תגית: פירצה

⏲️ איזה שעון בן ח*&#[email protected]! 🏭 שעוני הנוכחות של רנעד שלשלו מידע על מיקום, שעות עבודה ובעיות רפואיות של אלפי עובדים במאות חברות

“אין לי כוח” התנשף עידוק, מזיע כולו. “מה קרה?” שאלתי אותו ממקום מרבצי על הפופים של מפקדת סייברסייבר. “למה אתה מזיז שקי מלח ממקום למקום?”

“כי מישהו צריך לשלם על השרתים”, סינן עידוק, “אז אני עובד במכרות המלח כדי שלכם יהיה כסף לאלכוהול יקר ומאפים טעימים. אני סובל הכל בשבילכם. מזל, נגמרה המשמרת”. ואז עידוק עשה משהו מאוד מוזר: הוא לקח כרטיס והצמיד אותו למכונה מרובעת, שצפצפה בעליזות.

“מה זה?”, שאלתי.

“זה שעון נוכחות, פרחח הייטק יקר שלי. ככה המעביד במכרות המלח יודע שסיימתי לעבוד וכך הוא יוכל להשליש לידי כמה מעות”. ענה עידוק וקרס על הפוף, מזהם אותם בזיעה מעורבת במלח.

שעון הנוכחות, אותו שריד קדמוני למכרות מלח ולמשרדים של המאה ה-20, נובע מדרישות החוק הישראלי ממעסיקים להחזיק תיעוד אמין של שעות העבודה של המועסקים. ברוב חברות ההייטק כבר לא משתמשים בשריד הארכיאולוגי, כיוון שאם אתה לא סומך על העובדים שלך שיעבדו בדיוק 8.75 שעות ביום, איך תוכל להפקיד בידיהם את סודות החברה שלך ומערכות של מיליונים? אבל באקלים הישראליאנה המקומי, שעון נוכחות הוא עדיין מראה נפוץ. אחרת איך המעביד ידע שעידוק לא מתבטל על הפופים במקום להעביר שק מלח מהמכרה אל המשאית?

פתאום נפתחה דלת המטבח, ריח מאפים נעימים התפשט בחלל האוויר ונעם רותם הגיח: “אם כבר העליתם את הנושא”, אמר תוך כדי לעיסת מאפה פציח, “הידעתם שיש מאות חברות ישראליות שמשתמשות במערכת חיצונית של חברת רנעד כדי לנטר את שעות העבודה של העובדים?”

לקוחות של רנעד 🖼️ ranad.co.il
לקוחות של רנעד 🖼️ ranad.co.il

“רגע”, אמרתי, “אז יש חברה ישראלית שיש לה גישה לנתונים של אלפי עובדים, כולל חברות מובילות ממש כמו מכרות מלח מגובשים בע”מ, כשהמידע הזה כולל גם את המיקום ושעות העבודה שלהם?”

“ברור” ענה נעם בחיוך עליז, “אבל אל דאגה! כתוב באתר החברה שעובדים בה 15 מפתחים והיא שמה ב’ראש מעייניה’ (מרכאות במקור) את נושא ההובלה בתחום הפיתוח!”

עמוד על אודות רנעד 🖼️ ranad.co.il
עמוד על אודות רנעד 🖼️ ranad.co.il

“אבל אין בלינקדאין אף מתכנת שמזוהה כעובד שם!”, זעקתי, “והאתר שלהם בכלל לא ב-https!”

אתר רנעד לא מאובטח 🖼️ ranad.co.il
אתר רנעד לא מאובטח 🖼️ ranad.co.il

“שום דבר לא יכול להשתבש פה”, פיזם נעם בעליצות בעודו מנקה פירורי פחמימות מזקנו באמצעות מברשת זקן מוזהבת.

“צריך להקליט עוד פרק?”, רטן עידוק בעייפות.

“תן לי להכין את כלי הפריצה שלי”, אמר נעם, והתחיל לסובב את הידית שטוענת את הגנרטור שמפעיל את הדפדפן.

ואכן, בסריקה מהירה התגלה שכל המכשירים והמערכות של הנוכחות עובדים מול שירות אינטרנט אחד. השירות הזה בעצם מנהל את כל מסדי הנתונים – המכשירים, האפליקציות או התוכנות השונות שולחות לו מידע והוא מכניס את המידע הזה למסד הנתונים שלו.

שירות לכל – *זה* שירות!

בואו נעשה הפסקת שירותים. שירותים הם חלק מהעולם האינטרנטי כבר המון שנים. אנו משתמשים בשירותים כל הזמן: כאשר אנו כותבים טוקבקים, כאשר אנו עושים “לייק”, כאשר אנו מסתכלים על תחזית מזג האוויר באתר החדשות. הכל מונע על ידי שירותים שנמצאים בשרתים שונים.

“שירות”, כפי שהוא נקרא בשפת המפתחים, הוא תוכנה קטנה שיושבת על שרת ויודעת לקבל תנועה. למשל, אשר אנו כותבים טוקבק באתר חדשות כלשהו, הטוקבק מגיע לשירות, שמקבל את הטקסט, בודק לאיזו כתבה הוא מיועד ורושם אותו. כאשר מנהל האתר רוצה למחוק טוקבק או לערוך אותו, הוא ייכנס לתוכנת הניהול של האתר, זו תשלח הודעה אל השירות, תבקש את רשימת הטוקבקים ותציג אותם למנהל. המנהל יוכל לנסות למחוק טוקבק – תוכנת הניהול שלו תשלח הודעה לשירות “מחק את הטוקבק הזה והזה”. השירות יבדוק אם המנהל אכן מורשה לבצע את הפעולה, ואם כן, יבצע אותה עבורו.

רשימת השירותים של רנעד 🖼️ ranad.co.il
רשימת השירותים של רנעד 🖼️ ranad.co.il

זה בדיוק מה שהיה באתר של חברת רנעד. בהבדל קטן אחד. ראשית, כל אפשרויות השירות – כלומר האפשרות לראות את כל רשימות העובדים, לבצע עדכונים, להוסיף הצהרות בריאות – הכל היה מוצג, בממשק גרפי נוח לצפייה, לכל מי שנכנס לכתבות אתר השירות באמצעות כלי הפריצה המשוכלל דפדפן.

ממשק קבלת מידע במערכת רנעד
ממשק קבלת מידע במערכת רנעד

זה כבר חמור. רשימת הפעולות שאדם יכול לעשות בשירות לא צריכה להיות גלויה באופן כזה. נכון, אבטחה באמצעות הסתרה זה לא רעיון טוב, אבל הפקרה באמצעות חשיפה זה גם לא המיקי הכי זוהר בכנסת.

בנוסף, כדי לא להקשות, המערכת לא דרשה כלל סיסמה או שם משתמש בפעולות השונות. כלומר, כל אחת שנכנסה לכתובת ההיא יכולה היתה לעבוד מולה. כך למשל, מי שנכנסה ל”קבל את כל העובדים” והכניסה את מספר החברה של רשת, קיבלה את רשימת העובדים המלאה של זכיינית הטלוויזיה. אבל לא רק את רשימת כל העובדים: מספרי העובד שלהם, מספרי הזהות שלהם, התפקיד שלהם וכו’. סקריפט קצר איפשר לכרות את המידע המעניין הזה, שהוא כמובן משהו שחברות ממש לא רוצות שיסתובב בחוץ.

כדי להוסיף ששון על שמחה, מסתבר שהאישורים הרפואיים ואישורים נוספים, שהוזנו למערכת על ידי עובדים שהעזו לחלות ולא להגיע למכרה המלח של המעביד, היו גלויים לחלוטין. וכשם שאפשר לקרוא, אפשר גם לכתוב. השירות הנפלא של חברת רנעד איפשר לבעל הדפדפן גם לשנות חלק מהנתונים.

אישור רפואי שדלף מהמערכת של רנעד

שירותים המכילים מידע חייבים לבדוק אם מי שמשתמש בהם מורשה לבצע פעולות, בין אם מדובר בקריאה או בכתיבה. אבל האמת היא שגם אם השירות של רנעד היה טורח לבקש סיסמה מפצחנים חמושים בדפדפנים, זה לא היה עוזר. השרת שבבסיסו נמצא השירות הציג את רשימת הקבצים שלו באופן גלוי לכל מי שנכנס ישירות לשם המתחם שלו. ומה היה ברשימת הקבצים? קוד המקור של השירות – דבר שאיפשר לכל תוקפת לבחון את הקוד ולנצל את הפגיעויות הרבות שיש בו. אבל למה צריך את זה, בעצם, כשהשירות שיש על הרשת נותן את המידע לכל מי שיש לו דפדפן?

ואיך מגיעים לכתובת השרת שמכיל את השירות? אם לשרת יש שם מתחם – גוגל תגיע אליו. אם השרת הוא בכתובת IP או שאפילו לא זמין לדפדפן – סורקי רשת יגיעו אליו – כמו שודאן החינמי. במקרה הזה, כתובת ממשק הניהול של רנעד היתה גלויה לכל באמצעות גוגל:

ממשק הניהול של רנעד עירום מול כל הגוגל

“שירות ללא תחרות”, אמר נעם, בעוד אני שוטף את העיניים באקונומיקה אחרי שראיתי חלק מהקוד של רנעד, ומציע: “אולי המסקנה היא להפסיק לעבוד במכרות מלח מודרניים שמחייבים אותך להשתמש בשעון נוכחות”. עידוק מחה: “למה לזרות מלח על הפצעים?”

נעם איסגר הפירצה למערך הסייבר. הם לא חרוצים כמו עידוק שלנו, ורק לאחר מספר ימים מישהו שם התחיל לטפל בעניין. אני מקווה שהוא זכר קודם כל להעביר כרטיס נוכחות.

החוק הראשון של סייברקלאב: אל תספר ללקוחות שנפרצת

אבל זה לא נגמר פה. למרבה הצער, דיווח פשוט לא הספיק, וההתגלגלות של העניין מראה איזה קושי עצום עומד בפני חוקרי אבטחה כשהם מגלים פירצה, אפילו אם היא קלה מאוד להסבר ולהדגמה.

נעםר איסגר את הפירצה למערך הסייבר ב-29 בדצמבר. מערך הסייבר הודיע לו שהעניין בטיפול ושהפירצה נסגרה לאחר כמה שעות, וזה מעולה, חוץ מהעובדה שזה לא נכון – הפירצה עדיין היתה פתוחה לכל אחד. נעםר פנה שוב למערך הסייבר – והם בתורם אמרו לו שזה עדיין בטיפול. הימים חלפו להם, הגענו לינואר 2021 והפירצה – שכאמור חושפת פרטים רגישים ונמצאת גם בידי צד שלישי (אלו שדיווחו לנו) – עדיין גלויה.

זה השלב שבו אני נכנסתי לתמונה. אני עיתונאי ב”הארץ”, והסיפור הזה יוצא בעיתון ככתבה. פניתי לחברת רנעד בבקשה לתגובה במייל. עבר יום ועוד יום ולא קיבלתי מענה. זה חריג. כשעיתונאי פונה אליך בבקשה לתגובה – אתה עונה. רנעד לא ענו. הרמתי טלפון, ענתה לי ״המזכירה של גרשון״, ביקשתי להעביר מיד בקשה לתגובה. היא אמרה שהיא תעביר את הפרטים. עבר יום ועוד יום. הפירצה פתוחה.

שעון נוכחות 🖼️ Hans Eiskonen
שעון נוכחות 🖼️ Hans Eiskonen

עברו שבועיים ללא תגובה, והתחלתי לפנות לקבל את תגובתם של כמה מהלקוחות של רנעד, ובהם ערוץ 13. אז הסתבר לי שרנעד לא טרחו כלל להודיע ללקוחות שלהם שהתגלתה אצלם פירצה. ערוץ 13, יאמר לזכותם המלאה, נחרדו ופעלו מיד לבירור העניין (“המערכת היתה בפיילוט למספר ימים, אולם משנודע לנו על כשל באבטחת המערכת, הפיילוט הופסק לאלתר”, נמסר מהם). גם לקוחות אחרים שפניתי אליהם הגיבו בצורה דומה. או-אז, רנעד נזכרו שיש להם פירצה דחופה שיש לפתור, הפעם בצורת בעיית תדמית וחשיפה לתביעות על רשלנות מקצועית, ועיתונאי שצריך להגיב לו. סוף סוף.

“השמצות לא מבוססות”

תגובת רנעד מה-18.1.2021, ההדגשות שלי:

רנעד טק מאז הקמתה בשנת 2003 עושה מאמצים עילאיים לשמור על נתוני לקוחותיה באופן המאובטח והמקצועי ביותר. בהתאם למידע שהועבר לנו על ידי רשות הסייבר, זיהוי חולשת האבטחה התאפשר אך ורק פנימית על ידי לקוח האפליקציה שהינו איש סייבר, ובאמצעות הרשאה שניתנה על ידנו, בלעדיה לא ניתן היה לחדור מלכתחילה לשרת. להבנתנו, הפרטים המדויקים של החולשה והמידע שהועבר ע”י הלקוח לרשות הסייבר, נותרו בידי רשות הסייבר בלבד. יודגש כי פעלנו לבצע חסימה של המערכות באופן מידי, ובהמשך אף הוצאנו בשבוע שעבר גרסאות חדשות של אפליקציות הנוכחות שלנו. לצורך כך אף שכרנו את שירותיה של אחת מחברות אבטחת המידע המובילות בישראל והיא מלווה אותנו משלב תיקון החולשה שזוהתה, ובהמשך בביצור מערכות המידע של החברה.

עוד נציין, כי צר לנו מאוד שכתב “הארץ” בחר לפנות ישירות לכמה מלקוחותינו ולהצהיר בפניהם מפורשות וללא כל ביסוס כאילו המידע של עובדיהם נמצא בידי גורם שלישי עלום כלשהו, כאשר היה ידוע לו שמדובר בלקוח האפליקציה המסוים שאיתר את החולשה, ואשר הועבר רק לרשות הסייבר. ביכולתן של פניות לא מבוססות כאלה להנחית מכה אנושה על מוניטין של חברה קטנה, לאחר שבנתה אותו בעמל רב במשך שנים. אנו מצפים שעיתון מכובד כ”הארץ” לא ינצל את הכוח התקשורתי העצום שברשותו כדי לפגוע בעסקים הקטנים במדינת ישראל, העסוקים במאמצי הישרדות יומיומיים, ולא ייתן יד להשמצות לא מבוססות.

אני חושב שהתגובה הזו מדברת בעד עצמה – במיוחד החלק של זיהוי חולשת האבטחה שמתאפשר אך ורק על ידי אנשי סייבר. מעכשיו בכל פעם שאני אחפש משהו בגוגל או אשתמש בכלי הפריצה המשוכלל דפדפן, אני אחוש עצמי מאוד מאוד סייבר, כרגיל.

מה אפשר לומר כשאין מה לומר? כלום. אבל בכל זאת – אולי כדאי להתייחס לעובדות: שורת החולשות שהתגלו במערכת היא ארוכה וכואבת. אין ולא יכול להיות שום תירוץ לקחת שלושה שבועות לסגור דליפה שאפשר וצריך לסגור בעשר דקות, גם במחיר של השבתת המערכת. יתרה מזאת – טענת החברה שלא ניתן היה לחדור לשרת בלי אישור של החברה היא פשוט לא נכונה. כל גולשת, מהבית, באמצעות כלי הפריצה המשוכלל דפדפן, יכולה היתה לגשת לכל המידע של כל לקוחות החברה. העובדה שרנעד טוענים אחרת מעלה מספר תהיות מדאיגות מאוד לגבי ההבנה שלהם את מהות הפירצה ואת המציאות, ולחלופין, לגבי בחירתם המודעת להתעלם מהמהות הזו ולתת גרסה של מציאות חליפית שתקטין את ממדי הביזיון. בפועל, מדובר בכשל אחד ארוך ומתמשך, החל מהפיתוח הבעייתי שהתעלם מכל אספקט של אבטחה וכלה בטיפול בגילוי הפרצה שנע בין גרסאות מנותקות מהמציאות לבין שבועות ארוכים שבהם המידע נשאר חשוף למרות שהחברה ומערך הסייבר יודעים שהוא חשוף. לא ככה מנהלים מערכת. לא ככה מנהלים חברה.

עדיין התמודדות טובה יותר מזו של רנעד 🖼️ הרולד לויד בסרט Safety Last!‎

_______________
רן בר-זיק הוא חבר מערכת סייברסייבר. בשעות הפנאי הוא מפתח בחברת Verizon Media, כותב אתר internet-israel.com ועיתונאי בקפטן אינטרנט של “הארץ”; למעסיקים שלו אין קשר למידע ולדעות שמובאים ומובעים כאן

תמונה ראשית: אישעון 🖼️ Gerd Altmann


טרור? אנטישמיות? שירביט היא כולה עוד פריצה ברשת הישראלית המחוררת

בימים האחרונים נחשפת פעולת סחיטה מעניינת של חברת הביטוח “שירביט” על ידי קבוצת האקרים המכנה את עצמה “בלאק שאדו”. מכיוון שהמון מומחים בעיני עצמם החליטו לשתף את הציבור בדעתם, חשבתי לעצמי – היי, גם אני מומחה בעיני עצמי, אולי גם אני אשתף את הציבור בדעתי! אז הנה השנקל שלי על מה שמתרחש, שאולי יתנגש מעט עם חלק מהתזות שנזרקות באוויר על ידי אחרים.

זה לא טרור

אז אמ;לק: תפסיקו לקרוא לכל דבר “טרור”, זה מביך. בתור אדם שמכיר בצורה אינטימית עד כדי חוסר נוחות את מצב האבטחה ברשת הישראלית, המידע שנחשף על ידי “הצללים השחור” הוא לא יוצא דופן או רגיש במיוחד. לו ארגון טרור היה רוצה לעשות “פיגוע תודעתי” כמו שאוהבים כל מיני יוצאי ארגונים אפלים לכנות את זה, אני יכול לחשוב על לפחות עשר מטרות טובות יותר, פתוחות יותר, קלות יותר, ועם השלכות קשות יותר על החברה הישראלית, מאשר חברת ביטוח אחת. כשכל תעשיית הסייבר הישראלית מבוססת על יוצאי ארגונים ממשלתיים אפלים כאלה, כל נפיחה מצטיירת כמו פיגוע טרנס-גלקטי, כי זה פשוט הדבר היחיד שהם מכירים. 

בשנים האחרונות מצאתי אני, יחד עם כמה מידידי הטובים, מאות מערכות ישראליות פתוחות, חלקן ממשלתיות,  חלקן שייכות לגופים גדולים משמעותית מ”שירביט”, ועדיין הארץ שקטה. למה? כי פשוט סיפרנו להם על הבעיה כדי שיוכלו להמשיך ולטאטא אותה מתחת לשטיח. *כל* ההבדל עכשיו הוא שמי שמצא את המערכת ניחן בחוש עסקי מפותח יותר ובמקום לקוות לאיזה בורקס כאות תודה מהחברות הפרוצות, שלא מגיע אף פעם, אגב, החליטו לנקוט עמדה נחושה יותר ולדרוש תשלום עבור הרשלנות הזו. זה הכל.

סאטושי הם לא יראו ממני 🖼️ פרסומת של שירביט

כאשר מצאנו את עצמנו במערכות של חברות גדולות יותר מ”שירביט” יכולנו לעשות בדיוק את אותו הדבר, אבל בחרנו לדווח. כאשר מצאנו את עצמו במערכת של שירות בתי הסוהר עם מידע אישי ורגיש על אלפי עובדים ביטחוניים, יכול לעשות את אותו הדבר, אבל בחרנו לדווח. כאשר מצאנו את עצמנו במערכות רפואיות רגישות מאוד – בחרנו לדווח. כאשר מצאנו את עצמו במערכות של משרדי ממשלה – בחרנו לדווח. כאשר מצאנו את עצמו במערכות פיננסיות מכובדות – בחרנו לדווח. 

ואלה באמת לא פרצות שדורשות תחכום מיוחד, אלא היכרות בסיסית עם דרכי הפעולה של אנשי פיתוח ותפעול עצלנים. “יצאה גרסה חדשה? אבל היום יום שלישי וסוף השבוע ממש מתקרב, נדחה את העדכון למתישהו אחר”, “להקליד סיסמה מסובכת כל פעם שאני רוצה להיכנס למערכת? מה אני, איכר? 1234 זה קל ונעים”, וכן הלאה. במקרה של “שירביט” רשימת הכשלים ארוכה ומביכה, החל משרת VPN עם חולשות ידועות בנות כשנתיים שלא עודכן כי תירוצים, גרסת שרת דוא”ל לא מעודכנת, המשך בטביעת רשת גדולה משמעותית מהנדרש, כולל חשיפה של שרתי פיתוח ובדיקות לרשת הציבורית, ניהול גיבויים לא נכון, והרשימה עוד ארוכה. הם לא יוצאי דופן, הם פשוט נתפסו הפעם עם הסנדלים על האוזניים, כי סייברסייבר זו בעיה רק כשהיא הופכת לבעיה. עד אז תנו לגאון הצעיר משמונה גרביים משכורת מנופחת כי הוא זורק ביטויים אניגמטיים כמו “פרוקסי” לאוויר, ואף אחד לא רוצה להתווכח כדי לא להצטייר כלא מבין בסייברסייבר, חלילה.

משא ומתן בקולחוז

וזה מוביל אותנו לעניין הבא: ניהול המו”מ עם הפורצים. קהילת הסייברסייבר רוחשת ובוטשת עם שלל דעות אם צריך לנהל מו”מ או לא צריך לנהל מו”מ כאילו אנחנו בקולחוז, וכאילו מדובר באירוע בודד שיש להסכים על דרך הטיפול בו לטובת הכלל. זו אכן ראיית עולם קסומה ומכובדת, אך למרבה הצער היא לא מאוד מחוברת למציאות. המקרה הזה הוא מקרה זניח יחסית (עם כל הכבוד לעוסקים בדבר, ויש כבוד, לחלקם). הפורצים יודעים את זה, ולכן לא מתכופפים סנטימטר.

העניין כאן הוא לא “שירביט”, אלא הארגון הבא בתור שרואה את הסצנה המביכה הזו ומצקצק. כשתיגמר הסאגה הזו עם המידע של כולנו בחוץ ועם השלכות קשות על המשך קיומה של חברת הביטוח הישראלית, מנהל הארגון הבא בתור (שכבר מוכן במגירה) ישלם כמו כבש מנומס כי הוא לא רוצה להיות במצב של “שירביט”. ככה מנהלים מודל כלכלי איתן, והאמירות המגוחכות של “זה טרור כי הם לא רוצים באמת כסף” מצביעות על חוסר הבנה בסיסי מאוד של התעשייה הזו, ולמרבה הצער והאימה – אלה האנשים שמקבלים כסף, והרבה ממנו, כדי לנהל אירועים מסוג זה.

וגם לא התקנת עדכוני אבטחה 🖼️ פרסומת של שירביט
וגם לא התקנת עדכוני אבטחה 🖼️ פרסומת של שירביט

אירוע הסחיטה הבא כבר מוכן. זה לא טרור, וזו לא עוגת בננות, זו סחיטה ישנה וטובה. עושה רושם שהפריצה ל”שירביט” החלה כבר לפני מספר חודשים, ונכון להניח שזה לא רק שם. הדרך בה מתנהלים הסוחטים היא בדיוק הדרך בה הם צריכים להתנהל בהתאם למודל שאנחנו מכירים היטב ממדינות אחרות.

העובדה שבארץ עדיין לא היה אירוע ציבורי בקנה מידה כזה היא קוריוז, ועדיין אין בו שום דבר מיוחד לעומת עשרות ומאות מקרים דומים ברחבי העולם. יש פירצה, אם בשל רשלנות של הארגון הנפרץ או בשל מיומנות מיוחדת של הארגון הפורץ, ומכאן הדברים מתנהלים. אם הפורצים יתכופפו – הם מאותתים שיש פה ברירה. אם לא יתכופפו – אולי לא יקבלו כסף הפעם, אבל הפעם הבאה תהיה קלה יותר משמעותית. זו אסטרטגיה מוכרת, וניסיון לתלות עליה תיאוריות מופרכות שמתאימות לראיית העולם הביטחונית ממנה באים רבים מהמומחים הישראלים – מיותרת.

אז מה צריך לעשות

וכאן אנחנו מגיעים לשאלת מיליון הדולר, שכמו כל דבר מתחלקת לכמה חלקים: מדיניות, מדיניות, ומדיניות.

ראשית, יש להכיר בכך שלא מדובר באירוע בודד, וודאי וודאי לא באירוע חריג. כשמבינים את זה, יש לעצור רגע, ולהניח תשתית לאומית לטיפול במקרים כאלה. רק השנה *דווחו* יותר ממאתיים אירועי כופרה בישראל, וסביר להניח שבפועל היו הרבה יותר. אז נהדר ש”מערך הסייבר” מוציאים עלונים שמטרתם לחנך את הציבור (ברצינות, זה חשוב), אבל חסר פה נדבך משמעותי – והוא מדיניות מו”מ עם סחטנות כזו.

קל להשליך את ההחלטה על המנכ”ל האומלל של ארגון שכל המידע שלו נמצא בידיים של סחטנים, אבל זה רק יעודד מתקפות נוספות. חוק האוסר תשלום כופר, למשל, יניח תשתית אחרת למשא ומתן, ואולי ישכנע פורצים להתמקד במדינות אחרות, שם קל יותר להוציא כספים. המחיר לא יהיה פשוט, אבל שוב – מי שרוצה את המידע שלנו – יקח אותו, זה באמת לא מסובך. מי שרוצה לעשות ממנו כסף בדרכים נכלוליות – זה כבר סיפור אחר, ובזה אפשר לטפל.

באג באתר הסלולרי של שירביט 🖼️ פרסומת של שירביט
באג באתר הסלולרי של שירביט 🖼️ פרסומת של שירביט

דבר נוסף שמומלץ מאוד לכל ארגון לעשות – הוא להגדיר מדיניות ניהול אירועים כאלה. ארגון שיש לו תוכנית מגירה למה לעשות ביום שמתקבלת דרישה כזו – לא ייתפס עם חותלות ורודות ושירים של “טקטרוניקס” ברקע. תכנית כזו תקיף גיבויים (ושיוריות בכלל), עדכון גרסאות, בדיקות חדירה רבעוניות לכל הפחות, קווי מתאר לניהול מו”מ, ועוד רשימה ארוכה של דברים שיש לעשות כדי להיות מוכנים ליום שבו מתקבלת הודעה כזו. זה לא דבר יקר, אבל זה דבר נחוץ, וזה תהליך שחייב להיות מובל על ידי המנכ”ל ושחשיבותו תהיה ברורה לכל עובדי החברה.

אגב, כחלק ממדיניות ארגונית כזו אפשר להקים גם תכניות “באונטי” שיאפשרו לחוקרי אבטחה מנומסים לדווח על פרצות ולקבל תמורתן כמה שקלים. זה עובד בכל העולם, ואין שום סיבה שזה לא יעבוד גם אצלנו. כרגע אני מודע לתכנית באונטי רק בחברה ישראלית אחת, וזה חבל.

דבר אחרון

יחד עם ידידי אנחנו נתקלים בשלל תגובות מהארגונים להם אנחנו מאסגרים את הפרצות שאנחנו מגלים, החל מהתעלמות טוטאלית (וסגירה של החור בשקט, כאילו לא היה שם מעולם) ועד איומים בתביעות, במשטרה, ובעירוב שב”כ שיקח אותנו למרתפיו. זו לא הדרך, כי אם ככה מתייחסים לאנשים עם כוונות טובות, אין פלא שבסוף באים צללים שחורים.

 אחותי, בטלי גם את כרטיס האשראי שלך 🖼️ פרסומת של שירביט
בטלי גם את כרטיס האשראי שלך 🖼️ פרסומת של שירביט

בתקופה האחרונה, בעקבות מספר מקרים מאכזבים מאוד בטיפול הלקוי מצד הארגון הדולף וביחס לו זכיתי, פשוט הפסקתי לדווח כמעט לחלוטין, למרות שהרשימות עדיין ארוכות מאוד. בעקבות דליפות מידע משמעותיות מאוד כמו זו של מערכת ה”אלקטור” – שלא קרה איתן כלום – הבנתי שאין פה באמת רצון לתקן, אלא יש בעיקר רצון לטאטא את הבעיות מתחת לשטיח. הפצעתם של “הצללים השחורים” היא פועל יוצא של המדיניות הזו, כי כאמור – מה שלא לומדים בכח, לומדים בהרבה יותר כח.

ישראל לא ממציאה פה כלום, ופרט ללצווח “טרור” או “אנטישמיות” בכל פעם שקורה פה משהו לא נעים שקורה בכל יום בכל מקום אחר בעולם, זה מעבר למביך. בראייה מפוכחת יש להודות שהעובדה שאירוע ציבורי כזה קורה רק עכשיו ולא קודם היא ברכה, ושצריך לצפות לעוד הרבה כאלה. כאמור, מהיכרות אינטימית עם הרשת הישראלית – ארגון פשיעה עם מספיק עזוז יכול לעשות פה מיליארדים, והפוקוס שמקבל האירוע ב”שירביט” רק יקדם את הנושא. לכשעצמי, אני שוקל ברצינות השקעה בתעשיית הפופקורן, כי הולך להיות מעניין מאוד.

הודעת ההשבתה באתר שירביט

הכופר של אובר: מה קורה כשבאג באונטי משמש לתשלום דמי שתיקה?

באג באונטי – bug bounty במקור – הן תוכניות שבהן ארגון מציע להאקרים למצוא אצלו פירצות אבטחה, לאסגרן בצורה אתית ואחראית ולקבל פרס, בדרך כלל כספי. הדבר נועד למסד את היחסים בין ההאקרים לארגונים, ולאפשר להם לעבוד יחד בלי חשש לפריצות והדלפת מידע מצד ההאקרים ולהליכים משפטיים מצד הארגונים. אחד הארגונים שמפעילים תוכנית באונטי הוא אובר, ששילמו לצמד האקרים 100 אלף דולר על גילוי פירצת אבטחה. זה מה שהם רוצים שנחשוב, בכל אופן.

אובר, פלטפורמת התיווך בין נהגי מוניות ונהגים פרטיים לבין נוסעים, נפלה קורבן לפריצה בשנת 2014, כשהאקרים מצאו את המפתחות לחשבון ה-AWS (שירותי רשת של אמזון) של אובר, וגנבו משם פרטים על 50 אלף נהגים. במרץ 2016 השיקו בחברה תוכנית באג באונטי.

שמונה חודשים לאחר השקת הבאונטי קיבל סמנכ”ל האבטחה של אובר דאז, ג’ו סאליבן, אימייל מהאקר שהזדהה בשם ג’ון דאוז בכתובת [email protected] בשירות האימייל המוצפן והמאובטח פרוטון מייל. מצאתי פירצת אבטחה חמורה אצלכם, סיפר “דאוז”, וגם עשיתי דאמפ של הדאטהבייס שלכם ומידע נוסף. בדיקה של צוות אבטחה של אובר העלתה כי ההאקרים השתמשו בפרטי גישה גנובים לגשת לקוד המקור של אובר בגיטהאב, שם מצאו פרטי גישה של דלי AWS והשתמשו בהם להוריד את המידע על לקוחות ונהגי אובר.

סאליבן המבוהל, שכבר היה עמוק בתוך חקירה של ה-FTC (רשות הסחר הפדרלית) על הפריצה מ-2014, מיהר לסמס למייסד ומנכ”ל אובר, טראוויס קלניק, שהוא צריך לדבר איתו על משהו רגיש. השניים קיימו מספר שיחות טלפון, ואחריהן קלניק כתב לו:

צריך להיות בטוחים מה יש לו [להאקר; ע”ק], רגישות/חשיפה של זה ו-ודאות שהוא באמת יכול להתייחס לזה כמצב 🐜 באונטי […] המשאבים יכולים להיות גמישים לצורך סיום הסיפור אבל אנחנו צריכים לתעד זאת בקפדנות.

סמס ממנכ”ל אובר טראוויס קלניק אל סמנכ”ל האבטחה ג’ו סאליבן, 15.11.2016

בעצה אחת של קלניק וסאליבן, ההאקרים קיבלו הצעה לפרס באונטי שמן בגובה 100 אלף דולר, בתמורה למחיקת כל המידע שהורידו ושתיקתם הנצחית, מגובה בהסכם סודיות (NDA). כלומר: לא באונטי, אלא כופר, דמי שתיקה. ההאקרים חתמו בשמותיהם הבדויים, ואובר העבירו להם את הסכום בביטקוין. רק בינואר 2017 הצליחו אובר לגלות את זהותם הארצית של ההאקרים, ושלחו אליהם אנשי אבטחה, להחתים אותם שוב על מסמך הסודיות, הפעם בשמותיהם האמיתיים.

קלניק וסאליבן הסתירו את העיסקה מהנהלת החברה, מה-FTC ומ-57 מיליון המשתמשים ו-500 אלף הנהגים שמידע עליהם נחשף להאקרים – עבירה על החוק בכל מדינות ארה”ב, שמחייב לדווח לאנשים על דליפת מידע מזהה אישי (PII) אודותיהם.

קלניק, שכפי שאפשר לראות הוא לא אדם שראוי לעמוד בראש חברה, נאלץ להתפטר מתפקידו בעקבות שורת שערוריות ודיווחים על סביבת עבודה רעילה. דארה חוסרושאהי החליף אותו באוגוסט 2017, הדירקטוריון של אובר עלה על סיפור הפריצה וסאליבן עוד הספיק לשקר לחוסרושאהי בנושא. חודשיים לאחר מכן, המנכ”ל חוסרושהאי פרסם רשמית ופומבית את דבר הפריצה, התנצל בפני הציבור על “הכשלון שלנו” ופיטר את סמנכ”ל האבטחה סאליבן ועו”ד מהצוות שלו. בעקבות שורת תביעות של התובעים הכלליים של כל מדינות ארה”ב, אובר חתמו על הסכם פשרה ושילמו 148 מיליון דולר.

עם חשיפת הפרשה, סאליבן המפוטר עמד על גירסתו שהתשלום היה פרס באונטי לגיטימי. אולם בכתב האישום שהוגש נגדו השבוע בבית המשפט המחוזי של מחוז צפון קליפורניה, על שיבוש הליכי משפט ואי מניעת פשע, התובעים חולקים על הטענה הזאת. ומפרטים: ההאקרים אמרו שיש בידיהם מידע ודרשו תשלום של שש ספרות; סכום הפרס גבוה מכל אחד מעשרות פרסי הבאונטי שהחברה חילקה לאורך השנים, שממילא מוגבלים ל-10 אלפים דולר לפרס; הנהלת החברה (מלבד המנכ”ל קלניק) לא נחשפה לפרטי הפריצה ולהחלטה להתייחס אליה כבאונטי; ההאקרים נדרשו לחתום על הצהרה שקרית שלפיה לא השיגו ולא שמרו עותק של המידע על המשתמשים והנהגים; והם נדרשו לשמור על סודיות מוחלטת לגבי הפירצה, בניגוד למדיניות הרגילה של הבאג באונטי, שהתירה להאקרים לפרסם את הגילויים שלהם בתיאום עם החברה ואחרי שהפירצה נסגרה.

ג’ו סאליבן באתר אובר

ההאקרים של אובר המשיכו לסחיטת חברות נוספות על ידי פריצה וגניבת מידע. הם נתפסו, הועמדו לדין ובשנה שעברה הודו באשמה, וכעת ממתינים לגזר דינם. אבל הנזק שהם וסאליבן הסבו לאובר מתגמד לעומת הנזק שהם עלולים לגרום לכל הקונספט של באג באונטי, כך לפי משפטנים שהתראיינו לוויירד בנושא. אפילו האקרי כובע לבן בעלי אתיקה וכוונות טובות עלולים לעבור על החוק בזמן שהם מחפשים פירצות במסגרת באג באונטי. זו הסיבה שתוכניות באונטי מכילות סעיפים שבהם הארגון מעניק להאקרים חסינות. אבל לאור כתב האישום של סאליבן, מנהלי אבטחה עלולים להבין שכדי להסיר מעצמם אחריות פלילית, הם צריכים להקטין ראש ולהקריב את ההאקרים לרשויות האכיפה על כל טעות קטנה.

ההאקרים, מצדם, לא ירצו להסתכן בפלילים ויזנחו את תוכניות הבאונטי, כשהם מפנים את השטח להאקרי כובע שחור, שיחפשו פירצות אבטחה בלי להתחשב בכללים ובאתיקה, ויסחטו את הארגון: שלם או שנמכור את הפירצה למרבה במחיר.


התפרסם במקור בגירסה שונה בפינה “האחראי על האינטרנט” בגלצ:
🚗 הפריצה מ-2016 ממשיכה לרדוף את אובר 🛩️ הטיסמולטור של מיקרוסופט בונה מחדש את תל אביב 📻 האחראי על האינטרנט בגלצ 22.8.2020


אפשר את פרטי חשבון הבנק שלך? לא משנה, ניקח כבר מביטוח לאומי

היה זה ערב יום קיצי ושלו במפקדת סייברסייבר. השמש הטילה צללים ארוכים. נעםר נחר בשלווה על הערסל, מחבק שק של קמח. לוקאר היה עסוק במרדף אחרי אינספור צאצאיו. עידוק עבד כמובן (מישהו צריך לפרנס) ואני? אני חלמתי בהקיץ על ויסקי. לפתע השלווה הופרה בקול סירנה. אזעקת הסייברסייבר הופעלה! וההתרוצצות החלה. למה הופעלה אזעקת הסייבר? מכתב מאזרח בשם דני חזוב שגילה פרצה חמורה ושלח אותה אלי. מה הפירצה? פירצת אבטחה ביזיונית לחלוטין בביטוח לאומי או, איך שאנו בעולם הסייבר קוראים לה, יום חמישי. פרסמתי אותה הבוקר ב”הארץ”.

הכירו את ממשק קבלת המענקים של ביטוח לאומי, המקום שבו כל אדם יכול לבדוק אם חשבונו בביטוח לאומי מעודכן, על מנת שיוכל לקבל את מענק הקורונה המיוחד. אם החשבון שלו לא מעודכן, אותו אזרח יכול לעדכן את פרטיו.

דף עדכון פרטי חשבון בנק לקבלת מענק 🖼️ אתר המוסד לביטוח לאומי

מן הסתם, ממשק זה מוגן באמצעות זיהוי בשני אמצעים. האמצעי הראשון הוא מספר תעודת זהות. האמצעי השני הוא תאריך ההנפקה. תאריך ההנפקה הוא נתון שיותר ויותר רשויות עושות בו שימוש והוא נתון שמוטבע על תעודת הזהות. כאשר האזרח צריך להזדהות, הוא מקליד את שני הנתונים האלו, והאתר מבצע הצלבה ביניהם לפי הנתונים ממשרד הפנים. מספר הזיהוי תואם לתאריך ההנפקה כפי שמופיע במרשם האוכלוסין? כנראה שהמזדהה הוא האזרח. זו גם הסיבה מדוע כל כך חשוב לא להפיץ את צילום תעודת הזהות שבו יש את תאריך ההנפקה לכל דיכפין. כי משתמשים בו לזיהוי בלא מעט מקומות. ובממשק של ביטוח לאומי האזרח נדרש להקליד את שני האמצעים האלו כיאה וכיאות. 

אך היתה בעיה אחת, ממש קטנה, קטנטנה – האתר של ביטוח לאומי לא בדק תאריך ההנפקה של התעודה. כלומר בדקו שהזנת את התאריך, אי אפשר היה להתקדם ללא הזנת תאריך, אבל התאריך לא הוצלב אל מול מספר תעודת הזהות. וכך, על מנת לקבל גישה לפרטים המוכמנים, כל מה שתוקף היה צריך לעשות זה להזין את מספר תעודת הזהות של המטרה ותאריך *כלשהו*. זה הכל. אם מספר חשבון הבנק מוזן במערכת, אני יכול לקבל גישה אליו. וזה? פתח לשעשועים רבים.

למרבה השמחה, היתה CAPTCHA מוטמעת במערכת. לרוע המזל, היא לא היתה מוטמעת מספיק טוב. מנגנון ההגנה של האתר (הנקרא WAF) חסם גישה של headless browsers לאתר, ומנע כרייה נוחה באמצעות שורת פקודה בלבד, אבל לא מנע מכורים אוטומטיים מבוססי דפדפנים לעבוד. לוקאר הכין סקריפט סלניום והפעיל אותו על תעודות הזהות של חברי סייברסייבר. אף מנגנון לא חסם אותו, אפילו שהוא עבד מאותו IP (אבל כן חסם כתובות IP מחו”ל, כי כידוע אין האקרים בישראל, ובוודאי שאין האקרים בחו”ל שיודעים להשתמש בכתובות IP ישראליות).

באופן תיאורטי, גם תוקף שעבד בסקיילים גבוהים היה יכול לשתות מאגר שלם בנחת. כמובן תוקף שתוקף מטרות ספציפיות, חוקר פרטי, סתם מטרידן או קריפ היה יכול לדעת עליכם את חשבון הבנק שלכם. מה אפשר לעשות עם חשבון הבנק שלכם? על כך בפרקים הבאים.

דיווחתי מייד למערך הסייבר וקיבלתי מענה תוך כעשרים דקות, כמיטב המסורת. מצד שני, מענה לא אומר שזה תוקן. רק בשבע בבוקר קיבלתי הודעה מדובר ביטוח לאומי שהעניין תוקן ואכן בבדיקה שערכתי עם מספר תעודת הזהות שלי ותאריך הנפקה שגוי, קיבלתי את ההודעה המיוחלת: “הנתונים שהוזנו אינם תואמים את הנתונים הקיימים בביטוח לאומי”.

עכשיו אפשר לחזור לבטלה במפקדת סייברסייבר, לפחות עד הפעם הבאה.

“נערכו בדיקות חוסן ואבטחה כדי למנוע שימוש לרעה במידע”

תגובת המוסד לביטוח לאומי:

לפני כשבועיים בלבד, הוכרזה התכנית “מענק לכל אזרח” שרק אתמול אחר הצהריים החקיקה לגביה בכנסת הושלמה, דבר שהצריך פיתוחים מחשוביים והיערכות בזמן אפס. בביטוח הלאומי עובדים במתכונת חירום מאז חודש מרץ כדי לשלם למאות אלפי תושבים דמי אבטלה וכן את מענקי הקורונה בתוך ימים בודדים.
אתמול אחר הצהריים, לפני העלאת האתר הייעודי לרישום חשבונות הבנק לאוויר, נערכו בדיקות חוסן ואבטחה כדי למנוע שימוש לרעה במידע. זאת ועוד, לאחר הכנסת הפרטים על ידי האזרחים באתר, מתבצעות הצלבות ואימות נתונים בתוך המערכת.
מרגע שנחשפנו לתקלה היא טופלה באופן מיידי, הנגישות למידע נחסמה לחלוטין, נערכה בדיקה לגבי היקף ניצול הפירצה ובפועל לא נמצאה פעילות חריגה.

(צילום ראשי 🖼️ קובי גדעון, לע”ם)