מחבר: עידו קינן

ווינד מתקדמים מקורקינטים למאגר ביומטרי

הכתב כרמל ליבמן דיווח בשמחה בחדשות 2 כלשהן על "מהלך שיציל חיים? הטכנולוגיה החדשה שתמנע מילדים לשאול את הקורקינטים השיתופיים". כותרת מדוייקת יותר מופיעה בראש פוסט זה.

החוק בישראל מתיר רכיבה על קורקינט ממונע מגיל 16 ומעלה, אולם בפועל רוכבים גם צעירים יותר, אם בקורקינטים פרטיים ואם במושכרים. חברות השכרת-הקורקינטים-ללא-מגע-יד-אדם, ווינד, ברד וליים, ניסו למנוע מצעירים לשכור קורקינטים על ידי שכירת עובדים שיבדקו את גיל השוכרים הקמת מאגר מידע על הנוסעים, שבו הם נדרשים לסרוק תעודת זהות או רשיון נהיגה כדי לאמת את גילם.

ההגנה קלה מאוד לפריצה. לא רק שבני פחות מ-16 יכולים לסרוק תעודה של אדם אחר ולשכור קורקינט, אלא שאפילו לא צריך תעודה אמיתית, כפי שדיווחו אותן חדשות 2 כלשהן בפברואר השנה:

בבדיקה סרקנו רישיון נהיגה פיקטיבי שמצאנו בגוגל, כשמספר תעודת הזהות הוא 123456789 – והקורקינט היה זמין לרכיבה. החברות דורשות להזין גם כרטיס אשראי אבל הדבר לא באמת מעיד על גיל הנהג, מכיוון שאפשר לשאול כרטיס אשראי מאדם מבוגר.

בווינד מטמיעים עכשיו פתרון חדש: זיהוי פנים (כמובן שהוא "מבוסס בינה מלאכותית", לפי מנכ"ל ווינד ישראל, יוחאי עבאדי). בקומוניקט של ווינד נכתב כי

טכנולוגיית זיהוי הפנים נלקחה מתחום הבנקאות כדי לאמת את זהות הלקוח כשהמערכת עושה השוואה של תווי הפנים של הלקוח עם התמונה ברישיון הנהיגה שלו.

[…]

הזיהוי יבוצע כך: כל משתמש יתבקש לסרוק את רישיון הנהיגה שלו בעת ההרשמה לאפליקציה. המשתמש יתבקש לצלם תמונה של פניו ולשלוח כדי שתתבצע ההתאמה של תווי פניו לתמונתו ברישיון הנהיגה. בשלב הראשון, המערכת לזיהוי פנים תאשר את המשתמש תוך 20 דקות בלבד, כך שמהלך אישור המשתמש יקוצר מ-48 שעות כיום ל-20 דקות בלבד לאחר יישום הטכנולוגיה. בשלב השני, ולאחר שהמערכות תעבור את הבקרות המתאימות, יאושרו המשתמשים באופן מיידי. במידה וזוהתה בעיה, העניין יועבר לאישור ידני.

קומוניקט ווינד ישראל, 14.10.2020

כלומר, ווינד ישראל מקימים מאגר ביומטרי של תמונות פנים. גם לקוחות קיימים יצורפו לתוכנית: "החברה תריץ את היישום החדש על כל בסיס המשתמשים של החברה בישראל". אני באופן אישי מרגיש עכשיו הרבה יותר בטוח, אבל אולי זה כי מעולם לא שכרתי קורקינט מווינד.

הדגמת של פיצ'ר זיהוי הפנים של ווינד קורקינטים 🖼️ יחץ ווינד ישראל

לעתים, קורקינטים שיתופיים הם שיתופיים מדי, וסובלים מפירצות אבטחה ופרטיות. בסייברסייבר ע02פ21 דיברנו עם אמיר שלדובסקי מחברת אימפרבה, שחקר וגילה דליפות מידע מקורקינטים שיתופיים שחושפים מידע על עצמם, על המפעילים ועל הרוכבים, כולל אפשרות מעקב גאוגרפי אחרי הרוכבים.


חולדאי דולף

ראש מדינת תל אביב, רון חולדאי, הכריז בתחילת החודש שהוא מתכוון להתמודד בבחירות הארציות, כי אף פעם אין מספיק גנרלים שרוצים לרוץ לראשות הממשלה מטעם השמאל המרכזי. בשבוע הראשון למועמדותו-מטעם-עצמו הוא הספיק לעשות שתי טעויות סייברסייבר: לדלוף מידע שהתכוון לשמור בפרטיות, ולסמן את המידע הזה לטובת מי שהתקשה למצוא אותו.

העיתונאית טל שניידר חשפה את הדליפה: בוק צילומי סטודיו של הראיס, ככל הנראה כהכנה לקמפיין הבחירות הארצי (הבחירות המוניציפליות הבאות רק ב-2023). התמונות הועלו לאלבום "פורטרט ראש העיר – לא לפרסום" בפליקר של עיריית תל אביב, שעדיין קיים ואף מתעדכן לטובת 48 עוקביו (לא פספסתי את המילה אלף, מדובר בארבעים ושמונה אנשים).

הטעות הראשונה היא, כמובן, העלאת האלבום לפליקר כשהוא לא מיועד לפרסום. פליקר מאפשרים לקבוע עבור כל תמונה ותמונה אם היא פרטית, לחברים/משפחה או ציבורית. יתכן שאיש הסושיאל חשב בטעות שהוא מעלה אותן כפרטיות (וזו לא תהיה הטעות המביכה הראשונה שלו [אלא אם הדליפה של אלבום הבחירות היתה מכוונת, כדי לייצר עוד יח"ץ לריצתו העתידית]).

"נאבקים בקורונה […] באים ונדבקים", תקלדה חמודה בפייסבוק של רון חולדאי

העלאת מידע פרטי/סודי באופן גלוי באינטרנט היא בעיה נפוצה מאוד, בגלל הסתמכות על אחסון ענן ומורכבות הגדרות הפרטיות ומתן ההרשאות. למשל: הקמת קבוצת וואטסאפ לעבודה ושלחת לינק הצטרפות בתפוצת נאט"ו משרדית? גולשים זרים עלולים להגיע אליה דרך חיפוש גוגל.

הטעות השנייה היא המילים "לא לפרסום" בשם האלבום, משתי סיבות:

1) הן מסמנות את התמונות כבעלות חשיבות וסודיות. גולשת שהיתה רואה את האלבום הזה בלי המילים "לא לפרסום" עשויה היתה לדלג עליהן משעמום ולפספס את הסיפור.

2) הן מנגישות את התמונות לחיפוש שממוקד במסמכים סודיים. לכו למנוע חיפוש, חפשו קבצי דוק/פדף עם המחרוזת "סודי ביותר" או "לא לפרסום" ותגלו עולם שלם של דליפות מידע.


אין ברכה בפריצה בשבת

רשות מקרקעי ישראל מצפה מהאקרים שפורצים אליה לשמור שבת, כי היא מקור הברכה.

הרשות פרסמה לאחרונה את מכרז 453-2020 (פדף) לקבלת שירותי אבטחת מידע וסייברסייבר. מכיוון שמדובר ברשות ממלכתית במדינה יהודית ודמוקרטית, המכרז מבהיר כי הספק לא יספק שירותי סייברסייבר בשבת.

מרכז 453-2020 לשירותי אבטחת מידע וסייבר עבור רשות מקרקעי ישראל
מכרז 453-2020 לשירותי אבטחת מידע וסייבר עבור רשות מקרקעי ישראל

היינו מצפים ש-SOC (חמ"ל סייברסייבר) של משרד ממשלתי של מדינה שמהווה מטרה להאקרים מרחבי המרחב יפעל 24/7/365. אבל עמי רוחקס דומבה דיווח בישראל דיפנס כי בפועל, הספק נדרש לפעול רק בימי חול, ולפני ואחרי כניסת שבת/חג. במספר מקומות במכרז מפורט כי

בנוסף למתן השירותים על פי שעות עבודה כאמור לעיל, הרשות תהא רשאית להזמין הפעלת תמיכה וצוות התגובה 24 שעות ביממה בימים א' עד ה' וימי שישי וערבי חג עד שעתיים לפני  שבת/חג ובמוצאי שבת וחג משעתיים לאחר צאת שבת/חג, וכן עבור פתרון תקלות ו/או התקפות על הארגון, כולל אסקלציה מול ספקים אחרים.

שמירת שבת כשירות (SSaaS, Shomer Shabbos as a Service) מוצעת לאתרים שמעוניינים למנוע מגולשים לחלל אצלם שבת. האתגר הוא להתאים את מועדי סגירת האתר למועדי כניסת ויציאת השבת בשעון המקומי של הגולשת – או לסגור את האתר מכניסת השבת המוקדמת ביותר ועד יציאתה המאוחרת ביותר. וכפי שמסביר ספק ה-SSaaS "שומר שבס", "השבת באינטרנט אורכת כ-50 שעות!"

אתר ה-SSaaS "שומר שבס"

לא רק אתרים פרטיים ומסחריים מקיימים את מצוות "וּבַיּ֥וֹם הַשְּׁבִיעִ֖י תִּשְׁבֹּ֑ת לְמַ֣עַן יָנ֗וּחַ שֽׁוֹרְךָ֙ וַחֲמֹרֶ֔ךָ וְיִנָּפֵ֥שׁ בֶּן־אֲמָתְךָ֖ וְהַגֵּֽר". גל מור דיווח בוויינט ב-2005 כי אתר התשלומים של הביטוח הלאומי נסגר מדי שבת, ולא ניתן לשלם באמצעותו.

בדיעבד, אולי זה היה נסיון חדשני ופורץ דרך למנוע מהאקרים גויים לגנוב את הכסף?


הסייברפרטיזנים נגד נשיא בלארוס

אלכסנדר לוקשנקו, נשיא בלארוס, מכונה "הדיקטטור האחרון באירופה" (בניכוי פוטין, אני מניח). הוא משמש כנשיא כבר יותר מרבע מאה, כשמתנגדיו טוענים שהוא ניצח באופן דמוקרטי רק בראשונה מבין 6 מערכות הבחירות שבהן זכה, האחרונה שבהן ב-9 באוגוסט השנה. כשהכריז על נצחונו הסוחף עם מעל 80% מהקולות, המחאה התפרצה. בתגובה, לוקשנקו סגר להם את האינטרנט.

האינטרנט משמשת אזרחים לבקר את השלטון ולארגן מחאות נגדו. חסימת האינטרנט נשלפת תכופות מארגז הכלים של השתקת מחאה. הודו רשמה בתחילת השנה שיא מפוקפק של חסימת האינטרנט הארוכה ביותר בתולדותיה הקצרים של הרשת – כחצי שנה – במטרה למנוע מחאה על ביטול המעמד המיוחד של חבל ג'אמו וקשמיר.

ואם הדמוקרטיה הגדולה בעולם חוסמת את הרשת כדי לסתום פיות, הרי ששלטונו של לוקשנקו אפילו לא מצמץ כשכיבה את האינטרנט ל-72 שעות – או כמו שהשלטון מתאר זאת, התקפת סייבר חיצונית/מתקפת DDoS.

שוטרים מפנים מפגין 🖼️  Clker-Free-Vector-Images
שוטרים מפנים מפגין 🖼️ Clker-Free-Vector-Images

באופן טבעי, המוחים פנו ל-VPN, כלי לגלישה מוגנת ומוסתרת, שמשמש לעקיפת גאוחסימה ושאר חסימות. יישומוני ה-VPN כבשו את ארבעת המקומות הראשונים בפופולריות בגוגל סטור באותו יום – וזה רק ממי שהצליח להיכנס אליה, משום שלפי דיווח של טניה לוקשינה מארגון זכויות האדם Human Rights Watch, "נראה שהממשלה חוסמת את חנויות אפל וגוגל”.

המוחים לא התייאשו ופנו אופליינה: "היית רואה אנשים במעלית פשוט משאירים החסני USB עם קבצי גישה ל-VPN", אמר לגיזמודו מקסימס מילטה מאוניברסיטת Belarusian European Humanities. אבל גם זה לא תמיד עזר, לפי לוקשינה: “רבים מאלו שיש להם גישה לכלי עקיפת צנזורה, כמו VPNים, מגלים שהטכנולוגיות הללו נחסמות גם כן“.

האופוזיציה, המצויידת בהאקרים, הכריזה על סייברמלחמה, מספר שלום בוגוסלבסקי, מדריך ומארגן סיורים וכותב ומרצה על ההיסטוריה והפוליטיקה של מזרח אירופה, שעוקב אחרי המחאה דרך הרשתות: "אחד הדברים שהכי עובדים עליהם זה לנסות למצוא כמה שיותר תצלומים של שוטרים אלימים ואנשים שמשתתפים בדיכוי המחאה. האזרחים מתבקשים לשים מצלמות מעקב, לתלוש מסכות משוטרים ולצלם אותם מכמה שיותר זוויות. יש ערוצי טלגרם שאליהם שולחים את זה ובוטים שאוספים את כל העניין הזה.

לוגו ה"קיבר-פרטיזני" (סייבר-פרטיזנים), האקרים מתנגדי שלטון לוקשנקו בבלארוס
לוגו ה"קיבר-פרטיזני" (סייבר-פרטיזנים), האקרים מתנגדי שלטון לוקשנקו בבלארוס

"בשבוע שעבר, מגזר ההייטק של בלארוס, שהוא מאוד נחשב ויחסית חזק והם עושים דברים די מרשימים, סוג של הצטרף באופן יותר ברור לאופוזיציה. ההייטקיסטים הבטיחו בעצם לזהות כל שוטר כזה, לפרסם את כל הפרטים האישיים שלו, הכתובת, מספר הטלפון, חשבונות ברשתות החברתיות וגם חומר מביך שהם ימצאו כשהם יפרצו למכשירים שלו. אני עוד לא ראיתי כ”כ חומר מביך אבל הרבה פרטים מתפרסמים. הם גם טוענים שהם הצליחו להשיג את רשימת כל השוטרים בבלארוס וכל הפרטים האישיים שלהם”.

בנוסף, האקרים המכנים את עצמם "הסייבר-פרטיזנים של בלארוס" פורצים לאתרי ממשל, מפילים אותם, שותלים בהם רושעות או משחיתים אותם עם לוגו הפרטיזנים וטקסטים נגד השלטון. היום הם הודיעו שיש עוד אתרים על הכוונת, ובהם אתר רשות המסים.

התפרסם במקור בגירסה שונה בפינה "האחראי על האינטרנט" בגלצ


הכופר של אובר: מה קורה כשבאג באונטי משמש לתשלום דמי שתיקה?

באג באונטי – bug bounty במקור – הן תוכניות שבהן ארגון מציע להאקרים למצוא אצלו פירצות אבטחה, לאסגרן בצורה אתית ואחראית ולקבל פרס, בדרך כלל כספי. הדבר נועד למסד את היחסים בין ההאקרים לארגונים, ולאפשר להם לעבוד יחד בלי חשש לפריצות והדלפת מידע מצד ההאקרים ולהליכים משפטיים מצד הארגונים. אחד הארגונים שמפעילים תוכנית באונטי הוא אובר, ששילמו לצמד האקרים 100 אלף דולר על גילוי פירצת אבטחה. זה מה שהם רוצים שנחשוב, בכל אופן.

אובר, פלטפורמת התיווך בין נהגי מוניות ונהגים פרטיים לבין נוסעים, נפלה קורבן לפריצה בשנת 2014, כשהאקרים מצאו את המפתחות לחשבון ה-AWS (שירותי רשת של אמזון) של אובר, וגנבו משם פרטים על 50 אלף נהגים. במרץ 2016 השיקו בחברה תוכנית באג באונטי.

שמונה חודשים לאחר השקת הבאונטי קיבל סמנכ”ל האבטחה של אובר דאז, ג’ו סאליבן, אימייל מהאקר שהזדהה בשם ג’ון דאוז בכתובת johndoughs@protonmail.com בשירות האימייל המוצפן והמאובטח פרוטון מייל. מצאתי פירצת אבטחה חמורה אצלכם, סיפר "דאוז", וגם עשיתי דאמפ של הדאטהבייס שלכם ומידע נוסף. בדיקה של צוות אבטחה של אובר העלתה כי ההאקרים השתמשו בפרטי גישה גנובים לגשת לקוד המקור של אובר בגיטהאב, שם מצאו פרטי גישה של דלי AWS והשתמשו בהם להוריד את המידע על לקוחות ונהגי אובר.

סאליבן המבוהל, שכבר היה עמוק בתוך חקירה של ה-FTC (רשות הסחר הפדרלית) על הפריצה מ-2014, מיהר לסמס למייסד ומנכ"ל אובר, טראוויס קלניק, שהוא צריך לדבר איתו על משהו רגיש. השניים קיימו מספר שיחות טלפון, ואחריהן קלניק כתב לו:

צריך להיות בטוחים מה יש לו [להאקר; ע”ק], רגישות/חשיפה של זה ו-ודאות שהוא באמת יכול להתייחס לזה כמצב 🐜 באונטי […] המשאבים יכולים להיות גמישים לצורך סיום הסיפור אבל אנחנו צריכים לתעד זאת בקפדנות.

סמס ממנכ"ל אובר טראוויס קלניק אל סמנכ"ל האבטחה ג'ו סאליבן, 15.11.2016

בעצה אחת של קלניק וסאליבן, ההאקרים קיבלו הצעה לפרס באונטי שמן בגובה 100 אלף דולר, בתמורה למחיקת כל המידע שהורידו ושתיקתם הנצחית, מגובה בהסכם סודיות (NDA). כלומר: לא באונטי, אלא כופר, דמי שתיקה. ההאקרים חתמו בשמותיהם הבדויים, ואובר העבירו להם את הסכום בביטקוין. רק בינואר 2017 הצליחו אובר לגלות את זהותם הארצית של ההאקרים, ושלחו אליהם אנשי אבטחה, להחתים אותם שוב על מסמך הסודיות, הפעם בשמותיהם האמיתיים.

קלניק וסאליבן הסתירו את העיסקה מהנהלת החברה, מה-FTC ומ-57 מיליון המשתמשים ו-500 אלף הנהגים שמידע עליהם נחשף להאקרים – עבירה על החוק בכל מדינות ארה"ב, שמחייב לדווח לאנשים על דליפת מידע מזהה אישי (PII) אודותיהם.

קלניק, שכפי שאפשר לראות הוא לא אדם שראוי לעמוד בראש חברה, נאלץ להתפטר מתפקידו בעקבות שורת שערוריות ודיווחים על סביבת עבודה רעילה. דארה חוסרושאהי החליף אותו באוגוסט 2017, הדירקטוריון של אובר עלה על סיפור הפריצה וסאליבן עוד הספיק לשקר לחוסרושאהי בנושא. חודשיים לאחר מכן, המנכ"ל חוסרושהאי פרסם רשמית ופומבית את דבר הפריצה, התנצל בפני הציבור על "הכשלון שלנו" ופיטר את סמנכ"ל האבטחה סאליבן ועו"ד מהצוות שלו. בעקבות שורת תביעות של התובעים הכלליים של כל מדינות ארה"ב, אובר חתמו על הסכם פשרה ושילמו 148 מיליון דולר.

עם חשיפת הפרשה, סאליבן המפוטר עמד על גירסתו שהתשלום היה פרס באונטי לגיטימי. אולם בכתב האישום שהוגש נגדו השבוע בבית המשפט המחוזי של מחוז צפון קליפורניה, על שיבוש הליכי משפט ואי מניעת פשע, התובעים חולקים על הטענה הזאת. ומפרטים: ההאקרים אמרו שיש בידיהם מידע ודרשו תשלום של שש ספרות; סכום הפרס גבוה מכל אחד מעשרות פרסי הבאונטי שהחברה חילקה לאורך השנים, שממילא מוגבלים ל-10 אלפים דולר לפרס; הנהלת החברה (מלבד המנכ"ל קלניק) לא נחשפה לפרטי הפריצה ולהחלטה להתייחס אליה כבאונטי; ההאקרים נדרשו לחתום על הצהרה שקרית שלפיה לא השיגו ולא שמרו עותק של המידע על המשתמשים והנהגים; והם נדרשו לשמור על סודיות מוחלטת לגבי הפירצה, בניגוד למדיניות הרגילה של הבאג באונטי, שהתירה להאקרים לפרסם את הגילויים שלהם בתיאום עם החברה ואחרי שהפירצה נסגרה.

ג'ו סאליבן באתר אובר

ההאקרים של אובר המשיכו לסחיטת חברות נוספות על ידי פריצה וגניבת מידע. הם נתפסו, הועמדו לדין ובשנה שעברה הודו באשמה, וכעת ממתינים לגזר דינם. אבל הנזק שהם וסאליבן הסבו לאובר מתגמד לעומת הנזק שהם עלולים לגרום לכל הקונספט של באג באונטי, כך לפי משפטנים שהתראיינו לוויירד בנושא. אפילו האקרי כובע לבן בעלי אתיקה וכוונות טובות עלולים לעבור על החוק בזמן שהם מחפשים פירצות במסגרת באג באונטי. זו הסיבה שתוכניות באונטי מכילות סעיפים שבהם הארגון מעניק להאקרים חסינות. אבל לאור כתב האישום של סאליבן, מנהלי אבטחה עלולים להבין שכדי להסיר מעצמם אחריות פלילית, הם צריכים להקטין ראש ולהקריב את ההאקרים לרשויות האכיפה על כל טעות קטנה.

ההאקרים, מצדם, לא ירצו להסתכן בפלילים ויזנחו את תוכניות הבאונטי, כשהם מפנים את השטח להאקרי כובע שחור, שיחפשו פירצות אבטחה בלי להתחשב בכללים ובאתיקה, ויסחטו את הארגון: שלם או שנמכור את הפירצה למרבה במחיר.


התפרסם במקור בגירסה שונה בפינה "האחראי על האינטרנט" בגלצ:
🚗 הפריצה מ-2016 ממשיכה לרדוף את אובר 🛩️ הטיסמולטור של מיקרוסופט בונה מחדש את תל אביב 📻 האחראי על האינטרנט בגלצ 22.8.2020