1234 ואני במשיבון הסלולרי שלכם (אבטחת מידע ושימושיות)

הבלוגר שחר גולן הכריז על מסע צלב של פרטיות בנוגע לסיסמאות ברירת מחדל במערכות כמו משיבונים סלולריים, מצלמות רשת ונתבים. בבלוגו הוא כתב:

אנשים חושבים שהאקינג זה משהו שעושים מרגלים רוסים או ילדים גאונים. אף אחד לא חושב שרוב הזמן, הדבר היחיד שנחוץ לשם כך הוא סיסמת ברירת מחדל. אני באמת לא מבין את זה – כמה קשה להחליף את הסיסמה הראשונית שמגיעה עם המוצר? למה לחיות בעולם של חוסר ודאות, כשהשלווה נמצאת מעבר לפינה?

הוא גם הכין סרטון הדגמה בנושא, שמדגים כמה קלה ונפוצה הפריצה למשיבון הסלולרי:

אני מסכים עם גולן שיש בעיה, אבל לא מסכים עם הפתרון שלו. חינוך לשמירה על פרטיות ואבטחת מידע הוא חשוב, אבל כשהרבה אנשים נכשלים, יותר יעיל להסיר את המכשול. המצב כיום הוא שברגע שאתם רוכשים קו סלולרי, יש עליו משיבון סלולרי, שמקבל הודעות מהמתקשרים אליכם ופתוח לכל מי שיודע את המספר שלכם ומכיר את סיסמת ברירת המחדל, גם אם אתם בכלל לא יודעים שיש לכם משיבון סלולרי. רוצה לומר, מחדל אבטחת המידע הוא של ספקיות הסלולר, לא של הלקוחות.

שני פתרונות פשוטים להפליא: (1) הפעלת המשיבון הסלולרי רק אחרי שינוי ראשון של סיסמת ברירת המחדל. לא שיניתם? המשיבון לא עובד. (2) במקום סיסמת ברירת מחדל, הנפקת סיסמה אקראית שתישלח ללקוח עם החשבונית החודשית.

31 בינואר, 2010 | בנושאים: האקרים, קראקרים וקאקערים, שימושיות | 11 תגובות

מבחן גנירויט

מבחן גנירויט: כמו מבחן טיורינג, רק שבמקום שמחשב יצטרך לשכנע בנאדם שהוא (המחשב) אדם, אדם צריך לשכנע מחשב שהוא (האדם) אדם.

דוגמה למבחן גנירויט: CAPTCHA.

דוגמה למבחן גנירויט שלא עברתי:

15 בספטמבר, 2009 | בנושאים: 404, אבשלום קור, דורבנות, האקרים, קראקרים וקאקערים, זבל. של בני אדם, חיי רשת ותרבות דיגיטלית, ספאם | 7 תגובות

משרד התקשורת התקמבן על מספר טלפון

אם תיכנסו לאתר משרד התקשורת ותנסו להסיר מרשימת הדיוור שלו אימייל שלא מופיע ברשימה, תקבלו הודעת שגיאה שתבקש מכם להתקשר לשירות הלקוחות ב-03-1234567. האם מישהו ניצל את קשריו בבזק וקמבן לעצמו מספר קל לזכירה?

ואם תנסו להסיר כתובת שכן רשומה לרשימת הדיוור, תקבלו הודעת אישור. למה המערכת בנויה כך שהיא חושפת מי רשום לעדכונים שלה ומי לא? למה אין שמירה על הפרטיות?

6 באוגוסט, 2009 | בנושאים: 404, FAIL • כשל, האקרים, קראקרים וקאקערים, פרטיות | 6 תגובות

תוכנת מרשם אוכלוסין לא חוקית שימשה להדחת המתמודד ב”כוכב נולד”

עומר אדם, משתתף בתוכנית הטלוויזיה “כוכב נולד”, פרש מהתחרות לאחר שנחשף שהוא מתחת לגיל המינימום להשתתפות בתוכנית. את גילו האמיתי חשף עומרי חיון בבלוגו “עומרי חיון בדרך לתהילה” בתפוז.

tapuz post mirsham

היחצן של תפוז, זאב ינאי, הוציא הודעה בנושא:

עומרי חיון, בלוגר בן 18 מתפוז חשף אמש שגילו האמיתי של עומר אדם נמוך מגיל המינימום לכניסה לכוכב נולד, והיום אדם הועף מהתוכנית.

זאת החשיפה – http://www.tapuz.co.il/blog/ViewEntry.asp?EntryId=1525051

חובה – קרדיט לתפוז!!! (בינינו לא מגיע לנו על העבודה הטובה?)

הבלוגר חיון מספר ~~שהשתמש~~ שנעשה שימוש בתוכנת מרשם אוכלוסין כדי למצוא את גילו של אדם:

באתר התוכנית מוצג עומר אדם ככה:
עומר בן ה- 16 וחצי הגיע אלינו ממושב משמר השבעה והיום הוא תלמיד
בבית הספר אנקורי. אך אתמול בשעות הלילה הגיעו לידיי פרטים אישיים של עומר אדם ,
מתוכנה של משרד הפנים שדלפה לאינטרנט , בתחילה החלטתי לא לעלות את זה לבלוג
אבל בעקבות שחלק מהאנשים לא מאמינים אז אני מעלה לכאן את הפרטים שלו ובו
תאריך הלידה המדיוק ממישהו שיש לו תוכנה מהאינטרנט שמכילה פרטים על אנשים.

חיון הוסיף גם צילומסך מהתוכנה עם פרטיו של המתמודד אדם.

דליפת מרשם האוכלוסין לאינטרנט נחקרה על ידי מבקר המדינה בדוח מבקר המדינה 59ב שפורסם השנה, והמשטרה טענה שאינה יכולה לאתר את המדליף.

חיון הוא בלוגר צעיר, ולא בטוח שהוא מודע לבעייתיות החוקית של השימוש בתוכנה והפרת הפרטיות. תפוז לא יכולים להיות אחראיים על כל פיסת תוכן שהגולשים שלה מעלים, אבל ההודעה לעיתונות מעידה שהם מודעים לפוסט הזה, והם לא יוכלו לטעון לתום לב באי הסרתו אם המשטרה או פרקליטות המדינה יחליטו להתלבש על הנושא.

5 באוגוסט, 2009 | בנושאים: 404, האקרים, קראקרים וקאקערים, חיי רשת ותרבות דיגיטלית, טלוויזיה, פרטיות | 14 תגובות

רורשאך קפצ’ה

שאול חנוכה כותב לי:

אהבתי את הפוסט על מטרד הקפצ’ות
הנה תגובתי הראשונה לקפצ’ות של מייספייס.

[זו גירסה מכווצת, הקליקו לגירסה המלאה; ע”ק]

5 באוגוסט, 2009 | בנושאים: 404, האקרים, קראקרים וקאקערים, חיי רשת ותרבות דיגיטלית | 2 תגובות

לוחמי הקפצ’אות

קפצ’ה (CAPTCHA), טקסט מעוות שאמור להפריד בין בני אדם שיודעים לקרוא אותו ובוטים שמאבדים את שפיותם, אמנם מונע חלק מהספאם, אבל בעיקר מפריע לגולשים לגיטימיים. ברישום לשירות חדש — סבבה; בכל פעם שאני רוצה לשתף לינק בפייסבוק? מיץ זבל על הראש של מארק זאקרברג.

שתי קפצ’אות תפסו את עיניי בימים האחרונים.

האחת ב-whois של איגוד האינטרנט הישראלי:

captcha half

וזו לא הפעם הראשונה שאני מקבל שבר בפרויקט reCAPTCHA. אתם באמת חושבים שאני אפתח charmap ואמצא שם את התו של ½ בשבילכם? תמותו משפעת העופות.

השנייה בפייסבוק:

captcha script necessary

Script necessary. לא יכולתי להגיד זאת טוב יותר בעצמי.

3 באוגוסט, 2009 | בנושאים: האקרים, קראקרים וקאקערים, שימושיות | 11 תגובות

מצטערים, הסיסמה שלך מוצלחת מדי

לא הרבה קורה לי שאני בוחר סיסמה ונדרש לבחור אחרת כי הסיסמה שבחרתי ארוכה מדי. כל הכבוד על מדיניות אבטחת המידע המחוכמת, דהמרקר קפה!

12 במאי, 2009 | בנושאים: 404, האקרים, קראקרים וקאקערים | 10 תגובות

מצגת הרשתות החברתיות של צה”ל

הנה המצגת המלאה (צילומסכים + טקסט*) של המצגת הצה”לית על הרשתות החברתיות, שעליה כתבתי בקטנוניסט.

חלון עם לוגו פייסבוק. צילום: Scott Beale, Laughing Squid, cc-by-nc-nd

להמשך קריאה

15 באפריל, 2008 | בנושאים: 404, האקרים, האקרים, קראקרים וקאקערים, חיי רשת ותרבות דיגיטלית, קראקרים | 16 תגובות

הטלפון שלך בהאזנה. אה, לא, זה רק המחשב שלך

וירוס הנדסה חברתית יעיל מאוד שקיבלתי באימייל:

I work in a detective agency. I can’t say my name. I’m warning you that i’m going to overhear your phone line. Do you want to know who is the payer? Wait for my next letter.

P.S. Probably, you don’t believe me. But i think that the attached tape of your phone conversation will assure you that everything is real. The record is in archive. The password is 123qwe

17 בנובמבר, 2007 | בנושאים: 404, האקרים, קראקרים וקאקערים, הנדסה חברתית, וירוסים, ספאם | להגיב זה מגניב