מחבר: עידו קינן

מענה אנושי קולביז שלום, איך אוכל לדלוף אותך? 🐱‍💻 סייברסייבר ע04פ06

👂 חברת קולביז, שמשרתת כ-2300 לקוחות, הפקירה הקלטות שיחות לכל גולש וגולשת בפירצת אבטחה שלא הצריכה יותר מדפדפן. בין הלקוחות: עו"דים, רו"חים וגופים ממלכתיים ובטחוניים 💸 וגם: מאגר השעבודים והמשכונות היה פתוח לכל גולשת, להורדה במלואו, בלי תשלום, באמצעות שורת קוד אחת 🐱‍💻 הדיווח בכלכליסט

פירצת אבטחה שההאקר אדון שוקו מצא באתר שירות המענה הטלפוני CallBiz חשפה את מאגר ההקלטות של לקוחות החברה, ובהם גופים עם מידע בטחוני ואסטרטגי רגיש כמו משרד ראש הממשלה, רשות שדות התעופה, משרד הבריאות ומשרד האוצר, רשויות מקומיות וחברות ציוד רפואי, עו"דים ורו"חים.

הפירצה היתה פשוטה להכעיס: עמוד רשת פתוח ללא צורך בפרטי התחברות, עם רשימת 2300 לקוחות החברה. הקלקה על לקוח הכניסה את הגולשת לעמוד הניהול שלו, עם כל הקלטות השיחות זמינות להורדה. סקריפט פשוט היה מאפשר להוריד את כל ההודעות של כל הלקוחות.

פירצה נוספת היתה עמוד עם פרטי ההתחברות של הלקוחות – שם וסיסמה, כאשר הסיסמאות בטקסט גלוי (קלירטקסט), בניגוד לנהלים המקובלים שקובעים שאין לשמור את הסיסמה במלואה, אלא עותק מגובב של הסיסמה, ואין לחשוף אותה לכל אדם בעל כלי הפריצה המשוכלל דפדפן.

הפירצה נסגרה 6 ימים אחרי שמערכת סייברסייבר איסגרה אותה למערך הסייבר. תגובת קולביז:

קולביז משקיעה משאבים רבים בכלים טכנולוגיים מתקדמים לשם הגנת ואבטחת המידע שלה ושל לקוחותיה. מנהלי אבטחת המידע של החברה פועלים לילות כימים על מנת לוודא ולהתעדכן כל העת בפתרונות הגנת סייבר מהחדשים והמתקדמים שיש. אנו עומדים בתנאי הרגולציה הנדרשת מבחינת הגנת מידע שנבדקו ואושרו על ידי הרשות להגנת הפרטיות ונמשיך לפעול להיות בחזית הטכנולוגיה הקיימת בנושא.

מיד כשאותרה הבעיה הנושא טופל באופן מיידי והפירצה נחסמה ומבדיקה מעמיקה שנערכה הן על ידינו והן על ידי חברה חיצונית אובייקטיבית נמצא שלא התבצעה שום פריצה על ידי גורם זר מלבד פירצה זו על ידי חוקר עצמאיי, כך, שלא נגרם כל נזק לחברה וללקוחותיה.

לצערנו, אנו מודעים לכך שתוקפי סייבר לא ייעלמו וכל מטרתם היא לחבל בפעילות רשתית בכלל ושל חברות ישראליות בפרט ועל כן אנו משדרגים את המערכות שלנו באופן תדיר.

שעבודים לכל

סיפור נוסף בפרק הוא גילוי של ההאקר נאור לוי, שחשף פירצת אבטחה במאגר המשכונות והשעבודים של משרד המשפטים. כדי לקבל פרטים על שעבודים ומשכונות של אדם מסויים, צריך להגיש בקשה ולשלם אגרה. אולם כפתור מוסתר באתר מאגר המשכונות איפשר לגשת לכל המידע ולהורידו במלואו, בלי פרטי התחברות ובלי תשלום. גם כאן, סקריפט פשוט היה מאפשר הורדה של המאגר במלואו.

לוי איסגר את הפירצה למערך הסייבר, שהעביר אותה אל יה"ב (היחידה להגנת הסייבר בממשלה), שדיווחה על כך למשרד המשפטים. מתן שני, CISO משרד המשפטים, השיב:

עם קבלת הדיווח ב-13/9 , ביצענו בדיקה מהירה של מעקף התשלום שהתגלה.

צוות הפיתוח התגייס לטיפול מהיר בסגירת מעקף זה.

לאחר ביצוע התיקון והבדיקות הנדרשות, עלתה גירסה מתוקנת לאתר משכונים ושיעבודים, וכעת פרצה זו אינה קיימת.

שוחחתי עם הפצחן המדווח – נאור לוי, והודיתי לו על הדיווח המפורט והאיכותי.

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן; נעם רותם 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Call The Shots של Slynk (PD) וקריינות של קוואמי דה לה פוקס ונועה ארגוב 💵 מוזיקת פרסומת: Bit Bit Loop / Kevin MacLeod CC0; 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404

🔔 קולות: דאקטיילז / דיסני; מארש המוות של שופן / 5inister (CC-BY), Sterio18 (CC0); פייט קלאב / דייוויד פינצ'ר; נעימת המתנה – VHS Dreams / Shane Ivers, silvermansound.com (cc-by); מוזיקה איראנית על סנטור / Peyman Heydarian (CC-BY); סרטון תדמית של קולביז; לכה דודי / סופי רפפורט (CC-BY);  ​​Arpent / Kevin Mcleod CC0 ; Ambient Bongos / Alexander Nakarada 🖼️ תמונה ראשית: ThomasWolter

📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל [email protected] 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 הודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס או ביט למספר 055-2-776766

כך אפשר להאזין לסייברסייבר:                    


עוד פירצה ועוד פירצה 🌆 אתרי התשלומים המוניציפליים דולפים 🐱‍💻 הסיפור המלא של סייברסייבר ע04פ02

כולם מדברים על ההאקר המלזי שמוכר מידע ממוחזר מ-City4U, אבל כבר לפני שלושה חודשים איסגרנו פירצה באתר המתחרה MAST שחשפה 660+ אלף קבצים עם מידע אישי ורגיש 🐱‍💻 נעם רותם, עידו קינן – סייברסייבר

המידע המוניציפלי שלנו מופקר – צילומי תעודות זהות, כתובות, בני משפחה, חשבונות ארנונה ומים, מסמכים רפואיים, בקשות הנחה ועוד. השבוע הודיע ההאקר @SANGKANCIL_MY (צבי זעיר במלזית) כי הוא מעמיד למכירה מאגר מידע רגיש מרשויות מוניציפליות ישראליות שנגנב מפורטל השירותים המוניציפלי City4U של אוטומציה החדשה שבבעלות וואן טכנולוגיות. אנחנו חשפנו במערכת הזאת פירצה לפני שנתיים, ואחת נוספת לפני מספר חודשים. בנוסף, לפני שלושה חודשים חשפנו פירצה חמורה בפורטל המתחרה, MAST של קבוצת מ.ג.ע.ר, שאותה אנחנו מפרסמים פה לראשונה.

הפירצה במאסט רשלנית, וקשה להאמין שאיש אבטחת מידע אישר להוציא מערכת כזאת לפרודקשן. המפתח והסוד לדלי ה-AWS (אחסון ענן באמזון) של מאסט הופיעו בטקסט גלוי באתר, וניתן היה לראותם בצפייה במקור (view source) של האתר באמצעות כלי הפריצה המשוכלל דפדפן. הפירצה חשפה יותר מ-660 אלף קבצים בגודל 209+ גיגה של מסמכים אישיים ורגישים של מאות אלפי אזרחים שמחוייבים להשתמש בהם, ובין השאר צילומי תעודות זהות כולל מועד ההנפקה, שמשמש כסיסמה באתרי ממשל, אישורי ביטוח לאומי ואישורים אחרים החושפים מידע פרטי, רגיש, ולעיתים רפואי.

<חסות>

אוהבות פרצות אבטחה, אבל רוצות להפוך את הרשת למקום בטוח יותר? רוצים להתפתח בעולם הסייבר, ללמוד על וקטורים חדשים ומגניבים, ועל הדרך גם להתפרנס? אם אתן מאזינות לפודקאסט ומתמצאות בסייבר, יכול להיות שיש לנו עבודה בשבילכן!

vpnMentor, המבוססת בישראל, מוציאה דוחות על פירצות אבטחה שמתפרסמים בכלכליסט, דה מרקר ובכלי תקשורת ברחבי העולם, ובהם ניו יורק טיימס, CNN ו-BBC. החברה מגייסת חוקרות וחוקרי סייבר מתחילים (ג’וניורים) לצוות המובחר שלה, שיזכו למנטורינג ממומחים בתחום, ייחשפו לעולם אבטחת המידע והתקשורת ויקבלו הזדמנות לצמוח ולהפוך לשחקניות מובילות בעולם הסייבר

שילחו קורות חיים אל [email protected] ותראו ישועות

<\חסות>
מפתח וסוד ה-AWS של MAST. מערכת סייברסייבר הסתירה את המידע הרגיש כי אנחנו יותר אחראיים ממ.ג.ע.ר

איסגרנו את הפירצה ל🎶מערך הסייבר🎵. הם העבירו את ההודעה למגער, ואחרי 11 ימים הודיעו לנו מטעם מגער שהפירצה נסגרה. מ.ג.ע.ר מסרו (התחביר המקולקל במקור):

נושאי אבטחת המידע והגנת הפרטיות הם נר לרגלי החברה, המקבלים דגש ומענה הן בהנהלת הארגון ובהנחייתה והן בקרב עובדי החברה, בכל הדרגים והתפקידים המקבלים תדרוכים ודגשים תקופתיים. כמו כן, החברה שוקדת על ביצוע בדיקות ובקרות שוטפות ושונות לאורך השנה לעמידות, עדכון ותחזוקת מערכותיה, ולריענון נהליה המקיפים בתחומי הגנת הפרטיות ואבטחת המידע.

לאחרונה עודכנו על-ידי מערך הסייבר הלאומי, כי דיווח אלמוני סבור שקיימת חולשה אפשרית ביחס למפתח הגישה לשרת הענן המצוי בבעלות חברת  AMAZON, המשמש לשמירה זמנית של קבצים (תמונות וקבצי מידע, לא נתונים) עבור רשויות מקומיות ותאגידי מים, עבורן אנו בחזקת מחזיקים של הקבצים הנ"ל ומופעלת על-ידה. יובהר כי החולשה האפשרית עוסקת באפשרות גישה למידע, זאת אך ורק באמצעות נקיטת סדרת פעולות טכנולוגיות ייחודיות, אשר אינן בגדר מאמץ בסיסי של משתמש סביר.

מיד עם קבלת הדיווח כאמור לעיל, ערכה החברה בדיקה מקיפה ממנה עולה כי אין כל אינדיקציה המעידה על חשיפה בפועל של פרטי מידע אישיים אודות נושאי המידע, וכי למיטב ידיעתה החולשה האפשרית לכאורה לא נוצלה בפועל ולא נשקף ממנה סיכון ממשי ו/או שימוש זדוני במידע. בכל מקרה, החברה פעלה באופן מידי לשם חסימת החולשה האפשרית, ומימשה דרכים נוספות לחיזוק ההיבטים הרלוונטיים בהתחשב במקרה המתואר לעיל, ותדאג לבצע התאמות נוספות, ככל שיידרשו.

החברה פעלה, פועלת ותוסיף לפעול למען לקוחותיה בכלל וביחס להיבטי הגנת הפרטיות ואבטחת המידע בפרט.

תגובת מג.ע.ר לאסגרה

התגובה הזאת היא המשכו של הביזיון באמצעים אחרים: הדיווח לא היה אנונימי; המפתח והסוד הוצגו במפורש בצילומסך ששלחנו למערך הסייבר; תמונות וקבצי מידע ליטרלי מכילים נתונים; סדרת הפעולות הטכנולוגיות הייחודיות הן כשתי הקלקות עכבר בדפדפן; ו-11 יום לסגירת פירצה כזאת הן 11 יום יותר מדי, גם אם מתעלמים מכך שהיא היתה צריכה להתגלות עוד לפני שהאתר הושק.

בנוסף, מאחר שהפירצה זמינה ופשוטה כל כך, לא בלתי סביר להניח שהאקרים שמפעילים כלים אוטומטיים לאיתור פירצות כאלו כבר שמו את ידיהם על המידע, דבר שאפשר לבדוק בקבצי הלוג של בסיס הנתונים. למרות זאת, מגער טוענים כי לא היתה חשיפה של המידע והחולשה לא נוצלה לרעה. לא מגער ולא מערך הסייבר הוציאו הודעה לציבור על פוטנציאל השימוש לרעה במידע שהיה נגיש לכל גולשת – גניבת מידע, גניבת כסף וגניבת זהות.

<חסות>

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת cybercyber.co.il/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.

<\חסות>

פרוייקט המיחזור המלזי

בנוגע לדאמפ של @SANGKANCIL_MY, התאריכים בקבציו הביאו מומחי סייבר לשער שמדובר בפריצה ממוחזרת.

האוטומציה החדשה מסרו בתגובה לפרסומים של ההאקר המלזי: "חברת אוטומציה החדשה מתחקרת את הטענות לדלף מידע ממערכת City4U מאז פורסמו לראשונה בערב החג, ונמצאת בקשר שוטף עם מערך הסייבר הלאומי. בבדיקות שנערכו עד כה, לא זוהתה כל חדירה למערכת ולא מן הנמנע שמדובר במידע ישן ומוגבל בהיקפו. ככלל, יש לציין כי מערכת City4U מחזיקה נתונים של כמה מאות אלפי ישראלים לכל היותר, ולא בסדרי הגודל שהזכיר התוקף בהודעתו. אוטומציה החדשה משקיעה משאבים רבים באבטחת מידע והינה מוסמכת תקן אבטחת המידע ISO 27001. החברה עורכת באופן תדיר סקרי סיכונים ומבדקי חדירה, ומקיימת בקרות שוטפות של חדירות המערכות שלה לפריצות סייבר. אנו ממשיכים בחקירת האירוע ונעדכן ככל שיהיו ברשותנו ממצאים חדשים".

__________________________
תמונה ראשית: "גרמניה – פיצוץ מבוקר, 1996" (פרט) 🖼️ © יוליאן רוזפלדט ופיירו שטיינלה; מוצג בתערוכת "הווה מתמשך: חדש באמנות עכשווית" במוזיאון ישראל

תמונת פרק: Metropolis 🖼️ שרון פזנר (cc-by-nc)


המאגר הביומטרי, שפרטי יועץ אבטחת המידע שלו דלפו עכשיו בפריצה, לא ידלוף

ההאקר @SANGKANCIL_MY הודיע אתמול (5.9.2021) שהצליח לחדור למאגר מידע רגיש של רשויות מוניציפליות ישראליות. הוא פרסם בטלגרם דאמפ צנוע כהוכחה (PoC), ומציע את המאגר המלא בן 7 מיליון הרשומות למכירה. לא ברור אם ההאקר ידע זאת, אבל שניים מהמסמכים בדאמפ חושפים פרטים של יועץ סייברסייבר של המאגר הביומטרי.

בין המסמכים שבדאמפ יש צילומי תעודות זהות וספחים, מסמכי רכב (רשיונות נהיגה, רשיונות רכב, חוזה שכירת רכב, טופס החלפת בעלות), קבלה על תשלום ארנונה בהרצליה וקובץ אקסל עם פרטים של כ-3000 ישראלים.

הקבלה של יורם אורן שדלפה. מערכת סייברסייבר הסתירה פרטים מזהים

סייברסייברון אנונימי הבחין ודיווח לסייברסייבר כי קבלת הארנונה היא על שם יורם אורן ואשתו (שבחרנו לא לפרסם את שמה). אורן משמש מאז 2008 יועץ לענייני ביומטריה, כרטיסים חכמים ואבטחת מידע של משרד הפנים, שתחתיו פועלת רשות המאגר הביומטרי הלאומי. הקבלה הונפקה ב-2012, והיא מכילה את הכתובת והמיקוד של האורנים, סכום התשלום ומספר חשבון משלם, שזהה למספר הח"פ של אורן במסמכים (הפומביים) של הארכת והגדלת ההתקשרות שלו עם משרד הפנים – כלומר, מספר תעודת הזהות שלו.

בדקנו באקסל ומצאנו את האורנים גם שם, עם תאריכי יום הולדת, שמות האבות שלהם, עיר מגורים (אחרת מזו שמופיעה בקבלה) ושדה בשם TELL, שאולי מציין מספר טלפון.

פנינו אל אורן בסמס ודרך טופס באתרו, ונעדכן בתגובתו.

<חסות>

אם אתם מחפשים אחסון לפודקאסט, אנחנו ממליצים ללקוחות שלנו על פודבין. יש חבילה בסיסית בחינם שמאפשרת להתנסות בשירות, ואפשר לשדרג לחבילה בתשלום. אם תירשמו דרכנו כאן podbean.com/podcastico – אנחנו נקבל כמה שקלים, ואתם תקבלו מפודבין חודש במתנה.

<\חסות>

ארגוני פשיעה השתמשו בסלולרי מוקשח ומוצפן של ספק התקשורת האמין FBI

הסיפור שודר בפינה "האחראי על האינטרנט" בתוכנית "שישבת עם עידן קוולר" בגלצ ב-19:35 📻 >>

פרטיות היא זכות אזרח וזכות אדם, שבחודשים האחרונים הפכה לסחורה חמה בשוק הטכנולוגיה. ענקיות הטכנומידע, שרבות מהן מתפרנסות מאיסוף והיוון מידע על המשתמשים, החלו לקדם יוזמות להגברת הפרטיות – גוגל חוסמים עוגיות צד ג' בכרום, אפל מאפשרים למשתמשי אייפון לחסום מעקב מצד יישומונים, וואטסאפ חזרו בהם מהגבלת משתמשים שיסרבו לתנאי שימוש שהיוו הרעה בפרטיותם.

חברת Phantom Secure הקנדית התפרנסה מטכנולוגיית פרטיות – היא מכרה סמארטפונים מוקשחים ומוצפנים לאנשים שממש רוצים פרטיות. הסמארטפונים לא נמכרו בחנויות רגילות או מקוונות, אלא דרך קשרים עם מפיצים מורשים, שלעתים ביצעו בדיקות רקע ותיחקרו את הלקוחות הפוטנציאליים לפני שהחליטו אם למכור להם את המכשיר. המכשירים נמכרו ב-1500-2000 דולר למכשיר עם חבילת תקשורת של 6 חודשים, מחיר גבוה יחסית לסלולריים שלא איפשרו שיחות טלפון רגילות או גלישה חופשית באינטרנט, אלא רק תקשורת ישירה עם רשימה סגורה של משתמשי פאנטום אחרים. כלומר, לא מדובר במוצר שימושי למשתמשים רגילים שרוצים להגן על פרטיותם, ואשר יכלו להסתפק בהגנות בסיסיות כגון פיירוול, VPN ויישומוני צ'ט מוצפנים.

חבילות סלולר מאובטחות מפני רשויות החוק 🖼️ אתר פאנטום סקיור

הריח המשונה שנדף מפאנטום עלה באפו של ה-FBI, שפתח בחקירה נגד החברה ב-2017 וגילה שכלל לא מכרה מכשירים למשתמשים מהשורה, אלא התמקדה במגזר שיש בו ביקוש קשיח לתקשורת מוצפנת – מגזר ארגוני הפשיעה הגלובלי. במרץ 2018 הגיש חבר מושבעים גדול במחוז דרום קליפורניה כתב אישום נגד חמישה מנהלים בחברה, ובהם המנכ"ל וינסנט ראמוס, על הפרת חוקי ה-RICO (פשע מאורגן) וסיוע להפצת קוקאין. על ראמוס נגזרו 9 שנות מאסר והחרמה של נכסים ב-80 מיליון דולר.

עם מעצרו של ראמוס בסמוך להגשת כתב האישום, פאנטום נסגרה בפועל והפסיקה לספק שירותים (ה-FBI קרא למשתמשים לגיטימיים לפנות אליו לקבל עותק של המידע שלהם, אולם לא הצליח לאתר ולו משתמש לגיטימי אחד). סגירת הרשת אילצה את ארגוני הפשיעה לחפש חלופה, וזו נמצאה בדמות ANOM, יישומון תקשורת מאובטח שהוסווה כיישומון מחשבון והותקן על סלולריים שהופשטו מיכולותיהם המקוריות, כך שתתאפשר בהם רק תקשורת מאובטחת עם אנשי קשר מרשימה סגורה, ורק אם הם מחזיקים גם כן במכשיר אנום.

אתר הסלולרי המאובטח אנום

המפתח של אנום הוא מבריח סמים לשעבר, שהיה אחד המפיצים של פאנטום ושל Sky Global (חברה דומה, שנסגרה במרץ השנה עם הגשת כתב אישום וצווי תפיסה לתשתיות החברה). באוקטובר 2018 החל המפתח להציע את אנום לשלושה מפיצי פאנטום עם קשרים בארגוני פשיעה, בעיקר באוסטרליה, והפיץ דרכם 50 מכשירים, ביניהם לשני ארגוני פשיעה המתוחכמים ביותר באוסטרליה. כל המשתמשים היו פושעים, כולם דיברו בחופשיות על הפעילות הפלילית שלהם, וחלקם הביעו נכונות לתת מכשירי אנום גם לבכירים בארגוני הפשיעה.

השמועה עברה מפה לאוזן, ואנום, ששווק למשתמשים הפוטנציאליים כמכשיר ש"פותח על ידי פושעים עבור פושעים" ונמכר ב-1700$ למכשיר עם חבילה של 6 חודשים, הפך לכלי התקשורת המועדף על ארגוני פשיעה ברחבי העולם, מה שמאוד שימח את ה-FBI – כי הוא זה שעמד מאחורי מלכודת הדבש שנקראת אנום.

בסמוך למעצרו של ראמוס וסגירת רשת פאנטום, המפתח של אנום הציע ל-FBI להשתמש באנום לחקירות קיימות ועתידיות. ה-FBI הסכים, וגייס את המפתח להפוך את אנום למלכודת דבש שתמשוך פושעים להשתמש בה ולחשוף את עצמם. ראשית, הוא הכניס ליישומון דלת אחורית – מפתח ראשי (master key) שיוצמד לכל הודעה מוצפנת ויאפשר את פענוחה, ושליחת עותק סמוי (BCC) של כל הודעה לשרת בשליטת ה-FBI או אחד משותפיו. לאחר מכן, הוא הפיץ את המכשיר המורעל דרך קשריו לארגוני פשיעה ברחבי העולם.

(כדי לשמור על הלקוחות מרוצים, ה-FBI חיפש בתכתובות שיירט התייחסויות של המשתמשים לבעיות, לשיפורים נדרשים וליישומים חסרים. כך, למשל, הוא מילא את רצונם של משתמשים ועבר להפיץ את אנום על טלפונים סלולריים חדשים וקטנים יותר).

המפתח קיבל תמורת השתתפותו 180 אלף דולר ואופציה לעונש מופחת באישומים שהוא עומד בפניהם. רשויות החוק קיבלו את ארגוני הפשיעה על מגש של כסף, כוח, כבוד וקוק.

אתר הסלולרי המאובטח אנום אחרי חשיפת מבצע מגן טרויאני

ביום שלישי השבוע, ה-FBI האמריקאי, היורופול האירופי והמשטרה הפדרלית האוסטרלית (AFP) חשפו את מבצע העוקץ המוצלח – שנקרא בארה"ב "מגן טרויאני" (Operation Trojan Shield), באוסטרליה "מבצע איירונסייד" (Operation Ironside) ובאיחוד האירופי "אור ירוק" (Greenlight). המבצע התנהל בסתר במשך שלוש שנים, ואלה הישגיו: החדרה של 12 אלף מכשירים ליותר מ-300 ארגוני פשיעה ביותר מ-100 מדינות; יירוט יותר מ-27 מיליון הודעות ב-45 שפות; זיהוי עסקות סמים, הלבנת כספים, מכירת נשק ושחיתות ציבורית בדרגות גבוהות; מעצר של 800 חשודים, 500 מהם במבצע גלובלי בן יומיים מיד לפני החשיפה, ביותר מ-12 מדינות; חיפוש על ידי 9000 שוטרים ב-700 מקומות ברחבי העולם; החרמה של יותר מ-8 טון קוקאין, 22 טון מריחואנה, 2 טון אמפטמין ומת', 6 טון של כימיקלים לייצור סמים, 250 כלי נשק, 55 רכבי יוקרה ויותר מ-48 מיליון דולר במטבעות שונים; פירוק 50 מעבדות לייצור סמים; סיכול 150 איומים מוחשיים על חיי אדם; ואישומים נגד 17 מפיצים לא-אמריקאים של אנום.

תמונות והודעות מפלילות שפושעים שלחו דרך אנום 🖼️ FBI
נשק וסמים שהוחרמו באוסטרליה במסגרת מבצע איירונסייד/מגן טרויאני 🖼️ משטרת אוסטרליה
נשק וסמים שהוחרמו באוסטרליה במסגרת מבצע איירונסייד/מגן טרויאני 🖼️ משטרת אוסטרליה

מלבד הפגיעה הישירה בארגוני הפשיעה המעורבים, המבצע ביקש גם לפגוע בהסתמכות שלהם על אמצעי הגנה טכנולוגיים. "היינו בכיסים האחוריים של הפשע המאורגן", אמר מפכ"ל המשטרה הפדרלית האוסטרלית, ריס קרשו. התובע הכללי בפועל של מחוז דרום קליפורניה, רנדי גרוסמן, מסר: "מכשירים מוקשחים מוצפנים בדרך כלל מספקים חומה בלתי עבירה נגד מעקב ואיתור על ידי רשויות הוק. האירוניה כאן היא שאותם מכשירים שהפושעים הללו השתמשו בהם להסתתר מרשויות החוק היו למעשה מגדלורים עבור רשויות החוק. אנחנו שואפים לרסק כל אמון בתעשיית המכשירים המוקשחים המוצפנים באמצעות כתב האישום שלנו וההודעה שהפלטפורמה הזאת הופעלה על ידי ה-FBI".

אירונית אף יותר העובדה שאם הפושעים היו מתקשרים בסלולריים רגילים, הם היו מוגנים יותר, הן כי היו מקפידים יותר על דיבור על מעשים פליליים בקודים במקום במילים מפורשות, והן כי הרבה מהתקשורת שלהם היתה מוסתרת מרשויות החוק בגלל תפוצתה של ההצפנה מקצה-לקצה בשירותים מסחריים פופולריים כמו וואטסאפ וזום.


גודדי הבטיחה בונוס לעובדים ואז נזפה בהם על שנפלו בפח

בסוף שנה ארורה כמו 2020, כיף לקבל מהמעסיק אימייל שמודיע לך על בונוס חמוד, כמו זה שקיבלו עובדי גודדי:

ספק רישום הדומיינים הגדול בעולם, עם כ-80 מיליון דומיינים, הבטיח בונוס של 650$ לעובדים שיקליקו על הלינק של אזור מגוריהם וימלאו את הפרטים הנדרשים. הם קיבלו ארבעה ימים, ואזהרה שמי שלא יירשם בזמן יפסיד את הכסף.

500 העובדים שמילאו את הטופס לא קיבלו בונוס. במקומו, הם קיבלו נזיפה מהסיסו של גודדי, דמטריוס קאמז:

קיבלת את האימייל הזה כי נכשלת במבחן הדיוג שערכנו לאחרונה. יהיה עליך לעבור מחדש את הכשרת ההנדסה החברתית למודעות אבטחה.

הודעת הבונוס היתה למעשה הדמייה של דיוג, כך חשף ה-Copper Courier.

דיוג (פישינג, phishing) הוא נסיון להשיג מאנשים פרטים אישיים, ובהם לעתים שמות משתמש וסיסמאות, לצורך גניבת זהות, פריצה למערכות ממוחשבות וכדומה. הדייגנים עושים שימוש בהנדסה חברתית, כלומר מציאת חולשות אבטחה אצל בני אדם כדי לגרום להם לתת את המידע – למשל, הבטחה לכסף תמורת הקלקה על לינק ו/או מסירת פרטים אישיים. מה שגודדי עשו הוא הדמייה של דיוג לצורך בדיקת ערנות העובדים, מהלך שחברות אחראיות מבצעות מפעם לפעם כדי להטמיע נהלי אבטחת מידע בקרב העובדים.

כרשם הדומיינים הגדול בעולם, גודדי הם מטרה נחשקת להאקרים שרוצים להשתלט על דומיינים כווקטור לתקיפות שונות. בלוג הסייברסייבר של בראיין קרבז הזכיר כמה פריצות משמעותיות שגודדי ספגו השנה: במרץ, האקר ביצע דיוג-ממוקד טלפוני של נציג שירות לקוחות והסיט את התעבורה של אתר Escrow.com לכתובת איי.פי במלזיה; באפריל, החברה גילתה שפירצת אבטחה מאוקטובר 2019 (!) סיכנה חשבונות אחסון של 28 אלף לקוחות של החברה; ובנובמבר, האקרים דייגו מספר עובדים בגודדי והביאו להסטת תעבורה של מספר פלטפורמות לסחר בקריפטומטבעות. כך שהחשש של גודדי מפני דיוג אמיתי, והצורך באימון העובדים קריטי.

אלא שעם הפרסום, החברה חטפה ביקורת על הדרך שבה בוצע המהלך, עם חוסר הרגישות שבנפנוף בונוס שקרי מול העובדים, ובפרט בתקופת החגים ותחת הלחץ וחוסר הוודאות של המגיפה. זאת, רק חצי שנה אחרי שהחברה הודיעה על פיטורים/העברה מתפקיד של מאות עובדים במחלקת המכירות, בדיוק ברבעון שבו הודיעה על גידול שיא במספר הלקוחות.

בנוסף, האימייל נשלח מכתובת בדומיין של גודדי – [email protected] – אמנם לא דבר בלתי אפשרי לזיוף, אבל כזה שמגביר את תחושת האמינות. מצד שני, אפשר לטעון שעובדים צריכים להיזהר גם מאימיילים שמגיעים לכאורה מכתובת ששייכת למעסיק. ומצד שלישי – המעסיק, במיוחד גוף טכנולוגי גדול כמו גודדי – צריך לעצור אימיילים כאלו עוד לפני שהם מגיעים לעובדים.

דובר גודדי מסר לגיזמודו:

גודדי לוקחת מאוד ברצינות את אבטחת הפלטפורמה שלנו. אנחנו מבינים שחלק מהעובדים לא היו מרוצים מנסיון הדיוג וחשו שהוא היה לא רגיש, ועל כך התנצלנו. בעוד הבדיקה חיקתה נסיונות אמיתיים שנמצאים היום בשימוש, אנחנו צריכים להשתפר ולהיות יותר רגישים לעובדים שלנו.

החברה לא השיבה אם בכוונתה לפצות את העובדים באמצעות חלוקת הבונוס המובטח.

________________________
התפרסם במקור בפינה "האחראי על האינטרנט". 🖼️ mikkooja1977


פרשת #משטריגול: שאילתה לשר, מדריך פרטיות לגולשות

הבוקר חשפנו כאן בסייברסייבר ביחד עם עודד ירון מערכת משטרתית למעקב והסטת תעבורת רשת. מספר התפתחויות בנושא: השר לבטחון פנים יצרך לתת תשובות על הפרשה, מדריך טכני מפורט יסייע לגולשות להקשות על המשטרה לעקוב אחריהן ולבצע מניפולציות על הגלישה שלהן, ויש גם מאפים.

המשטרה מסרה באין-תגובתה לחשיפה שהיא "פועלת על פי הסמכויות המוקנות לה בחוק ומפעילה רק אמצעים המותרים לה על פיו" – מה שאמור להיות מובן מאליו, ואינו משיב על השאלות שהעלינו. במשרד ראש הממשלה בכלל לא השיבו. כעת ייאלץ השר לבט"פ אמיר אוחנה, להשיב על שאילתה בנושא. את השאילתה הגיש ח"כ משה ארבל (ש"ס), שמוכר כמי שמוביל מאבק לשמירה על זכותם של עצירים שלא להיאזק ואף מגיע לביקורות פתע בבתי משפט.

ח"כ משה ארבל (ש"ס) 🖼️ נחלת הכלל

בשאילתה כתב ארבל:

מדובר לכאורה בפגיעה חמורה שלא כדין בפרטיותם של אלפי אזרחים ישראלים ובפגיעה חמורה בחופש הביטוי בשל החשש לאפקט מצנן על הזכות להתבטא בחופשיות ברשת. כל זאת נעשה במחשכים, ללא היתר חוקי מפורש ומבלי שנערכה ביקורת פרלמנטרית מסודרת על מדיניות שמסתמנת כאחת האחראיות המרכזיות להפרת זכויות במדינת ישראל.

ח"כ ארבל שאל את השר אוחנה:

1) האם הפרסום נכון ומהי מדיניות המשטרה בנוגע למעקב אחר גלישה ברשת?
2) מכוח איזה חוק רשאית המשטרה לבצע פעילויות מעקב ברשת, מי במשטרה אחראי על הפעלת המדיניות ואישר אותה?
3) מהו היקף המעקב ברשת בשנה האחרונה והאם אושר ע"י הייעוץ המשפטי לממשלה?

על פי חוק, השר חייב להשיב על השאילתה תוך 21 יום.

עד שהמשטרה תאולץ להשיב ואולי אף להגביל את המעקב, ידיד סייברסייבר רן בר-זיק פרסם מדריך מפורט לגולשות כיצד להקשות על המשטרה לעקוב ולבצע מניפלציות על הגלישה (והמאזין דן פלג אימלק באמצעות מאפים).

לחמי IP, DNS ו-TOR 🖼️ דן פלג

טיפים נוספים לשמירה על פרטיות דיגיטלית אפשר למצוא בפרק "הפתרון למעקב בחסות הקורונה: קריפטופארטי" (ע02פ22).


שירביט שידרגו את האבטחה לשיר256ביט 🚨🚨🚨🚔👮

אומת הרשת נתנה עבודה בפרשת הסייברפריצה לסוכנות הביטוח שירביט. הנה כמה מהבדיחות שאהבתי. מוזמנים לשלוח עוד בשלל אמצעי ההתקשרות שמופיעים באתר, או להזעיק את משטרת בדיחות האבא.

אביב מזרחי
אביב מזרחי
בדיחת שירביט. יוצר לא ידוע
יוצר לא ידוע
בדיחת שירביט. יוצר לא ידוע
יוצר לא ידוע
דן גורן, BezimSheli1984
דור צח
מיינה
רשף שי
גידי גורן
תומר שרון
שגיא בן צדף
דין לנגזם
השרה לענייני צילום חתולים
Image
רם גלבוע
Image
שלומי פרץ
בדיחת שירביט - רן לוקאר והראל דן
רן לוקאר והראל דן
בדיחת שירביט - יאיר קיבייקו
יאיר קיבייקו
רן בר-זיק
וכמה מהתגובות לבר-זיק
ואני
משטרת בדיחות האבא
כולכם עצורים. עלו לניידת!

גוגל סטריט ויו מסתיר את בית ראש הממשלה בקיסריה, ובכך חושף את ראש הממשלה לאיום ביטחוני מצד ארגוני הטרור!

חשיפת מידע רגיש לא חייבת לקרות בצורה של פרסום המידע עצמו. לפעמים מידע רגיש נחשף גם בגלל אי-פרסומו. למשל: אם אני מחתים כרטיס נוכחות כל יום בעבודה, אפשר לדעת באילו ימים ושעות הייתי שם. אבל אם ביום שני לא העברתי את הכרטיס – היעדר המידע הוא למעשה מידע, שאומר שלא הייתי במשרד ביום שני, או הייתי אבל ניסיתי להסתיר זאת ולא העברתי כרטיס. משיודעים זאת, אפשר לנסות לברר אם הייתי או לא, על ידי בדיקת מצלמות מעקב, חקירת עמיתים לעבודה וכיוצא בזה.

דוגמה יפה להעברת מידע באמצעות החסרת מידע היא הדרך הערמומית שבה ספרנים בארה"ב עקפו תוכנית של ה-FBI למעקב אחרי המבקרים בספרייה תוך הסתרת המעקב באמצעות איסור פרסום לפי חוק הפטריוט. מאחר שהחוק אסר על ספרנים לספר שה-FBI היה בספרייה או ביקש מידע על מבקרים, הם תלו בספריות שלטים בנוסח “ה-FBI לא היה פה. שימו לב היטב אם השלט הזה יוסר”.

דוגמה נוספת היא האופן שבו גוגל חושפים מקומות רגישים בטחונית בישראל. נזכרתי בכך בזכות הודעה ששלחה פעילת הביביסטים אורלי לב לפעילים אחרים, שבה היא קוראת להם להגיע להפגנה ליד בית משפחת פרקש בקיסריה (בטענה שמשפחת פרקש אירחה בביתה, הסמוך לבית ראש הממשלה, פעילים אנטי-ביביסטים, ובכך איפשרה להם לעקוף איסור להפגין ליד בית ראש הממשלה). לב צירפה מפת גוגל שבה סימנה בעיגול אדום את בית פרקש.

ההודעה של אורלי לב עם מפת גוגל שבה מסומן בכחול בית משפחת נתניהו

הפעיל האנטי-ביביסט גונן בן יצחק פרסם צילום של ההודעה וכתב: "במפות גוגל הנקודה הכחולה מסמלת את המיקום של מי שפתח את המפה לניווט. במקרה של המפה שאורלי לב שולחת לפעילים, הנקודה הכחולה נמצאת בבית משפחת נתניהו בקיסריה". ואילו לדברי הפעיל האנטי-ביביסטי נרי ירקוני, "מי שחיפש שהה *באותו הרגע* בבית נתניהו בקיסריה (עיגול כחול)". נדמה לי שמבין השניים, ירקוני מדייק: מי שצילמסך את המפה עשה זאת כשהוא נמצא בבית משפחת נתניהו או בסביבתו הקרובה.

כך או כך, יאיר נתניהו, שהינו אדם פרטי ולכן באופן טבעי מוסר תגובות בשם ראש הממשלה, אמר בתגובתו כי

גונן בן יצחק עשה דבר חמור ביותר כשפרסם לכל העולם בציוץ בטוויטר את מפת גוגל שמראה את מיקומו המדויק של בית ראש הממשלה בקיסריה, ובכך חשף את ראש הממשלה לאיום ביטחוני מצד ארגוני הטרור..

וויינט, 21.11.2020
תגובת יאיר נתניהו בחדשות 12 לפרסום של גונן בן יצחק

הטענה הזאת מקושקשת: כתובת בית משפחת נתניהו "פורסמה פעמים רבות בעבר גם באישור הצנזורה, וניתן למצוא אותה בקלות בגוגל", כפי שנכתב בוויינט. אבל היא מספקת הזדמנות להזכיר שגוגל פרסמו בעקיפין רשימה של כתובות שיש סיכון בטחוני בצילומן, כולל ביתו של ראש הממשלה ובנו, האיש הפרטי; וכי מי שהעביר את הרשימה הרגישה הזאת לגוגל, חברה פרטית לא-ישראלית, היא מדינת ישראל.

באפריל 2012 השיקו גוגל בישראל את גוגל סטריט ויו, שירות שמציג תצלומי רחובות ובתים על מפות גוגל. לפני ששלחו את ניידות הצילום להסתובב ברחובות ישראל, גוגל נדרשו לקבל אישורים רשמיים, ובהם אישור ועדת שרים בראשות דן מרידור, שבחנה את ההיבטים הביטחוניים. המדינה התירה לגוגל לצלם ברחובות ישראל, אך דרשה מהחברה להימנע מצילום סביב אתרים רגישים בטחונית. כדי שגוגל ידעו איפה אסור לצלם, הם קיבלו מהמדינה רשימת כתובות רגישות שאסורות בצילום.

כדי לגלות אילו אתרים נחשבים רגישים בעיניי מדינת ישראל, כל מה שגולשת צריכה לעשות זה לגרור את אייקון האיש הצהוב מעל מפות גוגל באזורים שונים בישראל, ולראות סביב אילו כתובות ובתים אין קווים כחולים שמעידים שהאזור צולם. למשל: הבסיס הצבאי הקריייה בתל אביב, ובאופן משונה גם מצודת זאב. אחר כך הגולשת יכולה לחפש את אותם אזורים בשירותי מפות אחרים, תצלומי לווין או בסיור פיזי במקום.

אם הגולשת תגרור את האיש הצהוב מעל מפת קיסריה, היא תגלה קטעי רחוב בודדים שלא צולמו, ועל כבישיהם לא מופיע קו כחול – למשל, נתח בחלק הצפוני של רחוב הדר, סביב בית מספר 69. מעניין מי מסתתר שם.

רחובות קיסריה הזמינים בגוגל סטריט ויו
החתיכה החסרה פוגשת את O הגדול

עיתונאי פלש לווידאוצ'ט של שרי ההגנה של אירופה אחרי שהשרה ההולנדית חשפה את הסיסמה בטוויטר

מאז שמגיפת הקורונה שינתה את חיינו, צילומסכים של קוביות עם פרצופים הפכו לחלק מהשפה החזותית שלנו, בין אם מדובר בזום עם חברים או בוובקס עם העמיתים לעבודה. שרת ההגנה ההולנדית, אנק ביילפלד (Ank Bijleveld), צייצה ביום שישי צילומסך של שיחת וידאו שבה השתתפה, במסגרת פגישת שרי ההגנה האירופים במועצת יחסי החוץ של האיחוד האירופי. זמן קצר לאחר מכן התחרטה ומחקה את התמונה, אבל זה כבר היה מאוחר מדי: איש זר פלש לווידאוצ'ט והביא לפיצוץ הפגישה.

אותו פולש אכזר הוא העיתונאי ההולנדי דניאל ורלאן (Daniël Verlaan) מ-RTL Nieuws. הוא קיבל טיפ אנונימי שהתמונה שהעלתה ביילפלד מכילה ב-URL (כתובת האתר) שם משתמש ו-5 מתוך 6 ספרות של הפינקוד הנדרש לכניסה לשיחה. ורלאן ניסה כמה מספרים עד שהגיע לפינקוד הנכון.

בשלב הזה צריך היה להיות אמצעי הגנה נוסף, שעליו התחייבו מנהלי השיחה בהודעה מוקדמת למשתתפים. אבל ורלאן לא נתקל בשום הגנה כזאת – הוא נכנס ישר לשיחה, נופף לשלום לשרי ההגנה המופתעים והצוחקים, הציג את עצמו וניהל שיחה קצרה עם הנציג העליון של האיחוד לענייני חוץ ומדיניות ביטחון, ג’וזפ בורל. זה צחק במבוכה ושאל את ורלאן אם הוא מודע לכך שזו עבירה פלילית, ואז ביקש ממנו לעזוב את השיחה במהירות, לפני שהמשטרה תגיע.

ביילפלד, כאמור, מחקה את הציוץ. דובר מטעם משרד ההגנה ההולנדי מסר ל-RTL כי “עובד צייץ בטעות תמונה עם חלק מהפינקוד. התמונה נמחקה לאחר מכן. טעות טפשית. זה מראה לך כמה צריך להיות זהירים כששולחים תמונה מפגישה”. אפילו ראש הממשלה מארק רוטה התייחס לדברים ואמר: “התוצאה היחידה של זה היא שביילפלד הראתה לשרים האחרים כמה צריך להיזהר”.

במועצה אמרו ששום מידע סודי לא נידון בישיבה (בפוליטיקו דיווחו שעלה לדיון מסמך מסווג על הסכנות שעומדות בפני האיחוד האירופי, שישמש בסיס לאסטרטגיית הגנה עתידית של האיחוד האירופי). עוד אמרו במועצה כי יגישו תלונה לרשויות.

הצילומסך שצייצה אנק ביילפלד. RTL Nieuws הסתירו את פרטי ההתקשרות 🖼️ ורלאן
הצילומסך שצייצה אנק ביילפלד. RTL Nieuws הסתירו את שם המשתמש והסיסמה 🖼️ ורלאן

ורלאן סיכם:

> כעיתונאי, אתה צריך להביא ראיות חותכות אחרת ישקרו לך (‘לא, יש אמצעי הגנה נוספים, לא יתנו לך גישה’)
> הם מעדיפים לפגוע בעיתונאי מאשר לתקן את החרא שלהם

דניאל ורלאן בטוויטר, 20.11.2020

התפרסם במקור בגירסה שונה בפינה "האחראי על האינטרנט" בגלצ


ווינד מתקדמים מקורקינטים למאגר ביומטרי

הכתב כרמל ליבמן דיווח בשמחה בחדשות 2 כלשהן על "מהלך שיציל חיים? הטכנולוגיה החדשה שתמנע מילדים לשאול את הקורקינטים השיתופיים". כותרת מדוייקת יותר מופיעה בראש פוסט זה.

החוק בישראל מתיר רכיבה על קורקינט ממונע מגיל 16 ומעלה, אולם בפועל רוכבים גם צעירים יותר, אם בקורקינטים פרטיים ואם במושכרים. חברות השכרת-הקורקינטים-ללא-מגע-יד-אדם, ווינד, ברד וליים, ניסו למנוע מצעירים לשכור קורקינטים על ידי שכירת עובדים שיבדקו את גיל השוכרים הקמת מאגר מידע על הנוסעים, שבו הם נדרשים לסרוק תעודת זהות או רשיון נהיגה כדי לאמת את גילם.

ההגנה קלה מאוד לפריצה. לא רק שבני פחות מ-16 יכולים לסרוק תעודה של אדם אחר ולשכור קורקינט, אלא שאפילו לא צריך תעודה אמיתית, כפי שדיווחו אותן חדשות 2 כלשהן בפברואר השנה:

בבדיקה סרקנו רישיון נהיגה פיקטיבי שמצאנו בגוגל, כשמספר תעודת הזהות הוא 123456789 – והקורקינט היה זמין לרכיבה. החברות דורשות להזין גם כרטיס אשראי אבל הדבר לא באמת מעיד על גיל הנהג, מכיוון שאפשר לשאול כרטיס אשראי מאדם מבוגר.

בווינד מטמיעים עכשיו פתרון חדש: זיהוי פנים (כמובן שהוא "מבוסס בינה מלאכותית", לפי מנכ"ל ווינד ישראל, יוחאי עבאדי). בקומוניקט של ווינד נכתב כי

טכנולוגיית זיהוי הפנים נלקחה מתחום הבנקאות כדי לאמת את זהות הלקוח כשהמערכת עושה השוואה של תווי הפנים של הלקוח עם התמונה ברישיון הנהיגה שלו.

[…]

הזיהוי יבוצע כך: כל משתמש יתבקש לסרוק את רישיון הנהיגה שלו בעת ההרשמה לאפליקציה. המשתמש יתבקש לצלם תמונה של פניו ולשלוח כדי שתתבצע ההתאמה של תווי פניו לתמונתו ברישיון הנהיגה. בשלב הראשון, המערכת לזיהוי פנים תאשר את המשתמש תוך 20 דקות בלבד, כך שמהלך אישור המשתמש יקוצר מ-48 שעות כיום ל-20 דקות בלבד לאחר יישום הטכנולוגיה. בשלב השני, ולאחר שהמערכות תעבור את הבקרות המתאימות, יאושרו המשתמשים באופן מיידי. במידה וזוהתה בעיה, העניין יועבר לאישור ידני.

קומוניקט ווינד ישראל, 14.10.2020

כלומר, ווינד ישראל מקימים מאגר ביומטרי של תמונות פנים. גם לקוחות קיימים יצורפו לתוכנית: "החברה תריץ את היישום החדש על כל בסיס המשתמשים של החברה בישראל". אני באופן אישי מרגיש עכשיו הרבה יותר בטוח, אבל אולי זה כי מעולם לא שכרתי קורקינט מווינד.

הדגמת של פיצ'ר זיהוי הפנים של ווינד קורקינטים 🖼️ יחץ ווינד ישראל

לעתים, קורקינטים שיתופיים הם שיתופיים מדי, וסובלים מפירצות אבטחה ופרטיות. בסייברסייבר ע02פ21 דיברנו עם אמיר שלדובסקי מחברת אימפרבה, שחקר וגילה דליפות מידע מקורקינטים שיתופיים שחושפים מידע על עצמם, על המפעילים ועל הרוכבים, כולל אפשרות מעקב גאוגרפי אחרי הרוכבים.


חולדאי דולף

ראש מדינת תל אביב, רון חולדאי, הכריז בתחילת החודש שהוא מתכוון להתמודד בבחירות הארציות, כי אף פעם אין מספיק גנרלים שרוצים לרוץ לראשות הממשלה מטעם השמאל המרכזי. בשבוע הראשון למועמדותו-מטעם-עצמו הוא הספיק לעשות שתי טעויות סייברסייבר: לדלוף מידע שהתכוון לשמור בפרטיות, ולסמן את המידע הזה לטובת מי שהתקשה למצוא אותו.

העיתונאית טל שניידר חשפה את הדליפה: בוק צילומי סטודיו של הראיס, ככל הנראה כהכנה לקמפיין הבחירות הארצי (הבחירות המוניציפליות הבאות רק ב-2023). התמונות הועלו לאלבום "פורטרט ראש העיר – לא לפרסום" בפליקר של עיריית תל אביב, שעדיין קיים ואף מתעדכן לטובת 48 עוקביו (לא פספסתי את המילה אלף, מדובר בארבעים ושמונה אנשים).

הטעות הראשונה היא, כמובן, העלאת האלבום לפליקר כשהוא לא מיועד לפרסום. פליקר מאפשרים לקבוע עבור כל תמונה ותמונה אם היא פרטית, לחברים/משפחה או ציבורית. יתכן שאיש הסושיאל חשב בטעות שהוא מעלה אותן כפרטיות (וזו לא תהיה הטעות המביכה הראשונה שלו [אלא אם הדליפה של אלבום הבחירות היתה מכוונת, כדי לייצר עוד יח"ץ לריצתו העתידית]).

"נאבקים בקורונה […] באים ונדבקים", תקלדה חמודה בפייסבוק של רון חולדאי

העלאת מידע פרטי/סודי באופן גלוי באינטרנט היא בעיה נפוצה מאוד, בגלל הסתמכות על אחסון ענן ומורכבות הגדרות הפרטיות ומתן ההרשאות. למשל: הקמת קבוצת וואטסאפ לעבודה ושלחת לינק הצטרפות בתפוצת נאט"ו משרדית? גולשים זרים עלולים להגיע אליה דרך חיפוש גוגל.

הטעות השנייה היא המילים "לא לפרסום" בשם האלבום, משתי סיבות:

1) הן מסמנות את התמונות כבעלות חשיבות וסודיות. גולשת שהיתה רואה את האלבום הזה בלי המילים "לא לפרסום" עשויה היתה לדלג עליהן משעמום ולפספס את הסיפור.

2) הן מנגישות את התמונות לחיפוש שממוקד במסמכים סודיים. לכו למנוע חיפוש, חפשו קבצי דוק/פדף עם המחרוזת "סודי ביותר" או "לא לפרסום" ותגלו עולם שלם של דליפות מידע.


אין ברכה בפריצה בשבת

רשות מקרקעי ישראל מצפה מהאקרים שפורצים אליה לשמור שבת, כי היא מקור הברכה.

הרשות פרסמה לאחרונה את מכרז 453-2020 (פדף) לקבלת שירותי אבטחת מידע וסייברסייבר. מכיוון שמדובר ברשות ממלכתית במדינה יהודית ודמוקרטית, המכרז מבהיר כי הספק לא יספק שירותי סייברסייבר בשבת.

מרכז 453-2020 לשירותי אבטחת מידע וסייבר עבור רשות מקרקעי ישראל
מכרז 453-2020 לשירותי אבטחת מידע וסייבר עבור רשות מקרקעי ישראל

היינו מצפים ש-SOC (חמ"ל סייברסייבר) של משרד ממשלתי של מדינה שמהווה מטרה להאקרים מרחבי המרחב יפעל 24/7/365. אבל עמי רוחקס דומבה דיווח בישראל דיפנס כי בפועל, הספק נדרש לפעול רק בימי חול, ולפני ואחרי כניסת שבת/חג. במספר מקומות במכרז מפורט כי

בנוסף למתן השירותים על פי שעות עבודה כאמור לעיל, הרשות תהא רשאית להזמין הפעלת תמיכה וצוות התגובה 24 שעות ביממה בימים א' עד ה' וימי שישי וערבי חג עד שעתיים לפני  שבת/חג ובמוצאי שבת וחג משעתיים לאחר צאת שבת/חג, וכן עבור פתרון תקלות ו/או התקפות על הארגון, כולל אסקלציה מול ספקים אחרים.

שמירת שבת כשירות (SSaaS, Shomer Shabbos as a Service) מוצעת לאתרים שמעוניינים למנוע מגולשים לחלל אצלם שבת. האתגר הוא להתאים את מועדי סגירת האתר למועדי כניסת ויציאת השבת בשעון המקומי של הגולשת – או לסגור את האתר מכניסת השבת המוקדמת ביותר ועד יציאתה המאוחרת ביותר. וכפי שמסביר ספק ה-SSaaS "שומר שבס", "השבת באינטרנט אורכת כ-50 שעות!"

אתר ה-SSaaS "שומר שבס"

לא רק אתרים פרטיים ומסחריים מקיימים את מצוות "וּבַיּ֥וֹם הַשְּׁבִיעִ֖י תִּשְׁבֹּ֑ת לְמַ֣עַן יָנ֗וּחַ שֽׁוֹרְךָ֙ וַחֲמֹרֶ֔ךָ וְיִנָּפֵ֥שׁ בֶּן־אֲמָתְךָ֖ וְהַגֵּֽר". גל מור דיווח בוויינט ב-2005 כי אתר התשלומים של הביטוח הלאומי נסגר מדי שבת, ולא ניתן לשלם באמצעותו.

בדיעבד, אולי זה היה נסיון חדשני ופורץ דרך למנוע מהאקרים גויים לגנוב את הכסף?


הסייברפרטיזנים נגד נשיא בלארוס

אלכסנדר לוקשנקו, נשיא בלארוס, מכונה "הדיקטטור האחרון באירופה" (בניכוי פוטין, אני מניח). הוא משמש כנשיא כבר יותר מרבע מאה, כשמתנגדיו טוענים שהוא ניצח באופן דמוקרטי רק בראשונה מבין 6 מערכות הבחירות שבהן זכה, האחרונה שבהן ב-9 באוגוסט השנה. כשהכריז על נצחונו הסוחף עם מעל 80% מהקולות, המחאה התפרצה. בתגובה, לוקשנקו סגר להם את האינטרנט.

האינטרנט משמשת אזרחים לבקר את השלטון ולארגן מחאות נגדו. חסימת האינטרנט נשלפת תכופות מארגז הכלים של השתקת מחאה. הודו רשמה בתחילת השנה שיא מפוקפק של חסימת האינטרנט הארוכה ביותר בתולדותיה הקצרים של הרשת – כחצי שנה – במטרה למנוע מחאה על ביטול המעמד המיוחד של חבל ג'אמו וקשמיר.

ואם הדמוקרטיה הגדולה בעולם חוסמת את הרשת כדי לסתום פיות, הרי ששלטונו של לוקשנקו אפילו לא מצמץ כשכיבה את האינטרנט ל-72 שעות – או כמו שהשלטון מתאר זאת, התקפת סייבר חיצונית/מתקפת DDoS.

שוטרים מפנים מפגין 🖼️  Clker-Free-Vector-Images
שוטרים מפנים מפגין 🖼️ Clker-Free-Vector-Images

באופן טבעי, המוחים פנו ל-VPN, כלי לגלישה מוגנת ומוסתרת, שמשמש לעקיפת גאוחסימה ושאר חסימות. יישומוני ה-VPN כבשו את ארבעת המקומות הראשונים בפופולריות בגוגל סטור באותו יום – וזה רק ממי שהצליח להיכנס אליה, משום שלפי דיווח של טניה לוקשינה מארגון זכויות האדם Human Rights Watch, "נראה שהממשלה חוסמת את חנויות אפל וגוגל”.

המוחים לא התייאשו ופנו אופליינה: "היית רואה אנשים במעלית פשוט משאירים החסני USB עם קבצי גישה ל-VPN", אמר לגיזמודו מקסימס מילטה מאוניברסיטת Belarusian European Humanities. אבל גם זה לא תמיד עזר, לפי לוקשינה: “רבים מאלו שיש להם גישה לכלי עקיפת צנזורה, כמו VPNים, מגלים שהטכנולוגיות הללו נחסמות גם כן“.

האופוזיציה, המצויידת בהאקרים, הכריזה על סייברמלחמה, מספר שלום בוגוסלבסקי, מדריך ומארגן סיורים וכותב ומרצה על ההיסטוריה והפוליטיקה של מזרח אירופה, שעוקב אחרי המחאה דרך הרשתות: "אחד הדברים שהכי עובדים עליהם זה לנסות למצוא כמה שיותר תצלומים של שוטרים אלימים ואנשים שמשתתפים בדיכוי המחאה. האזרחים מתבקשים לשים מצלמות מעקב, לתלוש מסכות משוטרים ולצלם אותם מכמה שיותר זוויות. יש ערוצי טלגרם שאליהם שולחים את זה ובוטים שאוספים את כל העניין הזה.

לוגו ה"קיבר-פרטיזני" (סייבר-פרטיזנים), האקרים מתנגדי שלטון לוקשנקו בבלארוס
לוגו ה"קיבר-פרטיזני" (סייבר-פרטיזנים), האקרים מתנגדי שלטון לוקשנקו בבלארוס

"בשבוע שעבר, מגזר ההייטק של בלארוס, שהוא מאוד נחשב ויחסית חזק והם עושים דברים די מרשימים, סוג של הצטרף באופן יותר ברור לאופוזיציה. ההייטקיסטים הבטיחו בעצם לזהות כל שוטר כזה, לפרסם את כל הפרטים האישיים שלו, הכתובת, מספר הטלפון, חשבונות ברשתות החברתיות וגם חומר מביך שהם ימצאו כשהם יפרצו למכשירים שלו. אני עוד לא ראיתי כ”כ חומר מביך אבל הרבה פרטים מתפרסמים. הם גם טוענים שהם הצליחו להשיג את רשימת כל השוטרים בבלארוס וכל הפרטים האישיים שלהם”.

בנוסף, האקרים המכנים את עצמם "הסייבר-פרטיזנים של בלארוס" פורצים לאתרי ממשל, מפילים אותם, שותלים בהם רושעות או משחיתים אותם עם לוגו הפרטיזנים וטקסטים נגד השלטון. היום הם הודיעו שיש עוד אתרים על הכוונת, ובהם אתר רשות המסים.

התפרסם במקור בגירסה שונה בפינה "האחראי על האינטרנט" בגלצ


הכופר של אובר: מה קורה כשבאג באונטי משמש לתשלום דמי שתיקה?

באג באונטי – bug bounty במקור – הן תוכניות שבהן ארגון מציע להאקרים למצוא אצלו פירצות אבטחה, לאסגרן בצורה אתית ואחראית ולקבל פרס, בדרך כלל כספי. הדבר נועד למסד את היחסים בין ההאקרים לארגונים, ולאפשר להם לעבוד יחד בלי חשש לפריצות והדלפת מידע מצד ההאקרים ולהליכים משפטיים מצד הארגונים. אחד הארגונים שמפעילים תוכנית באונטי הוא אובר, ששילמו לצמד האקרים 100 אלף דולר על גילוי פירצת אבטחה. זה מה שהם רוצים שנחשוב, בכל אופן.

אובר, פלטפורמת התיווך בין נהגי מוניות ונהגים פרטיים לבין נוסעים, נפלה קורבן לפריצה בשנת 2014, כשהאקרים מצאו את המפתחות לחשבון ה-AWS (שירותי רשת של אמזון) של אובר, וגנבו משם פרטים על 50 אלף נהגים. במרץ 2016 השיקו בחברה תוכנית באג באונטי.

שמונה חודשים לאחר השקת הבאונטי קיבל סמנכ”ל האבטחה של אובר דאז, ג’ו סאליבן, אימייל מהאקר שהזדהה בשם ג’ון דאוז בכתובת [email protected] בשירות האימייל המוצפן והמאובטח פרוטון מייל. מצאתי פירצת אבטחה חמורה אצלכם, סיפר "דאוז", וגם עשיתי דאמפ של הדאטהבייס שלכם ומידע נוסף. בדיקה של צוות אבטחה של אובר העלתה כי ההאקרים השתמשו בפרטי גישה גנובים לגשת לקוד המקור של אובר בגיטהאב, שם מצאו פרטי גישה של דלי AWS והשתמשו בהם להוריד את המידע על לקוחות ונהגי אובר.

סאליבן המבוהל, שכבר היה עמוק בתוך חקירה של ה-FTC (רשות הסחר הפדרלית) על הפריצה מ-2014, מיהר לסמס למייסד ומנכ"ל אובר, טראוויס קלניק, שהוא צריך לדבר איתו על משהו רגיש. השניים קיימו מספר שיחות טלפון, ואחריהן קלניק כתב לו:

צריך להיות בטוחים מה יש לו [להאקר; ע”ק], רגישות/חשיפה של זה ו-ודאות שהוא באמת יכול להתייחס לזה כמצב 🐜 באונטי […] המשאבים יכולים להיות גמישים לצורך סיום הסיפור אבל אנחנו צריכים לתעד זאת בקפדנות.

סמס ממנכ"ל אובר טראוויס קלניק אל סמנכ"ל האבטחה ג'ו סאליבן, 15.11.2016

בעצה אחת של קלניק וסאליבן, ההאקרים קיבלו הצעה לפרס באונטי שמן בגובה 100 אלף דולר, בתמורה למחיקת כל המידע שהורידו ושתיקתם הנצחית, מגובה בהסכם סודיות (NDA). כלומר: לא באונטי, אלא כופר, דמי שתיקה. ההאקרים חתמו בשמותיהם הבדויים, ואובר העבירו להם את הסכום בביטקוין. רק בינואר 2017 הצליחו אובר לגלות את זהותם הארצית של ההאקרים, ושלחו אליהם אנשי אבטחה, להחתים אותם שוב על מסמך הסודיות, הפעם בשמותיהם האמיתיים.

קלניק וסאליבן הסתירו את העיסקה מהנהלת החברה, מה-FTC ומ-57 מיליון המשתמשים ו-500 אלף הנהגים שמידע עליהם נחשף להאקרים – עבירה על החוק בכל מדינות ארה"ב, שמחייב לדווח לאנשים על דליפת מידע מזהה אישי (PII) אודותיהם.

קלניק, שכפי שאפשר לראות הוא לא אדם שראוי לעמוד בראש חברה, נאלץ להתפטר מתפקידו בעקבות שורת שערוריות ודיווחים על סביבת עבודה רעילה. דארה חוסרושאהי החליף אותו באוגוסט 2017, הדירקטוריון של אובר עלה על סיפור הפריצה וסאליבן עוד הספיק לשקר לחוסרושאהי בנושא. חודשיים לאחר מכן, המנכ"ל חוסרושהאי פרסם רשמית ופומבית את דבר הפריצה, התנצל בפני הציבור על "הכשלון שלנו" ופיטר את סמנכ"ל האבטחה סאליבן ועו"ד מהצוות שלו. בעקבות שורת תביעות של התובעים הכלליים של כל מדינות ארה"ב, אובר חתמו על הסכם פשרה ושילמו 148 מיליון דולר.

עם חשיפת הפרשה, סאליבן המפוטר עמד על גירסתו שהתשלום היה פרס באונטי לגיטימי. אולם בכתב האישום שהוגש נגדו השבוע בבית המשפט המחוזי של מחוז צפון קליפורניה, על שיבוש הליכי משפט ואי מניעת פשע, התובעים חולקים על הטענה הזאת. ומפרטים: ההאקרים אמרו שיש בידיהם מידע ודרשו תשלום של שש ספרות; סכום הפרס גבוה מכל אחד מעשרות פרסי הבאונטי שהחברה חילקה לאורך השנים, שממילא מוגבלים ל-10 אלפים דולר לפרס; הנהלת החברה (מלבד המנכ"ל קלניק) לא נחשפה לפרטי הפריצה ולהחלטה להתייחס אליה כבאונטי; ההאקרים נדרשו לחתום על הצהרה שקרית שלפיה לא השיגו ולא שמרו עותק של המידע על המשתמשים והנהגים; והם נדרשו לשמור על סודיות מוחלטת לגבי הפירצה, בניגוד למדיניות הרגילה של הבאג באונטי, שהתירה להאקרים לפרסם את הגילויים שלהם בתיאום עם החברה ואחרי שהפירצה נסגרה.

ג'ו סאליבן באתר אובר

ההאקרים של אובר המשיכו לסחיטת חברות נוספות על ידי פריצה וגניבת מידע. הם נתפסו, הועמדו לדין ובשנה שעברה הודו באשמה, וכעת ממתינים לגזר דינם. אבל הנזק שהם וסאליבן הסבו לאובר מתגמד לעומת הנזק שהם עלולים לגרום לכל הקונספט של באג באונטי, כך לפי משפטנים שהתראיינו לוויירד בנושא. אפילו האקרי כובע לבן בעלי אתיקה וכוונות טובות עלולים לעבור על החוק בזמן שהם מחפשים פירצות במסגרת באג באונטי. זו הסיבה שתוכניות באונטי מכילות סעיפים שבהם הארגון מעניק להאקרים חסינות. אבל לאור כתב האישום של סאליבן, מנהלי אבטחה עלולים להבין שכדי להסיר מעצמם אחריות פלילית, הם צריכים להקטין ראש ולהקריב את ההאקרים לרשויות האכיפה על כל טעות קטנה.

ההאקרים, מצדם, לא ירצו להסתכן בפלילים ויזנחו את תוכניות הבאונטי, כשהם מפנים את השטח להאקרי כובע שחור, שיחפשו פירצות אבטחה בלי להתחשב בכללים ובאתיקה, ויסחטו את הארגון: שלם או שנמכור את הפירצה למרבה במחיר.


התפרסם במקור בגירסה שונה בפינה "האחראי על האינטרנט" בגלצ:
🚗 הפריצה מ-2016 ממשיכה לרדוף את אובר 🛩️ הטיסמולטור של מיקרוסופט בונה מחדש את תל אביב 📻 האחראי על האינטרנט בגלצ 22.8.2020


👨🏼‍⚖️ פירצות סייבראבטחה חמורות באתר השב"ס ועשרות אתרים נוספים

פירצות אבטחה ופרטיות חמורות באתר גיוס עובדים של שב"ס, igips.co.il, איפשרו לגשת למידע פרטי רגיש על אלפי מועמדים לתפקידים בשירות, וכן להשתלט על האתר ולשנות את תכניו. הפירצה קיימת בעשרות אתרים נוספים שנבנו על ידי אותה חברה. דיברנו על כך בפינה "האחראי על האינטרנט" בגלצ עם חוקר הסייבראבטחה נעם רותם, שחשף את הפירצה.

🎧 להאזנה לפינה 🔊

"שירות בית הסוהר קורא לשחרור כל העצירים המנהליים לאלתר", טקסט שנעם רותם שינה באמצעות הפירצה
הודעה על הורדת אתר שב"ס בעקבות הפירצות שגילה נעם רותם

פרטים טכנים על הפרצה אצייץ בשרשור נפרד, למי שמעוניינ/ת, ומשב"ס נמסר: "שב"ס בשיתוף עם הגורמים המוסמכים במדינה המתמודדים עם האירוע על מנת להבטיח את ביטחון מערכות המידע ואת פרטיותם של המצויים במאגר המידע".

הסיסמה של "מנהל-העל", אגב, היתה פשוט שם המשתמש שלו.

— Noam R (@noamr) April 25, 2018

טוב, כמובטח, שרשור טכני על הפרצה באתר שירות בתי הסוהר, ולמה אני מאמין שמדובר ברשלנות שכבר חצתה את גבול הפלילי. אני לא חושף את כל המידע כדי לא לאפשר שחזור של החולשות, אבל כל הפרטים במלואם נשלחו לשב"ס עם צעדים לשחזור והמלצות לפעולה.
נתחיל:

— Noam R (@noamr) April 25, 2018

____________________
תמונה ראשית: 🖼️ Лечение наркомании