מחבר: עידו קינן

גודדי הבטיחה בונוס לעובדים ואז נזפה בהם על שנפלו בפח

בסוף שנה ארורה כמו 2020, כיף לקבל מהמעסיק אימייל שמודיע לך על בונוס חמוד, כמו זה שקיבלו עובדי גודדי:

ספק רישום הדומיינים הגדול בעולם, עם כ-80 מיליון דומיינים, הבטיח בונוס של 650$ לעובדים שיקליקו על הלינק של אזור מגוריהם וימלאו את הפרטים הנדרשים. הם קיבלו ארבעה ימים, ואזהרה שמי שלא יירשם בזמן יפסיד את הכסף.

500 העובדים שמילאו את הטופס לא קיבלו בונוס. במקומו, הם קיבלו נזיפה מהסיסו של גודדי, דמטריוס קאמז:

קיבלת את האימייל הזה כי נכשלת במבחן הדיוג שערכנו לאחרונה. יהיה עליך לעבור מחדש את הכשרת ההנדסה החברתית למודעות אבטחה.

הודעת הבונוס היתה למעשה הדמייה של דיוג, כך חשף ה-Copper Courier.

דיוג (פישינג, phishing) הוא נסיון להשיג מאנשים פרטים אישיים, ובהם לעתים שמות משתמש וסיסמאות, לצורך גניבת זהות, פריצה למערכות ממוחשבות וכדומה. הדייגנים עושים שימוש בהנדסה חברתית, כלומר מציאת חולשות אבטחה אצל בני אדם כדי לגרום להם לתת את המידע – למשל, הבטחה לכסף תמורת הקלקה על לינק ו/או מסירת פרטים אישיים. מה שגודדי עשו הוא הדמייה של דיוג לצורך בדיקת ערנות העובדים, מהלך שחברות אחראיות מבצעות מפעם לפעם כדי להטמיע נהלי אבטחת מידע בקרב העובדים.

כרשם הדומיינים הגדול בעולם, גודדי הם מטרה נחשקת להאקרים שרוצים להשתלט על דומיינים כווקטור לתקיפות שונות. בלוג הסייברסייבר של בראיין קרבז הזכיר כמה פריצות משמעותיות שגודדי ספגו השנה: במרץ, האקר ביצע דיוג-ממוקד טלפוני של נציג שירות לקוחות והסיט את התעבורה של אתר Escrow.com לכתובת איי.פי במלזיה; באפריל, החברה גילתה שפירצת אבטחה מאוקטובר 2019 (!) סיכנה חשבונות אחסון של 28 אלף לקוחות של החברה; ובנובמבר, האקרים דייגו מספר עובדים בגודדי והביאו להסטת תעבורה של מספר פלטפורמות לסחר בקריפטומטבעות. כך שהחשש של גודדי מפני דיוג אמיתי, והצורך באימון העובדים קריטי.

אלא שעם הפרסום, החברה חטפה ביקורת על הדרך שבה בוצע המהלך, עם חוסר הרגישות שבנפנוף בונוס שקרי מול העובדים, ובפרט בתקופת החגים ותחת הלחץ וחוסר הוודאות של המגיפה. זאת, רק חצי שנה אחרי שהחברה הודיעה על פיטורים/העברה מתפקיד של מאות עובדים במחלקת המכירות, בדיוק ברבעון שבו הודיעה על גידול שיא במספר הלקוחות.

בנוסף, האימייל נשלח מכתובת בדומיין של גודדי – [email protected] – אמנם לא דבר בלתי אפשרי לזיוף, אבל כזה שמגביר את תחושת האמינות. מצד שני, אפשר לטעון שעובדים צריכים להיזהר גם מאימיילים שמגיעים לכאורה מכתובת ששייכת למעסיק. ומצד שלישי – המעסיק, במיוחד גוף טכנולוגי גדול כמו גודדי – צריך לעצור אימיילים כאלו עוד לפני שהם מגיעים לעובדים.

דובר גודדי מסר לגיזמודו:

גודדי לוקחת מאוד ברצינות את אבטחת הפלטפורמה שלנו. אנחנו מבינים שחלק מהעובדים לא היו מרוצים מנסיון הדיוג וחשו שהוא היה לא רגיש, ועל כך התנצלנו. בעוד הבדיקה חיקתה נסיונות אמיתיים שנמצאים היום בשימוש, אנחנו צריכים להשתפר ולהיות יותר רגישים לעובדים שלנו.

החברה לא השיבה אם בכוונתה לפצות את העובדים באמצעות חלוקת הבונוס המובטח.

________________________
התפרסם במקור בפינה “האחראי על האינטרנט”. 🖼️ mikkooja1977


פרשת #משטריגול: שאילתה לשר, מדריך פרטיות לגולשות

הבוקר חשפנו כאן בסייברסייבר ביחד עם עודד ירון מערכת משטרתית למעקב והסטת תעבורת רשת. מספר התפתחויות בנושא: השר לבטחון פנים יצרך לתת תשובות על הפרשה, מדריך טכני מפורט יסייע לגולשות להקשות על המשטרה לעקוב אחריהן ולבצע מניפולציות על הגלישה שלהן, ויש גם מאפים.

המשטרה מסרה באין-תגובתה לחשיפה שהיא “פועלת על פי הסמכויות המוקנות לה בחוק ומפעילה רק אמצעים המותרים לה על פיו” – מה שאמור להיות מובן מאליו, ואינו משיב על השאלות שהעלינו. במשרד ראש הממשלה בכלל לא השיבו. כעת ייאלץ השר לבט”פ אמיר אוחנה, להשיב על שאילתה בנושא. את השאילתה הגיש ח”כ משה ארבל (ש”ס), שמוכר כמי שמוביל מאבק לשמירה על זכותם של עצירים שלא להיאזק ואף מגיע לביקורות פתע בבתי משפט.

ח”כ משה ארבל (ש”ס) 🖼️ נחלת הכלל

בשאילתה כתב ארבל:

מדובר לכאורה בפגיעה חמורה שלא כדין בפרטיותם של אלפי אזרחים ישראלים ובפגיעה חמורה בחופש הביטוי בשל החשש לאפקט מצנן על הזכות להתבטא בחופשיות ברשת. כל זאת נעשה במחשכים, ללא היתר חוקי מפורש ומבלי שנערכה ביקורת פרלמנטרית מסודרת על מדיניות שמסתמנת כאחת האחראיות המרכזיות להפרת זכויות במדינת ישראל.

ח”כ ארבל שאל את השר אוחנה:

1) האם הפרסום נכון ומהי מדיניות המשטרה בנוגע למעקב אחר גלישה ברשת?
2) מכוח איזה חוק רשאית המשטרה לבצע פעילויות מעקב ברשת, מי במשטרה אחראי על הפעלת המדיניות ואישר אותה?
3) מהו היקף המעקב ברשת בשנה האחרונה והאם אושר ע”י הייעוץ המשפטי לממשלה?

על פי חוק, השר חייב להשיב על השאילתה תוך 21 יום.

עד שהמשטרה תאולץ להשיב ואולי אף להגביל את המעקב, ידיד סייברסייבר רן בר-זיק פרסם מדריך מפורט לגולשות כיצד להקשות על המשטרה לעקוב ולבצע מניפלציות על הגלישה (והמאזין דן פלג אימלק באמצעות מאפים).

לחמי IP, DNS ו-TOR 🖼️ דן פלג

טיפים נוספים לשמירה על פרטיות דיגיטלית אפשר למצוא בפרק “הפתרון למעקב בחסות הקורונה: קריפטופארטי” (ע02פ22).


שירביט שידרגו את האבטחה לשיר256ביט 🚨🚨🚨🚔👮

אומת הרשת נתנה עבודה בפרשת הסייברפריצה לסוכנות הביטוח שירביט. הנה כמה מהבדיחות שאהבתי. מוזמנים לשלוח עוד בשלל אמצעי ההתקשרות שמופיעים באתר, או להזעיק את משטרת בדיחות האבא.

אביב מזרחי
אביב מזרחי
בדיחת שירביט. יוצר לא ידוע
יוצר לא ידוע
בדיחת שירביט. יוצר לא ידוע
יוצר לא ידוע
דן גורן, BezimSheli1984
דור צח
מיינה
רשף שי
גידי גורן
תומר שרון
שגיא בן צדף
דין לנגזם
השרה לענייני צילום חתולים
Image
רם גלבוע
Image
שלומי פרץ
בדיחת שירביט - רן לוקאר והראל דן
רן לוקאר והראל דן
בדיחת שירביט - יאיר קיבייקו
יאיר קיבייקו
רן בר-זיק
וכמה מהתגובות לבר-זיק
ואני
משטרת בדיחות האבא
כולכם עצורים. עלו לניידת!

גוגל סטריט ויו מסתיר את בית ראש הממשלה בקיסריה, ובכך חושף את ראש הממשלה לאיום ביטחוני מצד ארגוני הטרור!

חשיפת מידע רגיש לא חייבת לקרות בצורה של פרסום המידע עצמו. לפעמים מידע רגיש נחשף גם בגלל אי-פרסומו. למשל: אם אני מחתים כרטיס נוכחות כל יום בעבודה, אפשר לדעת באילו ימים ושעות הייתי שם. אבל אם ביום שני לא העברתי את הכרטיס – היעדר המידע הוא למעשה מידע, שאומר שלא הייתי במשרד ביום שני, או הייתי אבל ניסיתי להסתיר זאת ולא העברתי כרטיס. משיודעים זאת, אפשר לנסות לברר אם הייתי או לא, על ידי בדיקת מצלמות מעקב, חקירת עמיתים לעבודה וכיוצא בזה.

דוגמה יפה להעברת מידע באמצעות החסרת מידע היא הדרך הערמומית שבה ספרנים בארה”ב עקפו תוכנית של ה-FBI למעקב אחרי המבקרים בספרייה תוך הסתרת המעקב באמצעות איסור פרסום לפי חוק הפטריוט. מאחר שהחוק אסר על ספרנים לספר שה-FBI היה בספרייה או ביקש מידע על מבקרים, הם תלו בספריות שלטים בנוסח “ה-FBI לא היה פה. שימו לב היטב אם השלט הזה יוסר”.

דוגמה נוספת היא האופן שבו גוגל חושפים מקומות רגישים בטחונית בישראל. נזכרתי בכך בזכות הודעה ששלחה פעילת הביביסטים אורלי לב לפעילים אחרים, שבה היא קוראת להם להגיע להפגנה ליד בית משפחת פרקש בקיסריה (בטענה שמשפחת פרקש אירחה בביתה, הסמוך לבית ראש הממשלה, פעילים אנטי-ביביסטים, ובכך איפשרה להם לעקוף איסור להפגין ליד בית ראש הממשלה). לב צירפה מפת גוגל שבה סימנה בעיגול אדום את בית פרקש.

ההודעה של אורלי לב עם מפת גוגל שבה מסומן בכחול בית משפחת נתניהו

הפעיל האנטי-ביביסט גונן בן יצחק פרסם צילום של ההודעה וכתב: “במפות גוגל הנקודה הכחולה מסמלת את המיקום של מי שפתח את המפה לניווט. במקרה של המפה שאורלי לב שולחת לפעילים, הנקודה הכחולה נמצאת בבית משפחת נתניהו בקיסריה”. ואילו לדברי הפעיל האנטי-ביביסטי נרי ירקוני, “מי שחיפש שהה *באותו הרגע* בבית נתניהו בקיסריה (עיגול כחול)”. נדמה לי שמבין השניים, ירקוני מדייק: מי שצילמסך את המפה עשה זאת כשהוא נמצא בבית משפחת נתניהו או בסביבתו הקרובה.

כך או כך, יאיר נתניהו, שהינו אדם פרטי ולכן באופן טבעי מוסר תגובות בשם ראש הממשלה, אמר בתגובתו כי

גונן בן יצחק עשה דבר חמור ביותר כשפרסם לכל העולם בציוץ בטוויטר את מפת גוגל שמראה את מיקומו המדויק של בית ראש הממשלה בקיסריה, ובכך חשף את ראש הממשלה לאיום ביטחוני מצד ארגוני הטרור..

וויינט, 21.11.2020
תגובת יאיר נתניהו בחדשות 12 לפרסום של גונן בן יצחק

הטענה הזאת מקושקשת: כתובת בית משפחת נתניהו “פורסמה פעמים רבות בעבר גם באישור הצנזורה, וניתן למצוא אותה בקלות בגוגל”, כפי שנכתב בוויינט. אבל היא מספקת הזדמנות להזכיר שגוגל פרסמו בעקיפין רשימה של כתובות שיש סיכון בטחוני בצילומן, כולל ביתו של ראש הממשלה ובנו, האיש הפרטי; וכי מי שהעביר את הרשימה הרגישה הזאת לגוגל, חברה פרטית לא-ישראלית, היא מדינת ישראל.

באפריל 2012 השיקו גוגל בישראל את גוגל סטריט ויו, שירות שמציג תצלומי רחובות ובתים על מפות גוגל. לפני ששלחו את ניידות הצילום להסתובב ברחובות ישראל, גוגל נדרשו לקבל אישורים רשמיים, ובהם אישור ועדת שרים בראשות דן מרידור, שבחנה את ההיבטים הביטחוניים. המדינה התירה לגוגל לצלם ברחובות ישראל, אך דרשה מהחברה להימנע מצילום סביב אתרים רגישים בטחונית. כדי שגוגל ידעו איפה אסור לצלם, הם קיבלו מהמדינה רשימת כתובות רגישות שאסורות בצילום.

כדי לגלות אילו אתרים נחשבים רגישים בעיניי מדינת ישראל, כל מה שגולשת צריכה לעשות זה לגרור את אייקון האיש הצהוב מעל מפות גוגל באזורים שונים בישראל, ולראות סביב אילו כתובות ובתים אין קווים כחולים שמעידים שהאזור צולם. למשל: הבסיס הצבאי הקריייה בתל אביב, ובאופן משונה גם מצודת זאב. אחר כך הגולשת יכולה לחפש את אותם אזורים בשירותי מפות אחרים, תצלומי לווין או בסיור פיזי במקום.

אם הגולשת תגרור את האיש הצהוב מעל מפת קיסריה, היא תגלה קטעי רחוב בודדים שלא צולמו, ועל כבישיהם לא מופיע קו כחול – למשל, נתח בחלק הצפוני של רחוב הדר, סביב בית מספר 69. מעניין מי מסתתר שם.

רחובות קיסריה הזמינים בגוגל סטריט ויו
החתיכה החסרה פוגשת את O הגדול

עיתונאי פלש לווידאוצ’ט של שרי ההגנה של אירופה אחרי שהשרה ההולנדית חשפה את הסיסמה בטוויטר

מאז שמגיפת הקורונה שינתה את חיינו, צילומסכים של קוביות עם פרצופים הפכו לחלק מהשפה החזותית שלנו, בין אם מדובר בזום עם חברים או בוובקס עם העמיתים לעבודה. שרת ההגנה ההולנדית, אנק ביילפלד (Ank Bijleveld), צייצה ביום שישי צילומסך של שיחת וידאו שבה השתתפה, במסגרת פגישת שרי ההגנה האירופים במועצת יחסי החוץ של האיחוד האירופי. זמן קצר לאחר מכן התחרטה ומחקה את התמונה, אבל זה כבר היה מאוחר מדי: איש זר פלש לווידאוצ’ט והביא לפיצוץ הפגישה.

אותו פולש אכזר הוא העיתונאי ההולנדי דניאל ורלאן (Daniël Verlaan) מ-RTL Nieuws. הוא קיבל טיפ אנונימי שהתמונה שהעלתה ביילפלד מכילה ב-URL (כתובת האתר) שם משתמש ו-5 מתוך 6 ספרות של הפינקוד הנדרש לכניסה לשיחה. ורלאן ניסה כמה מספרים עד שהגיע לפינקוד הנכון.

בשלב הזה צריך היה להיות אמצעי הגנה נוסף, שעליו התחייבו מנהלי השיחה בהודעה מוקדמת למשתתפים. אבל ורלאן לא נתקל בשום הגנה כזאת – הוא נכנס ישר לשיחה, נופף לשלום לשרי ההגנה המופתעים והצוחקים, הציג את עצמו וניהל שיחה קצרה עם הנציג העליון של האיחוד לענייני חוץ ומדיניות ביטחון, ג’וזפ בורל. זה צחק במבוכה ושאל את ורלאן אם הוא מודע לכך שזו עבירה פלילית, ואז ביקש ממנו לעזוב את השיחה במהירות, לפני שהמשטרה תגיע.

ביילפלד, כאמור, מחקה את הציוץ. דובר מטעם משרד ההגנה ההולנדי מסר ל-RTL כי “עובד צייץ בטעות תמונה עם חלק מהפינקוד. התמונה נמחקה לאחר מכן. טעות טפשית. זה מראה לך כמה צריך להיות זהירים כששולחים תמונה מפגישה”. אפילו ראש הממשלה מארק רוטה התייחס לדברים ואמר: “התוצאה היחידה של זה היא שביילפלד הראתה לשרים האחרים כמה צריך להיזהר”.

במועצה אמרו ששום מידע סודי לא נידון בישיבה (בפוליטיקו דיווחו שעלה לדיון מסמך מסווג על הסכנות שעומדות בפני האיחוד האירופי, שישמש בסיס לאסטרטגיית הגנה עתידית של האיחוד האירופי). עוד אמרו במועצה כי יגישו תלונה לרשויות.

הצילומסך שצייצה אנק ביילפלד. RTL Nieuws הסתירו את פרטי ההתקשרות 🖼️ ורלאן
הצילומסך שצייצה אנק ביילפלד. RTL Nieuws הסתירו את שם המשתמש והסיסמה 🖼️ ורלאן

ורלאן סיכם:

> כעיתונאי, אתה צריך להביא ראיות חותכות אחרת ישקרו לך (‘לא, יש אמצעי הגנה נוספים, לא יתנו לך גישה’)
> הם מעדיפים לפגוע בעיתונאי מאשר לתקן את החרא שלהם

דניאל ורלאן בטוויטר, 20.11.2020

התפרסם במקור בגירסה שונה בפינה “האחראי על האינטרנט” בגלצ


ווינד מתקדמים מקורקינטים למאגר ביומטרי

הכתב כרמל ליבמן דיווח בשמחה בחדשות 2 כלשהן על “מהלך שיציל חיים? הטכנולוגיה החדשה שתמנע מילדים לשאול את הקורקינטים השיתופיים”. כותרת מדוייקת יותר מופיעה בראש פוסט זה.

החוק בישראל מתיר רכיבה על קורקינט ממונע מגיל 16 ומעלה, אולם בפועל רוכבים גם צעירים יותר, אם בקורקינטים פרטיים ואם במושכרים. חברות השכרת-הקורקינטים-ללא-מגע-יד-אדם, ווינד, ברד וליים, ניסו למנוע מצעירים לשכור קורקינטים על ידי שכירת עובדים שיבדקו את גיל השוכרים הקמת מאגר מידע על הנוסעים, שבו הם נדרשים לסרוק תעודת זהות או רשיון נהיגה כדי לאמת את גילם.

ההגנה קלה מאוד לפריצה. לא רק שבני פחות מ-16 יכולים לסרוק תעודה של אדם אחר ולשכור קורקינט, אלא שאפילו לא צריך תעודה אמיתית, כפי שדיווחו אותן חדשות 2 כלשהן בפברואר השנה:

בבדיקה סרקנו רישיון נהיגה פיקטיבי שמצאנו בגוגל, כשמספר תעודת הזהות הוא 123456789 – והקורקינט היה זמין לרכיבה. החברות דורשות להזין גם כרטיס אשראי אבל הדבר לא באמת מעיד על גיל הנהג, מכיוון שאפשר לשאול כרטיס אשראי מאדם מבוגר.

בווינד מטמיעים עכשיו פתרון חדש: זיהוי פנים (כמובן שהוא “מבוסס בינה מלאכותית”, לפי מנכ”ל ווינד ישראל, יוחאי עבאדי). בקומוניקט של ווינד נכתב כי

טכנולוגיית זיהוי הפנים נלקחה מתחום הבנקאות כדי לאמת את זהות הלקוח כשהמערכת עושה השוואה של תווי הפנים של הלקוח עם התמונה ברישיון הנהיגה שלו.

[…]

הזיהוי יבוצע כך: כל משתמש יתבקש לסרוק את רישיון הנהיגה שלו בעת ההרשמה לאפליקציה. המשתמש יתבקש לצלם תמונה של פניו ולשלוח כדי שתתבצע ההתאמה של תווי פניו לתמונתו ברישיון הנהיגה. בשלב הראשון, המערכת לזיהוי פנים תאשר את המשתמש תוך 20 דקות בלבד, כך שמהלך אישור המשתמש יקוצר מ-48 שעות כיום ל-20 דקות בלבד לאחר יישום הטכנולוגיה. בשלב השני, ולאחר שהמערכות תעבור את הבקרות המתאימות, יאושרו המשתמשים באופן מיידי. במידה וזוהתה בעיה, העניין יועבר לאישור ידני.

קומוניקט ווינד ישראל, 14.10.2020

כלומר, ווינד ישראל מקימים מאגר ביומטרי של תמונות פנים. גם לקוחות קיימים יצורפו לתוכנית: “החברה תריץ את היישום החדש על כל בסיס המשתמשים של החברה בישראל”. אני באופן אישי מרגיש עכשיו הרבה יותר בטוח, אבל אולי זה כי מעולם לא שכרתי קורקינט מווינד.

הדגמת של פיצ’ר זיהוי הפנים של ווינד קורקינטים 🖼️ יחץ ווינד ישראל

לעתים, קורקינטים שיתופיים הם שיתופיים מדי, וסובלים מפירצות אבטחה ופרטיות. בסייברסייבר ע02פ21 דיברנו עם אמיר שלדובסקי מחברת אימפרבה, שחקר וגילה דליפות מידע מקורקינטים שיתופיים שחושפים מידע על עצמם, על המפעילים ועל הרוכבים, כולל אפשרות מעקב גאוגרפי אחרי הרוכבים.


חולדאי דולף

ראש מדינת תל אביב, רון חולדאי, הכריז בתחילת החודש שהוא מתכוון להתמודד בבחירות הארציות, כי אף פעם אין מספיק גנרלים שרוצים לרוץ לראשות הממשלה מטעם השמאל המרכזי. בשבוע הראשון למועמדותו-מטעם-עצמו הוא הספיק לעשות שתי טעויות סייברסייבר: לדלוף מידע שהתכוון לשמור בפרטיות, ולסמן את המידע הזה לטובת מי שהתקשה למצוא אותו.

העיתונאית טל שניידר חשפה את הדליפה: בוק צילומי סטודיו של הראיס, ככל הנראה כהכנה לקמפיין הבחירות הארצי (הבחירות המוניציפליות הבאות רק ב-2023). התמונות הועלו לאלבום “פורטרט ראש העיר – לא לפרסום” בפליקר של עיריית תל אביב, שעדיין קיים ואף מתעדכן לטובת 48 עוקביו (לא פספסתי את המילה אלף, מדובר בארבעים ושמונה אנשים).

הטעות הראשונה היא, כמובן, העלאת האלבום לפליקר כשהוא לא מיועד לפרסום. פליקר מאפשרים לקבוע עבור כל תמונה ותמונה אם היא פרטית, לחברים/משפחה או ציבורית. יתכן שאיש הסושיאל חשב בטעות שהוא מעלה אותן כפרטיות (וזו לא תהיה הטעות המביכה הראשונה שלו [אלא אם הדליפה של אלבום הבחירות היתה מכוונת, כדי לייצר עוד יח”ץ לריצתו העתידית]).

“נאבקים בקורונה […] באים ונדבקים”, תקלדה חמודה בפייסבוק של רון חולדאי

העלאת מידע פרטי/סודי באופן גלוי באינטרנט היא בעיה נפוצה מאוד, בגלל הסתמכות על אחסון ענן ומורכבות הגדרות הפרטיות ומתן ההרשאות. למשל: הקמת קבוצת וואטסאפ לעבודה ושלחת לינק הצטרפות בתפוצת נאט”ו משרדית? גולשים זרים עלולים להגיע אליה דרך חיפוש גוגל.

הטעות השנייה היא המילים “לא לפרסום” בשם האלבום, משתי סיבות:

1) הן מסמנות את התמונות כבעלות חשיבות וסודיות. גולשת שהיתה רואה את האלבום הזה בלי המילים “לא לפרסום” עשויה היתה לדלג עליהן משעמום ולפספס את הסיפור.

2) הן מנגישות את התמונות לחיפוש שממוקד במסמכים סודיים. לכו למנוע חיפוש, חפשו קבצי דוק/פדף עם המחרוזת “סודי ביותר” או “לא לפרסום” ותגלו עולם שלם של דליפות מידע.


אין ברכה בפריצה בשבת

רשות מקרקעי ישראל מצפה מהאקרים שפורצים אליה לשמור שבת, כי היא מקור הברכה.

הרשות פרסמה לאחרונה את מכרז 453-2020 (פדף) לקבלת שירותי אבטחת מידע וסייברסייבר. מכיוון שמדובר ברשות ממלכתית במדינה יהודית ודמוקרטית, המכרז מבהיר כי הספק לא יספק שירותי סייברסייבר בשבת.

מרכז 453-2020 לשירותי אבטחת מידע וסייבר עבור רשות מקרקעי ישראל
מכרז 453-2020 לשירותי אבטחת מידע וסייבר עבור רשות מקרקעי ישראל

היינו מצפים ש-SOC (חמ”ל סייברסייבר) של משרד ממשלתי של מדינה שמהווה מטרה להאקרים מרחבי המרחב יפעל 24/7/365. אבל עמי רוחקס דומבה דיווח בישראל דיפנס כי בפועל, הספק נדרש לפעול רק בימי חול, ולפני ואחרי כניסת שבת/חג. במספר מקומות במכרז מפורט כי

בנוסף למתן השירותים על פי שעות עבודה כאמור לעיל, הרשות תהא רשאית להזמין הפעלת תמיכה וצוות התגובה 24 שעות ביממה בימים א’ עד ה’ וימי שישי וערבי חג עד שעתיים לפני  שבת/חג ובמוצאי שבת וחג משעתיים לאחר צאת שבת/חג, וכן עבור פתרון תקלות ו/או התקפות על הארגון, כולל אסקלציה מול ספקים אחרים.

שמירת שבת כשירות (SSaaS, Shomer Shabbos as a Service) מוצעת לאתרים שמעוניינים למנוע מגולשים לחלל אצלם שבת. האתגר הוא להתאים את מועדי סגירת האתר למועדי כניסת ויציאת השבת בשעון המקומי של הגולשת – או לסגור את האתר מכניסת השבת המוקדמת ביותר ועד יציאתה המאוחרת ביותר. וכפי שמסביר ספק ה-SSaaS “שומר שבס“, “השבת באינטרנט אורכת כ-50 שעות!”

אתר ה-SSaaS “שומר שבס

לא רק אתרים פרטיים ומסחריים מקיימים את מצוות “וּבַיּ֥וֹם הַשְּׁבִיעִ֖י תִּשְׁבֹּ֑ת לְמַ֣עַן יָנ֗וּחַ שֽׁוֹרְךָ֙ וַחֲמֹרֶ֔ךָ וְיִנָּפֵ֥שׁ בֶּן־אֲמָתְךָ֖ וְהַגֵּֽר”. גל מור דיווח בוויינט ב-2005 כי אתר התשלומים של הביטוח הלאומי נסגר מדי שבת, ולא ניתן לשלם באמצעותו.

בדיעבד, אולי זה היה נסיון חדשני ופורץ דרך למנוע מהאקרים גויים לגנוב את הכסף?


הסייברפרטיזנים נגד נשיא בלארוס

אלכסנדר לוקשנקו, נשיא בלארוס, מכונה “הדיקטטור האחרון באירופה” (בניכוי פוטין, אני מניח). הוא משמש כנשיא כבר יותר מרבע מאה, כשמתנגדיו טוענים שהוא ניצח באופן דמוקרטי רק בראשונה מבין 6 מערכות הבחירות שבהן זכה, האחרונה שבהן ב-9 באוגוסט השנה. כשהכריז על נצחונו הסוחף עם מעל 80% מהקולות, המחאה התפרצה. בתגובה, לוקשנקו סגר להם את האינטרנט.

האינטרנט משמשת אזרחים לבקר את השלטון ולארגן מחאות נגדו. חסימת האינטרנט נשלפת תכופות מארגז הכלים של השתקת מחאה. הודו רשמה בתחילת השנה שיא מפוקפק של חסימת האינטרנט הארוכה ביותר בתולדותיה הקצרים של הרשת – כחצי שנה – במטרה למנוע מחאה על ביטול המעמד המיוחד של חבל ג’אמו וקשמיר.

ואם הדמוקרטיה הגדולה בעולם חוסמת את הרשת כדי לסתום פיות, הרי ששלטונו של לוקשנקו אפילו לא מצמץ כשכיבה את האינטרנט ל-72 שעות – או כמו שהשלטון מתאר זאת, התקפת סייבר חיצונית/מתקפת DDoS.

שוטרים מפנים מפגין 🖼️  Clker-Free-Vector-Images
שוטרים מפנים מפגין 🖼️ Clker-Free-Vector-Images

באופן טבעי, המוחים פנו ל-VPN, כלי לגלישה מוגנת ומוסתרת, שמשמש לעקיפת גאוחסימה ושאר חסימות. יישומוני ה-VPN כבשו את ארבעת המקומות הראשונים בפופולריות בגוגל סטור באותו יום – וזה רק ממי שהצליח להיכנס אליה, משום שלפי דיווח של טניה לוקשינה מארגון זכויות האדם Human Rights Watch, “נראה שהממשלה חוסמת את חנויות אפל וגוגל”.

המוחים לא התייאשו ופנו אופליינה: “היית רואה אנשים במעלית פשוט משאירים החסני USB עם קבצי גישה ל-VPN”, אמר לגיזמודו מקסימס מילטה מאוניברסיטת Belarusian European Humanities. אבל גם זה לא תמיד עזר, לפי לוקשינה: “רבים מאלו שיש להם גישה לכלי עקיפת צנזורה, כמו VPNים, מגלים שהטכנולוגיות הללו נחסמות גם כן“.

האופוזיציה, המצויידת בהאקרים, הכריזה על סייברמלחמה, מספר שלום בוגוסלבסקי, מדריך ומארגן סיורים וכותב ומרצה על ההיסטוריה והפוליטיקה של מזרח אירופה, שעוקב אחרי המחאה דרך הרשתות: “אחד הדברים שהכי עובדים עליהם זה לנסות למצוא כמה שיותר תצלומים של שוטרים אלימים ואנשים שמשתתפים בדיכוי המחאה. האזרחים מתבקשים לשים מצלמות מעקב, לתלוש מסכות משוטרים ולצלם אותם מכמה שיותר זוויות. יש ערוצי טלגרם שאליהם שולחים את זה ובוטים שאוספים את כל העניין הזה.

לוגו ה"קיבר-פרטיזני" (סייבר-פרטיזנים), האקרים מתנגדי שלטון לוקשנקו בבלארוס
לוגו ה”קיבר-פרטיזני” (סייבר-פרטיזנים), האקרים מתנגדי שלטון לוקשנקו בבלארוס

“בשבוע שעבר, מגזר ההייטק של בלארוס, שהוא מאוד נחשב ויחסית חזק והם עושים דברים די מרשימים, סוג של הצטרף באופן יותר ברור לאופוזיציה. ההייטקיסטים הבטיחו בעצם לזהות כל שוטר כזה, לפרסם את כל הפרטים האישיים שלו, הכתובת, מספר הטלפון, חשבונות ברשתות החברתיות וגם חומר מביך שהם ימצאו כשהם יפרצו למכשירים שלו. אני עוד לא ראיתי כ”כ חומר מביך אבל הרבה פרטים מתפרסמים. הם גם טוענים שהם הצליחו להשיג את רשימת כל השוטרים בבלארוס וכל הפרטים האישיים שלהם”.

בנוסף, האקרים המכנים את עצמם “הסייבר-פרטיזנים של בלארוס” פורצים לאתרי ממשל, מפילים אותם, שותלים בהם רושעות או משחיתים אותם עם לוגו הפרטיזנים וטקסטים נגד השלטון. היום הם הודיעו שיש עוד אתרים על הכוונת, ובהם אתר רשות המסים.

התפרסם במקור בגירסה שונה בפינה “האחראי על האינטרנט” בגלצ


הכופר של אובר: מה קורה כשבאג באונטי משמש לתשלום דמי שתיקה?

באג באונטי – bug bounty במקור – הן תוכניות שבהן ארגון מציע להאקרים למצוא אצלו פירצות אבטחה, לאסגרן בצורה אתית ואחראית ולקבל פרס, בדרך כלל כספי. הדבר נועד למסד את היחסים בין ההאקרים לארגונים, ולאפשר להם לעבוד יחד בלי חשש לפריצות והדלפת מידע מצד ההאקרים ולהליכים משפטיים מצד הארגונים. אחד הארגונים שמפעילים תוכנית באונטי הוא אובר, ששילמו לצמד האקרים 100 אלף דולר על גילוי פירצת אבטחה. זה מה שהם רוצים שנחשוב, בכל אופן.

אובר, פלטפורמת התיווך בין נהגי מוניות ונהגים פרטיים לבין נוסעים, נפלה קורבן לפריצה בשנת 2014, כשהאקרים מצאו את המפתחות לחשבון ה-AWS (שירותי רשת של אמזון) של אובר, וגנבו משם פרטים על 50 אלף נהגים. במרץ 2016 השיקו בחברה תוכנית באג באונטי.

שמונה חודשים לאחר השקת הבאונטי קיבל סמנכ”ל האבטחה של אובר דאז, ג’ו סאליבן, אימייל מהאקר שהזדהה בשם ג’ון דאוז בכתובת [email protected] בשירות האימייל המוצפן והמאובטח פרוטון מייל. מצאתי פירצת אבטחה חמורה אצלכם, סיפר “דאוז”, וגם עשיתי דאמפ של הדאטהבייס שלכם ומידע נוסף. בדיקה של צוות אבטחה של אובר העלתה כי ההאקרים השתמשו בפרטי גישה גנובים לגשת לקוד המקור של אובר בגיטהאב, שם מצאו פרטי גישה של דלי AWS והשתמשו בהם להוריד את המידע על לקוחות ונהגי אובר.

סאליבן המבוהל, שכבר היה עמוק בתוך חקירה של ה-FTC (רשות הסחר הפדרלית) על הפריצה מ-2014, מיהר לסמס למייסד ומנכ”ל אובר, טראוויס קלניק, שהוא צריך לדבר איתו על משהו רגיש. השניים קיימו מספר שיחות טלפון, ואחריהן קלניק כתב לו:

צריך להיות בטוחים מה יש לו [להאקר; ע”ק], רגישות/חשיפה של זה ו-ודאות שהוא באמת יכול להתייחס לזה כמצב 🐜 באונטי […] המשאבים יכולים להיות גמישים לצורך סיום הסיפור אבל אנחנו צריכים לתעד זאת בקפדנות.

סמס ממנכ”ל אובר טראוויס קלניק אל סמנכ”ל האבטחה ג’ו סאליבן, 15.11.2016

בעצה אחת של קלניק וסאליבן, ההאקרים קיבלו הצעה לפרס באונטי שמן בגובה 100 אלף דולר, בתמורה למחיקת כל המידע שהורידו ושתיקתם הנצחית, מגובה בהסכם סודיות (NDA). כלומר: לא באונטי, אלא כופר, דמי שתיקה. ההאקרים חתמו בשמותיהם הבדויים, ואובר העבירו להם את הסכום בביטקוין. רק בינואר 2017 הצליחו אובר לגלות את זהותם הארצית של ההאקרים, ושלחו אליהם אנשי אבטחה, להחתים אותם שוב על מסמך הסודיות, הפעם בשמותיהם האמיתיים.

קלניק וסאליבן הסתירו את העיסקה מהנהלת החברה, מה-FTC ומ-57 מיליון המשתמשים ו-500 אלף הנהגים שמידע עליהם נחשף להאקרים – עבירה על החוק בכל מדינות ארה”ב, שמחייב לדווח לאנשים על דליפת מידע מזהה אישי (PII) אודותיהם.

קלניק, שכפי שאפשר לראות הוא לא אדם שראוי לעמוד בראש חברה, נאלץ להתפטר מתפקידו בעקבות שורת שערוריות ודיווחים על סביבת עבודה רעילה. דארה חוסרושאהי החליף אותו באוגוסט 2017, הדירקטוריון של אובר עלה על סיפור הפריצה וסאליבן עוד הספיק לשקר לחוסרושאהי בנושא. חודשיים לאחר מכן, המנכ”ל חוסרושהאי פרסם רשמית ופומבית את דבר הפריצה, התנצל בפני הציבור על “הכשלון שלנו” ופיטר את סמנכ”ל האבטחה סאליבן ועו”ד מהצוות שלו. בעקבות שורת תביעות של התובעים הכלליים של כל מדינות ארה”ב, אובר חתמו על הסכם פשרה ושילמו 148 מיליון דולר.

עם חשיפת הפרשה, סאליבן המפוטר עמד על גירסתו שהתשלום היה פרס באונטי לגיטימי. אולם בכתב האישום שהוגש נגדו השבוע בבית המשפט המחוזי של מחוז צפון קליפורניה, על שיבוש הליכי משפט ואי מניעת פשע, התובעים חולקים על הטענה הזאת. ומפרטים: ההאקרים אמרו שיש בידיהם מידע ודרשו תשלום של שש ספרות; סכום הפרס גבוה מכל אחד מעשרות פרסי הבאונטי שהחברה חילקה לאורך השנים, שממילא מוגבלים ל-10 אלפים דולר לפרס; הנהלת החברה (מלבד המנכ”ל קלניק) לא נחשפה לפרטי הפריצה ולהחלטה להתייחס אליה כבאונטי; ההאקרים נדרשו לחתום על הצהרה שקרית שלפיה לא השיגו ולא שמרו עותק של המידע על המשתמשים והנהגים; והם נדרשו לשמור על סודיות מוחלטת לגבי הפירצה, בניגוד למדיניות הרגילה של הבאג באונטי, שהתירה להאקרים לפרסם את הגילויים שלהם בתיאום עם החברה ואחרי שהפירצה נסגרה.

ג’ו סאליבן באתר אובר

ההאקרים של אובר המשיכו לסחיטת חברות נוספות על ידי פריצה וגניבת מידע. הם נתפסו, הועמדו לדין ובשנה שעברה הודו באשמה, וכעת ממתינים לגזר דינם. אבל הנזק שהם וסאליבן הסבו לאובר מתגמד לעומת הנזק שהם עלולים לגרום לכל הקונספט של באג באונטי, כך לפי משפטנים שהתראיינו לוויירד בנושא. אפילו האקרי כובע לבן בעלי אתיקה וכוונות טובות עלולים לעבור על החוק בזמן שהם מחפשים פירצות במסגרת באג באונטי. זו הסיבה שתוכניות באונטי מכילות סעיפים שבהם הארגון מעניק להאקרים חסינות. אבל לאור כתב האישום של סאליבן, מנהלי אבטחה עלולים להבין שכדי להסיר מעצמם אחריות פלילית, הם צריכים להקטין ראש ולהקריב את ההאקרים לרשויות האכיפה על כל טעות קטנה.

ההאקרים, מצדם, לא ירצו להסתכן בפלילים ויזנחו את תוכניות הבאונטי, כשהם מפנים את השטח להאקרי כובע שחור, שיחפשו פירצות אבטחה בלי להתחשב בכללים ובאתיקה, ויסחטו את הארגון: שלם או שנמכור את הפירצה למרבה במחיר.


התפרסם במקור בגירסה שונה בפינה “האחראי על האינטרנט” בגלצ:
🚗 הפריצה מ-2016 ממשיכה לרדוף את אובר 🛩️ הטיסמולטור של מיקרוסופט בונה מחדש את תל אביב 📻 האחראי על האינטרנט בגלצ 22.8.2020