תגית: פרטיות

פרשת #משטריגול: שאילתה לשר, מדריך פרטיות לגולשות

הבוקר חשפנו כאן בסייברסייבר ביחד עם עודד ירון מערכת משטרתית למעקב והסטת תעבורת רשת. מספר התפתחויות בנושא: השר לבטחון פנים יצרך לתת תשובות על הפרשה, מדריך טכני מפורט יסייע לגולשות להקשות על המשטרה לעקוב אחריהן ולבצע מניפולציות על הגלישה שלהן, ויש גם מאפים.

המשטרה מסרה באין-תגובתה לחשיפה שהיא "פועלת על פי הסמכויות המוקנות לה בחוק ומפעילה רק אמצעים המותרים לה על פיו" – מה שאמור להיות מובן מאליו, ואינו משיב על השאלות שהעלינו. במשרד ראש הממשלה בכלל לא השיבו. כעת ייאלץ השר לבט"פ אמיר אוחנה, להשיב על שאילתה בנושא. את השאילתה הגיש ח"כ משה ארבל (ש"ס), שמוכר כמי שמוביל מאבק לשמירה על זכותם של עצירים שלא להיאזק ואף מגיע לביקורות פתע בבתי משפט.

ח"כ משה ארבל (ש"ס) 🖼️ נחלת הכלל

בשאילתה כתב ארבל:

מדובר לכאורה בפגיעה חמורה שלא כדין בפרטיותם של אלפי אזרחים ישראלים ובפגיעה חמורה בחופש הביטוי בשל החשש לאפקט מצנן על הזכות להתבטא בחופשיות ברשת. כל זאת נעשה במחשכים, ללא היתר חוקי מפורש ומבלי שנערכה ביקורת פרלמנטרית מסודרת על מדיניות שמסתמנת כאחת האחראיות המרכזיות להפרת זכויות במדינת ישראל.

ח"כ ארבל שאל את השר אוחנה:

1) האם הפרסום נכון ומהי מדיניות המשטרה בנוגע למעקב אחר גלישה ברשת?
2) מכוח איזה חוק רשאית המשטרה לבצע פעילויות מעקב ברשת, מי במשטרה אחראי על הפעלת המדיניות ואישר אותה?
3) מהו היקף המעקב ברשת בשנה האחרונה והאם אושר ע"י הייעוץ המשפטי לממשלה?

על פי חוק, השר חייב להשיב על השאילתה תוך 21 יום.

עד שהמשטרה תאולץ להשיב ואולי אף להגביל את המעקב, ידיד סייברסייבר רן בר-זיק פרסם מדריך מפורט לגולשות כיצד להקשות על המשטרה לעקוב ולבצע מניפלציות על הגלישה (והמאזין דן פלג אימלק באמצעות מאפים).

לחמי IP, DNS ו-TOR 🖼️ דן פלג

טיפים נוספים לשמירה על פרטיות דיגיטלית אפשר למצוא בפרק "הפתרון למעקב בחסות הקורונה: קריפטופארטי" (ע02פ22).


משטרת ישראל מרגלת אחרי הגלישה שלנו באינטרנט. מזל שהיא כל כך גרועה בזה

כל הזמן מספרים לנו איזו דיסטופיה טכנולוגית יש בסין, שם הממשלה עוקבת אחרי כל צעד ושעל של האזרחים החיים בה, מנטרת ומסננת את התכנים שאותם מבקשים לצרוך משתמשי הרשת הסינית. צקצקנו, כי זה מה שאנחנו יודעים לעשות, וניפחנו את החזה עוד קצת, כי אנחנו נעלים יותר, ליברלים יותר, ולעולם לא נעשה את זה לעצמנו.

אחרי רצח שלושת הנערים היהודים בגדה המערבית אי אז בשנת 2014, קמו קולות בקרב קצונת המשטרה הישראלית הקוראים להגברת היכולת הטכנית לניטור משתמשים ברשת. הסיבות נעו בין קנאה בסמכויות הרחבות (מדי) של חבריהם בשירות הביטחון הכללי לבין ניסיון לתרץ שלל כשלונות מבצעיים בשל "העדר אמצעים". חשבו, והעלו רעיון: בואו נכריח את כל ספקיות הרשת הישראליות להתקין סוס טרויאני בצורת שרת משטרתי דרכו ינותב המידע מהמשתמשים, וכך נוכל לשלוט בו, וכך גם בהם! גאוני, ווטסון, גאוני.

מחזיק מפתחות של ג'ינגג'ינג וצ'הצ'ה, קמעות חטיבת מעקב האינטרנט של רשות הבטחון הציבורית בשנז'ן, סין, למכירה באתר dgwlang888.b2b.hc360.com

למעשה, אין פה המון חידוש. בית המשפט הגבוה לצדק כבר נדרש לסוגיה הזו בעבר, כאשר האגודה לזכויות האזרח עתרה (בג"ץ 3809/08) נגד הקלות שבה מועברים נתוני תקשורת לידי שירות הבטחון הכללי ושאר מרעין בישין. המדינה השיבה לבג"צ כי אכן ישנם "נספחים ביטחוניים סודיים המסדירים העברת נתוני תקשורת מחברות התקשורת לשירות הביטחון הכללי". השופטים בייניש, גרוניס, ריבלין, נאור, ארבל, חיות, ומלצר, לא חשבו שהטיעונים הטכניים שהעלתה האגודה לזכויות האזרח ראויים מספיק להתייחסות, והשאירו זאת כך.

זאת אומרת שנתוני התקשורת שלנו – התקשורת שעליה אנחנו משלמים כסף טוב מדי חודש לספקי טלפוניה, סלולר ואינטרנט – מועברים מזה שנים רבות לידי ארגוני ממשל ישראלים עם מעט מאוד פיקוח, אם בכלל. כל מה שביקשה המשטרה זה להצטרף למסיבה.

אבל מה בכל זאת שונה וחמור במיוחד כאן? בניגוד למידע שעובר כבר שנים לשב"כ מדי יום, המשטרה מבקשת לא רק לקרוא את המידע, אלא גם לחסום ולשנות אותו. אם נחזור לאנלוגיות הכלא החביבות עלינו, הדבר דומה לתא צפוף בו מוחזקים אסירים רבים, אשר מעוניינים לדעת מה קורה מחוצה לו. ליד החלון יושב אדם אשר מקבל את השאלות של האסירים, מביט בחלון, ועונה עליהן. למשל, אסיר אחר שואל את החלונאי: "מה מזג האוויר בחוץ?", החלונאי משרבב את ראשו מבעד לסורגים, מביט היטב, מחזיר אותו פנימה, ועונה לשואל: "גשום". 

המכשיר של המשטרה מחליף את החלונאי שלנו, כך שגם אם מזג האוויר בחוץ יהיה שמשי ובהיר, התשובה שיקבל השואל תתאים לנרטיב אותו מבקשת המשטרה להעביר באותו רגע, בלי קשר לעובדות. אם גשום והמשטרה מבקשת לומר שנעים וחמים, השואל יקבל תשובה "חמים ונעים", ואם שמשי והמשטרה מבקשת שיושבי החדר יחשבו שגשום – החלונאי יענה "עזובת'ך, גשום, אין מה לחפש בחוץ".

שוטר, שוטר, על מי אתה ראוטר?

המנגנון המשטרתי עובד בשתי תצורות, שתיהן חמורות, ואני חייב להודות שאינני מבין איך הדבר נופל במסגרת החוק: התצורה הראשונה היא ניתוב המידע של משתמש בודד, כך שכל האתרים שאליהם ינסה לגלוש ינותבו דרך השרת המשטרתי, כך שפעולותיו ברשת ירשמו, ושהמשטרה תוכל להתערב בתכנים שהוא או היא צורכים. למשל, פרטיותו של אדם המעורב במחאה נגד שחיתות השלטון תיפגע כאשר המשטרה תחשף להרגלי הגלישה שלו, ותחסום מבעדו לגשת לתכנים מסוימים אשר לא נראים ראויים בעיני חבר הכנסת מטעם תנועת הליכוד אשר משמש בתפקיד השר לבטחון פנים הממונה על המשטרה. נשמע בריא!

התצורה השניה אפילו מסוכנת יותר: המשטרה יכולה להתערב בתכנים המוגשים לכל מי שמבקש לגשת ליעד מסוים, בלי קשר לזהותו. למשל, בוקר אחד יתעורר פקיד אפרורי שיחליט שהגיע הזמן לנתב את כל מי שירצה לגשת לתכני הפודקאסט הפופולרי סייברסייבר, אשר חושף את מצבה העגום של הרשת הישראלית, לעמוד שיראה דומה מאוד, אך שתכניו יכתבו על ידי עשרת אלפים קופים מאולפים במרתפי מערך הסייבר, אשר מפיקים תכנים המהללים ומשבחים את עמידות הרשת ואת ביטחון המידע בה.

שושקה ויואב גלזנר בהפגנה נגד בנימין נתניהו 🖼️ גלזנר
לאן גולשים שושקה ויואב גלזנר מההפגנה נגד בנימין נתניהו? 🖼️ גלזנר

סיכון נוסף הוא סימון אזרחים המתעניינים בנושא מסוים, נניח השחיתות השלטונית המזעזעת הפושה בכל חלקה טובה (אם עוד נשארו כאלה) בשלטון הישראלי. כל מי שייגש לתכנים כאלה יסומן על ידי השלטונות, ותימנע ממנו גישה למשרות מסוימות, למכרזים מסוימים, לסיווג בטחוני, ובעתיד אפילו לדברים אחרים. דוגמה אחרת יכולה להיות שכל מי שיסומן בהפגנות נגד השחיתות (בין אם יעצר או פשוט יזוהה באמצעי זיהוי פנים בצילומים משם) – תחסם ממנו הגישה לרשתות חברתיות בשעות מסוימות או ביום שלפני הפגנה גדולה. ככה זה עובד בסין, פחות או יותר, ואתם יודעים מה אומרים על מיליארד סינים, נכון? הם לא תוהים. הם מצייתים.

החופש שהרשת מספקת לנו – או, אם נדייק,האשליה של החופש שהרשת מספרת לנו – הוא נדבך חשוב בחיים במדינה חופשית ודמוקרטית. מה שאנחנו שוכחים לפעמים זה שהחופש הזה ניתן לנו בזכות, ושהמדינה יכולה להחליט מחר להושיב ארגון בטחוני על השסתום ולמנוע מאיתנו גישה לתכנים מסוימים, לעוות את המציאות כך שנראה רק את מה שהיא מבקשת שנראה, ולעקוב אחרי הפעילות של כל אחד ואחת מאיתנו בצורה קריפית הדורסת את הפרטיות שלנו, ובעצם עשויה לשנות את הדרך שבה נצרוך את המשאב הזה. המחר הזה כבר איתנו לא מעט שנים, מסתבר.

סטטוסים משנות התשעים

עד כאן הבשורות הרעות, ואסור להקל ראש בעניין הזה. אבל מכיוון שאנחנו חיים בקולחוז טכנולוגי, בואו ננסה להפריד בין מה שהמשטרה *מבקשת* לעשות, לבין מה שהיא *יכולה* לעשות עם המערכת הזו. 

הרבה קרה בעולם מאז ישבו המוחות העצומים במשטרת ישראל ותכננו מערכת ניטור והתערבות במידע מסוג זה. דרך היישום של הניטור מתבססת על DNS, קרי, כל מי ש*מבקש* לגלוש לאתר מסוים, יועבר דרך שרתי המשטרה (עוד על מה זה DNS אפשר לקרוא כאן). אבל איך יודעים מי מבקש? מי ששואל את ספקית הרשת שלו לספק לו את כתובת ה-IP של שרת היעד. אז הדבר הראשון שיש לעשות זה להחליף את שרת ה-DNS בו אתם משתמשים למשהו אחר. ידידינו החביב רן בר-זיק כתב מדריך מצוין לעשות בדיוק את זה, ואם בטעות ובמקרה אתם עדיין משתמשים בשרת ה-DNS של ספקית הרשת שלכם, לכו ושנו זאת עכשיו. אנחנו נחכה.

גרפיטי של 8.8.8.8, ה-DNS החלופי שגוגל מספקים 🖼️ kaan sezyum
גרפיטי בטורקיה של 8.8.8.8, ה-DNS החלופי שגוגל מספקים 🖼️ kaan sezyum

חזרתם? טכנולוגיה חדשה (יחסית) שתמנע את התועלת במערכת החדשה נקראת DNSSEC, שכפי ששמה רומז, היא פשוט מערכת DNS מאובטח ומוצפן, מה שלא יאפשר לספקיות (או לכל מי שעומד בדרך) לדעת לאן אנחנו גולשים. האימוץ שלה ברחבי העולם עולה מדי שנה, ובעוד זמן לא רב בכלל היא תחליף את הטכנולוגיה המיושנת העומדת בבסיס מערכת הריגול המשטרתית הישראלית.

טכנולוגיה נוספת היא HTTP/2, שבניגוד לקודמתה מאפשרת להצפין לא רק את התוכן של התקשורת (כמו היום עם שימוש ב-HTTPS), אלא גם את ה-headers הכוללים את שם שרת היעד. נכון לדצמבר 2020, האימוץ של הטכנולוגיה הזו עומד על כמעט חצי (49.7%) מכלל האתרים ברשת, והנתון הזה רק עולה מדי חודש.

אבל גם אם אנחנו לא סומכים על הטכנולוגיות האלה (מכיוון שהן בשליטת היעדים שאליהם אנחנו פונים, ולא בשליטתנו), אפשר ומומלץ להשתמש ב-VPN. כתבתי בעבר על מה זה VPN, ובניגוד להרבה דברים אחרים, זה כן משהו שהייתי שוקל לשלם עליו, וזה מה שאני עושה. על ידי שימוש ב-VPN למשטרה, לפושעים, ולגופים אחרים, יהיה קשה משמעותית לנטר את פעולותינו ברשת. לא בלתי אפשרי, אבל יקר משמעותית. עוד חשוב לציין ש-VPN הוא לא פתרון אנונימיות, וחשוב להבין מה הוא מספק ומה הוא לא מספק לפני שהולכים לחטוף איזו תנומה על זרי הדפנה. צריך גם להיזהר מספקי VPN שמוסרים, מוכרים או דולפים את המידע שלנו לכל מיני גופים מפוקפקים כמו משטרת ישראל.

<חסות>

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו.

אם תיכנסו ל
כאן, או לכתובת המקוצרת Podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.

<\חסות>

לסיכום, משטרת ישראל מכריחה את ספקי הרשת הישראלים להתקין מערכת שפוגעת בנו, באזרחים, ועושה את זה במחשכים. את השאלות החוקיות של הפעלת המערכת אשאיר למשפטנים ממני, אבל את תחושת חוסר הנוחות – כולנו מרגישים. בצד הנעים יותר – המערכת הזו מיושנת, עם יעילות מאוד מוטלת בספק, וניתן לעקוף אותה בקלות ותוך דקות ספורות.

כמה עולה לנו מערכת מטופשת ומיותרת כל כך? מי האדם בעל ההבנה הטכנית הלקויה אשר הציע אותה, ומי האדם בעל ההבנה הטכנית הלקויה עוד יותר אשר אימץ אותה כסטנדרט במדינת היהודים? נמשיך לעקוב. כי באמת רטוב בחוץ, אבל אל תאמינו לחלונאי שאומר לכם שזה גשם.

תגובת המשטרה לחשיפת "הארץ" וסייברסייבר

🎖️ הפירצה"ל: לכו בעקבות הריח

הפרק החדש של סייברסייבר התחיל מ-code smell, מונח מוכר היטב למפתחים מנוסים. מה המשמעות של code smell? סימנים קלים בקוד שמראים שיש איתו בעיה, כמו ריח של דגים שמעיד שהם לא טריים. זו לאו דווקא בעיה ספציפית עם הקוד. יתכן שהוא עושה בדיוק את מה שהוא אמור לעשות, אבל הוא כתוב באופן כזה שמראה שעלולה להיות איתו בעיה. חלק מהניסיון שלי כמפתח גורם לי מיד להריח את הסימנים האלו, והאף של כל אדם טכני שיש לו אי אלו שנות ניסיון רגיש לסימנים האלו כאפו של איסטניס פחמימות שמריח מאפה כשר לאשכנזים מהדרין שבמהדרין לפסח. דוגמה נהדרת לכך אפשר היה לראות במקרה שהגיע לצוות סייברסייבר, וחשף פירצת אבטחה ופרטיות חמורה באתר צה"לי (לא זאת. עוד אחת).

באחד מלילות שישי הקפואים שהיו לאחרונה, כאשר אתם נמנמתם לכם בבית החמים, היתה לי פגישה אפלה במיוחד עם גורם צבאי בכיר. אחרי תיאומים רבים ומרדפים ברחבי פתח תקווה, הצלחתי להשיג אותו. הוא היה חבוש במגבעת ואחז בעותק של המקומון מלאבס. "יש לי רק שתי מילים בשבילך", הוא אמר: "תסתכל באפליקציית הקורונה של הצבא". לא הספקתי לומר לו שאלו חמש מילים והוא כבר נעלם, משאיר מאחוריו עשן סיגרים כחלחל וניחוח אקליפטוסים ומותיר אותי לבד בגשם השוטף.¹

אפליקצית הקורונה של הצבא, שכמקובל בצבא זכתה לראשי תיבות מטופשים – הצב"ר (הצהרת בריאות) – היא בעצם אתר שנגיש אך ורק לטלפונים ניידים (או לכלי הפריצה המשוכלל דפדפן עם תוסף החלפת יוזר אייג'נט). החל מה-23.11, "כלל המשרתים בכלל האגפים, הפיקודים והזרועות" נדרשים, בפקודה של סגן הרמטכ"ל, אלוף אייל זמיר, להיכנס אל האפליקציה ולדווח מדי יום על מצבם – האם אובחנו כחולים? האם חשו בתסמינים? האם שהו ליד חולה מאומת? לא רק שמדובר בפקודה, הצבא שלח סמסים לכל החיילים והזכיר להם למלא את האפליקציה באופן יומי, כשהוא ממשיך להשתמש בלינקים מקוצרים מפוקפקים שאינם על דומיין צבאי אלא בשירות פרטי, שאין לדעת איזה סוג של מעקבים ואיסוף מידע הוא מבצע על הטראפיק.

סמס מצה"ל על שימוש באתר הצב"ר
סמס מצה"ל על שימוש באתר הצב"ר

האפליקציה היא בסך הכל אתר ווב רגיל שאפשר להכנס אליו עם דפדפן. שזו בדרך כלל הבעיה, כפי שעוקבי הפודקאסט יודעים, משום שמדובר בכלי פריצה מפלצתי. שלחתי את כתובת האתר/אפליקציה לנעםר וביקשתי ממנו להעיף מבט. "תסתכל היטב על האתר הזה", השיב לי נעםר, "הוא מסריח יותר מהגרביים הישנים של עידוק שנשכחו בתוך הקממבר שניסיתי לעשות במרתף".

התיאור היה מאוד מאוד גרפי, אבל הבנתי את הכוונה שלו. ממבט באתר אפשר לראות כמה בעיות. בדרך כלל, באפליקציות שבנויות נכון, קוד צד הלקוח (כלומר הג'אווהסקריפט) עובר תהליכים שמסירים ממנו את הערות המתכנתים, ממזערות אותו ומעבירות אותו תהליכים נוספים שנקראים טרנספילציה. כאן הקוד לא עבר שום ערבול – כולו היה גלוי כפי שהוא נכתב, בפני כל מי שרצה להסתכל. כך גילינו, למשל, שיש מתכנתים שהנציחו את עצמם כשקראו לפונקציות על שמם. וזה? זה מסריח למדי. אולי לא כמו הגרביים של עידוק. אבל מסריח.

הצב"ר, אתר דיווחי הקורונה הצה"לי
הצב"ר, אתר דיווחי הקורונה הצה"לי

נבירה מהירה באתר איששה את החולשה שהמקור נקב בה, והחולשה היתה פשוטה מאוד – כל גולשת יכולה היתה לקבל מידע על כל חייל וחיילת, כולל שמם המלא והסימפטומים במידה שדווחו כאלו. במידה והדיווח היה לא מוצלח, היינו מקבלים שגיאה פשוטה. במידה והדיווח היה מוצלח היינו מקבלים לא רק אישור לכך שמספר הזהות קיים, אלא גם כבונוס את שם החייל המלא ואת התסמינים שהוא דיווח עליהם. בנוסף, האתר לא בלם נסיונות קצירה מרובים (ברוט פורס) ולא בלם גישה מסקריפטים. כל מה שגור האקרים היה צריך לעשות זה להריץ סקריפט קצר כדי לקצור את כל הכתובות. איך הסקריפט הזה נראה? ככה:

echo $null > log.txt
for i in $(seq 000000000 999999999); do
curl –header "Content-Type: application/json" –request POST –data "{\"personalId\":\"${i}\"}" clearance.medical.idf.il/api/XXX/YYYY >> log.txt
echo >> log.txt
done

קוד להורדת רשימת חיילי צה"ל מיישומון הצב"ר הצה"לי
קוד להורדת רשימת חיילי צה"ל מיישומון הצב"ר הצה"לי

זה הידע הטכני העצום שנדרש כדי לקבל מאגר איכותי ועדכני של שמות ומספרי תעודת זהות של כל החיילים בצה"ל. פעולה נוספת היתה יכולה להיות שידוך של המידע הזה למאגר מידע אחר (אהם… אלקטור) והחגיגה בהחלט היתה יכולה להתחיל.

באתר צה"ל נכתב כי "הצב"ר פותח, נבחן ומובצע באופן מלא תוך שבועיים בלבד, לפי הנחיית סגן הרמטכ"ל, אלוף אייל זמיר, ע"י אנשי יחידת 'שחר' באגף התקשוב וההגנה בסייבר". ובכן, אחרי שבחנו את כל הממצאים, כל מה שנותר לנעםר לומר זה:  "מי היה מאמין שיחידה של חיילים מבריקים וצעירים בלי שום מפתח בכיר בשטח, שמפתחת, בוחנת וממבצעת(!) אפליקציה תוך שבועיים בלבד, תגרום לבעיה כזו? אני בהלם!". אני חושש שהוא היה סרקסטי, אבל עם נעםר אי אפשר לדעת איתו. לגרביים של עידוק עלולות להיות תופעות לוואי.

את האייטם, מונגש לקהל מעט פחות טכני והסברים מעט יותר מפורטים על מהות פרצות, אני מפרסם היום ב"הארץ".

התגובה של דובר צה"ל לעניין היתה נמרצת – האפליקציה ירדה במהירות ותוקנה. התגובה הרשמית שלהם לא התייחסה לכשל בתהליך, אלא רק לתוצאה שלו: "בבוקר זוהתה תקלה במערכת למילוי שאלון בריאות יומי בצה"ל בהיבט שמירת המידע. התקלה תוקנה לאחר מספר שעות".

____________________________

¹ יש מצב שהסצינה מומצאת וקיבלנו מייל פשוט ואנונימי לתיבת ההדלפות של הבלוג. 

תמונה ראשית: חיילי 8ביט 🖼️ Arrkyre


ווינד מתקדמים מקורקינטים למאגר ביומטרי

הכתב כרמל ליבמן דיווח בשמחה בחדשות 2 כלשהן על "מהלך שיציל חיים? הטכנולוגיה החדשה שתמנע מילדים לשאול את הקורקינטים השיתופיים". כותרת מדוייקת יותר מופיעה בראש פוסט זה.

החוק בישראל מתיר רכיבה על קורקינט ממונע מגיל 16 ומעלה, אולם בפועל רוכבים גם צעירים יותר, אם בקורקינטים פרטיים ואם במושכרים. חברות השכרת-הקורקינטים-ללא-מגע-יד-אדם, ווינד, ברד וליים, ניסו למנוע מצעירים לשכור קורקינטים על ידי שכירת עובדים שיבדקו את גיל השוכרים הקמת מאגר מידע על הנוסעים, שבו הם נדרשים לסרוק תעודת זהות או רשיון נהיגה כדי לאמת את גילם.

ההגנה קלה מאוד לפריצה. לא רק שבני פחות מ-16 יכולים לסרוק תעודה של אדם אחר ולשכור קורקינט, אלא שאפילו לא צריך תעודה אמיתית, כפי שדיווחו אותן חדשות 2 כלשהן בפברואר השנה:

בבדיקה סרקנו רישיון נהיגה פיקטיבי שמצאנו בגוגל, כשמספר תעודת הזהות הוא 123456789 – והקורקינט היה זמין לרכיבה. החברות דורשות להזין גם כרטיס אשראי אבל הדבר לא באמת מעיד על גיל הנהג, מכיוון שאפשר לשאול כרטיס אשראי מאדם מבוגר.

בווינד מטמיעים עכשיו פתרון חדש: זיהוי פנים (כמובן שהוא "מבוסס בינה מלאכותית", לפי מנכ"ל ווינד ישראל, יוחאי עבאדי). בקומוניקט של ווינד נכתב כי

טכנולוגיית זיהוי הפנים נלקחה מתחום הבנקאות כדי לאמת את זהות הלקוח כשהמערכת עושה השוואה של תווי הפנים של הלקוח עם התמונה ברישיון הנהיגה שלו.

[…]

הזיהוי יבוצע כך: כל משתמש יתבקש לסרוק את רישיון הנהיגה שלו בעת ההרשמה לאפליקציה. המשתמש יתבקש לצלם תמונה של פניו ולשלוח כדי שתתבצע ההתאמה של תווי פניו לתמונתו ברישיון הנהיגה. בשלב הראשון, המערכת לזיהוי פנים תאשר את המשתמש תוך 20 דקות בלבד, כך שמהלך אישור המשתמש יקוצר מ-48 שעות כיום ל-20 דקות בלבד לאחר יישום הטכנולוגיה. בשלב השני, ולאחר שהמערכות תעבור את הבקרות המתאימות, יאושרו המשתמשים באופן מיידי. במידה וזוהתה בעיה, העניין יועבר לאישור ידני.

קומוניקט ווינד ישראל, 14.10.2020

כלומר, ווינד ישראל מקימים מאגר ביומטרי של תמונות פנים. גם לקוחות קיימים יצורפו לתוכנית: "החברה תריץ את היישום החדש על כל בסיס המשתמשים של החברה בישראל". אני באופן אישי מרגיש עכשיו הרבה יותר בטוח, אבל אולי זה כי מעולם לא שכרתי קורקינט מווינד.

הדגמת של פיצ'ר זיהוי הפנים של ווינד קורקינטים 🖼️ יחץ ווינד ישראל

לעתים, קורקינטים שיתופיים הם שיתופיים מדי, וסובלים מפירצות אבטחה ופרטיות. בסייברסייבר ע02פ21 דיברנו עם אמיר שלדובסקי מחברת אימפרבה, שחקר וגילה דליפות מידע מקורקינטים שיתופיים שחושפים מידע על עצמם, על המפעילים ועל הרוכבים, כולל אפשרות מעקב גאוגרפי אחרי הרוכבים.


חולדאי דולף

ראש מדינת תל אביב, רון חולדאי, הכריז בתחילת החודש שהוא מתכוון להתמודד בבחירות הארציות, כי אף פעם אין מספיק גנרלים שרוצים לרוץ לראשות הממשלה מטעם השמאל המרכזי. בשבוע הראשון למועמדותו-מטעם-עצמו הוא הספיק לעשות שתי טעויות סייברסייבר: לדלוף מידע שהתכוון לשמור בפרטיות, ולסמן את המידע הזה לטובת מי שהתקשה למצוא אותו.

העיתונאית טל שניידר חשפה את הדליפה: בוק צילומי סטודיו של הראיס, ככל הנראה כהכנה לקמפיין הבחירות הארצי (הבחירות המוניציפליות הבאות רק ב-2023). התמונות הועלו לאלבום "פורטרט ראש העיר – לא לפרסום" בפליקר של עיריית תל אביב, שעדיין קיים ואף מתעדכן לטובת 48 עוקביו (לא פספסתי את המילה אלף, מדובר בארבעים ושמונה אנשים).

הטעות הראשונה היא, כמובן, העלאת האלבום לפליקר כשהוא לא מיועד לפרסום. פליקר מאפשרים לקבוע עבור כל תמונה ותמונה אם היא פרטית, לחברים/משפחה או ציבורית. יתכן שאיש הסושיאל חשב בטעות שהוא מעלה אותן כפרטיות (וזו לא תהיה הטעות המביכה הראשונה שלו [אלא אם הדליפה של אלבום הבחירות היתה מכוונת, כדי לייצר עוד יח"ץ לריצתו העתידית]).

"נאבקים בקורונה […] באים ונדבקים", תקלדה חמודה בפייסבוק של רון חולדאי

העלאת מידע פרטי/סודי באופן גלוי באינטרנט היא בעיה נפוצה מאוד, בגלל הסתמכות על אחסון ענן ומורכבות הגדרות הפרטיות ומתן ההרשאות. למשל: הקמת קבוצת וואטסאפ לעבודה ושלחת לינק הצטרפות בתפוצת נאט"ו משרדית? גולשים זרים עלולים להגיע אליה דרך חיפוש גוגל.

הטעות השנייה היא המילים "לא לפרסום" בשם האלבום, משתי סיבות:

1) הן מסמנות את התמונות כבעלות חשיבות וסודיות. גולשת שהיתה רואה את האלבום הזה בלי המילים "לא לפרסום" עשויה היתה לדלג עליהן משעמום ולפספס את הסיפור.

2) הן מנגישות את התמונות לחיפוש שממוקד במסמכים סודיים. לכו למנוע חיפוש, חפשו קבצי דוק/פדף עם המחרוזת "סודי ביותר" או "לא לפרסום" ותגלו עולם שלם של דליפות מידע.


חוקרים גילו עוד דרך להוציא מידע מהיסטוריית הגלישה. כך נתגונן

היסטוריית הגלישה שלנו מספרת עלינו סיפור. הסיפור הזה זמין לספקי תקשורת, שרתי אינטרנט ושאר גורמים שיש להם גישה, גלויה או סמויה, לגיטימית או עבריינית, להיסטוריה שלנו. לאחרונה, חוקרים ממוזילה הציגו דרך ל"חיבור זהויות משתמש" – קישור בין היסטוריות גלישה נפרדות, גם אם עברו אנונימיזציה והפרטים המזהים הוסרו מהן.

מאחר שהאינטרנט שזורה ביומיום שלנו, היסטוריית הגלישה יכולה לעזור לגלות מי אנחנו, איפה אנחנו גרים, איזו שפה אנחנו דוברים, מה העבודה שלנו, מה התחביבים שלנו, מה אנחנו מחפשים במנועי חיפוש, מה אנחנו עושים ברשתות חברתיות, מאילו מסעדות אנחנו מזמינים, איזה סוג של פורנו אנחנו לא רואים כי אנחנו אנשים מוסריים ועוד. הדפדפן שלנו משמש כחוקר פרטי שעוקב אחרינו כל היום: הוא לא בהכרח יודע מה עשינו בתוך הבניין שהגענו אליו, אבל השלט בכניסה, "מכון לטיפול בהתמכרות לאלכוהול וסמים", יכול לתת לו מושג כללי.

אייפון עוגיפלצת 🖼️ Poster Boy cc-by
אייפון עוגיפלצת 🖼️ Poster Boy cc-by

חוקרים במוזילה, מפתחת הדפדפן פיירפוקס, ביצעו מחקר שבו ניסו לזהות משתמשים על פי הרגלי הגלישה שלהם. הם אספו היסטוריית גלישה בת שבועיים של משתמשים שנתנו הסכמה. כנהוג בניסויים מסוג זה, השבוע הראשון שימש ללימוד, והשבוע השני שימש לניבוי – כלומר לנסות לשייך היסטוריית גלישה של משתמש בשבוע השני, למשתמש שנלמד בשבוע הראשון. היסטוריית הגלישה נוקתה, כמובן, מסממנים מזהים, כולל שמות משתמש בטקסט גלוי ומזהי משתמש מגובבים.

החוקרים הצליחו להתאים בין היסטוריית הגלישה בשבוע השני לגולש בשבוע הראשון ב-50% הצלחה כאשר השתמשו בהיסטוריה של 50 אתרים, וב-80% כאשר העלו את מספר האתרים ל-150.

מי צריך את זה? (תעשיית הפרסום)

"חיבור זהויות משתמש" הוא אחד האתגרים העומדים בפני תעשיית ה-AdTech (טכנולוגיית הפירסום). זיהוי המשתמש מבוסס על קוקית (cookie) המאוחסנת בכל דפדפן בנפרד, ונשלחת לשרתי חברת הפרסום בכל פעם שהמשתמש טוען דף שבו הטכנולוגיה של החברה מותקנת. הדבר מאפשר לחברה ליצור היסטוריית גלישה לכל פרופיל משתמש.

כאשר המשתמש שלנו, יוסי, פותח את הטלפון שלו בבוקר, ונכנס לאתר החדשות האהוב עליו כדי לקרוא כמה אנשים נדבקו היום בקורונה, הדף של אתר החדשות טוען המלצות תוכן מחברת המלצות התוכן המובחרת Fatoosh. הטעינה הזאת תשלח לחברה את הקוקית של הדפדפן בטלפון של יוסי – מחרוזת התווים 4ebd7c47db. פאטוש שומרת אצלה קישור בין משתמש 4ebd7c47db לדף ספירת הקורונה באתר טמקא. מיד אחר כך יוסי רוצה להתעדכן בשער מניית חברת ״צבע״ באתר הטוש.קום, וגם הקישור הזה נשמר אצל פאטוש עבור המשתמש 4ebd7c47db.

אחר כך מתיישב יוסי במשרד הביתי שבסלון שלו, פותח את המחשב ומתעדכן במרוץ אחר חיסון לקורונה באתר ״רפואה שלמה״. אבל עכשיו הוא משתמש בדפדפן של המחשב, אז הקוקית שלו שונה – c4846013d0. כתוצאה מכך, יווצר אצל חברת פאטוש קישור בין c4846013d0 לאתר ״רפואה שלמה״. אחרי כמה דקות עבודה, יוסי ירצה להתעדכן שוב במניין החולים, דרך טמקא, מה שייצר קישור גם בין c4846013d0 לדף המדובר.

התוצאה היא שיוסי מזוהה אצל פאטוש כשני פרופילים שונים – 4ebd7c47db מהטלפון ו-c4846013d0 מהמחשב – ולפאטוש אין דרך לדעת שמדובר באותו יוסי.

המחקר של מוזילה מדגים דרך לחבר בין זהויות כאלה ולתייג אותן כאותו אדם. כך תוכל פאטוש לרדוף בצורה טובה יותר אחרי יוסי בין מכשירים, ולהציג לו ״פרסומות שיעניינו אותו יותר״, כלומר יגרמו לו לפתוח את הארנק מהר יותר, או לכל הפחות יגדילו את הסיכוי שיקליק עליהן.

איך מתגוננים?

בפני המתגלצ'ים זמינות מספר דרכים להתגוננות מפני ההשלכות של המחקר הזה. כדאי להכיר אותן ואת חסרונותיהן:

מחסלים את מפלצת הקוקיות 🖼️ James H. cc-by-sa
מחסלים את מפלצת הקוקיות 🖼️ James H. cc-by-sa
  • גלישה במוד אנונימי (Incognito בדפדפן כרום, Private Mode בפיירפוקס וספארי): גלישה כזו אמנם תגן על הזהות שלנו, אבל תהיה מציקה במיוחד ותדרוש הזדהות מחדש מול כל השירותים בכל פתיחת חלון חדש של הדפדפן.
  • שימוש בחוסם פרסומות: רוב חוסמי הפרסומות חוסמים גם טכנולוגיות מעקב; הבעיה היא שהם עצמם חשופים לכל תוכן הגלישה שלנו, שעלול להימכר או לדלוף. בנוסף, יש חוסמי פרסומות שתמורת תשלום יכניסו חברות לרשימה הלבנה שלהם, ויאפשרו להן לעקוב אחרינו.
  • גלישה ב-VPN: יש הסבורים, בטעות, ששימוש ב-VPN שמסתיר את כתובת ה-IP שלהם יעזור להם לשמור על אנונימיות. על אף היתרונות הרבים של VPN, המחקר הזה מראה שגם אם מתעלמים לחלוטין מכתובת ה-IP של המשתמש עדיין ניתן לזהות אותו.
  • דפדפן מגן פרטיות: שימוש בדפדפן שמציע כלים להגנה על הפרטיות שלנו, כמו פיירפוקס של מוזילה! (או ספארי, או אדג', או Brave). הדפדפן חוסם כברירת מחדל קוקיות צד ג' (3rd party cookies), כאלו שלא שייכות לאתר שבו מבקרים כרגע, ומאפשר חסימה בקליק של טכנולוגיות מעקב. חסימה של קוקיות צד ג' תמנע מחברת פאטוש לשים את הקוקית שלה בדפדפן של יוסי כשהוא גולש באתר טמקא. חסימה של טכנולוגיות מעקב תמנע כליל את טעינת הסקריפט שמציג את ההמלצות של פאטוש. כרום, הדפדפן הפופולרי בעולם, התחיל לחסום קוקיות צד ג' בינואר השנה, אבל נותן למפרסמים ולעוקבים תקופת הסתגלות של שנתיים.

רן לוקאר הוא דאטה סיינטיסט בחברת פייפאל וחוקר אבטחה ופרטיות חובב. הפוסט על דעתו של הכותב בלבד, ואינו מייצג את המעסיק שלו

עוד על אמצעי התגוננות מפני פגיעה בפרטית – בפרק קריפטופארטי של סייברסייבר:


הפתרון למעקב בחסות הקורונה: קריפטופארטי 🐱‍💻 סייברסייבר ע02פ22

הסמארטפון מספר לתא הסלולרי את מיקומך, ה-GPS מאכן אותך והדפדפן מגלה לספק האינטרנט לאן גלשת ומה ראית. בקריפטופארטי מסבירים איך למנוע זאת באמצעים פשוטים 🐱‍💻 סייברסייבר עם יובל אדם, נעם רותם ועידו קינן

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: הרצאה של אדוארד סנואודן / אורנשטיין חושן; כושר / FBI; ראש ה-NSA לשעבר מייקל היידן; בני גנץ, שלא ייכנס לממשלת בנימין נתניהו, נכנס לממשלת בנימין נתניהו: N12, ערוץ הכנסת; פרשת נועה אייל – מציאת הרוצח דניאל נחמני: רשת, וויינט, גלצ, כאן; תדהר הירשפלד נגד המחבלים מיצהר / רועי שרון 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 💵 מוזיקת אייטיז בפרסומות: 80s by Fryc (cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@cybercyber.co.il

מעקב בחסות הקורונה 🎨 Syaibatul Hamdi
מעקב בחסות הקורונה 🎨 Syaibatul Hamdi

קורונה וקורקינטים עוקבים אחריכם 🐱‍💻 סייברסייבר ע02פ21

🛡️ אל תתקינו את אפליקציית "המגן" של משרד הבריאות 🛴 קורקינטים שיתופיים איפשרו לעקוב אחרי הרוכבים 🐱‍💻

יש לנו הרבה מילים חמות למשרד הבריאות על הדרך שבה פיתח את יישומון "המגן", על האנשים שייעצו בנושא ועל שחרורו בקוד פתוח. אבל אנחנו ממליצים להימנע ממנו עד שבעיות הפרטיות המובנות בו ייפתרו.


חסות

מחקר של SentinelOne גילה קשר בין הפושעה TrickBot לבין קבוצת ההאקרים לזרוס, המקושרת לצפון-קוריאה ובין השאר לפריצה לסוני. החברה גייסה לאחרונה 200 מיליון דולר, ועכשיו מחפשת עובדים. להגשת קו”ח >>



הקורקינטים השיתופיים שיתופיים מדי. אמיר שלדובסקי מחברת אימפרבה חקר וגילה שהם חושפים מידע על עצמם, על המפעילים ועל הרוכבים. כאן תחקיר הקורקינטים של אימפרבה, וזה סרטון הדגמה של פירצת הקורקינטים:

קורקינטים של שיאומי היו חשופים לפריצה שמאפשרת האצה ובלימה



חסות

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.



מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: קורונה וירוס / קרדי בי, אליה גרינפלד: הכל קורונה / יותם קונסטנטיני, גמל / acclivity, cc-by-nc, גוגל מאפס, טוסט סיילון / המפץ הגדול; פריצת סאונד לקורקינטים של ליים (כתבה); הדגמת פירצת קורקינטים / אימפרבה; פרסומות ליים, ווינד, בירד; רבע עוף או בורקס / רבקה מיכאלי ויוסי בנאי, איש המרשמלו / מכסחי השדים 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 💵 מוזיקת אייטיז בפרסומות: 80s by Fryc (cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים


📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@cynbercyber.co.il


📞 הטרוקולר הסעודי שחשף הכל על המשתמשים 🐱‍💻 סייברסייבר ע01פ09

כשאתם מתקינים אפליקציית זיהוי מתקשרים, היא לוקחת את כל הפרטים של כל אנשי הקשר שלכם. האפליקצייה הסעודית דליל לקחה פרטים רגישים גם על משתמשיה – והפקירה אותם ברשת. סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר

רוצים לדעת מי התקשר אליכם? יש אפליקציה לזה. אבל אל תתקינו אותה: היא תשתה את כל ספר הטלפונים שלכם, עם כל הפרטים של כל אנשי הקשר. בפרק 9 של סייברסייבר, נעם רותם ורן לוקאר מדברים עם עידו קינן על אפליקציית זיהוי השיחות הסעודית “דליל“, שאספה יותר מדי מידע על 5 מיליון משתמשיה – והפקירה אותו ברשת לכל הגולשים

אפליקציית דליל

🤖 וגם: תשדיר שירות לפרוייקט הבוטים הגדול של יובל אדם ונעם רותם.


🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, נעם רותם ➕ אורח: רן לוקאר 🎵 מוזיקה: Fauna & Killah B (CC-by), רוברט קלאות’, xclntr (cc-by) 🎛️ אפקטים ואינסרטים: Taken, כל אנשי הנשיא 📸 Nambit, VN (cc-by), Harrison Moore/Unsplash 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cybercyber@podacsti.co