קטגוריה: כללי

ווינד מתקדמים מקורקינטים למאגר ביומטרי

הכתב כרמל ליבמן דיווח בשמחה בחדשות 2 כלשהן על "מהלך שיציל חיים? הטכנולוגיה החדשה שתמנע מילדים לשאול את הקורקינטים השיתופיים". כותרת מדוייקת יותר מופיעה בראש פוסט זה.

החוק בישראל מתיר רכיבה על קורקינט ממונע מגיל 16 ומעלה, אולם בפועל רוכבים גם צעירים יותר, אם בקורקינטים פרטיים ואם במושכרים. חברות השכרת-הקורקינטים-ללא-מגע-יד-אדם, ווינד, ברד וליים, ניסו למנוע מצעירים לשכור קורקינטים על ידי שכירת עובדים שיבדקו את גיל השוכרים הקמת מאגר מידע על הנוסעים, שבו הם נדרשים לסרוק תעודת זהות או רשיון נהיגה כדי לאמת את גילם.

ההגנה קלה מאוד לפריצה. לא רק שבני פחות מ-16 יכולים לסרוק תעודה של אדם אחר ולשכור קורקינט, אלא שאפילו לא צריך תעודה אמיתית, כפי שדיווחו אותן חדשות 2 כלשהן בפברואר השנה:

בבדיקה סרקנו רישיון נהיגה פיקטיבי שמצאנו בגוגל, כשמספר תעודת הזהות הוא 123456789 – והקורקינט היה זמין לרכיבה. החברות דורשות להזין גם כרטיס אשראי אבל הדבר לא באמת מעיד על גיל הנהג, מכיוון שאפשר לשאול כרטיס אשראי מאדם מבוגר.

בווינד מטמיעים עכשיו פתרון חדש: זיהוי פנים (כמובן שהוא "מבוסס בינה מלאכותית", לפי מנכ"ל ווינד ישראל, יוחאי עבאדי). בקומוניקט של ווינד נכתב כי

טכנולוגיית זיהוי הפנים נלקחה מתחום הבנקאות כדי לאמת את זהות הלקוח כשהמערכת עושה השוואה של תווי הפנים של הלקוח עם התמונה ברישיון הנהיגה שלו.

[…]

הזיהוי יבוצע כך: כל משתמש יתבקש לסרוק את רישיון הנהיגה שלו בעת ההרשמה לאפליקציה. המשתמש יתבקש לצלם תמונה של פניו ולשלוח כדי שתתבצע ההתאמה של תווי פניו לתמונתו ברישיון הנהיגה. בשלב הראשון, המערכת לזיהוי פנים תאשר את המשתמש תוך 20 דקות בלבד, כך שמהלך אישור המשתמש יקוצר מ-48 שעות כיום ל-20 דקות בלבד לאחר יישום הטכנולוגיה. בשלב השני, ולאחר שהמערכות תעבור את הבקרות המתאימות, יאושרו המשתמשים באופן מיידי. במידה וזוהתה בעיה, העניין יועבר לאישור ידני.

קומוניקט ווינד ישראל, 14.10.2020

כלומר, ווינד ישראל מקימים מאגר ביומטרי של תמונות פנים. גם לקוחות קיימים יצורפו לתוכנית: "החברה תריץ את היישום החדש על כל בסיס המשתמשים של החברה בישראל". אני באופן אישי מרגיש עכשיו הרבה יותר בטוח, אבל אולי זה כי מעולם לא שכרתי קורקינט מווינד.

הדגמת של פיצ'ר זיהוי הפנים של ווינד קורקינטים 🖼️ יחץ ווינד ישראל

לעתים, קורקינטים שיתופיים הם שיתופיים מדי, וסובלים מפירצות אבטחה ופרטיות. בסייברסייבר ע02פ21 דיברנו עם אמיר שלדובסקי מחברת אימפרבה, שחקר וגילה דליפות מידע מקורקינטים שיתופיים שחושפים מידע על עצמם, על המפעילים ועל הרוכבים, כולל אפשרות מעקב גאוגרפי אחרי הרוכבים.


חולדאי דולף

ראש מדינת תל אביב, רון חולדאי, הכריז בתחילת החודש שהוא מתכוון להתמודד בבחירות הארציות, כי אף פעם אין מספיק גנרלים שרוצים לרוץ לראשות הממשלה מטעם השמאל המרכזי. בשבוע הראשון למועמדותו-מטעם-עצמו הוא הספיק לעשות שתי טעויות סייברסייבר: לדלוף מידע שהתכוון לשמור בפרטיות, ולסמן את המידע הזה לטובת מי שהתקשה למצוא אותו.

העיתונאית טל שניידר חשפה את הדליפה: בוק צילומי סטודיו של הראיס, ככל הנראה כהכנה לקמפיין הבחירות הארצי (הבחירות המוניציפליות הבאות רק ב-2023). התמונות הועלו לאלבום "פורטרט ראש העיר – לא לפרסום" בפליקר של עיריית תל אביב, שעדיין קיים ואף מתעדכן לטובת 48 עוקביו (לא פספסתי את המילה אלף, מדובר בארבעים ושמונה אנשים).

הטעות הראשונה היא, כמובן, העלאת האלבום לפליקר כשהוא לא מיועד לפרסום. פליקר מאפשרים לקבוע עבור כל תמונה ותמונה אם היא פרטית, לחברים/משפחה או ציבורית. יתכן שאיש הסושיאל חשב בטעות שהוא מעלה אותן כפרטיות (וזו לא תהיה הטעות המביכה הראשונה שלו [אלא אם הדליפה של אלבום הבחירות היתה מכוונת, כדי לייצר עוד יח"ץ לריצתו העתידית]).

"נאבקים בקורונה […] באים ונדבקים", תקלדה חמודה בפייסבוק של רון חולדאי

העלאת מידע פרטי/סודי באופן גלוי באינטרנט היא בעיה נפוצה מאוד, בגלל הסתמכות על אחסון ענן ומורכבות הגדרות הפרטיות ומתן ההרשאות. למשל: הקמת קבוצת וואטסאפ לעבודה ושלחת לינק הצטרפות בתפוצת נאט"ו משרדית? גולשים זרים עלולים להגיע אליה דרך חיפוש גוגל.

הטעות השנייה היא המילים "לא לפרסום" בשם האלבום, משתי סיבות:

1) הן מסמנות את התמונות כבעלות חשיבות וסודיות. גולשת שהיתה רואה את האלבום הזה בלי המילים "לא לפרסום" עשויה היתה לדלג עליהן משעמום ולפספס את הסיפור.

2) הן מנגישות את התמונות לחיפוש שממוקד במסמכים סודיים. לכו למנוע חיפוש, חפשו קבצי דוק/פדף עם המחרוזת "סודי ביותר" או "לא לפרסום" ותגלו עולם שלם של דליפות מידע.


אין ברכה בפריצה בשבת

רשות מקרקעי ישראל מצפה מהאקרים שפורצים אליה לשמור שבת, כי היא מקור הברכה.

הרשות פרסמה לאחרונה את מכרז 453-2020 (פדף) לקבלת שירותי אבטחת מידע וסייברסייבר. מכיוון שמדובר ברשות ממלכתית במדינה יהודית ודמוקרטית, המכרז מבהיר כי הספק לא יספק שירותי סייברסייבר בשבת.

מרכז 453-2020 לשירותי אבטחת מידע וסייבר עבור רשות מקרקעי ישראל
מכרז 453-2020 לשירותי אבטחת מידע וסייבר עבור רשות מקרקעי ישראל

היינו מצפים ש-SOC (חמ"ל סייברסייבר) של משרד ממשלתי של מדינה שמהווה מטרה להאקרים מרחבי המרחב יפעל 24/7/365. אבל עמי רוחקס דומבה דיווח בישראל דיפנס כי בפועל, הספק נדרש לפעול רק בימי חול, ולפני ואחרי כניסת שבת/חג. במספר מקומות במכרז מפורט כי

בנוסף למתן השירותים על פי שעות עבודה כאמור לעיל, הרשות תהא רשאית להזמין הפעלת תמיכה וצוות התגובה 24 שעות ביממה בימים א' עד ה' וימי שישי וערבי חג עד שעתיים לפני  שבת/חג ובמוצאי שבת וחג משעתיים לאחר צאת שבת/חג, וכן עבור פתרון תקלות ו/או התקפות על הארגון, כולל אסקלציה מול ספקים אחרים.

שמירת שבת כשירות (SSaaS, Shomer Shabbos as a Service) מוצעת לאתרים שמעוניינים למנוע מגולשים לחלל אצלם שבת. האתגר הוא להתאים את מועדי סגירת האתר למועדי כניסת ויציאת השבת בשעון המקומי של הגולשת – או לסגור את האתר מכניסת השבת המוקדמת ביותר ועד יציאתה המאוחרת ביותר. וכפי שמסביר ספק ה-SSaaS "שומר שבס", "השבת באינטרנט אורכת כ-50 שעות!"

אתר ה-SSaaS "שומר שבס"

לא רק אתרים פרטיים ומסחריים מקיימים את מצוות "וּבַיּ֥וֹם הַשְּׁבִיעִ֖י תִּשְׁבֹּ֑ת לְמַ֣עַן יָנ֗וּחַ שֽׁוֹרְךָ֙ וַחֲמֹרֶ֔ךָ וְיִנָּפֵ֥שׁ בֶּן־אֲמָתְךָ֖ וְהַגֵּֽר". גל מור דיווח בוויינט ב-2005 כי אתר התשלומים של הביטוח הלאומי נסגר מדי שבת, ולא ניתן לשלם באמצעותו.

בדיעבד, אולי זה היה נסיון חדשני ופורץ דרך למנוע מהאקרים גויים לגנוב את הכסף?


מערכת הפעלה בת 19 יוצאת לחופשי ועושה צרות להורים

מי לא זוכר את Windows XP ותמונת הרקע המפורסמת שלה? אמנם עברו 19 שנה מאז שמערכת ההפעלה האהובה הושקה, אבל גם היום היא מצליחה לעשות כאב-ראש לא קטן ליצרנית שלה מיקרוסופט, ועכשיו נראה שכאב הראש הזה הולך לגדול.

בסוף השבוע שעבר הופיעו בטוויטר דיווחים ראשונים על דליפה של קוד המקור של מערכת ההפעלה Windows XP מבית מיקרוסופט. ע"פ הדיווחים בשיחה, קובץ במשקל 43 גיגה שותף לראשונה באתר 4chan, ומאז נמחק, אך עותקים שלו כבר זמינים בטורנטים ובפלטפורמות שיתוף קבצים שונות, והוא נגיש לכל דורש.

דסקטופ חלונות XP

חלונות XP יצאה לשוק ב-2001, ונחשבה למערכת הפעלה מוצלחת בסדרת חלונות. מיקרוסופט לקחה אותה לווטרינר שירדים אותה ב-2014, אז הפסיקה לספק לה עדכונים וטלאי אבטחה (למעט עדכון קריטי חריג אחד ב-2017, שנועד לחסום את הכופרה WannaCry).

הקובץ שדלף כולל את כל קוד המקור של חלונות XP, וכן מספר קבצים וסרטונים הכוללים תאוריות קונספירציה שונות הממוקדות בביל גייטס, מייסד מיקרוסופט. הוא שימש כמנכ"ל החברה עד כשנתיים לפני השקתה של XP, והיום הוא פילנתרופ בתחום הרפואה, שנמצא במוקד של מספר תאוריות קונספירציה שונות המופצות ברשת, ומאשימות אותו במעורבות זדונית בהקשר לנגיף הקורונה ולפריסת רשתות הסלולר בדור החמישי (5G).

קוד מקור – הדנ"א של התוכנה

קוד מקור הוא הקוד שנכתב ע"י המתכנתים שמפתחים את התוכנה, והוא כולל את כל ההתנהגויות של התוכנה וכן הערות שונות, בצורה שניתנת לקריאה והבנה ע"י מתכנתים אחרים. אחרי שקוד המקור מוכן, הוא עובר הידור (ובלעז קומפילציה) – תרגום משפת תכנות לשפת מחשב, מה שהופך אותו לבלתי-קריא לעין אנושית וקשה-עד-בלתי-אפשרי להנדסה לאחור כדי לחלץ ממנו את קוד המקור. זה הקוד שנמצא במחשבי המשתמשים – הם יכולים להשתמש בו, אבל על פי רוב לא יוכלו לפענח אותו.

התכונות של קוד המקור הופכות אותו לקניין הרוחני החשוב ביותר של חברות תוכנה. רוב חברות התוכנה שומרות על קוד המקור שלהן מכל משמר, ומסרבות לחלוק אותו עם גורמים מחוץ לחברה. מקרים של דליפת קוד מקור פרטי לאינטרנט או למתחרים עסקיים יכולים להוביל לנזק כלכלי עצום ואף לסגירה של חברות.

דליפת קוד המקור של חלונות XP ב-4Chan
דליפת קוד המקור של חלונות XP ב-4Chan

(עם זאת, אנו שמחים לראות בשנים האחרונות עליה רצינית בכמות החברות המסחריות המסתמכות על קוד פתוח או על חלקים של קוד פתוח במוצרים שלהן. קוד פתוח – open source – הוא מודל שבו קוד המקור של התוכנה גלוי לחלוטין, וזמין לשימוש, להפצה ולשינוי. היתרון של קוד פתוח הוא שכולם יכולים לראותו, למצוא בו טעויות ופירצות ולתקנן).

כשיש חור בתחתית הדלי, גם המים שלמעלה נוזלים

הבעיה עם חשיפת קוד המקור, מעבר לנזק הכלכלי שבהפצת גירסאות פיראטיות, היא סכנת האבטחה. קוד המקור מאפשר לכל מתכנת בעל ידע להבין כיצד התוכנה תתנהג במצבים שונים, היכן מצויים טעויות ובאגים, וחשוב מכל – היכן השאירו המתכנתים פרצה באופן לא מכוון. באמצעות קוד המקור ניתן גם לייצר עותק של התוכנה לאחר שעבר מניפולציה, והוסרו או הוספו אליו חלקי קוד שונים. האקרים מתים על קוד מקור.

אז איך קורה שדליפה של קוד מקור של מערכת הפעלה כ"כ ישנה עדיין יוצרת בעיות למיקרוסופט כיום? התשובה נעוצה בצורת הפיתוח של סידרת מערכות ההפעלה חלונות. מיקרוסופט מפתחת כל גירסת חלונות חדשה כהמשך ישיר למערכת שקדמה לה, מבצעת שינויים בקוד הקיים (לפעמים תוך כתיבת אגפים שלמים מחדש), ומוסיפה קטעי קוד חדשים כדי לייצר את מערכת ההפעלה החדשה. משמעות הדבר היא שבכל גירסת מערכת הפעלה יש חלקים שלמים שנובעים באופן ישיר ממערכת ההפעלה שקדמה לה.

סוודר חלונות XP שנמכר באתר Shelfies
חולצת חלונות XP שנמכרת באתר Shelfies

בין XP הוותיקה לחלונות 10 של ימינו מפרידים אמנם שלוש גירסאות והר של עדכונים, אבל סביר מאוד שעדיין קיימים חלקים גדולים בקוד של 10 שעברו שינויים קטנים בלבד, או בכלל לא, בהשוואה ל-XP. כך שבאמצעות קריאה ומחקר של קוד המקור של XP, האקרים יוכלו למצוא וקטורים לתקיפה של חלונות 10; ולמידה מעמיקה של הקוד תסייע לתוקפים לקבל תמונה טובה של סגנון הפיתוח של מיקרוסופט, דבר שיכול לסייע להם לחשוף חולשות נוספות במערכות העדכניות.

דבר זה יכריח את מיקרוסופט להשקיע משאבים גדולים עוד יותר באיתור וסגירת פרצות, שחלקן אף עלולות להיות קשות מאוד לטיפול, במיוחד אם הן בבסיס מערכת ההפעלה ואחראיות על פעולות קריטיות רבות.

XP – המערכת שמסרבת למות

סכנה נוספת הנובעת מדליפת קוד המקור היא הסיכון למחשבים שעדיין מריצים XP. נכון להיום, כ-1.3% מהמחשבים בעולם עדיין מריצים את XP. רוב המחשבים הלא מעודכנים הללו משמשים להרצת תוכנות ישנות או שליטה על מכונות ישנות, ועדכון שלהם יהיה כרוך בכתיבת תוכנות חדשות או תוכנות התאמה במקרה הטוב, או בהחלפת חומרה ואף מערכות שלמות במקרה הרע. ארגונים רבים לא מסוגלים להרשות לעצמם את העלויות הללו, ונשארים תקועים עם XP מכורח הנסיבות.

הבעיה היא שרוב המחשבים שעדיין רצים על XP משמשים לשליטה על מערכות חשובות ויקרות, בהן כספומטים, מערכות לחימה, מכשירים רפואיים ומכונות ייצור גדולות. כך שמלכתחילה מדובר במטרות מפתות לתוקפים, וקל וחומר אחרי דליפת קוד המקור.

מסך פרסומת שרץ על חלונות XP 🖼️ ג'וי איטו (CC-BY)
מסך פרסומת שרץ על חלונות XP 🖼️ ג'וי איטו (CC-BY)

מאחר שמיקרוסופט הפסיקה לעדכן את XP בחינם לכלל המשתמשים, כבר כמה שנים ששורה של ארגונים ומדינות משלמים סכומי כסף גבוהים לחברה עבור גישה לקוד המקור והמשך קבלת תמיכה מסוימת, כדי להימנע מהצורך בשדרוג המערכות. התמיכה הזו איפשרה להם להישאר צעד אחד לפני תוקפים פוטנציאלים, ולהצליח לשמר מידה סבירה של הגנה, שכעת לא תתקיים יותר. בנוסף, מיקרוסופט גם הפעילה תוכנית בשם Government Security Program (GSP), שבמסגרתה נתנה למדינות ולארגונים גדולים גישה לקוד המקור כדי שיוכלו לייצר גירסאות מוגנות יותר של מערכת ההפעלה (אולי משם הגיעה הדליפה?)

מה עכשיו?

כדי למנוע ניצול לרעה של קוד המקור לפיתוח מתקפות חדשות ויעילות על מכשירי XP, אחד מהשניים יצטרך לקרות: אחרוני משתמשי XP ייאלצו להיפרד ולשדרג, או שמיקרוסופט תצטרך לחזור ולעדכן את XP.

הערכה זהירה אומרת שמיקרוסופט לא יחזירו את המערכת לחיים, והפרצות שבה יישארו פתוחות. הארגונים שעדיין עושים שימוש במערכת יעמדו בפני בחירה קשה האם לשדרג את המערכות שלהם בעלויות גבוהות, לנסות לסתום לבד את הפרצות במערכת, או פשוט להשאיר את המערכת שלהם פרוצה לחלוטין.

מאחר שקוד המקור נגיש כעת לכולם, ייתכן שנראה צמיחה של חברות שימלאו את החלל שהשאירה מיקרוסופט ויציעו עדכונים והגנות בתשלום. אולי תקום קבוצה קטנה של ארגונים שיפתחו ויפיצו עדכונים כדי להשאיר את המערכת בחיים. ייתכן שגם קהילת הקוד הפתוח תתגייס לנושא ותפיץ עדכוני אבטחה בחינם לכל דורש, כדי לשמר את מערכת ההפעלה האהובה בחיים עוד כמה שנים. מיקרוסופט עלולה לפעול משפטית להגן על זכות הקניין שלה, אבל זה יהיה טפשי מצדה להילחם במי שמנסים לעזור למשתמשים הלגיטימיים שנשארו מאחור.

יוסף ורד הוא סמנכ"ל טכנולוגיה בחברת EMT Engineering LTD

הכופר של אובר: מה קורה כשבאג באונטי משמש לתשלום דמי שתיקה?

באג באונטי – bug bounty במקור – הן תוכניות שבהן ארגון מציע להאקרים למצוא אצלו פירצות אבטחה, לאסגרן בצורה אתית ואחראית ולקבל פרס, בדרך כלל כספי. הדבר נועד למסד את היחסים בין ההאקרים לארגונים, ולאפשר להם לעבוד יחד בלי חשש לפריצות והדלפת מידע מצד ההאקרים ולהליכים משפטיים מצד הארגונים. אחד הארגונים שמפעילים תוכנית באונטי הוא אובר, ששילמו לצמד האקרים 100 אלף דולר על גילוי פירצת אבטחה. זה מה שהם רוצים שנחשוב, בכל אופן.

אובר, פלטפורמת התיווך בין נהגי מוניות ונהגים פרטיים לבין נוסעים, נפלה קורבן לפריצה בשנת 2014, כשהאקרים מצאו את המפתחות לחשבון ה-AWS (שירותי רשת של אמזון) של אובר, וגנבו משם פרטים על 50 אלף נהגים. במרץ 2016 השיקו בחברה תוכנית באג באונטי.

שמונה חודשים לאחר השקת הבאונטי קיבל סמנכ”ל האבטחה של אובר דאז, ג’ו סאליבן, אימייל מהאקר שהזדהה בשם ג’ון דאוז בכתובת johndoughs@protonmail.com בשירות האימייל המוצפן והמאובטח פרוטון מייל. מצאתי פירצת אבטחה חמורה אצלכם, סיפר "דאוז", וגם עשיתי דאמפ של הדאטהבייס שלכם ומידע נוסף. בדיקה של צוות אבטחה של אובר העלתה כי ההאקרים השתמשו בפרטי גישה גנובים לגשת לקוד המקור של אובר בגיטהאב, שם מצאו פרטי גישה של דלי AWS והשתמשו בהם להוריד את המידע על לקוחות ונהגי אובר.

סאליבן המבוהל, שכבר היה עמוק בתוך חקירה של ה-FTC (רשות הסחר הפדרלית) על הפריצה מ-2014, מיהר לסמס למייסד ומנכ"ל אובר, טראוויס קלניק, שהוא צריך לדבר איתו על משהו רגיש. השניים קיימו מספר שיחות טלפון, ואחריהן קלניק כתב לו:

צריך להיות בטוחים מה יש לו [להאקר; ע”ק], רגישות/חשיפה של זה ו-ודאות שהוא באמת יכול להתייחס לזה כמצב 🐜 באונטי […] המשאבים יכולים להיות גמישים לצורך סיום הסיפור אבל אנחנו צריכים לתעד זאת בקפדנות.

סמס ממנכ"ל אובר טראוויס קלניק אל סמנכ"ל האבטחה ג'ו סאליבן, 15.11.2016

בעצה אחת של קלניק וסאליבן, ההאקרים קיבלו הצעה לפרס באונטי שמן בגובה 100 אלף דולר, בתמורה למחיקת כל המידע שהורידו ושתיקתם הנצחית, מגובה בהסכם סודיות (NDA). כלומר: לא באונטי, אלא כופר, דמי שתיקה. ההאקרים חתמו בשמותיהם הבדויים, ואובר העבירו להם את הסכום בביטקוין. רק בינואר 2017 הצליחו אובר לגלות את זהותם הארצית של ההאקרים, ושלחו אליהם אנשי אבטחה, להחתים אותם שוב על מסמך הסודיות, הפעם בשמותיהם האמיתיים.

קלניק וסאליבן הסתירו את העיסקה מהנהלת החברה, מה-FTC ומ-57 מיליון המשתמשים ו-500 אלף הנהגים שמידע עליהם נחשף להאקרים – עבירה על החוק בכל מדינות ארה"ב, שמחייב לדווח לאנשים על דליפת מידע מזהה אישי (PII) אודותיהם.

קלניק, שכפי שאפשר לראות הוא לא אדם שראוי לעמוד בראש חברה, נאלץ להתפטר מתפקידו בעקבות שורת שערוריות ודיווחים על סביבת עבודה רעילה. דארה חוסרושאהי החליף אותו באוגוסט 2017, הדירקטוריון של אובר עלה על סיפור הפריצה וסאליבן עוד הספיק לשקר לחוסרושאהי בנושא. חודשיים לאחר מכן, המנכ"ל חוסרושהאי פרסם רשמית ופומבית את דבר הפריצה, התנצל בפני הציבור על "הכשלון שלנו" ופיטר את סמנכ"ל האבטחה סאליבן ועו"ד מהצוות שלו. בעקבות שורת תביעות של התובעים הכלליים של כל מדינות ארה"ב, אובר חתמו על הסכם פשרה ושילמו 148 מיליון דולר.

עם חשיפת הפרשה, סאליבן המפוטר עמד על גירסתו שהתשלום היה פרס באונטי לגיטימי. אולם בכתב האישום שהוגש נגדו השבוע בבית המשפט המחוזי של מחוז צפון קליפורניה, על שיבוש הליכי משפט ואי מניעת פשע, התובעים חולקים על הטענה הזאת. ומפרטים: ההאקרים אמרו שיש בידיהם מידע ודרשו תשלום של שש ספרות; סכום הפרס גבוה מכל אחד מעשרות פרסי הבאונטי שהחברה חילקה לאורך השנים, שממילא מוגבלים ל-10 אלפים דולר לפרס; הנהלת החברה (מלבד המנכ"ל קלניק) לא נחשפה לפרטי הפריצה ולהחלטה להתייחס אליה כבאונטי; ההאקרים נדרשו לחתום על הצהרה שקרית שלפיה לא השיגו ולא שמרו עותק של המידע על המשתמשים והנהגים; והם נדרשו לשמור על סודיות מוחלטת לגבי הפירצה, בניגוד למדיניות הרגילה של הבאג באונטי, שהתירה להאקרים לפרסם את הגילויים שלהם בתיאום עם החברה ואחרי שהפירצה נסגרה.

ג'ו סאליבן באתר אובר

ההאקרים של אובר המשיכו לסחיטת חברות נוספות על ידי פריצה וגניבת מידע. הם נתפסו, הועמדו לדין ובשנה שעברה הודו באשמה, וכעת ממתינים לגזר דינם. אבל הנזק שהם וסאליבן הסבו לאובר מתגמד לעומת הנזק שהם עלולים לגרום לכל הקונספט של באג באונטי, כך לפי משפטנים שהתראיינו לוויירד בנושא. אפילו האקרי כובע לבן בעלי אתיקה וכוונות טובות עלולים לעבור על החוק בזמן שהם מחפשים פירצות במסגרת באג באונטי. זו הסיבה שתוכניות באונטי מכילות סעיפים שבהם הארגון מעניק להאקרים חסינות. אבל לאור כתב האישום של סאליבן, מנהלי אבטחה עלולים להבין שכדי להסיר מעצמם אחריות פלילית, הם צריכים להקטין ראש ולהקריב את ההאקרים לרשויות האכיפה על כל טעות קטנה.

ההאקרים, מצדם, לא ירצו להסתכן בפלילים ויזנחו את תוכניות הבאונטי, כשהם מפנים את השטח להאקרי כובע שחור, שיחפשו פירצות אבטחה בלי להתחשב בכללים ובאתיקה, ויסחטו את הארגון: שלם או שנמכור את הפירצה למרבה במחיר.


התפרסם במקור בגירסה שונה בפינה "האחראי על האינטרנט" בגלצ:
🚗 הפריצה מ-2016 ממשיכה לרדוף את אובר 🛩️ הטיסמולטור של מיקרוסופט בונה מחדש את תל אביב 📻 האחראי על האינטרנט בגלצ 22.8.2020


אפשר את פרטי חשבון הבנק שלך? לא משנה, ניקח כבר מביטוח לאומי

היה זה ערב יום קיצי ושלו במפקדת סייברסייבר. השמש הטילה צללים ארוכים. נעםר נחר בשלווה על הערסל, מחבק שק של קמח. לוקאר היה עסוק במרדף אחרי אינספור צאצאיו. עידוק עבד כמובן (מישהו צריך לפרנס) ואני? אני חלמתי בהקיץ על ויסקי. לפתע השלווה הופרה בקול סירנה. אזעקת הסייברסייבר הופעלה! וההתרוצצות החלה. למה הופעלה אזעקת הסייבר? מכתב מאזרח בשם דני חזוב שגילה פרצה חמורה ושלח אותה אלי. מה הפירצה? פירצת אבטחה ביזיונית לחלוטין בביטוח לאומי או, איך שאנו בעולם הסייבר קוראים לה, יום חמישי. פרסמתי אותה הבוקר ב"הארץ".

הכירו את ממשק קבלת המענקים של ביטוח לאומי, המקום שבו כל אדם יכול לבדוק אם חשבונו בביטוח לאומי מעודכן, על מנת שיוכל לקבל את מענק הקורונה המיוחד. אם החשבון שלו לא מעודכן, אותו אזרח יכול לעדכן את פרטיו.

דף עדכון פרטי חשבון בנק לקבלת מענק 🖼️ אתר המוסד לביטוח לאומי

מן הסתם, ממשק זה מוגן באמצעות זיהוי בשני אמצעים. האמצעי הראשון הוא מספר תעודת זהות. האמצעי השני הוא תאריך ההנפקה. תאריך ההנפקה הוא נתון שיותר ויותר רשויות עושות בו שימוש והוא נתון שמוטבע על תעודת הזהות. כאשר האזרח צריך להזדהות, הוא מקליד את שני הנתונים האלו, והאתר מבצע הצלבה ביניהם לפי הנתונים ממשרד הפנים. מספר הזיהוי תואם לתאריך ההנפקה כפי שמופיע במרשם האוכלוסין? כנראה שהמזדהה הוא האזרח. זו גם הסיבה מדוע כל כך חשוב לא להפיץ את צילום תעודת הזהות שבו יש את תאריך ההנפקה לכל דיכפין. כי משתמשים בו לזיהוי בלא מעט מקומות. ובממשק של ביטוח לאומי האזרח נדרש להקליד את שני האמצעים האלו כיאה וכיאות. 

אך היתה בעיה אחת, ממש קטנה, קטנטנה – האתר של ביטוח לאומי לא בדק תאריך ההנפקה של התעודה. כלומר בדקו שהזנת את התאריך, אי אפשר היה להתקדם ללא הזנת תאריך, אבל התאריך לא הוצלב אל מול מספר תעודת הזהות. וכך, על מנת לקבל גישה לפרטים המוכמנים, כל מה שתוקף היה צריך לעשות זה להזין את מספר תעודת הזהות של המטרה ותאריך *כלשהו*. זה הכל. אם מספר חשבון הבנק מוזן במערכת, אני יכול לקבל גישה אליו. וזה? פתח לשעשועים רבים.

למרבה השמחה, היתה CAPTCHA מוטמעת במערכת. לרוע המזל, היא לא היתה מוטמעת מספיק טוב. מנגנון ההגנה של האתר (הנקרא WAF) חסם גישה של headless browsers לאתר, ומנע כרייה נוחה באמצעות שורת פקודה בלבד, אבל לא מנע מכורים אוטומטיים מבוססי דפדפנים לעבוד. לוקאר הכין סקריפט סלניום והפעיל אותו על תעודות הזהות של חברי סייברסייבר. אף מנגנון לא חסם אותו, אפילו שהוא עבד מאותו IP (אבל כן חסם כתובות IP מחו"ל, כי כידוע אין האקרים בישראל, ובוודאי שאין האקרים בחו"ל שיודעים להשתמש בכתובות IP ישראליות).

באופן תיאורטי, גם תוקף שעבד בסקיילים גבוהים היה יכול לשתות מאגר שלם בנחת. כמובן תוקף שתוקף מטרות ספציפיות, חוקר פרטי, סתם מטרידן או קריפ היה יכול לדעת עליכם את חשבון הבנק שלכם. מה אפשר לעשות עם חשבון הבנק שלכם? על כך בפרקים הבאים.

דיווחתי מייד למערך הסייבר וקיבלתי מענה תוך כעשרים דקות, כמיטב המסורת. מצד שני, מענה לא אומר שזה תוקן. רק בשבע בבוקר קיבלתי הודעה מדובר ביטוח לאומי שהעניין תוקן ואכן בבדיקה שערכתי עם מספר תעודת הזהות שלי ותאריך הנפקה שגוי, קיבלתי את ההודעה המיוחלת: "הנתונים שהוזנו אינם תואמים את הנתונים הקיימים בביטוח לאומי".

עכשיו אפשר לחזור לבטלה במפקדת סייברסייבר, לפחות עד הפעם הבאה.

"נערכו בדיקות חוסן ואבטחה כדי למנוע שימוש לרעה במידע"

תגובת המוסד לביטוח לאומי:

לפני כשבועיים בלבד, הוכרזה התכנית "מענק לכל אזרח" שרק אתמול אחר הצהריים החקיקה לגביה בכנסת הושלמה, דבר שהצריך פיתוחים מחשוביים והיערכות בזמן אפס. בביטוח הלאומי עובדים במתכונת חירום מאז חודש מרץ כדי לשלם למאות אלפי תושבים דמי אבטלה וכן את מענקי הקורונה בתוך ימים בודדים.
אתמול אחר הצהריים, לפני העלאת האתר הייעודי לרישום חשבונות הבנק לאוויר, נערכו בדיקות חוסן ואבטחה כדי למנוע שימוש לרעה במידע. זאת ועוד, לאחר הכנסת הפרטים על ידי האזרחים באתר, מתבצעות הצלבות ואימות נתונים בתוך המערכת.
מרגע שנחשפנו לתקלה היא טופלה באופן מיידי, הנגישות למידע נחסמה לחלוטין, נערכה בדיקה לגבי היקף ניצול הפירצה ובפועל לא נמצאה פעילות חריגה.

(צילום ראשי 🖼️ קובי גדעון, לע"ם)


ככה מתגלצ'ים בביטחה ובפרטיות

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.

אם אתם מחפשים אחסון לפודקאסט, אנחנו ממליצים ללקוחות שלנו על פודבין. יש חבילה בסיסית בחינם שמאפשרת להתנסות בשירות, ואפשר לשדרג לחבילה בתשלום. אם תירשמו דרכנו כאן podbean.com/podcastico – אנחנו נקבל כמה שקלים, ואתם תקבלו מפודבין חודש במתנה.


דרושות האקריות לסורק הסייברסייבר

סורק הסייברסייבר שלנו מוציא הרבה יותר תוצרים ממה שאנחנו יכולים לטפל, והמאפים לא יאפו את עצמם. אז החלטנו להיעזר במאזינות ובמאזינים.

אנחנו פונים ללב שלכם ומציעים הצעה חד-פעמית: רוצות לעבוד איתנו על ניתוח הממצאים מהסורק? אנחנו צריכים אתכן.ם!

פנו אלינו לכתובת cyber@cybercyber.co.il וספרו לנו קצת עליכם, על הרקע שלכן, ועל דברים מעניינים שעשיתם.ן בתחום.
אם אתן מבינות מערכות, אם אתם אוהבים לחטט בתוך הבורקס, ומעניין אתכם לגעת בדאטה, יש קטגוריה לזה!

העבודה בשכר, כמובן, ומתאימה לכל מי שממש ממש אוהב או אוהבת סייבר ומאפים, ויכול או יכולה לתת כמה שעות עבודה ביום. מבטיחים שיהיה מעניין.


סייברקורונה: האם להתקין את המגן 2.0?

שואלים אותי מה דעתי על המגן 2.0. התשובה היא: אני לא יודע, בניגוד להשקה של המגן 1. המגן היא בקוד פתוח, אז לכאורה כל אחד יכול לבדוק אותו ואכן אעשה את זה. אבל בניגוד לגרסה הראשונה אין מומחה אבטחה מוביל שבדק את הקוד ואישר אותו. אז אני לא יכול לומר כלום על האבטחה.

אני לא יודע לומר כלום על האם האפליקציה תשתה לכם את הסוללה והאם היא יעילה כי אין לי מושג בנוגע לזה. אני אצטרך לשבת ולנתח את הקוד או לחכות שמומחה אחר שיהיה לו זמן יעשה את זה. מה שמטריד הוא שאני כבר לא יכול להיות בטוח במאה אחוז שהקוד הפתוח הוא מה שבסופו של דבר מגיע לאפליקציה.

יישומון המגן 2 בחנות האפליקציות של גוגל

נעם רותם עשה תהליך דיקומפילציה לאפליקציה לפני כשבועיים וגילה בה קוד שאמנם לא היה זדוני, אבל לא היה לו זכר בגיטהאב. וזה? זה רע. כי זה אומר שלכו תדעו מה יש באפליקציה יאמר לזכות משרד הבריאות שהם לקחו את מה שנעם כתב ברצינות ופעלו בעניין. אבל האמון שלי קצת נסדק.

אז מה? להתקין או לא להתקין את המגן? המגן 2.0 עובדת בצורה שונה מהאפליקציות המקובלות בעולם. מהניסיון הפיתוחי שלי? אם עובדים בצורה שונה מה-API הרשמיים זה נגמר לא טוב. אני מקווה שזה לא יהיה גם הפעם. המגן זו החלופה האזרחית היחידה לאיכוני השב״כ הלא יעילים. זו הסיבה שאני מתקין אותה.

ובשולי הדברים, אני מתנצל שאני נשמע קצת עייף, מאוכזב ופסימי. משרד הבריאות באמת מנסה לעשות את מה שהוא יכול ויש לא מעט אנשים טובים שמעורבים בתהליך ואני מקווה שהוא יצליח כי כרגע איכוני השב״כ לא עוזרים, המגיפה משתוללת ועושה רושם שהמדינה מתפוררת אבל באמת.

אני מצרף את הכתבה שכתבתי בהארץ על שבירת האמון הזו, שבה יש הסבר, וגם את הפוסט של סייברסייבר, ויש גם פרק מיוחד שיצא ממש עכשיו.