מחבר: עידו קינן

האקר, חוקר אבטחה ושרקן נכנס לצרות

מניית יוביקוויטי נפלה ב-4 מיליארד דולר אחרי שהעיתונאי בראיין קרבז חשף שחברת ציוד התקשורת ניסתה לגמד את חומרת מתקפת הסייבר שעברה. עכשיו יוביקוויטי תובעת דיבה את קרבז, שהמקור שלו כנראה היה ניקולאס שארפ, לשעבר מפתח בכיר בחברה – והנאשם באותה פריצה

ארגונים מגיבים בדרכים שונות כשמישהי חושפת אצלם פירצת אבטחה או מתקפת סייבר. רבות מהתגובות תואמות לשלבים במודל קובלר-רוס להתמודדות עם אבל: הכחשה – "אין אצלנו פירצה, אף פצחן לא חדר, שום מידע לא נגנב"; כעס: "מאיפה הגעת אלינו? מי הדליף לך? באיזו זכות את בכלל עושה לנו פן-טסט? את מנסה לסחוט אותנו?"; מיקוח: "אם נטפל בזה מיידית ונשלם לך המון כסף, תסכימי לשמור את זה לעצמך?"; דכאון: "בחיים לא נצליח להתגבר על כל הפירצות, זה גדול עלינו"; וקבלה: "תודה שהודעת לנו. נטפל".

כעס הוא יועץ גרוע, במיוחד אם העצה שלו לארגון היא להתכחש לפירצה, לנסות לטשטש או להסתיר אותה ולהפחיד את ההאקרית עם מכתב איום בתביעה או תלונה לרשויות בבקשה לפתוח בהליכים פליליים. ארגון שמתנהל ככה פוגע בתדמיתו, מרחיק לקוחות, מרתיע האקרים אתיים מלבדוק את חסינות הסייבר שלו, משאיר את המערכות שלו פרוצות וחושף את עצמו לענישה רגולטורית, לחקירות פליליות ולתביעות אזרחיות.

Ubiquiti, ענקית אמריקאית לציוד תקשורת ו-IoT ביתי, חוותה לפני כשנה וחצי מתקפת סייבר. זו הובילה אותה לקבל שורה של החלטות גרועות, שנמשכות עד עכשיו ורק מחמירות את נזקי המתקפה. אבל כששומעים את הסיפור המלא, קשה שלא להזדהות עם תחושת הנקמה הבוערת.

איך לא לספר ללקוחות שנפרצת

הסיפור התחיל בדצמבר 20', כשעובד של יוביקוויטי הבחין בפעילות חשודה בתשתית הענן שלה, שהתבררה כגישה לא מורשית למידע של החברה. אחרי שהחברה גילתה וסגרה את הדלת האחורית שההאקרים התקינו, אלה שלחו לחברה מייל ובו דרשו 25 ביטקוין בתמורה להחזרת המידע שגנבו ולשתיקתם, ו-25 ביטקוין נוספים תמורת חשיפת דלת אחורית נוספת – בסה"כ 1.9 מיליון דולר בביטקוין לפי השער דאז. החברה, שאיתרה בעצמה את הדלת האחורית הנוספת וסגרה גם אותה, סירבה לשלם. דקות לפני הדדליין, ההאקרים העלו חלק מהמידע שגנבו לשירות שיתוף הקבצים המאובטח Keybase ושלחו לינק לחברה, שהביאה להורדה מיידית של המידע. החברה דיווחה לרשויות האכיפה על הפריצה ונסיון הסחיטה.

בינואר 21' הודיעה החברה ללקוחותיה על הפריצה, והזהירה שייתכן שנחשפו פרטים אישיים שלהם, ובהם credentials – שמות משתמש וסיסמאות – ובעברית, נְתוּנֵי הַאֲמָנָה (תודה, אקדמיה ללשון 😠). ההודעה ללקוחות נראית פחות כמו אזהרה מפני ההשלכות החמורות של הפריצה, ויותר כמו נסיון לצאת ידי חובה ולקוות שהסיפור יתפוגג.

"לקוחות יקרים, נודע לנו לאחרונה על גישה לא מורשית למערכות טכנולוגיית מידע מסויימות שמתארחות אצל ספק ענן צד ג'", פותחת החברה, בלי להזכיר אף מילה מהשורש פ.ר.צ. "אין לנו שום חיווי לכך שבוצעה פעילות לא מורשית על חשבון של לקוח כלשהו", מרדימה החברה את הלקוחות. "לא ידוע לנו כרגע על ראיות לגישה למאגר נתונים כלשהו שמכיל מידע של משתמשים, אבל אנחנו לא יכולים להיות בטוחים שמידע של משתמשים לא נחשף", מסרבלת החברה את המסר הפשוט: יתכן שנחשף מידע של משתמשים. "המידע הזה עשוי לכלול את שמכם, כתובת האימייל, וסיסמה מוצפנת חד-חיוונית לחשבון שלכם (במונחים טכניים, הסיסמאות מגובבות ומומלחות [hashed and salted]", קוברת החברה את הסיפור במילים טכניות שלא מובנות לרוב הציבור. "המידע עשוי לכלול גם את כתובתכם ומספר הטלפון אם סיפקתם לנו אותם", היא כמו נוזפת בלקוחות חסרי האחריות.

רק בפיסקה השלישית טורחת יוביקוויטי להגיע לעיקר, וגם שם היא כושלת: "כצעד מנע, אנחנו מעודדים אתכם לשנות את הסיסמה שלכם". אלא שחברה שחוששת שהאקרים שמו את ידיהם המטונפות על פרטי התקשרות לא "מעודדת" משתמשים להחליף סיסמה, אלא מאפסת את כל הסיסמאות ומחייבת את הלקוחות לבחור סיסמה חדשה וחזקה. "אנחנו ממליצים שתאפשרו הזדהות דו-שלבית [2FA] בחשבונות היוביקוויטי שלכם אם טרם עשיתם זאת". אוקיי, אבל למה אתם לא מחייבים הזדהות דו-שלבית? "אנחנו ממליצים גם שתחליפו את הסיסמה שלכם בכל אתר שבו אתם משתמשים באותו שם משתמש או סיסמה" – זו דווקא המלצה מצויינת, כי אנשים נוהגים למחזר שמות וסיסמאות בין שירותים שונים, והאקרים יודעים את זה ומנצלים דליפת פרטי התקשרות בשירות אחד לפרוץ לחשבונות בשירותים אחרים – שיטה שנקראת credential stuffing.

יוביקוויטי דיווחה על הפריצה לבורסה בדוח הרבעוני שהגישה חודש לאחר מכן, תחת הסעיף הקבוע "סיכונים הקשורים לעסקים ולתעשייה שלנו" ותת-הסעיף הקבוע "חולשות אבטחה במוצרינו, שירותינו ומערכותינו עלולים להוביל לרווחים מופחתים וטענות נגדנו". החברה ציינה שם שהיא עברה בעבר, וצפוייה לעבור בעתיד, מתקפות סייבר, והביאה, לדבריה כ"דוגמה", את הפריצה הנוכחית. שם היא גם הודתה לראשונה כי ההאקר ניסה לסחוט אותה, בלי לציין את הסכום שדרש, וציינה שכתוצאה מסירובה לשלם, "יש אפשרות שקוד המקור ומידע אחר יפורסם בפומבי או יונגש למתחרינו". עם זאת, "לאור אופי קוד המקור והמידע האחר שאנחנו מאמינים שבוצעה אליו גישה באופן לא-תקין, אנחנו לא מאמינים כרגע שלחשיפה ציבורית כלשהי תהיה השפעה שלילית משמעותית על העסקים או הפעילות שלנו, אך בלתי אפשרי לאמוד את ההשפעה המדוייקת של חשיפה כזאת".

ההשפעה המדוייקת של הפרסום בבלוג Krebs on Security של בראיין קרבז עלתה לחברה בצניחת מנייתה ב-20%, שהם 4 מיליארד דולר, ביום אחד, כך לפי כתב האישום שיוגש מאוחר יותר נגד החשוד בפריצה.

המקור והחשיפה

ב-30 במרץ 21' פרסם עיתונאי הסייבר העצמאי הוותיק קרבז בבלוגו הפופולרי כתבה ביקורתית מאוד על התנהלותה של יוביקוויטי בפריצה תחת הכותרת: "שרקן [whistleblower, חושף שחיתויות]: הפריצה ביוביקוויטי 'קטסטרופלית'". קרבז האשים את החברה בפרסום שקרים ובנסיון לגמד את חומרתה האמיתית של הפריצה,  במטרה לצמצם את הפגיעה במנייתה.

החשיפה על יוביקוויטי בבלוג של בראיין קרבז
החשיפה על יוביקוויטי בבלוג של בראיין קרבז

בהודעתה ללקוחות, יוביקוויטי ניסתה ליצור את הרושם שההאקרים תקפו "ספק ענן צד ג'", והיא היתה רק קורבן משני – ובכלל, לא ידוע לה שלקוחותיה נפגעו. בניגוד לכך, קרבז טען שהמתקפה כוונה ספציפית ליוביקוויטי; שכדי לממש אותה ההאקרים השיגו פרטי התחברות מחשבון ניהול סיסמאות LastPass של עובד ביוביקוויטי, ובאמצעותם השיגו גישת ניהול לענן של יוביקוויטי אצל אותו "ספק צד ג'"; שהספק הזה הוא AWS, שירותי הענן של אמזון, ושההאקר כלל לא פרץ לאמזון אלא השתמש בפרטי התחברות תקינים של עובד יוביקוויטי; ושהטענה, שאנשיה של החברה ומומחי הסייבר ששכרה לחקור את הפריצה לא זיהו גישה לא מורשית או אפילו נסיון גישה לפרטי הלקוחות, היא אמנם אמת, אבל לא כל האמת – החברה לא יכלה לזהות זאת משום שמדיניות שימור הלוגים שהיו יכולים להעיד על כך קבעה שהם יימחקו אחרי יום אחד בלבד.

קרבז הציג את המקור שלו בשם הבדוי אדם, "מומחה אבטחה ביוביקוויטי שסייע לחברה להגיב לפריצה", ש"דיבר בתנאי שהאנונימיות שלו תישמר מחשש לתגובת תגמול מצד יוביקוויטי". לפי קרבז, אדם פנה עם המידע שבידיו הן לרשויות הגנת המידע האירופיות, הידועות במדיניות קשוחה כלפי פירצות פרטיות של חברות אמריקאיות, והן לקו החם של יוביקוויטי עצמה. הנהלת החברה לא ניצלה את ההזדמנות לחקור את עצמה ולחשוף את הכשלים מיוזמתה – ואדם החליט להדליף את המידע לקרבז.

ההאקר הקאקער

ימים ספורים לפני הפרסום של קרבז פשטו סוכנים פדרליים, חמושים בצו חיפוש, על ביתו של ניקולס שארפ, בן 36 מפורטלנד, אורגון, בחשד שהיה מעורב בפריצה. למרבה המבוכה, שארפ היה מפתח בכיר ביוביקוויטי, ולמרבה עוד יותר מבוכה, היה גם חבר בצוות החקירה הפורנזית הפנימי שהחברה מינתה לחקור את התקרית.

תשעה חודשים לאחר מכן, בדצמבר 21', נעצר שארפ והועמד לדין. בכתב האישום (פדף) מכונה החברה הנפרצת "חברה-1" ("Company-1"), אולם אפשר להבין שמדובר ביוביקוויטי לפי תיאור החברה ופרטי הסיפור, וכן לפי פרופיל הלינקדאין של שארפ, שמעיד שעבד שם כ-cloud lead מאוגוסט 18' עד מרץ 21', החודש שבו בוצע החיפוש בביתו.

פרופיל הלינקדאין של ניקולאס שארפ
פרופיל הלינקדאין של ניקולאס שארפ

כתב האישום מספר ששארפ הגיש בדצמבר 20' מועמדות לעבודה בחברה אחרת (לפי הלינקדאין שלו, אחרי שסיים לעבוד ביוביקוויטי הוא עבר ל-Lytx למשך 10 חודשים, עד שהוגש כתב האישום). למחרת הגשת המועמדות החל בפריצה ליוביקוויטי: הוא התחבר מהאינטרנט הביתי שלו, נכנס עם פרטי המשתמש שלו ביוביקוויטי והוריד מחשבון ה-AWS של החברה מפתח שמאפשר לקבל פרטי התקשרות של משתמשים אחרים. שתי דקות אחר כך התחבר ההאקר, שהסתתר מאחורי שירות Surfshark VPN, לתשתית ה-AWS של החברה, והשתמש באותו מפתח ששארפ הוריד כדי להשיג פרטי התחברות נוספים ל-AWS (אגב, שארפ עבד כמהנדס פיתוח תוכנה באמזון לפני שעבר ליוביקוויטי).

מספר ימים לאחר מכן התחבר ההאקר דרך סרףשארק VPN לחשבון הגיטהאב של יוביקוויטי בחיבור SSH, והריץ פקודות להורדת עותקים של מספר מאגרי קוד למחשבו. בצירוף מקרים מופלא, ממש דקה לפני שההאקר התחבר והחל להוריד 155 מאגרי מידע בנפח של כמה גיגות, שארפ התחבר מהאינטרנט הביתי שלו לאותו חשבון גיטהאב באמצעות פרטי ההתחברות שלו בחברה ואסף את הפרטים הללו.

בערך ב-2:16 בבוקר נעצרה פעולת ההעתקה של ההאקר מגיטהאב, בדיוק כשחיבור האינטרנט הביתי של שארפ נפל. כמו סמיכות הזמנים בין הפעולות של שארפ ושל ההאקר, והשימוש של ההאקר בקבצים ובמידע שהיו בידי שארפ, גם הנפילה וההפסקה שקרתה מיד אחריה – כל אלו עובדות מאוד משכנעות, אבל בשפה המשפטית נקראות ראיות נסיבתיות, כאלו שלא מספיקות להרשיע חשוד בבית המשפט.

כדקה אחרי שחיבור האינטרנט של שארפ חזר, פעולת ההעתקה התחדשה. אבל המחשב של ההאקר, שהתנתק מה-VPN כשהרשת ירדה, לא הספיק להתחבר אליו מיד כשהרשת חזרה, והתחבר לגיטהאב בלי VPN. כתובת ה-IP הביתית של שארפ נרשמה, וזו לא ראייה נסיבתית – זה כבר אקדח מעשן.

כשצוות החקירה הפורנזית של יוביקוויטי גילה שההאקר השתמש בסרףשארק, שארפ, חבר אותו צוות, טען בפני עמיתיו שמעולם לא השתמש בשירות הזה. הוא אמר זאת גם לחוקרי ה-FBI, וכשאלה הטיחו בו שהחשבון בסרףשארק שולם באמצעות חשבון הפייפאל שלו, השיב שמישהו אחר כנראה נכנס לפייפאל שלו לרכוש את השירות. האמירה הזאת הפכה לאחד מסעיפי האישום נגד שארפ: עדות שקר ל-FBI.

אם שארפ יורשע בארבעת סעיפי האישום, העונש המירבי שלו יכול להגיע ל-37 שנות מאסר. לפי הלינקדאין שלו, הוא עובד מאז העמדתו לדין כיועץ עצמאי בתחום התוכנה והענן. יש גם המלצות, למי שרוצה.

מועדון קרב

שארפ היה סוכן כפול. זוכרים שהלוגים ב-AWS של יוביקוויטי נשמרו למשך יום אחד בלבד, מה שמנע מהחברה לאתר נסיונות גישה לקבצי הלקוחות? כתב האישום גורס ששארפ היה זה שקיצר את פרק הזמן של שמירת הלוגים. עוד נטען שם כי ביהירותו, גם אחרי החיפוש בביתו, ניהל שארפ קמפיין תקשורתי בעילום שם לחשיפת התנהלות החברה כדי לפגוע בה. כלומר, ניקולאס שארפ היה בו זמנית עובד יוביקוויטי וההאקר שפרץ אליה; ביד אחת שיבש את יכולת החברה לנתח כראוי את הפריצה, וביד השנייה הדליף לתקשורת את חוסר היכולת הזה והשלכותיו. 

לטובת מי שעדיין לא חיבר את הנקודות – "אדם", המקור של העיתונאי בראיין קרבז, הוא ניקולאס שארפ.

אתר יוביקוויטי

"אחרי שה-FBI ביצע חיפוש בביתו בקשר לגניבה, שארפ, שהתחזה לשרקן חברה אנונימי, שתל ידיעות חדשותיות מזיקות, שטענו באופן שקרי כי הגניבה בוצעה על ידי האקר, שנעזר בחולשה במערכות המחשב של החברה", אמר התובע הפדרלי דיימיאן וויליאמס בהודעה לעיתונות של משרד המשפטים האמריקאי. בכתב האישום נטען כי שארפ "גרם לפרסם ידיעות חדשותיות שקריות או מטעות על התקרית ועל גילויין והתגובה של חברה-1 לתקרית. שארפ הזדהה כמקור אנונימי בחברה-1 שעבד על טיפול בתקרית. בפרט, שארפ העמיד פנים שחברה-1 נפרצה על ידי עבריין בלתי מזוהה שהשיג באופן זדוני הרשאות רוט של מנהל לחשבונות ה-AWS של חברה-1. למעשה, כפי ששארפ ידע היטב, שארפ לקח את הנתונים של חברה-1 תוך שימוש בפרטי התחברות שהיתה לו גישה אליהם מתוקף תפקידו כמנהל ענן AWS בחברה-1, ושארפ השתמש במידע הזה בנסיון כושל לסחוט מיליוני דולרים מחברה-1".

בעוד ה-FBI והתובע הפדרלי מדברים על "ידיעות חדשותיות" שהתפרסמו ב"עיתונות" ב-30.3.2021, הם לא נוקבים בשם המפורש. זה יופיע רק בתביעת הדיבה של יוביקוויטי נגד קרבז, שהוגשה בימים האחרונים, בדיוק שנה אחרי הפרסום הקטלני: "אין שום ראיה שתתמוך בטענות של קרבז; אכן, רק מקור אחד דחף את הסיפור השקרי הזה נגד יוביקוויטי: ניקולאס שארפ, עובד יוביקוויטי שעמד מאחורי מתקפת הסייבר. [ההדגשות במקור]".

נוכל הגיטהאב

הנראטיב של יובקוויטי גורס שהעיתונאי קרבז וההאקר שארפ שיתפו פעולה: שארפ השתמש בפרסום של קרבז לנקום בחברה על סירובה לשלם לו כופר, וללחוץ עליה לשנות את דעתה בנושא; קרבז השתמש בסיפור הסנסציוני והשקרי של שארפ להביא עוד גולשים לאתרו ולהגדיל את הכנסותיו מפרסום. 

שארפ מן הסתם לא הדליף את הסיפור כשומרוני טוב שרוצה בטובת הציבור. "לא רק שהוא לכאורה עבר על מספר חוקים פדרליים", אמר מייקל ג'יי. דריסקול, עוזר מנהל ב-FBI, בהודעת משרד המשפטים, "הוא תיזמר שחרור מידע לעיתונות כשדרישות הכופר שלו לא מולאו". התביעה של יוביקוויטי מייחסת לשארפ תכנון קפדני: "ברגע ששארפ הבין שהוא נחקר על ידי ה-FBI, הוא ידע שהוא צריך אסטרטגיה חדשה. אז הוא החליט לחבור לבראיין קרבז – עיתונאי עם נראטיב שנקבע מראש נגד יובקוויטי – להאשים לשווא את יובקוויטי בהטעייה מכוונת של המשקיעים, הלקוחות והציבור כדי לגמד את מתקפת הכופר ולנפח באופן שקרי את מחיר מניית יובקוויטי ושווי השוק שלה".

"בעוד הקירות סוגרים עליו אחרי פשיטת ה-FBI", מתארת התביעה בסגנון דרמטי, שכאילו נכתב במיוחד לתסריט של הסרט שיופק על הפרשה, "שארפ רקח תוכנית חדשה להתחזות ל'שרקן' כדי לתקוף את יוביקוויטי ולהאשים את החברה בעבירה על חוקי ניירות ערך בכך שהגיבה על מזימת הסחיטה. שארפ ייצר את השקר הזה כדי לנסות להסתיר את העובדה שהוא, עצמו, היה אחראי לפריצה ולסחיטה של יוביקוויטי. כחלק מהתוכנית הזאת, שארפ ביקש ליצור נראטיב שקרי בתקשורת על ידי יצירת קשר עם עיתונאים שמסקרים טכנולוגיה וסייבראבטחה, ולהתחזות למודיע 'שרקן' שיספק לעיתונאים מידע פנימי שערורייתי על המעשים הלא-ראויים לכאורה של יוביקוויטי. […] לקרבז לא היו ראיות שמעידות שהסיפור של שארפ נכון מכיוון שראיות כאלו לא קיימות […]הבלוג של קרבז קירבן את יובקוויטי בשנית על שהיתה המטרה של מתקפת הסייבר של שארפ".

החברה מאשימה את קרבז שגם אחרי שקרא את ההודעה לעיתונות של משרד המשפטים והבין שהמקור היחיד שלו נאשם במעורבות פלילית במתקפת הסייבר – במקום לחזור בו ולהתנצל הוא פרסם למחרת ידיעת מעקב על כתב האישום, שבה הוא עומד מאחורי "האשמות השווא שלו נגד יוביקוויטי, ומטעה בכוונה את קוראיו להאמין שדיווחו הקודם מקורו לא בשארפ, ההאקר מאחורי המתקפה". "למרות עובדות מכריעות שמראות שהדיווח שלו הוא בדיוני לגמרי", ממשיך כתב התביעה, "קרבז סירב לחזור בו מהסיפור או לתקן את קמפיין הדיסאינפורמציה נגד יוביקוויטי".

החבר'ה התובעים

שני הצדדים עומדים על כך שנהגו כשורה. יוביקוויטי כתבה בתביעה כי "קרבז האשים לשווא את החברה ב'הסתרה' של מתקפת סייבר על ידי הטעיה מכוונת של הלקוחות לגבי אותה 'פריצת' מידע ונסיון הסחיטה שלאחריה תוך הפרת חוקים פדרליים ותקנות [רשות ני"ע האמריקאית] SEC. ההיפך הוא הנכון: יוביקוויטי מיהרה להודיע ללקוחותיה על המתקפה והדריכה אותם לנקוט באמצעי מנע אבטחתיים נוספים כדי להגן על המידע שלהם. יובקוויטי אפילו הודיעה על כך לציבור בהודעה הבאה שלה ל-SEC".

החברה מודה שלא סיפרה את הסיפור המלא בזמן אמת, ומסבירה: "ליוביקוויטי, בעודה נתונה בחורבן שגרם הדיווח של קרבז, ובמאמץ לא לסכן את האופי החשאי של החקירה הפלילית סביב שארפ, לא היתה ברירה אלא לשבת ולחכות עד עד שהרשויות הפדרליות סגרו על שארפ".

קרבז לא חזר בו מהפרסום. אחרי שנודע דבר המעצר וכתב האישום, אחד ממשתמשי טוויטר כתב "לעזאזל, אז בראיין קרבז הולך שולל בידי עובד לשעבר שניסה לסחוט את החברה שלו, וזה הוביל להפסדים לחברה במיליארדי דולרים". כתב התביעה מצטט את תשובת קרבז: "מקריאת הסיפור המקורי שלי ממרץ וכתב האישום של המדינה, נראה שהעובדות בכתבה היו מדוייקות. הסיפור מעולם לא התייחס לשאלה מי עשוי היה להיות אחראי [לפריצה]".

טבעי שקרבז מתקשה להודות בטעות שלו – הסתמכות על מקור יחיד, שהפך אותו לפיון במזימת פריצה וסחיטה. מובנת גם הדילמה האתית העיתונאית – האם לחשוף זהות של מקור שסיפר רק חלק מהאמת, שיקר ו/או עשה מניפולציה על העיתונאי; לכל אורך הסיפור, גם אחרי התביעה, קרבז לא מאשר ששארפ היה המקור שלו.

מובן גם הקושי של יובקוויטי להודות בטעויות – הדרך שבה בחרה לשתף את המידע בצורה מקטינה ומטשטשת; מהות המידע שבחרה להסתיר או לעכב; התנהלותה הלא-מספיק-חירומית במצב חירום שעלול היה לסכן את לקוחותיה; ההפרדה המשונה שהיא מנסה ליצור בין מתקפה חיצונית לפנימית, כאילו משנה ללקוחות אם גנב המידע הוא עובד לשעבר או חברה מתחרה; התעקשותה להציג את עצמה כקורבן, במקום לבדוק איך זה שעובד סורר אחד מחזיק בידיו די כוח והרשאות לבצע מתקפה כזאת, ומצליח לשאוב כמויות אדירות של מידע בלי שאף מערכת אבטחת מידע בסיסית מזהה את ההתנהגות החריגה וחוסמת אותה, עד שעובד אחר מבחין בכך.

תדמיתית, תביעת דיבה של חברה ששווה מיליארדים נגד עיתונאי עצמאי תיתפס כבריונות ונסיון לסתום פיות של מבקרים. משרד עורכי הדין של יוביקוויטי מתגאה באתרו בייצוג לקוחות נגד שורה ארוכה ומכובדת של כלי תקשורת, והחברה תובעת מקרבז יותר מ-425 אלף דולר לא כולל הוצאות משפט ושכר טירחה. כפי שצייץ כלכלן הענן קורי קווין ל-83.6 אלף עוקביו: "תחשבו על כל הספרים שקראתם, הסרטים שראיתם. מה התכיפות שבה אנשים שתובעים עיתונאי מוצגים כחבר'ה הטובים בסיפור?"

____________________________________
עידו קינן הוא סמנכ"ל התוכן של סייטקטיק, חברה לייעוץ וניהול משברי סייבר. הכתבה התפרסמה במקור בשני חלקים במדור קפטן אינטרנט של "הארץ" ובפודקאסט הפופולרי סייברסייבר ע05פ01 – "מועדון קרבז". תמונת שער: בראיין קרבז וניקולאס שארפ על רקע מוצרים של יוביקוויטי 🖼️ קרבז: Krebs on Security; שארפ: לינדקאין; ציוד: אתר יוביקוויטי


פצחן לבן אוהב פרצן שחור?

מאחורי כל דיווח על פריצה מרושעת לאתר ישראלי כמו אטרף מתחוללת מלחמה של אנשי הגנת סייבר בהאקרים הזדוניים • אלא שעל רקע מאבקי המוחות בין הפרצנים הזדוניים לבין הפצחנים שצדים אותם מתפתחות גם מערכות יחסים הדדיות של הערכה – ולפעמים אפילו חיבה

כנס ההאקרים Y2Hack, שתוכנן להיערך בישראל בשנת 2000, עורר מהומה פרובינציאלית לואוטקית. "כותבים בתקשורת שעושים כנס גנבים בישראל או כנס פורצים לכספות בישראל", אמרה ח"כ דאז ענת מאור (מרצ), בישיבה שניהלה כיו"רית הוועדה לענייני מחקר ופיתוח מדעי וטכנולוגי. "זה אבסורד", ציטט אותה מגזין וויירד של אותם ימים, וסיפר שטענה שהאקינג "אינו חוקי בישראל ומדינות רבות אחרות, כולל ארה"ב. אם היה עומד להתקיים כנס של גנבים, או כנס של גברים שמכים את נשותיהם, איך הייתם מרגישים?" מאור אף פנתה ליועמ"ש אליקים רובינשטיין שיבקש משר הפנים נתן שרנסקי למנוע את כניסת הפושעים המסוכנים לישראל להשתתף בכנס.

נאורה שם-שאול, מחלוצות תרבות הרשת הישראלית וראשת הכנס, כתבה אז למאור וניסתה להסביר מי הם ההאקרים ומה חשיבותם:

תקראו להם רובין הודים של העולם החדש, או תקראו להם הפיראטים של המילניום – חלקם של ההאקרים בבניית הטכנולוגיות והתרבות של הרשת רב, הן בפיתוח עצמו, והן בהיותם "סנגורו של השטן" , המתריעים על הפרצות הקיימות במערכות המיחשוב שלנו. […]  אם מספרים לנו שכל שבוע פורץ איזה ילד גאון למערכת מחשבים מתוחכמת, אולי נפסיק לחשוב שכל הילדים האלה הם פושעים/גאונים, ונתחיל לבדוק האם באמת המערכות המשרתות אותנו פרוצות?

בסופו של דבר הכנס התקיים, השנים עברו וישראל הפכה למטרה אהובה על האקרים עם ובלי אידיאולוגיה אנטי-ישראלית, ואדי הסיליקון שלנו המשיך את ההצלחה של צ'קפוינט לאינספור חברות נוספות, וישראל התמצבה כמעצמת סייבר הגנתי והתקפי (תודה על זה, NSO). אבל היחס האמביוולנטי להאקרים עדיין איתנו, כולל טשטוש ההבדל הסמנטי בין האקר, פצחן בעברית, אדם שבוחן מערכות כדי לגלות בהן פירצות לצורך לימוד, קבלת קרדיט מקצועי וסגירתן; לבין קראקר, פרצן, שהוא האקר שפורץ למערכות למטרות ריגוש, רווח כספי או אמירה אידיאולוגית.

במינוח אחר, הפצחנים – האקרים טובים, או האקרים אתיים, מכונים כובע לבן, והפרצנים – האקרים רעים, זדוניים, מכונים כובע שחור. ומאחר שהכובעים הלבנים עוקבים מקרוב אחרי פעילות הכובעים השחורים כדי לסכלה וללמוד ממנה איפה יש פירצות שצריך לסגור, הם עשויים לחוש כלפי יריביהם הזדוניים יחסי הערכה מקצועית, הערצה – ואפילו לפתח חיבה אישית.

"כל חוקר מודיעין תמיד מפתח עניין במושא המחקר שלו"

"אני לא מזדהה איתם ולא מרגישה אליהם חיבה", אומרת קרן אלעזרי, חוקרת באוניברסיטת ת"א ומרצה באוניברסיטת רייכמן. "מה שאני כן רואה זה הערכה ליצירתיות שלהם. לפעמים הם מעלים חיוך על הפנים כשהם עושים משהו עם חוש הומור. הרבה מאוד מההתקפות שאני חוקרת הם יוצרים לעצמם מותג. הסיבה היא כפולה: יש מותגים בתחום הכופרה שברגע שיודעים שזה מתקפה של X, מבינים שהם רציניים וחייבים לשלם להם, כי אי אפשר לשחרר את הקבצים; אבל גם כי הם מתחרים עם קבוצות תקיפה אחרות על מפתחים ועל אפיליאטס. למשל Ryuk, זה שם של אל מוות מאנימה יפני. יש קבוצת תקיפה ממש רצינית שהמיתוג שלהם זה הלו קיטי. זה חמוד, זה מעורר חיוך, זה מצחיק. זו אחת החברות שמשוייכות לתקיפה על חברת המשחקים City Project Red, שעומדים מאחורי סייברפאנק77 ו-וויצ'ר".

קרן אלעזרי 🖼️ Tony Sojka | re:publica (cc-by-sa)
קרן אלעזרי 🖼️ Tony Sojka | re:publica (cc-by-sa)

"אני חושב שזה לא נכון, אפילו שגוי", אומר עמרי שגב מויאל, מייסד-שותף ומנכ"ל פרופרו, שמבצע Incident Response (ניתוח מתקפות סייבר לאחר מעשה) ובין השאר סייע להוואנה לאבז, H&M ו-KLS. "ובמיוחד מי שמתעסק בתחום של Incident Response כמונו ורואה את הקורבנות, רואה למה זה גורם, צולל לעומק הדברים ורואה את הנזק. אני חושב שזה הפוך לגמרי – זה נהיה עניין של רדיפה, ונדטה. יש קבוצות מסויימות שדאגתי שממש ימצאו את האנשים עצמם, אתה לא ישן בלילה בשביל לנסות לתפוס אותם. זה הופך להיות אישי. במקרה של APT34, העליתי בבלוג האישי שלי את הפרטים שלהם".

"כובעים שחורים לא ישחקו יפה עם לבנים. הם נחותים בעיניהם", קובע עידו נאור, מנכ״ל ובעלים בחברת Security Joes. "יש הרבה סוגים של כובע שחור: יש כאלו שעובדים לבד, עובדים עבור גוף או חברה, עובדים בעד תעמולה, עובדים ביחד עם כובעים לבנים. כובע שחור רואה בכובע לבן נחות ממנו. לכן 'ידידות' לא באמת מתאפשרת. אולי יחסים עסקיים. כובע שחור זה עניין של פרספקטיבה – לא כל משחיז סכינים הוא רוצח".

אין אף מקרה תקיפה שהרשים אותך?
"בוודאי שיש! אני מאוד אוהב את לזרוס מצפון קוריאה. עקבתי אחריהם במשך שנים. לא הייתה ביני לבינם תקשורת כלשהי. אבל זה לא כמו שעקבתי אחרי הבקסטריט בויז. לא מדובר בהערכה/הערצה. חייב להיות גבול דק. הם הראו יכולת טכנית מאוד גבוהה, אבל הם ניצלו אותה לרעה ולכן אני לא מביע סימפתיה כלל כלפיהם".

עידו נאור 🖼️ חן גלילי/Cytactic
עידו נאור 🖼️ חן גלילי/Cytactic

"אני לא נמצא בקשר עם אף האקר זדוני, בין מדינתי כמו האיראנים, או פיננסי כמו קבוצות הכופרה", אומר אוהד זיידנברג, חוקר מודיעין סייבר בכיר. "אני גם חושב שאסור לנו לדבר עם תוקפים, גם אם הם רוצים, כמו במקרה של Black Shadow – זה לשחק לידיים שלהם. מצד שני, אי אפשר להגיד שאני לא משקיע הרבה זמן ללמוד קבוצות תקיפה, חלק במסגרת תפקידי, אבל גם חלק מהסקרנות שלי לגבי התנהגות תוקפים מדינתיים במרחב הסייבר. כל חוקר מודיעין תמיד מפתח עניין במושא המחקר שלו. אני מאוד מחובר לאיראן כמדינה ולא רק כאויב, מחובר לתרבות, לאוכל, למוזיקה ולהיסטוריה. כשמושא המחקר שלי הוא קבוצות תקיפה, אני מאוד נהנה מללמוד את ההיסטוריה שלהם ואת ההתפתחות שלהם כקבוצה, גם אם המטרה היא לסכל את הפעילות שלהם. אני מאמין שללמוד את היעד המודיעיני לעומק מאפשר לחקור בצורה טובה יותר. צריך לסייג ולהגיד שבריגול זה מתאפשר לעומת הרס וכופר. מתקפות כאלה מאוד קשות לי, מדובר בהרס ממשי וחציית קווים אדומים. שם המוטיבציה ללמוד את התוקף היא כדי לסכל את הפעילות שלו״

אני מכיר את זה שחיילים במודיעין שעוקבים אחרי אויב מסויים מעריצים את המנהיגים של האויב, תולים דגלים ותמונות שלהם וכאלה, בקטע חצי אירוני.
"כחוקר מודיעין, כשאתה חוקר משהו שיש לך עניין בו, אתה מפתח זיקה למושא המחקר. הזיקה היא לא אהבה או רגשות חיוביים, אלא היכרות עמוקה עם היעד, ההיסטוריה שלו, ההתפתחות שלו לאורך הזמן. במודיעין אין לך מפגש עם הצד השני, ולכן האנשה שלו נותנת כלים יותר טובים ללמוד את התוקף. אצלי זה למשל בא לידי ביטוי בתוקפים האיראניים המבצעים תקיפות מודיעיניות. קבוצת Charming Kitten למשל – יצא לי לחקור עשרות גלי תקיפה שלהם בישראל ובעולם ולראות כיצד הם לפעמים משנים מילה אחת במייל, ורק מההיכרות העמוקה שלך אתה מצליח לשים לב לזה. שם ההתרגשות קורית, בזיהוי, ובטח ביכולת להשתמש בידע על ההאקרים הרעים כדי להגן על המותקפים שלהם. זה בטוח יעזור לי להסביר למה יש לי ציטוט מרויטרס של שגריר איראן באו"ם מגיב לדו"ח שהפצתי בחברת קלירסקיי על צ'ארמינג קיטן, על הקיר בחדר".

"פוטנציאל הרווח היה מיליארדים. אבל עבורי זה לא היה רלוונטי"

"ההגדרות של 'כובע לבן' או 'כובע שחור' חסרות משמעות וכנראה נטבעו על ידי אנשים שמעולם לא עסקו בתחום ברצינות", פוסק האקר שביקש לשמור על אנונימיות. "האקרים הם האקרים, והטובים בהם עושים את מה שהם עושים בשביל האתגר, וההתלהבות מהיכולת האנושית לפתור חידות ולעקוף הגנות מתוחכמות על מנת להגיע לפרס. הקהילה מורכבת מפסיפס של יחידים שהמשותף ביניהם הוא ההתרגשות מחדירה למקום שנאסר עליהם להיות בו. עצם הכניסה היא הפרס, לרבים מהם, ומה שנמצא בפנים הוא כמעט חסר משמעות. החתירה להיכנס למערכות מוגנות יותר ויותר משותפת הן ל'האקרים האתיים והן ל'פושעים', וההבדל היחידי הוא מה עושים עם המידע שמוציאים משם. ישנם שיתופי פעולה רבים בתוך הקהילה, החלפת מידע ושיטות פעולה על מנת להמשיך ולהשתפר כיחידים, וכן, לפעמים נוצרות בריתות פחות צפויות, אך כאלה שמועילות לכל המעורבים בהן".

מרקוס "Malwaretech" הצ'ינז 🖼️ צילום עצמי
מרקוס "Malwaretech" הצ'ינז 🖼️ צילום עצמי

אחד האנשים שמדגימים זאת הוא Malwaretech, מרקוס הצ'ינז בשמו הארצי, האקר בריטי שמצא את מתג החיסול של כופרת WannaCry והציל את היום. הוא התקבל בכנס האקרים בארה"ב בכבוד מלכים, אבל אחר כך נעצר והתברר שהוא אחראי גם על כרונוס, רושעה שאיפשרה לגנוב חשבונות בנק של אנשים. "נכון, הוא גיבור ואני מכיר אותו ונפגשנו לפני זה, אבל ברגע שראיתי שהוא פיתח את כרונוס כל כך התעצבנתי", אומר שגב מויאל. "בסדר, הבנתי, וגם דיברנו, והוא גם התחרט והכל. אבל בוא'נה, ראיתי את הצד השני שחטפו מקרונוס, אנשים שאיבדו את חשבונות הבנק שלהם והכל. יש פה השלכות מטורפות".

״אין לי הערצה אליהם כבני אדם, אני יכולה להעריך את היכולות הטכניות, לא מעבר״, טוענת רעות מנשה, מייסדת ומנכ״לית Tetrisponse, חברת המתמחה בתגובה לאירועי אבטחת מידע וסייבר. היא עוסקת בהאקינג מגיל צעיר, אבל לדבריה מעולם לא חשבה לבחור בנתיב האפל. לשאלה מה ההבדל בינה לבין האקרים שחורים היא משיבה בכעס: "אני לא תוקפת בית חולים, מי תוקף בית חולים?! לא כולם כאלה, כן? אני מניחה שיש האקרים שחורים שיש להם גבולות מבחינה מצפונית. אני גם לא אוהבת לקרוא לזה לבן ושחור, זה לא מתאים לזמננו, אפשר להגיד האקר טוב האקר רע״.

נאור התמודד עם דילמה כזאת כשחשף ב-2017 פירצה של השתלטות על תחנות דלק מרחוק וקיבל הצעות למכור את החולשה לקבוצות מפוקפקות. "פוטנציאל הרווח היה מיליארדים. קבוצה קוריאנית באה במיוחד לכנס במוסקבה שנכחתי בו כדי לדבר איתי מאחורי הקלעים. הם הציעו חבילה מאוד אטרקטיבית, אבל עבורי זה לא היה רלוונטי". 

למה? מצפון?
"אתיקה מקצועית. אני דמות שהרבה עוקבים אחריה. אם אני אהיה מונע מכסף ולא מאתיקה מקצועית אני מוביל אחרי אלפי אנשים ישר לתהום. שווה לי יותר לבחור בטוב, ומה גם שאני לא האש-פאפי. אין לי צורך בז'קט של גוצ'י ושבעה רולס רויס בחניה. נולדתי בכברי… תן לי בית עם עצים בחוץ וג'יפ ואני מסודר".

"תמיד אני אומר, אם אתה מצליח לעשות משהו נורמלי ברמה גבוהה בתור כובע שחור – חבל", אומר שגב מויאל. "לך תמצא עבודה בסקיורטי ותרוויח יותר כסף".

אישה מחבקת כלי שחמט 🖼️ Minh Pham
אישה מחבקת כלי שחמט 🖼️ Minh Pham

____________________________________
התפרסם במקור במוסף G של גלובס, 6.11.2021. תמונת שער: Spy vs. Spy 🖼️ Terry Robinson cc-by-sa


מענה אנושי קולביז שלום, איך אוכל לדלוף אותך? 🐱‍💻 סייברסייבר ע04פ06

👂 חברת קולביז, שמשרתת כ-2300 לקוחות, הפקירה הקלטות שיחות לכל גולש וגולשת בפירצת אבטחה שלא הצריכה יותר מדפדפן. בין הלקוחות: עו"דים, רו"חים וגופים ממלכתיים ובטחוניים 💸 וגם: מאגר השעבודים והמשכונות היה פתוח לכל גולשת, להורדה במלואו, בלי תשלום, באמצעות שורת קוד אחת 🐱‍💻 הדיווח בכלכליסט

פירצת אבטחה שההאקר אדון צ'וקו מצא באתר שירות המענה הטלפוני CallBiz חשפה את מאגר ההקלטות של לקוחות החברה, ובהם גופים עם מידע בטחוני ואסטרטגי רגיש כמו משרד ראש הממשלה, רשות שדות התעופה, משרד הבריאות ומשרד האוצר, רשויות מקומיות וחברות ציוד רפואי, עו"דים ורו"חים.

הפירצה היתה פשוטה להכעיס: עמוד רשת פתוח ללא צורך בפרטי התחברות, עם רשימת 2300 לקוחות החברה. הקלקה על לקוח הכניסה את הגולשת לעמוד הניהול שלו, עם כל הקלטות השיחות זמינות להורדה. סקריפט פשוט היה מאפשר להוריד את כל ההודעות של כל הלקוחות.

פירצה נוספת היתה עמוד עם פרטי ההתחברות של הלקוחות – שם וסיסמה, כאשר הסיסמאות בטקסט גלוי (קלירטקסט), בניגוד לנהלים המקובלים שקובעים שאין לשמור את הסיסמה במלואה, אלא עותק מגובב של הסיסמה, ואין לחשוף אותה לכל אדם בעל כלי הפריצה המשוכלל דפדפן.

הפירצה נסגרה 6 ימים אחרי שמערכת סייברסייבר איסגרה אותה למערך הסייבר. תגובת קולביז:

קולביז משקיעה משאבים רבים בכלים טכנולוגיים מתקדמים לשם הגנת ואבטחת המידע שלה ושל לקוחותיה. מנהלי אבטחת המידע של החברה פועלים לילות כימים על מנת לוודא ולהתעדכן כל העת בפתרונות הגנת סייבר מהחדשים והמתקדמים שיש. אנו עומדים בתנאי הרגולציה הנדרשת מבחינת הגנת מידע שנבדקו ואושרו על ידי הרשות להגנת הפרטיות ונמשיך לפעול להיות בחזית הטכנולוגיה הקיימת בנושא.

מיד כשאותרה הבעיה הנושא טופל באופן מיידי והפירצה נחסמה ומבדיקה מעמיקה שנערכה הן על ידינו והן על ידי חברה חיצונית אובייקטיבית נמצא שלא התבצעה שום פריצה על ידי גורם זר מלבד פירצה זו על ידי חוקר עצמאיי, כך, שלא נגרם כל נזק לחברה וללקוחותיה.

לצערנו, אנו מודעים לכך שתוקפי סייבר לא ייעלמו וכל מטרתם היא לחבל בפעילות רשתית בכלל ושל חברות ישראליות בפרט ועל כן אנו משדרגים את המערכות שלנו באופן תדיר.

שעבודים לכל

סיפור נוסף בפרק הוא גילוי של ההאקר נאור לוי, שחשף פירצת אבטחה במאגר המשכונות והשעבודים של משרד המשפטים. כדי לקבל פרטים על שעבודים ומשכונות של אדם מסויים, צריך להגיש בקשה ולשלם אגרה. אולם כפתור מוסתר באתר מאגר המשכונות איפשר לגשת לכל המידע ולהורידו במלואו, בלי פרטי התחברות ובלי תשלום. גם כאן, סקריפט פשוט היה מאפשר הורדה של המאגר במלואו.

לוי איסגר את הפירצה למערך הסייבר, שהעביר אותה אל יה"ב (היחידה להגנת הסייבר בממשלה), שדיווחה על כך למשרד המשפטים. מתן שני, CISO משרד המשפטים, השיב:

עם קבלת הדיווח ב-13/9 , ביצענו בדיקה מהירה של מעקף התשלום שהתגלה.

צוות הפיתוח התגייס לטיפול מהיר בסגירת מעקף זה.

לאחר ביצוע התיקון והבדיקות הנדרשות, עלתה גירסה מתוקנת לאתר משכונים ושיעבודים, וכעת פרצה זו אינה קיימת.

שוחחתי עם הפצחן המדווח – נאור לוי, והודיתי לו על הדיווח המפורט והאיכותי.

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן; נעם רותם 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Call The Shots של Slynk (PD) וקריינות של קוואמי דה לה פוקס ונועה ארגוב 💵 מוזיקת פרסומת: Bit Bit Loop / Kevin MacLeod CC0; 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404

🔔 קולות: דאקטיילז / דיסני; מארש המוות של שופן / 5inister (CC-BY), Sterio18 (CC0); פייט קלאב / דייוויד פינצ'ר; נעימת המתנה – VHS Dreams / Shane Ivers, silvermansound.com (cc-by); מוזיקה איראנית על סנטור / Peyman Heydarian (CC-BY); סרטון תדמית של קולביז; לכה דודי / סופי רפפורט (CC-BY);  ​​Arpent / Kevin Mcleod CC0 ; Ambient Bongos / Alexander Nakarada 🖼️ תמונה ראשית: ThomasWolter

📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל [email protected] 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 הודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס או ביט למספר 055-2-776766

כך אפשר להאזין לסייברסייבר:                    


עוד פירצה ועוד פירצה 🌆 אתרי התשלומים המוניציפליים דולפים 🐱‍💻 הסיפור המלא של סייברסייבר ע04פ02

כולם מדברים על ההאקר המלזי שמוכר מידע ממוחזר מ-City4U, אבל כבר לפני שלושה חודשים איסגרנו פירצה באתר המתחרה MAST שחשפה 660+ אלף קבצים עם מידע אישי ורגיש 🐱‍💻 נעם רותם, עידו קינן – סייברסייבר

המידע המוניציפלי שלנו מופקר – צילומי תעודות זהות, כתובות, בני משפחה, חשבונות ארנונה ומים, מסמכים רפואיים, בקשות הנחה ועוד. השבוע הודיע ההאקר @SANGKANCIL_MY (צבי זעיר במלזית) כי הוא מעמיד למכירה מאגר מידע רגיש מרשויות מוניציפליות ישראליות שנגנב מפורטל השירותים המוניציפלי City4U של אוטומציה החדשה שבבעלות וואן טכנולוגיות. אנחנו חשפנו במערכת הזאת פירצה לפני שנתיים, ואחת נוספת לפני מספר חודשים. בנוסף, לפני שלושה חודשים חשפנו פירצה חמורה בפורטל המתחרה, MAST של קבוצת מ.ג.ע.ר, שאותה אנחנו מפרסמים פה לראשונה.

הפירצה במאסט רשלנית, וקשה להאמין שאיש אבטחת מידע אישר להוציא מערכת כזאת לפרודקשן. המפתח והסוד לדלי ה-AWS (אחסון ענן באמזון) של מאסט הופיעו בטקסט גלוי באתר, וניתן היה לראותם בצפייה במקור (view source) של האתר באמצעות כלי הפריצה המשוכלל דפדפן. הפירצה חשפה יותר מ-660 אלף קבצים בגודל 209+ גיגה של מסמכים אישיים ורגישים של מאות אלפי אזרחים שמחוייבים להשתמש בהם, ובין השאר צילומי תעודות זהות כולל מועד ההנפקה, שמשמש כסיסמה באתרי ממשל, אישורי ביטוח לאומי ואישורים אחרים החושפים מידע פרטי, רגיש, ולעיתים רפואי.

<חסות>

אוהבות פרצות אבטחה, אבל רוצות להפוך את הרשת למקום בטוח יותר? רוצים להתפתח בעולם הסייבר, ללמוד על וקטורים חדשים ומגניבים, ועל הדרך גם להתפרנס? אם אתן מאזינות לפודקאסט ומתמצאות בסייבר, יכול להיות שיש לנו עבודה בשבילכן!

vpnMentor, המבוססת בישראל, מוציאה דוחות על פירצות אבטחה שמתפרסמים בכלכליסט, דה מרקר ובכלי תקשורת ברחבי העולם, ובהם ניו יורק טיימס, CNN ו-BBC. החברה מגייסת חוקרות וחוקרי סייבר מתחילים (ג’וניורים) לצוות המובחר שלה, שיזכו למנטורינג ממומחים בתחום, ייחשפו לעולם אבטחת המידע והתקשורת ויקבלו הזדמנות לצמוח ולהפוך לשחקניות מובילות בעולם הסייבר

שילחו קורות חיים אל [email protected] ותראו ישועות

<\חסות>
מפתח וסוד ה-AWS של MAST. מערכת סייברסייבר הסתירה את המידע הרגיש כי אנחנו יותר אחראיים ממ.ג.ע.ר

איסגרנו את הפירצה ל🎶מערך הסייבר🎵. הם העבירו את ההודעה למגער, ואחרי 11 ימים הודיעו לנו מטעם מגער שהפירצה נסגרה. מ.ג.ע.ר מסרו (התחביר המקולקל במקור):

נושאי אבטחת המידע והגנת הפרטיות הם נר לרגלי החברה, המקבלים דגש ומענה הן בהנהלת הארגון ובהנחייתה והן בקרב עובדי החברה, בכל הדרגים והתפקידים המקבלים תדרוכים ודגשים תקופתיים. כמו כן, החברה שוקדת על ביצוע בדיקות ובקרות שוטפות ושונות לאורך השנה לעמידות, עדכון ותחזוקת מערכותיה, ולריענון נהליה המקיפים בתחומי הגנת הפרטיות ואבטחת המידע.

לאחרונה עודכנו על-ידי מערך הסייבר הלאומי, כי דיווח אלמוני סבור שקיימת חולשה אפשרית ביחס למפתח הגישה לשרת הענן המצוי בבעלות חברת  AMAZON, המשמש לשמירה זמנית של קבצים (תמונות וקבצי מידע, לא נתונים) עבור רשויות מקומיות ותאגידי מים, עבורן אנו בחזקת מחזיקים של הקבצים הנ"ל ומופעלת על-ידה. יובהר כי החולשה האפשרית עוסקת באפשרות גישה למידע, זאת אך ורק באמצעות נקיטת סדרת פעולות טכנולוגיות ייחודיות, אשר אינן בגדר מאמץ בסיסי של משתמש סביר.

מיד עם קבלת הדיווח כאמור לעיל, ערכה החברה בדיקה מקיפה ממנה עולה כי אין כל אינדיקציה המעידה על חשיפה בפועל של פרטי מידע אישיים אודות נושאי המידע, וכי למיטב ידיעתה החולשה האפשרית לכאורה לא נוצלה בפועל ולא נשקף ממנה סיכון ממשי ו/או שימוש זדוני במידע. בכל מקרה, החברה פעלה באופן מידי לשם חסימת החולשה האפשרית, ומימשה דרכים נוספות לחיזוק ההיבטים הרלוונטיים בהתחשב במקרה המתואר לעיל, ותדאג לבצע התאמות נוספות, ככל שיידרשו.

החברה פעלה, פועלת ותוסיף לפעול למען לקוחותיה בכלל וביחס להיבטי הגנת הפרטיות ואבטחת המידע בפרט.

תגובת מג.ע.ר לאסגרה

התגובה הזאת היא המשכו של הביזיון באמצעים אחרים: הדיווח לא היה אנונימי; המפתח והסוד הוצגו במפורש בצילומסך ששלחנו למערך הסייבר; תמונות וקבצי מידע ליטרלי מכילים נתונים; סדרת הפעולות הטכנולוגיות הייחודיות הן כשתי הקלקות עכבר בדפדפן; ו-11 יום לסגירת פירצה כזאת הן 11 יום יותר מדי, גם אם מתעלמים מכך שהיא היתה צריכה להתגלות עוד לפני שהאתר הושק.

בנוסף, מאחר שהפירצה זמינה ופשוטה כל כך, לא בלתי סביר להניח שהאקרים שמפעילים כלים אוטומטיים לאיתור פירצות כאלו כבר שמו את ידיהם על המידע, דבר שאפשר לבדוק בקבצי הלוג של בסיס הנתונים. למרות זאת, מגער טוענים כי לא היתה חשיפה של המידע והחולשה לא נוצלה לרעה. לא מגער ולא מערך הסייבר הוציאו הודעה לציבור על פוטנציאל השימוש לרעה במידע שהיה נגיש לכל גולשת – גניבת מידע, גניבת כסף וגניבת זהות.

<חסות>

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת cybercyber.co.il/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.

<\חסות>

פרוייקט המיחזור המלזי

בנוגע לדאמפ של @SANGKANCIL_MY, התאריכים בקבציו הביאו מומחי סייבר לשער שמדובר בפריצה ממוחזרת.

האוטומציה החדשה מסרו בתגובה לפרסומים של ההאקר המלזי: "חברת אוטומציה החדשה מתחקרת את הטענות לדלף מידע ממערכת City4U מאז פורסמו לראשונה בערב החג, ונמצאת בקשר שוטף עם מערך הסייבר הלאומי. בבדיקות שנערכו עד כה, לא זוהתה כל חדירה למערכת ולא מן הנמנע שמדובר במידע ישן ומוגבל בהיקפו. ככלל, יש לציין כי מערכת City4U מחזיקה נתונים של כמה מאות אלפי ישראלים לכל היותר, ולא בסדרי הגודל שהזכיר התוקף בהודעתו. אוטומציה החדשה משקיעה משאבים רבים באבטחת מידע והינה מוסמכת תקן אבטחת המידע ISO 27001. החברה עורכת באופן תדיר סקרי סיכונים ומבדקי חדירה, ומקיימת בקרות שוטפות של חדירות המערכות שלה לפריצות סייבר. אנו ממשיכים בחקירת האירוע ונעדכן ככל שיהיו ברשותנו ממצאים חדשים".

__________________________
תמונה ראשית: "גרמניה – פיצוץ מבוקר, 1996" (פרט) 🖼️ © יוליאן רוזפלדט ופיירו שטיינלה; מוצג בתערוכת "הווה מתמשך: חדש באמנות עכשווית" במוזיאון ישראל

תמונת פרק: Metropolis 🖼️ שרון פזנר (cc-by-nc)


המאגר הביומטרי, שפרטי יועץ אבטחת המידע שלו דלפו עכשיו בפריצה, לא ידלוף

ההאקר @SANGKANCIL_MY הודיע אתמול (5.9.2021) שהצליח לחדור למאגר מידע רגיש של רשויות מוניציפליות ישראליות. הוא פרסם בטלגרם דאמפ צנוע כהוכחה (PoC), ומציע את המאגר המלא בן 7 מיליון הרשומות למכירה. לא ברור אם ההאקר ידע זאת, אבל שניים מהמסמכים בדאמפ חושפים פרטים של יועץ סייברסייבר של המאגר הביומטרי.

בין המסמכים שבדאמפ יש צילומי תעודות זהות וספחים, מסמכי רכב (רשיונות נהיגה, רשיונות רכב, חוזה שכירת רכב, טופס החלפת בעלות), קבלה על תשלום ארנונה בהרצליה וקובץ אקסל עם פרטים של כ-3000 ישראלים.

הקבלה של יורם אורן שדלפה. מערכת סייברסייבר הסתירה פרטים מזהים

סייברסייברון אנונימי הבחין ודיווח לסייברסייבר כי קבלת הארנונה היא על שם יורם אורן ואשתו (שבחרנו לא לפרסם את שמה). אורן משמש מאז 2008 יועץ לענייני ביומטריה, כרטיסים חכמים ואבטחת מידע של משרד הפנים, שתחתיו פועלת רשות המאגר הביומטרי הלאומי. הקבלה הונפקה ב-2012, והיא מכילה את הכתובת והמיקוד של האורנים, סכום התשלום ומספר חשבון משלם, שזהה למספר הח"פ של אורן במסמכים (הפומביים) של הארכת והגדלת ההתקשרות שלו עם משרד הפנים – כלומר, מספר תעודת הזהות שלו.

בדקנו באקסל ומצאנו את האורנים גם שם, עם תאריכי יום הולדת, שמות האבות שלהם, עיר מגורים (אחרת מזו שמופיעה בקבלה) ושדה בשם TELL, שאולי מציין מספר טלפון.

פנינו אל אורן בסמס ודרך טופס באתרו, ונעדכן בתגובתו.

<חסות>

אם אתם מחפשים אחסון לפודקאסט, אנחנו ממליצים ללקוחות שלנו על פודבין. יש חבילה בסיסית בחינם שמאפשרת להתנסות בשירות, ואפשר לשדרג לחבילה בתשלום. אם תירשמו דרכנו כאן podbean.com/podcastico – אנחנו נקבל כמה שקלים, ואתם תקבלו מפודבין חודש במתנה.

<\חסות>

ארגוני פשיעה השתמשו בסלולרי מוקשח ומוצפן של ספק התקשורת האמין FBI

הסיפור שודר בפינה "האחראי על האינטרנט" בתוכנית "שישבת עם עידן קוולר" בגלצ ב-19:35 📻 >>

פרטיות היא זכות אזרח וזכות אדם, שבחודשים האחרונים הפכה לסחורה חמה בשוק הטכנולוגיה. ענקיות הטכנומידע, שרבות מהן מתפרנסות מאיסוף והיוון מידע על המשתמשים, החלו לקדם יוזמות להגברת הפרטיות – גוגל חוסמים עוגיות צד ג' בכרום, אפל מאפשרים למשתמשי אייפון לחסום מעקב מצד יישומונים, וואטסאפ חזרו בהם מהגבלת משתמשים שיסרבו לתנאי שימוש שהיוו הרעה בפרטיותם.

חברת Phantom Secure הקנדית התפרנסה מטכנולוגיית פרטיות – היא מכרה סמארטפונים מוקשחים ומוצפנים לאנשים שממש רוצים פרטיות. הסמארטפונים לא נמכרו בחנויות רגילות או מקוונות, אלא דרך קשרים עם מפיצים מורשים, שלעתים ביצעו בדיקות רקע ותיחקרו את הלקוחות הפוטנציאליים לפני שהחליטו אם למכור להם את המכשיר. המכשירים נמכרו ב-1500-2000 דולר למכשיר עם חבילת תקשורת של 6 חודשים, מחיר גבוה יחסית לסלולריים שלא איפשרו שיחות טלפון רגילות או גלישה חופשית באינטרנט, אלא רק תקשורת ישירה עם רשימה סגורה של משתמשי פאנטום אחרים. כלומר, לא מדובר במוצר שימושי למשתמשים רגילים שרוצים להגן על פרטיותם, ואשר יכלו להסתפק בהגנות בסיסיות כגון פיירוול, VPN ויישומוני צ'ט מוצפנים.

חבילות סלולר מאובטחות מפני רשויות החוק 🖼️ אתר פאנטום סקיור

הריח המשונה שנדף מפאנטום עלה באפו של ה-FBI, שפתח בחקירה נגד החברה ב-2017 וגילה שכלל לא מכרה מכשירים למשתמשים מהשורה, אלא התמקדה במגזר שיש בו ביקוש קשיח לתקשורת מוצפנת – מגזר ארגוני הפשיעה הגלובלי. במרץ 2018 הגיש חבר מושבעים גדול במחוז דרום קליפורניה כתב אישום נגד חמישה מנהלים בחברה, ובהם המנכ"ל וינסנט ראמוס, על הפרת חוקי ה-RICO (פשע מאורגן) וסיוע להפצת קוקאין. על ראמוס נגזרו 9 שנות מאסר והחרמה של נכסים ב-80 מיליון דולר.

עם מעצרו של ראמוס בסמוך להגשת כתב האישום, פאנטום נסגרה בפועל והפסיקה לספק שירותים (ה-FBI קרא למשתמשים לגיטימיים לפנות אליו לקבל עותק של המידע שלהם, אולם לא הצליח לאתר ולו משתמש לגיטימי אחד). סגירת הרשת אילצה את ארגוני הפשיעה לחפש חלופה, וזו נמצאה בדמות ANOM, יישומון תקשורת מאובטח שהוסווה כיישומון מחשבון והותקן על סלולריים שהופשטו מיכולותיהם המקוריות, כך שתתאפשר בהם רק תקשורת מאובטחת עם אנשי קשר מרשימה סגורה, ורק אם הם מחזיקים גם כן במכשיר אנום.

אתר הסלולרי המאובטח אנום

המפתח של אנום הוא מבריח סמים לשעבר, שהיה אחד המפיצים של פאנטום ושל Sky Global (חברה דומה, שנסגרה במרץ השנה עם הגשת כתב אישום וצווי תפיסה לתשתיות החברה). באוקטובר 2018 החל המפתח להציע את אנום לשלושה מפיצי פאנטום עם קשרים בארגוני פשיעה, בעיקר באוסטרליה, והפיץ דרכם 50 מכשירים, ביניהם לשני ארגוני פשיעה המתוחכמים ביותר באוסטרליה. כל המשתמשים היו פושעים, כולם דיברו בחופשיות על הפעילות הפלילית שלהם, וחלקם הביעו נכונות לתת מכשירי אנום גם לבכירים בארגוני הפשיעה.

השמועה עברה מפה לאוזן, ואנום, ששווק למשתמשים הפוטנציאליים כמכשיר ש"פותח על ידי פושעים עבור פושעים" ונמכר ב-1700$ למכשיר עם חבילה של 6 חודשים, הפך לכלי התקשורת המועדף על ארגוני פשיעה ברחבי העולם, מה שמאוד שימח את ה-FBI – כי הוא זה שעמד מאחורי מלכודת הדבש שנקראת אנום.

בסמוך למעצרו של ראמוס וסגירת רשת פאנטום, המפתח של אנום הציע ל-FBI להשתמש באנום לחקירות קיימות ועתידיות. ה-FBI הסכים, וגייס את המפתח להפוך את אנום למלכודת דבש שתמשוך פושעים להשתמש בה ולחשוף את עצמם. ראשית, הוא הכניס ליישומון דלת אחורית – מפתח ראשי (master key) שיוצמד לכל הודעה מוצפנת ויאפשר את פענוחה, ושליחת עותק סמוי (BCC) של כל הודעה לשרת בשליטת ה-FBI או אחד משותפיו. לאחר מכן, הוא הפיץ את המכשיר המורעל דרך קשריו לארגוני פשיעה ברחבי העולם.

(כדי לשמור על הלקוחות מרוצים, ה-FBI חיפש בתכתובות שיירט התייחסויות של המשתמשים לבעיות, לשיפורים נדרשים וליישומים חסרים. כך, למשל, הוא מילא את רצונם של משתמשים ועבר להפיץ את אנום על טלפונים סלולריים חדשים וקטנים יותר).

המפתח קיבל תמורת השתתפותו 180 אלף דולר ואופציה לעונש מופחת באישומים שהוא עומד בפניהם. רשויות החוק קיבלו את ארגוני הפשיעה על מגש של כסף, כוח, כבוד וקוק.

אתר הסלולרי המאובטח אנום אחרי חשיפת מבצע מגן טרויאני

ביום שלישי השבוע, ה-FBI האמריקאי, היורופול האירופי והמשטרה הפדרלית האוסטרלית (AFP) חשפו את מבצע העוקץ המוצלח – שנקרא בארה"ב "מגן טרויאני" (Operation Trojan Shield), באוסטרליה "מבצע איירונסייד" (Operation Ironside) ובאיחוד האירופי "אור ירוק" (Greenlight). המבצע התנהל בסתר במשך שלוש שנים, ואלה הישגיו: החדרה של 12 אלף מכשירים ליותר מ-300 ארגוני פשיעה ביותר מ-100 מדינות; יירוט יותר מ-27 מיליון הודעות ב-45 שפות; זיהוי עסקות סמים, הלבנת כספים, מכירת נשק ושחיתות ציבורית בדרגות גבוהות; מעצר של 800 חשודים, 500 מהם במבצע גלובלי בן יומיים מיד לפני החשיפה, ביותר מ-12 מדינות; חיפוש על ידי 9000 שוטרים ב-700 מקומות ברחבי העולם; החרמה של יותר מ-8 טון קוקאין, 22 טון מריחואנה, 2 טון אמפטמין ומת', 6 טון של כימיקלים לייצור סמים, 250 כלי נשק, 55 רכבי יוקרה ויותר מ-48 מיליון דולר במטבעות שונים; פירוק 50 מעבדות לייצור סמים; סיכול 150 איומים מוחשיים על חיי אדם; ואישומים נגד 17 מפיצים לא-אמריקאים של אנום.

תמונות והודעות מפלילות שפושעים שלחו דרך אנום 🖼️ FBI
נשק וסמים שהוחרמו באוסטרליה במסגרת מבצע איירונסייד/מגן טרויאני 🖼️ משטרת אוסטרליה
נשק וסמים שהוחרמו באוסטרליה במסגרת מבצע איירונסייד/מגן טרויאני 🖼️ משטרת אוסטרליה

מלבד הפגיעה הישירה בארגוני הפשיעה המעורבים, המבצע ביקש גם לפגוע בהסתמכות שלהם על אמצעי הגנה טכנולוגיים. "היינו בכיסים האחוריים של הפשע המאורגן", אמר מפכ"ל המשטרה הפדרלית האוסטרלית, ריס קרשו. התובע הכללי בפועל של מחוז דרום קליפורניה, רנדי גרוסמן, מסר: "מכשירים מוקשחים מוצפנים בדרך כלל מספקים חומה בלתי עבירה נגד מעקב ואיתור על ידי רשויות הוק. האירוניה כאן היא שאותם מכשירים שהפושעים הללו השתמשו בהם להסתתר מרשויות החוק היו למעשה מגדלורים עבור רשויות החוק. אנחנו שואפים לרסק כל אמון בתעשיית המכשירים המוקשחים המוצפנים באמצעות כתב האישום שלנו וההודעה שהפלטפורמה הזאת הופעלה על ידי ה-FBI".

אירונית אף יותר העובדה שאם הפושעים היו מתקשרים בסלולריים רגילים, הם היו מוגנים יותר, הן כי היו מקפידים יותר על דיבור על מעשים פליליים בקודים במקום במילים מפורשות, והן כי הרבה מהתקשורת שלהם היתה מוסתרת מרשויות החוק בגלל תפוצתה של ההצפנה מקצה-לקצה בשירותים מסחריים פופולריים כמו וואטסאפ וזום.


גודדי הבטיחה בונוס לעובדים ואז נזפה בהם על שנפלו בפח

בסוף שנה ארורה כמו 2020, כיף לקבל מהמעסיק אימייל שמודיע לך על בונוס חמוד, כמו זה שקיבלו עובדי גודדי:

ספק רישום הדומיינים הגדול בעולם, עם כ-80 מיליון דומיינים, הבטיח בונוס של 650$ לעובדים שיקליקו על הלינק של אזור מגוריהם וימלאו את הפרטים הנדרשים. הם קיבלו ארבעה ימים, ואזהרה שמי שלא יירשם בזמן יפסיד את הכסף.

500 העובדים שמילאו את הטופס לא קיבלו בונוס. במקומו, הם קיבלו נזיפה מהסיסו של גודדי, דמטריוס קאמז:

קיבלת את האימייל הזה כי נכשלת במבחן הדיוג שערכנו לאחרונה. יהיה עליך לעבור מחדש את הכשרת ההנדסה החברתית למודעות אבטחה.

הודעת הבונוס היתה למעשה הדמייה של דיוג, כך חשף ה-Copper Courier.

דיוג (פישינג, phishing) הוא נסיון להשיג מאנשים פרטים אישיים, ובהם לעתים שמות משתמש וסיסמאות, לצורך גניבת זהות, פריצה למערכות ממוחשבות וכדומה. הדייגנים עושים שימוש בהנדסה חברתית, כלומר מציאת חולשות אבטחה אצל בני אדם כדי לגרום להם לתת את המידע – למשל, הבטחה לכסף תמורת הקלקה על לינק ו/או מסירת פרטים אישיים. מה שגודדי עשו הוא הדמייה של דיוג לצורך בדיקת ערנות העובדים, מהלך שחברות אחראיות מבצעות מפעם לפעם כדי להטמיע נהלי אבטחת מידע בקרב העובדים.

כרשם הדומיינים הגדול בעולם, גודדי הם מטרה נחשקת להאקרים שרוצים להשתלט על דומיינים כווקטור לתקיפות שונות. בלוג הסייברסייבר של בראיין קרבז הזכיר כמה פריצות משמעותיות שגודדי ספגו השנה: במרץ, האקר ביצע דיוג-ממוקד טלפוני של נציג שירות לקוחות והסיט את התעבורה של אתר Escrow.com לכתובת איי.פי במלזיה; באפריל, החברה גילתה שפירצת אבטחה מאוקטובר 2019 (!) סיכנה חשבונות אחסון של 28 אלף לקוחות של החברה; ובנובמבר, האקרים דייגו מספר עובדים בגודדי והביאו להסטת תעבורה של מספר פלטפורמות לסחר בקריפטומטבעות. כך שהחשש של גודדי מפני דיוג אמיתי, והצורך באימון העובדים קריטי.

אלא שעם הפרסום, החברה חטפה ביקורת על הדרך שבה בוצע המהלך, עם חוסר הרגישות שבנפנוף בונוס שקרי מול העובדים, ובפרט בתקופת החגים ותחת הלחץ וחוסר הוודאות של המגיפה. זאת, רק חצי שנה אחרי שהחברה הודיעה על פיטורים/העברה מתפקיד של מאות עובדים במחלקת המכירות, בדיוק ברבעון שבו הודיעה על גידול שיא במספר הלקוחות.

בנוסף, האימייל נשלח מכתובת בדומיין של גודדי – [email protected] – אמנם לא דבר בלתי אפשרי לזיוף, אבל כזה שמגביר את תחושת האמינות. מצד שני, אפשר לטעון שעובדים צריכים להיזהר גם מאימיילים שמגיעים לכאורה מכתובת ששייכת למעסיק. ומצד שלישי – המעסיק, במיוחד גוף טכנולוגי גדול כמו גודדי – צריך לעצור אימיילים כאלו עוד לפני שהם מגיעים לעובדים.

דובר גודדי מסר לגיזמודו:

גודדי לוקחת מאוד ברצינות את אבטחת הפלטפורמה שלנו. אנחנו מבינים שחלק מהעובדים לא היו מרוצים מנסיון הדיוג וחשו שהוא היה לא רגיש, ועל כך התנצלנו. בעוד הבדיקה חיקתה נסיונות אמיתיים שנמצאים היום בשימוש, אנחנו צריכים להשתפר ולהיות יותר רגישים לעובדים שלנו.

החברה לא השיבה אם בכוונתה לפצות את העובדים באמצעות חלוקת הבונוס המובטח.

________________________
התפרסם במקור בפינה "האחראי על האינטרנט". 🖼️ mikkooja1977


פרשת #משטריגול: שאילתה לשר, מדריך פרטיות לגולשות

הבוקר חשפנו כאן בסייברסייבר ביחד עם עודד ירון מערכת משטרתית למעקב והסטת תעבורת רשת. מספר התפתחויות בנושא: השר לבטחון פנים יצרך לתת תשובות על הפרשה, מדריך טכני מפורט יסייע לגולשות להקשות על המשטרה לעקוב אחריהן ולבצע מניפולציות על הגלישה שלהן, ויש גם מאפים.

המשטרה מסרה באין-תגובתה לחשיפה שהיא "פועלת על פי הסמכויות המוקנות לה בחוק ומפעילה רק אמצעים המותרים לה על פיו" – מה שאמור להיות מובן מאליו, ואינו משיב על השאלות שהעלינו. במשרד ראש הממשלה בכלל לא השיבו. כעת ייאלץ השר לבט"פ אמיר אוחנה, להשיב על שאילתה בנושא. את השאילתה הגיש ח"כ משה ארבל (ש"ס), שמוכר כמי שמוביל מאבק לשמירה על זכותם של עצירים שלא להיאזק ואף מגיע לביקורות פתע בבתי משפט.

ח"כ משה ארבל (ש"ס) 🖼️ נחלת הכלל

בשאילתה כתב ארבל:

מדובר לכאורה בפגיעה חמורה שלא כדין בפרטיותם של אלפי אזרחים ישראלים ובפגיעה חמורה בחופש הביטוי בשל החשש לאפקט מצנן על הזכות להתבטא בחופשיות ברשת. כל זאת נעשה במחשכים, ללא היתר חוקי מפורש ומבלי שנערכה ביקורת פרלמנטרית מסודרת על מדיניות שמסתמנת כאחת האחראיות המרכזיות להפרת זכויות במדינת ישראל.

ח"כ ארבל שאל את השר אוחנה:

1) האם הפרסום נכון ומהי מדיניות המשטרה בנוגע למעקב אחר גלישה ברשת?
2) מכוח איזה חוק רשאית המשטרה לבצע פעילויות מעקב ברשת, מי במשטרה אחראי על הפעלת המדיניות ואישר אותה?
3) מהו היקף המעקב ברשת בשנה האחרונה והאם אושר ע"י הייעוץ המשפטי לממשלה?

על פי חוק, השר חייב להשיב על השאילתה תוך 21 יום.

עד שהמשטרה תאולץ להשיב ואולי אף להגביל את המעקב, ידיד סייברסייבר רן בר-זיק פרסם מדריך מפורט לגולשות כיצד להקשות על המשטרה לעקוב ולבצע מניפלציות על הגלישה (והמאזין דן פלג אימלק באמצעות מאפים).

לחמי IP, DNS ו-TOR 🖼️ דן פלג

טיפים נוספים לשמירה על פרטיות דיגיטלית אפשר למצוא בפרק "הפתרון למעקב בחסות הקורונה: קריפטופארטי" (ע02פ22).


שירביט שידרגו את האבטחה לשיר256ביט 🚨🚨🚨🚔👮

אומת הרשת נתנה עבודה בפרשת הסייברפריצה לסוכנות הביטוח שירביט. הנה כמה מהבדיחות שאהבתי. מוזמנים לשלוח עוד בשלל אמצעי ההתקשרות שמופיעים באתר, או להזעיק את משטרת בדיחות האבא.

אביב מזרחי
אביב מזרחי
בדיחת שירביט. יוצר לא ידוע
יוצר לא ידוע
בדיחת שירביט. יוצר לא ידוע
יוצר לא ידוע
דן גורן, BezimSheli1984
דור צח
מיינה
רשף שי
גידי גורן
תומר שרון
שגיא בן צדף
דין לנגזם
השרה לענייני צילום חתולים
Image
רם גלבוע
Image
שלומי פרץ
בדיחת שירביט - רן לוקאר והראל דן
רן לוקאר והראל דן
בדיחת שירביט - יאיר קיבייקו
יאיר קיבייקו
רן בר-זיק
וכמה מהתגובות לבר-זיק
ואני
משטרת בדיחות האבא
כולכם עצורים. עלו לניידת!

גוגל סטריט ויו מסתיר את בית ראש הממשלה בקיסריה, ובכך חושף את ראש הממשלה לאיום ביטחוני מצד ארגוני הטרור!

חשיפת מידע רגיש לא חייבת לקרות בצורה של פרסום המידע עצמו. לפעמים מידע רגיש נחשף גם בגלל אי-פרסומו. למשל: אם אני מחתים כרטיס נוכחות כל יום בעבודה, אפשר לדעת באילו ימים ושעות הייתי שם. אבל אם ביום שני לא העברתי את הכרטיס – היעדר המידע הוא למעשה מידע, שאומר שלא הייתי במשרד ביום שני, או הייתי אבל ניסיתי להסתיר זאת ולא העברתי כרטיס. משיודעים זאת, אפשר לנסות לברר אם הייתי או לא, על ידי בדיקת מצלמות מעקב, חקירת עמיתים לעבודה וכיוצא בזה.

דוגמה יפה להעברת מידע באמצעות החסרת מידע היא הדרך הערמומית שבה ספרנים בארה"ב עקפו תוכנית של ה-FBI למעקב אחרי המבקרים בספרייה תוך הסתרת המעקב באמצעות איסור פרסום לפי חוק הפטריוט. מאחר שהחוק אסר על ספרנים לספר שה-FBI היה בספרייה או ביקש מידע על מבקרים, הם תלו בספריות שלטים בנוסח “ה-FBI לא היה פה. שימו לב היטב אם השלט הזה יוסר”.

דוגמה נוספת היא האופן שבו גוגל חושפים מקומות רגישים בטחונית בישראל. נזכרתי בכך בזכות הודעה ששלחה פעילת הביביסטים אורלי לב לפעילים אחרים, שבה היא קוראת להם להגיע להפגנה ליד בית משפחת פרקש בקיסריה (בטענה שמשפחת פרקש אירחה בביתה, הסמוך לבית ראש הממשלה, פעילים אנטי-ביביסטים, ובכך איפשרה להם לעקוף איסור להפגין ליד בית ראש הממשלה). לב צירפה מפת גוגל שבה סימנה בעיגול אדום את בית פרקש.

ההודעה של אורלי לב עם מפת גוגל שבה מסומן בכחול בית משפחת נתניהו

הפעיל האנטי-ביביסט גונן בן יצחק פרסם צילום של ההודעה וכתב: "במפות גוגל הנקודה הכחולה מסמלת את המיקום של מי שפתח את המפה לניווט. במקרה של המפה שאורלי לב שולחת לפעילים, הנקודה הכחולה נמצאת בבית משפחת נתניהו בקיסריה". ואילו לדברי הפעיל האנטי-ביביסטי נרי ירקוני, "מי שחיפש שהה *באותו הרגע* בבית נתניהו בקיסריה (עיגול כחול)". נדמה לי שמבין השניים, ירקוני מדייק: מי שצילמסך את המפה עשה זאת כשהוא נמצא בבית משפחת נתניהו או בסביבתו הקרובה.

כך או כך, יאיר נתניהו, שהינו אדם פרטי ולכן באופן טבעי מוסר תגובות בשם ראש הממשלה, אמר בתגובתו כי

גונן בן יצחק עשה דבר חמור ביותר כשפרסם לכל העולם בציוץ בטוויטר את מפת גוגל שמראה את מיקומו המדויק של בית ראש הממשלה בקיסריה, ובכך חשף את ראש הממשלה לאיום ביטחוני מצד ארגוני הטרור..

וויינט, 21.11.2020
תגובת יאיר נתניהו בחדשות 12 לפרסום של גונן בן יצחק

הטענה הזאת מקושקשת: כתובת בית משפחת נתניהו "פורסמה פעמים רבות בעבר גם באישור הצנזורה, וניתן למצוא אותה בקלות בגוגל", כפי שנכתב בוויינט. אבל היא מספקת הזדמנות להזכיר שגוגל פרסמו בעקיפין רשימה של כתובות שיש סיכון בטחוני בצילומן, כולל ביתו של ראש הממשלה ובנו, האיש הפרטי; וכי מי שהעביר את הרשימה הרגישה הזאת לגוגל, חברה פרטית לא-ישראלית, היא מדינת ישראל.

באפריל 2012 השיקו גוגל בישראל את גוגל סטריט ויו, שירות שמציג תצלומי רחובות ובתים על מפות גוגל. לפני ששלחו את ניידות הצילום להסתובב ברחובות ישראל, גוגל נדרשו לקבל אישורים רשמיים, ובהם אישור ועדת שרים בראשות דן מרידור, שבחנה את ההיבטים הביטחוניים. המדינה התירה לגוגל לצלם ברחובות ישראל, אך דרשה מהחברה להימנע מצילום סביב אתרים רגישים בטחונית. כדי שגוגל ידעו איפה אסור לצלם, הם קיבלו מהמדינה רשימת כתובות רגישות שאסורות בצילום.

כדי לגלות אילו אתרים נחשבים רגישים בעיניי מדינת ישראל, כל מה שגולשת צריכה לעשות זה לגרור את אייקון האיש הצהוב מעל מפות גוגל באזורים שונים בישראל, ולראות סביב אילו כתובות ובתים אין קווים כחולים שמעידים שהאזור צולם. למשל: הבסיס הצבאי הקריייה בתל אביב, ובאופן משונה גם מצודת זאב. אחר כך הגולשת יכולה לחפש את אותם אזורים בשירותי מפות אחרים, תצלומי לווין או בסיור פיזי במקום.

אם הגולשת תגרור את האיש הצהוב מעל מפת קיסריה, היא תגלה קטעי רחוב בודדים שלא צולמו, ועל כבישיהם לא מופיע קו כחול – למשל, נתח בחלק הצפוני של רחוב הדר, סביב בית מספר 69. מעניין מי מסתתר שם.

רחובות קיסריה הזמינים בגוגל סטריט ויו
החתיכה החסרה פוגשת את O הגדול

עיתונאי פלש לווידאוצ'ט של שרי ההגנה של אירופה אחרי שהשרה ההולנדית חשפה את הסיסמה בטוויטר

מאז שמגיפת הקורונה שינתה את חיינו, צילומסכים של קוביות עם פרצופים הפכו לחלק מהשפה החזותית שלנו, בין אם מדובר בזום עם חברים או בוובקס עם העמיתים לעבודה. שרת ההגנה ההולנדית, אנק ביילפלד (Ank Bijleveld), צייצה ביום שישי צילומסך של שיחת וידאו שבה השתתפה, במסגרת פגישת שרי ההגנה האירופים במועצת יחסי החוץ של האיחוד האירופי. זמן קצר לאחר מכן התחרטה ומחקה את התמונה, אבל זה כבר היה מאוחר מדי: איש זר פלש לווידאוצ'ט והביא לפיצוץ הפגישה.

אותו פולש אכזר הוא העיתונאי ההולנדי דניאל ורלאן (Daniël Verlaan) מ-RTL Nieuws. הוא קיבל טיפ אנונימי שהתמונה שהעלתה ביילפלד מכילה ב-URL (כתובת האתר) שם משתמש ו-5 מתוך 6 ספרות של הפינקוד הנדרש לכניסה לשיחה. ורלאן ניסה כמה מספרים עד שהגיע לפינקוד הנכון.

בשלב הזה צריך היה להיות אמצעי הגנה נוסף, שעליו התחייבו מנהלי השיחה בהודעה מוקדמת למשתתפים. אבל ורלאן לא נתקל בשום הגנה כזאת – הוא נכנס ישר לשיחה, נופף לשלום לשרי ההגנה המופתעים והצוחקים, הציג את עצמו וניהל שיחה קצרה עם הנציג העליון של האיחוד לענייני חוץ ומדיניות ביטחון, ג’וזפ בורל. זה צחק במבוכה ושאל את ורלאן אם הוא מודע לכך שזו עבירה פלילית, ואז ביקש ממנו לעזוב את השיחה במהירות, לפני שהמשטרה תגיע.

ביילפלד, כאמור, מחקה את הציוץ. דובר מטעם משרד ההגנה ההולנדי מסר ל-RTL כי “עובד צייץ בטעות תמונה עם חלק מהפינקוד. התמונה נמחקה לאחר מכן. טעות טפשית. זה מראה לך כמה צריך להיות זהירים כששולחים תמונה מפגישה”. אפילו ראש הממשלה מארק רוטה התייחס לדברים ואמר: “התוצאה היחידה של זה היא שביילפלד הראתה לשרים האחרים כמה צריך להיזהר”.

במועצה אמרו ששום מידע סודי לא נידון בישיבה (בפוליטיקו דיווחו שעלה לדיון מסמך מסווג על הסכנות שעומדות בפני האיחוד האירופי, שישמש בסיס לאסטרטגיית הגנה עתידית של האיחוד האירופי). עוד אמרו במועצה כי יגישו תלונה לרשויות.

הצילומסך שצייצה אנק ביילפלד. RTL Nieuws הסתירו את פרטי ההתקשרות 🖼️ ורלאן
הצילומסך שצייצה אנק ביילפלד. RTL Nieuws הסתירו את שם המשתמש והסיסמה 🖼️ ורלאן

ורלאן סיכם:

> כעיתונאי, אתה צריך להביא ראיות חותכות אחרת ישקרו לך (‘לא, יש אמצעי הגנה נוספים, לא יתנו לך גישה’)
> הם מעדיפים לפגוע בעיתונאי מאשר לתקן את החרא שלהם

דניאל ורלאן בטוויטר, 20.11.2020

התפרסם במקור בגירסה שונה בפינה "האחראי על האינטרנט" בגלצ


ווינד מתקדמים מקורקינטים למאגר ביומטרי

הכתב כרמל ליבמן דיווח בשמחה בחדשות 2 כלשהן על "מהלך שיציל חיים? הטכנולוגיה החדשה שתמנע מילדים לשאול את הקורקינטים השיתופיים". כותרת מדוייקת יותר מופיעה בראש פוסט זה.

החוק בישראל מתיר רכיבה על קורקינט ממונע מגיל 16 ומעלה, אולם בפועל רוכבים גם צעירים יותר, אם בקורקינטים פרטיים ואם במושכרים. חברות השכרת-הקורקינטים-ללא-מגע-יד-אדם, ווינד, ברד וליים, ניסו למנוע מצעירים לשכור קורקינטים על ידי שכירת עובדים שיבדקו את גיל השוכרים הקמת מאגר מידע על הנוסעים, שבו הם נדרשים לסרוק תעודת זהות או רשיון נהיגה כדי לאמת את גילם.

ההגנה קלה מאוד לפריצה. לא רק שבני פחות מ-16 יכולים לסרוק תעודה של אדם אחר ולשכור קורקינט, אלא שאפילו לא צריך תעודה אמיתית, כפי שדיווחו אותן חדשות 2 כלשהן בפברואר השנה:

בבדיקה סרקנו רישיון נהיגה פיקטיבי שמצאנו בגוגל, כשמספר תעודת הזהות הוא 123456789 – והקורקינט היה זמין לרכיבה. החברות דורשות להזין גם כרטיס אשראי אבל הדבר לא באמת מעיד על גיל הנהג, מכיוון שאפשר לשאול כרטיס אשראי מאדם מבוגר.

בווינד מטמיעים עכשיו פתרון חדש: זיהוי פנים (כמובן שהוא "מבוסס בינה מלאכותית", לפי מנכ"ל ווינד ישראל, יוחאי עבאדי). בקומוניקט של ווינד נכתב כי

טכנולוגיית זיהוי הפנים נלקחה מתחום הבנקאות כדי לאמת את זהות הלקוח כשהמערכת עושה השוואה של תווי הפנים של הלקוח עם התמונה ברישיון הנהיגה שלו.

[…]

הזיהוי יבוצע כך: כל משתמש יתבקש לסרוק את רישיון הנהיגה שלו בעת ההרשמה לאפליקציה. המשתמש יתבקש לצלם תמונה של פניו ולשלוח כדי שתתבצע ההתאמה של תווי פניו לתמונתו ברישיון הנהיגה. בשלב הראשון, המערכת לזיהוי פנים תאשר את המשתמש תוך 20 דקות בלבד, כך שמהלך אישור המשתמש יקוצר מ-48 שעות כיום ל-20 דקות בלבד לאחר יישום הטכנולוגיה. בשלב השני, ולאחר שהמערכות תעבור את הבקרות המתאימות, יאושרו המשתמשים באופן מיידי. במידה וזוהתה בעיה, העניין יועבר לאישור ידני.

קומוניקט ווינד ישראל, 14.10.2020

כלומר, ווינד ישראל מקימים מאגר ביומטרי של תמונות פנים. גם לקוחות קיימים יצורפו לתוכנית: "החברה תריץ את היישום החדש על כל בסיס המשתמשים של החברה בישראל". אני באופן אישי מרגיש עכשיו הרבה יותר בטוח, אבל אולי זה כי מעולם לא שכרתי קורקינט מווינד.

הדגמת של פיצ'ר זיהוי הפנים של ווינד קורקינטים 🖼️ יחץ ווינד ישראל

לעתים, קורקינטים שיתופיים הם שיתופיים מדי, וסובלים מפירצות אבטחה ופרטיות. בסייברסייבר ע02פ21 דיברנו עם אמיר שלדובסקי מחברת אימפרבה, שחקר וגילה דליפות מידע מקורקינטים שיתופיים שחושפים מידע על עצמם, על המפעילים ועל הרוכבים, כולל אפשרות מעקב גאוגרפי אחרי הרוכבים.


חולדאי דולף

ראש מדינת תל אביב, רון חולדאי, הכריז בתחילת החודש שהוא מתכוון להתמודד בבחירות הארציות, כי אף פעם אין מספיק גנרלים שרוצים לרוץ לראשות הממשלה מטעם השמאל המרכזי. בשבוע הראשון למועמדותו-מטעם-עצמו הוא הספיק לעשות שתי טעויות סייברסייבר: לדלוף מידע שהתכוון לשמור בפרטיות, ולסמן את המידע הזה לטובת מי שהתקשה למצוא אותו.

העיתונאית טל שניידר חשפה את הדליפה: בוק צילומי סטודיו של הראיס, ככל הנראה כהכנה לקמפיין הבחירות הארצי (הבחירות המוניציפליות הבאות רק ב-2023). התמונות הועלו לאלבום "פורטרט ראש העיר – לא לפרסום" בפליקר של עיריית תל אביב, שעדיין קיים ואף מתעדכן לטובת 48 עוקביו (לא פספסתי את המילה אלף, מדובר בארבעים ושמונה אנשים).

הטעות הראשונה היא, כמובן, העלאת האלבום לפליקר כשהוא לא מיועד לפרסום. פליקר מאפשרים לקבוע עבור כל תמונה ותמונה אם היא פרטית, לחברים/משפחה או ציבורית. יתכן שאיש הסושיאל חשב בטעות שהוא מעלה אותן כפרטיות (וזו לא תהיה הטעות המביכה הראשונה שלו [אלא אם הדליפה של אלבום הבחירות היתה מכוונת, כדי לייצר עוד יח"ץ לריצתו העתידית]).

"נאבקים בקורונה […] באים ונדבקים", תקלדה חמודה בפייסבוק של רון חולדאי

העלאת מידע פרטי/סודי באופן גלוי באינטרנט היא בעיה נפוצה מאוד, בגלל הסתמכות על אחסון ענן ומורכבות הגדרות הפרטיות ומתן ההרשאות. למשל: הקמת קבוצת וואטסאפ לעבודה ושלחת לינק הצטרפות בתפוצת נאט"ו משרדית? גולשים זרים עלולים להגיע אליה דרך חיפוש גוגל.

הטעות השנייה היא המילים "לא לפרסום" בשם האלבום, משתי סיבות:

1) הן מסמנות את התמונות כבעלות חשיבות וסודיות. גולשת שהיתה רואה את האלבום הזה בלי המילים "לא לפרסום" עשויה היתה לדלג עליהן משעמום ולפספס את הסיפור.

2) הן מנגישות את התמונות לחיפוש שממוקד במסמכים סודיים. לכו למנוע חיפוש, חפשו קבצי דוק/פדף עם המחרוזת "סודי ביותר" או "לא לפרסום" ותגלו עולם שלם של דליפות מידע.


אין ברכה בפריצה בשבת

רשות מקרקעי ישראל מצפה מהאקרים שפורצים אליה לשמור שבת, כי היא מקור הברכה.

הרשות פרסמה לאחרונה את מכרז 453-2020 (פדף) לקבלת שירותי אבטחת מידע וסייברסייבר. מכיוון שמדובר ברשות ממלכתית במדינה יהודית ודמוקרטית, המכרז מבהיר כי הספק לא יספק שירותי סייברסייבר בשבת.

מרכז 453-2020 לשירותי אבטחת מידע וסייבר עבור רשות מקרקעי ישראל
מכרז 453-2020 לשירותי אבטחת מידע וסייבר עבור רשות מקרקעי ישראל

היינו מצפים ש-SOC (חמ"ל סייברסייבר) של משרד ממשלתי של מדינה שמהווה מטרה להאקרים מרחבי המרחב יפעל 24/7/365. אבל עמי רוחקס דומבה דיווח בישראל דיפנס כי בפועל, הספק נדרש לפעול רק בימי חול, ולפני ואחרי כניסת שבת/חג. במספר מקומות במכרז מפורט כי

בנוסף למתן השירותים על פי שעות עבודה כאמור לעיל, הרשות תהא רשאית להזמין הפעלת תמיכה וצוות התגובה 24 שעות ביממה בימים א' עד ה' וימי שישי וערבי חג עד שעתיים לפני  שבת/חג ובמוצאי שבת וחג משעתיים לאחר צאת שבת/חג, וכן עבור פתרון תקלות ו/או התקפות על הארגון, כולל אסקלציה מול ספקים אחרים.

שמירת שבת כשירות (SSaaS, Shomer Shabbos as a Service) מוצעת לאתרים שמעוניינים למנוע מגולשים לחלל אצלם שבת. האתגר הוא להתאים את מועדי סגירת האתר למועדי כניסת ויציאת השבת בשעון המקומי של הגולשת – או לסגור את האתר מכניסת השבת המוקדמת ביותר ועד יציאתה המאוחרת ביותר. וכפי שמסביר ספק ה-SSaaS "שומר שבס", "השבת באינטרנט אורכת כ-50 שעות!"

אתר ה-SSaaS "שומר שבס"

לא רק אתרים פרטיים ומסחריים מקיימים את מצוות "וּבַיּ֥וֹם הַשְּׁבִיעִ֖י תִּשְׁבֹּ֑ת לְמַ֣עַן יָנ֗וּחַ שֽׁוֹרְךָ֙ וַחֲמֹרֶ֔ךָ וְיִנָּפֵ֥שׁ בֶּן־אֲמָתְךָ֖ וְהַגֵּֽר". גל מור דיווח בוויינט ב-2005 כי אתר התשלומים של הביטוח הלאומי נסגר מדי שבת, ולא ניתן לשלם באמצעותו.

בדיעבד, אולי זה היה נסיון חדשני ופורץ דרך למנוע מהאקרים גויים לגנוב את הכסף?


הסייברפרטיזנים נגד נשיא בלארוס

אלכסנדר לוקשנקו, נשיא בלארוס, מכונה "הדיקטטור האחרון באירופה" (בניכוי פוטין, אני מניח). הוא משמש כנשיא כבר יותר מרבע מאה, כשמתנגדיו טוענים שהוא ניצח באופן דמוקרטי רק בראשונה מבין 6 מערכות הבחירות שבהן זכה, האחרונה שבהן ב-9 באוגוסט השנה. כשהכריז על נצחונו הסוחף עם מעל 80% מהקולות, המחאה התפרצה. בתגובה, לוקשנקו סגר להם את האינטרנט.

האינטרנט משמשת אזרחים לבקר את השלטון ולארגן מחאות נגדו. חסימת האינטרנט נשלפת תכופות מארגז הכלים של השתקת מחאה. הודו רשמה בתחילת השנה שיא מפוקפק של חסימת האינטרנט הארוכה ביותר בתולדותיה הקצרים של הרשת – כחצי שנה – במטרה למנוע מחאה על ביטול המעמד המיוחד של חבל ג'אמו וקשמיר.

ואם הדמוקרטיה הגדולה בעולם חוסמת את הרשת כדי לסתום פיות, הרי ששלטונו של לוקשנקו אפילו לא מצמץ כשכיבה את האינטרנט ל-72 שעות – או כמו שהשלטון מתאר זאת, התקפת סייבר חיצונית/מתקפת DDoS.

שוטרים מפנים מפגין 🖼️  Clker-Free-Vector-Images
שוטרים מפנים מפגין 🖼️ Clker-Free-Vector-Images

באופן טבעי, המוחים פנו ל-VPN, כלי לגלישה מוגנת ומוסתרת, שמשמש לעקיפת גאוחסימה ושאר חסימות. יישומוני ה-VPN כבשו את ארבעת המקומות הראשונים בפופולריות בגוגל סטור באותו יום – וזה רק ממי שהצליח להיכנס אליה, משום שלפי דיווח של טניה לוקשינה מארגון זכויות האדם Human Rights Watch, "נראה שהממשלה חוסמת את חנויות אפל וגוגל”.

המוחים לא התייאשו ופנו אופליינה: "היית רואה אנשים במעלית פשוט משאירים החסני USB עם קבצי גישה ל-VPN", אמר לגיזמודו מקסימס מילטה מאוניברסיטת Belarusian European Humanities. אבל גם זה לא תמיד עזר, לפי לוקשינה: “רבים מאלו שיש להם גישה לכלי עקיפת צנזורה, כמו VPNים, מגלים שהטכנולוגיות הללו נחסמות גם כן“.

האופוזיציה, המצויידת בהאקרים, הכריזה על סייברמלחמה, מספר שלום בוגוסלבסקי, מדריך ומארגן סיורים וכותב ומרצה על ההיסטוריה והפוליטיקה של מזרח אירופה, שעוקב אחרי המחאה דרך הרשתות: "אחד הדברים שהכי עובדים עליהם זה לנסות למצוא כמה שיותר תצלומים של שוטרים אלימים ואנשים שמשתתפים בדיכוי המחאה. האזרחים מתבקשים לשים מצלמות מעקב, לתלוש מסכות משוטרים ולצלם אותם מכמה שיותר זוויות. יש ערוצי טלגרם שאליהם שולחים את זה ובוטים שאוספים את כל העניין הזה.

לוגו ה"קיבר-פרטיזני" (סייבר-פרטיזנים), האקרים מתנגדי שלטון לוקשנקו בבלארוס
לוגו ה"קיבר-פרטיזני" (סייבר-פרטיזנים), האקרים מתנגדי שלטון לוקשנקו בבלארוס

"בשבוע שעבר, מגזר ההייטק של בלארוס, שהוא מאוד נחשב ויחסית חזק והם עושים דברים די מרשימים, סוג של הצטרף באופן יותר ברור לאופוזיציה. ההייטקיסטים הבטיחו בעצם לזהות כל שוטר כזה, לפרסם את כל הפרטים האישיים שלו, הכתובת, מספר הטלפון, חשבונות ברשתות החברתיות וגם חומר מביך שהם ימצאו כשהם יפרצו למכשירים שלו. אני עוד לא ראיתי כ”כ חומר מביך אבל הרבה פרטים מתפרסמים. הם גם טוענים שהם הצליחו להשיג את רשימת כל השוטרים בבלארוס וכל הפרטים האישיים שלהם”.

בנוסף, האקרים המכנים את עצמם "הסייבר-פרטיזנים של בלארוס" פורצים לאתרי ממשל, מפילים אותם, שותלים בהם רושעות או משחיתים אותם עם לוגו הפרטיזנים וטקסטים נגד השלטון. היום הם הודיעו שיש עוד אתרים על הכוונת, ובהם אתר רשות המסים.

התפרסם במקור בגירסה שונה בפינה "האחראי על האינטרנט" בגלצ


הכופר של אובר: מה קורה כשבאג באונטי משמש לתשלום דמי שתיקה?

באג באונטי – bug bounty במקור – הן תוכניות שבהן ארגון מציע להאקרים למצוא אצלו פירצות אבטחה, לאסגרן בצורה אתית ואחראית ולקבל פרס, בדרך כלל כספי. הדבר נועד למסד את היחסים בין ההאקרים לארגונים, ולאפשר להם לעבוד יחד בלי חשש לפריצות והדלפת מידע מצד ההאקרים ולהליכים משפטיים מצד הארגונים. אחד הארגונים שמפעילים תוכנית באונטי הוא אובר, ששילמו לצמד האקרים 100 אלף דולר על גילוי פירצת אבטחה. זה מה שהם רוצים שנחשוב, בכל אופן.

אובר, פלטפורמת התיווך בין נהגי מוניות ונהגים פרטיים לבין נוסעים, נפלה קורבן לפריצה בשנת 2014, כשהאקרים מצאו את המפתחות לחשבון ה-AWS (שירותי רשת של אמזון) של אובר, וגנבו משם פרטים על 50 אלף נהגים. במרץ 2016 השיקו בחברה תוכנית באג באונטי.

שמונה חודשים לאחר השקת הבאונטי קיבל סמנכ”ל האבטחה של אובר דאז, ג’ו סאליבן, אימייל מהאקר שהזדהה בשם ג’ון דאוז בכתובת [email protected] בשירות האימייל המוצפן והמאובטח פרוטון מייל. מצאתי פירצת אבטחה חמורה אצלכם, סיפר "דאוז", וגם עשיתי דאמפ של הדאטהבייס שלכם ומידע נוסף. בדיקה של צוות אבטחה של אובר העלתה כי ההאקרים השתמשו בפרטי גישה גנובים לגשת לקוד המקור של אובר בגיטהאב, שם מצאו פרטי גישה של דלי AWS והשתמשו בהם להוריד את המידע על לקוחות ונהגי אובר.

סאליבן המבוהל, שכבר היה עמוק בתוך חקירה של ה-FTC (רשות הסחר הפדרלית) על הפריצה מ-2014, מיהר לסמס למייסד ומנכ"ל אובר, טראוויס קלניק, שהוא צריך לדבר איתו על משהו רגיש. השניים קיימו מספר שיחות טלפון, ואחריהן קלניק כתב לו:

צריך להיות בטוחים מה יש לו [להאקר; ע”ק], רגישות/חשיפה של זה ו-ודאות שהוא באמת יכול להתייחס לזה כמצב 🐜 באונטי […] המשאבים יכולים להיות גמישים לצורך סיום הסיפור אבל אנחנו צריכים לתעד זאת בקפדנות.

סמס ממנכ"ל אובר טראוויס קלניק אל סמנכ"ל האבטחה ג'ו סאליבן, 15.11.2016

בעצה אחת של קלניק וסאליבן, ההאקרים קיבלו הצעה לפרס באונטי שמן בגובה 100 אלף דולר, בתמורה למחיקת כל המידע שהורידו ושתיקתם הנצחית, מגובה בהסכם סודיות (NDA). כלומר: לא באונטי, אלא כופר, דמי שתיקה. ההאקרים חתמו בשמותיהם הבדויים, ואובר העבירו להם את הסכום בביטקוין. רק בינואר 2017 הצליחו אובר לגלות את זהותם הארצית של ההאקרים, ושלחו אליהם אנשי אבטחה, להחתים אותם שוב על מסמך הסודיות, הפעם בשמותיהם האמיתיים.

קלניק וסאליבן הסתירו את העיסקה מהנהלת החברה, מה-FTC ומ-57 מיליון המשתמשים ו-500 אלף הנהגים שמידע עליהם נחשף להאקרים – עבירה על החוק בכל מדינות ארה"ב, שמחייב לדווח לאנשים על דליפת מידע מזהה אישי (PII) אודותיהם.

קלניק, שכפי שאפשר לראות הוא לא אדם שראוי לעמוד בראש חברה, נאלץ להתפטר מתפקידו בעקבות שורת שערוריות ודיווחים על סביבת עבודה רעילה. דארה חוסרושאהי החליף אותו באוגוסט 2017, הדירקטוריון של אובר עלה על סיפור הפריצה וסאליבן עוד הספיק לשקר לחוסרושאהי בנושא. חודשיים לאחר מכן, המנכ"ל חוסרושהאי פרסם רשמית ופומבית את דבר הפריצה, התנצל בפני הציבור על "הכשלון שלנו" ופיטר את סמנכ"ל האבטחה סאליבן ועו"ד מהצוות שלו. בעקבות שורת תביעות של התובעים הכלליים של כל מדינות ארה"ב, אובר חתמו על הסכם פשרה ושילמו 148 מיליון דולר.

עם חשיפת הפרשה, סאליבן המפוטר עמד על גירסתו שהתשלום היה פרס באונטי לגיטימי. אולם בכתב האישום שהוגש נגדו השבוע בבית המשפט המחוזי של מחוז צפון קליפורניה, על שיבוש הליכי משפט ואי מניעת פשע, התובעים חולקים על הטענה הזאת. ומפרטים: ההאקרים אמרו שיש בידיהם מידע ודרשו תשלום של שש ספרות; סכום הפרס גבוה מכל אחד מעשרות פרסי הבאונטי שהחברה חילקה לאורך השנים, שממילא מוגבלים ל-10 אלפים דולר לפרס; הנהלת החברה (מלבד המנכ"ל קלניק) לא נחשפה לפרטי הפריצה ולהחלטה להתייחס אליה כבאונטי; ההאקרים נדרשו לחתום על הצהרה שקרית שלפיה לא השיגו ולא שמרו עותק של המידע על המשתמשים והנהגים; והם נדרשו לשמור על סודיות מוחלטת לגבי הפירצה, בניגוד למדיניות הרגילה של הבאג באונטי, שהתירה להאקרים לפרסם את הגילויים שלהם בתיאום עם החברה ואחרי שהפירצה נסגרה.

ג'ו סאליבן באתר אובר

ההאקרים של אובר המשיכו לסחיטת חברות נוספות על ידי פריצה וגניבת מידע. הם נתפסו, הועמדו לדין ובשנה שעברה הודו באשמה, וכעת ממתינים לגזר דינם. אבל הנזק שהם וסאליבן הסבו לאובר מתגמד לעומת הנזק שהם עלולים לגרום לכל הקונספט של באג באונטי, כך לפי משפטנים שהתראיינו לוויירד בנושא. אפילו האקרי כובע לבן בעלי אתיקה וכוונות טובות עלולים לעבור על החוק בזמן שהם מחפשים פירצות במסגרת באג באונטי. זו הסיבה שתוכניות באונטי מכילות סעיפים שבהם הארגון מעניק להאקרים חסינות. אבל לאור כתב האישום של סאליבן, מנהלי אבטחה עלולים להבין שכדי להסיר מעצמם אחריות פלילית, הם צריכים להקטין ראש ולהקריב את ההאקרים לרשויות האכיפה על כל טעות קטנה.

ההאקרים, מצדם, לא ירצו להסתכן בפלילים ויזנחו את תוכניות הבאונטי, כשהם מפנים את השטח להאקרי כובע שחור, שיחפשו פירצות אבטחה בלי להתחשב בכללים ובאתיקה, ויסחטו את הארגון: שלם או שנמכור את הפירצה למרבה במחיר.


התפרסם במקור בגירסה שונה בפינה "האחראי על האינטרנט" בגלצ:
🚗 הפריצה מ-2016 ממשיכה לרדוף את אובר 🛩️ הטיסמולטור של מיקרוסופט בונה מחדש את תל אביב 📻 האחראי על האינטרנט בגלצ 22.8.2020


👨🏼‍⚖️ פירצות סייבראבטחה חמורות באתר השב"ס ועשרות אתרים נוספים

פירצות אבטחה ופרטיות חמורות באתר גיוס עובדים של שב"ס, igips.co.il, איפשרו לגשת למידע פרטי רגיש על אלפי מועמדים לתפקידים בשירות, וכן להשתלט על האתר ולשנות את תכניו. הפירצה קיימת בעשרות אתרים נוספים שנבנו על ידי אותה חברה. דיברנו על כך בפינה "האחראי על האינטרנט" בגלצ עם חוקר הסייבראבטחה נעם רותם, שחשף את הפירצה.

🎧 להאזנה לפינה 🔊

"שירות בית הסוהר קורא לשחרור כל העצירים המנהליים לאלתר", טקסט שנעם רותם שינה באמצעות הפירצה
הודעה על הורדת אתר שב"ס בעקבות הפירצות שגילה נעם רותם

פרטים טכנים על הפרצה אצייץ בשרשור נפרד, למי שמעוניינ/ת, ומשב"ס נמסר: "שב"ס בשיתוף עם הגורמים המוסמכים במדינה המתמודדים עם האירוע על מנת להבטיח את ביטחון מערכות המידע ואת פרטיותם של המצויים במאגר המידע".

הסיסמה של "מנהל-העל", אגב, היתה פשוט שם המשתמש שלו.

— Noam R (@noamr) April 25, 2018

טוב, כמובטח, שרשור טכני על הפרצה באתר שירות בתי הסוהר, ולמה אני מאמין שמדובר ברשלנות שכבר חצתה את גבול הפלילי. אני לא חושף את כל המידע כדי לא לאפשר שחזור של החולשות, אבל כל הפרטים במלואם נשלחו לשב"ס עם צעדים לשחזור והמלצות לפעולה.
נתחיל:

— Noam R (@noamr) April 25, 2018

____________________
תמונה ראשית: 🖼️ Лечение наркомании