תירגעו, המאגר הביומטרי הוא לא אתר קופונים

פוסט של יהונתן קלינגר
Intellect or Insanity


שלשום הוציאו ראשי המאגר הביומטרי הודעה לעיתונות בה הם מבהירים מדוע המאגר הביומטרי הוא לא אתר קופונים, ואין שום סיכוי בחיים שהוא יפרץ. אני מסכים איתם רק בחצי מהאמירה: המאגר הביומטרי הוא לא אתר קופונים. מעבר לכך שהנסיון של גון קמני, ראש המאגר הביומטרי, בתור הממונה על אבטחת מידע בלאומי קארד היה אמור להרגיע אותנו שהוא, כממונה על אבטחה, בדק, בחן ושמר על כך שאתרי קופונים אשר סלקו את כרטיסי האשראי של לאומי קארד עומדים בתקני אבטחה, ואם הוא לא עשה זאת, מה הוא יעשה עם טביעות האצבע שלנו, עולות כמה תהיות בנוגע לשאלת ההשוואה בין המאגר הביומטרי לאתר קופונים. לצורך הנוחיות בלבד, הנה ההשוואה שלי:

באתר קופונים יש שלושה-ארבעה אנשים עם גישה למאגר המידע, במאגר הביומטרי מדובר על כל שוטר במדינת ישראל וכל עובד של משרד הפנים. כזכור, למאגר הביומטרי תהיה גישה לכל שוטר, לכל עובד של משרד הפנים, לעשרות עובדי הרשות הביומטרית, לשב”כ ולמוסד ולמי יודע מי עוד.

באתר קופונים יש רק את כרטיסי האשראי שלנו, שאפשר להחליף, במאגר הביומטרי יהיו צילומי הפנים שלנו וטביעת אצבע; לא משהו שאפשר להחליף. כן, השאלה היא מה עדיף שידלוף? טביעת האצבע שלנו וצילום הפנים שלנו, שאי אפשר להחליף אם הם הולכים לאיבוד באינטרנט, או את כרטיס האשראי, שמבוטח על פי חוק כרטיסי חיוב?

באתר קופונים יש תקנים בינלאומיים לאבטחת מידע שחייבים לעמוד בהם, כללי אבטחת המידע של המאגר הביומטרי חסויים ואסור לדבר עליו. כן; אתר קופונים הדליף מידע. האתר לא ממש שמר על הבטחון שלנו, אבל איך אפשר לדעת את זה? חברות האשראי אמורות לפקח על עמידה בתקני PCI, סטנדרט בינלאומי ומקצועי שפתוח להערות הציבור. לעומת זאת, חוק המאגר הביומטרי קובע שכללי אבטחת המידע של המאגר יהיו חסויים ולאף אחד לא תהיה האפשרות לצפות בהם.

באתר קופונים אתה לא חייב להרשם, למאגר הביומטרי אתה חייב לתת את טביעת האצבע שלך. נכון, לפעממים העסקאות באתרי הקופונים כל כך משגעות שאתה חייב לרשום עצמך לאתר, כי אף אחד לא  יכול לוותר על צימר מפנק בצפון הארץ במחיר כזה, אבל בניגוד למבצעים  האטרקטיביים, למאגר הביומטרי אתה חייב להרשם,  ואתה לא מקבל צימר בצפון, כמובן.

לאתר קופונים אתה יכול להרשם עם פרטים מזויפים וכרטיס אשראי חד-פעמי,  או לשלם בPayPal, במאגר הביומטרי לא. כן; אף אחד לא  מכריח אותך לתת לאתר הקופונים  את השם האמיתי שלך ואת תעודת הזהות שלך, במיוחד אם אתה משלם עם PayPal או עם כרטיס אשראי חד פעמי שקנית בדואר. אבל במאגר הביומטרי אתה קצת תצטרך את זה; אתה תהיה חייב  לתת את הפרטים  האמיתיים שלך, ולרשום “ישראל ישראלי”  לא תמיד אפשרי.

אז עכשיו, אחרי שהמרגיע הלאומי אמר את שאמר, אני באמת הרבה יותר רגוע. המאגר  הביומטרי לא ידלוף כי הוא מאובטח ברמה 11, בדיוק כמו שחשבו מפעילי אתר הקופונים, ובדיוק כמו שחשבו כל אחד מהמנהלים של מאגרי מידע שדלפו.

____________________________________
יהונתן קלינגר. צילום: יוסי גורביץ, cc-by-sa יהונתן קלינגר הוא עורך דין העוסק בתחום דיני המידע. הפוסט התפרסם במקור בבלוגו, Intellect or Insanity, ברשיון cc-by-sa. קלינגר כתב פוסט בתשלום על פוסטים בתשלום בגליון נובמבר 2011

11 בינואר, 2012 | בנושאים: האקרים, קראקרים וקאקערים | 7 תגובות 

תבדקו שלא השארתם טביעת אצבע על כרטיס האשראי


דליפת אלפי כרטיסי האשראי לרשת עוררה, כצפוי, קריאות לעצור את הקמת המאגר הביומטרי. הרשות לניהול המאגר הביומטרי מנסה להרגיע בהודעה ששלחה היום:

“הניסיון לקשר בין דליפת פרטי כרטיסי אשראי מאתרי קניות וקופונים ברמת אבטחה נמוכה וללא פיקוח לבין המאגר הביומטרי, נובע, במקרה הטוב, מחוסר הכרת המציאות והעובדות”. כך אומר היום גון קמני, מנהל הרשות לניהול המאגר הביומטרי. לדבריו, המאגר הביומטרי הוא היחיד שיכול להבטיח לתושבי המדינה שקט נפשי וביטחון שזהותם לא תיגנב.

נכון מרגיע לשמוע את זה ממי שעד לפני רגע היה מנהל אבטחת המידע בלאומי קארד במשך שש שנים?

8 בינואר, 2012 | בנושאים: האקרים, קראקרים וקאקערים | 14 תגובות 

גניבת כרטיסי האשראי: ישראל תתקוף את מקסיקו

משה סייג תוהה:

לפני כשבוע פורסם שפרטי כרטיסי האשראי של אלפי ישראלים נגנבו מאתרים לא מאובטחים והופצו חינם ברשת האינטרנט. העדויות הראשונות הצביעו על כך שמדובר בהאקר סעודי. חברות האשראי הגדירו את הגניבה כמתקפת טרור. אתמול איים סגן שר החוץ, דני אילון, כי ישראל תגיב בכוח לחשיפת כרטיסי האשראי, ורמז שלפי ארה”ב “כל פגיעה במרחב הקיברנטי ייחשבכהכרזת מלחמה והיא תגיב עליו אפילו בירי טילים”.

האם עכשיו, כשההאקר זוהה כנראה כמקסיקני, צפויה התקפה ישראלית על מקסיקו?

8 בינואר, 2012 | בנושאים: 404, האקרים, האקרים, קראקרים וקאקערים | 3 תגובות 

משבר האשראי: 5 הערות

הפגזת ה-400 אלף.

“החלטנו לתת לעולם מתנה לשנה החדשה, מידע על כ-400,000+ אנשים ישראלים”, התגאה הפרצן שפרסם שלשום קבצים עם פרטי אשראי של גולשים. דיווחי התקשורת הראשוניים הסתמכו על המספר הזה, עד שהגיע הגולש עופר שוורץ, סטודנט למתמטיקה ומדעי המחשב בטכניון, עבר על הרשימות, ניפה ואיחד וגילה שמדובר בסך הכל ב-18 אלף רשומות, שחלקן חוזרות מאות פעמים. אבל הזמן קצר, הדדליין דוחק, ו-400 אלף כרטיסי אשראי עושים כותרת הרבה יותר טובה מ-18 אלף.

אלף לילה ולילה.

זהותו של הקראקר, שהעיד על עצמו שהוא סעודי, מוטלת בספק: האתר שאליו הפנה מאוחסן כנראה בדאלאס. טענתו להשתייכות להתארגנות הבלתי מאורגנת “אנונימוס” מפוקפקת גם היא. באחד מפרופילי הטוויטר הגדולים של אנונימוס נכתב: “אין לנו אהבה לממשלה הישראלית אבל לתקוף אלפים רק כי הם ישראלים? סליחה, אתם לא #אנונימוס”. אפשר להאשים את הערפל שאופף את העולם המחתרתי הזה, אבל כשהפורץ עצמו מכריז על עצמו כאנרכיסט ערבי, קשה לעמוד בפיתוי להיתלות בסטריאוטיפ הזה, במקום לתייג אותו פשוט כעבריין.

פרוצים.

בין פרטי האשראי הופיעו שמות של שני אתרי דילים, “קבוצתי” ו”סייל 365″, שמאוחסנים בחברת דובל. מנהל החברה, קורן תרשיש, אמר אתמול ל-ynet שהפורצים השתמשו בפירצה באתר אחר שמתאחסן בדובל, ודרכה נכנסו למאגרי הנתונים של שני האתרים. אתרי הדילים נבנו על ידי דובל והיו מאובטחים כראוי, אולם האתר שדרכו התבצעה הפריצה נבנה על ידי חברה אחרת, ועבר לדובל כמו שהוא, עם הפירצה.

מי אחראי למחדל? בעל האתר, שלא הקפיד על האבטחה? דובל, שהסכימו לארח אתר שאת רמת האבטחה שלו לא ידעו? אתרי הדילים, ששמרו את פרטי האשראי שלנו במקום להשמיד אותם בתום השימוש? לדעתי אסור להסיר אחריות משני גורמים אחרים: חברות האשראי ואנחנו הצרכנים. אנחנו לא צריכים לסמוך באופן עיוור על אתרים שאנחנו לא מכירים רק בגלל שהם נראים לנו בסדר. אפשר להתייעץ עם חברים, לחפש את שם האתר בפורומים של צרכנות ולפנות לבעלי האתר ולשאול אותם על נהלי אבטחת המידע שלהם. חברות האשראי, מצדן, צריכות לדרוש מאתרים לעמוד בסטנדרטים בסיסיים של אבטחת מידע, לעשות להם ביקורות מדגמיות ולהעניש אתרים שכשלו בכך, עוד לפני שיש פריצה, ובוודאי אחריה. אתר שמפקיר את פרטי האשראי של לקוחותיו לא צריך לקבל שירותי סליקה מחברות האשראי.

הנדסה חברתית.

ביולי 2010 נחשף מסמך עם פרטי אשראי וסיסמאות משתמש של אלפי גולשים ישראליים, שכנראה נגנבו על ידי האקרים טורקיים במחאה על עצירת המשט הטורקי לעזה. המתכנת ארז וולף העלה אז טופס שבו ביקש מאנשים להזין שם מלא, כתובת אימייל, סיסמה, פרטי אשראי ומספר תעודת זהות כדי לבדוק אם הם נמצאים ברשימה. עשרות גולשים לא הבינו את הסאטירה וסיפקו לוולף את הפרטים שלהם. לו היה האקר זדוני, הוא היה יכול לחגוג עליהם כהוגן. גם במקרה הנוכחי התנדבו גולשים לספק פרטי אשראי לאתרים שהבטיחו לבדוק עבורם אם הם במאגר, ביניהם אתרים רשמיים של חברות אשראי ואתרים פרטיים, כולל הבלוג של כותב שורות אלו.

המתכנת שחר שמש סיפר לאחרונה בבלוגו על בעיית אבטחה דומה בחברות הסלולר. כשעובדיו היו מבקשים לבצע פעולות בטלפונים הסלולריים שהוא סיפק להם, חברת הסלולר היתה מתקשרת אל שמש לקבל את אישורו לפעולה, ומבקשת ממנו לספק ארבע ספרות אחרונות של כרטיס אשראי כדי לוודא את זהותו. שמש הסביר שהוא לא מתכוון לספק פרטים כאלו לאדם שמתקשר ממספר חסוי ומציג את עצמו כנציג חברה סלולרית, אך למעשה עלול להיות האקר שמנסה לדוג פרטים למטרות זדוניות.

מימרה נודעת בעולם אבטחת המידע אומרת שהחלק החשוף ביותר לפגיעות במערכת מחשוב הוא זה שבין מסך המחשב לכסא המשרדי. כל עוד אנשים לא יבינו שהם צריכים להיות חשדנים כשהם מתבקשים לספק פרטים אישיים לזרים, אנשים בעלי כוונות זדון ימשיכו לנצל את החולשה האנושית הזאת.

תנו יד.

חברות האשראי מיהרו להרגיע את הציבור: הכסף שלכם בטוח, העסקאות הלא-מאושרות יבוטלו, וכרטיסי אשראי שפרטיהם נחמסו ייחסמו. אבל מה יקרה כשהמאגר הביומטרי, שהמדינה מתעקשת להקים ולהפעיל בצורה שזכתה לביקורת מצד מומחים בתחום, יפרץ וייגנב? בניגוד לכרטיס אשראי שאפשר לבטל ולהחליף, טביעות אצבע ושאר מאפיינים ביומטריים נשארים איתנו עד המוות.

__________________________
התפרסם במקור בגירסה שונה ב”ידיעות אחרונות”, 4.1.2012:

4 בינואר, 2012 | בנושאים: 404, האקרים, קראקרים וקאקערים | 5 תגובות 

קראקרים פרצו לאתר מכבי ת”א ולעגו להפסד שלה לבשיקטש

פרצנים (קראקרים) פרצו הערב לאתר הרשמי של מכבי תל אביב. על ההשחתה המקובלת של עמוד הבית הם הוסיפו אלמנט אקטואלי: פרסום תוצאת המשחק של מכבי נגד בשיקטאש, שהסתיים בנצחון 5:1 של הקבוצה הטורקית. בעמוד הבית הפרוץ כתבו הפורצים, שחתמו בכינויים CWOmer, sakkure ו-MasterX, כי “You Didn’t Let Us Come To Field But We Are Everywhere!” (“לא נתתם לנו לבוא למגרש אבל אנחנו בכל מקום!”).

בדקות האחרונות חזר עמוד הבית המקורי לאוויר.

(דרך אסף שמוליאן)

15 בספטמבר, 2011 | בנושאים: 404, האקרים, קראקרים וקאקערים, חיי רשת ותרבות דיגיטלית | 2 תגובות 

משחק הזכרון של וואלה

מי חבר הילדות האהוב עליכם? קרוב המשפחה? הסרט? הציטוט? הפתגם? הספר? הדמות מסרט? איזה דיסק הייתם תולים על המראה באוטו? איזו מתנה חריגה נתתם/קיבלתם?

זוכרים מה היו התשובות שלכם לשאלות הללו נכון ללפני חצי שנה? שנה? שנתיים? אם כן, לא תתקשו לשחזר את הסיסמה שלכם בוואלה מייל. ואם לא? הזדמנות לפתוח דף חדש עם תיבה חדשה.

תודה לסמדר שהלשינה.

16 ביוני, 2011 | בנושאים: האקרים, קראקרים וקאקערים, שימושיות | 4 תגובות 

רוצים לדבר בטלפון עם ביבי?

לשכת ראש הממשלה מוכיחה שקיפות ומפרסמת בפליקר הרשמי שלה את מספר הטלפון הלווייני של ראש הממשלה בנימין נתניהו. הלשין: יובל עצמון.

[עדכון] הסיפור פורסם ב”הארץ”.

1 בספטמבר, 2010 | בנושאים: האקרים, קראקרים וקאקערים | 43 תגובות 

סיקור ההאקרים הטורקים: עיתונאי כמקצוע ראשי, תחום סיקור כמקצוע משני

פוסט של עינת מירון


תחילת יוני 2010: משט טורקי עושה את דרכו לעבר עזה ובמערכות הבקרה של חברת אבטחת המידע מגלן הנורות מתחילות להבהב והדגלים מורמים – פעילות סריקה נרחבת וחריגה בהיקפה מתרחשת ברגעים אלה ממש. הניסיון של אנשי מגלן אומר דבר אחד ופשוט: אנחנו צפויים למתקפה חסרת תקדים, בהיקף ובעצמה. כמי שאמונה על יחסי הציבור של החברה אני מנסחת הודעה מפורטת ומפיצה לאמצעי התקשורת. בתגובה, חלק מהכתבים שקיבלו אותה חזרו אלי וביקשו לקבל עדכון כשיקרה משו ממשי. הסברתי שכדאי להתריע קודם ואף לפרסם את המלצות הצעדים להתגוננות שמגלן קיבצה, אבל את חלק מהעיתונאים זה לא עניין. “כשיקרה משהו – תודיעי”.

והנה, יום אחד בלבד עבר וכבר מאות אתרים פרוצים. דיווחתי לכתבים ואף הבהרתי בהודעה שהפריצות הללו, עם שינוי תמונת עמוד הבית שהם כל כך אוהבים, הן פריצות פשוטות רק לכאורה, שנועדו להסוות פעילות אחרת, עמוקה ואיכותית יותר. “הכי חשוב שתשלחי תמונת מסך ששתלו האקרים הטורקים”, הם בשלהם.

כמה ימים לאחר מכן, כשהפריצות התרחבו ואף הגיעו לעמודי הפייסבוק והטוויטר של גולשים ישראליים, הרוטינה חזרה על עצמה. יחד עם הפריצות למדיה החברתית, נעשו גם כמה פריצות, בהן לאתר של עיריית ת”א, שלמומחי אבטחת המידע של מגלן לא השאירו מקום לספק – פריצות איכותיות, בעומק האתרים, כשניתן להניח, בהגיון בריא, שבאתר ישנה הטמנה כלשהי של קובץ עוין. ה-defacement (השחתת פני האתר), כפי שהסברנו בהודעות כל הזמן, עשה את העבודה, שהיא להסוות פריצה יסודית ועמוקה יותר, בעוד אנשי מערכות המידע טועים לחשוב שבעצם שינוי הסיסמה לשרתי האתר או החלפת התמונה, תיקנו את הבעיה.

יום שישי 16.7.2010, ארז וולף (גילוי נאות: עבדתי איתו, מעריכה אותו מאוד וגם יודעת מה הדרך לקיבתו :)) עולה על רשימה הכוללת אלפי כתובות דואל וסיסמאות ומקיש מתוך הממצא שהפריצות ההן, מאז המשט הטורקי, עולות לנו ביוקר רב ואנחנו בכלל לא יודעים.

התקשורת כולה מתגייסת. אין ספק, כשאיש יחסי ציבור מספר לתקשורת על אירוע כלשהו, התקשורת ספקנית ואף ממעיטה בערך המידע. כשבלוגר, איש אינטרנט מוכר במייליה, מספר על אירוע כלשהו, התקשורת תעוט על הסיפור כאילו מדובר בגילוי מרעיש.

אחד היתרונות הבולטים שלי כאשת יחסי ציבור הוא בגישה הישירה לאנשי המקצוע המובילים בתחום. כשאני מנסחת הודעה היא עוברת את העין המקצועית של הלקוח שלי ולכן חייבת להיות מדויקת, אינפורמטיבית, מובנת. בתוך חודש של עבודה עם כל לקוח אני הופכת לכמעט מומחית בתחומו. אני נדרשת ללמוד את החומר, להבין אותו, לייצר היקשים ממנו כך שאוכל לשמש מקור מידע איכותי לאנשי התקשורת. אם בגלל עומס העבודה ואם בגלל תחומי עניין שונים, לא תמיד מבינים העיתונאים את כל מה שנאמר ומוצג להם. השאקלים שבהם ישאלו שאלות וילמדו. אחרים יתפדחו לשאול, או שיחשבו שהם יודעים לבד ופשוט יגישו לקוראים שלהם מידע חלקי או לא מובהר.

הפרטים שחשף וולף כבר מוכרים. אם היו אותם עיתונאים מתמקדים בטקסט שהוגש להם או מגלים קצת יותר בקיאות בתחום שעליו הם כותבים הם היו מגלים את הפרטים כבר אז. אבל רובם עיתונאים, לא מומחי אבטחת מידע ולא מומחי יישום סאפ ולא מומחי פיתוח ממשקי משתמש ולא מומחי קידום במנועי חיפוש, ולכן, לעתים, טורי דיעה או ידיעות חדשותיות נכתבים בחוסר גדול, שלקורא מהשורה אולי נשמע דעתני ומחכים אבל לקורא המבין נשמע אחרת לגמרי.

כולי תקווה שבפעם הבאה כשעיתונאים, בכל תחום, יקבלו הודעה לתקשורת ממקור שהם מחשיבים אמין, הם יקראו אותה קצת יותר ביסודיות, יבינו מה נאמר בה, ויותר חשוב, את מה שלא נאמר בה, ואולי אפילו ישאלו שאלה או שתיים כדי לנסות ולייצר מתוך הידיעה שהופצה בתפוצת נאטו את אותו הערך המוסף שיבדל אותה מזו של הקולגה שלהם, את הערך המוסף שיצעק שהכותב אשכרה מבין על מה כתב. אם רק היו העיתונאים מוצאים מעט זמן לשאול שאלות, להתמקצע בתחום הסיקור שלהם, הם היו חושפים כבר לפני חודש וחצי את שנחשף עכשיו.

• נספח: ההודעות לעיתונות שנשלחו ממגלן >>

עינת מירון מנהלת את מירון תקשורת משווקת, המתמחה ביחסי ציבור וייעוץ תקשורתי לחברות טכנולוגיה. מירון כתבה על יחצנים, בלוגרים ותשלומים בגליון אוגוסט 2009

20 ביולי, 2010 | בנושאים: 404, Press, Release, האקרים, האקרים, קראקרים וקאקערים, יחצנות, עיתונות ותקשורת | 37 תגובות 

“כמובן שאצלנו אין להאקר מה לעשות עם הסיסמה, מלבד להזמין פיצה בשמכם. ולשלם עליה מכספו הוא”

הודעת אימייל שפיצה האט שלחו אתמול ללקוחותיהם בעקבות הפריצה לאתרם (גירסת טקסט אחרי הקיפול). הלשינה: אודין שדמי.

להמשך קריאה

19 ביולי, 2010 | בנושאים: האקרים, האקרים, קראקרים וקאקערים | 14 תגובות 

סלקום מגינים עליכם מפני… מה, בעצם?

מכירים את הקטע המעצבן הזה שאיזה האקר טורקי מפעיל בוט שמסיר אתכם מהרישום לכל מיני ניוזלטרים? אז איזה מזל שסלקום שמו קפצ’ה על עמוד ה-unsubscribe שלהם כדי למנוע מההאקר הטורקי לבצע את זממו. מה, לא מכירים את הקטע המעצבן הזה?

הלשין: גיא וידר.

19 ביולי, 2010 | בנושאים: captcha, האקרים, קראקרים וקאקערים | 4 תגובות 

← לדף הקודםלדף הבא →