כך תתמודדו עם Fąčeƅõõk Šĕčủŗıtƴ

הודעת הונאה מ"פייסבוק סקיורטי" ותשובה של עידו קינן בנוסח ספאמרים של שיווק רשתי

היזהרו מהווירוס GWX.exe, שמבטיח לכם חונמה מזיקה בשם Windows 10

וירוס בשם GWX.exe תוקף משתמשי חלונות 7 ו-8.

הווירוס מתחזה לעדכון KB3035583 של מיקרוסופט, שמוצג ככזה שכדאי להתקין כדי “לפתור סוגיות בחלונות”.

הודעה מטעה של מיקרוסופט על עדכון KB3035583 שמחדיר למחשב את וירוס GWX.exe

אחרי ההתקנה ואתחול מחדש, הווירוס שותל ב-Systray אייקון שנראה כמו הלוגו של חלונות בשחור-לבן.

אייקון הסיסטריי של וירוס GWX.exe

הווירוס לא מספק דרכים לסגירתו או להסרתו. סגירת הפרוסס שלו, GWX.exe, עוזרת רק לטווח קצר, משום שהוא מפעיל את עצמו מחדש.

הפרוסס של וירוס GWX.exe

כשמרחפים מעל האייקון עם העכבר מופיע הכיתוב “Get Windows 10”, והקלקה עליו פותחת חלון שמבטיח למשתמש חונמה (תוכנה חינמית) בשם “Windows 10”.

חלון "Get Windows 10" של וירוס GWX.exe

כידוע, גורמים זדוניים מפתים את המשתמש להתקין חונמות שנראות תמימות, ואז גורמים לו נזק למחשב באמצעות אותן חונמות. לפי דיווחים בתקשורת, משתמשים שניסו להוריד את החונמה “Windows 10” נקלעו ללופ של הורדה בלתי נפסקת של החונמה, שתקעה להם את המחשב.

במיקרוסופט ישראל לא מודים בקיומו של הווירוס, ומכנים אותו “הצעת השדרוג לחלונות 10”. איש תמיכה של החברה הציע לי להיכנס כמנהל מערכת, להפעיל את ה-CMD ולכתוב את הפקודה
wusa /uninstall /kb:3035583
אולם הווירוס לא התרשם, ונשאר בסיסטריי.

ההצעה השנייה שלו היתה להתקשר למיקרוסופט ישראל ולבקש שיתחברו אלי למחשב מרחוק ויסירו את הווירוס.

אעדכן כשאמצא פתרון מוכח להסרת הווירוס שלא כולל חדירה של עובדי מיקרוסופט למחשב שלי.

שיחה ראשונה על וירוס GWX.exe עם נציג תמיכה של מיקרוסופט ישראל, 12.8.2015

שיחה שנייה על וירוס GWX.exe עם נציג תמיכה של מיקרוסופט ישראל, 12.8.2015

האקרים זדוניים במרחק פעימת לב מרצח סגן נשיא ארה”ב


עידו קינן, ג’וני זילבר

דיק צ'ייני. איור: מייק פיטרסון (cc-by-nc-sa)

דיק צ’ייני חשש שפרצנים יתנקשו בחייו על ידי פריצה אלחוטית לקוצב הלב שלו • חמש שנים אחר כך, התנקשות כזאת כיכבה בפרק של “הומלנד” • הפרק נתן השראה להאקר, שהצליח לפרוץ קוצבי לב אך מת שבוע לפני הדגמה בכנס האקרים

סגן נשיא ארה”ב לשעבר דיק צ’ייני חשש מהתנקשות בחייו מצד קראקרים (פרצני מחשב זדוניים), שישגרו לקוצב הלב שלו פקודה לגרום לו לדום לב. שנים אחר כך צפה צ’ייני בהתנקשות כזאת בסגן הנשיא בסדרה הבדיונית “הומלנד”. רק לפני חודשיים אמור היה האקר לחשוף בכנס האקרים בלאס וגאס פירצה בקוצבי לב שמאפשרת לחסל מרחוק אנשים שמכשיר כזה מושתל בגופם, אולם מת שבוע לפני הכנס בנסיבות שטרם הובררו.

צ’ייני, שהתחיל את הקריירה הפוליטית שלו בימי הנשיא ניקסון, נבחר לסגנות הנשיאות ביחד עם הנשיא הרפובליקני ג’ורג’ וו. בוש בשנת 2000 ושירת בתפקיד שתי קדנציות. צ’ייני סובל מבעיות לב במשך שנים, עם חמישה התקפי לב שהראשון בהם בגיל 37 והשתלת לב בגיל 71, לפני כשנה וחצי.

ב-2007 הוחלף קוצב הלב של צ’ייני, והקרדיולוג שלו, ג’ונת’ן ריינר, נטרל את האפשרות לשלוט בו אלחוטית. ריינר סיפר על כך בראיון לד”ר סנג’אי גופטה בתוכנית התחקירים “60 דקות”, שתשודר היום (א’), סיפר ריינר: “היה נראה לי שזה רעיון גרוע שלסגן נשיא ארה”ב יהיה מכשיר שמישהו בחדר המלון הסמוך או במורד המדרגות יוכל להיכנס אליו, לפרוץ אליו, וחששתי שמישהו יוכל להרוג אותך”, סיים את דבריו כשהוא פונה לצ’ייני, הישוב לידו.

בדצמבר 2012 שודר הפרק “לבבות שבורים” בסדרה “הומלנד”, שבו האקר מחסל את סגן הנשיא על ידי שליחת פקודה אלחוטית לקוצב הלב שלו להגביר את קצב הלב, מה שגורם להתקף לב ומביא למותו. צ’ייני צפה בפרק הזה, וסיפר בראיון ל”60 דקות”: “הייתי מודע לסכנה, אם תרצה, שהיו קיימות. אבל מצאתי את זה אמין, כי ידעתי, מהנסיון שלנו, ומהצורך בכיוונון של המכשיר שלי, שזה היה תיאור מדויק של מה שהיה אפשרי”. צ’ייני ורופאו ריינר התראיינו כדי לקדם את מכירות ספרם החדש, “לב: אודיסיאה רפואית אמריקאית” (“Heart: An American Medical Odyssey”).

רעיון דומה, בקנה מידה רחב הרבה יותר, הוצג בסדרת הרשת “H+”, שעלתה לשידור ברשת באוגוסט 2012, ומציגה עולם שבו לשליש מהאוכלוסיה מותקן שתל שאוסף מידע רפואי על המתרחש בגופם, מחבר אותם לרשת ומשדר מידע ישירות לעיניהם. בפרק הראשון בסדרה חודר וירוס מחשב אל הרשת של השתל, וכל המושתלים צונחים אל הקרקע ומתים מיד.

נסיון החיסול הבדיוני ב”הומלנד” וב”H+” וחששו של צ’ייני אינם מדע בדיוני, אלא ניצניו של איום ממשי. האקר בשם ברנבי ג’ק, שהתפרסם כשהדגים פריצה לכספומטים שגרמה להם להשפריץ שטרות לכל עבר, הציג בתחילת 2012 השתלטות על מכשיר להזרקת אינסולין, אשר מושתל בחולי סכרת. הפירצה שמצא איפשרה לו, ממרחק של כמאה מטר, לשלוט בכמות האינסולין המוזרק, דבר שיכול להביא למותו של המושתל. הוא הביא את הפירצה לידיעת יצרני המכשיר, כדי שיוכלו לחסום אותה. באמצע 2013 סיפר ג’ק שהצליח לפרוץ לקוצבי לב ודפיברילטורים, לאחר שהפרק של הומלנד נתן לו השראה לבחון את פגיעות המכשירים הללו. “זה בטח לקח לי בסביבות שישה חודשים, מהינדוס-לאחור ומציאת הפגמים דרך פיתוח התוכנה ועד לניצול נקודות התורפה”, סיפר בראיון למגזין וייס בחודש יוני. תוכנה שכתב איפשרה לו לשלוט בהם מרחוק ולבצע פעולות כמו כיבוי, שינוי נתונים ושליחת פקודה לדפיברילטור לתת ללב שוק חשמלי של 830 וולט, כולם בעלי פוטנציאל הריגה של המושתלים.

הוא מת בסוף יולי, שבוע לפני הצגת הפירצה בכנס האקרים בלאס וגאס.

ביוני השנה, הרבה אחרי פירצת מכשיר האינסולין וקצת לפני ההדגמה שבוטלה של פריצת הקוצבים והדפיברילטורים, פרסם מנהל המזון והתרופות האמריקאי (FDA) אזהרה לבתי חולים, יצרני ציוד רפואי ומהנדסים ביורפואיים מפני מתקפות סייבר על מכשירים רפואיים המושתלים בגוף, כמו קוצבי לב ודפיברילטורים. ה-FDA הזהיר מפני סכנות למכשירים רפואיים שמוכרות למשתמשי מחשבים וטלפונים סלולריים: פירצות במוצרי מדף, אי עדכון גירסאות תוכנה, דליפה של סיסמאות, שליטה אלחוטית וחדירת רושעות (תוכנות שמבצעות פעילות זדונית) דרך רשתות תקשורת פנימיות וחיצוניות. באזהרה נכתב כי “מכשירים רפואיים רבים מכילים מערכות מחשב מוטמעות שניתן לשנות בהן הגדרות, ואלו פגיעים לפירצות סייבראבטחה. בנוסף, מאחר שיותר ויותר מכשירים רפואיים מחוברים דרך האינטרנט, רשתות של בתי חולים, מכשירים רפואיים אחרים וסמרטפונים, יש סכנה גוברת של פירצות סייבראבטחה, שעלולות להשפיע על תפקודו של המכשיר הרפואי”.


ג’וני זילבר ועידו קינן עובדים יחד כבר יותר מדי שנים. הכתבה התפרסמה באתר “הארץ”, 19.10.2013

בנק הפועלים חוסם גולשים מחו”ל. רשימת המדינות החסומות סודית


אבירם חניק

ציפורים על שלט בנק הפועלים ברחוב יהודה הלוי בתל אביב, 24.8.2008. צילום: עידו קינן

תקציר מנהלים

אתר בנק הפועלים, קצת כמו פנדורה, לא עובד מחו”ל (לפעמים).

תקציר

אם יש לך חשבון עסקי בבנק הפועלים ואתה הולך להיות בחו”ל, קח בחשבון ש*אולי* לא תהיה לך גישה לאתר. למה אולי? כי הבנק לא יגיד לך איזה מדינות חסומות או מתי. אתה תושב חו”ל ורוצה לגשת לאתר? תשכח מזה, או תעבור למדינה המאושרת על ידי הבנק (אבל אל תשאל את הבנק מה מאושר, שם לא יגידו לך).

הסיפור הארוך

לפני כשנה, כש”ההאקר הסעודי” פרסם ברשת פרטים של כמה עשרות אלפי כרטיסי אשראי שנגנבו מאתרים ישראליים, היה גל של אתרים ישראלים שהתחילו לחסום גישה לאתר מארצות שנראו להם חשודות. בנק ישראל הורה אז לבנקים לחסום את אתריהם לגישה מכתובות IP ספציפיות מערב הסעודית, איראן ואלג’יריה. כיוון שישראלים לא ממש יודעים מה חשוד (למשל, כל האסיאתים כידוע נראים אותו הדבר), בערך חצי מאוכלוסית העולם נחסמה (הבנקים הבינלאומי ודיסקונט, למשל, חסמו כליל את הגישה לאתריהם מחו”ל). אני יודע את הסיפור כי אני מסתובב הרבה בחו”ל, בעיקר באסיה, וחוויתי את החסימות, וגם כי אושיית אינטרנט ישראלית פנתה אלי אז לנסח הסבר “ממומחה אבטחת מידע” למה לחסום גאוגרפית זה לא עוזר בגרוש מבחינת אבטחת מידע, אבל מזיק מכל בחינה אחרת. איכשהו אחרי קצת זמן השטות הזאת נעלמה, והפסיקה החסימה תלוית הגאוגרפיה, ואז שכחתי מכל העניין.

לאחרונה, בפתאומיות, קיבלתי דז’ה-וו-אול-אובר-אגיין. גיליתי שאי אפשר לגלוש לאתר העסקי של בנק הפועלים, שם יש לנו חשבון. הם חוסמים לגמרי גישה לאתר (לא נותנים איזו הודעה). זה גרם לי כמה שעות של תסכול כי חשבתי שהבעיה היא באתר שלהם (שיורד מדי פעם) או בדפדפן (כי הרי הם מאפשרים להשתמש רק באקספלורר, ואני משתמש באקספלורר רק עבור אתר הבנק). כיוון שהייתי בדרום קוריאה, ואיכשהו נזכרתי בסיפור שהבאתי במבוא, התחברתי דרך VPN כדי לקבל כתובת אמריקאית. הפלא ופלא – אם אתה “אמריקאי”, האתר עובד.

אתר בנק הפועלים חסום. צילומסך: אבירם חניק

הבעיה עם חסימה גאוגרפית היא שהיא תחסום הרבה לקוחות לגיטימים. כאן נתתי דוגמה ללקוח משלם (אני) שנמצא בארץ אחרת – אין ספק לאף אחד שמדובר בי ולא בתוקף, אז למה לחסום אותי בכל זאת? חלק אחר מהלקוחות יחסמו בגלל שמאגר הנתונים שמסווג למדינות אינו מושלם, והוא עשוי לחשוב שמישהו בכפר סבא נמצא ברשות הפלסטינית. חלק נוסף יחסם בגלל שהאינטרנט היא רשת גלובלית: מישהו שמשתמש ברשת של חברה יפנית עשוי לצאת לאינטרנט עם כתובת ביפן.

אבל גם מבחינת החסימה עצמה, היא לגמרי לא אפקטיבית. ההתקפות נעשות דרך מחשבי “זומבי” (רשת של מחשבי זומבי נקראת “בוטנט”) שהם מחשבים מכל העולם שתקפו אותם ומשתמשים בהם בתור בסיס תקיפה (דמיין את המחשב של הדודה בתור בסיס מחבלים קטן). במלים אחרות, ההתקפה על הבנק תגיע, כמעט תמיד, ממחשב בארה”ב, או באירופה או אפילו בישראל – מחשב של דודה מסכנה שלא הספיקה לעדכן את הדפדפן או הורידה בטעות רושעה. לסיכום, לא חסמנו את ההתקפה עצמה אבל כן חסמנו לקוחות לגיטימים. זה ילד פוסטר לאיך שלא עושים אבטחה.

שלחתי לבנק דואל, דרך ממשק “צור קשר” באתר העסקי. קצת סקרן אותי לדעת אם תהיה להם סיבה לגיטימית לחסימה, ובעיקר רציתי לדעת איזה מדינות חסומות (מסיבות פרקטיות; אנחנו מבצעים את כל הפעולות בחשבון דרך האתר, ואני צריך לדעת אם האתר יעבוד לי, או שאני צריך לבקש ממישהו לעשות את זה מהארץ במקומי. סין, למשל, כבר לא מרשה תעבורת VPN, ואם סין חסומה, לא תהיה לי גישה לאתר בכלל. אני נמצא בסין פעם בחודש, בערך).

הייתי שמח לדעת מה הסיבה שלא ניתן לגשת לאתר מכתובות IP בקוריאה?

הגישה היתה פתוחה עד לפני מספר ימים ללא כל בעיה.

אם ברצונכם להשאר הבנק הראשון בישראל, כדאי שתקחו בחשבון שיש אנשי עסקים שנמצאים בחול חלק מהזמן, וצריכים גישה לחשבון העסקי.

אודה על תשובה בהקדם.

– Aviram

באותו יום קיבלתי את התשובה המדהימה-ולא-מפתיעה-כאחת הבאה:

אבירם שלום,

תודה על פנייתך,

בהתאם להוראות אבטחת מידע, וכפעולת מנע אל מול האיום המתגבר לאחרונה ברשת האינטרנט, הוחלט לחסום באופן זמני את הגישה לאתרי בנק הפועלים ממדינות מסוימות בחו”ל.

אנו מבצעים הערכת מצב באופן סדיר, ומקווים לחדש את הגישה לאתרים בהקדם.

נשמח לעמוד לשירותך במוקד שירות לקוחות האינטרנט בטלפון 2409*, 03-6532409

אנו מתנצלים על חוסר הנוחות.

* לשירותך תמיד
שירות לקוחות פועלים באינטרנט בנק הפועלים

זה הזכיר לי את השיטה הצה”לית של איך בודקים איזה מחשב מחובר לארון התקשורת לשקע 152. ככה: אתה מנתק את הכבל שמחובר לשקע 152, ומחכה לראות מי מתלונן שלא עובד לו המחשב. כשיוסי מתלונן, אתה רושם “יוסי” ליד שקע 152, וממשיך לשקע 153. בנק הפועלים רצה לראות מה יקרה שהוא מנתק את התקשורת לאתר ממדינה X. האם יפסקו ההתקפות? (ספוילר: לא). האם יתלוננו לקוחות? (ספוילר: למי אכפת).

כיוון שהמייל הסתיים ב”אנו מתנצלים”, חשבתי שאולי לא הובן חומרת המצב. למשל, אולי הם חושבים שגישה לאתר בנק הוא לא דבר שכל כך חשוב לחברה עסקית, או אולי הם ציפו ממני לקפוץ לסניף המקומי של בנק הפועלים בקוריאה. שמתי לב, גם, ששכחתי לשאול איזה מדינות חסומות – שהרי התשובה שלהם אמרה שיש “מדינות מסוימות”. החלטתי להדגיש את הבעייתיות:

כיוון שמדובר במניעת שירות מלקוח, אני דורש לדעת:

– מאיזה מדינות מתקיימת החסימה (על מנת שלא יהיו לי הפתעות נוספות)
– מתי תהיה אותה “הערכת מצב”

אולי לא הבנתם את חומרת הבעיה, אתם מונעים ממני לחלוטין גישה לאתר כשאני בחו”ל. הגישה לאתר חשובה במיוחד למי שאין לו קשר טלפוני עם הבנק ולא יכול להגיע לסניף באופן פיזי כדי לבצע פעולות בסיסיות.

– Aviram

כאן עבר הבנק להגנת ה”למען ילדינו”. כלומר, “מטעמי סודיות”. סליחה, “מטעמי אבטחת מידע”. מישהו צריך להמציא משפט שמקביל ל”הפטריוטיות הוא מפלטו של הנבל” אבל עם אבטחת מידע.

אבירם הנכבד,

תודה על פנייתך

מטעמי אבטחת מידע, הבנק שומר לעצמו את הזכות לפי הצורך, לחסום גישה ממדינות שונות בחו”ל.

במידה והינך שוהה באופן קבוע בחו”ל, באפשרותך לפנות למוקד “פועלים באינטרנט” לבדיקת חלופות לשימוש באתר במדינה בה אין את האפשרות לגלוש לאתר הבנק מסיבות אבטחה.

בנוסף לכך, מטעמי סודיות אין באפשרותינו למסור את שמות המדינות מהן לא ניתן לגלוש לאתר הבנק.

מתנצלים על אי הנוחות.

לשירותך תמיד
שירות לקוחות פועלים באינטרנט
בנק הפועלים

אתה מבין? יש להם “חלופות” לאינטרנט. האם מדובר על אינטרנט2? או שאולי יש לבנק BBS שאפשר לחייג אליו במודם? אינטרנט מעל יונים? (סוף סוף RFC 1149!)

(אגב, אחרי סיפור ההאקר הסעודי, כשאתרים ישראליים, חלקם ממלכתיים, חסמו גישה מחו”ל, הם חסמו גישה לגוגלבוט, הבוט של גוגל שמאנדקס אותם, מה שאמר שגוגל הוריד אותם מהרשת אחרי שבוע. במלים אחרות, הם עשו DDoS לעצמם. על זה ברוס שנייר אומר: כשאתה נותן לחובבנים לעשות אבטחה, אתה מקבל אבטחה חובבנית).

בבנק הפועלים סירבו בכל תוקף להגיב.


אבירם חניק הוא מנכ”ל חברת אבטחת מידע. הסיפור התפרסם במקור בגירסה שונה בטור “השרת” במדור fi בגליון פברואר 2013 של מוסף פירמה של גלובס


המאגר הביומטרי: אגדות ושקרים בעלון פרסומי

פוסט של יהונתן קלינגר

בחודשים הקרובים, ככל הנראה, כשתגשו למשרד הפנים, יבקש מכם בצורה יפה ומנומסת הפקיד לתת את טביעות האצבע שלכם ולחייך יפה למצלמה כדי לקבל תעודות חכמות. לצורך כך הפיקה רשות האוכלוסין וההגירה עלון שכותרתו “מתקדמים לתיעוד חכם: שותפים למהלך לאומי”. אלא, שיש כמה דברים ששוכחים לומר לכם בחוברת, שכל מטרתה להציג איזה נפלא יהיה אם המדינה תחזיק עליכם מידע שיוכל, בסופו של דבר, להסתובב באינטרנט ביחד עם שאר המידע שהמדינה כבר אספה עליכם.

אני יודע שלשבת ולענות לטענות של משרד הפנים מקבע אותנו לשיח שהם הציגו, ולכן אני רוצה קודם להציג את הגירסה שלנו: כדי לנהל תיעוד חכם לא צריך מאגר ביומטרי; את זה לא אני אמרתי, אלא מבקר המדינה אמר פעם אחר פעם, כשכתב בדוחות שלו, ביחד עם דיווח על דליפת מרשם האוכלוסין, כי אין צורך להצמיד את התעודות החכמות עם מאגר ביומטרי. השימוש היחיד למאגר ביומטרי הוא להעביר למשטרה, לשב”כ ולרשויות אחרות את המידע האישי ביותר שלכם, כדי שהם ישתמשו בו ביד חופשית.

אז בואו נתחיל לפרוש את שקרי משרד הפנים, ראשון ראשון ואחרון אחרון.

“מדינת ישראל תחל להנפיק תעודות זהות ודרכונים חכמים מדגמים חדשים ועמידים בפני זיוף”. ובכן, כן. תעודות הזהות הנוכחיות במצב כל כך רע, שאפילו כרטיס הסטודנט או כרטיס הספריה שלכם קשה יותר לזיוף. אבל, שני דברים קטנים: הראשון הוא שאת תעודות הזהות החכמות באותו הסגנון כבר זייפו לפני מספר שנים. קבוצת האקרים בשם THC זייפה את הדרכון הביומטרי של אלביס פרסלי ועברה איתו במעבר גבול. אז כן, כבר בכותרת משקרים לכם. כן, התעודות יהיו קשות יותר לזיוף, אבל הבעיה השניה היא בעצם בכך שאכן, התעודות קשות לזיוף, אבל מה שלא קשה לזייף היא הביומטריה שלכם. עו”ד אפי פוקס הצליח כבר לזייף את טביעת האצבע של עצמו ולעבוד על מאגר ביומטרי אחר, של לשכת התעסוקה. אז כן: מרגע שטביעת האצבע שלכם מזהה אתכם, אז אין על מה לדבר: קל לזייף טביעת אצבע, קשה לזייף תעודה.

נמשיך עם השקרים; “מדי שנה אובדים ונגנבים למעלה מ-130,000 תעודות זהות ולמעלה מ-22,000 מסמכי נסיעה”. אכן, יש ספקות לגבי המספרים האלה והם משקפים גם תעודות שהושחתו, או שסתם התיישנו, וגם לא ממש משקפות את מספר התעודות הגנובות, אבל מה ששוכחים לומר הוא שגם בלי המאגר הביומטרי אפשר לטפל בתעודות הגנובות והאבודות (זוכרים: קשה לזייף את התעודות, אז אם הן אבדו הן חתיכת פלסטיק לא שימושית).

הפסקה השניה היא שממשלת ישראל עוסקת מזה שנים בנסיון להחלפת תעודות הזהות ומסמכי הנסיעה. וזה נכון; מבקר המדינה כבר התריע כי המדינה גוררת את תהליך ההנפקה הרבה מעבר לצורך. ואתם יודעים מה הסיבה לכך? ובכן, התעקשותו של משרד הפנים להקים מאגר ביומטרי ולא רק להנפיק תעודות חכמות. באחד הדיונים בכנסת אמר מאיר שטרית, שהיה פעם שר הפנים, כי “יכולתי לעשות לעצמי חיים קלים ולומר למה לי מאגר… יכולתי לעשות לעצמי חיים קלים ולומר שבעצם למה לי מאגר, אני רוצה לעשות כותרות, אני אפיק תעודות זהות… אני למרות זאת החלטתי – אפשר להפיק תעודות בלי מאגר מיידית כמעט – כן ללכת להקמת מאגר עם העיכובים”. כלומר, מדוע מדינת ישראל מעכבת? כי היא רוצה להחזיק את הפרטים שלכם במאגר מרכזי. אמרו מעתה: המדינה הפקירה אותנו לאורך שנים כדי להביא אותנו למצב כזה, ורק כדי שעכשיו יכריחו אותנו לתת את טביעת האצבע.

אז מה באמת יתרונות התיעוד החכם? ובכן, היתרון העיקרי הוא בתעודות החכמות ולא במאגר הביומטרי. אכן, באמצעות תעודות חכמות אפשר לבצע לא מעט פעולות מול משרדי הממשלה. אלא, שביחד עם היתרון הזה מגיעה הסכנה הבלתי נמנעת של המאגר. המאגר הוא פגיעה ממשית בפרטיות. אכן, אתם מכירים מאגר שלא דלף? כבר היום מרשם האוכלוסין שלנו מסתובב באינטרנט, אבל לא רק זה: תחשבו רגע על השירות הצבאי. אתם זוכרים כמה היה קל ללכת לחבר בבקו”ם כדי לדעת מה הקב”א והדפ”ר של כל אחד? עכשיו יהיה קל באותה המידה לגורמי פשיעה ללכת ולקבל את טביעות האצבע שלכם.

אז במה שונות התעודות החכמות מהתעודות הקיימות? כן. התעודות יותר בטוחות. אבל כמו שאמרנו, גם הן לא בטוחות לגמרי מזיוף. היתרון העיקרי שלהן הוא בכך שאם אבדה תעודה, אפשר לבטל אותה מרחוק. העניין הוא אבל, שלא צריך מאגר ביומטרי בשביל זה, והמדינה דוחפת לכם את המאגר בכח.

כיצד אפשר לקבל תעודה חכמה? בשביל לקבל תעודה חכמה תצטרכו לנדב למדינה את המידע הביומטרי שלכם. בחודשים הקרובים פקידי משרד הפנים הולכים להפעיל עליכם לא מעט לחץ, ולהתעקש שתתנו את המידע. אתם צריכים לזכור שלאותו פקיד יש אינטרס שתתנו את המידע. מידע שהמדינה מחזיקה לא ימחק ככל הנראה לעולם, וכמה שיותר אנשים יתנו את טביעת האצבע שלהם, כך יפחת הסיכוי שהמדינה תתפכח ותגיד “אנחנו יכולים גם לתת תעודות חכמות בלי מאגר ביומטרי” ולתת לכם להנות מבטחון רב יותר גם בלי לשמור את טביעות האצבע שלכם.

מה יעשה במידע הביומטרי? המידע ישמר במאגר שתהיה גישה אליו, בסופו של דבר, לכמה עשרות אלפי עובדי מדינה ועובדי קבלן. אז מה הסיכוי שהמידע הזה לא יסתובב באינטרנט? אפס. אבל את זה לא אני אומר, אומר את זה משה בסול, מי שהיה ראש יחידת אבטחת מידע במשרד ראש הממשלה. גם בסקר אובייקטיבי שביצע מכון “מאגר מוחות” התגלה ששני שליש מהציבור מאמינים ששהמאגר ידלוף לגורמי פשיעה. אז למה כן לתת?

מה המאגר הביומטרי ומה תפקידו? גם כאן משקר משרד הפנים, שאומר שהדרך היחידה למנוע מזייפנים וגורמי טרור לנסות לגנוב את זהותך היא מאגר. ההיפך: יותר קל לזייפנים לגנוב את הזהות אם היא מאוחסנת במאגר (זוכרים: יש את מרשם האוכלוסין באינטרנט). רשימה ארוכה של מומחים באו והציעו למשרד הפנים לשמוע דרכים אחרות, אבל זה לא הסכים. ככה, בצורה פשוטה, מפקירים אתכם.

כיצד יאובטח המאגר? גם כאן מעיפים עלינו שקרים יפים. אכן, המידע במאגר יוגדר “סודי ביותר”, אז מה? המידע במרשם האוכלוסין הוא לא סודי? מעבר לזה, אתם יודעים מה עוד היא המטרה של ההגדרה כסודי? המאגר הביומטרי לא כפוף לחוק חופש המידע. כלומר, אנחנו כציבור לא נדע אפילו אם המידע שלנו דלף ומה עובדים מושחתים עשו איתו. מעבר לזה, אם לאף אחד לא תהיה גישה למאגר, אז איך בדיוק ישתמשו בו כדי לזהות אנשים? השקר הדק של “לאף אחד אין גישה” לא עומד מול מאגר שיצטרך לטפל בעשרות אלפי בקשות כל יום.

ואז משרד הפנים כותב “מה קורה בעולם”. שום דבר ממה שכתוב שם לא ממש נכון: באף מדינה בעולם לא מכריחים את כל האזרחים לתת גם את טביעת האצבע וגם את צילום הפנים. הסיבה לכך? זה פשוט לא נחוץ. אין אף מדינה דמוקרטית שצריכה מאגר ביומטרי של אזרחים, אלא רק של פושעים. בעולם אכן מנפיקים תעודות זהות חכמות, כמו שהיה יכול להיות בישראל לפני עשור אם לא היו מתעקשים להגניב לנו את המאגר הביומטרי.

להפצת מאמר זה בפורמט של עלון הקליקו כאן והורידו גירסת פידיאף. טקסט: יהונתן קלינגר. גרפיקה: הגר צימרמן ביקובסקי. הפקה: עידו קינן.

להורדה (PDF, 339KB)


יהונתן קלינגר. צילום: יוסי גורביץ, cc-by-sa יהונתן קלינגר הוא עורך דין העוסק בתחום דיני המידע וכותב את הבלוג Intellect or Insanity. קלינגר כתב על המאגר הביומטרי שאינו אתר קופונים בגליון ינואר 2012

תירגעו, המאגר הביומטרי הוא לא אתר קופונים

פוסט של יהונתן קלינגר
Intellect or Insanity


שלשום הוציאו ראשי המאגר הביומטרי הודעה לעיתונות בה הם מבהירים מדוע המאגר הביומטרי הוא לא אתר קופונים, ואין שום סיכוי בחיים שהוא יפרץ. אני מסכים איתם רק בחצי מהאמירה: המאגר הביומטרי הוא לא אתר קופונים. מעבר לכך שהנסיון של גון קמני, ראש המאגר הביומטרי, בתור הממונה על אבטחת מידע בלאומי קארד היה אמור להרגיע אותנו שהוא, כממונה על אבטחה, בדק, בחן ושמר על כך שאתרי קופונים אשר סלקו את כרטיסי האשראי של לאומי קארד עומדים בתקני אבטחה, ואם הוא לא עשה זאת, מה הוא יעשה עם טביעות האצבע שלנו, עולות כמה תהיות בנוגע לשאלת ההשוואה בין המאגר הביומטרי לאתר קופונים. לצורך הנוחיות בלבד, הנה ההשוואה שלי:

באתר קופונים יש שלושה-ארבעה אנשים עם גישה למאגר המידע, במאגר הביומטרי מדובר על כל שוטר במדינת ישראל וכל עובד של משרד הפנים. כזכור, למאגר הביומטרי תהיה גישה לכל שוטר, לכל עובד של משרד הפנים, לעשרות עובדי הרשות הביומטרית, לשב”כ ולמוסד ולמי יודע מי עוד.

באתר קופונים יש רק את כרטיסי האשראי שלנו, שאפשר להחליף, במאגר הביומטרי יהיו צילומי הפנים שלנו וטביעת אצבע; לא משהו שאפשר להחליף. כן, השאלה היא מה עדיף שידלוף? טביעת האצבע שלנו וצילום הפנים שלנו, שאי אפשר להחליף אם הם הולכים לאיבוד באינטרנט, או את כרטיס האשראי, שמבוטח על פי חוק כרטיסי חיוב?

באתר קופונים יש תקנים בינלאומיים לאבטחת מידע שחייבים לעמוד בהם, כללי אבטחת המידע של המאגר הביומטרי חסויים ואסור לדבר עליו. כן; אתר קופונים הדליף מידע. האתר לא ממש שמר על הבטחון שלנו, אבל איך אפשר לדעת את זה? חברות האשראי אמורות לפקח על עמידה בתקני PCI, סטנדרט בינלאומי ומקצועי שפתוח להערות הציבור. לעומת זאת, חוק המאגר הביומטרי קובע שכללי אבטחת המידע של המאגר יהיו חסויים ולאף אחד לא תהיה האפשרות לצפות בהם.

באתר קופונים אתה לא חייב להרשם, למאגר הביומטרי אתה חייב לתת את טביעת האצבע שלך. נכון, לפעממים העסקאות באתרי הקופונים כל כך משגעות שאתה חייב לרשום עצמך לאתר, כי אף אחד לא  יכול לוותר על צימר מפנק בצפון הארץ במחיר כזה, אבל בניגוד למבצעים  האטרקטיביים, למאגר הביומטרי אתה חייב להרשם,  ואתה לא מקבל צימר בצפון, כמובן.

לאתר קופונים אתה יכול להרשם עם פרטים מזויפים וכרטיס אשראי חד-פעמי,  או לשלם בPayPal, במאגר הביומטרי לא. כן; אף אחד לא  מכריח אותך לתת לאתר הקופונים  את השם האמיתי שלך ואת תעודת הזהות שלך, במיוחד אם אתה משלם עם PayPal או עם כרטיס אשראי חד פעמי שקנית בדואר. אבל במאגר הביומטרי אתה קצת תצטרך את זה; אתה תהיה חייב  לתת את הפרטים  האמיתיים שלך, ולרשום “ישראל ישראלי”  לא תמיד אפשרי.

אז עכשיו, אחרי שהמרגיע הלאומי אמר את שאמר, אני באמת הרבה יותר רגוע. המאגר  הביומטרי לא ידלוף כי הוא מאובטח ברמה 11, בדיוק כמו שחשבו מפעילי אתר הקופונים, ובדיוק כמו שחשבו כל אחד מהמנהלים של מאגרי מידע שדלפו.

____________________________________
יהונתן קלינגר. צילום: יוסי גורביץ, cc-by-sa יהונתן קלינגר הוא עורך דין העוסק בתחום דיני המידע. הפוסט התפרסם במקור בבלוגו, Intellect or Insanity, ברשיון cc-by-sa. קלינגר כתב פוסט בתשלום על פוסטים בתשלום בגליון נובמבר 2011

תבדקו שלא השארתם טביעת אצבע על כרטיס האשראי


דליפת אלפי כרטיסי האשראי לרשת עוררה, כצפוי, קריאות לעצור את הקמת המאגר הביומטרי. הרשות לניהול המאגר הביומטרי מנסה להרגיע בהודעה ששלחה היום:

“הניסיון לקשר בין דליפת פרטי כרטיסי אשראי מאתרי קניות וקופונים ברמת אבטחה נמוכה וללא פיקוח לבין המאגר הביומטרי, נובע, במקרה הטוב, מחוסר הכרת המציאות והעובדות”. כך אומר היום גון קמני, מנהל הרשות לניהול המאגר הביומטרי. לדבריו, המאגר הביומטרי הוא היחיד שיכול להבטיח לתושבי המדינה שקט נפשי וביטחון שזהותם לא תיגנב.

נכון מרגיע לשמוע את זה ממי שעד לפני רגע היה מנהל אבטחת המידע בלאומי קארד במשך שש שנים?

גניבת כרטיסי האשראי: ישראל תתקוף את מקסיקו

משה סייג תוהה:

לפני כשבוע פורסם שפרטי כרטיסי האשראי של אלפי ישראלים נגנבו מאתרים לא מאובטחים והופצו חינם ברשת האינטרנט. העדויות הראשונות הצביעו על כך שמדובר בהאקר סעודי. חברות האשראי הגדירו את הגניבה כמתקפת טרור. אתמול איים סגן שר החוץ, דני אילון, כי ישראל תגיב בכוח לחשיפת כרטיסי האשראי, ורמז שלפי ארה”ב “כל פגיעה במרחב הקיברנטי ייחשבכהכרזת מלחמה והיא תגיב עליו אפילו בירי טילים”.

האם עכשיו, כשההאקר זוהה כנראה כמקסיקני, צפויה התקפה ישראלית על מקסיקו?

משבר האשראי: 5 הערות

הפגזת ה-400 אלף.

“החלטנו לתת לעולם מתנה לשנה החדשה, מידע על כ-400,000+ אנשים ישראלים”, התגאה הפרצן שפרסם שלשום קבצים עם פרטי אשראי של גולשים. דיווחי התקשורת הראשוניים הסתמכו על המספר הזה, עד שהגיע הגולש עופר שוורץ, סטודנט למתמטיקה ומדעי המחשב בטכניון, עבר על הרשימות, ניפה ואיחד וגילה שמדובר בסך הכל ב-18 אלף רשומות, שחלקן חוזרות מאות פעמים. אבל הזמן קצר, הדדליין דוחק, ו-400 אלף כרטיסי אשראי עושים כותרת הרבה יותר טובה מ-18 אלף.

אלף לילה ולילה.

זהותו של הקראקר, שהעיד על עצמו שהוא סעודי, מוטלת בספק: האתר שאליו הפנה מאוחסן כנראה בדאלאס. טענתו להשתייכות להתארגנות הבלתי מאורגנת “אנונימוס” מפוקפקת גם היא. באחד מפרופילי הטוויטר הגדולים של אנונימוס נכתב: “אין לנו אהבה לממשלה הישראלית אבל לתקוף אלפים רק כי הם ישראלים? סליחה, אתם לא #אנונימוס”. אפשר להאשים את הערפל שאופף את העולם המחתרתי הזה, אבל כשהפורץ עצמו מכריז על עצמו כאנרכיסט ערבי, קשה לעמוד בפיתוי להיתלות בסטריאוטיפ הזה, במקום לתייג אותו פשוט כעבריין.

פרוצים.

בין פרטי האשראי הופיעו שמות של שני אתרי דילים, “קבוצתי” ו”סייל 365″, שמאוחסנים בחברת דובל. מנהל החברה, קורן תרשיש, אמר אתמול ל-ynet שהפורצים השתמשו בפירצה באתר אחר שמתאחסן בדובל, ודרכה נכנסו למאגרי הנתונים של שני האתרים. אתרי הדילים נבנו על ידי דובל והיו מאובטחים כראוי, אולם האתר שדרכו התבצעה הפריצה נבנה על ידי חברה אחרת, ועבר לדובל כמו שהוא, עם הפירצה.

מי אחראי למחדל? בעל האתר, שלא הקפיד על האבטחה? דובל, שהסכימו לארח אתר שאת רמת האבטחה שלו לא ידעו? אתרי הדילים, ששמרו את פרטי האשראי שלנו במקום להשמיד אותם בתום השימוש? לדעתי אסור להסיר אחריות משני גורמים אחרים: חברות האשראי ואנחנו הצרכנים. אנחנו לא צריכים לסמוך באופן עיוור על אתרים שאנחנו לא מכירים רק בגלל שהם נראים לנו בסדר. אפשר להתייעץ עם חברים, לחפש את שם האתר בפורומים של צרכנות ולפנות לבעלי האתר ולשאול אותם על נהלי אבטחת המידע שלהם. חברות האשראי, מצדן, צריכות לדרוש מאתרים לעמוד בסטנדרטים בסיסיים של אבטחת מידע, לעשות להם ביקורות מדגמיות ולהעניש אתרים שכשלו בכך, עוד לפני שיש פריצה, ובוודאי אחריה. אתר שמפקיר את פרטי האשראי של לקוחותיו לא צריך לקבל שירותי סליקה מחברות האשראי.

הנדסה חברתית.

ביולי 2010 נחשף מסמך עם פרטי אשראי וסיסמאות משתמש של אלפי גולשים ישראליים, שכנראה נגנבו על ידי האקרים טורקיים במחאה על עצירת המשט הטורקי לעזה. המתכנת ארז וולף העלה אז טופס שבו ביקש מאנשים להזין שם מלא, כתובת אימייל, סיסמה, פרטי אשראי ומספר תעודת זהות כדי לבדוק אם הם נמצאים ברשימה. עשרות גולשים לא הבינו את הסאטירה וסיפקו לוולף את הפרטים שלהם. לו היה האקר זדוני, הוא היה יכול לחגוג עליהם כהוגן. גם במקרה הנוכחי התנדבו גולשים לספק פרטי אשראי לאתרים שהבטיחו לבדוק עבורם אם הם במאגר, ביניהם אתרים רשמיים של חברות אשראי ואתרים פרטיים, כולל הבלוג של כותב שורות אלו.

המתכנת שחר שמש סיפר לאחרונה בבלוגו על בעיית אבטחה דומה בחברות הסלולר. כשעובדיו היו מבקשים לבצע פעולות בטלפונים הסלולריים שהוא סיפק להם, חברת הסלולר היתה מתקשרת אל שמש לקבל את אישורו לפעולה, ומבקשת ממנו לספק ארבע ספרות אחרונות של כרטיס אשראי כדי לוודא את זהותו. שמש הסביר שהוא לא מתכוון לספק פרטים כאלו לאדם שמתקשר ממספר חסוי ומציג את עצמו כנציג חברה סלולרית, אך למעשה עלול להיות האקר שמנסה לדוג פרטים למטרות זדוניות.

מימרה נודעת בעולם אבטחת המידע אומרת שהחלק החשוף ביותר לפגיעות במערכת מחשוב הוא זה שבין מסך המחשב לכסא המשרדי. כל עוד אנשים לא יבינו שהם צריכים להיות חשדנים כשהם מתבקשים לספק פרטים אישיים לזרים, אנשים בעלי כוונות זדון ימשיכו לנצל את החולשה האנושית הזאת.

תנו יד.

חברות האשראי מיהרו להרגיע את הציבור: הכסף שלכם בטוח, העסקאות הלא-מאושרות יבוטלו, וכרטיסי אשראי שפרטיהם נחמסו ייחסמו. אבל מה יקרה כשהמאגר הביומטרי, שהמדינה מתעקשת להקים ולהפעיל בצורה שזכתה לביקורת מצד מומחים בתחום, יפרץ וייגנב? בניגוד לכרטיס אשראי שאפשר לבטל ולהחליף, טביעות אצבע ושאר מאפיינים ביומטריים נשארים איתנו עד המוות.

__________________________
התפרסם במקור בגירסה שונה ב”ידיעות אחרונות”, 4.1.2012:

קראקרים פרצו לאתר מכבי ת”א ולעגו להפסד שלה לבשיקטש

פרצנים (קראקרים) פרצו הערב לאתר הרשמי של מכבי תל אביב. על ההשחתה המקובלת של עמוד הבית הם הוסיפו אלמנט אקטואלי: פרסום תוצאת המשחק של מכבי נגד בשיקטאש, שהסתיים בנצחון 5:1 של הקבוצה הטורקית. בעמוד הבית הפרוץ כתבו הפורצים, שחתמו בכינויים CWOmer, sakkure ו-MasterX, כי “You Didn’t Let Us Come To Field But We Are Everywhere!” (“לא נתתם לנו לבוא למגרש אבל אנחנו בכל מקום!”).

בדקות האחרונות חזר עמוד הבית המקורי לאוויר.

(דרך אסף שמוליאן)

לדף הבא →