קטגוריה: כללי

בלעדי 🧮 חצי מיליון מסמכים של צה"ל, אינטל, תעשייה אווירית וכללית נחשפו בפירצה בתוכנת הנה"ח FINBOT

סייברסייבר ודה-מרקר חושפים: פירצה במערכת הנהלת החשבונות הדיגיטלית הישראלית FINBOT מבית "קו מנחה" חצי מיליון מסמכים רגישים לכל אדם בעל כלי הפריצה המשוכלל דפדפן 🔐 הפירצה תוקנה מספר שעות אחרי האסגרה 🐱‍💻 נעם רותם ועידו קינן

הסייברפריצה המדוברת לחברת הביטוח שירביט, שהתגלתה בחודש האחרון, מתגמדת לעומת פירצת האבטחה שאנחנו בסייברסייבר ואמיתי זיו מדה-מרקר חושפים היום. כחצי מיליון קבלות וחשבוניות, כולל של גורמים רגישים ובהם גופים בטחוניים, היו חשופות לרשת באמצעות כלי הפריצה המשוכלל דפדפן. הגורם לחשיפה הוא תוכנת הנהלת החשבונות הישראלית FINBOT, שסבלה מפירצת אבטחה מביכה. הפירצה תוקנה זמן קצר לאחר אסגרתנו.

פינבוט מציעה "הנהלת חשבונות חכמה ללא ניירת בעזרתה תוכלו להעניק ללקוח שירות יעיל ומתקדם, לדווח לרשויות בקלות ובמהירות ולחסוך בזמן ובכוח אדם". לפי האתר הרשמי, האפליקציה "קולטת חשבוניות ומסמכים במייל, בצילום ואפילו בווטסאפ ומתרגמת אותם לפקודות יומן". בין המשתמשים שפינבוט מתגאה בהם באתרה נמצאים מספר משרדי רו"ח, ובהם פירמת רואי החשבון BDO זיו האפט, המדורגת במקום ה-5 ברשימת משרדי רוה"ח המובילים בישראל 2020 לפי מדד Dun's 100 ומדד BDi Code.

מסמכים שנשמרו תחת מפתח ה-AWS שנחשף במערכת ניהול הקוד של פינבוט (טשטשנו מידע על הרכישות)

אז הסורק סרק והשוחט שחט, ועלה על חולשה ידועה וכואבת, עליה דיברנו כבר בפרק על מערכות לניהול קוד ("א גיט סייבער", ע02פ29). החולשה, לאלו מכם שלמרבה היגון לא עוקבים באדיקות אחרי הפודקאסט הפופולרי סייברסייבר, חושפת גישה לקוד המקור של המערכת בשל תכנון לקוי של המבנה שלה. תיקיה חשופה בשם "נקודה גיט" (או נקודה SVN, תלוי במערכת ניהול הקוד) מאפשרת לכל אדם בעל דפדפן גישה למידע אודות הקוד, ולכל אדם בעל טרמינל גישה לקוד עצמו – הכל ללא סיסמאות וללא הגבלות גישה מסוג כלשהו.

בקוד עצמו, שללא ספק לא עבר שום ביקורת אבטחת מידע או בדיקת חדירה, ושום עין של איש מקצוע לא שזפה את זיו חולשותיו, היו שלל כשלים, שהחמור בהם היה הימצאותו של מפתח לסביבת הענן של אמזון. אין שום צידוק ושום תירוץ לשמור מפתח קבוע בקוד, בטח ובטח כשהקוד חשוף ברשת, אבל כדי להוסיף חטא על פשע – המפתח דנן היה מפתח של מנהל המערכת שנתן גישה מלאה לכל סביבת הענן של בעליו.

מפתח קורא לגנב

בואו נעצור רגע ונדבר על מפתחות והשימוש הנכון בהם.

בדרך כלל מפתחות משמשים לביצוע פעולה אחת, ובהשאלה – לפתוח חדר אחד בלבד. למשל: אם אני רוצה לשלוח הודעת סמס – יהיה לי מפתח שמוגבל לשליחת הודעות סמס בלבד. אם אני צריך גם לשמור קבצים בדלי – אוציא מפתח נוסף, או שבכלל אשקול עבודה עם roles (אבל זה כבר סיפור אחר). אם נמשיל את העניין לסביבה מציאותית יותר: יהיה לי מפתח אחד להיכנס לחדר הדואר על מנת לשלוח מכתב, ומפתח אחר לכלוב התיישים כדי להנות מהיאבקות קלה לפני השינה. 

מה שקרה כאן, וזה בדיוק מה שקרה גם במערכת "אלקטור" שחשפה את פרטיהם של כל בעלי זכות הבחירה בישראל (ע02פ16, ע02פ17), זה שמפעילי המערכת התעצלו, אם מבורות ואם מעצלנות, לייצר מפתח יעודי, ופשוט שמו את מפתח המאסטר שמאפשר גישה מלאה להכל.

מפתחות תלויים על קיר 🖼️ עידו קינן
מפתחות לא מוגנים 🖼️ עידו קינן

אתם מבינים לאן זה הולך, נכון?

במפתח הזה אפשר היה לפתוח את כל הדליים, לגשת לכל השרתים, להוריד את כל מסד הנתונים, לפתוח שרתים חדשים, לשלוח הודעות, לכרות ביטקוין, למחוק הכל (כולל הגיבויים) ולבקש כופר, ותכלס – כל מה שתמיד רציתם לעשות אצל הדודה והדוד.

וכאן אנחנו מגיעים למידע של פינבוט. זוכרים את שירביט? אז תחשבו בגדול יותר. מאות אלפי מסמכים של מיטב הגופים הישראלים, החל בצה"ל ובשלל יחידות משרד הביטחון, דרך התעשייה האווירית, קופת חולים כללית, אינטל, הטכניון, מפעלים שונים, וכלה בעשרות אלפי עסקים קטנים ובינוניים, בהם חוקרים פרטיים, מטפלים למיניהם, ותכלס כל סוג של חברה בע"מ או עוסק מורשה, והמסמכים שהם הוציאו ללקוחות שלהם – כולל פרטי הלקוחות עצמם. לא נעים.

(ראו עדכון בסוף הפוסט)

"טעות אנוש; המידע לא דלף"

פינבוט מופעלת על ידי חברת חשבים ה.פ.ס, שהוקמה ב-85', וכיום היא "החברה הגדולה ביותר בישראל למידע עסקי בעולם הפיננסים ובעולם המשפט", לפי אתרה הרשמי. חברת האם, קבוצת קו מנחה, סיימה את רכישת פינבוט במרץ 2020 בעיסקה של 2.5 מיליון שקל עבור 70% מהמניות.

קו מנחה, שנמצאת בשליטת יפעת, היא חברה בורסאית שנסחרת לפי שווי שוק של 139 מיליון שקל. לפי אתרה היא "קבוצת ה-SaaS המובילה בישראל בתחומי מידע ושירותים בשוק ההון והפיננסים, משפטים, כספים, הנהלת חשבונות, מיסוי ונדל"ן, וכן שירותי ענן לניהול קשרי לקוחות ומשרדי מייצגים". 

בדוח השנתי של קו מנחה 2019 ציינה החברה את הסייברסייבר כגורם סיכון מקרו גבוה:

במקרה של פגיעה בחברה כתוצאה מאירוע סייבר כאמור, עלולה החברה לסבול מהשלכות שליליות מהותיות כגון שיבוש בפעילותה השוטפת של החברה או של לקוחות החברה להם מספקת החברה שירותים, שיבוש בפעילותן של מערכות המידע של החברה או השבתתן, פגיעה במוניטין החברה אשר עלולה להשפיע על אמונם של לקוחות החברה, וחשיפה לתביעות משפטיות.

החברה דיווחה עוד כי נערכה למתקפות סייבר שכאלו:

החברה משקיעה מאמצים ומשאבים (ארגוניים, כספיים, מקצועיים ומחשוביים) במטרה להגן על מערך טכנולוגיות המידע שלה ולמזער את סיכוני אבטחת המידע, לרבות: (א) ביצוע תכניות עבודה שנתיות להגנת סייבר; (ב) ביצוע סיקרי סיכונים ובדיקות חוסן; (ג) עריכת הדרכות תקופתיות, הן כלליות והן פרטניות; (ד) הטמעת כלים טכנולוגיים מתקדמים ליישום וביצוע נהלי ומדיניות אבטחת המידע. כמו כן, כחלק ממדיניות אבטחת המידע, החברה אימצה נהלים שונים המותאמים להתמודדות עם סיכונים אפשריים הגלומים במתקפות סייבר, כגון: סיווג וטיפול במידע, תגובה לאירוע אבטחת מידע, הנחיות לעובדים בנושא אבטחת מידע, בקרת גישה, גיבוים ושחזורים, בקרה על כניסת עובדים ומבקרים, טיפול במאגרי מידע, ניהול משתמשים וסיסמאות וכיו"ב. 

אסגרנו את הפירצה ל"קו מנחה" ולמערך הסייבר, והיא תוקנה תוך מספר שעות. יש לציין לטובה את תגובת הנהלת החברה שלקחה אחריות מלאה על העניין ופעלה בצורה חיובית וטובה לסגירת הפרצה במהירות וביעילות. טעויות קורות, זה דרכו של עולם, וארגון נשפט בדרך בה הוא מטפל בהן. במבחן הטיפול, "קו מנחה" מקבלת עשרה מאפים פריכים. סחתיין!

התייחסות לסיכוני סייברסייבר בדוח השנתי של קו מנחה

מנכ"ל קבוצת קו מנחה, שי מגל, מסר בתגובה:

בערב יום ראשון נמסר לנו ממערך הסייבר שאותרה חולשה באבטחת מערכת המידע של החברה. מיד עם העדכון ובסיוע של מי שאיתר אותה, נעם רותם, הפעילה החברה צוות תגובות פנימי (ERT) לטיפול בנושא ופעלה לסגירת החולשה על בסיס המידע שנאסף ועובד.

מתחקיר ראשוני עולה כי בעקבות מעבר שבוצע לאחרונה של מערכות החברה לשרתי הענן של אמזון, ובגלל טעות אנוש של אינטגרטור חיצוני שליווה את המעבר, נומרה חשיפה של קוד המקור. בשום שלב לא דלף מידע רגיש לגורמים שונים, פרט למידע שהגיע לידי דהמרקר. החברה מודה לכל הנוגעים בדבר על הצפת החולשה ומיישמת, באמצעות אנשיה וגורמי מקצוע המייעצים לה, בקרות מפצות נוספות למניעת הישנות המקרה.

עדכון בעקבות הפרסום (14:23)

לאחר פרסום הכתבה כאן ובדה-מרקר, בחברת קו מנחה ביקשו להבהיר שרק חלק מהמידע שדלף שייך להם.

על פי החברה, המידע שלה עוסק בלקוחות פרטיים וחברות קטנות. המידע שנחשף מהגופים הגדולים – צה"ל, ארגונים בטחוניים, הטכניון, קופ"ח כללית ואחרים – שייך לגוף פיתוחי שאיתו קו מנחה עבדו בעבר. המפתח של אותו גוף נשאר בקוד של פינבוט בשגגה, ובנוסף למידע של לקוחות פינבוט חשף גם מידע שאינו קשור לחברה בשום צורה.

ואנחנו שוב נציין לטובה את המקצועיות והרצינות שבהן קו מנחה מטפלים בתקרית.

אקסל של רואה חשבון 🖼️ 200 Degrees
הנהלת חשבונות נפש 🖼️ 200 Degrees

📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@cybercyber.co.il 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 הודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס למספר 055-2-776766

כך אפשר להאזין לסייברסייבר:                    


האם האקרים יכולים להטות את תוצאות בחירות 2020?

בואו ננסה.


פרשת #משטריגול: שאילתה לשר, מדריך פרטיות לגולשות

הבוקר חשפנו כאן בסייברסייבר ביחד עם עודד ירון מערכת משטרתית למעקב והסטת תעבורת רשת. מספר התפתחויות בנושא: השר לבטחון פנים יצרך לתת תשובות על הפרשה, מדריך טכני מפורט יסייע לגולשות להקשות על המשטרה לעקוב אחריהן ולבצע מניפולציות על הגלישה שלהן, ויש גם מאפים.

המשטרה מסרה באין-תגובתה לחשיפה שהיא "פועלת על פי הסמכויות המוקנות לה בחוק ומפעילה רק אמצעים המותרים לה על פיו" – מה שאמור להיות מובן מאליו, ואינו משיב על השאלות שהעלינו. במשרד ראש הממשלה בכלל לא השיבו. כעת ייאלץ השר לבט"פ אמיר אוחנה, להשיב על שאילתה בנושא. את השאילתה הגיש ח"כ משה ארבל (ש"ס), שמוכר כמי שמוביל מאבק לשמירה על זכותם של עצירים שלא להיאזק ואף מגיע לביקורות פתע בבתי משפט.

ח"כ משה ארבל (ש"ס) 🖼️ נחלת הכלל

בשאילתה כתב ארבל:

מדובר לכאורה בפגיעה חמורה שלא כדין בפרטיותם של אלפי אזרחים ישראלים ובפגיעה חמורה בחופש הביטוי בשל החשש לאפקט מצנן על הזכות להתבטא בחופשיות ברשת. כל זאת נעשה במחשכים, ללא היתר חוקי מפורש ומבלי שנערכה ביקורת פרלמנטרית מסודרת על מדיניות שמסתמנת כאחת האחראיות המרכזיות להפרת זכויות במדינת ישראל.

ח"כ ארבל שאל את השר אוחנה:

1) האם הפרסום נכון ומהי מדיניות המשטרה בנוגע למעקב אחר גלישה ברשת?
2) מכוח איזה חוק רשאית המשטרה לבצע פעילויות מעקב ברשת, מי במשטרה אחראי על הפעלת המדיניות ואישר אותה?
3) מהו היקף המעקב ברשת בשנה האחרונה והאם אושר ע"י הייעוץ המשפטי לממשלה?

על פי חוק, השר חייב להשיב על השאילתה תוך 21 יום.

עד שהמשטרה תאולץ להשיב ואולי אף להגביל את המעקב, ידיד סייברסייבר רן בר-זיק פרסם מדריך מפורט לגולשות כיצד להקשות על המשטרה לעקוב ולבצע מניפלציות על הגלישה (והמאזין דן פלג אימלק באמצעות מאפים).

לחמי IP, DNS ו-TOR 🖼️ דן פלג

טיפים נוספים לשמירה על פרטיות דיגיטלית אפשר למצוא בפרק "הפתרון למעקב בחסות הקורונה: קריפטופארטי" (ע02פ22).


הפריצה לשירביט: טרור!!1! הפירצה"ל: *צרצרים*

בניגוד לפרשת שירביט, האייטם הזה לא יגיע לראש החדשות. לא תראו פולואפים מאמצעי תקשורת, דיונים באולפנים או לחץ והיסטריה.

מה קרה: כל גורם שהוא היה יכול להוריד בנחת את הרשימה של כל חיילי צה"ל – בסדיר, בקבע ובמילואים, עם מספרי הזהות שלהם ושמותיהם המלאים, וגם גישה לדיווחי הקורונה שלהם.אני מכיר לא מעט גופים שהיו משלמים על הפירצה הזאת כסף טוב. אפילו רק כדי להביך את ישראל.

למה דליפת המידע הזו, של מאות אלפי פרטי חיילים, לא תגיע לראש החדשות? כי מי שדיווח עליה זו לא קבוצת האקרים אלמונית בטלגרם, אלא אנחנו: נעם רותם, עודד ירון, עידוק ואני, עבדכם הנאמן. אז לא תראו פה מחול שדים תקשורתי של איומים של חשיפה או נזק תדמיתי. רק אייטם פשוט.

האייטם הזה לא שונה מהותית מאייטמים רבים אחרים שאני ואחרים כתבנו וחשפנו וזכו למעט התייחסות מהמדינה. הצבא לפחות תיקן במהירות. גופים אחרים לא עושים את זה. ומי שגילה, אגב, זה לא אני, זה חייל רגיל, שלא משרת ביחידה טכנולוגית כלל וחייב להיות אנונימי כי על גילויים כאלו נכנסים לכלא.

למצולמים אין קשר לכתבה, אבל אולי פרטיהם נחשפו בפירצה 🖼️ david_kochman cc-by-nc-nd

אני, נעם ואחרים שחושפים פירצות סייברסייבר יכולים לספר על יחס מזעזע שאנו מקבלים מהנחשפים. אולי עכשיו, בעקבות השיטסטורם של שירביט, היחס ישתנה. בפרשה הזו, מי שחשף אותה יכול להענש בשלילת חירות. וזה? זה טיפה מפוצץ לי את הראש. אגב, הוא ניסה לדווח, אבל אין במערכת הצבאית מקום לדווח.

כרגיל בפרצות האלו, מדובר בפרצה מטופשת, שמעידה על פיתוח בעייתי, וכל מפתח עם שעתיים נסיון היה עולה עליה. ממשק רגיל, עם API פתוח, על שרת לא צה"לי ולא מוגן. כל מה שתוקף היה צריך לעשות זה לרוץ עליו. איך סקריפט התקיפה נראה? כמו בתמונה המצורפת. אבל נעבור לסדר היום, כי מה כבר קרה?

קוד להורדת רשימת חיילי צה"ל מיישומון הצב"ר הצה"לי
קוד להורדת רשימת חיילי צה"ל מיישומון הצב"ר הצה"לי

מבקר המדינה לא יתערב, רשות הפרטיות תמשיך לנמנם, ועדות הכנסת לא יעסקו בנושא, מהדורות החדשות ידווחו על עוד נופש בדובאי. אתם תקבלו עוד סמס פישינג ולא תבינו למה. הכל טוב. ואני כבר מתחיל להתעייף מזה. יש המוני מקרים ואין מי שיטפל בזה. הכוח שלי והזמן שלי ושל אחרים מוגבל 😔


🎖️ הפירצה"ל: לכו בעקבות הריח

הפרק החדש של סייברסייבר התחיל מ-code smell, מונח מוכר היטב למפתחים מנוסים. מה המשמעות של code smell? סימנים קלים בקוד שמראים שיש איתו בעיה, כמו ריח של דגים שמעיד שהם לא טריים. זו לאו דווקא בעיה ספציפית עם הקוד. יתכן שהוא עושה בדיוק את מה שהוא אמור לעשות, אבל הוא כתוב באופן כזה שמראה שעלולה להיות איתו בעיה. חלק מהניסיון שלי כמפתח גורם לי מיד להריח את הסימנים האלו, והאף של כל אדם טכני שיש לו אי אלו שנות ניסיון רגיש לסימנים האלו כאפו של איסטניס פחמימות שמריח מאפה כשר לאשכנזים מהדרין שבמהדרין לפסח. דוגמה נהדרת לכך אפשר היה לראות במקרה שהגיע לצוות סייברסייבר, וחשף פירצת אבטחה ופרטיות חמורה באתר צה"לי (לא זאת. עוד אחת).

באחד מלילות שישי הקפואים שהיו לאחרונה, כאשר אתם נמנמתם לכם בבית החמים, היתה לי פגישה אפלה במיוחד עם גורם צבאי בכיר. אחרי תיאומים רבים ומרדפים ברחבי פתח תקווה, הצלחתי להשיג אותו. הוא היה חבוש במגבעת ואחז בעותק של המקומון מלאבס. "יש לי רק שתי מילים בשבילך", הוא אמר: "תסתכל באפליקציית הקורונה של הצבא". לא הספקתי לומר לו שאלו חמש מילים והוא כבר נעלם, משאיר מאחוריו עשן סיגרים כחלחל וניחוח אקליפטוסים ומותיר אותי לבד בגשם השוטף.¹

אפליקצית הקורונה של הצבא, שכמקובל בצבא זכתה לראשי תיבות מטופשים – הצב"ר (הצהרת בריאות) – היא בעצם אתר שנגיש אך ורק לטלפונים ניידים (או לכלי הפריצה המשוכלל דפדפן עם תוסף החלפת יוזר אייג'נט). החל מה-23.11, "כלל המשרתים בכלל האגפים, הפיקודים והזרועות" נדרשים, בפקודה של סגן הרמטכ"ל, אלוף אייל זמיר, להיכנס אל האפליקציה ולדווח מדי יום על מצבם – האם אובחנו כחולים? האם חשו בתסמינים? האם שהו ליד חולה מאומת? לא רק שמדובר בפקודה, הצבא שלח סמסים לכל החיילים והזכיר להם למלא את האפליקציה באופן יומי, כשהוא ממשיך להשתמש בלינקים מקוצרים מפוקפקים שאינם על דומיין צבאי אלא בשירות פרטי, שאין לדעת איזה סוג של מעקבים ואיסוף מידע הוא מבצע על הטראפיק.

סמס מצה"ל על שימוש באתר הצב"ר
סמס מצה"ל על שימוש באתר הצב"ר

האפליקציה היא בסך הכל אתר ווב רגיל שאפשר להכנס אליו עם דפדפן. שזו בדרך כלל הבעיה, כפי שעוקבי הפודקאסט יודעים, משום שמדובר בכלי פריצה מפלצתי. שלחתי את כתובת האתר/אפליקציה לנעםר וביקשתי ממנו להעיף מבט. "תסתכל היטב על האתר הזה", השיב לי נעםר, "הוא מסריח יותר מהגרביים הישנים של עידוק שנשכחו בתוך הקממבר שניסיתי לעשות במרתף".

התיאור היה מאוד מאוד גרפי, אבל הבנתי את הכוונה שלו. ממבט באתר אפשר לראות כמה בעיות. בדרך כלל, באפליקציות שבנויות נכון, קוד צד הלקוח (כלומר הג'אווהסקריפט) עובר תהליכים שמסירים ממנו את הערות המתכנתים, ממזערות אותו ומעבירות אותו תהליכים נוספים שנקראים טרנספילציה. כאן הקוד לא עבר שום ערבול – כולו היה גלוי כפי שהוא נכתב, בפני כל מי שרצה להסתכל. כך גילינו, למשל, שיש מתכנתים שהנציחו את עצמם כשקראו לפונקציות על שמם. וזה? זה מסריח למדי. אולי לא כמו הגרביים של עידוק. אבל מסריח.

הצב"ר, אתר דיווחי הקורונה הצה"לי
הצב"ר, אתר דיווחי הקורונה הצה"לי

נבירה מהירה באתר איששה את החולשה שהמקור נקב בה, והחולשה היתה פשוטה מאוד – כל גולשת יכולה היתה לקבל מידע על כל חייל וחיילת, כולל שמם המלא והסימפטומים במידה שדווחו כאלו. במידה והדיווח היה לא מוצלח, היינו מקבלים שגיאה פשוטה. במידה והדיווח היה מוצלח היינו מקבלים לא רק אישור לכך שמספר הזהות קיים, אלא גם כבונוס את שם החייל המלא ואת התסמינים שהוא דיווח עליהם. בנוסף, האתר לא בלם נסיונות קצירה מרובים (ברוט פורס) ולא בלם גישה מסקריפטים. כל מה שגור האקרים היה צריך לעשות זה להריץ סקריפט קצר כדי לקצור את כל הכתובות. איך הסקריפט הזה נראה? ככה:

echo $null > log.txt
for i in $(seq 000000000 999999999); do
curl –header "Content-Type: application/json" –request POST –data "{\"personalId\":\"${i}\"}" clearance.medical.idf.il/api/XXX/YYYY >> log.txt
echo >> log.txt
done

קוד להורדת רשימת חיילי צה"ל מיישומון הצב"ר הצה"לי
קוד להורדת רשימת חיילי צה"ל מיישומון הצב"ר הצה"לי

זה הידע הטכני העצום שנדרש כדי לקבל מאגר איכותי ועדכני של שמות ומספרי תעודת זהות של כל החיילים בצה"ל. פעולה נוספת היתה יכולה להיות שידוך של המידע הזה למאגר מידע אחר (אהם… אלקטור) והחגיגה בהחלט היתה יכולה להתחיל.

באתר צה"ל נכתב כי "הצב"ר פותח, נבחן ומובצע באופן מלא תוך שבועיים בלבד, לפי הנחיית סגן הרמטכ"ל, אלוף אייל זמיר, ע"י אנשי יחידת 'שחר' באגף התקשוב וההגנה בסייבר". ובכן, אחרי שבחנו את כל הממצאים, כל מה שנותר לנעםר לומר זה:  "מי היה מאמין שיחידה של חיילים מבריקים וצעירים בלי שום מפתח בכיר בשטח, שמפתחת, בוחנת וממבצעת(!) אפליקציה תוך שבועיים בלבד, תגרום לבעיה כזו? אני בהלם!". אני חושש שהוא היה סרקסטי, אבל עם נעםר אי אפשר לדעת איתו. לגרביים של עידוק עלולות להיות תופעות לוואי.

את האייטם, מונגש לקהל מעט פחות טכני והסברים מעט יותר מפורטים על מהות פרצות, אני מפרסם היום ב"הארץ".

התגובה של דובר צה"ל לעניין היתה נמרצת – האפליקציה ירדה במהירות ותוקנה. התגובה הרשמית שלהם לא התייחסה לכשל בתהליך, אלא רק לתוצאה שלו: "בבוקר זוהתה תקלה במערכת למילוי שאלון בריאות יומי בצה"ל בהיבט שמירת המידע. התקלה תוקנה לאחר מספר שעות".

____________________________

¹ יש מצב שהסצינה מומצאת וקיבלנו מייל פשוט ואנונימי לתיבת ההדלפות של הבלוג. 

תמונה ראשית: חיילי 8ביט 🖼️ Arrkyre


טרור? אנטישמיות? שירביט היא כולה עוד פריצה ברשת הישראלית המחוררת

בימים האחרונים נחשפת פעולת סחיטה מעניינת של חברת הביטוח "שירביט" על ידי קבוצת האקרים המכנה את עצמה "בלאק שאדו". מכיוון שהמון מומחים בעיני עצמם החליטו לשתף את הציבור בדעתם, חשבתי לעצמי – היי, גם אני מומחה בעיני עצמי, אולי גם אני אשתף את הציבור בדעתי! אז הנה השנקל שלי על מה שמתרחש, שאולי יתנגש מעט עם חלק מהתזות שנזרקות באוויר על ידי אחרים.

זה לא טרור

אז אמ;לק: תפסיקו לקרוא לכל דבר "טרור", זה מביך. בתור אדם שמכיר בצורה אינטימית עד כדי חוסר נוחות את מצב האבטחה ברשת הישראלית, המידע שנחשף על ידי "הצללים השחור" הוא לא יוצא דופן או רגיש במיוחד. לו ארגון טרור היה רוצה לעשות "פיגוע תודעתי" כמו שאוהבים כל מיני יוצאי ארגונים אפלים לכנות את זה, אני יכול לחשוב על לפחות עשר מטרות טובות יותר, פתוחות יותר, קלות יותר, ועם השלכות קשות יותר על החברה הישראלית, מאשר חברת ביטוח אחת. כשכל תעשיית הסייבר הישראלית מבוססת על יוצאי ארגונים ממשלתיים אפלים כאלה, כל נפיחה מצטיירת כמו פיגוע טרנס-גלקטי, כי זה פשוט הדבר היחיד שהם מכירים. 

בשנים האחרונות מצאתי אני, יחד עם כמה מידידי הטובים, מאות מערכות ישראליות פתוחות, חלקן ממשלתיות,  חלקן שייכות לגופים גדולים משמעותית מ"שירביט", ועדיין הארץ שקטה. למה? כי פשוט סיפרנו להם על הבעיה כדי שיוכלו להמשיך ולטאטא אותה מתחת לשטיח. *כל* ההבדל עכשיו הוא שמי שמצא את המערכת ניחן בחוש עסקי מפותח יותר ובמקום לקוות לאיזה בורקס כאות תודה מהחברות הפרוצות, שלא מגיע אף פעם, אגב, החליטו לנקוט עמדה נחושה יותר ולדרוש תשלום עבור הרשלנות הזו. זה הכל.

סאטושי הם לא יראו ממני 🖼️ פרסומת של שירביט

כאשר מצאנו את עצמנו במערכות של חברות גדולות יותר מ"שירביט" יכולנו לעשות בדיוק את אותו הדבר, אבל בחרנו לדווח. כאשר מצאנו את עצמו במערכת של שירות בתי הסוהר עם מידע אישי ורגיש על אלפי עובדים ביטחוניים, יכול לעשות את אותו הדבר, אבל בחרנו לדווח. כאשר מצאנו את עצמנו במערכות רפואיות רגישות מאוד – בחרנו לדווח. כאשר מצאנו את עצמו במערכות של משרדי ממשלה – בחרנו לדווח. כאשר מצאנו את עצמו במערכות פיננסיות מכובדות – בחרנו לדווח. 

ואלה באמת לא פרצות שדורשות תחכום מיוחד, אלא היכרות בסיסית עם דרכי הפעולה של אנשי פיתוח ותפעול עצלנים. "יצאה גרסה חדשה? אבל היום יום שלישי וסוף השבוע ממש מתקרב, נדחה את העדכון למתישהו אחר", "להקליד סיסמה מסובכת כל פעם שאני רוצה להיכנס למערכת? מה אני, איכר? 1234 זה קל ונעים", וכן הלאה. במקרה של "שירביט" רשימת הכשלים ארוכה ומביכה, החל משרת VPN עם חולשות ידועות בנות כשנתיים שלא עודכן כי תירוצים, גרסת שרת דוא"ל לא מעודכנת, המשך בטביעת רשת גדולה משמעותית מהנדרש, כולל חשיפה של שרתי פיתוח ובדיקות לרשת הציבורית, ניהול גיבויים לא נכון, והרשימה עוד ארוכה. הם לא יוצאי דופן, הם פשוט נתפסו הפעם עם הסנדלים על האוזניים, כי סייברסייבר זו בעיה רק כשהיא הופכת לבעיה. עד אז תנו לגאון הצעיר משמונה גרביים משכורת מנופחת כי הוא זורק ביטויים אניגמטיים כמו "פרוקסי" לאוויר, ואף אחד לא רוצה להתווכח כדי לא להצטייר כלא מבין בסייברסייבר, חלילה.

משא ומתן בקולחוז

וזה מוביל אותנו לעניין הבא: ניהול המו"מ עם הפורצים. קהילת הסייברסייבר רוחשת ובוטשת עם שלל דעות אם צריך לנהל מו"מ או לא צריך לנהל מו"מ כאילו אנחנו בקולחוז, וכאילו מדובר באירוע בודד שיש להסכים על דרך הטיפול בו לטובת הכלל. זו אכן ראיית עולם קסומה ומכובדת, אך למרבה הצער היא לא מאוד מחוברת למציאות. המקרה הזה הוא מקרה זניח יחסית (עם כל הכבוד לעוסקים בדבר, ויש כבוד, לחלקם). הפורצים יודעים את זה, ולכן לא מתכופפים סנטימטר.

העניין כאן הוא לא "שירביט", אלא הארגון הבא בתור שרואה את הסצנה המביכה הזו ומצקצק. כשתיגמר הסאגה הזו עם המידע של כולנו בחוץ ועם השלכות קשות על המשך קיומה של חברת הביטוח הישראלית, מנהל הארגון הבא בתור (שכבר מוכן במגירה) ישלם כמו כבש מנומס כי הוא לא רוצה להיות במצב של "שירביט". ככה מנהלים מודל כלכלי איתן, והאמירות המגוחכות של "זה טרור כי הם לא רוצים באמת כסף" מצביעות על חוסר הבנה בסיסי מאוד של התעשייה הזו, ולמרבה הצער והאימה – אלה האנשים שמקבלים כסף, והרבה ממנו, כדי לנהל אירועים מסוג זה.

וגם לא התקנת עדכוני אבטחה 🖼️ פרסומת של שירביט
וגם לא התקנת עדכוני אבטחה 🖼️ פרסומת של שירביט

אירוע הסחיטה הבא כבר מוכן. זה לא טרור, וזו לא עוגת בננות, זו סחיטה ישנה וטובה. עושה רושם שהפריצה ל"שירביט" החלה כבר לפני מספר חודשים, ונכון להניח שזה לא רק שם. הדרך בה מתנהלים הסוחטים היא בדיוק הדרך בה הם צריכים להתנהל בהתאם למודל שאנחנו מכירים היטב ממדינות אחרות.

העובדה שבארץ עדיין לא היה אירוע ציבורי בקנה מידה כזה היא קוריוז, ועדיין אין בו שום דבר מיוחד לעומת עשרות ומאות מקרים דומים ברחבי העולם. יש פירצה, אם בשל רשלנות של הארגון הנפרץ או בשל מיומנות מיוחדת של הארגון הפורץ, ומכאן הדברים מתנהלים. אם הפורצים יתכופפו – הם מאותתים שיש פה ברירה. אם לא יתכופפו – אולי לא יקבלו כסף הפעם, אבל הפעם הבאה תהיה קלה יותר משמעותית. זו אסטרטגיה מוכרת, וניסיון לתלות עליה תיאוריות מופרכות שמתאימות לראיית העולם הביטחונית ממנה באים רבים מהמומחים הישראלים – מיותרת.

אז מה צריך לעשות

וכאן אנחנו מגיעים לשאלת מיליון הדולר, שכמו כל דבר מתחלקת לכמה חלקים: מדיניות, מדיניות, ומדיניות.

ראשית, יש להכיר בכך שלא מדובר באירוע בודד, וודאי וודאי לא באירוע חריג. כשמבינים את זה, יש לעצור רגע, ולהניח תשתית לאומית לטיפול במקרים כאלה. רק השנה *דווחו* יותר ממאתיים אירועי כופרה בישראל, וסביר להניח שבפועל היו הרבה יותר. אז נהדר ש"מערך הסייבר" מוציאים עלונים שמטרתם לחנך את הציבור (ברצינות, זה חשוב), אבל חסר פה נדבך משמעותי – והוא מדיניות מו"מ עם סחטנות כזו.

קל להשליך את ההחלטה על המנכ"ל האומלל של ארגון שכל המידע שלו נמצא בידיים של סחטנים, אבל זה רק יעודד מתקפות נוספות. חוק האוסר תשלום כופר, למשל, יניח תשתית אחרת למשא ומתן, ואולי ישכנע פורצים להתמקד במדינות אחרות, שם קל יותר להוציא כספים. המחיר לא יהיה פשוט, אבל שוב – מי שרוצה את המידע שלנו – יקח אותו, זה באמת לא מסובך. מי שרוצה לעשות ממנו כסף בדרכים נכלוליות – זה כבר סיפור אחר, ובזה אפשר לטפל.

באג באתר הסלולרי של שירביט 🖼️ פרסומת של שירביט
באג באתר הסלולרי של שירביט 🖼️ פרסומת של שירביט

דבר נוסף שמומלץ מאוד לכל ארגון לעשות – הוא להגדיר מדיניות ניהול אירועים כאלה. ארגון שיש לו תוכנית מגירה למה לעשות ביום שמתקבלת דרישה כזו – לא ייתפס עם חותלות ורודות ושירים של "טקטרוניקס" ברקע. תכנית כזו תקיף גיבויים (ושיוריות בכלל), עדכון גרסאות, בדיקות חדירה רבעוניות לכל הפחות, קווי מתאר לניהול מו"מ, ועוד רשימה ארוכה של דברים שיש לעשות כדי להיות מוכנים ליום שבו מתקבלת הודעה כזו. זה לא דבר יקר, אבל זה דבר נחוץ, וזה תהליך שחייב להיות מובל על ידי המנכ"ל ושחשיבותו תהיה ברורה לכל עובדי החברה.

אגב, כחלק ממדיניות ארגונית כזו אפשר להקים גם תכניות "באונטי" שיאפשרו לחוקרי אבטחה מנומסים לדווח על פרצות ולקבל תמורתן כמה שקלים. זה עובד בכל העולם, ואין שום סיבה שזה לא יעבוד גם אצלנו. כרגע אני מודע לתכנית באונטי רק בחברה ישראלית אחת, וזה חבל.

דבר אחרון

יחד עם ידידי אנחנו נתקלים בשלל תגובות מהארגונים להם אנחנו מאסגרים את הפרצות שאנחנו מגלים, החל מהתעלמות טוטאלית (וסגירה של החור בשקט, כאילו לא היה שם מעולם) ועד איומים בתביעות, במשטרה, ובעירוב שב"כ שיקח אותנו למרתפיו. זו לא הדרך, כי אם ככה מתייחסים לאנשים עם כוונות טובות, אין פלא שבסוף באים צללים שחורים.

 אחותי, בטלי גם את כרטיס האשראי שלך 🖼️ פרסומת של שירביט
בטלי גם את כרטיס האשראי שלך 🖼️ פרסומת של שירביט

בתקופה האחרונה, בעקבות מספר מקרים מאכזבים מאוד בטיפול הלקוי מצד הארגון הדולף וביחס לו זכיתי, פשוט הפסקתי לדווח כמעט לחלוטין, למרות שהרשימות עדיין ארוכות מאוד. בעקבות דליפות מידע משמעותיות מאוד כמו זו של מערכת ה"אלקטור" – שלא קרה איתן כלום – הבנתי שאין פה באמת רצון לתקן, אלא יש בעיקר רצון לטאטא את הבעיות מתחת לשטיח. הפצעתם של "הצללים השחורים" היא פועל יוצא של המדיניות הזו, כי כאמור – מה שלא לומדים בכח, לומדים בהרבה יותר כח.

ישראל לא ממציאה פה כלום, ופרט ללצווח "טרור" או "אנטישמיות" בכל פעם שקורה פה משהו לא נעים שקורה בכל יום בכל מקום אחר בעולם, זה מעבר למביך. בראייה מפוכחת יש להודות שהעובדה שאירוע ציבורי כזה קורה רק עכשיו ולא קודם היא ברכה, ושצריך לצפות לעוד הרבה כאלה. כאמור, מהיכרות אינטימית עם הרשת הישראלית – ארגון פשיעה עם מספיק עזוז יכול לעשות פה מיליארדים, והפוקוס שמקבל האירוע ב"שירביט" רק יקדם את הנושא. לכשעצמי, אני שוקל ברצינות השקעה בתעשיית הפופקורן, כי הולך להיות מעניין מאוד.

הודעת ההשבתה באתר שירביט

גוגל סטריט ויו מסתיר את בית ראש הממשלה בקיסריה, ובכך חושף את ראש הממשלה לאיום ביטחוני מצד ארגוני הטרור!

חשיפת מידע רגיש לא חייבת לקרות בצורה של פרסום המידע עצמו. לפעמים מידע רגיש נחשף גם בגלל אי-פרסומו. למשל: אם אני מחתים כרטיס נוכחות כל יום בעבודה, אפשר לדעת באילו ימים ושעות הייתי שם. אבל אם ביום שני לא העברתי את הכרטיס – היעדר המידע הוא למעשה מידע, שאומר שלא הייתי במשרד ביום שני, או הייתי אבל ניסיתי להסתיר זאת ולא העברתי כרטיס. משיודעים זאת, אפשר לנסות לברר אם הייתי או לא, על ידי בדיקת מצלמות מעקב, חקירת עמיתים לעבודה וכיוצא בזה.

דוגמה יפה להעברת מידע באמצעות החסרת מידע היא הדרך הערמומית שבה ספרנים בארה"ב עקפו תוכנית של ה-FBI למעקב אחרי המבקרים בספרייה תוך הסתרת המעקב באמצעות איסור פרסום לפי חוק הפטריוט. מאחר שהחוק אסר על ספרנים לספר שה-FBI היה בספרייה או ביקש מידע על מבקרים, הם תלו בספריות שלטים בנוסח “ה-FBI לא היה פה. שימו לב היטב אם השלט הזה יוסר”.

דוגמה נוספת היא האופן שבו גוגל חושפים מקומות רגישים בטחונית בישראל. נזכרתי בכך בזכות הודעה ששלחה פעילת הביביסטים אורלי לב לפעילים אחרים, שבה היא קוראת להם להגיע להפגנה ליד בית משפחת פרקש בקיסריה (בטענה שמשפחת פרקש אירחה בביתה, הסמוך לבית ראש הממשלה, פעילים אנטי-ביביסטים, ובכך איפשרה להם לעקוף איסור להפגין ליד בית ראש הממשלה). לב צירפה מפת גוגל שבה סימנה בעיגול אדום את בית פרקש.

ההודעה של אורלי לב עם מפת גוגל שבה מסומן בכחול בית משפחת נתניהו

הפעיל האנטי-ביביסט גונן בן יצחק פרסם צילום של ההודעה וכתב: "במפות גוגל הנקודה הכחולה מסמלת את המיקום של מי שפתח את המפה לניווט. במקרה של המפה שאורלי לב שולחת לפעילים, הנקודה הכחולה נמצאת בבית משפחת נתניהו בקיסריה". ואילו לדברי הפעיל האנטי-ביביסטי נרי ירקוני, "מי שחיפש שהה *באותו הרגע* בבית נתניהו בקיסריה (עיגול כחול)". נדמה לי שמבין השניים, ירקוני מדייק: מי שצילמסך את המפה עשה זאת כשהוא נמצא בבית משפחת נתניהו או בסביבתו הקרובה.

כך או כך, יאיר נתניהו, שהינו אדם פרטי ולכן באופן טבעי מוסר תגובות בשם ראש הממשלה, אמר בתגובתו כי

גונן בן יצחק עשה דבר חמור ביותר כשפרסם לכל העולם בציוץ בטוויטר את מפת גוגל שמראה את מיקומו המדויק של בית ראש הממשלה בקיסריה, ובכך חשף את ראש הממשלה לאיום ביטחוני מצד ארגוני הטרור..

וויינט, 21.11.2020
תגובת יאיר נתניהו בחדשות 12 לפרסום של גונן בן יצחק

הטענה הזאת מקושקשת: כתובת בית משפחת נתניהו "פורסמה פעמים רבות בעבר גם באישור הצנזורה, וניתן למצוא אותה בקלות בגוגל", כפי שנכתב בוויינט. אבל היא מספקת הזדמנות להזכיר שגוגל פרסמו בעקיפין רשימה של כתובות שיש סיכון בטחוני בצילומן, כולל ביתו של ראש הממשלה ובנו, האיש הפרטי; וכי מי שהעביר את הרשימה הרגישה הזאת לגוגל, חברה פרטית לא-ישראלית, היא מדינת ישראל.

באפריל 2012 השיקו גוגל בישראל את גוגל סטריט ויו, שירות שמציג תצלומי רחובות ובתים על מפות גוגל. לפני ששלחו את ניידות הצילום להסתובב ברחובות ישראל, גוגל נדרשו לקבל אישורים רשמיים, ובהם אישור ועדת שרים בראשות דן מרידור, שבחנה את ההיבטים הביטחוניים. המדינה התירה לגוגל לצלם ברחובות ישראל, אך דרשה מהחברה להימנע מצילום סביב אתרים רגישים בטחונית. כדי שגוגל ידעו איפה אסור לצלם, הם קיבלו מהמדינה רשימת כתובות רגישות שאסורות בצילום.

כדי לגלות אילו אתרים נחשבים רגישים בעיניי מדינת ישראל, כל מה שגולשת צריכה לעשות זה לגרור את אייקון האיש הצהוב מעל מפות גוגל באזורים שונים בישראל, ולראות סביב אילו כתובות ובתים אין קווים כחולים שמעידים שהאזור צולם. למשל: הבסיס הצבאי הקריייה בתל אביב, ובאופן משונה גם מצודת זאב. אחר כך הגולשת יכולה לחפש את אותם אזורים בשירותי מפות אחרים, תצלומי לווין או בסיור פיזי במקום.

אם הגולשת תגרור את האיש הצהוב מעל מפת קיסריה, היא תגלה קטעי רחוב בודדים שלא צולמו, ועל כבישיהם לא מופיע קו כחול – למשל, נתח בחלק הצפוני של רחוב הדר, סביב בית מספר 69. מעניין מי מסתתר שם.

רחובות קיסריה הזמינים בגוגל סטריט ויו
החתיכה החסרה פוגשת את O הגדול

600 אלף ישראלים נחשפו: תמונות עירום, צ'טים מיניים, כרטיסי אשראי ועוד בפירצת אבטחה חמורה

הכל היה מוכן להשקת העונה השלישית של הפודקאסט הפופולרי סייברסייבר, כשקיבלנו דיווח בתיבת ההדלפות המשוכללת שלנו בדארק-ווב. המדווח.ת, סתיו, אמן.ית פיתוי הדאטהבייסים הזכור מחשיפת פירצת הליכוד-אלקטור, סיפר לנו על שורה של פרצות חמורות במספר פלטפורמות היכרויות ישראליות, החושפות פרטים אישיים מאוד של מעל 600,000 ישראלים וישראליות. פרסמנו את הסיפור במקביל עם עומר כביר בכלכליסט.

<חסות>



סייברסייבר מופק בחסות חברת הסייברסייבר SentinelOne, שמגייסת עובדים ל-50 משרות במשרדיה בתל אביב

לפרטים והגשת קורות חיים לסנטינל וואן התגלצ'ו אל s1.ai/tlv-jobs

<\חסות>
מסמכים צבאיים ותצלומי חיילים 🖼️ דליפת אתרי ההכרויות והזנות הגדולה
מסמכים צבאיים ותצלומי חיילים 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

את הדברים של סתיו אנחנו מביאים כלשונם, כולל ההחלטה לא לאסגר את המידע לפלטפורמות הדולפות או למערך הסייבר הישראלי.

סייברסייבר: באופן טבעי לא נשאל מי את או אתה, זה יהיה בסדר אם נקרא לך "סתיו, אמן פיתוי הדטהבייסים"?
סתיו: "יותר טוב מהכינוי הנוכחי שלי ברשת, אני סבבה עם זה".

סייברסייבר: על כמה מערכות מדובר בפרצה הנוכחית?
סתיו: "יש שם קרוב למאה אתרים שמופעלים על ידי 4-5 פלטפורמות שונות. חלק מהמפעילים ישראלים, חלק לא, אבל המשתמשים הם כמעט רק ישראלים".

סייברסייבר: כמה משתמשים נחשפו?
סתיו: "במערכות של הזנות כמה עשרות אלפים, לא רחוק מ-80,000. סה"כ, כולל המערכות של ההיכרויות לצרכים רומנטיים יותר, מעל שש מאות אלף ישראלים".

סייברסייבר: איזה מידע מצאת שם?
סתיו: "המון. מיילים, טלפונים, סיסמאות, בחלק מהמקרים גם תעודות זהות, כתובות פיזיות, העדפות מיניות, תמונות עירום, הודעות פרטיות בין משתמשים, בקשות לתשלום על מין, לפעמים הוכחות לתשלום, ראיתי צילומי מסך של תשלומי ארנונה שנעשו בתמורה להבטחה למין, צילומי יתרות בחשבונות בנק (כנראה כדי להראות יכולת כלכלית), מסמכים צבאיים (כולל מפות, סידורי פטרולים, משמרות, ועוד), צילומי תעודות זהות ודרכונים, במקרה מסוים אפילו מכתב המראה זכאות לירושה מאישה שנפטרה ימים ספורים לפני שצולם והועלה למערכת. ראיתי קטינים שמציעים את עצמם, והפניות שהם מקבלים, ובאמת כל דבר. אנשים הם משונים, חלקם דפוקים לגמרי".

מו"מ על שירותי זנות 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

סייברסייבר: כמה מסובכות הפרצות האלה?
סתיו: "כמו שראיתם במידע ששלחתי לכם – אלה פרצות של גן ילדים, וסביר מאוד להניח שהמידע הזה כבר בחוץ בידיים זרות. מה שמטריד הוא פוטנציאל הסחיטה של עובדי ממשלה הנשואים שמחפשים מין מזדמן (וכאלה יש המון); וכמובן הפגיעה שאנשים מקהילות סגורות כמו חרדים או ערבים שכנראה יהיו מוכנים לשלם לא מעט כדי להשאיר את המידע הזה חסוי".

סייברסייבר: באסגרה שלך כתבת שאתה (או את) לא סומכים על הרשויות בישראל ולכן לא פניתם אליהם עם המידע, וכמו כן ביקשתם מאיתנו לא לאסגר. למה?
סתיו: "בדליפה של מערכת האלקטור היתה לי ציפיה לפעולה משמעותית של הרשויות. עד עכשיו לא קרה עם זה כלום, וכנראה גם לא יקרה. זו היתה נקודת שבר שאחריה הבנתי שאין בישראל באמת רצון או יכולת להגן על האזרחים ברשת. חלק ממפעילי המערכות כאן הם פושעים, מקדמים זנות, ומדיחים אנשים חלשים למכור את גופם. אחרים הם סתם רמאים שמפעילים פרופילים פיקטיביים כדי לפתות אנשים להוציא כסף, ולכן הפתרון גם לא נמצא בלעזור להם לאבטח את המערכות שלהם טוב יותר כדי שימשיכו לרמות אנשים נוספים".

שיחת וואטסאפ בין חברים באתר 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

סייברסייבר: מה את, או אתה, מתכננים לעשות עם המידע הזה? מידע מאוד מסוכן, מאוד נפיץ, יכול לגרום לנזקים אמיתיים.
סתיו: "עוד לא החלטתי. חלק מהמידע באמת מזעזע, בעיקר הקטינים, אבל גם סוגים אחרים של ניצול אנשים מוחלשים על ידי אנשים חסרי מצפון ומוסר. נראה איך יתפתח הסיפור הזה. הבעיה המרכזית כאן היא שיהיה קשה לפגוע בחלאות בלי שיעופו שבבים גם על הקורבנות שלהם. למשל רב ידוע מאזור הדרום, או עובד בבית חולים לחולי נפש המפתה קורבנות ליחסי מין אלימים, או שוטרים ואנשי ביטחון אחרים, שעל פי חלק מההודעות עשויים לנצל את מעמדם כדי לפגוע. מאוד יתכן שהמידע שלהם ימצא את עצמו בחוץ, אבל כאמור – נראה לאן יתפתח הסיפור".

סייברסייבר: אם אנחנו כבר מדברים, עושה רושם שזה לא הרודיאו הראשון שלכם ברשת הישראלית. איך הייתם מגדירים את מצב האבטחה שלה?
סתיו: "די מזעזע. עם כל הרעש של מערך הסייבר, מערכות ממשלתיות ואזרחיות רבות פרוצות לחלוטין, ואלה לא מערכות זניחות. למשל, מצבת כח האדם הממשלתית הכוללת עובדים בארגונים שלא הייתם מצפים שיחשפו את רשימת העובדים שלהם – כמו המוסד והשי"ן בית (למשל 03XXXXXX4 או 5XXXXX42; אתם לא חייבים להזכיר את המספרים עצמם, זה רק אם מישהו יפקפק בדברים האלה), או מערכת ביקורת הגבולות, או בנק גדול מאוד שמאפשר גישה למידע של כל החשבונות בו, ואלה רק דוגמאות.

מתנות תמורת מין חברים באתר 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

"התרבות של מכרזים תפורים לחברות שחושבות שאבטחת מידע זו בדיחה מאפשרת כניסה לפחות או יותר כל מערכת גדולה בישראל, ולא נראה שלמישהו באמת אכפת מזה. אז אם כמה מיליוני תמונות של ישראלים בתחתונים או בלעדיהם זה מה שיביא את השינוי – שיהיה".

סייברסייבר: וואו, זה נשמע קיצוני אפילו יותר ממה שאנחנו מכירים, מה אתה או את מתכננים לעשות עם המידע הזה?
סתיו: "שום דבר. יש לי שום דבר נגד מדינת ישראל, אבל גם אין לי שום אינטרס לעזור לה, בטח אחרי הפיאסקו של אלקטור. אם היה חשוב להם – היו משנים את השיטה שיוצרת את החורים האלה. כל עוד כסף מגיע לפני אינטרסים של האזרחים – שום דבר לא ישתנה".

חדש! הקו החם והפריך של סייברסייבר!

תגובות לפרק? דיווחים על פירצות ופריצות? מתכוני מאפים? שילחו הודעה קולית

🍕 055-2776766 🐱

(אפשר גם לשלוח תרומות בפייבוקס למספר הזה)

המידע בדליפה שסתיו חשף הוא אישי ופרטי מאוד, וכולל מליוני תמונות פרטיות, רבות מהן תמונות עירום של המון משתמשים, חלקם במדים ועל רקע מפות ומסמכים צבאיים/משטרתיים; כתובות האימייל שאיתן נרשמו – כולל כתובות בדומיינים של משרדי ממשלה, בתי משפט ואף בית המשפט העליון; עשרות מליוני הודעות פרטיות בין המכירים באתר, וכמובן כל פרטי המשתמשים, העדפותיהם הרומנטיות והמיניות, והיסטוריית הקשרים שלהם ברשת.

הרמת המסך הזו חושפת גם דרכי פעולה נכלוליות של מפעילי הפלטפורמות, הכוללים שמירת פרטי אשראי מלאים וגלויים בניגוד לתקן, הקמת פרופילים פיקטיביים לפיתוי משתמשים אמיתיים על מנת להוציא מהם כמה שקלים, קידום זנות, ובמקרים מסוימים אפילו מעורבות של קטינים.

חבילות מזומנים 🖼️ דליפת אתרי ההכרויות והזנות הגדולה
תצלומי חבילות מזומנים כהוכחה לעושר של חברים באתר 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

זו אחת מדליפות המידע החמורות שידעה הרשת הישראלית, בעיקר בגלל רגישות המידע הנחשף, אבל לא פחות בגלל זהות המשתמשים שהמידע הזה שייך להם, חלקם עובדי מדינה, עובדי כוחות הביטחון, או חברים בקהילות דתיות יהודיות ומוסלמיות, החשופים עכשיו לשורה של סכנות, ובהן נידוי חברתי, סחיטה, אלימות ורצח.

סתיו סיכמה זאת היטב: "אל תסמכו על אף אחד, בטח לא עם מידע רגיש שלכם. צילמתם את עצמכם בעירום? תחשבו מאה פעמים לפני שתשלחו את התמונה, כי ברגע שהיא עוזבת את המכשיר שלכם – היא יוצאת משליטתכם וההנחה צריכה להיות שהיא תפורסם ושאלפי אנשים יצפו באיברים שלכם. אם אין לכם בעיה עם זה – מצוין. ובקשר לממשלה שלכם – שם אתם כבר יודעים מה צריך לעשות".

<חסות>

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו.

אם תיכנסו ל
כאן, או לכתובת המקוצרת Podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.

<\חסות>

מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן; נעם רותם 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404

🎛️ מיקס: עומר סנש 🐈 קריינות אותות: נועה ארגוב 🎭 שחקנים: רן בר-זיק מ"אינטרנט ישראל", נעמה לוריא, מיליאנה 🎹 עטיפה מוזיקלית 🔔 קולות: אות מערך הסייבר / martysonic (cc-by-nc); חץ מקשת / robinhood76 cc-by-nc; צה"ל צועד / יואב תלמי, תזמורת משטרת ישראל; פטיש בית משפט / zerolagtime cc-by; פצצת אטום / Hard3eat cc0; הרשת האפלה / danlucaz cc0; הסיפור המרכזי עם אראל סג"ל ובועז גולן / ערוץ 20; סופרקאט one more thing של סטיב ג'ובס / Wyn Nathan Davis; הפגנות נגד ביבי / תומר אפלבאום, עידן דורפמן (1,2,3); נפתלי בנט מדבר על סייברסייברסייבר: INSS, אוניברסיטת ת"א 🖼️ תמונת פרק: עיבוד לתצלום של Israel Captures

📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@cybercyber.co.il 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 סיגנל, טלגרם, וואטסאפ, סמסים והודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס למספר 055-2-776766


ווינד מתקדמים מקורקינטים למאגר ביומטרי

הכתב כרמל ליבמן דיווח בשמחה בחדשות 2 כלשהן על "מהלך שיציל חיים? הטכנולוגיה החדשה שתמנע מילדים לשאול את הקורקינטים השיתופיים". כותרת מדוייקת יותר מופיעה בראש פוסט זה.

החוק בישראל מתיר רכיבה על קורקינט ממונע מגיל 16 ומעלה, אולם בפועל רוכבים גם צעירים יותר, אם בקורקינטים פרטיים ואם במושכרים. חברות השכרת-הקורקינטים-ללא-מגע-יד-אדם, ווינד, ברד וליים, ניסו למנוע מצעירים לשכור קורקינטים על ידי שכירת עובדים שיבדקו את גיל השוכרים הקמת מאגר מידע על הנוסעים, שבו הם נדרשים לסרוק תעודת זהות או רשיון נהיגה כדי לאמת את גילם.

ההגנה קלה מאוד לפריצה. לא רק שבני פחות מ-16 יכולים לסרוק תעודה של אדם אחר ולשכור קורקינט, אלא שאפילו לא צריך תעודה אמיתית, כפי שדיווחו אותן חדשות 2 כלשהן בפברואר השנה:

בבדיקה סרקנו רישיון נהיגה פיקטיבי שמצאנו בגוגל, כשמספר תעודת הזהות הוא 123456789 – והקורקינט היה זמין לרכיבה. החברות דורשות להזין גם כרטיס אשראי אבל הדבר לא באמת מעיד על גיל הנהג, מכיוון שאפשר לשאול כרטיס אשראי מאדם מבוגר.

בווינד מטמיעים עכשיו פתרון חדש: זיהוי פנים (כמובן שהוא "מבוסס בינה מלאכותית", לפי מנכ"ל ווינד ישראל, יוחאי עבאדי). בקומוניקט של ווינד נכתב כי

טכנולוגיית זיהוי הפנים נלקחה מתחום הבנקאות כדי לאמת את זהות הלקוח כשהמערכת עושה השוואה של תווי הפנים של הלקוח עם התמונה ברישיון הנהיגה שלו.

[…]

הזיהוי יבוצע כך: כל משתמש יתבקש לסרוק את רישיון הנהיגה שלו בעת ההרשמה לאפליקציה. המשתמש יתבקש לצלם תמונה של פניו ולשלוח כדי שתתבצע ההתאמה של תווי פניו לתמונתו ברישיון הנהיגה. בשלב הראשון, המערכת לזיהוי פנים תאשר את המשתמש תוך 20 דקות בלבד, כך שמהלך אישור המשתמש יקוצר מ-48 שעות כיום ל-20 דקות בלבד לאחר יישום הטכנולוגיה. בשלב השני, ולאחר שהמערכות תעבור את הבקרות המתאימות, יאושרו המשתמשים באופן מיידי. במידה וזוהתה בעיה, העניין יועבר לאישור ידני.

קומוניקט ווינד ישראל, 14.10.2020

כלומר, ווינד ישראל מקימים מאגר ביומטרי של תמונות פנים. גם לקוחות קיימים יצורפו לתוכנית: "החברה תריץ את היישום החדש על כל בסיס המשתמשים של החברה בישראל". אני באופן אישי מרגיש עכשיו הרבה יותר בטוח, אבל אולי זה כי מעולם לא שכרתי קורקינט מווינד.

הדגמת של פיצ'ר זיהוי הפנים של ווינד קורקינטים 🖼️ יחץ ווינד ישראל

לעתים, קורקינטים שיתופיים הם שיתופיים מדי, וסובלים מפירצות אבטחה ופרטיות. בסייברסייבר ע02פ21 דיברנו עם אמיר שלדובסקי מחברת אימפרבה, שחקר וגילה דליפות מידע מקורקינטים שיתופיים שחושפים מידע על עצמם, על המפעילים ועל הרוכבים, כולל אפשרות מעקב גאוגרפי אחרי הרוכבים.


חולדאי דולף

ראש מדינת תל אביב, רון חולדאי, הכריז בתחילת החודש שהוא מתכוון להתמודד בבחירות הארציות, כי אף פעם אין מספיק גנרלים שרוצים לרוץ לראשות הממשלה מטעם השמאל המרכזי. בשבוע הראשון למועמדותו-מטעם-עצמו הוא הספיק לעשות שתי טעויות סייברסייבר: לדלוף מידע שהתכוון לשמור בפרטיות, ולסמן את המידע הזה לטובת מי שהתקשה למצוא אותו.

העיתונאית טל שניידר חשפה את הדליפה: בוק צילומי סטודיו של הראיס, ככל הנראה כהכנה לקמפיין הבחירות הארצי (הבחירות המוניציפליות הבאות רק ב-2023). התמונות הועלו לאלבום "פורטרט ראש העיר – לא לפרסום" בפליקר של עיריית תל אביב, שעדיין קיים ואף מתעדכן לטובת 48 עוקביו (לא פספסתי את המילה אלף, מדובר בארבעים ושמונה אנשים).

הטעות הראשונה היא, כמובן, העלאת האלבום לפליקר כשהוא לא מיועד לפרסום. פליקר מאפשרים לקבוע עבור כל תמונה ותמונה אם היא פרטית, לחברים/משפחה או ציבורית. יתכן שאיש הסושיאל חשב בטעות שהוא מעלה אותן כפרטיות (וזו לא תהיה הטעות המביכה הראשונה שלו [אלא אם הדליפה של אלבום הבחירות היתה מכוונת, כדי לייצר עוד יח"ץ לריצתו העתידית]).

"נאבקים בקורונה […] באים ונדבקים", תקלדה חמודה בפייסבוק של רון חולדאי

העלאת מידע פרטי/סודי באופן גלוי באינטרנט היא בעיה נפוצה מאוד, בגלל הסתמכות על אחסון ענן ומורכבות הגדרות הפרטיות ומתן ההרשאות. למשל: הקמת קבוצת וואטסאפ לעבודה ושלחת לינק הצטרפות בתפוצת נאט"ו משרדית? גולשים זרים עלולים להגיע אליה דרך חיפוש גוגל.

הטעות השנייה היא המילים "לא לפרסום" בשם האלבום, משתי סיבות:

1) הן מסמנות את התמונות כבעלות חשיבות וסודיות. גולשת שהיתה רואה את האלבום הזה בלי המילים "לא לפרסום" עשויה היתה לדלג עליהן משעמום ולפספס את הסיפור.

2) הן מנגישות את התמונות לחיפוש שממוקד במסמכים סודיים. לכו למנוע חיפוש, חפשו קבצי דוק/פדף עם המחרוזת "סודי ביותר" או "לא לפרסום" ותגלו עולם שלם של דליפות מידע.


אין ברכה בפריצה בשבת

רשות מקרקעי ישראל מצפה מהאקרים שפורצים אליה לשמור שבת, כי היא מקור הברכה.

הרשות פרסמה לאחרונה את מכרז 453-2020 (פדף) לקבלת שירותי אבטחת מידע וסייברסייבר. מכיוון שמדובר ברשות ממלכתית במדינה יהודית ודמוקרטית, המכרז מבהיר כי הספק לא יספק שירותי סייברסייבר בשבת.

מרכז 453-2020 לשירותי אבטחת מידע וסייבר עבור רשות מקרקעי ישראל
מכרז 453-2020 לשירותי אבטחת מידע וסייבר עבור רשות מקרקעי ישראל

היינו מצפים ש-SOC (חמ"ל סייברסייבר) של משרד ממשלתי של מדינה שמהווה מטרה להאקרים מרחבי המרחב יפעל 24/7/365. אבל עמי רוחקס דומבה דיווח בישראל דיפנס כי בפועל, הספק נדרש לפעול רק בימי חול, ולפני ואחרי כניסת שבת/חג. במספר מקומות במכרז מפורט כי

בנוסף למתן השירותים על פי שעות עבודה כאמור לעיל, הרשות תהא רשאית להזמין הפעלת תמיכה וצוות התגובה 24 שעות ביממה בימים א' עד ה' וימי שישי וערבי חג עד שעתיים לפני  שבת/חג ובמוצאי שבת וחג משעתיים לאחר צאת שבת/חג, וכן עבור פתרון תקלות ו/או התקפות על הארגון, כולל אסקלציה מול ספקים אחרים.

שמירת שבת כשירות (SSaaS, Shomer Shabbos as a Service) מוצעת לאתרים שמעוניינים למנוע מגולשים לחלל אצלם שבת. האתגר הוא להתאים את מועדי סגירת האתר למועדי כניסת ויציאת השבת בשעון המקומי של הגולשת – או לסגור את האתר מכניסת השבת המוקדמת ביותר ועד יציאתה המאוחרת ביותר. וכפי שמסביר ספק ה-SSaaS "שומר שבס", "השבת באינטרנט אורכת כ-50 שעות!"

אתר ה-SSaaS "שומר שבס"

לא רק אתרים פרטיים ומסחריים מקיימים את מצוות "וּבַיּ֥וֹם הַשְּׁבִיעִ֖י תִּשְׁבֹּ֑ת לְמַ֣עַן יָנ֗וּחַ שֽׁוֹרְךָ֙ וַחֲמֹרֶ֔ךָ וְיִנָּפֵ֥שׁ בֶּן־אֲמָתְךָ֖ וְהַגֵּֽר". גל מור דיווח בוויינט ב-2005 כי אתר התשלומים של הביטוח הלאומי נסגר מדי שבת, ולא ניתן לשלם באמצעותו.

בדיעבד, אולי זה היה נסיון חדשני ופורץ דרך למנוע מהאקרים גויים לגנוב את הכסף?


מערכת הפעלה בת 19 יוצאת לחופשי ועושה צרות להורים

מי לא זוכר את Windows XP ותמונת הרקע המפורסמת שלה? אמנם עברו 19 שנה מאז שמערכת ההפעלה האהובה הושקה, אבל גם היום היא מצליחה לעשות כאב-ראש לא קטן ליצרנית שלה מיקרוסופט, ועכשיו נראה שכאב הראש הזה הולך לגדול.

בסוף השבוע שעבר הופיעו בטוויטר דיווחים ראשונים על דליפה של קוד המקור של מערכת ההפעלה Windows XP מבית מיקרוסופט. ע"פ הדיווחים בשיחה, קובץ במשקל 43 גיגה שותף לראשונה באתר 4chan, ומאז נמחק, אך עותקים שלו כבר זמינים בטורנטים ובפלטפורמות שיתוף קבצים שונות, והוא נגיש לכל דורש.

דסקטופ חלונות XP

חלונות XP יצאה לשוק ב-2001, ונחשבה למערכת הפעלה מוצלחת בסדרת חלונות. מיקרוסופט לקחה אותה לווטרינר שירדים אותה ב-2014, אז הפסיקה לספק לה עדכונים וטלאי אבטחה (למעט עדכון קריטי חריג אחד ב-2017, שנועד לחסום את הכופרה WannaCry).

הקובץ שדלף כולל את כל קוד המקור של חלונות XP, וכן מספר קבצים וסרטונים הכוללים תאוריות קונספירציה שונות הממוקדות בביל גייטס, מייסד מיקרוסופט. הוא שימש כמנכ"ל החברה עד כשנתיים לפני השקתה של XP, והיום הוא פילנתרופ בתחום הרפואה, שנמצא במוקד של מספר תאוריות קונספירציה שונות המופצות ברשת, ומאשימות אותו במעורבות זדונית בהקשר לנגיף הקורונה ולפריסת רשתות הסלולר בדור החמישי (5G).

קוד מקור – הדנ"א של התוכנה

קוד מקור הוא הקוד שנכתב ע"י המתכנתים שמפתחים את התוכנה, והוא כולל את כל ההתנהגויות של התוכנה וכן הערות שונות, בצורה שניתנת לקריאה והבנה ע"י מתכנתים אחרים. אחרי שקוד המקור מוכן, הוא עובר הידור (ובלעז קומפילציה) – תרגום משפת תכנות לשפת מחשב, מה שהופך אותו לבלתי-קריא לעין אנושית וקשה-עד-בלתי-אפשרי להנדסה לאחור כדי לחלץ ממנו את קוד המקור. זה הקוד שנמצא במחשבי המשתמשים – הם יכולים להשתמש בו, אבל על פי רוב לא יוכלו לפענח אותו.

התכונות של קוד המקור הופכות אותו לקניין הרוחני החשוב ביותר של חברות תוכנה. רוב חברות התוכנה שומרות על קוד המקור שלהן מכל משמר, ומסרבות לחלוק אותו עם גורמים מחוץ לחברה. מקרים של דליפת קוד מקור פרטי לאינטרנט או למתחרים עסקיים יכולים להוביל לנזק כלכלי עצום ואף לסגירה של חברות.

דליפת קוד המקור של חלונות XP ב-4Chan
דליפת קוד המקור של חלונות XP ב-4Chan

(עם זאת, אנו שמחים לראות בשנים האחרונות עליה רצינית בכמות החברות המסחריות המסתמכות על קוד פתוח או על חלקים של קוד פתוח במוצרים שלהן. קוד פתוח – open source – הוא מודל שבו קוד המקור של התוכנה גלוי לחלוטין, וזמין לשימוש, להפצה ולשינוי. היתרון של קוד פתוח הוא שכולם יכולים לראותו, למצוא בו טעויות ופירצות ולתקנן).

כשיש חור בתחתית הדלי, גם המים שלמעלה נוזלים

הבעיה עם חשיפת קוד המקור, מעבר לנזק הכלכלי שבהפצת גירסאות פיראטיות, היא סכנת האבטחה. קוד המקור מאפשר לכל מתכנת בעל ידע להבין כיצד התוכנה תתנהג במצבים שונים, היכן מצויים טעויות ובאגים, וחשוב מכל – היכן השאירו המתכנתים פרצה באופן לא מכוון. באמצעות קוד המקור ניתן גם לייצר עותק של התוכנה לאחר שעבר מניפולציה, והוסרו או הוספו אליו חלקי קוד שונים. האקרים מתים על קוד מקור.

אז איך קורה שדליפה של קוד מקור של מערכת הפעלה כ"כ ישנה עדיין יוצרת בעיות למיקרוסופט כיום? התשובה נעוצה בצורת הפיתוח של סידרת מערכות ההפעלה חלונות. מיקרוסופט מפתחת כל גירסת חלונות חדשה כהמשך ישיר למערכת שקדמה לה, מבצעת שינויים בקוד הקיים (לפעמים תוך כתיבת אגפים שלמים מחדש), ומוסיפה קטעי קוד חדשים כדי לייצר את מערכת ההפעלה החדשה. משמעות הדבר היא שבכל גירסת מערכת הפעלה יש חלקים שלמים שנובעים באופן ישיר ממערכת ההפעלה שקדמה לה.

סוודר חלונות XP שנמכר באתר Shelfies
חולצת חלונות XP שנמכרת באתר Shelfies

בין XP הוותיקה לחלונות 10 של ימינו מפרידים אמנם שלוש גירסאות והר של עדכונים, אבל סביר מאוד שעדיין קיימים חלקים גדולים בקוד של 10 שעברו שינויים קטנים בלבד, או בכלל לא, בהשוואה ל-XP. כך שבאמצעות קריאה ומחקר של קוד המקור של XP, האקרים יוכלו למצוא וקטורים לתקיפה של חלונות 10; ולמידה מעמיקה של הקוד תסייע לתוקפים לקבל תמונה טובה של סגנון הפיתוח של מיקרוסופט, דבר שיכול לסייע להם לחשוף חולשות נוספות במערכות העדכניות.

דבר זה יכריח את מיקרוסופט להשקיע משאבים גדולים עוד יותר באיתור וסגירת פרצות, שחלקן אף עלולות להיות קשות מאוד לטיפול, במיוחד אם הן בבסיס מערכת ההפעלה ואחראיות על פעולות קריטיות רבות.

XP – המערכת שמסרבת למות

סכנה נוספת הנובעת מדליפת קוד המקור היא הסיכון למחשבים שעדיין מריצים XP. נכון להיום, כ-1.3% מהמחשבים בעולם עדיין מריצים את XP. רוב המחשבים הלא מעודכנים הללו משמשים להרצת תוכנות ישנות או שליטה על מכונות ישנות, ועדכון שלהם יהיה כרוך בכתיבת תוכנות חדשות או תוכנות התאמה במקרה הטוב, או בהחלפת חומרה ואף מערכות שלמות במקרה הרע. ארגונים רבים לא מסוגלים להרשות לעצמם את העלויות הללו, ונשארים תקועים עם XP מכורח הנסיבות.

הבעיה היא שרוב המחשבים שעדיין רצים על XP משמשים לשליטה על מערכות חשובות ויקרות, בהן כספומטים, מערכות לחימה, מכשירים רפואיים ומכונות ייצור גדולות. כך שמלכתחילה מדובר במטרות מפתות לתוקפים, וקל וחומר אחרי דליפת קוד המקור.

מסך פרסומת שרץ על חלונות XP 🖼️ ג'וי איטו (CC-BY)
מסך פרסומת שרץ על חלונות XP 🖼️ ג'וי איטו (CC-BY)

מאחר שמיקרוסופט הפסיקה לעדכן את XP בחינם לכלל המשתמשים, כבר כמה שנים ששורה של ארגונים ומדינות משלמים סכומי כסף גבוהים לחברה עבור גישה לקוד המקור והמשך קבלת תמיכה מסוימת, כדי להימנע מהצורך בשדרוג המערכות. התמיכה הזו איפשרה להם להישאר צעד אחד לפני תוקפים פוטנציאלים, ולהצליח לשמר מידה סבירה של הגנה, שכעת לא תתקיים יותר. בנוסף, מיקרוסופט גם הפעילה תוכנית בשם Government Security Program (GSP), שבמסגרתה נתנה למדינות ולארגונים גדולים גישה לקוד המקור כדי שיוכלו לייצר גירסאות מוגנות יותר של מערכת ההפעלה (אולי משם הגיעה הדליפה?)

מה עכשיו?

כדי למנוע ניצול לרעה של קוד המקור לפיתוח מתקפות חדשות ויעילות על מכשירי XP, אחד מהשניים יצטרך לקרות: אחרוני משתמשי XP ייאלצו להיפרד ולשדרג, או שמיקרוסופט תצטרך לחזור ולעדכן את XP.

הערכה זהירה אומרת שמיקרוסופט לא יחזירו את המערכת לחיים, והפרצות שבה יישארו פתוחות. הארגונים שעדיין עושים שימוש במערכת יעמדו בפני בחירה קשה האם לשדרג את המערכות שלהם בעלויות גבוהות, לנסות לסתום לבד את הפרצות במערכת, או פשוט להשאיר את המערכת שלהם פרוצה לחלוטין.

מאחר שקוד המקור נגיש כעת לכולם, ייתכן שנראה צמיחה של חברות שימלאו את החלל שהשאירה מיקרוסופט ויציעו עדכונים והגנות בתשלום. אולי תקום קבוצה קטנה של ארגונים שיפתחו ויפיצו עדכונים כדי להשאיר את המערכת בחיים. ייתכן שגם קהילת הקוד הפתוח תתגייס לנושא ותפיץ עדכוני אבטחה בחינם לכל דורש, כדי לשמר את מערכת ההפעלה האהובה בחיים עוד כמה שנים. מיקרוסופט עלולה לפעול משפטית להגן על זכות הקניין שלה, אבל זה יהיה טפשי מצדה להילחם במי שמנסים לעזור למשתמשים הלגיטימיים שנשארו מאחור.

יוסף ורד הוא סמנכ"ל טכנולוגיה בחברת EMT Engineering LTD

הכופר של אובר: מה קורה כשבאג באונטי משמש לתשלום דמי שתיקה?

באג באונטי – bug bounty במקור – הן תוכניות שבהן ארגון מציע להאקרים למצוא אצלו פירצות אבטחה, לאסגרן בצורה אתית ואחראית ולקבל פרס, בדרך כלל כספי. הדבר נועד למסד את היחסים בין ההאקרים לארגונים, ולאפשר להם לעבוד יחד בלי חשש לפריצות והדלפת מידע מצד ההאקרים ולהליכים משפטיים מצד הארגונים. אחד הארגונים שמפעילים תוכנית באונטי הוא אובר, ששילמו לצמד האקרים 100 אלף דולר על גילוי פירצת אבטחה. זה מה שהם רוצים שנחשוב, בכל אופן.

אובר, פלטפורמת התיווך בין נהגי מוניות ונהגים פרטיים לבין נוסעים, נפלה קורבן לפריצה בשנת 2014, כשהאקרים מצאו את המפתחות לחשבון ה-AWS (שירותי רשת של אמזון) של אובר, וגנבו משם פרטים על 50 אלף נהגים. במרץ 2016 השיקו בחברה תוכנית באג באונטי.

שמונה חודשים לאחר השקת הבאונטי קיבל סמנכ”ל האבטחה של אובר דאז, ג’ו סאליבן, אימייל מהאקר שהזדהה בשם ג’ון דאוז בכתובת johndoughs@protonmail.com בשירות האימייל המוצפן והמאובטח פרוטון מייל. מצאתי פירצת אבטחה חמורה אצלכם, סיפר "דאוז", וגם עשיתי דאמפ של הדאטהבייס שלכם ומידע נוסף. בדיקה של צוות אבטחה של אובר העלתה כי ההאקרים השתמשו בפרטי גישה גנובים לגשת לקוד המקור של אובר בגיטהאב, שם מצאו פרטי גישה של דלי AWS והשתמשו בהם להוריד את המידע על לקוחות ונהגי אובר.

סאליבן המבוהל, שכבר היה עמוק בתוך חקירה של ה-FTC (רשות הסחר הפדרלית) על הפריצה מ-2014, מיהר לסמס למייסד ומנכ"ל אובר, טראוויס קלניק, שהוא צריך לדבר איתו על משהו רגיש. השניים קיימו מספר שיחות טלפון, ואחריהן קלניק כתב לו:

צריך להיות בטוחים מה יש לו [להאקר; ע”ק], רגישות/חשיפה של זה ו-ודאות שהוא באמת יכול להתייחס לזה כמצב 🐜 באונטי […] המשאבים יכולים להיות גמישים לצורך סיום הסיפור אבל אנחנו צריכים לתעד זאת בקפדנות.

סמס ממנכ"ל אובר טראוויס קלניק אל סמנכ"ל האבטחה ג'ו סאליבן, 15.11.2016

בעצה אחת של קלניק וסאליבן, ההאקרים קיבלו הצעה לפרס באונטי שמן בגובה 100 אלף דולר, בתמורה למחיקת כל המידע שהורידו ושתיקתם הנצחית, מגובה בהסכם סודיות (NDA). כלומר: לא באונטי, אלא כופר, דמי שתיקה. ההאקרים חתמו בשמותיהם הבדויים, ואובר העבירו להם את הסכום בביטקוין. רק בינואר 2017 הצליחו אובר לגלות את זהותם הארצית של ההאקרים, ושלחו אליהם אנשי אבטחה, להחתים אותם שוב על מסמך הסודיות, הפעם בשמותיהם האמיתיים.

קלניק וסאליבן הסתירו את העיסקה מהנהלת החברה, מה-FTC ומ-57 מיליון המשתמשים ו-500 אלף הנהגים שמידע עליהם נחשף להאקרים – עבירה על החוק בכל מדינות ארה"ב, שמחייב לדווח לאנשים על דליפת מידע מזהה אישי (PII) אודותיהם.

קלניק, שכפי שאפשר לראות הוא לא אדם שראוי לעמוד בראש חברה, נאלץ להתפטר מתפקידו בעקבות שורת שערוריות ודיווחים על סביבת עבודה רעילה. דארה חוסרושאהי החליף אותו באוגוסט 2017, הדירקטוריון של אובר עלה על סיפור הפריצה וסאליבן עוד הספיק לשקר לחוסרושאהי בנושא. חודשיים לאחר מכן, המנכ"ל חוסרושהאי פרסם רשמית ופומבית את דבר הפריצה, התנצל בפני הציבור על "הכשלון שלנו" ופיטר את סמנכ"ל האבטחה סאליבן ועו"ד מהצוות שלו. בעקבות שורת תביעות של התובעים הכלליים של כל מדינות ארה"ב, אובר חתמו על הסכם פשרה ושילמו 148 מיליון דולר.

עם חשיפת הפרשה, סאליבן המפוטר עמד על גירסתו שהתשלום היה פרס באונטי לגיטימי. אולם בכתב האישום שהוגש נגדו השבוע בבית המשפט המחוזי של מחוז צפון קליפורניה, על שיבוש הליכי משפט ואי מניעת פשע, התובעים חולקים על הטענה הזאת. ומפרטים: ההאקרים אמרו שיש בידיהם מידע ודרשו תשלום של שש ספרות; סכום הפרס גבוה מכל אחד מעשרות פרסי הבאונטי שהחברה חילקה לאורך השנים, שממילא מוגבלים ל-10 אלפים דולר לפרס; הנהלת החברה (מלבד המנכ"ל קלניק) לא נחשפה לפרטי הפריצה ולהחלטה להתייחס אליה כבאונטי; ההאקרים נדרשו לחתום על הצהרה שקרית שלפיה לא השיגו ולא שמרו עותק של המידע על המשתמשים והנהגים; והם נדרשו לשמור על סודיות מוחלטת לגבי הפירצה, בניגוד למדיניות הרגילה של הבאג באונטי, שהתירה להאקרים לפרסם את הגילויים שלהם בתיאום עם החברה ואחרי שהפירצה נסגרה.

ג'ו סאליבן באתר אובר

ההאקרים של אובר המשיכו לסחיטת חברות נוספות על ידי פריצה וגניבת מידע. הם נתפסו, הועמדו לדין ובשנה שעברה הודו באשמה, וכעת ממתינים לגזר דינם. אבל הנזק שהם וסאליבן הסבו לאובר מתגמד לעומת הנזק שהם עלולים לגרום לכל הקונספט של באג באונטי, כך לפי משפטנים שהתראיינו לוויירד בנושא. אפילו האקרי כובע לבן בעלי אתיקה וכוונות טובות עלולים לעבור על החוק בזמן שהם מחפשים פירצות במסגרת באג באונטי. זו הסיבה שתוכניות באונטי מכילות סעיפים שבהם הארגון מעניק להאקרים חסינות. אבל לאור כתב האישום של סאליבן, מנהלי אבטחה עלולים להבין שכדי להסיר מעצמם אחריות פלילית, הם צריכים להקטין ראש ולהקריב את ההאקרים לרשויות האכיפה על כל טעות קטנה.

ההאקרים, מצדם, לא ירצו להסתכן בפלילים ויזנחו את תוכניות הבאונטי, כשהם מפנים את השטח להאקרי כובע שחור, שיחפשו פירצות אבטחה בלי להתחשב בכללים ובאתיקה, ויסחטו את הארגון: שלם או שנמכור את הפירצה למרבה במחיר.


התפרסם במקור בגירסה שונה בפינה "האחראי על האינטרנט" בגלצ:
🚗 הפריצה מ-2016 ממשיכה לרדוף את אובר 🛩️ הטיסמולטור של מיקרוסופט בונה מחדש את תל אביב 📻 האחראי על האינטרנט בגלצ 22.8.2020


אפשר את פרטי חשבון הבנק שלך? לא משנה, ניקח כבר מביטוח לאומי

היה זה ערב יום קיצי ושלו במפקדת סייברסייבר. השמש הטילה צללים ארוכים. נעםר נחר בשלווה על הערסל, מחבק שק של קמח. לוקאר היה עסוק במרדף אחרי אינספור צאצאיו. עידוק עבד כמובן (מישהו צריך לפרנס) ואני? אני חלמתי בהקיץ על ויסקי. לפתע השלווה הופרה בקול סירנה. אזעקת הסייברסייבר הופעלה! וההתרוצצות החלה. למה הופעלה אזעקת הסייבר? מכתב מאזרח בשם דני חזוב שגילה פרצה חמורה ושלח אותה אלי. מה הפירצה? פירצת אבטחה ביזיונית לחלוטין בביטוח לאומי או, איך שאנו בעולם הסייבר קוראים לה, יום חמישי. פרסמתי אותה הבוקר ב"הארץ".

הכירו את ממשק קבלת המענקים של ביטוח לאומי, המקום שבו כל אדם יכול לבדוק אם חשבונו בביטוח לאומי מעודכן, על מנת שיוכל לקבל את מענק הקורונה המיוחד. אם החשבון שלו לא מעודכן, אותו אזרח יכול לעדכן את פרטיו.

דף עדכון פרטי חשבון בנק לקבלת מענק 🖼️ אתר המוסד לביטוח לאומי

מן הסתם, ממשק זה מוגן באמצעות זיהוי בשני אמצעים. האמצעי הראשון הוא מספר תעודת זהות. האמצעי השני הוא תאריך ההנפקה. תאריך ההנפקה הוא נתון שיותר ויותר רשויות עושות בו שימוש והוא נתון שמוטבע על תעודת הזהות. כאשר האזרח צריך להזדהות, הוא מקליד את שני הנתונים האלו, והאתר מבצע הצלבה ביניהם לפי הנתונים ממשרד הפנים. מספר הזיהוי תואם לתאריך ההנפקה כפי שמופיע במרשם האוכלוסין? כנראה שהמזדהה הוא האזרח. זו גם הסיבה מדוע כל כך חשוב לא להפיץ את צילום תעודת הזהות שבו יש את תאריך ההנפקה לכל דיכפין. כי משתמשים בו לזיהוי בלא מעט מקומות. ובממשק של ביטוח לאומי האזרח נדרש להקליד את שני האמצעים האלו כיאה וכיאות. 

אך היתה בעיה אחת, ממש קטנה, קטנטנה – האתר של ביטוח לאומי לא בדק תאריך ההנפקה של התעודה. כלומר בדקו שהזנת את התאריך, אי אפשר היה להתקדם ללא הזנת תאריך, אבל התאריך לא הוצלב אל מול מספר תעודת הזהות. וכך, על מנת לקבל גישה לפרטים המוכמנים, כל מה שתוקף היה צריך לעשות זה להזין את מספר תעודת הזהות של המטרה ותאריך *כלשהו*. זה הכל. אם מספר חשבון הבנק מוזן במערכת, אני יכול לקבל גישה אליו. וזה? פתח לשעשועים רבים.

למרבה השמחה, היתה CAPTCHA מוטמעת במערכת. לרוע המזל, היא לא היתה מוטמעת מספיק טוב. מנגנון ההגנה של האתר (הנקרא WAF) חסם גישה של headless browsers לאתר, ומנע כרייה נוחה באמצעות שורת פקודה בלבד, אבל לא מנע מכורים אוטומטיים מבוססי דפדפנים לעבוד. לוקאר הכין סקריפט סלניום והפעיל אותו על תעודות הזהות של חברי סייברסייבר. אף מנגנון לא חסם אותו, אפילו שהוא עבד מאותו IP (אבל כן חסם כתובות IP מחו"ל, כי כידוע אין האקרים בישראל, ובוודאי שאין האקרים בחו"ל שיודעים להשתמש בכתובות IP ישראליות).

באופן תיאורטי, גם תוקף שעבד בסקיילים גבוהים היה יכול לשתות מאגר שלם בנחת. כמובן תוקף שתוקף מטרות ספציפיות, חוקר פרטי, סתם מטרידן או קריפ היה יכול לדעת עליכם את חשבון הבנק שלכם. מה אפשר לעשות עם חשבון הבנק שלכם? על כך בפרקים הבאים.

דיווחתי מייד למערך הסייבר וקיבלתי מענה תוך כעשרים דקות, כמיטב המסורת. מצד שני, מענה לא אומר שזה תוקן. רק בשבע בבוקר קיבלתי הודעה מדובר ביטוח לאומי שהעניין תוקן ואכן בבדיקה שערכתי עם מספר תעודת הזהות שלי ותאריך הנפקה שגוי, קיבלתי את ההודעה המיוחלת: "הנתונים שהוזנו אינם תואמים את הנתונים הקיימים בביטוח לאומי".

עכשיו אפשר לחזור לבטלה במפקדת סייברסייבר, לפחות עד הפעם הבאה.

"נערכו בדיקות חוסן ואבטחה כדי למנוע שימוש לרעה במידע"

תגובת המוסד לביטוח לאומי:

לפני כשבועיים בלבד, הוכרזה התכנית "מענק לכל אזרח" שרק אתמול אחר הצהריים החקיקה לגביה בכנסת הושלמה, דבר שהצריך פיתוחים מחשוביים והיערכות בזמן אפס. בביטוח הלאומי עובדים במתכונת חירום מאז חודש מרץ כדי לשלם למאות אלפי תושבים דמי אבטלה וכן את מענקי הקורונה בתוך ימים בודדים.
אתמול אחר הצהריים, לפני העלאת האתר הייעודי לרישום חשבונות הבנק לאוויר, נערכו בדיקות חוסן ואבטחה כדי למנוע שימוש לרעה במידע. זאת ועוד, לאחר הכנסת הפרטים על ידי האזרחים באתר, מתבצעות הצלבות ואימות נתונים בתוך המערכת.
מרגע שנחשפנו לתקלה היא טופלה באופן מיידי, הנגישות למידע נחסמה לחלוטין, נערכה בדיקה לגבי היקף ניצול הפירצה ובפועל לא נמצאה פעילות חריגה.

(צילום ראשי 🖼️ קובי גדעון, לע"ם)


ככה מתגלצ'ים בביטחה ובפרטיות

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.

אם אתם מחפשים אחסון לפודקאסט, אנחנו ממליצים ללקוחות שלנו על פודבין. יש חבילה בסיסית בחינם שמאפשרת להתנסות בשירות, ואפשר לשדרג לחבילה בתשלום. אם תירשמו דרכנו כאן podbean.com/podcastico – אנחנו נקבל כמה שקלים, ואתם תקבלו מפודבין חודש במתנה.


דרושות האקריות לסורק הסייברסייבר

סורק הסייברסייבר שלנו מוציא הרבה יותר תוצרים ממה שאנחנו יכולים לטפל, והמאפים לא יאפו את עצמם. אז החלטנו להיעזר במאזינות ובמאזינים.

אנחנו פונים ללב שלכם ומציעים הצעה חד-פעמית: רוצות לעבוד איתנו על ניתוח הממצאים מהסורק? אנחנו צריכים אתכן.ם!

פנו אלינו לכתובת cyber@cybercyber.co.il וספרו לנו קצת עליכם, על הרקע שלכן, ועל דברים מעניינים שעשיתם.ן בתחום.
אם אתן מבינות מערכות, אם אתם אוהבים לחטט בתוך הבורקס, ומעניין אתכם לגעת בדאטה, יש קטגוריה לזה!

העבודה בשכר, כמובן, ומתאימה לכל מי שממש ממש אוהב או אוהבת סייבר ומאפים, ויכול או יכולה לתת כמה שעות עבודה ביום. מבטיחים שיהיה מעניין.


סייברקורונה: האם להתקין את המגן 2.0?

שואלים אותי מה דעתי על המגן 2.0. התשובה היא: אני לא יודע, בניגוד להשקה של המגן 1. המגן היא בקוד פתוח, אז לכאורה כל אחד יכול לבדוק אותו ואכן אעשה את זה. אבל בניגוד לגרסה הראשונה אין מומחה אבטחה מוביל שבדק את הקוד ואישר אותו. אז אני לא יכול לומר כלום על האבטחה.

אני לא יודע לומר כלום על האם האפליקציה תשתה לכם את הסוללה והאם היא יעילה כי אין לי מושג בנוגע לזה. אני אצטרך לשבת ולנתח את הקוד או לחכות שמומחה אחר שיהיה לו זמן יעשה את זה. מה שמטריד הוא שאני כבר לא יכול להיות בטוח במאה אחוז שהקוד הפתוח הוא מה שבסופו של דבר מגיע לאפליקציה.

יישומון המגן 2 בחנות האפליקציות של גוגל

נעם רותם עשה תהליך דיקומפילציה לאפליקציה לפני כשבועיים וגילה בה קוד שאמנם לא היה זדוני, אבל לא היה לו זכר בגיטהאב. וזה? זה רע. כי זה אומר שלכו תדעו מה יש באפליקציה יאמר לזכות משרד הבריאות שהם לקחו את מה שנעם כתב ברצינות ופעלו בעניין. אבל האמון שלי קצת נסדק.

אז מה? להתקין או לא להתקין את המגן? המגן 2.0 עובדת בצורה שונה מהאפליקציות המקובלות בעולם. מהניסיון הפיתוחי שלי? אם עובדים בצורה שונה מה-API הרשמיים זה נגמר לא טוב. אני מקווה שזה לא יהיה גם הפעם. המגן זו החלופה האזרחית היחידה לאיכוני השב״כ הלא יעילים. זו הסיבה שאני מתקין אותה.

ובשולי הדברים, אני מתנצל שאני נשמע קצת עייף, מאוכזב ופסימי. משרד הבריאות באמת מנסה לעשות את מה שהוא יכול ויש לא מעט אנשים טובים שמעורבים בתהליך ואני מקווה שהוא יצליח כי כרגע איכוני השב״כ לא עוזרים, המגיפה משתוללת ועושה רושם שהמדינה מתפוררת אבל באמת.

אני מצרף את הכתבה שכתבתי בהארץ על שבירת האמון הזו, שבה יש הסבר, וגם את הפוסט של סייברסייבר, ויש גם פרק מיוחד שיצא ממש עכשיו.