קטגוריה: מגזין

✝️ הכומר שמכר את הפרטיות שלו

זהו סיפור עם מוסר השכל על מידע אנונימי שאינו אנונימי, נתוני מיקום בטלפון החכם שלכם, וכמרים שמשתמשים באפליקציות היכרות וברים של הקהילה הגאה

מי שמביט לי במידע, לא יודע מי אני

כשחושבים על המידע שחברות באינטרנט אוספות עלינו, ההנחה הרווחת (והדי לא-מדויקת) בנוגע למידע הזה הוא שמעבירים אותו תהליך של “אנונימיזציה”, שבו מסירים מהמידע כל מזהה אישי (כגון שם, מספר ת”ז, טלפון, מייל וכו’), ומשאירים רק מזהה מספרי שלא ניתן לחבר לאדם ממנו הגיע המידע, וכמובן את המידע עצמו.

המידע האישי שלי אינו רלוונטי למפרסמים וחברות, כיוון שחברה לא צריכה לדעת את השם שלי כדי למכור לי משהו, אלא רק את הפרופיל שלי: מצב משפחתי, מקום מגורים, מגדר, תחום עובדה, והאם אני מחבב כלבים/מאפים/שנ”צ (במקרה שלי התשובה היא “כן” להכל). על בסיס הפרופיל האישי שלי החברה יכולה להתאים לי פרסומות מדויקות, להתאים לי מוצרים ולהרוויח ממני כסף גם בלי לדעת את השם שלי או את המסת”ז שלי. לכן, החברה יכולה שלא לשמור את המידע האישי שלי, וזה לא ישפיע על הרווחים שלה.

הבעיה מתחילה כשאנחנו נזכרים שיש כמות מוגבלת של אנשים בעולם, כך שבהינתן מספיק פרטים על אדם ספציפי, אפשר לפסול אנשים אחרים שאינם מתאימים לפרופיל ולצמצם את החיפוש שלנו עד לרמה שבה ניתן לאתר בדיוק (או לפחות ברמת ודאות גבוהה) את האדם הספציפי שזה המידע שלו, גם ללא שום מזהים אישיים, ורק על בסיס המידע ה”אנונימי” שזמין למפרסמים.

נניח שהמידע שקיבלנו כולל את המגדר של האדם, מיד צמצמנו את טווח התוצאות שלנו בכ-50%. אם יש לנו מידע על קבוצת הגיל שלו, זה כבר יכול לצמצם את הטווח בכמעט 80%, ושילוב של מגדר וקובצת גיל יחד כבר מביא אותנו ל90%. בצורה כזו צמצמנו כמעט 8 מליארד בני אדם על פני כדור-הארץ לקצת פחות מ-800 מיליון, שזה הספק לא רע בשביל שתי פיסות מידע מאוד רחבות. 

תחלק לי לשתיים

בתחום של ניהול מידע קיים מושג מקצועי לתהליך הצמצום הזה, שנקרא “ביט”. ביט מתאר חיתוך של טווח תוצאות קיים לשניים, מה שמשאיר לנו 50% מהטווח הקודם. אם קיימים לנו 2 ביטים, זה כבר ישאיר 25% מטווח התוצאות המקורי, וכו’. לכל פיסת מידע שמאפשרת לנו לצמצם את טווח התוצאות יש ערך של כמה ביטים היא שווה: מגדר שווה ביט אחד, אבל טווח גילאים יכול להיות שווה בין 2 ל-7 ביטים, בתלות ברמת הדיוק שלו. לנתונים נוספים, כגון חבישת משקפיים, אחזקת רישיון נהיגה או מגורים במדינה מסוימת, יש ערך ביט משתנה, אבל לכולם יש ערך שיכול לצמצם את טווח התוצאות המקורי שאיתו התחלנו.

אמנם יש כ-8 מיליארד אנשים בעולם וזה אכן נשמע הרבה, אבל חשבון קצר מראה שזה קצת פחות מ-233. מכיוון שכל ביט אמור לחתוך את טווח התוצאות בחצי, זה אומר שתיאורטית, בהינתן מידע בשווי 34 ביטים או יותר, אני יכול לחבר בין המידע האנונימי של אדם ספציפי לאדם אמיתי עם שם וכתובת, ולדעת בדיוק למי המידע הזה שייך.

אישה מסתירה את זהותה מאחורי מסכה של לואי ויטון 🖼️ האתר הרשמי

כמובן שבמציאות זה טיפה שונה, כי הביטים לא תמיד מחלקים את המידע שלנו באופן “מושלם”, ויש חפיפות של ביטים. גם פיסת מידע מאוד ממוקדת על אדם, כגון “בעלים של תיק יד לואי ויטון”, יכולה להיות שווה הרבה ביטים, אבל היא כבר כוללת בתוכה חפיפה גבוהה מאוד למידע אחר, כגון מגדר, רמת הכנסה, או אפילו אזור מגורים. בנוסף, אין בנמצא (לפחות כרגע) מאגר נתונים פומבי של “בעלי לואי ויטון” עם שמות וכתובות, אז המידע הזה לא כ”כ יעזור לנו לצמצם את טווח התוצאות שלנו.

בשורה התחתונה, בהינתן מספיק מידע אנונימי שאנחנו יכולים להשוות למידע פומבי יחסית שחשוף כבר היום על אנשים, כגון גיל, מגדר, מקום מגורים, מקום עבודה, מאפיינים חיצוניים וכו’, אנחנו יכולים לעשות דה-אנונימיזציה למידע אנונימי, ולחבר אותו לאדם עם שם ופרטים ידועים.

לוקיישן, לוקיישן, לוקיישן

התהליך הזה, שמאפשר את הסרת מעטה האנונימיות כאשר קיים מספיק מידע, הוא הסיבה שנתוני מיקום הם אחד מסוגי המידע הכי מסוכנים לפרטיות: כל דיווח מיקום הוא דבר מדויק מאוד ושווה המון ביטים. נתוני מיקום הם גם רבים מאוד, והם ומצטברים מהר. אפילו מיקום אחד בשעות הלילה בנקודה מסוימת ומיקום נוסף בשעות היום בנקודה אחרת, יכולים להספיק לאיתור אדם ספציפי ברמת ודאות נמוכה. אם הנתונים חוזרים על עצמם אפילו מספר קטן של פעמים, כבר אפשר לדעת בוודאות גבוהה במי מדובר, בהתבסס על נתונים פומביים של מקום המגורים והעבודה או הלימודים של האדם.

כך קרה שנתוני המיקום של הטלפון החכם של ג’פרי בוריל (Jeffrey Burrill), כומר קתולי בכיר מאוד בכנסייה האמריקאית, הובילו להתפטרותו לאחר חשיפתו כהומוסקסואל על ידי גוף תקשורת בשם “הפילר”, המסקר את הכנסייה הקתולית. הפילר רכש באופן חוקי לחלוטין מאגר מידע עצום מספק תקשורת סלולרית. המאגר כלל שנתיים של נתוני מיקום של מיליוני מכשירים, וכן נתוני שימוש של אפליקציות שונות בחיבור האינטרנט של המכשירים.

החשיפה בפילאר שהביאה להתפטרותו של מונסיניור ג'פרי בוריל
החשיפה בפילאר שהביאה להתפטרותו של מונסיניור ג’פרי בוריל

העיתונאים של הפילר הצליחו לאתר במאגר המידע העצום את מכשיר הטלפון של בוריל, בהתבסס על נתוני מיקום מביתו, הכנסייה בה עבד, אירועים בהם השתתף ובית הקיץ שלו. הנתונים גם חשפו כי הוא משתמש באפליקציית ההיכרויות גריינדר, הנפוצה בקרב חברי הקהילה הגאה, וכן ששהה בברים של הקהילה הגאה בעת שביקר בערים אחרות, לעיתים במסגרת עבודתו בכנסייה.

עיתונאי הפילר חשפו את המידע בפני הכנסייה, מה שאילץ את בוריל להתפטר, העלה את הסיפור לכותרות ועורר שוב את הדיון על החוקיות של הפרקטיקה של מכירת מידע אנונימי ע”י ספקי תקשורת, תוך הבנה שבדיעבד המידע יכול לעבור די-אנונימיזציה ולפגוע בפרטיות של המשתמשים.

אגב, ייתכן שהפילאר יפילו עוד בכירים בהמשך. השבוע הם פרסמו ניתוח נוסף של מידע סלולרי מאזור הוותיקן, ודיווחו שבתקופה של 26 שבועות ב-2018, לפחות 32 מכשירים סלולריים עשו שימוש באפליקציות דייטינג וסטוצים ממקומות מאובטחים ובניינים במתחם הוותיקן, אשר אינם פתוחים לתיירים ולעולים לרגל.

אני יודע מה עשית בקיץ האחרון

כבר היום יש להניח שגורמים פליליים רוכשים חבילות של מידע אנונימי ומחפשים בו סימנים לבגידות, נטיות מיניות מוסתרות, שחיתויות, וכל דבר אחר שאנשים מעדיפים שישמר בסוד ולא יהפוך לנחלת הכלל, ומשתמשים בו לאיים על אנשים שיחשפו אותם אם לא יתנו כסף או דברים אחרים (תחשבו על פוליטיקאי שנסחט להצביע באופן מסויים בהצבעה גורלית).

גופי מודיעין ממשלתיים וארגוני טרור רואים ערך גדול במידע כזה. חמאס או חיזבאללה, למשל, יכולים לרכוש מאגרי מידע אנונימיים גדולים, ולהתחיל לעקוב אחרי מסלולים של מכשירים עם היסטוריית מיקומים בכנסת, משרדי ממשלה או בסיסים צבאיים, ולהכין “בנק מטרות” של מקומות מגורים של בכירים ישראלים, מקומות הלימוד של ילדי הבכירים, מסלולי נסיעה קבועים, ועוד מידע שיכול לשמש לפגיעה בביטחון המדינה.

גם גופי אכיפה בכל העולם כיום עושים שימוש במידע שכזה, אפילו לצורך המאבק בנגיף הקורונה, כמו שראינו בישראל עם אפליקציית המגן והאיכונים של שב”כ. כבר היום מידע כזה יכול לשמש כדי לפתור פשעים או למנוע אירועים פליליים, אך גם כדי לרדוף עיתונאים, אקטיביסטים וחברי אופוזיציה. גם עיתונאים יכולים לעשות שימוש במידע כזה ע”מ לחשוף שחיתויות או לחסל דמויות ציבוריות, ורשימת הגופים שיכולים להשתמש במידע כזה, והשימושים הפוטנציאליים בו, עוד ארוכה.

איך מנצחים מגיפה

המצב הוא אכן בעייתי, כיוון שספקי התקשורת שלנו יודעים בדיוק היכן אנחנו נמצאים בכל רגע נתון – ככה הרשת הסלולרית עובדת: הטלפון הסלולרי שלנו משדר, התא הסלולרי הקרוב ביותר קולט, וכך מועברים שיחות, סמסים וגלישה. עד שתעבור חקיקה האוסרת באופן מוחלט מכירה של נתוני מיקום, המידע שלנו עלול להישאר חשוף. אבל לפני שאתם שוברים את הטלפון ועוברים לחיות במערה ולהכין בורקסים על מדורה, יש מספר פעולות שניתן לבצע.

בשלב ראשון, נמנעים ככל הניתן מלאפשר גישה למיקום לאפליקציות שמוכרת את המידע לצד ג’ (שזה כמעט כולן). בנוסף, לא נותנים גישה לנתוני מיקום לאפליקציות בזמן שהן רצות ברקע אלא רק בזמן שהן פועלות על המסך של המכשיר. באופן כללי מומלץ לתת אישור גישה לנתוני מיקום רק לאפליקציות שחייבות את זה כדי לתפקד. באפליקציות של משלוחים וכו’, עדיף להקליד בכל פעם את המיקום שלכם, ולא לתת לאפליקציה גישה אל נתוני המיקום.

בנוסף, מומלץ להשתמש בהגנות ובהצפנות לתעבורת המידע בין המכשיר שלכם והאינטרנט, באמצעות VPN [פרסומת: אנחנו ממליצים על פרוטון VPN], או לפחות אפליקציות הצפנת DNS כגון Intra. ככל שכמות המידע שניתן לאסוף על השימוש שלכם קטנה יותר, הסיכוי לפגיעה בפרטיות שלכם יורד.

לבסוף, נסו לעודד כמה שיותר אנשים אחרים לנהוג כמותכם ולהגן על המידע שלהם. אפילו אם אתם מנהלים חיים שאתם גאים בהם, ואין לכם סודות אפלים שאתם מסתירים, תמיד יהיו אנשים שלא נהנים מהפריווילגיה הזו ונאלצים להסתיר דברים מסוימים בנוגע לעצמם כדי להימנע מפגיעות שונות. אם כולנו ביחד קטין את כמות המידע שחברות מקבלות מאיתנו, מאגרי המידע האלה יהפכו פחות ופחות יעילים, וכך נייצר “חסינות עדר” ונוכל להגן גם על המעטים שזקוקים לפרטיות שלהם.

יוסף ורד הוא סמנכ"ל טכנולוגיה בחברת EMT Engineering LTD. הוא כתב בגליון ספטמבר 2020 על שובן של הצרות של חלונות XP

(תמונה ראשית: איפה ישו? 🖼️ Campos Felipe + עידוק)


פרוייקט דיוק הקסאמים 🐱‍💻 סייברסייבר ע03פ14

זהירות, אוסינט! סרטוני נפילות, גוגל סטריט ויו ופקקים בווייז עלולים לעזור לחמאס לדייק את פגיעת הרקטות על ישראל // נעם רותם, רן לוקאר, עידו קינן


🍗 עין הנץ של המשטרה תמשיך לעקוב אחריכם – ואתם אפילו לא תדעו על זה

אתמול יצא תזכיר החוק שיסדיר (כביכול) את השימוש של המשטרה במצלמות חכמות לזיהוי פנים ובמערכת “עין הנץ”. מה הוא אומר?

קודם כל, קצת רקע: מצלמות חכמות לזיהוי פנים זה די מסביר את עצמו. אבל מה זה עין הנץ? מדובר במערכת של מצלמות חכמות שיודעות “לקרוא” לוחיות רישוי. המרחב הציבורי ממילא מרושת בהמון מצלמות. אלא שמצלמות חכמות מהסוג הזה פוגעות בצורה קשה בפרטיות, משום שהן יודעות לזהות אדם או רכב באופן אוטומטי ולקטלג את המידע בצורה נוחה לחיפוש. מה זה אומר בשפה פשוטה? שאפשר לדעת בלחיצת כפתור כל מקום שהיית בו (או שהרכב שלך היה בו).

קחו בחשבון שתזכיר החוק שתכף נגיע אליו מתייחס גם לעין הנץ וגם למצלמות חכמות לזיהוי פנים, אבל אני אתייחס פה בעיקר לעין הנץ, כי זה מה שחקרתי וזה מה שאני מכיר. עד כמה שאני יודע אין פריסה מבצעית רחבה, או בכלל, של מצלמות חכמות לזיהוי פנים.

לגבי עין הנץ – הפיילוט במערכת התחיל ב-2013, וכאמור היא הפכה מבצעית ובפריסה ארצית שנתיים לאחר מכן. בשנה שעברה פרסמתי תחקיר שחשף שהמערכת שומרת תיעוד גם של כלי רכב של אזרחים שלא חשודים בכלום, למקרה שהם יהיו חשודים יום אחד. האגודה לזכויות האזרח ו”פרטיות ישראל” הגישו עתירות שדרשו לחשוף אם נעשה שימוש במצלמות זיהוי פנים ולהפסיק את השימוש בהן ובעין הנץ עד להסדרה בחוק. המדינה השיבה שתזכיר חוק נמצא בשלבי ניסוח, ואתמול בלילה הוא אכן פורסם להערות הציבור.

כדאי לזכור: עוד ב-2015 המשנה ליועמ”ש אמר שבגלל פגיעתה של המערכת בפרטיות (שמוגנת גם בחוק וגם בחוק יסוד), יש צורך בחקיקה כדי שהמשטרה תוכל להשתמש בה. מצד שני, הוא גם אישר להתחיל להשתמש בה בלי חוק. בקיצור, התזכיר מפורסם בחמישי ב-11 בלילה, אחרי שש שנים.

אז בואו באמת נגיע לתזכיר. הדברים החשובים באמת לא נמצאים בו, אלא בתקנות: אין בו מגבלות על התקופה לשמירה של מידע במערכת, לא מגבלות על מי יכול לגשת למידע, ולא כללים לגבי אבטחת המידע ושמירה עליו. נזכיר שקצין משטרה העיד שהמערכת שומרת מידע בלי הגבלת זמן, כן? מי שיקבע את כל אלה הוא השר לבטחון פנים, בהסכמת שר המשפטים ו-ועדת הפנים והגנת הסביבה של הכנסת. האמת שבעיניי זה מנגנון מצוין (ככל שהדיונים לא יהיו סגורים והתקנות יפורסמו לציבור).

מתוך תזכיר החוק
מתוך תזכיר החוק

שר הבט”פ רשאי לקבוע אם המשטרה תחויב לפרסם את מיקומי המצלמות, אבל ככל שהוא לא יקבע הדבר ישאר בשיקול דעתה של המשטרה. בעיניי זו טעות. החוק צריך לחייב פרסום של מיקומי מצלמות נייחות, ולאפשר למשטרה לנמק למה לא תפרסם מיקום של מצלמות ניידות (למשל אם היא הוצבה זמנית לצורך חקירה ספציפית).

Image
מתוך תזכיר החוק

התוספת הרביעית מגדירה מהם סוגי המצלמות החכמות שניתן להשתמש בהם. כיום יש בה מצלמות לזיהוי פנים ואת עין הנץ, אבל שר הבט”פ ושר המשפטים יכולים להוסיף סוגים נוספים. הדבר החמור הוא שמוצע לפטור מפרסום ברשומות את הפרטים שבתוספת. כלומר, כשתהיה טכנולוגיה חדשה ופולשנית יותר – לא נדע.

Image
מתוך תזכיר החוק
Image
מתוך תזכיר החוק

“תכליות להצבה והפעלה” זה סעיף חשוב מאד, כי כביכול הוא מגביל את המשטרה בהצבת המצלמות. בפועל יש כבר מצלמות עין הנץ בכל הכבישים הראשיים בישראל, וגם ההגדרות פה מאד רחבות ועמומות. אם אפשר לשים מצלמה כדי לשמור על “שלום הציבור” – אפשר לשים מצלמה בכל מקום.

Image
מתוך תזכיר החוק

אבל בואו תראו למה זה עוד יותר בלוף. נניח שסעיף הצבת המצלמות מוגבל יחסית. הוא מתיר למשל להציב מצלמה כדי לגלות עבירות מסוג פשע (3 שנות מאסר ומעלה), ואת מבצעיהן. אממה? בסעיף אחרי זה מתירים להשתמש במידע שנאגר במצלמות לגילוי כל עבריין, ללא הגבלה על חומרת העבירה!

Image
מתוך תזכיר החוק

סעיפים ג’ ו-ד’ לא אומרים שום דבר. הם אומרים שהמשטרה צריכה לשמור על המידע, אבל לא אומרים איך זה ייעשה. אה, ושמותר לה לשמור את המידע רק לזמן שהמידע דרוש לה. אחלה.

Image
מתוך תזכיר החוק

המשטרה גם תוכל למסור מידע ממערכות הצילום המיוחדת לשורה של גופי חקירות כמו השב”כ, מח”ש, הפרקליטות, אגף המודיעין בצה”ל, יחידת צור למעקב אחרי עברייני מין, הרשות להגנת עדים – וגופים נוספים שייקבעו על ידי שר המשפטים באישור ועדת הפנים של הכנסת.

Image
מתוך תזכיר החוק
Image
מתוך תזכיר החוק

ועכשיו אנחנו מגיעים לתכלס – מה אין בתזכיר הזה, ולמה בעיניי הוא מפקיר את הפרטיות של אזרחי ישראל. הייתי מתייג את חברי ועדת הפנים, אבל היא טרם הוקמה ולכן אתייג כאן את השרים הרלוונטיים ונמשיך: @omerbarlev @gidonsaar @MeravMichaeli

אין בתזכיר פיקוח אפקטיבי על השימוש של המשטרה במערכת ועל היישום של החוק. המשטרה לא חייבת צו מבית משפט כדי לשלוף מידע מהמערכת הפולשנית הזו, וזו בעיה אמיתית. המשטרה גם לא חייבת דין וחשבון לאף אחד.

בשנים הראשונות לקיומו של חוק נתוני תקשורת (שמאפשר למשטרה לקבל בצו איכונים של מכשיר סלולרי), לדוגמה, המשטרה היתה חייבת לדווח פעם בשנה לכנסת על היקף השימוש בחוק. בעיניי, גם אם מוותרים על פיקוח שיפוטי שיחייב את המשטרה להוציא צווים כדי להשתמש במערכת, לפחות חייב להיות דיווח בדיעבד. למשל, שהמשטרה תגיש פעם בשנה דוח כמה שליפות מידע נעשו מהמערכת, באילו עבירות, והאם התגלו מקרים של שימוש לרעה במערכת ואיך הם טופלו. פעם בשנה, דוח שכמעט אפשר להפיק אוטומטית, ולא יהיה חסוי. זה המינימום של המינימום.

זהו בינתיים. כל הכבוד למי ששרד עד כאן. וזה התזכיר במלואו, עם עותק פדף כאן.

______________________________
דניאל דולב הוא כתב תחקירים באתר “שומרים”, ובעבר כתב משפט והיום. הפוסט התפרסם במקור בטוויטר שלו


כרטיסי אשראי של מאות ישראלים נפלו בידי קאקערים, שנפלו לידיים שלנו

זהו פוסט ראשון במדור הוותיק והפופלרי הסייברפושעים הטיפשים ביותר™. יש לכם סיפורים על טפשי סייבר? הייתם כאלו בעצמכם? ספרו לנו – [email protected] או בקו החם והפריך 055-2776766

בעוד התותחים רועמים והטילים מתפוצצים סביב, נתקלנו במתקפה מרעננת שמערבת לאומנות, תאוות בצע וכמות לא מבוטלת של רשלנות סייבר מביכה, שמפעיליה מנסים לדוג פרטים אישיים ופרטי אשראי מאלפי ישראלים לחוצים.

בבוקר בהיר השבוע נחתה בתיבות הסמס הנכנס של המוני מכשירי סלולר ישראלים הודעה משמחת כביכול מחברת UPS, על כך שחבילה המיועדת אליהם נמצאת בדרכה, והדבר היחיד העומד בינם לבין האנבוקסינג הוא רק תשלום קטן של דמי טיפול ומשלוח. בקטנה.

סמס מתחזה שנשלח לכאורה מUPS בהונאת דיוג
סמס מתחזה שנשלח לכאורה מUPS בהונאת דיוג

הניחוח של ההודעה הזו כבר מעופש משהו, ושורה של דגלים אדומים התנופפו כאילו היה זה מצעד האחד במאי במוסקבה של שנות החמישים. ראשית – הניסוח קצת ליד, לא בדיוק משהו שמתגלגל על הלשון. לעדכן את דמי המכס לאישור המסירה? כולן מילים בעברית, אבל לא מתחברות עד הסוף. שנית – כתובת ביט.לי, שירות קיצור הכתובות הוותיק והפופולרי. 

כדי לדעת לאן מוביל קיצור ביט.לי, לא חייבים להיכנס אליו ולהסתכן בטעינת אתר מפוקפק – פשוט מוסיפים אחרי הלינק המקוצר את סימן הפלוס (+) ומקבלים את הקישור הסופי. זה מה שעשינו עם הלינק החשוד הנ”ל – bit.ly/3XXXXu+ – והספקנו לצלמסך לפני שהוא הוסר מביט.לי. 

פירוט על קיצור הביט.לי ששימש להונאת הדיוג
פירוט על קיצור הביט.לי ששימש להונאת הדיוג

במקרה שלנו מדובר באתר  שהיה פעם, אולי, אתר חדשות הודי, אבל מאז שנפרץ והושחת הוא מהווה בית חם לקמפיינים של פישינג. משהו בדף הנחיתה הפרוץ גורם לנו להאמין שמנכלליו  פחות התחברו לפרוייקט הציוני.

למרבה הצער, כבר אין כבוד למקצוע, וכל למור יכול להוריד ערכת פישינג ולהתחיל לעבוד גם בלי להבין שום דבר בכלום. במקרה שלנו, הלמור הזה למשל השאיר את ה-directory listing פתוח, כלומר איפשר לכל דיכפין ודיכפינה להציץ ברשימות הקבצים של המערכת שלו. שם  ניתן היה למצוא שלל קבצים ששייכים למערכת הפישינג, חלקם רגישים למדי:

ה-directory listing של אתר הונאת הדיוג
ה-directory listing של אתר הונאת הדיוג

מעניינים במיוחד שלושה קבצים:

Vu.txt: לוג גישה (access log). רושם כל גישה למערכת – מצד הקורבנות, אבל לא רק.
AchCC.txt: רשימת כרטיסי אשראי.
UPSach.txt: פרטים אישיים ועוד קצת כרטיסי אשראי.

בדיקה של vu.txt מראה שהקמפיין טירגט בעיקר ישראלים; מתוך 4400 כניסות למערכת, יותר משליש היו מישראל:

1 Australia
1 Cyprus
1 Finland
1 Russia
1 Switzerland
2 Canada
2 France
2 Greece
2 India
2 Morocco
2 Poland
2 South
2 Turkey
3 Germany
3 Netherlands
7 Palestine
26 US
1945 Israel
2450 ללא מדינה

על פי בדיקות ידניות שערכנו, גם רובם המכריע של 2450 חסרי המדינה (כנראה בשל תקלת ip2geo)  הם ישראלים.

תמיד חשוב לבדוק את השורות הראשונה בקובץ לוג, וכאן הן מעניינות במיוחד:

105.71.144.155 – 2021-5-15 @ 04:19:47 >> [Morocco | Windows 10 | Firefox]
41.142.232.197 – 2021-5-15 @ 04:21:07 >> [Morocco | Windows 10 | Chrome]
41.142.232.197 – 2021-5-15 @ 04:21:09 >> [Morocco | Windows 10 | Chrome]
41.142.232.197 – 2021-5-15 @ 04:29:30 >> [Morocco | Windows 10 | Chrome]
41.142.232.197 – 2021-5-15 @ 04:29:53 >> [Morocco | Windows 10 | Chrome]

בעוד כל השורות בקובץ הן של Handheld Browser, כלומר על מערכת הפעלה סלולרית, זו ממרוקו מגיעה ממערכת Windows 10, חמש דקות בדיוק לפני שמתחילה הצפת הכניסות מישראל. זה נראה כמו בדיקה של מפעיל המערכת שהדברים עובדים כסדרם, רגע לפני שהפיץ את ההונאה שלו לקורבנות הפוטנציאליים. כתובת IP אחת מספק רשת סלולרי, והשניה מספק רשת קווי, שניהם במרוקו, מה שמוריד משמעותית את הסיכוי שמדובר ב-VPN או שירות ניתוב אחר, ומעלה את הוודאות שמדובר בכתובות הביתיות או העסקיות של הלמור שלנו. לו היה מדובר בישראל, אולי היתה תקווה קלושה ש🎵 מערך הסייבר 🎶 או יחידת הסייבר הארצית של המשטרה יעשו עם זה משהו, אבל מכיוון שמדובר במדינה עם פחות סייברסייבר באתוס, התרחיש הסביר הוא שלא ייעשה עם זה דבר. אולי הוא בכלל הלמור של המלך?

הלמורים שלנו הגדילו והפקירו לכל גולשת גם את פרטי האשראי שהצליחו לדוג מכמעט ארבע מאות ישראלים. מדובר בפרטים של כ-380 כרטיסים, מכל חברות האשראי בישראל. נתעכב על זה לרגע: החברים הלכאורה מעט פחות ציונים הללו הגיעו ליחס המרה (conversion rate) של מעל 8.5%. יש כמה מפעילי קמפיינים לגיטימיים שהיו מוכרים את הכליה השמאלית של אמם מולידתם כדי להתקרב לאחוזים האלה. אך במקרה הזה, מדובר בתעודת עניות עם סרט אדום לגולשים הישראלים שמתקשים לזהות דיוג (פישינג) וממהרים ליפול בכל תרמית הנקרית בדרכם.

פרטי קורבנות הונאת הדיוג
פרטי קורבנות הונאת הדיוג

מה עושים עם כמות כזו של כרטיסי אשראי, אתם שואלים: ממלאים את האמבט בקרם פטיסייר? נוטעים עצים דרך קק”ל? אולי, אנחנו לא שופטים. אבל מה שסביר יותר הוא שפשוט מאוד מוכרים אותם. הקבוצה שמתיימרת להיות חלק מ”אופ-ישראל” (OPIsraeI) היא בעצם חבורת נוכלי אשראי רגילה מאוד. קצת מזכיר את “האיראנים על הגדרות של הסייבר!” אה-לה-שירביט, אבל “איראנים!!!1” מוכר סייבר יותר מחבורה של למורים שכל מה שהם רוצים זה עוד כמה זוזים בחשבון הבנק שלהם.

אבל זה לא הכל, לא לא, זה לא הכל. הלמורים שלנו השאירו גם את קבצי ההשתלטות שלהם על השרת נגיש ללא צורך בהזדהות לכל אדם בעל כלי הסייבר-פריצה המשוכלל דפדפן. לא זו בלבד שאפשר היה להעלות קבצים נוספים, אפשר היה לראות (או למחוק ולשנות) את תוכן הקבצים בהם הושארו סיסמאות לשירותים נוספים הנמצאים בשליטת הלמורים, וכן את מספר הטלפון האישי של אחד מהם, תושב מרוקו. למעשה, אם היינו חפצים בכך, היינו יכולים להפוך את האתר לכזה המציג מאפים מגרים ויפים בחזיתו, ואת כרטיסי האשראי שולח לקופת המאפים של הפודקאסט הפופולרי סייברסייבר. אז חאמיד ואשרף, אם אתם קוראים את זה – אולי הגיע הזמן להחליף קריירה.

מחקר קצר העלה כי אותו קיט שהיה בשימוש על מנת לדוג ישראלים הופעל בעבר הלא רחוק על מנת לדוג את פרטיהם של המוני אזרחים סעודים, ברזילאים, ואחרים:

קורבנות קודמים של הונאת הדיוג
קורבנות קודמים של הונאת הדיוג

תקיפות מהסוג הזה, שבבסיסן מניע פיננסי, מופעלות נגד משתמשים בכל העולם, לא רק בישראל. העובדה שכל פעם שמתקפה כזו מתגלה אצלנו החכם התורן צועק “איראן!” ומקבל מחיאות כפיים היא תעודת עניות ברוח פלדרמאוס של החמישיה הקאמרית. “ווי אר א סטרונג סייבר קאנטרי. סטרונג, באט מוקפת אויבים”.

פלדרמאוס, מערכון של החמישייה הקאמרית
פלדרמאוס, מערכון של החמישייה הקאמרית

אז כמה כסף עשויים היו הלמורים שלנו להרוויח מהקמפיין הזה, אלמלא היו כל כך גרועים? ובכן, מחקר של privacyaffairs גיבש מחירון, ובשעה שיש לקחת את הדברים המופיעים בו עם קמצוץ בריא של מלח (כי מי שבאמת מתעסק בתחום יודע להשיג את הדברים במחירים סיטונאים, שהם שונים משמעותית ממה שמופיע שם), אלה עדיין סכומים מכובדים לכל הדעות. על פי המחקר, כרטיס אשראי ישראלי עם CVV, קרי שלוש הספרות המופיעות על גב הכרטיס, נמכר בכ-$65. לא רע בשביל כמה סמסים ואתר פרוץ. אם הלמורים שלנו הסתפקו ב-380 הכרטיסים שמצאנו אצלם, והם יודעים למכור את הסחורה במחירים המצוטטים מעלה, על הנייר הם עשירים יותר בכ-$24,700.

למור 🖼️ EmmanuelFAIVRE cc-by-sa
ההאקרים המרוקאים (אילוסטרציה) 🖼️ EmmanuelFAIVRE cc-by-sa

ברם אולם, מי שיקנה את הכרטיסים הספציפיים האלה עושה עיסקה רעה מאוד, ואם הוא קורא את הדברים האלה יש לנו טריבונה משומשת במצב מעולה למכור לו, מכיוון שכבר העברנו אותם לחברות האשראי, וכנראה שיהיה קשה לעשות בהם שימוש.

בשולי הדברים, הלמורים שלנו כן מקבלים אמריקן אקספרס. כי מישהו צריך.

אז אם אנחנו כבר מדברים על איך לזהות פישינג, 380 הישראלים שכן נפלו בפח באמת צריכים להתבייש. מעבר ללחיצה על הלינק בסמס שקיבלו, דף הנחיתה עשוי בצורה חובבנית. הדומיין לא קרוב אפילו לשם החברה אליו הוא מתחזה (UPS), רוב הלינקים לא עובדים, שגיאות ההתנסחות באנגלית מביכות ממש, השנה בתחתית העמוד היא 2020, יש “התחבר” לא פעיל, אבל שתי “התרעות” שגם לחיצה עליהן לא עושה דבר, אין אפשרויות יצירת קשר והרשימה עוד ארוכה.

עמוד הונאת הדיוג המתחזה ל-UPS
עמוד הונאת הדיוג המתחזה ל-UPS

UPS בעצמם מקדישים לתרמיות האלה דף מיוחד באתר (האמיתי) שלהם, שסוקר אלמנטים שונים של דפי נחיתה, מיילים, והודעות אשר מנסים לדוג מידע מלקוחות. שווה ללמוד את הפרטים כדי לא ליפול בפח, או להחליט מראש שאף פעם, בשום מקרה, גם אם מציעים לכם עסקה חד פעמית יד-ראשונה מנסיך ניגרי, לא לוחצים על לינקים שמקבלים בהודעות.

_______________
נעםר הוא מגיש-שותף של סייברסייבר, אוהב מאפים, רשתות ומערכות שנכתבו על ידי למורים, ובזמנו הפנוי הוא אין לו באמת זמן פנוי. אפשר למצוא עוד מהגיגיו הטכנולוגיים בבלוג “לפני האיתחול“. רן לוקאר הוא חובב סייבראבטחה וחבר מערכת סייברסייבר


גודדי הבטיחה בונוס לעובדים ואז נזפה בהם על שנפלו בפח

בסוף שנה ארורה כמו 2020, כיף לקבל מהמעסיק אימייל שמודיע לך על בונוס חמוד, כמו זה שקיבלו עובדי גודדי:

ספק רישום הדומיינים הגדול בעולם, עם כ-80 מיליון דומיינים, הבטיח בונוס של 650$ לעובדים שיקליקו על הלינק של אזור מגוריהם וימלאו את הפרטים הנדרשים. הם קיבלו ארבעה ימים, ואזהרה שמי שלא יירשם בזמן יפסיד את הכסף.

500 העובדים שמילאו את הטופס לא קיבלו בונוס. במקומו, הם קיבלו נזיפה מהסיסו של גודדי, דמטריוס קאמז:

קיבלת את האימייל הזה כי נכשלת במבחן הדיוג שערכנו לאחרונה. יהיה עליך לעבור מחדש את הכשרת ההנדסה החברתית למודעות אבטחה.

הודעת הבונוס היתה למעשה הדמייה של דיוג, כך חשף ה-Copper Courier.

דיוג (פישינג, phishing) הוא נסיון להשיג מאנשים פרטים אישיים, ובהם לעתים שמות משתמש וסיסמאות, לצורך גניבת זהות, פריצה למערכות ממוחשבות וכדומה. הדייגנים עושים שימוש בהנדסה חברתית, כלומר מציאת חולשות אבטחה אצל בני אדם כדי לגרום להם לתת את המידע – למשל, הבטחה לכסף תמורת הקלקה על לינק ו/או מסירת פרטים אישיים. מה שגודדי עשו הוא הדמייה של דיוג לצורך בדיקת ערנות העובדים, מהלך שחברות אחראיות מבצעות מפעם לפעם כדי להטמיע נהלי אבטחת מידע בקרב העובדים.

כרשם הדומיינים הגדול בעולם, גודדי הם מטרה נחשקת להאקרים שרוצים להשתלט על דומיינים כווקטור לתקיפות שונות. בלוג הסייברסייבר של בראיין קרבז הזכיר כמה פריצות משמעותיות שגודדי ספגו השנה: במרץ, האקר ביצע דיוג-ממוקד טלפוני של נציג שירות לקוחות והסיט את התעבורה של אתר Escrow.com לכתובת איי.פי במלזיה; באפריל, החברה גילתה שפירצת אבטחה מאוקטובר 2019 (!) סיכנה חשבונות אחסון של 28 אלף לקוחות של החברה; ובנובמבר, האקרים דייגו מספר עובדים בגודדי והביאו להסטת תעבורה של מספר פלטפורמות לסחר בקריפטומטבעות. כך שהחשש של גודדי מפני דיוג אמיתי, והצורך באימון העובדים קריטי.

אלא שעם הפרסום, החברה חטפה ביקורת על הדרך שבה בוצע המהלך, עם חוסר הרגישות שבנפנוף בונוס שקרי מול העובדים, ובפרט בתקופת החגים ותחת הלחץ וחוסר הוודאות של המגיפה. זאת, רק חצי שנה אחרי שהחברה הודיעה על פיטורים/העברה מתפקיד של מאות עובדים במחלקת המכירות, בדיוק ברבעון שבו הודיעה על גידול שיא במספר הלקוחות.

בנוסף, האימייל נשלח מכתובת בדומיין של גודדי – [email protected] – אמנם לא דבר בלתי אפשרי לזיוף, אבל כזה שמגביר את תחושת האמינות. מצד שני, אפשר לטעון שעובדים צריכים להיזהר גם מאימיילים שמגיעים לכאורה מכתובת ששייכת למעסיק. ומצד שלישי – המעסיק, במיוחד גוף טכנולוגי גדול כמו גודדי – צריך לעצור אימיילים כאלו עוד לפני שהם מגיעים לעובדים.

דובר גודדי מסר לגיזמודו:

גודדי לוקחת מאוד ברצינות את אבטחת הפלטפורמה שלנו. אנחנו מבינים שחלק מהעובדים לא היו מרוצים מנסיון הדיוג וחשו שהוא היה לא רגיש, ועל כך התנצלנו. בעוד הבדיקה חיקתה נסיונות אמיתיים שנמצאים היום בשימוש, אנחנו צריכים להשתפר ולהיות יותר רגישים לעובדים שלנו.

החברה לא השיבה אם בכוונתה לפצות את העובדים באמצעות חלוקת הבונוס המובטח.

________________________
התפרסם במקור בפינה “האחראי על האינטרנט”. 🖼️ mikkooja1977


משטרת ישראל מרגלת אחרי הגלישה שלנו באינטרנט. מזל שהיא כל כך גרועה בזה

כל הזמן מספרים לנו איזו דיסטופיה טכנולוגית יש בסין, שם הממשלה עוקבת אחרי כל צעד ושעל של האזרחים החיים בה, מנטרת ומסננת את התכנים שאותם מבקשים לצרוך משתמשי הרשת הסינית. צקצקנו, כי זה מה שאנחנו יודעים לעשות, וניפחנו את החזה עוד קצת, כי אנחנו נעלים יותר, ליברלים יותר, ולעולם לא נעשה את זה לעצמנו.

אחרי רצח שלושת הנערים היהודים בגדה המערבית אי אז בשנת 2014, קמו קולות בקרב קצונת המשטרה הישראלית הקוראים להגברת היכולת הטכנית לניטור משתמשים ברשת. הסיבות נעו בין קנאה בסמכויות הרחבות (מדי) של חבריהם בשירות הביטחון הכללי לבין ניסיון לתרץ שלל כשלונות מבצעיים בשל “העדר אמצעים”. חשבו, והעלו רעיון: בואו נכריח את כל ספקיות הרשת הישראליות להתקין סוס טרויאני בצורת שרת משטרתי דרכו ינותב המידע מהמשתמשים, וכך נוכל לשלוט בו, וכך גם בהם! גאוני, ווטסון, גאוני.

מחזיק מפתחות של ג’ינגג’ינג וצ’הצ’ה, קמעות חטיבת מעקב האינטרנט של רשות הבטחון הציבורית בשנז’ן, סין, למכירה באתר dgwlang888.b2b.hc360.com

למעשה, אין פה המון חידוש. בית המשפט הגבוה לצדק כבר נדרש לסוגיה הזו בעבר, כאשר האגודה לזכויות האזרח עתרה (בג”ץ 3809/08) נגד הקלות שבה מועברים נתוני תקשורת לידי שירות הבטחון הכללי ושאר מרעין בישין. המדינה השיבה לבג”צ כי אכן ישנם “נספחים ביטחוניים סודיים המסדירים העברת נתוני תקשורת מחברות התקשורת לשירות הביטחון הכללי”. השופטים בייניש, גרוניס, ריבלין, נאור, ארבל, חיות, ומלצר, לא חשבו שהטיעונים הטכניים שהעלתה האגודה לזכויות האזרח ראויים מספיק להתייחסות, והשאירו זאת כך.

זאת אומרת שנתוני התקשורת שלנו – התקשורת שעליה אנחנו משלמים כסף טוב מדי חודש לספקי טלפוניה, סלולר ואינטרנט – מועברים מזה שנים רבות לידי ארגוני ממשל ישראלים עם מעט מאוד פיקוח, אם בכלל. כל מה שביקשה המשטרה זה להצטרף למסיבה.

אבל מה בכל זאת שונה וחמור במיוחד כאן? בניגוד למידע שעובר כבר שנים לשב”כ מדי יום, המשטרה מבקשת לא רק לקרוא את המידע, אלא גם לחסום ולשנות אותו. אם נחזור לאנלוגיות הכלא החביבות עלינו, הדבר דומה לתא צפוף בו מוחזקים אסירים רבים, אשר מעוניינים לדעת מה קורה מחוצה לו. ליד החלון יושב אדם אשר מקבל את השאלות של האסירים, מביט בחלון, ועונה עליהן. למשל, אסיר אחר שואל את החלונאי: “מה מזג האוויר בחוץ?”, החלונאי משרבב את ראשו מבעד לסורגים, מביט היטב, מחזיר אותו פנימה, ועונה לשואל: “גשום”. 

המכשיר של המשטרה מחליף את החלונאי שלנו, כך שגם אם מזג האוויר בחוץ יהיה שמשי ובהיר, התשובה שיקבל השואל תתאים לנרטיב אותו מבקשת המשטרה להעביר באותו רגע, בלי קשר לעובדות. אם גשום והמשטרה מבקשת לומר שנעים וחמים, השואל יקבל תשובה “חמים ונעים”, ואם שמשי והמשטרה מבקשת שיושבי החדר יחשבו שגשום – החלונאי יענה “עזובת’ך, גשום, אין מה לחפש בחוץ”.

שוטר, שוטר, על מי אתה ראוטר?

המנגנון המשטרתי עובד בשתי תצורות, שתיהן חמורות, ואני חייב להודות שאינני מבין איך הדבר נופל במסגרת החוק: התצורה הראשונה היא ניתוב המידע של משתמש בודד, כך שכל האתרים שאליהם ינסה לגלוש ינותבו דרך השרת המשטרתי, כך שפעולותיו ברשת ירשמו, ושהמשטרה תוכל להתערב בתכנים שהוא או היא צורכים. למשל, פרטיותו של אדם המעורב במחאה נגד שחיתות השלטון תיפגע כאשר המשטרה תחשף להרגלי הגלישה שלו, ותחסום מבעדו לגשת לתכנים מסוימים אשר לא נראים ראויים בעיני חבר הכנסת מטעם תנועת הליכוד אשר משמש בתפקיד השר לבטחון פנים הממונה על המשטרה. נשמע בריא!

התצורה השניה אפילו מסוכנת יותר: המשטרה יכולה להתערב בתכנים המוגשים לכל מי שמבקש לגשת ליעד מסוים, בלי קשר לזהותו. למשל, בוקר אחד יתעורר פקיד אפרורי שיחליט שהגיע הזמן לנתב את כל מי שירצה לגשת לתכני הפודקאסט הפופולרי סייברסייבר, אשר חושף את מצבה העגום של הרשת הישראלית, לעמוד שיראה דומה מאוד, אך שתכניו יכתבו על ידי עשרת אלפים קופים מאולפים במרתפי מערך הסייבר, אשר מפיקים תכנים המהללים ומשבחים את עמידות הרשת ואת ביטחון המידע בה.

שושקה ויואב גלזנר בהפגנה נגד בנימין נתניהו 🖼️ גלזנר
לאן גולשים שושקה ויואב גלזנר מההפגנה נגד בנימין נתניהו? 🖼️ גלזנר

סיכון נוסף הוא סימון אזרחים המתעניינים בנושא מסוים, נניח השחיתות השלטונית המזעזעת הפושה בכל חלקה טובה (אם עוד נשארו כאלה) בשלטון הישראלי. כל מי שייגש לתכנים כאלה יסומן על ידי השלטונות, ותימנע ממנו גישה למשרות מסוימות, למכרזים מסוימים, לסיווג בטחוני, ובעתיד אפילו לדברים אחרים. דוגמה אחרת יכולה להיות שכל מי שיסומן בהפגנות נגד השחיתות (בין אם יעצר או פשוט יזוהה באמצעי זיהוי פנים בצילומים משם) – תחסם ממנו הגישה לרשתות חברתיות בשעות מסוימות או ביום שלפני הפגנה גדולה. ככה זה עובד בסין, פחות או יותר, ואתם יודעים מה אומרים על מיליארד סינים, נכון? הם לא תוהים. הם מצייתים.

החופש שהרשת מספקת לנו – או, אם נדייק,האשליה של החופש שהרשת מספרת לנו – הוא נדבך חשוב בחיים במדינה חופשית ודמוקרטית. מה שאנחנו שוכחים לפעמים זה שהחופש הזה ניתן לנו בזכות, ושהמדינה יכולה להחליט מחר להושיב ארגון בטחוני על השסתום ולמנוע מאיתנו גישה לתכנים מסוימים, לעוות את המציאות כך שנראה רק את מה שהיא מבקשת שנראה, ולעקוב אחרי הפעילות של כל אחד ואחת מאיתנו בצורה קריפית הדורסת את הפרטיות שלנו, ובעצם עשויה לשנות את הדרך שבה נצרוך את המשאב הזה. המחר הזה כבר איתנו לא מעט שנים, מסתבר.

סטטוסים משנות התשעים

עד כאן הבשורות הרעות, ואסור להקל ראש בעניין הזה. אבל מכיוון שאנחנו חיים בקולחוז טכנולוגי, בואו ננסה להפריד בין מה שהמשטרה *מבקשת* לעשות, לבין מה שהיא *יכולה* לעשות עם המערכת הזו. 

הרבה קרה בעולם מאז ישבו המוחות העצומים במשטרת ישראל ותכננו מערכת ניטור והתערבות במידע מסוג זה. דרך היישום של הניטור מתבססת על DNS, קרי, כל מי ש*מבקש* לגלוש לאתר מסוים, יועבר דרך שרתי המשטרה (עוד על מה זה DNS אפשר לקרוא כאן). אבל איך יודעים מי מבקש? מי ששואל את ספקית הרשת שלו לספק לו את כתובת ה-IP של שרת היעד. אז הדבר הראשון שיש לעשות זה להחליף את שרת ה-DNS בו אתם משתמשים למשהו אחר. ידידינו החביב רן בר-זיק כתב מדריך מצוין לעשות בדיוק את זה, ואם בטעות ובמקרה אתם עדיין משתמשים בשרת ה-DNS של ספקית הרשת שלכם, לכו ושנו זאת עכשיו. אנחנו נחכה.

גרפיטי של 8.8.8.8, ה-DNS החלופי שגוגל מספקים 🖼️ kaan sezyum
גרפיטי בטורקיה של 8.8.8.8, ה-DNS החלופי שגוגל מספקים 🖼️ kaan sezyum

חזרתם? טכנולוגיה חדשה (יחסית) שתמנע את התועלת במערכת החדשה נקראת DNSSEC, שכפי ששמה רומז, היא פשוט מערכת DNS מאובטח ומוצפן, מה שלא יאפשר לספקיות (או לכל מי שעומד בדרך) לדעת לאן אנחנו גולשים. האימוץ שלה ברחבי העולם עולה מדי שנה, ובעוד זמן לא רב בכלל היא תחליף את הטכנולוגיה המיושנת העומדת בבסיס מערכת הריגול המשטרתית הישראלית.

טכנולוגיה נוספת היא HTTP/2, שבניגוד לקודמתה מאפשרת להצפין לא רק את התוכן של התקשורת (כמו היום עם שימוש ב-HTTPS), אלא גם את ה-headers הכוללים את שם שרת היעד. נכון לדצמבר 2020, האימוץ של הטכנולוגיה הזו עומד על כמעט חצי (49.7%) מכלל האתרים ברשת, והנתון הזה רק עולה מדי חודש.

אבל גם אם אנחנו לא סומכים על הטכנולוגיות האלה (מכיוון שהן בשליטת היעדים שאליהם אנחנו פונים, ולא בשליטתנו), אפשר ומומלץ להשתמש ב-VPN. כתבתי בעבר על מה זה VPN, ובניגוד להרבה דברים אחרים, זה כן משהו שהייתי שוקל לשלם עליו, וזה מה שאני עושה. על ידי שימוש ב-VPN למשטרה, לפושעים, ולגופים אחרים, יהיה קשה משמעותית לנטר את פעולותינו ברשת. לא בלתי אפשרי, אבל יקר משמעותית. עוד חשוב לציין ש-VPN הוא לא פתרון אנונימיות, וחשוב להבין מה הוא מספק ומה הוא לא מספק לפני שהולכים לחטוף איזו תנומה על זרי הדפנה. צריך גם להיזהר מספקי VPN שמוסרים, מוכרים או דולפים את המידע שלנו לכל מיני גופים מפוקפקים כמו משטרת ישראל.

<חסות>

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו.

אם תיכנסו ל
כאן, או לכתובת המקוצרת Podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.

<\חסות>

לסיכום, משטרת ישראל מכריחה את ספקי הרשת הישראלים להתקין מערכת שפוגעת בנו, באזרחים, ועושה את זה במחשכים. את השאלות החוקיות של הפעלת המערכת אשאיר למשפטנים ממני, אבל את תחושת חוסר הנוחות – כולנו מרגישים. בצד הנעים יותר – המערכת הזו מיושנת, עם יעילות מאוד מוטלת בספק, וניתן לעקוף אותה בקלות ותוך דקות ספורות.

כמה עולה לנו מערכת מטופשת ומיותרת כל כך? מי האדם בעל ההבנה הטכנית הלקויה אשר הציע אותה, ומי האדם בעל ההבנה הטכנית הלקויה עוד יותר אשר אימץ אותה כסטנדרט במדינת היהודים? נמשיך לעקוב. כי באמת רטוב בחוץ, אבל אל תאמינו לחלונאי שאומר לכם שזה גשם.

תגובת המשטרה לחשיפת “הארץ” וסייברסייבר

הפריצה לשירביט: טרור!!1! הפירצה”ל: *צרצרים*

בניגוד לפרשת שירביט, האייטם הזה לא יגיע לראש החדשות. לא תראו פולואפים מאמצעי תקשורת, דיונים באולפנים או לחץ והיסטריה.

מה קרה: כל גורם שהוא היה יכול להוריד בנחת את הרשימה של כל חיילי צה”ל – בסדיר, בקבע ובמילואים, עם מספרי הזהות שלהם ושמותיהם המלאים, וגם גישה לדיווחי הקורונה שלהם.אני מכיר לא מעט גופים שהיו משלמים על הפירצה הזאת כסף טוב. אפילו רק כדי להביך את ישראל.

למה דליפת המידע הזו, של מאות אלפי פרטי חיילים, לא תגיע לראש החדשות? כי מי שדיווח עליה זו לא קבוצת האקרים אלמונית בטלגרם, אלא אנחנו: נעם רותם, עודד ירון, עידוק ואני, עבדכם הנאמן. אז לא תראו פה מחול שדים תקשורתי של איומים של חשיפה או נזק תדמיתי. רק אייטם פשוט.

האייטם הזה לא שונה מהותית מאייטמים רבים אחרים שאני ואחרים כתבנו וחשפנו וזכו למעט התייחסות מהמדינה. הצבא לפחות תיקן במהירות. גופים אחרים לא עושים את זה. ומי שגילה, אגב, זה לא אני, זה חייל רגיל, שלא משרת ביחידה טכנולוגית כלל וחייב להיות אנונימי כי על גילויים כאלו נכנסים לכלא.

למצולמים אין קשר לכתבה, אבל אולי פרטיהם נחשפו בפירצה 🖼️ david_kochman cc-by-nc-nd

אני, נעם ואחרים שחושפים פירצות סייברסייבר יכולים לספר על יחס מזעזע שאנו מקבלים מהנחשפים. אולי עכשיו, בעקבות השיטסטורם של שירביט, היחס ישתנה. בפרשה הזו, מי שחשף אותה יכול להענש בשלילת חירות. וזה? זה טיפה מפוצץ לי את הראש. אגב, הוא ניסה לדווח, אבל אין במערכת הצבאית מקום לדווח.

כרגיל בפרצות האלו, מדובר בפרצה מטופשת, שמעידה על פיתוח בעייתי, וכל מפתח עם שעתיים נסיון היה עולה עליה. ממשק רגיל, עם API פתוח, על שרת לא צה”לי ולא מוגן. כל מה שתוקף היה צריך לעשות זה לרוץ עליו. איך סקריפט התקיפה נראה? כמו בתמונה המצורפת. אבל נעבור לסדר היום, כי מה כבר קרה?

קוד להורדת רשימת חיילי צה"ל מיישומון הצב"ר הצה"לי
קוד להורדת רשימת חיילי צה”ל מיישומון הצב”ר הצה”לי

מבקר המדינה לא יתערב, רשות הפרטיות תמשיך לנמנם, ועדות הכנסת לא יעסקו בנושא, מהדורות החדשות ידווחו על עוד נופש בדובאי. אתם תקבלו עוד סמס פישינג ולא תבינו למה. הכל טוב. ואני כבר מתחיל להתעייף מזה. יש המוני מקרים ואין מי שיטפל בזה. הכוח שלי והזמן שלי ושל אחרים מוגבל 😔


שירביט שידרגו את האבטחה לשיר256ביט 🚨🚨🚨🚔👮

אומת הרשת נתנה עבודה בפרשת הסייברפריצה לסוכנות הביטוח שירביט. הנה כמה מהבדיחות שאהבתי. מוזמנים לשלוח עוד בשלל אמצעי ההתקשרות שמופיעים באתר, או להזעיק את משטרת בדיחות האבא.

אביב מזרחי
אביב מזרחי
בדיחת שירביט. יוצר לא ידוע
יוצר לא ידוע
בדיחת שירביט. יוצר לא ידוע
יוצר לא ידוע
דן גורן, BezimSheli1984
דור צח
מיינה
רשף שי
גידי גורן
תומר שרון
שגיא בן צדף
דין לנגזם
השרה לענייני צילום חתולים
Image
רם גלבוע
Image
שלומי פרץ
בדיחת שירביט - רן לוקאר והראל דן
רן לוקאר והראל דן
בדיחת שירביט - יאיר קיבייקו
יאיר קיבייקו
רן בר-זיק
וכמה מהתגובות לבר-זיק
ואני
משטרת בדיחות האבא
כולכם עצורים. עלו לניידת!

טרור? אנטישמיות? שירביט היא כולה עוד פריצה ברשת הישראלית המחוררת

בימים האחרונים נחשפת פעולת סחיטה מעניינת של חברת הביטוח “שירביט” על ידי קבוצת האקרים המכנה את עצמה “בלאק שאדו”. מכיוון שהמון מומחים בעיני עצמם החליטו לשתף את הציבור בדעתם, חשבתי לעצמי – היי, גם אני מומחה בעיני עצמי, אולי גם אני אשתף את הציבור בדעתי! אז הנה השנקל שלי על מה שמתרחש, שאולי יתנגש מעט עם חלק מהתזות שנזרקות באוויר על ידי אחרים.

זה לא טרור

אז אמ;לק: תפסיקו לקרוא לכל דבר “טרור”, זה מביך. בתור אדם שמכיר בצורה אינטימית עד כדי חוסר נוחות את מצב האבטחה ברשת הישראלית, המידע שנחשף על ידי “הצללים השחור” הוא לא יוצא דופן או רגיש במיוחד. לו ארגון טרור היה רוצה לעשות “פיגוע תודעתי” כמו שאוהבים כל מיני יוצאי ארגונים אפלים לכנות את זה, אני יכול לחשוב על לפחות עשר מטרות טובות יותר, פתוחות יותר, קלות יותר, ועם השלכות קשות יותר על החברה הישראלית, מאשר חברת ביטוח אחת. כשכל תעשיית הסייבר הישראלית מבוססת על יוצאי ארגונים ממשלתיים אפלים כאלה, כל נפיחה מצטיירת כמו פיגוע טרנס-גלקטי, כי זה פשוט הדבר היחיד שהם מכירים. 

בשנים האחרונות מצאתי אני, יחד עם כמה מידידי הטובים, מאות מערכות ישראליות פתוחות, חלקן ממשלתיות,  חלקן שייכות לגופים גדולים משמעותית מ”שירביט”, ועדיין הארץ שקטה. למה? כי פשוט סיפרנו להם על הבעיה כדי שיוכלו להמשיך ולטאטא אותה מתחת לשטיח. *כל* ההבדל עכשיו הוא שמי שמצא את המערכת ניחן בחוש עסקי מפותח יותר ובמקום לקוות לאיזה בורקס כאות תודה מהחברות הפרוצות, שלא מגיע אף פעם, אגב, החליטו לנקוט עמדה נחושה יותר ולדרוש תשלום עבור הרשלנות הזו. זה הכל.

סאטושי הם לא יראו ממני 🖼️ פרסומת של שירביט

כאשר מצאנו את עצמנו במערכות של חברות גדולות יותר מ”שירביט” יכולנו לעשות בדיוק את אותו הדבר, אבל בחרנו לדווח. כאשר מצאנו את עצמו במערכת של שירות בתי הסוהר עם מידע אישי ורגיש על אלפי עובדים ביטחוניים, יכול לעשות את אותו הדבר, אבל בחרנו לדווח. כאשר מצאנו את עצמנו במערכות רפואיות רגישות מאוד – בחרנו לדווח. כאשר מצאנו את עצמו במערכות של משרדי ממשלה – בחרנו לדווח. כאשר מצאנו את עצמו במערכות פיננסיות מכובדות – בחרנו לדווח. 

ואלה באמת לא פרצות שדורשות תחכום מיוחד, אלא היכרות בסיסית עם דרכי הפעולה של אנשי פיתוח ותפעול עצלנים. “יצאה גרסה חדשה? אבל היום יום שלישי וסוף השבוע ממש מתקרב, נדחה את העדכון למתישהו אחר”, “להקליד סיסמה מסובכת כל פעם שאני רוצה להיכנס למערכת? מה אני, איכר? 1234 זה קל ונעים”, וכן הלאה. במקרה של “שירביט” רשימת הכשלים ארוכה ומביכה, החל משרת VPN עם חולשות ידועות בנות כשנתיים שלא עודכן כי תירוצים, גרסת שרת דוא”ל לא מעודכנת, המשך בטביעת רשת גדולה משמעותית מהנדרש, כולל חשיפה של שרתי פיתוח ובדיקות לרשת הציבורית, ניהול גיבויים לא נכון, והרשימה עוד ארוכה. הם לא יוצאי דופן, הם פשוט נתפסו הפעם עם הסנדלים על האוזניים, כי סייברסייבר זו בעיה רק כשהיא הופכת לבעיה. עד אז תנו לגאון הצעיר משמונה גרביים משכורת מנופחת כי הוא זורק ביטויים אניגמטיים כמו “פרוקסי” לאוויר, ואף אחד לא רוצה להתווכח כדי לא להצטייר כלא מבין בסייברסייבר, חלילה.

משא ומתן בקולחוז

וזה מוביל אותנו לעניין הבא: ניהול המו”מ עם הפורצים. קהילת הסייברסייבר רוחשת ובוטשת עם שלל דעות אם צריך לנהל מו”מ או לא צריך לנהל מו”מ כאילו אנחנו בקולחוז, וכאילו מדובר באירוע בודד שיש להסכים על דרך הטיפול בו לטובת הכלל. זו אכן ראיית עולם קסומה ומכובדת, אך למרבה הצער היא לא מאוד מחוברת למציאות. המקרה הזה הוא מקרה זניח יחסית (עם כל הכבוד לעוסקים בדבר, ויש כבוד, לחלקם). הפורצים יודעים את זה, ולכן לא מתכופפים סנטימטר.

העניין כאן הוא לא “שירביט”, אלא הארגון הבא בתור שרואה את הסצנה המביכה הזו ומצקצק. כשתיגמר הסאגה הזו עם המידע של כולנו בחוץ ועם השלכות קשות על המשך קיומה של חברת הביטוח הישראלית, מנהל הארגון הבא בתור (שכבר מוכן במגירה) ישלם כמו כבש מנומס כי הוא לא רוצה להיות במצב של “שירביט”. ככה מנהלים מודל כלכלי איתן, והאמירות המגוחכות של “זה טרור כי הם לא רוצים באמת כסף” מצביעות על חוסר הבנה בסיסי מאוד של התעשייה הזו, ולמרבה הצער והאימה – אלה האנשים שמקבלים כסף, והרבה ממנו, כדי לנהל אירועים מסוג זה.

וגם לא התקנת עדכוני אבטחה 🖼️ פרסומת של שירביט
וגם לא התקנת עדכוני אבטחה 🖼️ פרסומת של שירביט

אירוע הסחיטה הבא כבר מוכן. זה לא טרור, וזו לא עוגת בננות, זו סחיטה ישנה וטובה. עושה רושם שהפריצה ל”שירביט” החלה כבר לפני מספר חודשים, ונכון להניח שזה לא רק שם. הדרך בה מתנהלים הסוחטים היא בדיוק הדרך בה הם צריכים להתנהל בהתאם למודל שאנחנו מכירים היטב ממדינות אחרות.

העובדה שבארץ עדיין לא היה אירוע ציבורי בקנה מידה כזה היא קוריוז, ועדיין אין בו שום דבר מיוחד לעומת עשרות ומאות מקרים דומים ברחבי העולם. יש פירצה, אם בשל רשלנות של הארגון הנפרץ או בשל מיומנות מיוחדת של הארגון הפורץ, ומכאן הדברים מתנהלים. אם הפורצים יתכופפו – הם מאותתים שיש פה ברירה. אם לא יתכופפו – אולי לא יקבלו כסף הפעם, אבל הפעם הבאה תהיה קלה יותר משמעותית. זו אסטרטגיה מוכרת, וניסיון לתלות עליה תיאוריות מופרכות שמתאימות לראיית העולם הביטחונית ממנה באים רבים מהמומחים הישראלים – מיותרת.

אז מה צריך לעשות

וכאן אנחנו מגיעים לשאלת מיליון הדולר, שכמו כל דבר מתחלקת לכמה חלקים: מדיניות, מדיניות, ומדיניות.

ראשית, יש להכיר בכך שלא מדובר באירוע בודד, וודאי וודאי לא באירוע חריג. כשמבינים את זה, יש לעצור רגע, ולהניח תשתית לאומית לטיפול במקרים כאלה. רק השנה *דווחו* יותר ממאתיים אירועי כופרה בישראל, וסביר להניח שבפועל היו הרבה יותר. אז נהדר ש”מערך הסייבר” מוציאים עלונים שמטרתם לחנך את הציבור (ברצינות, זה חשוב), אבל חסר פה נדבך משמעותי – והוא מדיניות מו”מ עם סחטנות כזו.

קל להשליך את ההחלטה על המנכ”ל האומלל של ארגון שכל המידע שלו נמצא בידיים של סחטנים, אבל זה רק יעודד מתקפות נוספות. חוק האוסר תשלום כופר, למשל, יניח תשתית אחרת למשא ומתן, ואולי ישכנע פורצים להתמקד במדינות אחרות, שם קל יותר להוציא כספים. המחיר לא יהיה פשוט, אבל שוב – מי שרוצה את המידע שלנו – יקח אותו, זה באמת לא מסובך. מי שרוצה לעשות ממנו כסף בדרכים נכלוליות – זה כבר סיפור אחר, ובזה אפשר לטפל.

באג באתר הסלולרי של שירביט 🖼️ פרסומת של שירביט
באג באתר הסלולרי של שירביט 🖼️ פרסומת של שירביט

דבר נוסף שמומלץ מאוד לכל ארגון לעשות – הוא להגדיר מדיניות ניהול אירועים כאלה. ארגון שיש לו תוכנית מגירה למה לעשות ביום שמתקבלת דרישה כזו – לא ייתפס עם חותלות ורודות ושירים של “טקטרוניקס” ברקע. תכנית כזו תקיף גיבויים (ושיוריות בכלל), עדכון גרסאות, בדיקות חדירה רבעוניות לכל הפחות, קווי מתאר לניהול מו”מ, ועוד רשימה ארוכה של דברים שיש לעשות כדי להיות מוכנים ליום שבו מתקבלת הודעה כזו. זה לא דבר יקר, אבל זה דבר נחוץ, וזה תהליך שחייב להיות מובל על ידי המנכ”ל ושחשיבותו תהיה ברורה לכל עובדי החברה.

אגב, כחלק ממדיניות ארגונית כזו אפשר להקים גם תכניות “באונטי” שיאפשרו לחוקרי אבטחה מנומסים לדווח על פרצות ולקבל תמורתן כמה שקלים. זה עובד בכל העולם, ואין שום סיבה שזה לא יעבוד גם אצלנו. כרגע אני מודע לתכנית באונטי רק בחברה ישראלית אחת, וזה חבל.

דבר אחרון

יחד עם ידידי אנחנו נתקלים בשלל תגובות מהארגונים להם אנחנו מאסגרים את הפרצות שאנחנו מגלים, החל מהתעלמות טוטאלית (וסגירה של החור בשקט, כאילו לא היה שם מעולם) ועד איומים בתביעות, במשטרה, ובעירוב שב”כ שיקח אותנו למרתפיו. זו לא הדרך, כי אם ככה מתייחסים לאנשים עם כוונות טובות, אין פלא שבסוף באים צללים שחורים.

 אחותי, בטלי גם את כרטיס האשראי שלך 🖼️ פרסומת של שירביט
בטלי גם את כרטיס האשראי שלך 🖼️ פרסומת של שירביט

בתקופה האחרונה, בעקבות מספר מקרים מאכזבים מאוד בטיפול הלקוי מצד הארגון הדולף וביחס לו זכיתי, פשוט הפסקתי לדווח כמעט לחלוטין, למרות שהרשימות עדיין ארוכות מאוד. בעקבות דליפות מידע משמעותיות מאוד כמו זו של מערכת ה”אלקטור” – שלא קרה איתן כלום – הבנתי שאין פה באמת רצון לתקן, אלא יש בעיקר רצון לטאטא את הבעיות מתחת לשטיח. הפצעתם של “הצללים השחורים” היא פועל יוצא של המדיניות הזו, כי כאמור – מה שלא לומדים בכח, לומדים בהרבה יותר כח.

ישראל לא ממציאה פה כלום, ופרט ללצווח “טרור” או “אנטישמיות” בכל פעם שקורה פה משהו לא נעים שקורה בכל יום בכל מקום אחר בעולם, זה מעבר למביך. בראייה מפוכחת יש להודות שהעובדה שאירוע ציבורי כזה קורה רק עכשיו ולא קודם היא ברכה, ושצריך לצפות לעוד הרבה כאלה. כאמור, מהיכרות אינטימית עם הרשת הישראלית – ארגון פשיעה עם מספיק עזוז יכול לעשות פה מיליארדים, והפוקוס שמקבל האירוע ב”שירביט” רק יקדם את הנושא. לכשעצמי, אני שוקל ברצינות השקעה בתעשיית הפופקורן, כי הולך להיות מעניין מאוד.

הודעת ההשבתה באתר שירביט

עיתונאי פלש לווידאוצ’ט של שרי ההגנה של אירופה אחרי שהשרה ההולנדית חשפה את הסיסמה בטוויטר

מאז שמגיפת הקורונה שינתה את חיינו, צילומסכים של קוביות עם פרצופים הפכו לחלק מהשפה החזותית שלנו, בין אם מדובר בזום עם חברים או בוובקס עם העמיתים לעבודה. שרת ההגנה ההולנדית, אנק ביילפלד (Ank Bijleveld), צייצה ביום שישי צילומסך של שיחת וידאו שבה השתתפה, במסגרת פגישת שרי ההגנה האירופים במועצת יחסי החוץ של האיחוד האירופי. זמן קצר לאחר מכן התחרטה ומחקה את התמונה, אבל זה כבר היה מאוחר מדי: איש זר פלש לווידאוצ’ט והביא לפיצוץ הפגישה.

אותו פולש אכזר הוא העיתונאי ההולנדי דניאל ורלאן (Daniël Verlaan) מ-RTL Nieuws. הוא קיבל טיפ אנונימי שהתמונה שהעלתה ביילפלד מכילה ב-URL (כתובת האתר) שם משתמש ו-5 מתוך 6 ספרות של הפינקוד הנדרש לכניסה לשיחה. ורלאן ניסה כמה מספרים עד שהגיע לפינקוד הנכון.

בשלב הזה צריך היה להיות אמצעי הגנה נוסף, שעליו התחייבו מנהלי השיחה בהודעה מוקדמת למשתתפים. אבל ורלאן לא נתקל בשום הגנה כזאת – הוא נכנס ישר לשיחה, נופף לשלום לשרי ההגנה המופתעים והצוחקים, הציג את עצמו וניהל שיחה קצרה עם הנציג העליון של האיחוד לענייני חוץ ומדיניות ביטחון, ג’וזפ בורל. זה צחק במבוכה ושאל את ורלאן אם הוא מודע לכך שזו עבירה פלילית, ואז ביקש ממנו לעזוב את השיחה במהירות, לפני שהמשטרה תגיע.

ביילפלד, כאמור, מחקה את הציוץ. דובר מטעם משרד ההגנה ההולנדי מסר ל-RTL כי “עובד צייץ בטעות תמונה עם חלק מהפינקוד. התמונה נמחקה לאחר מכן. טעות טפשית. זה מראה לך כמה צריך להיות זהירים כששולחים תמונה מפגישה”. אפילו ראש הממשלה מארק רוטה התייחס לדברים ואמר: “התוצאה היחידה של זה היא שביילפלד הראתה לשרים האחרים כמה צריך להיזהר”.

במועצה אמרו ששום מידע סודי לא נידון בישיבה (בפוליטיקו דיווחו שעלה לדיון מסמך מסווג על הסכנות שעומדות בפני האיחוד האירופי, שישמש בסיס לאסטרטגיית הגנה עתידית של האיחוד האירופי). עוד אמרו במועצה כי יגישו תלונה לרשויות.

הצילומסך שצייצה אנק ביילפלד. RTL Nieuws הסתירו את פרטי ההתקשרות 🖼️ ורלאן
הצילומסך שצייצה אנק ביילפלד. RTL Nieuws הסתירו את שם המשתמש והסיסמה 🖼️ ורלאן

ורלאן סיכם:

> כעיתונאי, אתה צריך להביא ראיות חותכות אחרת ישקרו לך (‘לא, יש אמצעי הגנה נוספים, לא יתנו לך גישה’)
> הם מעדיפים לפגוע בעיתונאי מאשר לתקן את החרא שלהם

דניאל ורלאן בטוויטר, 20.11.2020

התפרסם במקור בגירסה שונה בפינה “האחראי על האינטרנט” בגלצ


חוקרים גילו עוד דרך להוציא מידע מהיסטוריית הגלישה. כך נתגונן

היסטוריית הגלישה שלנו מספרת עלינו סיפור. הסיפור הזה זמין לספקי תקשורת, שרתי אינטרנט ושאר גורמים שיש להם גישה, גלויה או סמויה, לגיטימית או עבריינית, להיסטוריה שלנו. לאחרונה, חוקרים ממוזילה הציגו דרך ל”חיבור זהויות משתמש” – קישור בין היסטוריות גלישה נפרדות, גם אם עברו אנונימיזציה והפרטים המזהים הוסרו מהן.

מאחר שהאינטרנט שזורה ביומיום שלנו, היסטוריית הגלישה יכולה לעזור לגלות מי אנחנו, איפה אנחנו גרים, איזו שפה אנחנו דוברים, מה העבודה שלנו, מה התחביבים שלנו, מה אנחנו מחפשים במנועי חיפוש, מה אנחנו עושים ברשתות חברתיות, מאילו מסעדות אנחנו מזמינים, איזה סוג של פורנו אנחנו לא רואים כי אנחנו אנשים מוסריים ועוד. הדפדפן שלנו משמש כחוקר פרטי שעוקב אחרינו כל היום: הוא לא בהכרח יודע מה עשינו בתוך הבניין שהגענו אליו, אבל השלט בכניסה, “מכון לטיפול בהתמכרות לאלכוהול וסמים”, יכול לתת לו מושג כללי.

אייפון עוגיפלצת 🖼️ Poster Boy cc-by
אייפון עוגיפלצת 🖼️ Poster Boy cc-by

חוקרים במוזילה, מפתחת הדפדפן פיירפוקס, ביצעו מחקר שבו ניסו לזהות משתמשים על פי הרגלי הגלישה שלהם. הם אספו היסטוריית גלישה בת שבועיים של משתמשים שנתנו הסכמה. כנהוג בניסויים מסוג זה, השבוע הראשון שימש ללימוד, והשבוע השני שימש לניבוי – כלומר לנסות לשייך היסטוריית גלישה של משתמש בשבוע השני, למשתמש שנלמד בשבוע הראשון. היסטוריית הגלישה נוקתה, כמובן, מסממנים מזהים, כולל שמות משתמש בטקסט גלוי ומזהי משתמש מגובבים.

החוקרים הצליחו להתאים בין היסטוריית הגלישה בשבוע השני לגולש בשבוע הראשון ב-50% הצלחה כאשר השתמשו בהיסטוריה של 50 אתרים, וב-80% כאשר העלו את מספר האתרים ל-150.

מי צריך את זה? (תעשיית הפרסום)

“חיבור זהויות משתמש” הוא אחד האתגרים העומדים בפני תעשיית ה-AdTech (טכנולוגיית הפירסום). זיהוי המשתמש מבוסס על קוקית (cookie) המאוחסנת בכל דפדפן בנפרד, ונשלחת לשרתי חברת הפרסום בכל פעם שהמשתמש טוען דף שבו הטכנולוגיה של החברה מותקנת. הדבר מאפשר לחברה ליצור היסטוריית גלישה לכל פרופיל משתמש.

כאשר המשתמש שלנו, יוסי, פותח את הטלפון שלו בבוקר, ונכנס לאתר החדשות האהוב עליו כדי לקרוא כמה אנשים נדבקו היום בקורונה, הדף של אתר החדשות טוען המלצות תוכן מחברת המלצות התוכן המובחרת Fatoosh. הטעינה הזאת תשלח לחברה את הקוקית של הדפדפן בטלפון של יוסי – מחרוזת התווים 4ebd7c47db. פאטוש שומרת אצלה קישור בין משתמש 4ebd7c47db לדף ספירת הקורונה באתר טמקא. מיד אחר כך יוסי רוצה להתעדכן בשער מניית חברת ״צבע״ באתר הטוש.קום, וגם הקישור הזה נשמר אצל פאטוש עבור המשתמש 4ebd7c47db.

אחר כך מתיישב יוסי במשרד הביתי שבסלון שלו, פותח את המחשב ומתעדכן במרוץ אחר חיסון לקורונה באתר ״רפואה שלמה״. אבל עכשיו הוא משתמש בדפדפן של המחשב, אז הקוקית שלו שונה – c4846013d0. כתוצאה מכך, יווצר אצל חברת פאטוש קישור בין c4846013d0 לאתר ״רפואה שלמה״. אחרי כמה דקות עבודה, יוסי ירצה להתעדכן שוב במניין החולים, דרך טמקא, מה שייצר קישור גם בין c4846013d0 לדף המדובר.

התוצאה היא שיוסי מזוהה אצל פאטוש כשני פרופילים שונים – 4ebd7c47db מהטלפון ו-c4846013d0 מהמחשב – ולפאטוש אין דרך לדעת שמדובר באותו יוסי.

המחקר של מוזילה מדגים דרך לחבר בין זהויות כאלה ולתייג אותן כאותו אדם. כך תוכל פאטוש לרדוף בצורה טובה יותר אחרי יוסי בין מכשירים, ולהציג לו ״פרסומות שיעניינו אותו יותר״, כלומר יגרמו לו לפתוח את הארנק מהר יותר, או לכל הפחות יגדילו את הסיכוי שיקליק עליהן.

איך מתגוננים?

בפני המתגלצ’ים זמינות מספר דרכים להתגוננות מפני ההשלכות של המחקר הזה. כדאי להכיר אותן ואת חסרונותיהן:

מחסלים את מפלצת הקוקיות 🖼️ James H. cc-by-sa
מחסלים את מפלצת הקוקיות 🖼️ James H. cc-by-sa
  • גלישה במוד אנונימי (Incognito בדפדפן כרום, Private Mode בפיירפוקס וספארי): גלישה כזו אמנם תגן על הזהות שלנו, אבל תהיה מציקה במיוחד ותדרוש הזדהות מחדש מול כל השירותים בכל פתיחת חלון חדש של הדפדפן.
  • שימוש בחוסם פרסומות: רוב חוסמי הפרסומות חוסמים גם טכנולוגיות מעקב; הבעיה היא שהם עצמם חשופים לכל תוכן הגלישה שלנו, שעלול להימכר או לדלוף. בנוסף, יש חוסמי פרסומות שתמורת תשלום יכניסו חברות לרשימה הלבנה שלהם, ויאפשרו להן לעקוב אחרינו.
  • גלישה ב-VPN: יש הסבורים, בטעות, ששימוש ב-VPN שמסתיר את כתובת ה-IP שלהם יעזור להם לשמור על אנונימיות. על אף היתרונות הרבים של VPN, המחקר הזה מראה שגם אם מתעלמים לחלוטין מכתובת ה-IP של המשתמש עדיין ניתן לזהות אותו.
  • דפדפן מגן פרטיות: שימוש בדפדפן שמציע כלים להגנה על הפרטיות שלנו, כמו פיירפוקס של מוזילה! (או ספארי, או אדג’, או Brave). הדפדפן חוסם כברירת מחדל קוקיות צד ג’ (3rd party cookies), כאלו שלא שייכות לאתר שבו מבקרים כרגע, ומאפשר חסימה בקליק של טכנולוגיות מעקב. חסימה של קוקיות צד ג’ תמנע מחברת פאטוש לשים את הקוקית שלה בדפדפן של יוסי כשהוא גולש באתר טמקא. חסימה של טכנולוגיות מעקב תמנע כליל את טעינת הסקריפט שמציג את ההמלצות של פאטוש. כרום, הדפדפן הפופולרי בעולם, התחיל לחסום קוקיות צד ג’ בינואר השנה, אבל נותן למפרסמים ולעוקבים תקופת הסתגלות של שנתיים.

רן לוקאר הוא דאטה סיינטיסט בחברת פייפאל וחוקר אבטחה ופרטיות חובב. הפוסט על דעתו של הכותב בלבד, ואינו מייצג את המעסיק שלו

עוד על אמצעי התגוננות מפני פגיעה בפרטית – בפרק קריפטופארטי של סייברסייבר:


הסייברפרטיזנים נגד נשיא בלארוס

אלכסנדר לוקשנקו, נשיא בלארוס, מכונה “הדיקטטור האחרון באירופה” (בניכוי פוטין, אני מניח). הוא משמש כנשיא כבר יותר מרבע מאה, כשמתנגדיו טוענים שהוא ניצח באופן דמוקרטי רק בראשונה מבין 6 מערכות הבחירות שבהן זכה, האחרונה שבהן ב-9 באוגוסט השנה. כשהכריז על נצחונו הסוחף עם מעל 80% מהקולות, המחאה התפרצה. בתגובה, לוקשנקו סגר להם את האינטרנט.

האינטרנט משמשת אזרחים לבקר את השלטון ולארגן מחאות נגדו. חסימת האינטרנט נשלפת תכופות מארגז הכלים של השתקת מחאה. הודו רשמה בתחילת השנה שיא מפוקפק של חסימת האינטרנט הארוכה ביותר בתולדותיה הקצרים של הרשת – כחצי שנה – במטרה למנוע מחאה על ביטול המעמד המיוחד של חבל ג’אמו וקשמיר.

ואם הדמוקרטיה הגדולה בעולם חוסמת את הרשת כדי לסתום פיות, הרי ששלטונו של לוקשנקו אפילו לא מצמץ כשכיבה את האינטרנט ל-72 שעות – או כמו שהשלטון מתאר זאת, התקפת סייבר חיצונית/מתקפת DDoS.

שוטרים מפנים מפגין 🖼️  Clker-Free-Vector-Images
שוטרים מפנים מפגין 🖼️ Clker-Free-Vector-Images

באופן טבעי, המוחים פנו ל-VPN, כלי לגלישה מוגנת ומוסתרת, שמשמש לעקיפת גאוחסימה ושאר חסימות. יישומוני ה-VPN כבשו את ארבעת המקומות הראשונים בפופולריות בגוגל סטור באותו יום – וזה רק ממי שהצליח להיכנס אליה, משום שלפי דיווח של טניה לוקשינה מארגון זכויות האדם Human Rights Watch, “נראה שהממשלה חוסמת את חנויות אפל וגוגל”.

המוחים לא התייאשו ופנו אופליינה: “היית רואה אנשים במעלית פשוט משאירים החסני USB עם קבצי גישה ל-VPN”, אמר לגיזמודו מקסימס מילטה מאוניברסיטת Belarusian European Humanities. אבל גם זה לא תמיד עזר, לפי לוקשינה: “רבים מאלו שיש להם גישה לכלי עקיפת צנזורה, כמו VPNים, מגלים שהטכנולוגיות הללו נחסמות גם כן“.

האופוזיציה, המצויידת בהאקרים, הכריזה על סייברמלחמה, מספר שלום בוגוסלבסקי, מדריך ומארגן סיורים וכותב ומרצה על ההיסטוריה והפוליטיקה של מזרח אירופה, שעוקב אחרי המחאה דרך הרשתות: “אחד הדברים שהכי עובדים עליהם זה לנסות למצוא כמה שיותר תצלומים של שוטרים אלימים ואנשים שמשתתפים בדיכוי המחאה. האזרחים מתבקשים לשים מצלמות מעקב, לתלוש מסכות משוטרים ולצלם אותם מכמה שיותר זוויות. יש ערוצי טלגרם שאליהם שולחים את זה ובוטים שאוספים את כל העניין הזה.

לוגו ה"קיבר-פרטיזני" (סייבר-פרטיזנים), האקרים מתנגדי שלטון לוקשנקו בבלארוס
לוגו ה”קיבר-פרטיזני” (סייבר-פרטיזנים), האקרים מתנגדי שלטון לוקשנקו בבלארוס

“בשבוע שעבר, מגזר ההייטק של בלארוס, שהוא מאוד נחשב ויחסית חזק והם עושים דברים די מרשימים, סוג של הצטרף באופן יותר ברור לאופוזיציה. ההייטקיסטים הבטיחו בעצם לזהות כל שוטר כזה, לפרסם את כל הפרטים האישיים שלו, הכתובת, מספר הטלפון, חשבונות ברשתות החברתיות וגם חומר מביך שהם ימצאו כשהם יפרצו למכשירים שלו. אני עוד לא ראיתי כ”כ חומר מביך אבל הרבה פרטים מתפרסמים. הם גם טוענים שהם הצליחו להשיג את רשימת כל השוטרים בבלארוס וכל הפרטים האישיים שלהם”.

בנוסף, האקרים המכנים את עצמם “הסייבר-פרטיזנים של בלארוס” פורצים לאתרי ממשל, מפילים אותם, שותלים בהם רושעות או משחיתים אותם עם לוגו הפרטיזנים וטקסטים נגד השלטון. היום הם הודיעו שיש עוד אתרים על הכוונת, ובהם אתר רשות המסים.

התפרסם במקור בגירסה שונה בפינה “האחראי על האינטרנט” בגלצ