרנן”. לעולם לא נדע.

⌛ חלפו ארבעה ימים נוספים ואז – התקבל מייל נוסף מ”מור” ובטון חגיגי נמסר: “ברצוני לעדכנך שהארגון דיווח כי הם טיפלו בליקויים”. הידד! שלושה שבועות בלבד(!) מאז קבלת הדיווח – והם מרוצים מסגירת המערכת שהמשיכה לדלוף כל אותו הזמן. אכן – איכות ללא תחרות. שמחתי מאוד, ועדכנתי את ידידי במערכת הפודקאסט הפופולרי סייברסייבר כי אפשר לצאת עם הפרסום. הדליפה נסגרה. המידע של אזרחי ישראל – בטוח.

אז פרסמנו בפודקאסט ורן בר-זיק פרסם ב”הארץ”, וחשבנו שכאן מסתיים הסיפור. אך לא.

סברי מרנן

במהלך שיחה עם אדם מקצועי שהתעניין בפרטי הדליפה במסגרת עבודתו (הממשלתית, יש לו תעודה) לחצתי בטעות (באמת שבטעות) על אחד הלינקים שלכאורה נסגרו, ומה רבה היתה הפתעתי כשכל המידע על כל העובדים עדיין היה חשוף. הרי אחרי ש🎵מערך הסייבר🎶 כשל פעם אחת כשדיווח בעליצות שהדליפה נסגרה לא יעלה על הדעת שיעשה זאת שוב, נכון? הרי רק קוף מחליק על אותה הבננה פעמיים.

אז שלחתי מייל נוסף ל🎵מערך הסייבר🎶, ב-19 בינואר, ובו הבעתי תמיהה: “הי מור, תודה על העדכון. ברשותך אשאל אם בדקתם שאכן הצהרת הארגון נכונה (לאחר שההצהרה הקודמת התבררה שלא נכונה) או שאתם מסתפקים באמירה שלהם ופשוט מעבירים אותה? אני שואל כי המערכת עדיין פתוחה והמידע עדיין דולף”.

דממה. אין תשובה.

חשבתי שאולי הפרק של “סברי מרנן” מותח במיוחד, אולי יהורם גאון אוכל שניצל כשהמזלג, רחמנא ליצלן, בידו הימנית(!) ולא השמאלית כמקובל. דרמת מתח כזו עשויה היתה להצדיק עיכוב של כמה שעות במענה, לכן לא לחצתי ורק למחרת שלחתי מייל נוסף:

הי, מוודא שקיבלתם את המייל ואתם מודעים לכך שהמידע עדיין חשוף”.

ושקט. צרצרים. גבעת הסייבר אינה עונה.

חיכיתי עוד יום, אולי בדיוק מתנגן הפרק בו דביר בנדק אכל משהו לא טוב ונאלץ להובהל לחדר המיון, ושלחתי מייל נוסף: “אנא אשרו את קבלת שני המיילים הקודמים, בבדיקה שנערכה המידע עדיין דולף. אם אין ברצונכם לטפל בנושא, אנא הפנו אותי לגוף המתאים”.

תשובה טרם התקבלה, המערכת עדיין דולפת, ולאיש עדיין לא אכפת.

מערכת ניתוב שיחות ב-250 מיליון ש”ח לשנה

אני סמכתי על 🎵מערך הסייבר🎶 שכשאמר “הדליפה נסגרה” – התבצעה בדיקה מקצועית שאכן הדליפה נסגרה. אם הייתי צריך שירות העברת הודעות – יש כאלה בפיליפינים בקצת פחות משני דולר לשעה, ועם SLA טוב משמעותית.

🎵מערך הסייבר🎶 אמור להיות גוף מקצועי בתחומו, אך המציאות רחוקה מכך שנות אור. מדוע כשמתגלה פרצה משמעותית עם השלכות על אלפי אזרחים מסתפק 🎵מערך הסייבר🎶 בשירותי מזכירות? מדוע מאות אנשים מקבלים שם משכורות מנופחות ופנסיה תקציבית כשאפשר היה לסגור את הפינה הזו בהקמת מדור תחת משרד התחבורה עם חמישה עובדים ומכשיר טלפון מסוג “זמיר” של בזק משנות השמונים? לאן הולכים רבע מיליארד שקלים אם זה התוצר שהם מפיקים? אין לנו משהו טוב יותר לעשות עם הכסף הזה?

בחודשים האחרונים ספג המשק הישראלי כמה מכות לא נעימות בתחום הסייבר סייבר, ונמנע מכמה מכות לא נעימות בזכות אזרחים עירניים. האם ל🎵מערך הסייבר🎶 באמת יש תרומה כלשהי לבטחון מרחב הרשת הישראלי? או שמדובר בעוד גוף מיותר ובזבזני שנועד לסדר משרות למקורבים עם ניחוח בטחוני?

אז נכון, ל🎵מערך הסייבר🎶 אין סמכויות חוקיות מול חברות אזרחיות – ואולי טוב שכך. אז למה בכל זאת הוא מציג את עצמו כגוף שמטפל בענייני הסייבר שלהם? מדוע התשובה לדיווח על דלף מידע הוא לא “אנחנו לא גוף עם איזושהן סמכויות, אנא פנו למשטרה או למשרד המשפטים, להם כן יש סמכויות”? מה הערך האמיתי של שירותי המזכירוּת שמספק המערך היום?

מִי שֶׁיֵּשׁ לוֹ בִּטָּחוֹן, אֵין לוֹ שׁוּם פַּחַד 🖼️ עידו קינן
מִי שֶׁיֵּשׁ לוֹ בִּטָּחוֹן, אֵין לוֹ שׁוּם פַּחַד 🖼️ עידו קינן

אולי עבודתו בתחום חומרי הלימוד, ההנחייה המקצועית של גופים מפוקחים וכתיבת דוחות על אמצעי כיבוי אש חשובה ואיכותית יותר ממה שיכול לתת כל גוף אחר בארץ. אולי, וזה אכן שווה בדיקה מעמיקה יותר. אבל בתחום הטיפול בדליפות מידע – אין שום ערך לקיומו של הגוף הזה, ובטח לא להילה ההייטקיסטית והביטחונית שהוא מייצר סביבו. לכל מדינה יש CERT, “צוות טיפול באירועי מחשב”. זה טוב וזה חשוב, ואם למי מכן יש קצת זמן פנוי אני ממליץ בחום לקרוא את הספר “The Cuckoo’s Egg” של קליפורד סטול שמבהיר את החשיבות של ארגון כזה ברמה הממשלתית. כל תקציב ה-CERT האמריקאי עומד על 96 מיליון דולר, מתוך תקציב של 6.6 טריליון. התקציב של 🎵מערך הסייבר🎶 הישראלי יקר ממנו פי כמה באופן יחסי למרחב שעליו הוא אמור להגן ולחלק בתקציב שממנו הוא נלקח.

דרוש: דיסקליימר

בשורה תחתונה – אם 🎵מערך הסייבר🎶 לא יודע לטפל באירועי דליפות מידע ופרצות אבטחה – שישים דיסקליימר לאלה הפונים אליו: “אנחנו נעביר את הודעתך לחברה תוך שמירה על זהותך, אבל אנחנו לא נעשה שום דבר מעבר לזה”. כשהוא עונה “החולשה טופלה” מבלי לבדוק כלום, וכשהוא מתייחס בשלווה לשבועות העוברים כשהדליפה עדיין בועטת ומשפריצה מידע (פרטי, אישי, רגיש, מסווג) לכל עבר – יש מקום לתקן ולשפר, ואולי לשוב ולבחון כמה מהנחות היסוד שעומדות בבסיס פעילות הגוף הזה.

_______________
נעםר אוהב מאפים, רשתות ומערכות שנכתבו על ידי למורים. בזמנו הפנוי הוא אין לו באמת זמן פנוי. אפשר למצוא עוד מהגיגיו הטכנולוגיים בבלוג “לפני האיתחול

תמונה ראשית 🖼️ El-Homacho


⏲️ איזה שעון בן ח*&#[email protected]! 🏭 שעוני הנוכחות של רנעד שלשלו מידע על מיקום, שעות עבודה ובעיות רפואיות של אלפי עובדים במאות חברות

“אין לי כוח” התנשף עידוק, מזיע כולו. “מה קרה?” שאלתי אותו ממקום מרבצי על הפופים של מפקדת סייברסייבר. “למה אתה מזיז שקי מלח ממקום למקום?”

“כי מישהו צריך לשלם על השרתים”, סינן עידוק, “אז אני עובד במכרות המלח כדי שלכם יהיה כסף לאלכוהול יקר ומאפים טעימים. אני סובל הכל בשבילכם. מזל, נגמרה המשמרת”. ואז עידוק עשה משהו מאוד מוזר: הוא לקח כרטיס והצמיד אותו למכונה מרובעת, שצפצפה בעליזות.

“מה זה?”, שאלתי.

“זה שעון נוכחות, פרחח הייטק יקר שלי. ככה המעביד במכרות המלח יודע שסיימתי לעבוד וכך הוא יוכל להשליש לידי כמה מעות”. ענה עידוק וקרס על הפוף, מזהם אותם בזיעה מעורבת במלח.

שעון הנוכחות, אותו שריד קדמוני למכרות מלח ולמשרדים של המאה ה-20, נובע מדרישות החוק הישראלי ממעסיקים להחזיק תיעוד אמין של שעות העבודה של המועסקים. ברוב חברות ההייטק כבר לא משתמשים בשריד הארכיאולוגי, כיוון שאם אתה לא סומך על העובדים שלך שיעבדו בדיוק 8.75 שעות ביום, איך תוכל להפקיד בידיהם את סודות החברה שלך ומערכות של מיליונים? אבל באקלים הישראליאנה המקומי, שעון נוכחות הוא עדיין מראה נפוץ. אחרת איך המעביד ידע שעידוק לא מתבטל על הפופים במקום להעביר שק מלח מהמכרה אל המשאית?

פתאום נפתחה דלת המטבח, ריח מאפים נעימים התפשט בחלל האוויר ונעם רותם הגיח: “אם כבר העליתם את הנושא”, אמר תוך כדי לעיסת מאפה פציח, “הידעתם שיש מאות חברות ישראליות שמשתמשות במערכת חיצונית של חברת רנעד כדי לנטר את שעות העבודה של העובדים?”

לקוחות של רנעד 🖼️ ranad.co.il
לקוחות של רנעד 🖼️ ranad.co.il

“רגע”, אמרתי, “אז יש חברה ישראלית שיש לה גישה לנתונים של אלפי עובדים, כולל חברות מובילות ממש כמו מכרות מלח מגובשים בע”מ, כשהמידע הזה כולל גם את המיקום ושעות העבודה שלהם?”

“ברור” ענה נעם בחיוך עליז, “אבל אל דאגה! כתוב באתר החברה שעובדים בה 15 מפתחים והיא שמה ב’ראש מעייניה’ (מרכאות במקור) את נושא ההובלה בתחום הפיתוח!”

עמוד על אודות רנעד 🖼️ ranad.co.il
עמוד על אודות רנעד 🖼️ ranad.co.il

“אבל אין בלינקדאין אף מתכנת שמזוהה כעובד שם!”, זעקתי, “והאתר שלהם בכלל לא ב-https!”

אתר רנעד לא מאובטח 🖼️ ranad.co.il
אתר רנעד לא מאובטח 🖼️ ranad.co.il

“שום דבר לא יכול להשתבש פה”, פיזם נעם בעליצות בעודו מנקה פירורי פחמימות מזקנו באמצעות מברשת זקן מוזהבת.

“צריך להקליט עוד פרק?”, רטן עידוק בעייפות.

“תן לי להכין את כלי הפריצה שלי”, אמר נעם, והתחיל לסובב את הידית שטוענת את הגנרטור שמפעיל את הדפדפן.

ואכן, בסריקה מהירה התגלה שכל המכשירים והמערכות של הנוכחות עובדים מול שירות אינטרנט אחד. השירות הזה בעצם מנהל את כל מסדי הנתונים – המכשירים, האפליקציות או התוכנות השונות שולחות לו מידע והוא מכניס את המידע הזה למסד הנתונים שלו.

שירות לכל – *זה* שירות!

בואו נעשה הפסקת שירותים. שירותים הם חלק מהעולם האינטרנטי כבר המון שנים. אנו משתמשים בשירותים כל הזמן: כאשר אנו כותבים טוקבקים, כאשר אנו עושים “לייק”, כאשר אנו מסתכלים על תחזית מזג האוויר באתר החדשות. הכל מונע על ידי שירותים שנמצאים בשרתים שונים.

“שירות”, כפי שהוא נקרא בשפת המפתחים, הוא תוכנה קטנה שיושבת על שרת ויודעת לקבל תנועה. למשל, אשר אנו כותבים טוקבק באתר חדשות כלשהו, הטוקבק מגיע לשירות, שמקבל את הטקסט, בודק לאיזו כתבה הוא מיועד ורושם אותו. כאשר מנהל האתר רוצה למחוק טוקבק או לערוך אותו, הוא ייכנס לתוכנת הניהול של האתר, זו תשלח הודעה אל השירות, תבקש את רשימת הטוקבקים ותציג אותם למנהל. המנהל יוכל לנסות למחוק טוקבק – תוכנת הניהול שלו תשלח הודעה לשירות “מחק את הטוקבק הזה והזה”. השירות יבדוק אם המנהל אכן מורשה לבצע את הפעולה, ואם כן, יבצע אותה עבורו.

רשימת השירותים של רנעד 🖼️ ranad.co.il
רשימת השירותים של רנעד 🖼️ ranad.co.il

זה בדיוק מה שהיה באתר של חברת רנעד. בהבדל קטן אחד. ראשית, כל אפשרויות השירות – כלומר האפשרות לראות את כל רשימות העובדים, לבצע עדכונים, להוסיף הצהרות בריאות – הכל היה מוצג, בממשק גרפי נוח לצפייה, לכל מי שנכנס לכתבות אתר השירות באמצעות כלי הפריצה המשוכלל דפדפן.

ממשק קבלת מידע במערכת רנעד
ממשק קבלת מידע במערכת רנעד

זה כבר חמור. רשימת הפעולות שאדם יכול לעשות בשירות לא צריכה להיות גלויה באופן כזה. נכון, אבטחה באמצעות הסתרה זה לא רעיון טוב, אבל הפקרה באמצעות חשיפה זה גם לא המיקי הכי זוהר בכנסת.

בנוסף, כדי לא להקשות, המערכת לא דרשה כלל סיסמה או שם משתמש בפעולות השונות. כלומר, כל אחת שנכנסה לכתובת ההיא יכולה היתה לעבוד מולה. כך למשל, מי שנכנסה ל”קבל את כל העובדים” והכניסה את מספר החברה של רשת, קיבלה את רשימת העובדים המלאה של זכיינית הטלוויזיה. אבל לא רק את רשימת כל העובדים: מספרי העובד שלהם, מספרי הזהות שלהם, התפקיד שלהם וכו’. סקריפט קצר איפשר לכרות את המידע המעניין הזה, שהוא כמובן משהו שחברות ממש לא רוצות שיסתובב בחוץ.

כדי להוסיף ששון על שמחה, מסתבר שהאישורים הרפואיים ואישורים נוספים, שהוזנו למערכת על ידי עובדים שהעזו לחלות ולא להגיע למכרה המלח של המעביד, היו גלויים לחלוטין. וכשם שאפשר לקרוא, אפשר גם לכתוב. השירות הנפלא של חברת רנעד איפשר לבעל הדפדפן גם לשנות חלק מהנתונים.

אישור רפואי שדלף מהמערכת של רנעד

שירותים המכילים מידע חייבים לבדוק אם מי שמשתמש בהם מורשה לבצע פעולות, בין אם מדובר בקריאה או בכתיבה. אבל האמת היא שגם אם השירות של רנעד היה טורח לבקש סיסמה מפצחנים חמושים בדפדפנים, זה לא היה עוזר. השרת שבבסיסו נמצא השירות הציג את רשימת הקבצים שלו באופן גלוי לכל מי שנכנס ישירות לשם המתחם שלו. ומה היה ברשימת הקבצים? קוד המקור של השירות – דבר שאיפשר לכל תוקפת לבחון את הקוד ולנצל את הפגיעויות הרבות שיש בו. אבל למה צריך את זה, בעצם, כשהשירות שיש על הרשת נותן את המידע לכל מי שיש לו דפדפן?

ואיך מגיעים לכתובת השרת שמכיל את השירות? אם לשרת יש שם מתחם – גוגל תגיע אליו. אם השרת הוא בכתובת IP או שאפילו לא זמין לדפדפן – סורקי רשת יגיעו אליו – כמו שודאן החינמי. במקרה הזה, כתובת ממשק הניהול של רנעד היתה גלויה לכל באמצעות גוגל:

ממשק הניהול של רנעד עירום מול כל הגוגל

“שירות ללא תחרות”, אמר נעם, בעוד אני שוטף את העיניים באקונומיקה אחרי שראיתי חלק מהקוד של רנעד, ומציע: “אולי המסקנה היא להפסיק לעבוד במכרות מלח מודרניים שמחייבים אותך להשתמש בשעון נוכחות”. עידוק מחה: “למה לזרות מלח על הפצעים?”

נעם איסגר הפירצה למערך הסייבר. הם לא חרוצים כמו עידוק שלנו, ורק לאחר מספר ימים מישהו שם התחיל לטפל בעניין. אני מקווה שהוא זכר קודם כל להעביר כרטיס נוכחות.

החוק הראשון של סייברקלאב: אל תספר ללקוחות שנפרצת

אבל זה לא נגמר פה. למרבה הצער, דיווח פשוט לא הספיק, וההתגלגלות של העניין מראה איזה קושי עצום עומד בפני חוקרי אבטחה כשהם מגלים פירצה, אפילו אם היא קלה מאוד להסבר ולהדגמה.

נעםר איסגר את הפירצה למערך הסייבר ב-29 בדצמבר. מערך הסייבר הודיע לו שהעניין בטיפול ושהפירצה נסגרה לאחר כמה שעות, וזה מעולה, חוץ מהעובדה שזה לא נכון – הפירצה עדיין היתה פתוחה לכל אחד. נעםר פנה שוב למערך הסייבר – והם בתורם אמרו לו שזה עדיין בטיפול. הימים חלפו להם, הגענו לינואר 2021 והפירצה – שכאמור חושפת פרטים רגישים ונמצאת גם בידי צד שלישי (אלו שדיווחו לנו) – עדיין גלויה.

זה השלב שבו אני נכנסתי לתמונה. אני עיתונאי ב”הארץ”, והסיפור הזה יוצא בעיתון ככתבה. פניתי לחברת רנעד בבקשה לתגובה במייל. עבר יום ועוד יום ולא קיבלתי מענה. זה חריג. כשעיתונאי פונה אליך בבקשה לתגובה – אתה עונה. רנעד לא ענו. הרמתי טלפון, ענתה לי ״המזכירה של גרשון״, ביקשתי להעביר מיד בקשה לתגובה. היא אמרה שהיא תעביר את הפרטים. עבר יום ועוד יום. הפירצה פתוחה.

שעון נוכחות 🖼️ Hans Eiskonen
שעון נוכחות 🖼️ Hans Eiskonen

עברו שבועיים ללא תגובה, והתחלתי לפנות לקבל את תגובתם של כמה מהלקוחות של רנעד, ובהם ערוץ 13. אז הסתבר לי שרנעד לא טרחו כלל להודיע ללקוחות שלהם שהתגלתה אצלם פירצה. ערוץ 13, יאמר לזכותם המלאה, נחרדו ופעלו מיד לבירור העניין (“המערכת היתה בפיילוט למספר ימים, אולם משנודע לנו על כשל באבטחת המערכת, הפיילוט הופסק לאלתר”, נמסר מהם). גם לקוחות אחרים שפניתי אליהם הגיבו בצורה דומה. או-אז, רנעד נזכרו שיש להם פירצה דחופה שיש לפתור, הפעם בצורת בעיית תדמית וחשיפה לתביעות על רשלנות מקצועית, ועיתונאי שצריך להגיב לו. סוף סוף.

“השמצות לא מבוססות”

תגובת רנעד מה-18.1.2021, ההדגשות שלי:

רנעד טק מאז הקמתה בשנת 2003 עושה מאמצים עילאיים לשמור על נתוני לקוחותיה באופן המאובטח והמקצועי ביותר. בהתאם למידע שהועבר לנו על ידי רשות הסייבר, זיהוי חולשת האבטחה התאפשר אך ורק פנימית על ידי לקוח האפליקציה שהינו איש סייבר, ובאמצעות הרשאה שניתנה על ידנו, בלעדיה לא ניתן היה לחדור מלכתחילה לשרת. להבנתנו, הפרטים המדויקים של החולשה והמידע שהועבר ע”י הלקוח לרשות הסייבר, נותרו בידי רשות הסייבר בלבד. יודגש כי פעלנו לבצע חסימה של המערכות באופן מידי, ובהמשך אף הוצאנו בשבוע שעבר גרסאות חדשות של אפליקציות הנוכחות שלנו. לצורך כך אף שכרנו את שירותיה של אחת מחברות אבטחת המידע המובילות בישראל והיא מלווה אותנו משלב תיקון החולשה שזוהתה, ובהמשך בביצור מערכות המידע של החברה.

עוד נציין, כי צר לנו מאוד שכתב “הארץ” בחר לפנות ישירות לכמה מלקוחותינו ולהצהיר בפניהם מפורשות וללא כל ביסוס כאילו המידע של עובדיהם נמצא בידי גורם שלישי עלום כלשהו, כאשר היה ידוע לו שמדובר בלקוח האפליקציה המסוים שאיתר את החולשה, ואשר הועבר רק לרשות הסייבר. ביכולתן של פניות לא מבוססות כאלה להנחית מכה אנושה על מוניטין של חברה קטנה, לאחר שבנתה אותו בעמל רב במשך שנים. אנו מצפים שעיתון מכובד כ”הארץ” לא ינצל את הכוח התקשורתי העצום שברשותו כדי לפגוע בעסקים הקטנים במדינת ישראל, העסוקים במאמצי הישרדות יומיומיים, ולא ייתן יד להשמצות לא מבוססות.

אני חושב שהתגובה הזו מדברת בעד עצמה – במיוחד החלק של זיהוי חולשת האבטחה שמתאפשר אך ורק על ידי אנשי סייבר. מעכשיו בכל פעם שאני אחפש משהו בגוגל או אשתמש בכלי הפריצה המשוכלל דפדפן, אני אחוש עצמי מאוד מאוד סייבר, כרגיל.

מה אפשר לומר כשאין מה לומר? כלום. אבל בכל זאת – אולי כדאי להתייחס לעובדות: שורת החולשות שהתגלו במערכת היא ארוכה וכואבת. אין ולא יכול להיות שום תירוץ לקחת שלושה שבועות לסגור דליפה שאפשר וצריך לסגור בעשר דקות, גם במחיר של השבתת המערכת. יתרה מזאת – טענת החברה שלא ניתן היה לחדור לשרת בלי אישור של החברה היא פשוט לא נכונה. כל גולשת, מהבית, באמצעות כלי הפריצה המשוכלל דפדפן, יכולה היתה לגשת לכל המידע של כל לקוחות החברה. העובדה שרנעד טוענים אחרת מעלה מספר תהיות מדאיגות מאוד לגבי ההבנה שלהם את מהות הפירצה ואת המציאות, ולחלופין, לגבי בחירתם המודעת להתעלם מהמהות הזו ולתת גרסה של מציאות חליפית שתקטין את ממדי הביזיון. בפועל, מדובר בכשל אחד ארוך ומתמשך, החל מהפיתוח הבעייתי שהתעלם מכל אספקט של אבטחה וכלה בטיפול בגילוי הפרצה שנע בין גרסאות מנותקות מהמציאות לבין שבועות ארוכים שבהם המידע נשאר חשוף למרות שהחברה ומערך הסייבר יודעים שהוא חשוף. לא ככה מנהלים מערכת. לא ככה מנהלים חברה.

עדיין התמודדות טובה יותר מזו של רנעד 🖼️ הרולד לויד בסרט Safety Last!‎

_______________
רן בר-זיק הוא חבר מערכת סייברסייבר. בשעות הפנאי הוא מפתח בחברת Verizon Media, כותב אתר internet-israel.com ועיתונאי בקפטן אינטרנט של “הארץ”; למעסיקים שלו אין קשר למידע ולדעות שמובאים ומובעים כאן

תמונה ראשית: אישעון 🖼️ Gerd Altmann


בלעדי 🧮 חצי מיליון מסמכים של צה”ל, אינטל, תעשייה אווירית וכללית נחשפו בפירצה בתוכנת הנה”ח FINBOT

סייברסייבר ודה-מרקר חושפים: פירצה במערכת הנהלת החשבונות הדיגיטלית הישראלית FINBOT מבית “קו מנחה” חצי מיליון מסמכים רגישים לכל אדם בעל כלי הפריצה המשוכלל דפדפן 🔐 הפירצה תוקנה מספר שעות אחרי האסגרה 🐱‍💻 נעם רותם ועידו קינן

הסייברפריצה המדוברת לחברת הביטוח שירביט, שהתגלתה בחודש האחרון, מתגמדת לעומת פירצת האבטחה שאנחנו בסייברסייבר ואמיתי זיו מדה-מרקר חושפים היום. כחצי מיליון קבלות וחשבוניות, כולל של גורמים רגישים ובהם גופים בטחוניים, היו חשופות לרשת באמצעות כלי הפריצה המשוכלל דפדפן. הגורם לחשיפה הוא תוכנת הנהלת החשבונות הישראלית FINBOT, שסבלה מפירצת אבטחה מביכה. הפירצה תוקנה זמן קצר לאחר אסגרתנו.

פינבוט מציעה “הנהלת חשבונות חכמה ללא ניירת בעזרתה תוכלו להעניק ללקוח שירות יעיל ומתקדם, לדווח לרשויות בקלות ובמהירות ולחסוך בזמן ובכוח אדם”. לפי האתר הרשמי, האפליקציה “קולטת חשבוניות ומסמכים במייל, בצילום ואפילו בווטסאפ ומתרגמת אותם לפקודות יומן”. בין המשתמשים שפינבוט מתגאה בהם באתרה נמצאים מספר משרדי רו”ח, ובהם פירמת רואי החשבון BDO זיו האפט, המדורגת במקום ה-5 ברשימת משרדי רוה”ח המובילים בישראל 2020 לפי מדד Dun’s 100 ומדד BDi Code.

אז הסורק סרק והשוחט שחט, ועלה על חולשה ידועה וכואבת, עליה דיברנו כבר בפרק על מערכות לניהול קוד (“א גיט סייבער”, ע02פ29). החולשה, לאלו מכם שלמרבה היגון לא עוקבים באדיקות אחרי הפודקאסט הפופולרי סייברסייבר, חושפת גישה לקוד המקור של המערכת בשל תכנון לקוי של המבנה שלה. תיקיה חשופה בשם “נקודה גיט” (או נקודה SVN, תלוי במערכת ניהול הקוד) מאפשרת לכל אדם בעל דפדפן גישה למידע אודות הקוד, ולכל אדם בעל טרמינל גישה לקוד עצמו – הכל ללא סיסמאות וללא הגבלות גישה מסוג כלשהו.

בקוד עצמו, שללא ספק לא עבר שום ביקורת אבטחת מידע או בדיקת חדירה, ושום עין של איש מקצוע לא שזפה את זיו חולשותיו, היו שלל כשלים, שהחמור בהם היה הימצאותו של מפתח לסביבת הענן של אמזון. אין שום צידוק ושום תירוץ לשמור מפתח קבוע בקוד, בטח ובטח כשהקוד חשוף ברשת, אבל כדי להוסיף חטא על פשע – המפתח דנן היה מפתח של מנהל המערכת שנתן גישה מלאה לכל סביבת הענן של בעליו.

מפתח קורא לגנב

בואו נעצור רגע ונדבר על מפתחות והשימוש הנכון בהם.

בדרך כלל מפתחות משמשים לביצוע פעולה אחת, ובהשאלה – לפתוח חדר אחד בלבד. למשל: אם אני רוצה לשלוח הודעת סמס – יהיה לי מפתח שמוגבל לשליחת הודעות סמס בלבד. אם אני צריך גם לשמור קבצים בדלי – אוציא מפתח נוסף, או שבכלל אשקול עבודה עם roles (אבל זה כבר סיפור אחר). אם נמשיל את העניין לסביבה מציאותית יותר: יהיה לי מפתח אחד להיכנס לחדר הדואר על מנת לשלוח מכתב, ומפתח אחר לכלוב התיישים כדי להנות מהיאבקות קלה לפני השינה. 

מה שקרה כאן, וזה בדיוק מה שקרה גם במערכת “אלקטור” שחשפה את פרטיהם של כל בעלי זכות הבחירה בישראל (ע02פ16, ע02פ17), זה שמפעילי המערכת התעצלו, אם מבורות ואם מעצלנות, לייצר מפתח יעודי, ופשוט שמו את מפתח המאסטר שמאפשר גישה מלאה להכל.

מפתחות תלויים על קיר 🖼️ עידו קינן
מפתחות לא מוגנים 🖼️ עידו קינן

אתם מבינים לאן זה הולך, נכון?

במפתח הזה אפשר היה לפתוח את כל הדליים, לגשת לכל השרתים, להוריד את כל מסד הנתונים, לפתוח שרתים חדשים, לשלוח הודעות, לכרות ביטקוין, למחוק הכל (כולל הגיבויים) ולבקש כופר, ותכלס – כל מה שתמיד רציתם לעשות אצל הדודה והדוד.

וכאן אנחנו מגיעים למידע של פינבוט. זוכרים את שירביט? אז תחשבו בגדול יותר. מאות אלפי מסמכים של מיטב הגופים הישראלים, החל בצה”ל ובשלל יחידות משרד הביטחון, דרך התעשייה האווירית, קופת חולים כללית, אינטל, הטכניון, מפעלים שונים, וכלה בעשרות אלפי עסקים קטנים ובינוניים, בהם חוקרים פרטיים, מטפלים למיניהם, ותכלס כל סוג של חברה בע”מ או עוסק מורשה, והמסמכים שהם הוציאו ללקוחות שלהם – כולל פרטי הלקוחות עצמם. לא נעים.

(ראו עדכון בסוף הפוסט)

“טעות אנוש; המידע לא דלף”

פינבוט מופעלת על ידי חברת חשבים ה.פ.ס, שהוקמה ב-85′, וכיום היא “החברה הגדולה ביותר בישראל למידע עסקי בעולם הפיננסים ובעולם המשפט”, לפי אתרה הרשמי. חברת האם, קבוצת קו מנחה, סיימה את רכישת פינבוט במרץ 2020 בעיסקה של 2.5 מיליון שקל עבור 70% מהמניות.

קו מנחה, שנמצאת בשליטת יפעת, היא חברה בורסאית שנסחרת לפי שווי שוק של 139 מיליון שקל. לפי אתרה היא “קבוצת ה-SaaS המובילה בישראל בתחומי מידע ושירותים בשוק ההון והפיננסים, משפטים, כספים, הנהלת חשבונות, מיסוי ונדל”ן, וכן שירותי ענן לניהול קשרי לקוחות ומשרדי מייצגים”. 

בדוח השנתי של קו מנחה 2019 ציינה החברה את הסייברסייבר כגורם סיכון מקרו גבוה:

במקרה של פגיעה בחברה כתוצאה מאירוע סייבר כאמור, עלולה החברה לסבול מהשלכות שליליות מהותיות כגון שיבוש בפעילותה השוטפת של החברה או של לקוחות החברה להם מספקת החברה שירותים, שיבוש בפעילותן של מערכות המידע של החברה או השבתתן, פגיעה במוניטין החברה אשר עלולה להשפיע על אמונם של לקוחות החברה, וחשיפה לתביעות משפטיות.

החברה דיווחה עוד כי נערכה למתקפות סייבר שכאלו:

החברה משקיעה מאמצים ומשאבים (ארגוניים, כספיים, מקצועיים ומחשוביים) במטרה להגן על מערך טכנולוגיות המידע שלה ולמזער את סיכוני אבטחת המידע, לרבות: (א) ביצוע תכניות עבודה שנתיות להגנת סייבר; (ב) ביצוע סיקרי סיכונים ובדיקות חוסן; (ג) עריכת הדרכות תקופתיות, הן כלליות והן פרטניות; (ד) הטמעת כלים טכנולוגיים מתקדמים ליישום וביצוע נהלי ומדיניות אבטחת המידע. כמו כן, כחלק ממדיניות אבטחת המידע, החברה אימצה נהלים שונים המותאמים להתמודדות עם סיכונים אפשריים הגלומים במתקפות סייבר, כגון: סיווג וטיפול במידע, תגובה לאירוע אבטחת מידע, הנחיות לעובדים בנושא אבטחת מידע, בקרת גישה, גיבוים ושחזורים, בקרה על כניסת עובדים ומבקרים, טיפול במאגרי מידע, ניהול משתמשים וסיסמאות וכיו”ב. 

אסגרנו את הפירצה ל”קו מנחה” ולמערך הסייבר, והיא תוקנה תוך מספר שעות. יש לציין לטובה את תגובת הנהלת החברה שלקחה אחריות מלאה על העניין ופעלה בצורה חיובית וטובה לסגירת הפרצה במהירות וביעילות. טעויות קורות, זה דרכו של עולם, וארגון נשפט בדרך בה הוא מטפל בהן. במבחן הטיפול, “קו מנחה” מקבלת עשרה מאפים פריכים. סחתיין!

התייחסות לסיכוני סייברסייבר בדוח השנתי של קו מנחה

מנכ”ל קבוצת קו מנחה, שי מגל, מסר בתגובה:

בערב יום ראשון נמסר לנו ממערך הסייבר שאותרה חולשה באבטחת מערכת המידע של החברה. מיד עם העדכון ובסיוע של מי שאיתר אותה, נעם רותם, הפעילה החברה צוות תגובות פנימי (ERT) לטיפול בנושא ופעלה לסגירת החולשה על בסיס המידע שנאסף ועובד.

מתחקיר ראשוני עולה כי בעקבות מעבר שבוצע לאחרונה של מערכות החברה לשרתי הענן של אמזון, ובגלל טעות אנוש של אינטגרטור חיצוני שליווה את המעבר, נומרה חשיפה של קוד המקור. בשום שלב לא דלף מידע רגיש לגורמים שונים, פרט למידע שהגיע לידי דהמרקר. החברה מודה לכל הנוגעים בדבר על הצפת החולשה ומיישמת, באמצעות אנשיה וגורמי מקצוע המייעצים לה, בקרות מפצות נוספות למניעת הישנות המקרה.

עדכון בעקבות הפרסום (14:23)

לאחר פרסום הכתבה כאן ובדה-מרקר, בחברת קו מנחה ביקשו להבהיר שרק חלק מהמידע שדלף שייך להם.

על פי החברה, המידע שלה עוסק בלקוחות פרטיים וחברות קטנות. המידע שנחשף מהגופים הגדולים – צה”ל, ארגונים בטחוניים, הטכניון, קופ”ח כללית ואחרים – שייך לגוף פיתוחי שאיתו קו מנחה עבדו בעבר. המפתח של אותו גוף נשאר בקוד של פינבוט בשגגה, ובנוסף למידע של לקוחות פינבוט חשף גם מידע שאינו קשור לחברה בשום צורה.

ואנחנו שוב נציין לטובה את המקצועיות והרצינות שבהן קו מנחה מטפלים בתקרית.

📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל [email protected] 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 הודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס למספר 055-2-776766

כך אפשר להאזין לסייברסייבר:                    


גודדי הבטיחה בונוס לעובדים ואז נזפה בהם על שנפלו בפח

בסוף שנה ארורה כמו 2020, כיף לקבל מהמעסיק אימייל שמודיע לך על בונוס חמוד, כמו זה שקיבלו עובדי גודדי:

ספק רישום הדומיינים הגדול בעולם, עם כ-80 מיליון דומיינים, הבטיח בונוס של 650$ לעובדים שיקליקו על הלינק של אזור מגוריהם וימלאו את הפרטים הנדרשים. הם קיבלו ארבעה ימים, ואזהרה שמי שלא יירשם בזמן יפסיד את הכסף.

500 העובדים שמילאו את הטופס לא קיבלו בונוס. במקומו, הם קיבלו נזיפה מהסיסו של גודדי, דמטריוס קאמז:

קיבלת את האימייל הזה כי נכשלת במבחן הדיוג שערכנו לאחרונה. יהיה עליך לעבור מחדש את הכשרת ההנדסה החברתית למודעות אבטחה.

הודעת הבונוס היתה למעשה הדמייה של דיוג, כך חשף ה-Copper Courier.

דיוג (פישינג, phishing) הוא נסיון להשיג מאנשים פרטים אישיים, ובהם לעתים שמות משתמש וסיסמאות, לצורך גניבת זהות, פריצה למערכות ממוחשבות וכדומה. הדייגנים עושים שימוש בהנדסה חברתית, כלומר מציאת חולשות אבטחה אצל בני אדם כדי לגרום להם לתת את המידע – למשל, הבטחה לכסף תמורת הקלקה על לינק ו/או מסירת פרטים אישיים. מה שגודדי עשו הוא הדמייה של דיוג לצורך בדיקת ערנות העובדים, מהלך שחברות אחראיות מבצעות מפעם לפעם כדי להטמיע נהלי אבטחת מידע בקרב העובדים.

כרשם הדומיינים הגדול בעולם, גודדי הם מטרה נחשקת להאקרים שרוצים להשתלט על דומיינים כווקטור לתקיפות שונות. בלוג הסייברסייבר של בראיין קרבז הזכיר כמה פריצות משמעותיות שגודדי ספגו השנה: במרץ, האקר ביצע דיוג-ממוקד טלפוני של נציג שירות לקוחות והסיט את התעבורה של אתר Escrow.com לכתובת איי.פי במלזיה; באפריל, החברה גילתה שפירצת אבטחה מאוקטובר 2019 (!) סיכנה חשבונות אחסון של 28 אלף לקוחות של החברה; ובנובמבר, האקרים דייגו מספר עובדים בגודדי והביאו להסטת תעבורה של מספר פלטפורמות לסחר בקריפטומטבעות. כך שהחשש של גודדי מפני דיוג אמיתי, והצורך באימון העובדים קריטי.

אלא שעם הפרסום, החברה חטפה ביקורת על הדרך שבה בוצע המהלך, עם חוסר הרגישות שבנפנוף בונוס שקרי מול העובדים, ובפרט בתקופת החגים ותחת הלחץ וחוסר הוודאות של המגיפה. זאת, רק חצי שנה אחרי שהחברה הודיעה על פיטורים/העברה מתפקיד של מאות עובדים במחלקת המכירות, בדיוק ברבעון שבו הודיעה על גידול שיא במספר הלקוחות.

בנוסף, האימייל נשלח מכתובת בדומיין של גודדי – [email protected] – אמנם לא דבר בלתי אפשרי לזיוף, אבל כזה שמגביר את תחושת האמינות. מצד שני, אפשר לטעון שעובדים צריכים להיזהר גם מאימיילים שמגיעים לכאורה מכתובת ששייכת למעסיק. ומצד שלישי – המעסיק, במיוחד גוף טכנולוגי גדול כמו גודדי – צריך לעצור אימיילים כאלו עוד לפני שהם מגיעים לעובדים.

דובר גודדי מסר לגיזמודו:

גודדי לוקחת מאוד ברצינות את אבטחת הפלטפורמה שלנו. אנחנו מבינים שחלק מהעובדים לא היו מרוצים מנסיון הדיוג וחשו שהוא היה לא רגיש, ועל כך התנצלנו. בעוד הבדיקה חיקתה נסיונות אמיתיים שנמצאים היום בשימוש, אנחנו צריכים להשתפר ולהיות יותר רגישים לעובדים שלנו.

החברה לא השיבה אם בכוונתה לפצות את העובדים באמצעות חלוקת הבונוס המובטח.

________________________
התפרסם במקור בפינה “האחראי על האינטרנט”. 🖼️ mikkooja1977


פרשת #משטריגול: שאילתה לשר, מדריך פרטיות לגולשות

הבוקר חשפנו כאן בסייברסייבר ביחד עם עודד ירון מערכת משטרתית למעקב והסטת תעבורת רשת. מספר התפתחויות בנושא: השר לבטחון פנים יצרך לתת תשובות על הפרשה, מדריך טכני מפורט יסייע לגולשות להקשות על המשטרה לעקוב אחריהן ולבצע מניפולציות על הגלישה שלהן, ויש גם מאפים.

המשטרה מסרה באין-תגובתה לחשיפה שהיא “פועלת על פי הסמכויות המוקנות לה בחוק ומפעילה רק אמצעים המותרים לה על פיו” – מה שאמור להיות מובן מאליו, ואינו משיב על השאלות שהעלינו. במשרד ראש הממשלה בכלל לא השיבו. כעת ייאלץ השר לבט”פ אמיר אוחנה, להשיב על שאילתה בנושא. את השאילתה הגיש ח”כ משה ארבל (ש”ס), שמוכר כמי שמוביל מאבק לשמירה על זכותם של עצירים שלא להיאזק ואף מגיע לביקורות פתע בבתי משפט.

ח”כ משה ארבל (ש”ס) 🖼️ נחלת הכלל

בשאילתה כתב ארבל:

מדובר לכאורה בפגיעה חמורה שלא כדין בפרטיותם של אלפי אזרחים ישראלים ובפגיעה חמורה בחופש הביטוי בשל החשש לאפקט מצנן על הזכות להתבטא בחופשיות ברשת. כל זאת נעשה במחשכים, ללא היתר חוקי מפורש ומבלי שנערכה ביקורת פרלמנטרית מסודרת על מדיניות שמסתמנת כאחת האחראיות המרכזיות להפרת זכויות במדינת ישראל.

ח”כ ארבל שאל את השר אוחנה:

1) האם הפרסום נכון ומהי מדיניות המשטרה בנוגע למעקב אחר גלישה ברשת?
2) מכוח איזה חוק רשאית המשטרה לבצע פעילויות מעקב ברשת, מי במשטרה אחראי על הפעלת המדיניות ואישר אותה?
3) מהו היקף המעקב ברשת בשנה האחרונה והאם אושר ע”י הייעוץ המשפטי לממשלה?

על פי חוק, השר חייב להשיב על השאילתה תוך 21 יום.

עד שהמשטרה תאולץ להשיב ואולי אף להגביל את המעקב, ידיד סייברסייבר רן בר-זיק פרסם מדריך מפורט לגולשות כיצד להקשות על המשטרה לעקוב ולבצע מניפלציות על הגלישה (והמאזין דן פלג אימלק באמצעות מאפים).

לחמי IP, DNS ו-TOR 🖼️ דן פלג

טיפים נוספים לשמירה על פרטיות דיגיטלית אפשר למצוא בפרק “הפתרון למעקב בחסות הקורונה: קריפטופארטי” (ע02פ22).


משטרת ישראל מרגלת אחרי הגלישה שלנו באינטרנט. מזל שהיא כל כך גרועה בזה

כל הזמן מספרים לנו איזו דיסטופיה טכנולוגית יש בסין, שם הממשלה עוקבת אחרי כל צעד ושעל של האזרחים החיים בה, מנטרת ומסננת את התכנים שאותם מבקשים לצרוך משתמשי הרשת הסינית. צקצקנו, כי זה מה שאנחנו יודעים לעשות, וניפחנו את החזה עוד קצת, כי אנחנו נעלים יותר, ליברלים יותר, ולעולם לא נעשה את זה לעצמנו.

אחרי רצח שלושת הנערים היהודים בגדה המערבית אי אז בשנת 2014, קמו קולות בקרב קצונת המשטרה הישראלית הקוראים להגברת היכולת הטכנית לניטור משתמשים ברשת. הסיבות נעו בין קנאה בסמכויות הרחבות (מדי) של חבריהם בשירות הביטחון הכללי לבין ניסיון לתרץ שלל כשלונות מבצעיים בשל “העדר אמצעים”. חשבו, והעלו רעיון: בואו נכריח את כל ספקיות הרשת הישראליות להתקין סוס טרויאני בצורת שרת משטרתי דרכו ינותב המידע מהמשתמשים, וכך נוכל לשלוט בו, וכך גם בהם! גאוני, ווטסון, גאוני.

מחזיק מפתחות של ג’ינגג’ינג וצ’הצ’ה, קמעות חטיבת מעקב האינטרנט של רשות הבטחון הציבורית בשנז’ן, סין, למכירה באתר dgwlang888.b2b.hc360.com

למעשה, אין פה המון חידוש. בית המשפט הגבוה לצדק כבר נדרש לסוגיה הזו בעבר, כאשר האגודה לזכויות האזרח עתרה (בג”ץ 3809/08) נגד הקלות שבה מועברים נתוני תקשורת לידי שירות הבטחון הכללי ושאר מרעין בישין. המדינה השיבה לבג”צ כי אכן ישנם “נספחים ביטחוניים סודיים המסדירים העברת נתוני תקשורת מחברות התקשורת לשירות הביטחון הכללי”. השופטים בייניש, גרוניס, ריבלין, נאור, ארבל, חיות, ומלצר, לא חשבו שהטיעונים הטכניים שהעלתה האגודה לזכויות האזרח ראויים מספיק להתייחסות, והשאירו זאת כך.

זאת אומרת שנתוני התקשורת שלנו – התקשורת שעליה אנחנו משלמים כסף טוב מדי חודש לספקי טלפוניה, סלולר ואינטרנט – מועברים מזה שנים רבות לידי ארגוני ממשל ישראלים עם מעט מאוד פיקוח, אם בכלל. כל מה שביקשה המשטרה זה להצטרף למסיבה.

אבל מה בכל זאת שונה וחמור במיוחד כאן? בניגוד למידע שעובר כבר שנים לשב”כ מדי יום, המשטרה מבקשת לא רק לקרוא את המידע, אלא גם לחסום ולשנות אותו. אם נחזור לאנלוגיות הכלא החביבות עלינו, הדבר דומה לתא צפוף בו מוחזקים אסירים רבים, אשר מעוניינים לדעת מה קורה מחוצה לו. ליד החלון יושב אדם אשר מקבל את השאלות של האסירים, מביט בחלון, ועונה עליהן. למשל, אסיר אחר שואל את החלונאי: “מה מזג האוויר בחוץ?”, החלונאי משרבב את ראשו מבעד לסורגים, מביט היטב, מחזיר אותו פנימה, ועונה לשואל: “גשום”. 

המכשיר של המשטרה מחליף את החלונאי שלנו, כך שגם אם מזג האוויר בחוץ יהיה שמשי ובהיר, התשובה שיקבל השואל תתאים לנרטיב אותו מבקשת המשטרה להעביר באותו רגע, בלי קשר לעובדות. אם גשום והמשטרה מבקשת לומר שנעים וחמים, השואל יקבל תשובה “חמים ונעים”, ואם שמשי והמשטרה מבקשת שיושבי החדר יחשבו שגשום – החלונאי יענה “עזובת’ך, גשום, אין מה לחפש בחוץ”.

שוטר, שוטר, על מי אתה ראוטר?

המנגנון המשטרתי עובד בשתי תצורות, שתיהן חמורות, ואני חייב להודות שאינני מבין איך הדבר נופל במסגרת החוק: התצורה הראשונה היא ניתוב המידע של משתמש בודד, כך שכל האתרים שאליהם ינסה לגלוש ינותבו דרך השרת המשטרתי, כך שפעולותיו ברשת ירשמו, ושהמשטרה תוכל להתערב בתכנים שהוא או היא צורכים. למשל, פרטיותו של אדם המעורב במחאה נגד שחיתות השלטון תיפגע כאשר המשטרה תחשף להרגלי הגלישה שלו, ותחסום מבעדו לגשת לתכנים מסוימים אשר לא נראים ראויים בעיני חבר הכנסת מטעם תנועת הליכוד אשר משמש בתפקיד השר לבטחון פנים הממונה על המשטרה. נשמע בריא!

התצורה השניה אפילו מסוכנת יותר: המשטרה יכולה להתערב בתכנים המוגשים לכל מי שמבקש לגשת ליעד מסוים, בלי קשר לזהותו. למשל, בוקר אחד יתעורר פקיד אפרורי שיחליט שהגיע הזמן לנתב את כל מי שירצה לגשת לתכני הפודקאסט הפופולרי סייברסייבר, אשר חושף את מצבה העגום של הרשת הישראלית, לעמוד שיראה דומה מאוד, אך שתכניו יכתבו על ידי עשרת אלפים קופים מאולפים במרתפי מערך הסייבר, אשר מפיקים תכנים המהללים ומשבחים את עמידות הרשת ואת ביטחון המידע בה.

שושקה ויואב גלזנר בהפגנה נגד בנימין נתניהו 🖼️ גלזנר
לאן גולשים שושקה ויואב גלזנר מההפגנה נגד בנימין נתניהו? 🖼️ גלזנר

סיכון נוסף הוא סימון אזרחים המתעניינים בנושא מסוים, נניח השחיתות השלטונית המזעזעת הפושה בכל חלקה טובה (אם עוד נשארו כאלה) בשלטון הישראלי. כל מי שייגש לתכנים כאלה יסומן על ידי השלטונות, ותימנע ממנו גישה למשרות מסוימות, למכרזים מסוימים, לסיווג בטחוני, ובעתיד אפילו לדברים אחרים. דוגמה אחרת יכולה להיות שכל מי שיסומן בהפגנות נגד השחיתות (בין אם יעצר או פשוט יזוהה באמצעי זיהוי פנים בצילומים משם) – תחסם ממנו הגישה לרשתות חברתיות בשעות מסוימות או ביום שלפני הפגנה גדולה. ככה זה עובד בסין, פחות או יותר, ואתם יודעים מה אומרים על מיליארד סינים, נכון? הם לא תוהים. הם מצייתים.

החופש שהרשת מספקת לנו – או, אם נדייק,האשליה של החופש שהרשת מספרת לנו – הוא נדבך חשוב בחיים במדינה חופשית ודמוקרטית. מה שאנחנו שוכחים לפעמים זה שהחופש הזה ניתן לנו בזכות, ושהמדינה יכולה להחליט מחר להושיב ארגון בטחוני על השסתום ולמנוע מאיתנו גישה לתכנים מסוימים, לעוות את המציאות כך שנראה רק את מה שהיא מבקשת שנראה, ולעקוב אחרי הפעילות של כל אחד ואחת מאיתנו בצורה קריפית הדורסת את הפרטיות שלנו, ובעצם עשויה לשנות את הדרך שבה נצרוך את המשאב הזה. המחר הזה כבר איתנו לא מעט שנים, מסתבר.

סטטוסים משנות התשעים

עד כאן הבשורות הרעות, ואסור להקל ראש בעניין הזה. אבל מכיוון שאנחנו חיים בקולחוז טכנולוגי, בואו ננסה להפריד בין מה שהמשטרה *מבקשת* לעשות, לבין מה שהיא *יכולה* לעשות עם המערכת הזו. 

הרבה קרה בעולם מאז ישבו המוחות העצומים במשטרת ישראל ותכננו מערכת ניטור והתערבות במידע מסוג זה. דרך היישום של הניטור מתבססת על DNS, קרי, כל מי ש*מבקש* לגלוש לאתר מסוים, יועבר דרך שרתי המשטרה (עוד על מה זה DNS אפשר לקרוא כאן). אבל איך יודעים מי מבקש? מי ששואל את ספקית הרשת שלו לספק לו את כתובת ה-IP של שרת היעד. אז הדבר הראשון שיש לעשות זה להחליף את שרת ה-DNS בו אתם משתמשים למשהו אחר. ידידינו החביב רן בר-זיק כתב מדריך מצוין לעשות בדיוק את זה, ואם בטעות ובמקרה אתם עדיין משתמשים בשרת ה-DNS של ספקית הרשת שלכם, לכו ושנו זאת עכשיו. אנחנו נחכה.

גרפיטי של 8.8.8.8, ה-DNS החלופי שגוגל מספקים 🖼️ kaan sezyum
גרפיטי בטורקיה של 8.8.8.8, ה-DNS החלופי שגוגל מספקים 🖼️ kaan sezyum

חזרתם? טכנולוגיה חדשה (יחסית) שתמנע את התועלת במערכת החדשה נקראת DNSSEC, שכפי ששמה רומז, היא פשוט מערכת DNS מאובטח ומוצפן, מה שלא יאפשר לספקיות (או לכל מי שעומד בדרך) לדעת לאן אנחנו גולשים. האימוץ שלה ברחבי העולם עולה מדי שנה, ובעוד זמן לא רב בכלל היא תחליף את הטכנולוגיה המיושנת העומדת בבסיס מערכת הריגול המשטרתית הישראלית.

טכנולוגיה נוספת היא HTTP/2, שבניגוד לקודמתה מאפשרת להצפין לא רק את התוכן של התקשורת (כמו היום עם שימוש ב-HTTPS), אלא גם את ה-headers הכוללים את שם שרת היעד. נכון לדצמבר 2020, האימוץ של הטכנולוגיה הזו עומד על כמעט חצי (49.7%) מכלל האתרים ברשת, והנתון הזה רק עולה מדי חודש.

אבל גם אם אנחנו לא סומכים על הטכנולוגיות האלה (מכיוון שהן בשליטת היעדים שאליהם אנחנו פונים, ולא בשליטתנו), אפשר ומומלץ להשתמש ב-VPN. כתבתי בעבר על מה זה VPN, ובניגוד להרבה דברים אחרים, זה כן משהו שהייתי שוקל לשלם עליו, וזה מה שאני עושה. על ידי שימוש ב-VPN למשטרה, לפושעים, ולגופים אחרים, יהיה קשה משמעותית לנטר את פעולותינו ברשת. לא בלתי אפשרי, אבל יקר משמעותית. עוד חשוב לציין ש-VPN הוא לא פתרון אנונימיות, וחשוב להבין מה הוא מספק ומה הוא לא מספק לפני שהולכים לחטוף איזו תנומה על זרי הדפנה. צריך גם להיזהר מספקי VPN שמוסרים, מוכרים או דולפים את המידע שלנו לכל מיני גופים מפוקפקים כמו משטרת ישראל.

<חסות>

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו.

אם תיכנסו ל
כאן, או לכתובת המקוצרת Podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.

<\חסות>

לסיכום, משטרת ישראל מכריחה את ספקי הרשת הישראלים להתקין מערכת שפוגעת בנו, באזרחים, ועושה את זה במחשכים. את השאלות החוקיות של הפעלת המערכת אשאיר למשפטנים ממני, אבל את תחושת חוסר הנוחות – כולנו מרגישים. בצד הנעים יותר – המערכת הזו מיושנת, עם יעילות מאוד מוטלת בספק, וניתן לעקוף אותה בקלות ותוך דקות ספורות.

כמה עולה לנו מערכת מטופשת ומיותרת כל כך? מי האדם בעל ההבנה הטכנית הלקויה אשר הציע אותה, ומי האדם בעל ההבנה הטכנית הלקויה עוד יותר אשר אימץ אותה כסטנדרט במדינת היהודים? נמשיך לעקוב. כי באמת רטוב בחוץ, אבל אל תאמינו לחלונאי שאומר לכם שזה גשם.

תגובת המשטרה לחשיפת “הארץ” וסייברסייבר

הפריצה לשירביט: טרור!!1! הפירצה”ל: *צרצרים*

בניגוד לפרשת שירביט, האייטם הזה לא יגיע לראש החדשות. לא תראו פולואפים מאמצעי תקשורת, דיונים באולפנים או לחץ והיסטריה.

מה קרה: כל גורם שהוא היה יכול להוריד בנחת את הרשימה של כל חיילי צה”ל – בסדיר, בקבע ובמילואים, עם מספרי הזהות שלהם ושמותיהם המלאים, וגם גישה לדיווחי הקורונה שלהם.אני מכיר לא מעט גופים שהיו משלמים על הפירצה הזאת כסף טוב. אפילו רק כדי להביך את ישראל.

למה דליפת המידע הזו, של מאות אלפי פרטי חיילים, לא תגיע לראש החדשות? כי מי שדיווח עליה זו לא קבוצת האקרים אלמונית בטלגרם, אלא אנחנו: נעם רותם, עודד ירון, עידוק ואני, עבדכם הנאמן. אז לא תראו פה מחול שדים תקשורתי של איומים של חשיפה או נזק תדמיתי. רק אייטם פשוט.

האייטם הזה לא שונה מהותית מאייטמים רבים אחרים שאני ואחרים כתבנו וחשפנו וזכו למעט התייחסות מהמדינה. הצבא לפחות תיקן במהירות. גופים אחרים לא עושים את זה. ומי שגילה, אגב, זה לא אני, זה חייל רגיל, שלא משרת ביחידה טכנולוגית כלל וחייב להיות אנונימי כי על גילויים כאלו נכנסים לכלא.

למצולמים אין קשר לכתבה, אבל אולי פרטיהם נחשפו בפירצה 🖼️ david_kochman cc-by-nc-nd

אני, נעם ואחרים שחושפים פירצות סייברסייבר יכולים לספר על יחס מזעזע שאנו מקבלים מהנחשפים. אולי עכשיו, בעקבות השיטסטורם של שירביט, היחס ישתנה. בפרשה הזו, מי שחשף אותה יכול להענש בשלילת חירות. וזה? זה טיפה מפוצץ לי את הראש. אגב, הוא ניסה לדווח, אבל אין במערכת הצבאית מקום לדווח.

כרגיל בפרצות האלו, מדובר בפרצה מטופשת, שמעידה על פיתוח בעייתי, וכל מפתח עם שעתיים נסיון היה עולה עליה. ממשק רגיל, עם API פתוח, על שרת לא צה”לי ולא מוגן. כל מה שתוקף היה צריך לעשות זה לרוץ עליו. איך סקריפט התקיפה נראה? כמו בתמונה המצורפת. אבל נעבור לסדר היום, כי מה כבר קרה?

קוד להורדת רשימת חיילי צה"ל מיישומון הצב"ר הצה"לי
קוד להורדת רשימת חיילי צה”ל מיישומון הצב”ר הצה”לי

מבקר המדינה לא יתערב, רשות הפרטיות תמשיך לנמנם, ועדות הכנסת לא יעסקו בנושא, מהדורות החדשות ידווחו על עוד נופש בדובאי. אתם תקבלו עוד סמס פישינג ולא תבינו למה. הכל טוב. ואני כבר מתחיל להתעייף מזה. יש המוני מקרים ואין מי שיטפל בזה. הכוח שלי והזמן שלי ושל אחרים מוגבל 😔


🎖️ הפירצה”ל: לכו בעקבות הריח

הפרק החדש של סייברסייבר התחיל מ-code smell, מונח מוכר היטב למפתחים מנוסים. מה המשמעות של code smell? סימנים קלים בקוד שמראים שיש איתו בעיה, כמו ריח של דגים שמעיד שהם לא טריים. זו לאו דווקא בעיה ספציפית עם הקוד. יתכן שהוא עושה בדיוק את מה שהוא אמור לעשות, אבל הוא כתוב באופן כזה שמראה שעלולה להיות איתו בעיה. חלק מהניסיון שלי כמפתח גורם לי מיד להריח את הסימנים האלו, והאף של כל אדם טכני שיש לו אי אלו שנות ניסיון רגיש לסימנים האלו כאפו של איסטניס פחמימות שמריח מאפה כשר לאשכנזים מהדרין שבמהדרין לפסח. דוגמה נהדרת לכך אפשר היה לראות במקרה שהגיע לצוות סייברסייבר, וחשף פירצת אבטחה ופרטיות חמורה באתר צה”לי (לא זאת. עוד אחת).

באחד מלילות שישי הקפואים שהיו לאחרונה, כאשר אתם נמנמתם לכם בבית החמים, היתה לי פגישה אפלה במיוחד עם גורם צבאי בכיר. אחרי תיאומים רבים ומרדפים ברחבי פתח תקווה, הצלחתי להשיג אותו. הוא היה חבוש במגבעת ואחז בעותק של המקומון מלאבס. “יש לי רק שתי מילים בשבילך”, הוא אמר: “תסתכל באפליקציית הקורונה של הצבא”. לא הספקתי לומר לו שאלו חמש מילים והוא כבר נעלם, משאיר מאחוריו עשן סיגרים כחלחל וניחוח אקליפטוסים ומותיר אותי לבד בגשם השוטף.¹

אפליקצית הקורונה של הצבא, שכמקובל בצבא זכתה לראשי תיבות מטופשים – הצב”ר (הצהרת בריאות) – היא בעצם אתר שנגיש אך ורק לטלפונים ניידים (או לכלי הפריצה המשוכלל דפדפן עם תוסף החלפת יוזר אייג’נט). החל מה-23.11, “כלל המשרתים בכלל האגפים, הפיקודים והזרועות” נדרשים, בפקודה של סגן הרמטכ”ל, אלוף אייל זמיר, להיכנס אל האפליקציה ולדווח מדי יום על מצבם – האם אובחנו כחולים? האם חשו בתסמינים? האם שהו ליד חולה מאומת? לא רק שמדובר בפקודה, הצבא שלח סמסים לכל החיילים והזכיר להם למלא את האפליקציה באופן יומי, כשהוא ממשיך להשתמש בלינקים מקוצרים מפוקפקים שאינם על דומיין צבאי אלא בשירות פרטי, שאין לדעת איזה סוג של מעקבים ואיסוף מידע הוא מבצע על הטראפיק.

סמס מצה"ל על שימוש באתר הצב"ר
סמס מצה”ל על שימוש באתר הצב”ר

האפליקציה היא בסך הכל אתר ווב רגיל שאפשר להכנס אליו עם דפדפן. שזו בדרך כלל הבעיה, כפי שעוקבי הפודקאסט יודעים, משום שמדובר בכלי פריצה מפלצתי. שלחתי את כתובת האתר/אפליקציה לנעםר וביקשתי ממנו להעיף מבט. “תסתכל היטב על האתר הזה”, השיב לי נעםר, “הוא מסריח יותר מהגרביים הישנים של עידוק שנשכחו בתוך הקממבר שניסיתי לעשות במרתף”.

התיאור היה מאוד מאוד גרפי, אבל הבנתי את הכוונה שלו. ממבט באתר אפשר לראות כמה בעיות. בדרך כלל, באפליקציות שבנויות נכון, קוד צד הלקוח (כלומר הג’אווהסקריפט) עובר תהליכים שמסירים ממנו את הערות המתכנתים, ממזערות אותו ומעבירות אותו תהליכים נוספים שנקראים טרנספילציה. כאן הקוד לא עבר שום ערבול – כולו היה גלוי כפי שהוא נכתב, בפני כל מי שרצה להסתכל. כך גילינו, למשל, שיש מתכנתים שהנציחו את עצמם כשקראו לפונקציות על שמם. וזה? זה מסריח למדי. אולי לא כמו הגרביים של עידוק. אבל מסריח.

הצב"ר, אתר דיווחי הקורונה הצה"לי
הצב”ר, אתר דיווחי הקורונה הצה”לי

נבירה מהירה באתר איששה את החולשה שהמקור נקב בה, והחולשה היתה פשוטה מאוד – כל גולשת יכולה היתה לקבל מידע על כל חייל וחיילת, כולל שמם המלא והסימפטומים במידה שדווחו כאלו. במידה והדיווח היה לא מוצלח, היינו מקבלים שגיאה פשוטה. במידה והדיווח היה מוצלח היינו מקבלים לא רק אישור לכך שמספר הזהות קיים, אלא גם כבונוס את שם החייל המלא ואת התסמינים שהוא דיווח עליהם. בנוסף, האתר לא בלם נסיונות קצירה מרובים (ברוט פורס) ולא בלם גישה מסקריפטים. כל מה שגור האקרים היה צריך לעשות זה להריץ סקריפט קצר כדי לקצור את כל הכתובות. איך הסקריפט הזה נראה? ככה:

echo $null > log.txt
for i in $(seq 000000000 999999999); do
curl –header “Content-Type: application/json” –request POST –data “{\”personalId\”:\”${i}\”}” clearance.medical.idf.il/api/XXX/YYYY >> log.txt
echo >> log.txt
done

קוד להורדת רשימת חיילי צה"ל מיישומון הצב"ר הצה"לי
קוד להורדת רשימת חיילי צה”ל מיישומון הצב”ר הצה”לי

זה הידע הטכני העצום שנדרש כדי לקבל מאגר איכותי ועדכני של שמות ומספרי תעודת זהות של כל החיילים בצה”ל. פעולה נוספת היתה יכולה להיות שידוך של המידע הזה למאגר מידע אחר (אהם… אלקטור) והחגיגה בהחלט היתה יכולה להתחיל.

באתר צה”ל נכתב כי “הצב”ר פותח, נבחן ומובצע באופן מלא תוך שבועיים בלבד, לפי הנחיית סגן הרמטכ”ל, אלוף אייל זמיר, ע”י אנשי יחידת ‘שחר’ באגף התקשוב וההגנה בסייבר”. ובכן, אחרי שבחנו את כל הממצאים, כל מה שנותר לנעםר לומר זה:  “מי היה מאמין שיחידה של חיילים מבריקים וצעירים בלי שום מפתח בכיר בשטח, שמפתחת, בוחנת וממבצעת(!) אפליקציה תוך שבועיים בלבד, תגרום לבעיה כזו? אני בהלם!”. אני חושש שהוא היה סרקסטי, אבל עם נעםר אי אפשר לדעת איתו. לגרביים של עידוק עלולות להיות תופעות לוואי.

את האייטם, מונגש לקהל מעט פחות טכני והסברים מעט יותר מפורטים על מהות פרצות, אני מפרסם היום ב”הארץ”.

התגובה של דובר צה”ל לעניין היתה נמרצת – האפליקציה ירדה במהירות ותוקנה. התגובה הרשמית שלהם לא התייחסה לכשל בתהליך, אלא רק לתוצאה שלו: “בבוקר זוהתה תקלה במערכת למילוי שאלון בריאות יומי בצה”ל בהיבט שמירת המידע. התקלה תוקנה לאחר מספר שעות”.

____________________________

¹ יש מצב שהסצינה מומצאת וקיבלנו מייל פשוט ואנונימי לתיבת ההדלפות של הבלוג. 

תמונה ראשית: חיילי 8ביט 🖼️ Arrkyre


שירביט שידרגו את האבטחה לשיר256ביט 🚨🚨🚨🚔👮

אומת הרשת נתנה עבודה בפרשת הסייברפריצה לסוכנות הביטוח שירביט. הנה כמה מהבדיחות שאהבתי. מוזמנים לשלוח עוד בשלל אמצעי ההתקשרות שמופיעים באתר, או להזעיק את משטרת בדיחות האבא.

אביב מזרחי
אביב מזרחי
בדיחת שירביט. יוצר לא ידוע
יוצר לא ידוע
בדיחת שירביט. יוצר לא ידוע
יוצר לא ידוע
דן גורן, BezimSheli1984
דור צח
מיינה
רשף שי
גידי גורן
תומר שרון
שגיא בן צדף
דין לנגזם
השרה לענייני צילום חתולים
Image
רם גלבוע
Image
שלומי פרץ
בדיחת שירביט - רן לוקאר והראל דן
רן לוקאר והראל דן
בדיחת שירביט - יאיר קיבייקו
יאיר קיבייקו
רן בר-זיק
וכמה מהתגובות לבר-זיק
ואני
משטרת בדיחות האבא
כולכם עצורים. עלו לניידת!

טרור? אנטישמיות? שירביט היא כולה עוד פריצה ברשת הישראלית המחוררת

בימים האחרונים נחשפת פעולת סחיטה מעניינת של חברת הביטוח “שירביט” על ידי קבוצת האקרים המכנה את עצמה “בלאק שאדו”. מכיוון שהמון מומחים בעיני עצמם החליטו לשתף את הציבור בדעתם, חשבתי לעצמי – היי, גם אני מומחה בעיני עצמי, אולי גם אני אשתף את הציבור בדעתי! אז הנה השנקל שלי על מה שמתרחש, שאולי יתנגש מעט עם חלק מהתזות שנזרקות באוויר על ידי אחרים.

זה לא טרור

אז אמ;לק: תפסיקו לקרוא לכל דבר “טרור”, זה מביך. בתור אדם שמכיר בצורה אינטימית עד כדי חוסר נוחות את מצב האבטחה ברשת הישראלית, המידע שנחשף על ידי “הצללים השחור” הוא לא יוצא דופן או רגיש במיוחד. לו ארגון טרור היה רוצה לעשות “פיגוע תודעתי” כמו שאוהבים כל מיני יוצאי ארגונים אפלים לכנות את זה, אני יכול לחשוב על לפחות עשר מטרות טובות יותר, פתוחות יותר, קלות יותר, ועם השלכות קשות יותר על החברה הישראלית, מאשר חברת ביטוח אחת. כשכל תעשיית הסייבר הישראלית מבוססת על יוצאי ארגונים ממשלתיים אפלים כאלה, כל נפיחה מצטיירת כמו פיגוע טרנס-גלקטי, כי זה פשוט הדבר היחיד שהם מכירים. 

בשנים האחרונות מצאתי אני, יחד עם כמה מידידי הטובים, מאות מערכות ישראליות פתוחות, חלקן ממשלתיות,  חלקן שייכות לגופים גדולים משמעותית מ”שירביט”, ועדיין הארץ שקטה. למה? כי פשוט סיפרנו להם על הבעיה כדי שיוכלו להמשיך ולטאטא אותה מתחת לשטיח. *כל* ההבדל עכשיו הוא שמי שמצא את המערכת ניחן בחוש עסקי מפותח יותר ובמקום לקוות לאיזה בורקס כאות תודה מהחברות הפרוצות, שלא מגיע אף פעם, אגב, החליטו לנקוט עמדה נחושה יותר ולדרוש תשלום עבור הרשלנות הזו. זה הכל.

סאטושי הם לא יראו ממני 🖼️ פרסומת של שירביט

כאשר מצאנו את עצמנו במערכות של חברות גדולות יותר מ”שירביט” יכולנו לעשות בדיוק את אותו הדבר, אבל בחרנו לדווח. כאשר מצאנו את עצמו במערכת של שירות בתי הסוהר עם מידע אישי ורגיש על אלפי עובדים ביטחוניים, יכול לעשות את אותו הדבר, אבל בחרנו לדווח. כאשר מצאנו את עצמנו במערכות רפואיות רגישות מאוד – בחרנו לדווח. כאשר מצאנו את עצמו במערכות של משרדי ממשלה – בחרנו לדווח. כאשר מצאנו את עצמו במערכות פיננסיות מכובדות – בחרנו לדווח. 

ואלה באמת לא פרצות שדורשות תחכום מיוחד, אלא היכרות בסיסית עם דרכי הפעולה של אנשי פיתוח ותפעול עצלנים. “יצאה גרסה חדשה? אבל היום יום שלישי וסוף השבוע ממש מתקרב, נדחה את העדכון למתישהו אחר”, “להקליד סיסמה מסובכת כל פעם שאני רוצה להיכנס למערכת? מה אני, איכר? 1234 זה קל ונעים”, וכן הלאה. במקרה של “שירביט” רשימת הכשלים ארוכה ומביכה, החל משרת VPN עם חולשות ידועות בנות כשנתיים שלא עודכן כי תירוצים, גרסת שרת דוא”ל לא מעודכנת, המשך בטביעת רשת גדולה משמעותית מהנדרש, כולל חשיפה של שרתי פיתוח ובדיקות לרשת הציבורית, ניהול גיבויים לא נכון, והרשימה עוד ארוכה. הם לא יוצאי דופן, הם פשוט נתפסו הפעם עם הסנדלים על האוזניים, כי סייברסייבר זו בעיה רק כשהיא הופכת לבעיה. עד אז תנו לגאון הצעיר משמונה גרביים משכורת מנופחת כי הוא זורק ביטויים אניגמטיים כמו “פרוקסי” לאוויר, ואף אחד לא רוצה להתווכח כדי לא להצטייר כלא מבין בסייברסייבר, חלילה.

משא ומתן בקולחוז

וזה מוביל אותנו לעניין הבא: ניהול המו”מ עם הפורצים. קהילת הסייברסייבר רוחשת ובוטשת עם שלל דעות אם צריך לנהל מו”מ או לא צריך לנהל מו”מ כאילו אנחנו בקולחוז, וכאילו מדובר באירוע בודד שיש להסכים על דרך הטיפול בו לטובת הכלל. זו אכן ראיית עולם קסומה ומכובדת, אך למרבה הצער היא לא מאוד מחוברת למציאות. המקרה הזה הוא מקרה זניח יחסית (עם כל הכבוד לעוסקים בדבר, ויש כבוד, לחלקם). הפורצים יודעים את זה, ולכן לא מתכופפים סנטימטר.

העניין כאן הוא לא “שירביט”, אלא הארגון הבא בתור שרואה את הסצנה המביכה הזו ומצקצק. כשתיגמר הסאגה הזו עם המידע של כולנו בחוץ ועם השלכות קשות על המשך קיומה של חברת הביטוח הישראלית, מנהל הארגון הבא בתור (שכבר מוכן במגירה) ישלם כמו כבש מנומס כי הוא לא רוצה להיות במצב של “שירביט”. ככה מנהלים מודל כלכלי איתן, והאמירות המגוחכות של “זה טרור כי הם לא רוצים באמת כסף” מצביעות על חוסר הבנה בסיסי מאוד של התעשייה הזו, ולמרבה הצער והאימה – אלה האנשים שמקבלים כסף, והרבה ממנו, כדי לנהל אירועים מסוג זה.

וגם לא התקנת עדכוני אבטחה 🖼️ פרסומת של שירביט
וגם לא התקנת עדכוני אבטחה 🖼️ פרסומת של שירביט

אירוע הסחיטה הבא כבר מוכן. זה לא טרור, וזו לא עוגת בננות, זו סחיטה ישנה וטובה. עושה רושם שהפריצה ל”שירביט” החלה כבר לפני מספר חודשים, ונכון להניח שזה לא רק שם. הדרך בה מתנהלים הסוחטים היא בדיוק הדרך בה הם צריכים להתנהל בהתאם למודל שאנחנו מכירים היטב ממדינות אחרות.

העובדה שבארץ עדיין לא היה אירוע ציבורי בקנה מידה כזה היא קוריוז, ועדיין אין בו שום דבר מיוחד לעומת עשרות ומאות מקרים דומים ברחבי העולם. יש פירצה, אם בשל רשלנות של הארגון הנפרץ או בשל מיומנות מיוחדת של הארגון הפורץ, ומכאן הדברים מתנהלים. אם הפורצים יתכופפו – הם מאותתים שיש פה ברירה. אם לא יתכופפו – אולי לא יקבלו כסף הפעם, אבל הפעם הבאה תהיה קלה יותר משמעותית. זו אסטרטגיה מוכרת, וניסיון לתלות עליה תיאוריות מופרכות שמתאימות לראיית העולם הביטחונית ממנה באים רבים מהמומחים הישראלים – מיותרת.

אז מה צריך לעשות

וכאן אנחנו מגיעים לשאלת מיליון הדולר, שכמו כל דבר מתחלקת לכמה חלקים: מדיניות, מדיניות, ומדיניות.

ראשית, יש להכיר בכך שלא מדובר באירוע בודד, וודאי וודאי לא באירוע חריג. כשמבינים את זה, יש לעצור רגע, ולהניח תשתית לאומית לטיפול במקרים כאלה. רק השנה *דווחו* יותר ממאתיים אירועי כופרה בישראל, וסביר להניח שבפועל היו הרבה יותר. אז נהדר ש”מערך הסייבר” מוציאים עלונים שמטרתם לחנך את הציבור (ברצינות, זה חשוב), אבל חסר פה נדבך משמעותי – והוא מדיניות מו”מ עם סחטנות כזו.

קל להשליך את ההחלטה על המנכ”ל האומלל של ארגון שכל המידע שלו נמצא בידיים של סחטנים, אבל זה רק יעודד מתקפות נוספות. חוק האוסר תשלום כופר, למשל, יניח תשתית אחרת למשא ומתן, ואולי ישכנע פורצים להתמקד במדינות אחרות, שם קל יותר להוציא כספים. המחיר לא יהיה פשוט, אבל שוב – מי שרוצה את המידע שלנו – יקח אותו, זה באמת לא מסובך. מי שרוצה לעשות ממנו כסף בדרכים נכלוליות – זה כבר סיפור אחר, ובזה אפשר לטפל.

באג באתר הסלולרי של שירביט 🖼️ פרסומת של שירביט
באג באתר הסלולרי של שירביט 🖼️ פרסומת של שירביט

דבר נוסף שמומלץ מאוד לכל ארגון לעשות – הוא להגדיר מדיניות ניהול אירועים כאלה. ארגון שיש לו תוכנית מגירה למה לעשות ביום שמתקבלת דרישה כזו – לא ייתפס עם חותלות ורודות ושירים של “טקטרוניקס” ברקע. תכנית כזו תקיף גיבויים (ושיוריות בכלל), עדכון גרסאות, בדיקות חדירה רבעוניות לכל הפחות, קווי מתאר לניהול מו”מ, ועוד רשימה ארוכה של דברים שיש לעשות כדי להיות מוכנים ליום שבו מתקבלת הודעה כזו. זה לא דבר יקר, אבל זה דבר נחוץ, וזה תהליך שחייב להיות מובל על ידי המנכ”ל ושחשיבותו תהיה ברורה לכל עובדי החברה.

אגב, כחלק ממדיניות ארגונית כזו אפשר להקים גם תכניות “באונטי” שיאפשרו לחוקרי אבטחה מנומסים לדווח על פרצות ולקבל תמורתן כמה שקלים. זה עובד בכל העולם, ואין שום סיבה שזה לא יעבוד גם אצלנו. כרגע אני מודע לתכנית באונטי רק בחברה ישראלית אחת, וזה חבל.

דבר אחרון

יחד עם ידידי אנחנו נתקלים בשלל תגובות מהארגונים להם אנחנו מאסגרים את הפרצות שאנחנו מגלים, החל מהתעלמות טוטאלית (וסגירה של החור בשקט, כאילו לא היה שם מעולם) ועד איומים בתביעות, במשטרה, ובעירוב שב”כ שיקח אותנו למרתפיו. זו לא הדרך, כי אם ככה מתייחסים לאנשים עם כוונות טובות, אין פלא שבסוף באים צללים שחורים.

 אחותי, בטלי גם את כרטיס האשראי שלך 🖼️ פרסומת של שירביט
בטלי גם את כרטיס האשראי שלך 🖼️ פרסומת של שירביט

בתקופה האחרונה, בעקבות מספר מקרים מאכזבים מאוד בטיפול הלקוי מצד הארגון הדולף וביחס לו זכיתי, פשוט הפסקתי לדווח כמעט לחלוטין, למרות שהרשימות עדיין ארוכות מאוד. בעקבות דליפות מידע משמעותיות מאוד כמו זו של מערכת ה”אלקטור” – שלא קרה איתן כלום – הבנתי שאין פה באמת רצון לתקן, אלא יש בעיקר רצון לטאטא את הבעיות מתחת לשטיח. הפצעתם של “הצללים השחורים” היא פועל יוצא של המדיניות הזו, כי כאמור – מה שלא לומדים בכח, לומדים בהרבה יותר כח.

ישראל לא ממציאה פה כלום, ופרט ללצווח “טרור” או “אנטישמיות” בכל פעם שקורה פה משהו לא נעים שקורה בכל יום בכל מקום אחר בעולם, זה מעבר למביך. בראייה מפוכחת יש להודות שהעובדה שאירוע ציבורי כזה קורה רק עכשיו ולא קודם היא ברכה, ושצריך לצפות לעוד הרבה כאלה. כאמור, מהיכרות אינטימית עם הרשת הישראלית – ארגון פשיעה עם מספיק עזוז יכול לעשות פה מיליארדים, והפוקוס שמקבל האירוע ב”שירביט” רק יקדם את הנושא. לכשעצמי, אני שוקל ברצינות השקעה בתעשיית הפופקורן, כי הולך להיות מעניין מאוד.

הודעת ההשבתה באתר שירביט

המלצת האזנה בגלובס ⭐⭐⭐⭐⭐

אביב מזרחי הזכיר אותנו בתרשים זרימה לבחירת פודקאסט ישראלי להאזנה. אנחנו כל כך נרגשים שאנחנו סולחים לו על האיות השגוי של שמו של נעם רותם.

סייברסייבר, הבחירה הנכונה היחידה. קליק להגדלה

כך אפשר להאזין לסייברסייבר:                    


גוגל סטריט ויו מסתיר את בית ראש הממשלה בקיסריה, ובכך חושף את ראש הממשלה לאיום ביטחוני מצד ארגוני הטרור!

חשיפת מידע רגיש לא חייבת לקרות בצורה של פרסום המידע עצמו. לפעמים מידע רגיש נחשף גם בגלל אי-פרסומו. למשל: אם אני מחתים כרטיס נוכחות כל יום בעבודה, אפשר לדעת באילו ימים ושעות הייתי שם. אבל אם ביום שני לא העברתי את הכרטיס – היעדר המידע הוא למעשה מידע, שאומר שלא הייתי במשרד ביום שני, או הייתי אבל ניסיתי להסתיר זאת ולא העברתי כרטיס. משיודעים זאת, אפשר לנסות לברר אם הייתי או לא, על ידי בדיקת מצלמות מעקב, חקירת עמיתים לעבודה וכיוצא בזה.

דוגמה יפה להעברת מידע באמצעות החסרת מידע היא הדרך הערמומית שבה ספרנים בארה”ב עקפו תוכנית של ה-FBI למעקב אחרי המבקרים בספרייה תוך הסתרת המעקב באמצעות איסור פרסום לפי חוק הפטריוט. מאחר שהחוק אסר על ספרנים לספר שה-FBI היה בספרייה או ביקש מידע על מבקרים, הם תלו בספריות שלטים בנוסח “ה-FBI לא היה פה. שימו לב היטב אם השלט הזה יוסר”.

דוגמה נוספת היא האופן שבו גוגל חושפים מקומות רגישים בטחונית בישראל. נזכרתי בכך בזכות הודעה ששלחה פעילת הביביסטים אורלי לב לפעילים אחרים, שבה היא קוראת להם להגיע להפגנה ליד בית משפחת פרקש בקיסריה (בטענה שמשפחת פרקש אירחה בביתה, הסמוך לבית ראש הממשלה, פעילים אנטי-ביביסטים, ובכך איפשרה להם לעקוף איסור להפגין ליד בית ראש הממשלה). לב צירפה מפת גוגל שבה סימנה בעיגול אדום את בית פרקש.

ההודעה של אורלי לב עם מפת גוגל שבה מסומן בכחול בית משפחת נתניהו

הפעיל האנטי-ביביסט גונן בן יצחק פרסם צילום של ההודעה וכתב: “במפות גוגל הנקודה הכחולה מסמלת את המיקום של מי שפתח את המפה לניווט. במקרה של המפה שאורלי לב שולחת לפעילים, הנקודה הכחולה נמצאת בבית משפחת נתניהו בקיסריה”. ואילו לדברי הפעיל האנטי-ביביסטי נרי ירקוני, “מי שחיפש שהה *באותו הרגע* בבית נתניהו בקיסריה (עיגול כחול)”. נדמה לי שמבין השניים, ירקוני מדייק: מי שצילמסך את המפה עשה זאת כשהוא נמצא בבית משפחת נתניהו או בסביבתו הקרובה.

כך או כך, יאיר נתניהו, שהינו אדם פרטי ולכן באופן טבעי מוסר תגובות בשם ראש הממשלה, אמר בתגובתו כי

גונן בן יצחק עשה דבר חמור ביותר כשפרסם לכל העולם בציוץ בטוויטר את מפת גוגל שמראה את מיקומו המדויק של בית ראש הממשלה בקיסריה, ובכך חשף את ראש הממשלה לאיום ביטחוני מצד ארגוני הטרור..

וויינט, 21.11.2020
תגובת יאיר נתניהו בחדשות 12 לפרסום של גונן בן יצחק

הטענה הזאת מקושקשת: כתובת בית משפחת נתניהו “פורסמה פעמים רבות בעבר גם באישור הצנזורה, וניתן למצוא אותה בקלות בגוגל”, כפי שנכתב בוויינט. אבל היא מספקת הזדמנות להזכיר שגוגל פרסמו בעקיפין רשימה של כתובות שיש סיכון בטחוני בצילומן, כולל ביתו של ראש הממשלה ובנו, האיש הפרטי; וכי מי שהעביר את הרשימה הרגישה הזאת לגוגל, חברה פרטית לא-ישראלית, היא מדינת ישראל.

באפריל 2012 השיקו גוגל בישראל את גוגל סטריט ויו, שירות שמציג תצלומי רחובות ובתים על מפות גוגל. לפני ששלחו את ניידות הצילום להסתובב ברחובות ישראל, גוגל נדרשו לקבל אישורים רשמיים, ובהם אישור ועדת שרים בראשות דן מרידור, שבחנה את ההיבטים הביטחוניים. המדינה התירה לגוגל לצלם ברחובות ישראל, אך דרשה מהחברה להימנע מצילום סביב אתרים רגישים בטחונית. כדי שגוגל ידעו איפה אסור לצלם, הם קיבלו מהמדינה רשימת כתובות רגישות שאסורות בצילום.

כדי לגלות אילו אתרים נחשבים רגישים בעיניי מדינת ישראל, כל מה שגולשת צריכה לעשות זה לגרור את אייקון האיש הצהוב מעל מפות גוגל באזורים שונים בישראל, ולראות סביב אילו כתובות ובתים אין קווים כחולים שמעידים שהאזור צולם. למשל: הבסיס הצבאי הקריייה בתל אביב, ובאופן משונה גם מצודת זאב. אחר כך הגולשת יכולה לחפש את אותם אזורים בשירותי מפות אחרים, תצלומי לווין או בסיור פיזי במקום.

אם הגולשת תגרור את האיש הצהוב מעל מפת קיסריה, היא תגלה קטעי רחוב בודדים שלא צולמו, ועל כבישיהם לא מופיע קו כחול – למשל, נתח בחלק הצפוני של רחוב הדר, סביב בית מספר 69. מעניין מי מסתתר שם.

רחובות קיסריה הזמינים בגוגל סטריט ויו
החתיכה החסרה פוגשת את O הגדול

עיתונאי פלש לווידאוצ’ט של שרי ההגנה של אירופה אחרי שהשרה ההולנדית חשפה את הסיסמה בטוויטר

מאז שמגיפת הקורונה שינתה את חיינו, צילומסכים של קוביות עם פרצופים הפכו לחלק מהשפה החזותית שלנו, בין אם מדובר בזום עם חברים או בוובקס עם העמיתים לעבודה. שרת ההגנה ההולנדית, אנק ביילפלד (Ank Bijleveld), צייצה ביום שישי צילומסך של שיחת וידאו שבה השתתפה, במסגרת פגישת שרי ההגנה האירופים במועצת יחסי החוץ של האיחוד האירופי. זמן קצר לאחר מכן התחרטה ומחקה את התמונה, אבל זה כבר היה מאוחר מדי: איש זר פלש לווידאוצ’ט והביא לפיצוץ הפגישה.

אותו פולש אכזר הוא העיתונאי ההולנדי דניאל ורלאן (Daniël Verlaan) מ-RTL Nieuws. הוא קיבל טיפ אנונימי שהתמונה שהעלתה ביילפלד מכילה ב-URL (כתובת האתר) שם משתמש ו-5 מתוך 6 ספרות של הפינקוד הנדרש לכניסה לשיחה. ורלאן ניסה כמה מספרים עד שהגיע לפינקוד הנכון.

בשלב הזה צריך היה להיות אמצעי הגנה נוסף, שעליו התחייבו מנהלי השיחה בהודעה מוקדמת למשתתפים. אבל ורלאן לא נתקל בשום הגנה כזאת – הוא נכנס ישר לשיחה, נופף לשלום לשרי ההגנה המופתעים והצוחקים, הציג את עצמו וניהל שיחה קצרה עם הנציג העליון של האיחוד לענייני חוץ ומדיניות ביטחון, ג’וזפ בורל. זה צחק במבוכה ושאל את ורלאן אם הוא מודע לכך שזו עבירה פלילית, ואז ביקש ממנו לעזוב את השיחה במהירות, לפני שהמשטרה תגיע.

ביילפלד, כאמור, מחקה את הציוץ. דובר מטעם משרד ההגנה ההולנדי מסר ל-RTL כי “עובד צייץ בטעות תמונה עם חלק מהפינקוד. התמונה נמחקה לאחר מכן. טעות טפשית. זה מראה לך כמה צריך להיות זהירים כששולחים תמונה מפגישה”. אפילו ראש הממשלה מארק רוטה התייחס לדברים ואמר: “התוצאה היחידה של זה היא שביילפלד הראתה לשרים האחרים כמה צריך להיזהר”.

במועצה אמרו ששום מידע סודי לא נידון בישיבה (בפוליטיקו דיווחו שעלה לדיון מסמך מסווג על הסכנות שעומדות בפני האיחוד האירופי, שישמש בסיס לאסטרטגיית הגנה עתידית של האיחוד האירופי). עוד אמרו במועצה כי יגישו תלונה לרשויות.

הצילומסך שצייצה אנק ביילפלד. RTL Nieuws הסתירו את פרטי ההתקשרות 🖼️ ורלאן
הצילומסך שצייצה אנק ביילפלד. RTL Nieuws הסתירו את שם המשתמש והסיסמה 🖼️ ורלאן

ורלאן סיכם:

> כעיתונאי, אתה צריך להביא ראיות חותכות אחרת ישקרו לך (‘לא, יש אמצעי הגנה נוספים, לא יתנו לך גישה’)
> הם מעדיפים לפגוע בעיתונאי מאשר לתקן את החרא שלהם

דניאל ורלאן בטוויטר, 20.11.2020

התפרסם במקור בגירסה שונה בפינה “האחראי על האינטרנט” בגלצ


600 אלף ישראלים נחשפו: תמונות עירום, צ’טים מיניים, כרטיסי אשראי ועוד בפירצת אבטחה חמורה

הכל היה מוכן להשקת העונה השלישית של הפודקאסט הפופולרי סייברסייבר, כשקיבלנו דיווח בתיבת ההדלפות המשוכללת שלנו בדארק-ווב. המדווח.ת, סתיו, אמן.ית פיתוי הדאטהבייסים הזכור מחשיפת פירצת הליכוד-אלקטור, סיפר לנו על שורה של פרצות חמורות במספר פלטפורמות היכרויות ישראליות, החושפות פרטים אישיים מאוד של מעל 600,000 ישראלים וישראליות. פרסמנו את הסיפור במקביל עם עומר כביר בכלכליסט.

<חסות>



סייברסייבר מופק בחסות חברת הסייברסייבר SentinelOne, שמגייסת עובדים ל-50 משרות במשרדיה בתל אביב

לפרטים והגשת קורות חיים לסנטינל וואן התגלצ’ו אל s1.ai/tlv-jobs

<\חסות>
מסמכים צבאיים ותצלומי חיילים 🖼️ דליפת אתרי ההכרויות והזנות הגדולה
מסמכים צבאיים ותצלומי חיילים 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

את הדברים של סתיו אנחנו מביאים כלשונם, כולל ההחלטה לא לאסגר את המידע לפלטפורמות הדולפות או למערך הסייבר הישראלי.

סייברסייבר: באופן טבעי לא נשאל מי את או אתה, זה יהיה בסדר אם נקרא לך “סתיו, אמן פיתוי הדטהבייסים”?
סתיו: “יותר טוב מהכינוי הנוכחי שלי ברשת, אני סבבה עם זה”.

סייברסייבר: על כמה מערכות מדובר בפרצה הנוכחית?
סתיו: “יש שם קרוב למאה אתרים שמופעלים על ידי 4-5 פלטפורמות שונות. חלק מהמפעילים ישראלים, חלק לא, אבל המשתמשים הם כמעט רק ישראלים”.

סייברסייבר: כמה משתמשים נחשפו?
סתיו: “במערכות של הזנות כמה עשרות אלפים, לא רחוק מ-80,000. סה”כ, כולל המערכות של ההיכרויות לצרכים רומנטיים יותר, מעל שש מאות אלף ישראלים”.

סייברסייבר: איזה מידע מצאת שם?
סתיו: “המון. מיילים, טלפונים, סיסמאות, בחלק מהמקרים גם תעודות זהות, כתובות פיזיות, העדפות מיניות, תמונות עירום, הודעות פרטיות בין משתמשים, בקשות לתשלום על מין, לפעמים הוכחות לתשלום, ראיתי צילומי מסך של תשלומי ארנונה שנעשו בתמורה להבטחה למין, צילומי יתרות בחשבונות בנק (כנראה כדי להראות יכולת כלכלית), מסמכים צבאיים (כולל מפות, סידורי פטרולים, משמרות, ועוד), צילומי תעודות זהות ודרכונים, במקרה מסוים אפילו מכתב המראה זכאות לירושה מאישה שנפטרה ימים ספורים לפני שצולם והועלה למערכת. ראיתי קטינים שמציעים את עצמם, והפניות שהם מקבלים, ובאמת כל דבר. אנשים הם משונים, חלקם דפוקים לגמרי”.

מו”מ על שירותי זנות 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

סייברסייבר: כמה מסובכות הפרצות האלה?
סתיו: “כמו שראיתם במידע ששלחתי לכם – אלה פרצות של גן ילדים, וסביר מאוד להניח שהמידע הזה כבר בחוץ בידיים זרות. מה שמטריד הוא פוטנציאל הסחיטה של עובדי ממשלה הנשואים שמחפשים מין מזדמן (וכאלה יש המון); וכמובן הפגיעה שאנשים מקהילות סגורות כמו חרדים או ערבים שכנראה יהיו מוכנים לשלם לא מעט כדי להשאיר את המידע הזה חסוי”.

סייברסייבר: באסגרה שלך כתבת שאתה (או את) לא סומכים על הרשויות בישראל ולכן לא פניתם אליהם עם המידע, וכמו כן ביקשתם מאיתנו לא לאסגר. למה?
סתיו: “בדליפה של מערכת האלקטור היתה לי ציפיה לפעולה משמעותית של הרשויות. עד עכשיו לא קרה עם זה כלום, וכנראה גם לא יקרה. זו היתה נקודת שבר שאחריה הבנתי שאין בישראל באמת רצון או יכולת להגן על האזרחים ברשת. חלק ממפעילי המערכות כאן הם פושעים, מקדמים זנות, ומדיחים אנשים חלשים למכור את גופם. אחרים הם סתם רמאים שמפעילים פרופילים פיקטיביים כדי לפתות אנשים להוציא כסף, ולכן הפתרון גם לא נמצא בלעזור להם לאבטח את המערכות שלהם טוב יותר כדי שימשיכו לרמות אנשים נוספים”.

שיחת וואטסאפ בין חברים באתר 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

סייברסייבר: מה את, או אתה, מתכננים לעשות עם המידע הזה? מידע מאוד מסוכן, מאוד נפיץ, יכול לגרום לנזקים אמיתיים.
סתיו: “עוד לא החלטתי. חלק מהמידע באמת מזעזע, בעיקר הקטינים, אבל גם סוגים אחרים של ניצול אנשים מוחלשים על ידי אנשים חסרי מצפון ומוסר. נראה איך יתפתח הסיפור הזה. הבעיה המרכזית כאן היא שיהיה קשה לפגוע בחלאות בלי שיעופו שבבים גם על הקורבנות שלהם. למשל רב ידוע מאזור הדרום, או עובד בבית חולים לחולי נפש המפתה קורבנות ליחסי מין אלימים, או שוטרים ואנשי ביטחון אחרים, שעל פי חלק מההודעות עשויים לנצל את מעמדם כדי לפגוע. מאוד יתכן שהמידע שלהם ימצא את עצמו בחוץ, אבל כאמור – נראה לאן יתפתח הסיפור”.

סייברסייבר: אם אנחנו כבר מדברים, עושה רושם שזה לא הרודיאו הראשון שלכם ברשת הישראלית. איך הייתם מגדירים את מצב האבטחה שלה?
סתיו: “די מזעזע. עם כל הרעש של מערך הסייבר, מערכות ממשלתיות ואזרחיות רבות פרוצות לחלוטין, ואלה לא מערכות זניחות. למשל, מצבת כח האדם הממשלתית הכוללת עובדים בארגונים שלא הייתם מצפים שיחשפו את רשימת העובדים שלהם – כמו המוסד והשי”ן בית (למשל 03XXXXXX4 או 5XXXXX42; אתם לא חייבים להזכיר את המספרים עצמם, זה רק אם מישהו יפקפק בדברים האלה), או מערכת ביקורת הגבולות, או בנק גדול מאוד שמאפשר גישה למידע של כל החשבונות בו, ואלה רק דוגמאות.

מתנות תמורת מין חברים באתר 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

“התרבות של מכרזים תפורים לחברות שחושבות שאבטחת מידע זו בדיחה מאפשרת כניסה לפחות או יותר כל מערכת גדולה בישראל, ולא נראה שלמישהו באמת אכפת מזה. אז אם כמה מיליוני תמונות של ישראלים בתחתונים או בלעדיהם זה מה שיביא את השינוי – שיהיה”.

סייברסייבר: וואו, זה נשמע קיצוני אפילו יותר ממה שאנחנו מכירים, מה אתה או את מתכננים לעשות עם המידע הזה?
סתיו: “שום דבר. יש לי שום דבר נגד מדינת ישראל, אבל גם אין לי שום אינטרס לעזור לה, בטח אחרי הפיאסקו של אלקטור. אם היה חשוב להם – היו משנים את השיטה שיוצרת את החורים האלה. כל עוד כסף מגיע לפני אינטרסים של האזרחים – שום דבר לא ישתנה”.

חדש! הקו החם והפריך של סייברסייבר!

תגובות לפרק? דיווחים על פירצות ופריצות? מתכוני מאפים? שילחו הודעה קולית

🍕 055-2776766 🐱

(אפשר גם לשלוח תרומות בפייבוקס למספר הזה)

המידע בדליפה שסתיו חשף הוא אישי ופרטי מאוד, וכולל מליוני תמונות פרטיות, רבות מהן תמונות עירום של המון משתמשים, חלקם במדים ועל רקע מפות ומסמכים צבאיים/משטרתיים; כתובות האימייל שאיתן נרשמו – כולל כתובות בדומיינים של משרדי ממשלה, בתי משפט ואף בית המשפט העליון; עשרות מליוני הודעות פרטיות בין המכירים באתר, וכמובן כל פרטי המשתמשים, העדפותיהם הרומנטיות והמיניות, והיסטוריית הקשרים שלהם ברשת.

הרמת המסך הזו חושפת גם דרכי פעולה נכלוליות של מפעילי הפלטפורמות, הכוללים שמירת פרטי אשראי מלאים וגלויים בניגוד לתקן, הקמת פרופילים פיקטיביים לפיתוי משתמשים אמיתיים על מנת להוציא מהם כמה שקלים, קידום זנות, ובמקרים מסוימים אפילו מעורבות של קטינים.

חבילות מזומנים 🖼️ דליפת אתרי ההכרויות והזנות הגדולה
תצלומי חבילות מזומנים כהוכחה לעושר של חברים באתר 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

זו אחת מדליפות המידע החמורות שידעה הרשת הישראלית, בעיקר בגלל רגישות המידע הנחשף, אבל לא פחות בגלל זהות המשתמשים שהמידע הזה שייך להם, חלקם עובדי מדינה, עובדי כוחות הביטחון, או חברים בקהילות דתיות יהודיות ומוסלמיות, החשופים עכשיו לשורה של סכנות, ובהן נידוי חברתי, סחיטה, אלימות ורצח.

סתיו סיכמה זאת היטב: “אל תסמכו על אף אחד, בטח לא עם מידע רגיש שלכם. צילמתם את עצמכם בעירום? תחשבו מאה פעמים לפני שתשלחו את התמונה, כי ברגע שהיא עוזבת את המכשיר שלכם – היא יוצאת משליטתכם וההנחה צריכה להיות שהיא תפורסם ושאלפי אנשים יצפו באיברים שלכם. אם אין לכם בעיה עם זה – מצוין. ובקשר לממשלה שלכם – שם אתם כבר יודעים מה צריך לעשות”.

<חסות>

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו.

אם תיכנסו ל
כאן, או לכתובת המקוצרת Podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.

<\חסות>

מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן; נעם רותם 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404

🎛️ מיקס: עומר סנש 🐈 קריינות אותות: נועה ארגוב 🎭 שחקנים: רן בר-זיק מ”אינטרנט ישראל“, נעמה לוריא, מיליאנה 🎹 עטיפה מוזיקלית 🔔 קולות: אות מערך הסייבר / martysonic (cc-by-nc); חץ מקשת / robinhood76 cc-by-nc; צה”ל צועד / יואב תלמי, תזמורת משטרת ישראל; פטיש בית משפט / zerolagtime cc-by; פצצת אטום / Hard3eat cc0; הרשת האפלה / danlucaz cc0; הסיפור המרכזי עם אראל סג”ל ובועז גולן / ערוץ 20; סופרקאט one more thing של סטיב ג’ובס / Wyn Nathan Davis; הפגנות נגד ביבי / תומר אפלבאום, עידן דורפמן (1,2,3); נפתלי בנט מדבר על סייברסייברסייבר: INSS, אוניברסיטת ת”א 🖼️ תמונת פרק: עיבוד לתצלום של Israel Captures

📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל [email protected] 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 סיגנל, טלגרם, וואטסאפ, סמסים והודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס למספר 055-2-776766


ווינד מתקדמים מקורקינטים למאגר ביומטרי

הכתב כרמל ליבמן דיווח בשמחה בחדשות 2 כלשהן על “מהלך שיציל חיים? הטכנולוגיה החדשה שתמנע מילדים לשאול את הקורקינטים השיתופיים”. כותרת מדוייקת יותר מופיעה בראש פוסט זה.

החוק בישראל מתיר רכיבה על קורקינט ממונע מגיל 16 ומעלה, אולם בפועל רוכבים גם צעירים יותר, אם בקורקינטים פרטיים ואם במושכרים. חברות השכרת-הקורקינטים-ללא-מגע-יד-אדם, ווינד, ברד וליים, ניסו למנוע מצעירים לשכור קורקינטים על ידי שכירת עובדים שיבדקו את גיל השוכרים הקמת מאגר מידע על הנוסעים, שבו הם נדרשים לסרוק תעודת זהות או רשיון נהיגה כדי לאמת את גילם.

ההגנה קלה מאוד לפריצה. לא רק שבני פחות מ-16 יכולים לסרוק תעודה של אדם אחר ולשכור קורקינט, אלא שאפילו לא צריך תעודה אמיתית, כפי שדיווחו אותן חדשות 2 כלשהן בפברואר השנה:

בבדיקה סרקנו רישיון נהיגה פיקטיבי שמצאנו בגוגל, כשמספר תעודת הזהות הוא 123456789 – והקורקינט היה זמין לרכיבה. החברות דורשות להזין גם כרטיס אשראי אבל הדבר לא באמת מעיד על גיל הנהג, מכיוון שאפשר לשאול כרטיס אשראי מאדם מבוגר.

בווינד מטמיעים עכשיו פתרון חדש: זיהוי פנים (כמובן שהוא “מבוסס בינה מלאכותית”, לפי מנכ”ל ווינד ישראל, יוחאי עבאדי). בקומוניקט של ווינד נכתב כי

טכנולוגיית זיהוי הפנים נלקחה מתחום הבנקאות כדי לאמת את זהות הלקוח כשהמערכת עושה השוואה של תווי הפנים של הלקוח עם התמונה ברישיון הנהיגה שלו.

[…]

הזיהוי יבוצע כך: כל משתמש יתבקש לסרוק את רישיון הנהיגה שלו בעת ההרשמה לאפליקציה. המשתמש יתבקש לצלם תמונה של פניו ולשלוח כדי שתתבצע ההתאמה של תווי פניו לתמונתו ברישיון הנהיגה. בשלב הראשון, המערכת לזיהוי פנים תאשר את המשתמש תוך 20 דקות בלבד, כך שמהלך אישור המשתמש יקוצר מ-48 שעות כיום ל-20 דקות בלבד לאחר יישום הטכנולוגיה. בשלב השני, ולאחר שהמערכות תעבור את הבקרות המתאימות, יאושרו המשתמשים באופן מיידי. במידה וזוהתה בעיה, העניין יועבר לאישור ידני.

קומוניקט ווינד ישראל, 14.10.2020

כלומר, ווינד ישראל מקימים מאגר ביומטרי של תמונות פנים. גם לקוחות קיימים יצורפו לתוכנית: “החברה תריץ את היישום החדש על כל בסיס המשתמשים של החברה בישראל”. אני באופן אישי מרגיש עכשיו הרבה יותר בטוח, אבל אולי זה כי מעולם לא שכרתי קורקינט מווינד.

הדגמת של פיצ’ר זיהוי הפנים של ווינד קורקינטים 🖼️ יחץ ווינד ישראל

לעתים, קורקינטים שיתופיים הם שיתופיים מדי, וסובלים מפירצות אבטחה ופרטיות. בסייברסייבר ע02פ21 דיברנו עם אמיר שלדובסקי מחברת אימפרבה, שחקר וגילה דליפות מידע מקורקינטים שיתופיים שחושפים מידע על עצמם, על המפעילים ועל הרוכבים, כולל אפשרות מעקב גאוגרפי אחרי הרוכבים.


חולדאי דולף

ראש מדינת תל אביב, רון חולדאי, הכריז בתחילת החודש שהוא מתכוון להתמודד בבחירות הארציות, כי אף פעם אין מספיק גנרלים שרוצים לרוץ לראשות הממשלה מטעם השמאל המרכזי. בשבוע הראשון למועמדותו-מטעם-עצמו הוא הספיק לעשות שתי טעויות סייברסייבר: לדלוף מידע שהתכוון לשמור בפרטיות, ולסמן את המידע הזה לטובת מי שהתקשה למצוא אותו.

העיתונאית טל שניידר חשפה את הדליפה: בוק צילומי סטודיו של הראיס, ככל הנראה כהכנה לקמפיין הבחירות הארצי (הבחירות המוניציפליות הבאות רק ב-2023). התמונות הועלו לאלבום “פורטרט ראש העיר – לא לפרסום” בפליקר של עיריית תל אביב, שעדיין קיים ואף מתעדכן לטובת 48 עוקביו (לא פספסתי את המילה אלף, מדובר בארבעים ושמונה אנשים).

הטעות הראשונה היא, כמובן, העלאת האלבום לפליקר כשהוא לא מיועד לפרסום. פליקר מאפשרים לקבוע עבור כל תמונה ותמונה אם היא פרטית, לחברים/משפחה או ציבורית. יתכן שאיש הסושיאל חשב בטעות שהוא מעלה אותן כפרטיות (וזו לא תהיה הטעות המביכה הראשונה שלו [אלא אם הדליפה של אלבום הבחירות היתה מכוונת, כדי לייצר עוד יח”ץ לריצתו העתידית]).

“נאבקים בקורונה […] באים ונדבקים”, תקלדה חמודה בפייסבוק של רון חולדאי

העלאת מידע פרטי/סודי באופן גלוי באינטרנט היא בעיה נפוצה מאוד, בגלל הסתמכות על אחסון ענן ומורכבות הגדרות הפרטיות ומתן ההרשאות. למשל: הקמת קבוצת וואטסאפ לעבודה ושלחת לינק הצטרפות בתפוצת נאט”ו משרדית? גולשים זרים עלולים להגיע אליה דרך חיפוש גוגל.

הטעות השנייה היא המילים “לא לפרסום” בשם האלבום, משתי סיבות:

1) הן מסמנות את התמונות כבעלות חשיבות וסודיות. גולשת שהיתה רואה את האלבום הזה בלי המילים “לא לפרסום” עשויה היתה לדלג עליהן משעמום ולפספס את הסיפור.

2) הן מנגישות את התמונות לחיפוש שממוקד במסמכים סודיים. לכו למנוע חיפוש, חפשו קבצי דוק/פדף עם המחרוזת “סודי ביותר” או “לא לפרסום” ותגלו עולם שלם של דליפות מידע.


אין ברכה בפריצה בשבת

רשות מקרקעי ישראל מצפה מהאקרים שפורצים אליה לשמור שבת, כי היא מקור הברכה.

הרשות פרסמה לאחרונה את מכרז 453-2020 (פדף) לקבלת שירותי אבטחת מידע וסייברסייבר. מכיוון שמדובר ברשות ממלכתית במדינה יהודית ודמוקרטית, המכרז מבהיר כי הספק לא יספק שירותי סייברסייבר בשבת.

מרכז 453-2020 לשירותי אבטחת מידע וסייבר עבור רשות מקרקעי ישראל
מכרז 453-2020 לשירותי אבטחת מידע וסייבר עבור רשות מקרקעי ישראל

היינו מצפים ש-SOC (חמ”ל סייברסייבר) של משרד ממשלתי של מדינה שמהווה מטרה להאקרים מרחבי המרחב יפעל 24/7/365. אבל עמי רוחקס דומבה דיווח בישראל דיפנס כי בפועל, הספק נדרש לפעול רק בימי חול, ולפני ואחרי כניסת שבת/חג. במספר מקומות במכרז מפורט כי

בנוסף למתן השירותים על פי שעות עבודה כאמור לעיל, הרשות תהא רשאית להזמין הפעלת תמיכה וצוות התגובה 24 שעות ביממה בימים א’ עד ה’ וימי שישי וערבי חג עד שעתיים לפני  שבת/חג ובמוצאי שבת וחג משעתיים לאחר צאת שבת/חג, וכן עבור פתרון תקלות ו/או התקפות על הארגון, כולל אסקלציה מול ספקים אחרים.

שמירת שבת כשירות (SSaaS, Shomer Shabbos as a Service) מוצעת לאתרים שמעוניינים למנוע מגולשים לחלל אצלם שבת. האתגר הוא להתאים את מועדי סגירת האתר למועדי כניסת ויציאת השבת בשעון המקומי של הגולשת – או לסגור את האתר מכניסת השבת המוקדמת ביותר ועד יציאתה המאוחרת ביותר. וכפי שמסביר ספק ה-SSaaS “שומר שבס“, “השבת באינטרנט אורכת כ-50 שעות!”

אתר ה-SSaaS “שומר שבס

לא רק אתרים פרטיים ומסחריים מקיימים את מצוות “וּבַיּ֥וֹם הַשְּׁבִיעִ֖י תִּשְׁבֹּ֑ת לְמַ֣עַן יָנ֗וּחַ שֽׁוֹרְךָ֙ וַחֲמֹרֶ֔ךָ וְיִנָּפֵ֥שׁ בֶּן־אֲמָתְךָ֖ וְהַגֵּֽר”. גל מור דיווח בוויינט ב-2005 כי אתר התשלומים של הביטוח הלאומי נסגר מדי שבת, ולא ניתן לשלם באמצעותו.

בדיעבד, אולי זה היה נסיון חדשני ופורץ דרך למנוע מהאקרים גויים לגנוב את הכסף?


מערכת הפעלה בת 19 יוצאת לחופשי ועושה צרות להורים

מי לא זוכר את Windows XP ותמונת הרקע המפורסמת שלה? אמנם עברו 19 שנה מאז שמערכת ההפעלה האהובה הושקה, אבל גם היום היא מצליחה לעשות כאב-ראש לא קטן ליצרנית שלה מיקרוסופט, ועכשיו נראה שכאב הראש הזה הולך לגדול.

בסוף השבוע שעבר הופיעו בטוויטר דיווחים ראשונים על דליפה של קוד המקור של מערכת ההפעלה Windows XP מבית מיקרוסופט. ע”פ הדיווחים בשיחה, קובץ במשקל 43 גיגה שותף לראשונה באתר 4chan, ומאז נמחק, אך עותקים שלו כבר זמינים בטורנטים ובפלטפורמות שיתוף קבצים שונות, והוא נגיש לכל דורש.

דסקטופ חלונות XP

חלונות XP יצאה לשוק ב-2001, ונחשבה למערכת הפעלה מוצלחת בסדרת חלונות. מיקרוסופט לקחה אותה לווטרינר שירדים אותה ב-2014, אז הפסיקה לספק לה עדכונים וטלאי אבטחה (למעט עדכון קריטי חריג אחד ב-2017, שנועד לחסום את הכופרה WannaCry).

הקובץ שדלף כולל את כל קוד המקור של חלונות XP, וכן מספר קבצים וסרטונים הכוללים תאוריות קונספירציה שונות הממוקדות בביל גייטס, מייסד מיקרוסופט. הוא שימש כמנכ”ל החברה עד כשנתיים לפני השקתה של XP, והיום הוא פילנתרופ בתחום הרפואה, שנמצא במוקד של מספר תאוריות קונספירציה שונות המופצות ברשת, ומאשימות אותו במעורבות זדונית בהקשר לנגיף הקורונה ולפריסת רשתות הסלולר בדור החמישי (5G).

קוד מקור – הדנ”א של התוכנה

קוד מקור הוא הקוד שנכתב ע”י המתכנתים שמפתחים את התוכנה, והוא כולל את כל ההתנהגויות של התוכנה וכן הערות שונות, בצורה שניתנת לקריאה והבנה ע”י מתכנתים אחרים. אחרי שקוד המקור מוכן, הוא עובר הידור (ובלעז קומפילציה) – תרגום משפת תכנות לשפת מחשב, מה שהופך אותו לבלתי-קריא לעין אנושית וקשה-עד-בלתי-אפשרי להנדסה לאחור כדי לחלץ ממנו את קוד המקור. זה הקוד שנמצא במחשבי המשתמשים – הם יכולים להשתמש בו, אבל על פי רוב לא יוכלו לפענח אותו.

התכונות של קוד המקור הופכות אותו לקניין הרוחני החשוב ביותר של חברות תוכנה. רוב חברות התוכנה שומרות על קוד המקור שלהן מכל משמר, ומסרבות לחלוק אותו עם גורמים מחוץ לחברה. מקרים של דליפת קוד מקור פרטי לאינטרנט או למתחרים עסקיים יכולים להוביל לנזק כלכלי עצום ואף לסגירה של חברות.

דליפת קוד המקור של חלונות XP ב-4Chan
דליפת קוד המקור של חלונות XP ב-4Chan

(עם זאת, אנו שמחים לראות בשנים האחרונות עליה רצינית בכמות החברות המסחריות המסתמכות על קוד פתוח או על חלקים של קוד פתוח במוצרים שלהן. קוד פתוח – open source – הוא מודל שבו קוד המקור של התוכנה גלוי לחלוטין, וזמין לשימוש, להפצה ולשינוי. היתרון של קוד פתוח הוא שכולם יכולים לראותו, למצוא בו טעויות ופירצות ולתקנן).

כשיש חור בתחתית הדלי, גם המים שלמעלה נוזלים

הבעיה עם חשיפת קוד המקור, מעבר לנזק הכלכלי שבהפצת גירסאות פיראטיות, היא סכנת האבטחה. קוד המקור מאפשר לכל מתכנת בעל ידע להבין כיצד התוכנה תתנהג במצבים שונים, היכן מצויים טעויות ובאגים, וחשוב מכל – היכן השאירו המתכנתים פרצה באופן לא מכוון. באמצעות קוד המקור ניתן גם לייצר עותק של התוכנה לאחר שעבר מניפולציה, והוסרו או הוספו אליו חלקי קוד שונים. האקרים מתים על קוד מקור.

אז איך קורה שדליפה של קוד מקור של מערכת הפעלה כ”כ ישנה עדיין יוצרת בעיות למיקרוסופט כיום? התשובה נעוצה בצורת הפיתוח של סידרת מערכות ההפעלה חלונות. מיקרוסופט מפתחת כל גירסת חלונות חדשה כהמשך ישיר למערכת שקדמה לה, מבצעת שינויים בקוד הקיים (לפעמים תוך כתיבת אגפים שלמים מחדש), ומוסיפה קטעי קוד חדשים כדי לייצר את מערכת ההפעלה החדשה. משמעות הדבר היא שבכל גירסת מערכת הפעלה יש חלקים שלמים שנובעים באופן ישיר ממערכת ההפעלה שקדמה לה.

סוודר חלונות XP שנמכר באתר Shelfies
חולצת חלונות XP שנמכרת באתר Shelfies

בין XP הוותיקה לחלונות 10 של ימינו מפרידים אמנם שלוש גירסאות והר של עדכונים, אבל סביר מאוד שעדיין קיימים חלקים גדולים בקוד של 10 שעברו שינויים קטנים בלבד, או בכלל לא, בהשוואה ל-XP. כך שבאמצעות קריאה ומחקר של קוד המקור של XP, האקרים יוכלו למצוא וקטורים לתקיפה של חלונות 10; ולמידה מעמיקה של הקוד תסייע לתוקפים לקבל תמונה טובה של סגנון הפיתוח של מיקרוסופט, דבר שיכול לסייע להם לחשוף חולשות נוספות במערכות העדכניות.

דבר זה יכריח את מיקרוסופט להשקיע משאבים גדולים עוד יותר באיתור וסגירת פרצות, שחלקן אף עלולות להיות קשות מאוד לטיפול, במיוחד אם הן בבסיס מערכת ההפעלה ואחראיות על פעולות קריטיות רבות.

XP – המערכת שמסרבת למות

סכנה נוספת הנובעת מדליפת קוד המקור היא הסיכון למחשבים שעדיין מריצים XP. נכון להיום, כ-1.3% מהמחשבים בעולם עדיין מריצים את XP. רוב המחשבים הלא מעודכנים הללו משמשים להרצת תוכנות ישנות או שליטה על מכונות ישנות, ועדכון שלהם יהיה כרוך בכתיבת תוכנות חדשות או תוכנות התאמה במקרה הטוב, או בהחלפת חומרה ואף מערכות שלמות במקרה הרע. ארגונים רבים לא מסוגלים להרשות לעצמם את העלויות הללו, ונשארים תקועים עם XP מכורח הנסיבות.

הבעיה היא שרוב המחשבים שעדיין רצים על XP משמשים לשליטה על מערכות חשובות ויקרות, בהן כספומטים, מערכות לחימה, מכשירים רפואיים ומכונות ייצור גדולות. כך שמלכתחילה מדובר במטרות מפתות לתוקפים, וקל וחומר אחרי דליפת קוד המקור.

מסך פרסומת שרץ על חלונות XP 🖼️ ג'וי איטו (CC-BY)
מסך פרסומת שרץ על חלונות XP 🖼️ ג’וי איטו (CC-BY)

מאחר שמיקרוסופט הפסיקה לעדכן את XP בחינם לכלל המשתמשים, כבר כמה שנים ששורה של ארגונים ומדינות משלמים סכומי כסף גבוהים לחברה עבור גישה לקוד המקור והמשך קבלת תמיכה מסוימת, כדי להימנע מהצורך בשדרוג המערכות. התמיכה הזו איפשרה להם להישאר צעד אחד לפני תוקפים פוטנציאלים, ולהצליח לשמר מידה סבירה של הגנה, שכעת לא תתקיים יותר. בנוסף, מיקרוסופט גם הפעילה תוכנית בשם Government Security Program (GSP), שבמסגרתה נתנה למדינות ולארגונים גדולים גישה לקוד המקור כדי שיוכלו לייצר גירסאות מוגנות יותר של מערכת ההפעלה (אולי משם הגיעה הדליפה?)

מה עכשיו?

כדי למנוע ניצול לרעה של קוד המקור לפיתוח מתקפות חדשות ויעילות על מכשירי XP, אחד מהשניים יצטרך לקרות: אחרוני משתמשי XP ייאלצו להיפרד ולשדרג, או שמיקרוסופט תצטרך לחזור ולעדכן את XP.

הערכה זהירה אומרת שמיקרוסופט לא יחזירו את המערכת לחיים, והפרצות שבה יישארו פתוחות. הארגונים שעדיין עושים שימוש במערכת יעמדו בפני בחירה קשה האם לשדרג את המערכות שלהם בעלויות גבוהות, לנסות לסתום לבד את הפרצות במערכת, או פשוט להשאיר את המערכת שלהם פרוצה לחלוטין.

מאחר שקוד המקור נגיש כעת לכולם, ייתכן שנראה צמיחה של חברות שימלאו את החלל שהשאירה מיקרוסופט ויציעו עדכונים והגנות בתשלום. אולי תקום קבוצה קטנה של ארגונים שיפתחו ויפיצו עדכונים כדי להשאיר את המערכת בחיים. ייתכן שגם קהילת הקוד הפתוח תתגייס לנושא ותפיץ עדכוני אבטחה בחינם לכל דורש, כדי לשמר את מערכת ההפעלה האהובה בחיים עוד כמה שנים. מיקרוסופט עלולה לפעול משפטית להגן על זכות הקניין שלה, אבל זה יהיה טפשי מצדה להילחם במי שמנסים לעזור למשתמשים הלגיטימיים שנשארו מאחור.

יוסף ורד הוא סמנכ"ל טכנולוגיה בחברת EMT Engineering LTD

חוקרים גילו עוד דרך להוציא מידע מהיסטוריית הגלישה. כך נתגונן

היסטוריית הגלישה שלנו מספרת עלינו סיפור. הסיפור הזה זמין לספקי תקשורת, שרתי אינטרנט ושאר גורמים שיש להם גישה, גלויה או סמויה, לגיטימית או עבריינית, להיסטוריה שלנו. לאחרונה, חוקרים ממוזילה הציגו דרך ל”חיבור זהויות משתמש” – קישור בין היסטוריות גלישה נפרדות, גם אם עברו אנונימיזציה והפרטים המזהים הוסרו מהן.

מאחר שהאינטרנט שזורה ביומיום שלנו, היסטוריית הגלישה יכולה לעזור לגלות מי אנחנו, איפה אנחנו גרים, איזו שפה אנחנו דוברים, מה העבודה שלנו, מה התחביבים שלנו, מה אנחנו מחפשים במנועי חיפוש, מה אנחנו עושים ברשתות חברתיות, מאילו מסעדות אנחנו מזמינים, איזה סוג של פורנו אנחנו לא רואים כי אנחנו אנשים מוסריים ועוד. הדפדפן שלנו משמש כחוקר פרטי שעוקב אחרינו כל היום: הוא לא בהכרח יודע מה עשינו בתוך הבניין שהגענו אליו, אבל השלט בכניסה, “מכון לטיפול בהתמכרות לאלכוהול וסמים”, יכול לתת לו מושג כללי.

אייפון עוגיפלצת 🖼️ Poster Boy cc-by
אייפון עוגיפלצת 🖼️ Poster Boy cc-by

חוקרים במוזילה, מפתחת הדפדפן פיירפוקס, ביצעו מחקר שבו ניסו לזהות משתמשים על פי הרגלי הגלישה שלהם. הם אספו היסטוריית גלישה בת שבועיים של משתמשים שנתנו הסכמה. כנהוג בניסויים מסוג זה, השבוע הראשון שימש ללימוד, והשבוע השני שימש לניבוי – כלומר לנסות לשייך היסטוריית גלישה של משתמש בשבוע השני, למשתמש שנלמד בשבוע הראשון. היסטוריית הגלישה נוקתה, כמובן, מסממנים מזהים, כולל שמות משתמש בטקסט גלוי ומזהי משתמש מגובבים.

החוקרים הצליחו להתאים בין היסטוריית הגלישה בשבוע השני לגולש בשבוע הראשון ב-50% הצלחה כאשר השתמשו בהיסטוריה של 50 אתרים, וב-80% כאשר העלו את מספר האתרים ל-150.

מי צריך את זה? (תעשיית הפרסום)

“חיבור זהויות משתמש” הוא אחד האתגרים העומדים בפני תעשיית ה-AdTech (טכנולוגיית הפירסום). זיהוי המשתמש מבוסס על קוקית (cookie) המאוחסנת בכל דפדפן בנפרד, ונשלחת לשרתי חברת הפרסום בכל פעם שהמשתמש טוען דף שבו הטכנולוגיה של החברה מותקנת. הדבר מאפשר לחברה ליצור היסטוריית גלישה לכל פרופיל משתמש.

כאשר המשתמש שלנו, יוסי, פותח את הטלפון שלו בבוקר, ונכנס לאתר החדשות האהוב עליו כדי לקרוא כמה אנשים נדבקו היום בקורונה, הדף של אתר החדשות טוען המלצות תוכן מחברת המלצות התוכן המובחרת Fatoosh. הטעינה הזאת תשלח לחברה את הקוקית של הדפדפן בטלפון של יוסי – מחרוזת התווים 4ebd7c47db. פאטוש שומרת אצלה קישור בין משתמש 4ebd7c47db לדף ספירת הקורונה באתר טמקא. מיד אחר כך יוסי רוצה להתעדכן בשער מניית חברת ״צבע״ באתר הטוש.קום, וגם הקישור הזה נשמר אצל פאטוש עבור המשתמש 4ebd7c47db.

אחר כך מתיישב יוסי במשרד הביתי שבסלון שלו, פותח את המחשב ומתעדכן במרוץ אחר חיסון לקורונה באתר ״רפואה שלמה״. אבל עכשיו הוא משתמש בדפדפן של המחשב, אז הקוקית שלו שונה – c4846013d0. כתוצאה מכך, יווצר אצל חברת פאטוש קישור בין c4846013d0 לאתר ״רפואה שלמה״. אחרי כמה דקות עבודה, יוסי ירצה להתעדכן שוב במניין החולים, דרך טמקא, מה שייצר קישור גם בין c4846013d0 לדף המדובר.

התוצאה היא שיוסי מזוהה אצל פאטוש כשני פרופילים שונים – 4ebd7c47db מהטלפון ו-c4846013d0 מהמחשב – ולפאטוש אין דרך לדעת שמדובר באותו יוסי.

המחקר של מוזילה מדגים דרך לחבר בין זהויות כאלה ולתייג אותן כאותו אדם. כך תוכל פאטוש לרדוף בצורה טובה יותר אחרי יוסי בין מכשירים, ולהציג לו ״פרסומות שיעניינו אותו יותר״, כלומר יגרמו לו לפתוח את הארנק מהר יותר, או לכל הפחות יגדילו את הסיכוי שיקליק עליהן.

איך מתגוננים?

בפני המתגלצ’ים זמינות מספר דרכים להתגוננות מפני ההשלכות של המחקר הזה. כדאי להכיר אותן ואת חסרונותיהן:

מחסלים את מפלצת הקוקיות 🖼️ James H. cc-by-sa
מחסלים את מפלצת הקוקיות 🖼️ James H. cc-by-sa
  • גלישה במוד אנונימי (Incognito בדפדפן כרום, Private Mode בפיירפוקס וספארי): גלישה כזו אמנם תגן על הזהות שלנו, אבל תהיה מציקה במיוחד ותדרוש הזדהות מחדש מול כל השירותים בכל פתיחת חלון חדש של הדפדפן.
  • שימוש בחוסם פרסומות: רוב חוסמי הפרסומות חוסמים גם טכנולוגיות מעקב; הבעיה היא שהם עצמם חשופים לכל תוכן הגלישה שלנו, שעלול להימכר או לדלוף. בנוסף, יש חוסמי פרסומות שתמורת תשלום יכניסו חברות לרשימה הלבנה שלהם, ויאפשרו להן לעקוב אחרינו.
  • גלישה ב-VPN: יש הסבורים, בטעות, ששימוש ב-VPN שמסתיר את כתובת ה-IP שלהם יעזור להם לשמור על אנונימיות. על אף היתרונות הרבים של VPN, המחקר הזה מראה שגם אם מתעלמים לחלוטין מכתובת ה-IP של המשתמש עדיין ניתן לזהות אותו.
  • דפדפן מגן פרטיות: שימוש בדפדפן שמציע כלים להגנה על הפרטיות שלנו, כמו פיירפוקס של מוזילה! (או ספארי, או אדג’, או Brave). הדפדפן חוסם כברירת מחדל קוקיות צד ג’ (3rd party cookies), כאלו שלא שייכות לאתר שבו מבקרים כרגע, ומאפשר חסימה בקליק של טכנולוגיות מעקב. חסימה של קוקיות צד ג’ תמנע מחברת פאטוש לשים את הקוקית שלה בדפדפן של יוסי כשהוא גולש באתר טמקא. חסימה של טכנולוגיות מעקב תמנע כליל את טעינת הסקריפט שמציג את ההמלצות של פאטוש. כרום, הדפדפן הפופולרי בעולם, התחיל לחסום קוקיות צד ג’ בינואר השנה, אבל נותן למפרסמים ולעוקבים תקופת הסתגלות של שנתיים.

רן לוקאר הוא דאטה סיינטיסט בחברת פייפאל וחוקר אבטחה ופרטיות חובב. הפוסט על דעתו של הכותב בלבד, ואינו מייצג את המעסיק שלו

עוד על אמצעי התגוננות מפני פגיעה בפרטית – בפרק קריפטופארטי של סייברסייבר:


הסייברפרטיזנים נגד נשיא בלארוס

אלכסנדר לוקשנקו, נשיא בלארוס, מכונה “הדיקטטור האחרון באירופה” (בניכוי פוטין, אני מניח). הוא משמש כנשיא כבר יותר מרבע מאה, כשמתנגדיו טוענים שהוא ניצח באופן דמוקרטי רק בראשונה מבין 6 מערכות הבחירות שבהן זכה, האחרונה שבהן ב-9 באוגוסט השנה. כשהכריז על נצחונו הסוחף עם מעל 80% מהקולות, המחאה התפרצה. בתגובה, לוקשנקו סגר להם את האינטרנט.

האינטרנט משמשת אזרחים לבקר את השלטון ולארגן מחאות נגדו. חסימת האינטרנט נשלפת תכופות מארגז הכלים של השתקת מחאה. הודו רשמה בתחילת השנה שיא מפוקפק של חסימת האינטרנט הארוכה ביותר בתולדותיה הקצרים של הרשת – כחצי שנה – במטרה למנוע מחאה על ביטול המעמד המיוחד של חבל ג’אמו וקשמיר.

ואם הדמוקרטיה הגדולה בעולם חוסמת את הרשת כדי לסתום פיות, הרי ששלטונו של לוקשנקו אפילו לא מצמץ כשכיבה את האינטרנט ל-72 שעות – או כמו שהשלטון מתאר זאת, התקפת סייבר חיצונית/מתקפת DDoS.

שוטרים מפנים מפגין 🖼️  Clker-Free-Vector-Images
שוטרים מפנים מפגין 🖼️ Clker-Free-Vector-Images

באופן טבעי, המוחים פנו ל-VPN, כלי לגלישה מוגנת ומוסתרת, שמשמש לעקיפת גאוחסימה ושאר חסימות. יישומוני ה-VPN כבשו את ארבעת המקומות הראשונים בפופולריות בגוגל סטור באותו יום – וזה רק ממי שהצליח להיכנס אליה, משום שלפי דיווח של טניה לוקשינה מארגון זכויות האדם Human Rights Watch, “נראה שהממשלה חוסמת את חנויות אפל וגוגל”.

המוחים לא התייאשו ופנו אופליינה: “היית רואה אנשים במעלית פשוט משאירים החסני USB עם קבצי גישה ל-VPN”, אמר לגיזמודו מקסימס מילטה מאוניברסיטת Belarusian European Humanities. אבל גם זה לא תמיד עזר, לפי לוקשינה: “רבים מאלו שיש להם גישה לכלי עקיפת צנזורה, כמו VPNים, מגלים שהטכנולוגיות הללו נחסמות גם כן“.

האופוזיציה, המצויידת בהאקרים, הכריזה על סייברמלחמה, מספר שלום בוגוסלבסקי, מדריך ומארגן סיורים וכותב ומרצה על ההיסטוריה והפוליטיקה של מזרח אירופה, שעוקב אחרי המחאה דרך הרשתות: “אחד הדברים שהכי עובדים עליהם זה לנסות למצוא כמה שיותר תצלומים של שוטרים אלימים ואנשים שמשתתפים בדיכוי המחאה. האזרחים מתבקשים לשים מצלמות מעקב, לתלוש מסכות משוטרים ולצלם אותם מכמה שיותר זוויות. יש ערוצי טלגרם שאליהם שולחים את זה ובוטים שאוספים את כל העניין הזה.

לוגו ה"קיבר-פרטיזני" (סייבר-פרטיזנים), האקרים מתנגדי שלטון לוקשנקו בבלארוס
לוגו ה”קיבר-פרטיזני” (סייבר-פרטיזנים), האקרים מתנגדי שלטון לוקשנקו בבלארוס

“בשבוע שעבר, מגזר ההייטק של בלארוס, שהוא מאוד נחשב ויחסית חזק והם עושים דברים די מרשימים, סוג של הצטרף באופן יותר ברור לאופוזיציה. ההייטקיסטים הבטיחו בעצם לזהות כל שוטר כזה, לפרסם את כל הפרטים האישיים שלו, הכתובת, מספר הטלפון, חשבונות ברשתות החברתיות וגם חומר מביך שהם ימצאו כשהם יפרצו למכשירים שלו. אני עוד לא ראיתי כ”כ חומר מביך אבל הרבה פרטים מתפרסמים. הם גם טוענים שהם הצליחו להשיג את רשימת כל השוטרים בבלארוס וכל הפרטים האישיים שלהם”.

בנוסף, האקרים המכנים את עצמם “הסייבר-פרטיזנים של בלארוס” פורצים לאתרי ממשל, מפילים אותם, שותלים בהם רושעות או משחיתים אותם עם לוגו הפרטיזנים וטקסטים נגד השלטון. היום הם הודיעו שיש עוד אתרים על הכוונת, ובהם אתר רשות המסים.

התפרסם במקור בגירסה שונה בפינה “האחראי על האינטרנט” בגלצ


הכופר של אובר: מה קורה כשבאג באונטי משמש לתשלום דמי שתיקה?

באג באונטי – bug bounty במקור – הן תוכניות שבהן ארגון מציע להאקרים למצוא אצלו פירצות אבטחה, לאסגרן בצורה אתית ואחראית ולקבל פרס, בדרך כלל כספי. הדבר נועד למסד את היחסים בין ההאקרים לארגונים, ולאפשר להם לעבוד יחד בלי חשש לפריצות והדלפת מידע מצד ההאקרים ולהליכים משפטיים מצד הארגונים. אחד הארגונים שמפעילים תוכנית באונטי הוא אובר, ששילמו לצמד האקרים 100 אלף דולר על גילוי פירצת אבטחה. זה מה שהם רוצים שנחשוב, בכל אופן.

אובר, פלטפורמת התיווך בין נהגי מוניות ונהגים פרטיים לבין נוסעים, נפלה קורבן לפריצה בשנת 2014, כשהאקרים מצאו את המפתחות לחשבון ה-AWS (שירותי רשת של אמזון) של אובר, וגנבו משם פרטים על 50 אלף נהגים. במרץ 2016 השיקו בחברה תוכנית באג באונטי.

שמונה חודשים לאחר השקת הבאונטי קיבל סמנכ”ל האבטחה של אובר דאז, ג’ו סאליבן, אימייל מהאקר שהזדהה בשם ג’ון דאוז בכתובת [email protected] בשירות האימייל המוצפן והמאובטח פרוטון מייל. מצאתי פירצת אבטחה חמורה אצלכם, סיפר “דאוז”, וגם עשיתי דאמפ של הדאטהבייס שלכם ומידע נוסף. בדיקה של צוות אבטחה של אובר העלתה כי ההאקרים השתמשו בפרטי גישה גנובים לגשת לקוד המקור של אובר בגיטהאב, שם מצאו פרטי גישה של דלי AWS והשתמשו בהם להוריד את המידע על לקוחות ונהגי אובר.

סאליבן המבוהל, שכבר היה עמוק בתוך חקירה של ה-FTC (רשות הסחר הפדרלית) על הפריצה מ-2014, מיהר לסמס למייסד ומנכ”ל אובר, טראוויס קלניק, שהוא צריך לדבר איתו על משהו רגיש. השניים קיימו מספר שיחות טלפון, ואחריהן קלניק כתב לו:

צריך להיות בטוחים מה יש לו [להאקר; ע”ק], רגישות/חשיפה של זה ו-ודאות שהוא באמת יכול להתייחס לזה כמצב 🐜 באונטי […] המשאבים יכולים להיות גמישים לצורך סיום הסיפור אבל אנחנו צריכים לתעד זאת בקפדנות.

סמס ממנכ”ל אובר טראוויס קלניק אל סמנכ”ל האבטחה ג’ו סאליבן, 15.11.2016

בעצה אחת של קלניק וסאליבן, ההאקרים קיבלו הצעה לפרס באונטי שמן בגובה 100 אלף דולר, בתמורה למחיקת כל המידע שהורידו ושתיקתם הנצחית, מגובה בהסכם סודיות (NDA). כלומר: לא באונטי, אלא כופר, דמי שתיקה. ההאקרים חתמו בשמותיהם הבדויים, ואובר העבירו להם את הסכום בביטקוין. רק בינואר 2017 הצליחו אובר לגלות את זהותם הארצית של ההאקרים, ושלחו אליהם אנשי אבטחה, להחתים אותם שוב על מסמך הסודיות, הפעם בשמותיהם האמיתיים.

קלניק וסאליבן הסתירו את העיסקה מהנהלת החברה, מה-FTC ומ-57 מיליון המשתמשים ו-500 אלף הנהגים שמידע עליהם נחשף להאקרים – עבירה על החוק בכל מדינות ארה”ב, שמחייב לדווח לאנשים על דליפת מידע מזהה אישי (PII) אודותיהם.

קלניק, שכפי שאפשר לראות הוא לא אדם שראוי לעמוד בראש חברה, נאלץ להתפטר מתפקידו בעקבות שורת שערוריות ודיווחים על סביבת עבודה רעילה. דארה חוסרושאהי החליף אותו באוגוסט 2017, הדירקטוריון של אובר עלה על סיפור הפריצה וסאליבן עוד הספיק לשקר לחוסרושאהי בנושא. חודשיים לאחר מכן, המנכ”ל חוסרושהאי פרסם רשמית ופומבית את דבר הפריצה, התנצל בפני הציבור על “הכשלון שלנו” ופיטר את סמנכ”ל האבטחה סאליבן ועו”ד מהצוות שלו. בעקבות שורת תביעות של התובעים הכלליים של כל מדינות ארה”ב, אובר חתמו על הסכם פשרה ושילמו 148 מיליון דולר.

עם חשיפת הפרשה, סאליבן המפוטר עמד על גירסתו שהתשלום היה פרס באונטי לגיטימי. אולם בכתב האישום שהוגש נגדו השבוע בבית המשפט המחוזי של מחוז צפון קליפורניה, על שיבוש הליכי משפט ואי מניעת פשע, התובעים חולקים על הטענה הזאת. ומפרטים: ההאקרים אמרו שיש בידיהם מידע ודרשו תשלום של שש ספרות; סכום הפרס גבוה מכל אחד מעשרות פרסי הבאונטי שהחברה חילקה לאורך השנים, שממילא מוגבלים ל-10 אלפים דולר לפרס; הנהלת החברה (מלבד המנכ”ל קלניק) לא נחשפה לפרטי הפריצה ולהחלטה להתייחס אליה כבאונטי; ההאקרים נדרשו לחתום על הצהרה שקרית שלפיה לא השיגו ולא שמרו עותק של המידע על המשתמשים והנהגים; והם נדרשו לשמור על סודיות מוחלטת לגבי הפירצה, בניגוד למדיניות הרגילה של הבאג באונטי, שהתירה להאקרים לפרסם את הגילויים שלהם בתיאום עם החברה ואחרי שהפירצה נסגרה.

ג’ו סאליבן באתר אובר

ההאקרים של אובר המשיכו לסחיטת חברות נוספות על ידי פריצה וגניבת מידע. הם נתפסו, הועמדו לדין ובשנה שעברה הודו באשמה, וכעת ממתינים לגזר דינם. אבל הנזק שהם וסאליבן הסבו לאובר מתגמד לעומת הנזק שהם עלולים לגרום לכל הקונספט של באג באונטי, כך לפי משפטנים שהתראיינו לוויירד בנושא. אפילו האקרי כובע לבן בעלי אתיקה וכוונות טובות עלולים לעבור על החוק בזמן שהם מחפשים פירצות במסגרת באג באונטי. זו הסיבה שתוכניות באונטי מכילות סעיפים שבהם הארגון מעניק להאקרים חסינות. אבל לאור כתב האישום של סאליבן, מנהלי אבטחה עלולים להבין שכדי להסיר מעצמם אחריות פלילית, הם צריכים להקטין ראש ולהקריב את ההאקרים לרשויות האכיפה על כל טעות קטנה.

ההאקרים, מצדם, לא ירצו להסתכן בפלילים ויזנחו את תוכניות הבאונטי, כשהם מפנים את השטח להאקרי כובע שחור, שיחפשו פירצות אבטחה בלי להתחשב בכללים ובאתיקה, ויסחטו את הארגון: שלם או שנמכור את הפירצה למרבה במחיר.


התפרסם במקור בגירסה שונה בפינה “האחראי על האינטרנט” בגלצ:
🚗 הפריצה מ-2016 ממשיכה לרדוף את אובר 🛩️ הטיסמולטור של מיקרוסופט בונה מחדש את תל אביב 📻 האחראי על האינטרנט בגלצ 22.8.2020


אפשר את פרטי חשבון הבנק שלך? לא משנה, ניקח כבר מביטוח לאומי

היה זה ערב יום קיצי ושלו במפקדת סייברסייבר. השמש הטילה צללים ארוכים. נעםר נחר בשלווה על הערסל, מחבק שק של קמח. לוקאר היה עסוק במרדף אחרי אינספור צאצאיו. עידוק עבד כמובן (מישהו צריך לפרנס) ואני? אני חלמתי בהקיץ על ויסקי. לפתע השלווה הופרה בקול סירנה. אזעקת הסייברסייבר הופעלה! וההתרוצצות החלה. למה הופעלה אזעקת הסייבר? מכתב מאזרח בשם דני חזוב שגילה פרצה חמורה ושלח אותה אלי. מה הפירצה? פירצת אבטחה ביזיונית לחלוטין בביטוח לאומי או, איך שאנו בעולם הסייבר קוראים לה, יום חמישי. פרסמתי אותה הבוקר ב”הארץ”.

הכירו את ממשק קבלת המענקים של ביטוח לאומי, המקום שבו כל אדם יכול לבדוק אם חשבונו בביטוח לאומי מעודכן, על מנת שיוכל לקבל את מענק הקורונה המיוחד. אם החשבון שלו לא מעודכן, אותו אזרח יכול לעדכן את פרטיו.

דף עדכון פרטי חשבון בנק לקבלת מענק 🖼️ אתר המוסד לביטוח לאומי

מן הסתם, ממשק זה מוגן באמצעות זיהוי בשני אמצעים. האמצעי הראשון הוא מספר תעודת זהות. האמצעי השני הוא תאריך ההנפקה. תאריך ההנפקה הוא נתון שיותר ויותר רשויות עושות בו שימוש והוא נתון שמוטבע על תעודת הזהות. כאשר האזרח צריך להזדהות, הוא מקליד את שני הנתונים האלו, והאתר מבצע הצלבה ביניהם לפי הנתונים ממשרד הפנים. מספר הזיהוי תואם לתאריך ההנפקה כפי שמופיע במרשם האוכלוסין? כנראה שהמזדהה הוא האזרח. זו גם הסיבה מדוע כל כך חשוב לא להפיץ את צילום תעודת הזהות שבו יש את תאריך ההנפקה לכל דיכפין. כי משתמשים בו לזיהוי בלא מעט מקומות. ובממשק של ביטוח לאומי האזרח נדרש להקליד את שני האמצעים האלו כיאה וכיאות. 

אך היתה בעיה אחת, ממש קטנה, קטנטנה – האתר של ביטוח לאומי לא בדק תאריך ההנפקה של התעודה. כלומר בדקו שהזנת את התאריך, אי אפשר היה להתקדם ללא הזנת תאריך, אבל התאריך לא הוצלב אל מול מספר תעודת הזהות. וכך, על מנת לקבל גישה לפרטים המוכמנים, כל מה שתוקף היה צריך לעשות זה להזין את מספר תעודת הזהות של המטרה ותאריך *כלשהו*. זה הכל. אם מספר חשבון הבנק מוזן במערכת, אני יכול לקבל גישה אליו. וזה? פתח לשעשועים רבים.

למרבה השמחה, היתה CAPTCHA מוטמעת במערכת. לרוע המזל, היא לא היתה מוטמעת מספיק טוב. מנגנון ההגנה של האתר (הנקרא WAF) חסם גישה של headless browsers לאתר, ומנע כרייה נוחה באמצעות שורת פקודה בלבד, אבל לא מנע מכורים אוטומטיים מבוססי דפדפנים לעבוד. לוקאר הכין סקריפט סלניום והפעיל אותו על תעודות הזהות של חברי סייברסייבר. אף מנגנון לא חסם אותו, אפילו שהוא עבד מאותו IP (אבל כן חסם כתובות IP מחו”ל, כי כידוע אין האקרים בישראל, ובוודאי שאין האקרים בחו”ל שיודעים להשתמש בכתובות IP ישראליות).

באופן תיאורטי, גם תוקף שעבד בסקיילים גבוהים היה יכול לשתות מאגר שלם בנחת. כמובן תוקף שתוקף מטרות ספציפיות, חוקר פרטי, סתם מטרידן או קריפ היה יכול לדעת עליכם את חשבון הבנק שלכם. מה אפשר לעשות עם חשבון הבנק שלכם? על כך בפרקים הבאים.

דיווחתי מייד למערך הסייבר וקיבלתי מענה תוך כעשרים דקות, כמיטב המסורת. מצד שני, מענה לא אומר שזה תוקן. רק בשבע בבוקר קיבלתי הודעה מדובר ביטוח לאומי שהעניין תוקן ואכן בבדיקה שערכתי עם מספר תעודת הזהות שלי ותאריך הנפקה שגוי, קיבלתי את ההודעה המיוחלת: “הנתונים שהוזנו אינם תואמים את הנתונים הקיימים בביטוח לאומי”.

עכשיו אפשר לחזור לבטלה במפקדת סייברסייבר, לפחות עד הפעם הבאה.

“נערכו בדיקות חוסן ואבטחה כדי למנוע שימוש לרעה במידע”

תגובת המוסד לביטוח לאומי:

לפני כשבועיים בלבד, הוכרזה התכנית “מענק לכל אזרח” שרק אתמול אחר הצהריים החקיקה לגביה בכנסת הושלמה, דבר שהצריך פיתוחים מחשוביים והיערכות בזמן אפס. בביטוח הלאומי עובדים במתכונת חירום מאז חודש מרץ כדי לשלם למאות אלפי תושבים דמי אבטלה וכן את מענקי הקורונה בתוך ימים בודדים.
אתמול אחר הצהריים, לפני העלאת האתר הייעודי לרישום חשבונות הבנק לאוויר, נערכו בדיקות חוסן ואבטחה כדי למנוע שימוש לרעה במידע. זאת ועוד, לאחר הכנסת הפרטים על ידי האזרחים באתר, מתבצעות הצלבות ואימות נתונים בתוך המערכת.
מרגע שנחשפנו לתקלה היא טופלה באופן מיידי, הנגישות למידע נחסמה לחלוטין, נערכה בדיקה לגבי היקף ניצול הפירצה ובפועל לא נמצאה פעילות חריגה.

(צילום ראשי 🖼️ קובי גדעון, לע”ם)


ככה מתגלצ’ים בביטחה ובפרטיות

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.

אם אתם מחפשים אחסון לפודקאסט, אנחנו ממליצים ללקוחות שלנו על פודבין. יש חבילה בסיסית בחינם שמאפשרת להתנסות בשירות, ואפשר לשדרג לחבילה בתשלום. אם תירשמו דרכנו כאן podbean.com/podcastico – אנחנו נקבל כמה שקלים, ואתם תקבלו מפודבין חודש במתנה.


דרושות האקריות לסורק הסייברסייבר

סורק הסייברסייבר שלנו מוציא הרבה יותר תוצרים ממה שאנחנו יכולים לטפל, והמאפים לא יאפו את עצמם. אז החלטנו להיעזר במאזינות ובמאזינים.

אנחנו פונים ללב שלכם ומציעים הצעה חד-פעמית: רוצות לעבוד איתנו על ניתוח הממצאים מהסורק? אנחנו צריכים אתכן.ם!

פנו אלינו לכתובת [email protected] וספרו לנו קצת עליכם, על הרקע שלכן, ועל דברים מעניינים שעשיתם.ן בתחום.
אם אתן מבינות מערכות, אם אתם אוהבים לחטט בתוך הבורקס, ומעניין אתכם לגעת בדאטה, יש קטגוריה לזה!

העבודה בשכר, כמובן, ומתאימה לכל מי שממש ממש אוהב או אוהבת סייבר ומאפים, ויכול או יכולה לתת כמה שעות עבודה ביום. מבטיחים שיהיה מעניין.


סייברקורונה: האם להתקין את המגן 2.0?

שואלים אותי מה דעתי על המגן 2.0. התשובה היא: אני לא יודע, בניגוד להשקה של המגן 1. המגן היא בקוד פתוח, אז לכאורה כל אחד יכול לבדוק אותו ואכן אעשה את זה. אבל בניגוד לגרסה הראשונה אין מומחה אבטחה מוביל שבדק את הקוד ואישר אותו. אז אני לא יכול לומר כלום על האבטחה.

אני לא יודע לומר כלום על האם האפליקציה תשתה לכם את הסוללה והאם היא יעילה כי אין לי מושג בנוגע לזה. אני אצטרך לשבת ולנתח את הקוד או לחכות שמומחה אחר שיהיה לו זמן יעשה את זה. מה שמטריד הוא שאני כבר לא יכול להיות בטוח במאה אחוז שהקוד הפתוח הוא מה שבסופו של דבר מגיע לאפליקציה.

יישומון המגן 2 בחנות האפליקציות של גוגל

נעם רותם עשה תהליך דיקומפילציה לאפליקציה לפני כשבועיים וגילה בה קוד שאמנם לא היה זדוני, אבל לא היה לו זכר בגיטהאב. וזה? זה רע. כי זה אומר שלכו תדעו מה יש באפליקציה יאמר לזכות משרד הבריאות שהם לקחו את מה שנעם כתב ברצינות ופעלו בעניין. אבל האמון שלי קצת נסדק.

אז מה? להתקין או לא להתקין את המגן? המגן 2.0 עובדת בצורה שונה מהאפליקציות המקובלות בעולם. מהניסיון הפיתוחי שלי? אם עובדים בצורה שונה מה-API הרשמיים זה נגמר לא טוב. אני מקווה שזה לא יהיה גם הפעם. המגן זו החלופה האזרחית היחידה לאיכוני השב״כ הלא יעילים. זו הסיבה שאני מתקין אותה.

ובשולי הדברים, אני מתנצל שאני נשמע קצת עייף, מאוכזב ופסימי. משרד הבריאות באמת מנסה לעשות את מה שהוא יכול ויש לא מעט אנשים טובים שמעורבים בתהליך ואני מקווה שהוא יצליח כי כרגע איכוני השב״כ לא עוזרים, המגיפה משתוללת ועושה רושם שהמדינה מתפוררת אבל באמת.

אני מצרף את הכתבה שכתבתי בהארץ על שבירת האמון הזו, שבה יש הסבר, וגם את הפוסט של סייברסייבר, ויש גם פרק מיוחד שיצא ממש עכשיו.


המגן מכה שנית, לצערנו

החדשות הרעות: יישומון “המגן” של משרד הבריאות, שפותח בקוד פתוח ומותקן בטלפונים של מעל מיליון אזרחים, מכיל קוד שונה מזה שעליו מצהיר המשרד, דבר שמצביע על העדר תהליכי פיתוח ובקרה בפרויקט הקורונה החשוב והרגיש מאין כמותו. אנחנו מדווחים על כך כאן בסייברסייבר בשיתוף רן בר-זיק ב”הארץ”.

החדשות הטובות: בעקבות פנייתנו התחילו במשרד הבריאות לפעול לתיקון הבעיה, וכבר נקטו צעדים לשיפור תהליכי הפיתוח והפיקוח על מנת שהדבר לא ישנה.

אבל ראשית ראשית ואחרית אחרית.

יישומון המגן של משרד הבריאות 🖼️ אתר משרד הבריאות

קהילת הקוד הפתוח צהלה ושמחה כשהודיעו במשרד הבריאות שאת האפליקציה לניטור מגעים בתקופת הקורונה יפתחו בקוד פתוח. למרות שיש לא מעט פרויקטים כאלה מטעם הממשלה הישראלית, זה לגמרי לא טריוויאלי שמשרד ממשלתי בוחר לעבוד בסטנדרטים של קוד פתוח, בשקיפות ובאיכות הנדרשת, אבל זה לגמרי ראוי להערכה ולכבוד. אז משרד הבריאות – סחתיין עליכם.

הבחירה בקוד פתוח, למרות שאני בטוח שלא היתה קלה, היא בהחלט הבחירה הנכונה. כפי שהזכרנו באחד הפרקים הקודמים בנושא בפודקאסט הפופולרי סייברסייבר (קורונה וקורקינטים עוקבים אחריכם 🐱‍💻 ע02פ21), על מנת שהאפליקציה תעבוד, היא צריכה להיות מותקנת אצל חלק גדול מאוד באוכלוסיה, וכדי שכמה שיותר אנשים יתקינו אותה הם צריכים להיות בטוחים שהיא בטוחה לשימוש, והדרך הטובה ביותר לעודד אמון היא באמצעות שקיפות – וזה בדיוק מה שעושה הקוד הפתוח. 

באמצעות שימוש בקוד פתוח המשתמשים יכולים להיות בטוחים (לכאורה, ומיד נראה למה רק לכאורה) שאין בקוד דלתות אחוריות ששולחות את תמונות המאפים שלנו לשב”כ, שאין רושעות, רוגלות, או נוזקות שיכולות לפגוע בנו ובזכויותינו, ושאם יש תקלה – אפשר לבקש את עזרת קהילת הקוד הפורחת בארץ על מנת לתקן אותה. כמו לרכב על חד קרן לחנות בורקס-הסביח השכונתית. תענוג.

אבל בשביל לנהל פרויקט של קוד פתוח צריך קודם לעשות כמה דברים קטנים, כמו למשל להגדיר תהליכי פיתוח, תהליכי בקרה, ולשמור עליהם כמו על סופלה תופח בתנור. כל טעות קטנה תפגע באמון החשוב כל כך להצלחת הפרויקט, ותגרום לפחות ופחות אנשים לסמוך על הממשלה שתסתובב להם בטלפון. וכאן, כפי שניחשתם, התגלה הכשל הגדול.

מאז שחררנו, עידוק ואני, את הפרק הקודם על “המגן” (סייברקורונה 🤿 אל תבנו על יישומוני מעקב המגע 🐱‍💻 ע02פ26) פנו אלינו לא מעט אנשים שהאשימו אותנו בשלל האשמות לא נעימות. החל מ”אתם דובי לא-לא”, עבור ב”איך אתם יכולים להגיד שקוד פתוח הוא לא קוד פתוח, אתם לא מבינים מהחיים שלכם”, וכלה ב – ובחיי שאני לא ממציא את זה – “אתם כמו ריקלין בערוץ 20”. לא נפגענו.

אבל הפעם מי שצדק היו אלה דווקא אנחנו. אמרנו כי העובדה שהממשלה *טוענת* שהפרויקט הוא בקוד פתוח זה לחלוטין לא מספיק. הזהרנו שלמרות שהקוד מפורסם בפומבי זה לא אומר שהאפליקציה היורדת למכשירים של האזרחים מכילה את אותו קוד. וזה, תאמינו או לא, בדיוק מה שקרה.

אמרו לנו שמי שלא מאמין לממשלה שילך ויבדוק בעצמו, אז זה בדיוק מה שעשינו (ובמאמר מוסגר נאמר שמי שמאמין לממשלה – מגיע לו כל מה שהוא מקבל).

המגן המקורי האורגינל. היזהרו מחיקויים!

אז הורדנו את קובץ האפליקציה מחנות האפליקציות של גוגל, קובץ בפורמט APK (Android application package), והעברנו אותו תהליך של דה-קומפילציה (אהדרה?) על מנת לראות מה הוא מכיל, ולנסות להשוות אותו לקוד המפורסם בגיטהאב מטעם משרד הבריאות. זה אולי נשמע משהו מאוד מורכב, אבל בפועל אלה בדיוק שתי שורות פקודה בפחות מעשר שניות. למה אף אחד מאלה שכינו אותנו “ריקלין” עוד לא עשה את זה? שאלה מצוינת, לה אין לנו תשובה.

בתוך הקובץ מצאנו בעיקר ברדק, שנמצא במעט מאוד פרויקטים מקצועיים, ובהרבה הרבה פחות פרויקטים רשמיים בקוד פתוח. למשל, היה שם מידע קירבה שנאסף באמצעות בלוטות’, עם מזהה המכשיר, הזמן, עוצמת האות, המרחק (קירבה בין המכשירים), תאוצת המכשיר בעת המדידה, ועוד:

מהמידע שנכלל שם נראה כי הרשומות נאספו לפני כחודשיים, ב-14 במאי 2020. מידע נוסף שהיה שם משווה בין המזהה הזמני (Ephemeral_id) למזהה המשתמש (user_id):

אבל לא רק המידע עצמו היה שם, אלא גם הקוד שאוסף אותו:

אז ראשית – איסוף מידע בבלוטות’ לא אמור להיות בכלל בגרסה של “המגן 1”, שאמורה לאסוף רק מיקום באמצעות GPS ואת כל רשתות ה-WiFi בסביבת המכשיר. ושנית – הקוד האוסף מידע באמצעות בלוטות’ *לא* קיים בקוד הפתוח של משרד הבריאות שאמור לשקף את הקוד הנמצא באפליקציה.

נעצור לרגע ונבהיר שאין כל רע באיסוף מידע ע”י בלוטות’, וכי הפרוטוקול שפותח ע”י ד”ר אייל רונן ופרופ’ בני פנקס ושאומץ על ידי משרד הבריאות הוא פרוטוקול טוב, ששם את הפרטיות של המשתמשים במקום הראשון, ומגן עליה באמצעים קריפטוגרפיים מתקדמים. העובדה שהקוד הזה לא היה במאגר הקוד הפתוח (Repository) של משרד הבריאות, ושאף אחד לא שם לב לכך – היא הדגל האדום והמתנפנף מעל הפרויקט.

חלק נוסף וקריטי שירד לאפליקציות של המשתמשים ולא נמצא במאגר הקוד הפתוח הוא הייצוא של המידע ממכשיר הטלפון, אותו מידע שהבטיחו לנו שלעולם לא יצא ממנו. כאילו להוסיף חטא על פשע, ייצוא המידע הזה נכתב על ידי חברה מסחרית ישראלית בשם Wix ונמצא במרחב השמות שלה – ולא בזה של משרד הבריאות:

נדגיש כי לא מדובר פה בקוד היקפי, נניח כזה שעושה פעולה גנרית כמו לצפצף ניגון עליז של הבה נגילה, או לצייר תמונה של גמל, קוד שלא נוגע במידע האישי והפרטי הנאסף על ידי אפליקציה ממשלתית. הקוד דנן הוא קוד שנכתב ספציפית לטובת משרד הבריאות, עושה בדיוק את מה שנאמר לנו שיזהרו בו בצוננים, שזה לייצא את המידע הרגיש הזה – וגם הוא לא נמצא במאגר הקוד הפתוח האמור לשקף את האמון אותו מבקשת הממשלה שניתן בה.

אפילו אם נתעלם מתהליכי הפריסה (Deployment) הלקויים שדוחפים קבצים המכילים מידע שנאסף על ידי משתמשים לסביבת הפרודקשן, או שמעלים קובץ ובו מידע גיאוגרפי מ-Uberlândia, עיר קטנה בברזיל, העובדה שקוד סופר-רגיש, שלא אמור להיות בגרסה הנוכחית, ושלא נמצא במאגר הקוד הפתוח, עולה לחנות האפליקציות ומשם למכשירי מעל מליון אזרחים – מעלה שאלות קשות לגבי מקצועיות חלק מהמעורבים בפרויקט, וברצינות בה הם לוקחים את חשיבותו.

אוברלנדיה, ברזיל 🖼️ Daniela Goulart cc-by-nc-nd

פרויקט כזה – שאמור להיות מטופל בכפפות של משי בשל האמון שהוא מבקש ממליוני אזרחים לתת בו – אסור לחתוך בו פינות. יש לשים תהליכי בקרה על תהליכי הבקרה על מנת לוודא שמה שמובטח – זה מה שמבוצע בסופו של דבר. אם האפליקציה מכריזה שהיא לא אוספת מידע באמצעות בלוטות’ – אסור בתכלית האיסור שיהיה בה קוד האוסף מידע באמצעות בלוטות’. אם האפליקציה מכריזה שהיא שקופה ושכל אחד יכול לוודא זאת באמצעות מעבר על הקוד עצמו – יש לוודא באלף עיניים כי האפליקציה שעולה לחנויות אכן מכילה את הקוד המופיע במאגר, ורק אותו. 

“כל הקוד מפורסם בגיטהאב, למעט”

פנינו לדוברות משרד הבריאות, וזו התגובה הראשונית והגנרית למדי שקיבלנו:

1.       אפליקציית המגן פותחה ע”י משרד הבריאות בשיתוף עם מתנדבים ועם החברות הישראליות הבאות: מטריקס ו- igates, ובליווי צמוד של מומחי פרטיות וסייבר.

2.       אין למשרד הבריאות ולאף גורם אחר, גישה למידע באפליקציה. כל המידע נשמר על המכשיר בלבד.

המקרה היחידי בו משותף מידע הוא במקרה בו משתמש האפליקציה נמצא חיובי לקורונה וכחלק מהחקירה האפידמיולוגית בוחר לשתף את המידע עם משרד הבריאות בצורה וולונטרית.

התהליך דורש הסכמה מפורשת ואקטיבית של המשתמש במסך ייעודי של העלאת מידע למשרד הבריאות שהגישה אליו ניתנת רק כחלק מהחקירה.

3.       כל הקוד מפורסם ב- GitHub. זאת, למעט – צד השרת שכולל את קובץ המידע על מסלולים שהאפליקציה מושכת וכן קובצי קונפיגורציה ותרגומים. כמו כן, מטפל השרת בנושא שיתוף המסלול (המתואר בסעיף 2)

4.      נודה אם הפונה יוכל לכוון אותנו לחלק בקוד אליו התכוונת על מנת שנוכל לבדוק את הנושא.

תגובת דוברות משרד הבריאות לדיווח של סייברסייבר על הבעיות בקוד יישומון המגן

זאת, למשל, דוגמה מצוינת לתגובה גרועה. ראשית – היא סותרת את עמדת הדרג המקצועי שדווקא הבין מיד, קיבל אחריות, והבטיח לתקן (ועל כך בהמשך), ושנית – היא מסתירה מידע שלא ברור מה האינטרס להכמין. שאלנו במפורש אילו חברות מסחריות היו שותפות לפיתוח האפליקציה בגלל שראינו בקוד את מרחב הכתובות המסחרי של חברת וויקס (Wix). מדוע בחר הדובר להסתיר את מעורבותם של עובדי החברה, למרות שהקוד עצמו לכאורה שייך לה? לא ברור. כנראה המשך ישיר את המקצוענות המתפרצת בעבודת המשרד.

Profero, חברת הסייבראבטחה של חוקר האבטחה עמרי שגב מויאל, בדקה עבור משרד הבריאות את הגירסה הראשונית של המגן ואישרה שזו אכן תואמת לקוד בגיטהאב. אבל המשרד המשיך בפיתוח ופרופרו לא היתה מעורבת בתהליך. מפרופרו נמסר בתגובה:

אנו בפרופרו שמחנו לקחת חלק בהליך הבקרה על האפליקציה בגרסתה הראשונה ואימוצה על ידי הקהילה, הציבור ושחרורה כקוד פתוח. תווך מרכזי בקוד פתוח הינו תרומה מכל חברי הקהילה, כולל חברות מסחריות – אך הוא נשען על שחרור מלא של הקוד, ללא שימוש בקוד סגור (או קנייני) של גופים פרטיים.

חברת פרופרו מתנגדת לחוסר שקיפות באופן כללי וספציפית באפליקציה חשובה כמו “המגן”.

אנו שמחים כי האפליקציה שוחררה כקוד פתוח ומאפשרת לכל אחד לוודא ולחקור מה קורה בפועל. לא ניתן להסתיר מחוקרי האבטחה מה האפליקציה עושה בפועל – ואנו מברכים על כל ביקורת בלתי תלויה.

אנו מצפים מכל מובילי הפרוייקט בקהילה ובעלי התפקידים במשרד הבריאות לתקן מיידית את הפערים שהתגלו ולוודא כי לא יקרו שוב.

תגובת פרופרו

עם זאת, לא הכל רע. בעקבות פנייתנו דרך חברים מקורבים, במשרד הבחינו והכירו בקטסטרופה, ומרגע שזה קרה – החלו לפעול לתיקון הנהלים והתהליכים על מנת שטעות כזו לא תשנה. במהלך הבירור דיברנו עם שתיים ממובילות הפרויקט – סבטה מורג, CTO משרד הבריאות, ושרית דשא מנהלת הפיתוח של הפרויקט, ושתיהן אישרו את חומרת הממצאים והבטיחו לתקן את הקוד והתהליכים הנדרשים. ואכן, זמן קצר לאחר מכן התחילו להופיע במאגר הקוד הפתוח בקשות לשינויים שיש לבצע על מנת לגרום לזה לקרות.

אמון נמדד גם בנכונות לתקן, וכאן נשות משרד הבריאות עשו עבודה באמת מעולה: קיבלו את האחריות על הטעויות ופעלו באופן מהיר ויעיל לתיקון. תכלס, זה הרבה מעבר למה שעושים ברוב המקומות האחרים להם אנחנו מאסגרים פרצות אבטחה, חולשות וטעויות.

חשוב להבהיר שאיש לא חושב שמדובר פה במזימה מרושעת שנועדה לגרום לאזרחים להתקין אפליקציה זדונית, וכי לרוב הדברים יש הסבר מניח את הדעת שמקורו ברשלנות ממשלתית רגילה שמקורה בהעדר תהליכי פיתוח נכונים ובלחץ הגדול המופעל על חברות וחברי הפרויקט, שבאמת עובדים בתנאים לא פשוטים. עם זאת, עלינו כאזרחים מוטלת החובה לבדוק את מה שנאמר לנו על ידי הממשלה ולא לקבל את הדברים כפי שהם, כי לעיתים נדירות הם באמת כאלה.

בשולי הדברים, בינתיים, נציין שהאפליקציה שמשתחררת עכשיו דילגה על שלב הבטא, החלטה מאוד בעייתית כשמדובר בפריסה רחבה כל כך, על מכשירים מסוגים רבים שאצל חלקם עדיין ישנן בעיות ביצועים קשות שיגרמו לריקון הסוללה תוך זמן קצר. לעניות דעתי היה כדאי לקחת עוד נשימה (עם מסכה, כמובן), להשקיע עוד איזה שבוע-שבועיים בתיקון הבעיות הידועות וגילוי בעיות חדשות על ידי ניסוי שטח, ורק אז לשחרר את הגרסה החדשה כשהיא יציבה יותר, בטוחה יותר, וראויה יותר לאמון המשתמשים.

המומחים מדברים

על הגרסה החדשה והפרוטוקול הקריפטוגרפי שעומד מאחוריה תוכלו לשמוע באחד הפרקים הקרובים של הפודקאסט הפופולרי סייברסייבר מפי ד”ר אייל רונן, אחד מכותבי הפרוטוקול שעומד בבסיסה.

ביום שלישי תוכלו להשתתף בסמינר וירטואלי על איתור מגעים ופרטיות, בהשתתפות ד”ר אייל רונן, סבטה מורג ממשרד הבריאות, ד”ר ערן טוך מאוניברסיטת ת”א וד”ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה. רישום להשתתפות בזום, צפייה בשידורשת חי ביוטיוב.