📴 צה”ל מצפה שנסמוך על כישורי הטכנולוגיה שלו כשהוא מדווח על כשלי הטכנולוגיה שלו 🍳🍅 <סייברשקשוקה>

סייברשקשוקה 🍳🍅 קליק לארכיון המדור

הבוקר, יום העצמאות, החליט צה”ל להשתמש בשיטות של ספאמרי טלמרקטינג והתקשר ממספר חסוי וסימס ממספר מפוברק (כלומר לא מספר של קו טלפון שממנו באמת נשלחה ההודעה), להודיע לחיילי מילואים על גיוס מילואים. אחר כך הוא פרסם בטוויטר הודעה שהחייגן הופעל בטעות.

מדובר באותו צבא ההגנה לישראל שהביא לנו בחודשים האחרונים את שוברי הקופות “אזעקות שווא בדרום”, “מטס מאיים ליום השואה” ומופע זיקוקים בעלות של מאות אלפי דולרים.

אימוני מטס חיל האוויר בירושלים 📸 הדר בן יהודה

אימוני מטס חיל האוויר בירושלים 📸 הדר בן יהודה

בנוסף, הוא שלח סמס מפוקפק שהפנה לעמוד פייסבוק מפוקפק שהמליץ לחיילים לא להאמין לפניות מפוקפקות ונתן עצות סייבראבטחה מפוקפקות – ואז העלים אותו מהרשת, מפעיל מערכת התרעות חסרת אחריות, מחייב מילואימניקים להירשם לאתר שהוא מסרב לערוב לסייבראבטחתו, מסמס כתובות-מקוצרות שחושפות מידע על חייליו, שולח סמסים של מילואימניקים לאנשים הלא נכונים ומתקשה או לא רוצה להפסיק, מספים מילואימניקים ושולח סמסים מכתובות מפוברקות (פירוט של כל הטוב הזה כאן).

כמו כן, ביולי 2014 הטוויטר הרשמי והמאושרר שלו נפל קורבן לקראקרים, שדיווחו בקולו המקוון על דליפה גרעינית בעקבות פגיעת טילים בכור בדימונה. צה”ל הצליח לשמור על הומור מסויים כשכתב לאחר מכן, “אנו מתנצלים על הציוצים הלא נכונים בחשבון הטוויטר שלנו שנפרץ. נילחם בטרור בכל החזיתות, כולל בזירת הסייבר”.

הודעת דובר צה"ל על נפילת רקטות ליד מתקן גרעיני בדימונה. ההודעה פורסמה על ידי קראקרים שהשתלטו על הטוויטר של דו"ץ

ההודעה על הפגיעה בכור בדימונה, שקראקרים פרסמו בטוויטר של דו”ץ

ואחרי כל זה, צה”ל מצפה מאיתנו להאמין לשיחות גיוס מילואים ממספר חסוי (אל תענו לשיחות מחסוי) לסמסים ממספרים מפוברקים? או שהוא מצפה מאיתנו להאמין שהציוץ בטוויטר על תקלת החייגן הוא אותנטי, ולא נסיון של קראקרים אנטי-ישראליים ליירט את גיוס המילואים האמור? איחלתי לסייבר בהצלחה.

באנר לקידום אתר המילואים החדש של צה"ל, 2014

באנר לקידום אתר המילואים החדש של צה”ל, 2014


סייברשקשוקה הוא מדור על סייבראבטחה בישראל 🍳🍅 יש לכם סיפור בנושא? ספרו לי.

לוגו המדור 🖌️ חדר 404, עם אייקונים של Adrien Coquet (cc-by) ו-Arthur Shlain (cc-by)


עוד בנושא אמינות מסרי צה”ל:

האינטרנט הביס את הטלוויזיה בסיקור מבצע צוק איתן

🤑 פירצה באפליקציית Checking חשפה צ’קים שצילמו משתמשיה 🍳🍅 <סייברשקשוקה>

סייברשקשוקה 🍳🍅 קליק לארכיון המדור

אפליקציית צ’קינג (Checking) חשפה צ’קים סרוקים שהעלו משתמשיה, כך גילה חובב הסייבראבטחה רן לוקאר. כשעתיים לאחר פניית חדר 404 למפעילה, חברת צ’קנט פתרונות מימון, היא הודיעה על חסימת הפירצה ([עדכון] לדברי החברה, הפירצה תוקנה מספר דקות לאחר פנייתי [\עדכון], ומסרה כי לא ידוע לה על נסיונות לשימוש לרעה בפירצה.

מודעה של אפליקציית צ'קינג 📷 רן לוקאר

מודעה של אפליקציית צ’קינג 📷 רן לוקאר

צ’קינג מאפשרת למשתמשים לסרוק צ’קים דחויים שקיבלו ולקבל הצעות מחיר לניכיון הצ’קים (קבלת סכום הכסף מיד תמורת ריבית). “האם זה בטוח להעלות שיק למערכת”, שואל את עצמו אתר החברה ועונה, “לחלוטין כן. כל התקשורות במערכת מבוצעות באופן מוצפן (SSL), המבטיח הגנה על פרטי השיק”.

“האם מישהו יכול לראות את הסטוריית הניכיונות שלי?”, מתעקש האתר להקשות על עצמו, ומרגיע: “לא. רק אתה רשאי לראות את הסטוריית הנכיונות שלך”.

זה לא מדויק. לוקאר חיטט באפליקציה וגילה שתצלומי הצ’קים עולים למאגר שאפשר לגלוש אליו מהדפדפן – כלומר, בכלל לא משנה אם הצ’ק נשלח בתקשורת מוצפנת (SSL), משום שהוא נשמר בלתי מוצפן באתר בלתי מוגן בפרטי התחברות (שם וסיסמה).

לא רק שקבצי התמונה פתוחים לכל גולש, גם הספרייה שבה הם נמצאים פתוחה, כך שאפשר להסתכל על הרשימה המלאה של התמונות המאוחסנות בה. ואם זה לא מספיק לכם – וזה לא מספיק לכם, חמדנים – שמות קבצי התמונה מורכבים מ”[מספר הצ’ק]-[מספר הבנק]-[מספר החשבון].jpg”, להקל על מורידי התמונות לאנדקס אותן.

צ'קי נסיון שנסרקו באפליקציית צ'קינג ✍️ חדר 404 הסתיר את הפרטים המזהים

צ’קי נסיון שנסרקו באפליקציית צ’קינג ✍️ חדר 404 הסתיר את הפרטים המזהים

באתר מאוחסנים כאלף תצלומי צ’קים, חזית וגב, שצילמו משתמשי האפליקציה. מספר צ’קים במאגר שייכים לצ’קנט פתרונות מימון עצמה, והועלו לשם על ידי מפתחי האפליקציה במסגרת בדיקות.

הנפגעים הם לא רק משתמשי האפליקציה – שהצ’ק נרשם לפקודתם וכך חושף את שמם, ולפעמים את חתימתם בגב הצ’ק – אלא בעיקר האנשים שנתנו להם את הצ’קים הדחויים, ושפרטיהם המלאים נחשפים על גבי הצ’קים.

רשימת קובצי תמונות הצ'קים שנחשפו בפירצה באפליקציית צ'קינג ✍️ צילומסך

רשימת קובצי תמונות הצ’קים שנחשפו בפירצה באפליקציית צ’קינג ✍️ צילומסך

מה אפשר לעשות עם צילום של צ’ק? לשאוב פרטים מלאים על בעליו – שם, מסת”ז, כתובת, טלפון, פרטי חשבון בנק; לאסוף מודיעין אישי/עסקי על בעל הצ’ק (עם מי הוא עושה עסקים ובאילו סכומים); לזייף אותו; להפקיד את הצ’קים שמועד התשלום שלהם הגיע באמצעות אפליקציות הבנקים (שמאפשרות הפקדה באמצעות צילום); וכו’.

“פעמים רבות, חברות שמות דגש על שיווק, ומתעלמות מההיבטים של אבטחה ופרטיות המשתמשים”, אומר לוקאר. “חברות רבות, שמוקמות על ידי פאונדרים שאינם טכנולוגים אלא אנשי עסקים, שוכרות לצורך זה בתי תוכנה לפיתוח אפליקציות. לעיתים צד השרת וצד הקליינט של האפליקציה מפותחים על ידי חברות שונות, מה שמגדיל את הסיבוך ואת כמות התקלות האפשריות”.

מצ’קנט פתרונות מימון נמסר בתגובה: “לעיתים קרובות אנו מבצעים בדיקות אבטחה פנימיות, כתוצאה מעדכון גרסאות נוצרה פירצה אשר טופלה ותוקנה באותו הרגע. אנו אסירי תודה על שהעניין הובא לתשומת ליבנו, נמשיך להיות קשובים לכל פנייה על מנת להשתדרג למען המשתמשים באפליקציה. כמו כן, חשוב לנו לציין שלא ידוע לנו על ניסיונות של ניצול לרעה”.


סייברשקשוקה הוא מדור על סייבראבטחה בישראל 🍳🍅 יש לכם סיפור בנושא? ספרו לי.

לוגו המדור 🖌️ חדר 404, עם אייקונים של Adrien Coquet (cc-by) ו-Arthur Shlain (cc-by)


🤷 המשטרה הצליחה לחשוף כתובות IP של מצלמת מעקב (אבל של עצמה) וגם את הסיסמה (abcd1234) 🍳🍅 סייברשקשוקה

סייברשקשוקה 🍳🍅 קליק לארכיון המדור

משטרת ישראל רכשה לעצמה מצלמות כבישים חדשות, שאמורות לתעד נהגים שעוזבים את ההגה במהלך הנסיעה. על אחת מהמצלמות לפחות (ואפשר לשער שעל כולן) יש ארבע מדבקות בולטות, ועליהן מספר שנראה כמו טלפון סלולרי, כתובת IP (אולי של המצלמה), כתובת IP נוספת שלצדה המילה wifi (יתכן שמדובר בכתובת הראוטר), וסיסמה.

למה אני יודע את זה? כי חדשות 2 שידרו כתבה בנושא, וראיינו את רס”ר יפתח אדמוני מאגף התנועה של המשטרה, שדיבר כשמלפניו המצלמה האמורה עם המדבקות עליה. המתגלץ’ רותם דותן הבחין במידע ופרסם אותו בפייסבוק.

אני לא יודע מה יותר פוגע בכושר ההרתעה של המשטרה – העובדה שהמידע הזה נחשף לציבור בפריים טיים, העובדה שבכלל יש מדבקות כאלו על המצלמה, או העובדה שהסיסמה היא abcd1234, סיסמה שנבחרה במיוחד להקל על מתקפת מילון של גורי האקרים עצלים במיוחד שאפילו לא רואים חדשות.

מספר טלפון, כתובות IP וסיסמה של מצלמת כבישים של משטרת ישראל 📷 צילומסך מחדשות 2

פרטי מצלמת הכבישים של המשטרה 📷 צילומסך מחדשות 2 (החץ לא במקור)

(אגב, רה”מ בנימין נתניהו עשה דבר דומה פעם – בפליקר הרשמי של ראש הממשלה פרסמו תמונה שלו מחזיק בטלפון לווייני, כשמספר הטלפון מוצג על מדבקה על גבי הטלפון).

מספר הטלפון הלווייני של בנימין נתניהו. 📷 משה מילנר, לע"מ 📝 חדר 404

מס’ הטלפון הלווייני של נתניהו. 📷 משה מילנר, לע”מ 📝 חדר 404

ועוד בנושא עבירות תחבורה וטיפשות ממלכתית: עובד משרד ראש הממשלה ביצע עבירות תנועה, אישה אחרת קיבלה קנסות על העבירות שלו וחשבונות על נסיעות שלו בכבישי אגרה, האיש נתפס במכונית עם מספר רישוי זהה לזה של האישה אך המשטרה שחררה אותו כשאמר שהוא עובד משרד ראש הממשלה, ואז משרד ראש הממשלה פשוט הודה בזיוף הלוחיות עבור עובדיו – זיוף שנעשה בלי לבדוק אם המספר המזוייף כבר תפוס על ידי מכונית אחרת – ושהוא כיסה את העלויות באמצעות כספי המיסים שלנו.

עוד בנושא:

חשיפה של רשת ב’: היוזרים והסיסמאות של רשת ב’

רוצים לדבר בטלפון עם ביבי?


סייברשקשוקה הוא מדור על סייבראבטחה בישראל 🍳🍅 יש לכם סיפור בנושא? ספרו לי.

לוגו המדור 🖌️ חדר 404, עם אייקונים של Adrien Coquet (cc-by) ו-Arthur Shlain (cc-by)


הבית היהודי שכח לסגור הדלת 🍳🍅 סייברשקשוקה

סייברשקשוקה 🍳🍅 קליק לארכיון המדור

אמ;לק: פרטי חברי “הבית היהודי” היו פרוצים לכל דרך אתר המפלגה • המפלגה והרשות להגנת הפרטיות התעלמו יותר מחודש מדיווח בנושא • במפלגה טוענים שהמידע שנחשף ממילא פתוח לציבור, וחסמו היום את הפירצות

ספר הבוחרים של מפלגת “הבית היהודי” בראשות נפתלי בנט ניתן היה להורדה, בגלל פירצות פרטיות חמורות באתר המפלגה. הפירצות התגלו בבדיקה יזומה שערכנו, רן בר זיק מהבלוג “אינטרנט ישראל” ואני (פירוט טכני של הפירצות אצל בר-זיק). הפירצות חשפו זהות של חברי המפלגה, ועלולות להוות עבירה על חוק הגנת הפרטיות. בעקבות פנייתנו חסמה המפלגה את הפירצה המשמעותית מביניהן.

בשער אתר הבית היהודי הופיעה הפניה לבדיקת חברות במפלגה. בעמוד הבדיקה, בכתובת ysvote.co.il/bait, שבראשו נכתב “בחירות ליו”ר מפלגת הבית היהודי”, התבקשו המצביעים הפוטנציאליים להזין מספר תעודת זהות ולהקליק על כפתור. האתר החזיר תשובה – האם המסת”ז קיים בספר הבוחרים או לא, ואם הוא קיים, גם את שם החבר/ה ועיר המגורים שלו/שלה.

בדיקת חברות באתר מפלגת הבית היהודי 📷 צילומסך

בדיקת חברות באתר מפלגת הבית היהודי 📷 צילומסך

בעמוד בדיקת החברות במפלגה נמצאו פירצות הפרטיות. ראשית, העמוד לא הכיל שום הגנה לווידוא הבעלות של השואל על המסת”ז. פירצה זו מאפשרת לכל גולש לבדוק באתר תעודת זהות של כל אדם, ולגלות אם הוא חבר במפלגה.

העמוד גם לא מוגן מפני מתקפת כוח-פראי (brute force attack), שבה גולש יכול לשלוח שאילתות בזו אחר זו, וגם לא ממתקפה דומה של בוט, שיכול להריץ כמות גדולה של שאילתות בזמן קצר. brute force היא אחת מההתקפות הוותיקות ביותר בתחום המחשוב, וידועה מזה כ-30 שנה. ישנן הגנות רבות שניתן ליישם בקלות על מנת למנוע מתקפה כזו, למשל הטמעת קפצ’ה (אותיות מעוותות, “אני לא רובוט”), הגבלת מספר השאילתות שאפשר לשאול בפרק זמן מוגדר, או מניעת בקשות מרובות מכתובת IP בודדת. בהיעדר ההגנות, הפירצה הזאת איפשרה להאקרים לשלוח, ידנית או באמצעות בוט, שאילתות על כל טווח תעודות הזהות הישראלי, ולהוריד את ספר הבוחרים המלא של המפלגה.

אבטחת המידע של העמוד כל כך עלובה עד שהוא אפילו לא אובטח ב-SSL, כך שהשאילתות והתשובות נשלחו בטקסט נקי ובלתי מוצפן (cleartext). באופן זה, הן חשופות לספק האינטרנט שדרכו הגולש מחובר לאתר, וכן לכל מי שמנטר את התעבורה אל האתר וממנו, מהאקרים ועד ה-NSA.

תשובה שלילית לבדיקת חברות באתר מפלגת הבית היהודי 📷 צילומסך (מחקנו את הפרטים המזהים)

תשובה חיובית לבדיקת חברות באתר מפלגת הבית היהודי 📷 צילומסך (מחקנו את הפרטים המזהים)

חוק הגנת הפרטיות מגדיר “נתונים על דעותיו ואמונתו” של אדם – שהשתייכות למפלגה נמנית עליהם – כ”מידע רגיש”. מאגר מידע רגיש חייב ברישום אצל רשם מאגרי המידע, והחוק מטיל אחריות חוקית לאבטח את המידע בו: “בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע”. אבטחת המידע מוגדרת בין השאר כ”הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין”.

ביולי דיווחנו על פירצה דומה (לצד פירצות נוספות) באתר מפלגת העבודה, שקיימה אז את הפריימריז שלה. המפלגה חסמה חלק מהפירצות, ולבסוף סגרה כליל את עמוד בדיקת החברות. עו”ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות הסביר לנו אז כי “העמדת כלי המאפשר לכל אחד המחזיק את מספר הזהות של חברו לברר האם האדם חבר במפלגת העבודה היא עבירה על חוק הגנת הפרטיות, שכן היא מפרה חובת סודיות מפורשת הקיימת בחוק ובהסכם. הפרה זו עשויה לשלוח את מפתחי המערכת לחמש שנות מאסר, ולאפשר תביעה כנגדם על סך של עד 50,000 ש”ח ללא הוכחת נזק. לצערנו, חוק הגנת הפרטיות אינו מאפשר תביעה ייצוגית על פגיעה בפרטיות, ולכן אנחנו מאמינים כי יש לתקן את החוק ולאפשר הענשה של גורמים שמתרשלים בשמירה על המידע הפרטי שלנו”.

בר-זיק דיווח למפלגת הבית היהודי על הפירצות ב-14/11, אולם המפלגה לא השיבה לפנייתו, ובחודש שעבר מאז הפנייה לא סגרה את הפירצות ולא הסירה את העמוד, אף שהבחירות ליו”ר המפלגה התקיימו לפני יותר משמונה חודשים. בר-זיק גם פנה פעמיים, ב-21/11 וב-27/11, לעו”ד עלי קלדרון, הממונה על הפיקוח ברשות להגנת הפרטיות (לשעבר רמו”ט), הרגולטור שאמור לאכוף שמירה על פרטיות במאגרי מידע, וזה לא השיב ולא הביא לסגירת הפירצות.

אתמול ביקשתי תגובה ממפלגת הבית היהודי. הבוקר עמוד הבית של האתר כבר היה מעודכן עם כלי חדש לבדיקת חברות במפלגה. הפירצות נחסמו, וכעת צריך לעבור ריקפצ’ה כדי להציג שאילתה. עם זאת, עדיין אפשר לבדוק כל מסת”ז, ולגלות אם בעליו הוא חבר המפלגה, מה שמו, באיזו עיר הוא גר ומה איזור הבחירה שלו.

בדיקת חברות באתר מפלגת הבית היהודי 📷 צילומסך (מחקנו את הפרטים המזהים)

תשובה חיובית לבדיקת חברות באתר מפלגת הבית היהודי 📷 צילומסך (מחקנו את הפרטים המזהים) תשובה שלילית לבדיקת חברות באתר מפלגת הבית היהודי 📷 צילומסך

תגובות

ממפלגת הבית היהודי נמסר בתגובה:

אתר הבחירות של הבית היהודי פועל על-פי כל התקנים המחמירים הקיימים ופרטי המתפקדים חסויים ונשמרים במחשבי המפלגה.
הקישור שצורף לשאלת הכתב, ישב על ספריה ניסיונית זמנית באתר חברת התוכנה ובעקבות פניית הכתב הקישור הוסר.
הקישור כלל אישור לספר בוחרים ישן בלבד שאיננו בתוקף וללא פרטיהם האישיים של המתפקדים. אלו פרטים שפתוחים בפני הציבור ואינם חסויים.

הערות לתגובה:

“אתר הבחירות של הבית היהודי פועל על-פי כל התקנים המחמירים הקיימים” – לא, הוא לא, כפי שאפשר לראות מהפירצות ומהעובדה שאפילו SSL לא היה שם.

“פרטי המתפקדים חסויים ונשמרים במחשבי המפלגה” – וכמו כן היו זמינים לכל גולש דרך עמוד בדיקת החברות הפרוץ.

“הקישור שצורף לשאלת הכתב, ישב על ספריה ניסיונית זמנית באתר חברת התוכנה ובעקבות פניית הכתב הקישור הוסר” – זה עמוד בדיקת חברות במפלגה שלונקק מדף הבית הרשמי של המפלגה, לא ממש מעניין אותי איפה הוא יושב ומי מפעיל אותו עבור המפלגה. אגב, הספריה הזאת כל כך זמנית שהפירצות קיימות לפחות מאוגוסט השנה, ואפשר להניח שאף מוקדם יותר, לאור העובדה ששימשה לבדוק חברות במפלגה לצורך השתתפות בבחירת היו”ר בסוף אפריל.

“הקישור כלל אישור לספר בוחרים ישן בלבד שאיננו בתוקף וללא פרטיהם האישיים של המתפקדים. אלו פרטים שפתוחים בפני הציבור ואינם חסויים” – אם מדובר בספר בוחרים ישן, שאינו בתוקף ואין בו פרטים אישיים של המתפקדים, והמידע פתוח בפני הציבור – מדוע הסירה המפלגה את העמוד, כשהיא פוגעת ביכולתו של הציבור להשיג את המידע? אם הפרטים הללו אכן פתוחים בפני הציבור, אשמח לקבל מהמפלגה עותק של ספר הבוחרים המלא שלה. הכתובת שלי: ido@room404.net.

עו”ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות התייחס גם הוא לטענה הזאת:

המידע על האם אדם מסוים הוא חבר מפלגה הוא מידע אישי שיכול להוות גם שיוך פוליטי. עצם החשיפה שלו היא פגיעה בפרטיות. עצוב לשמוע שעוד מפלגה פוליטית לא עומדת בהוראות חוק הגנת הפרטיות, הקובעות כי על בעל מאגר מידע למנוע גישה לא מורשית.

בין אם מדובר ברשימה עתיקה ובין אם לא, ובין אם מדובר בספריה נסיונית ובין אם לא, מדובר במחדל אבטחה שיכול להוביל למאסר של מנהלי המאגר.

זו לא הפעם הראשונה שפוליטיקאים מפקירים את הפרטיות שלנו, ואם זו רמת האבטחה שהם מפעילים על מאגרים שלהם, אני אופתע אם הם יקדמו חוקים להגנה על מידע פרטי.

המפלגה לא התייחסה לשאלה על התעלמותה מהדיווח של בר-זיק לפני חודש.

מהרשות להגנת הפרטיות נמסרה האין-תגובה “איננו מתייחסים לנושא הספציפי, ומכל מקום הרשות להגנת הפרטיות אינה מגיבה בנושאי אכיפה עד לתום הליכים וגיבוש מסקנות”.

גם הרשות לא התייחסה לשאלה על התעלמותה מהדיווח של בר-זיק לפני חודש.

מהרשות הלאומית להגנת הסייבר נמסר אחה”ץ, אחרי הפרסום:

אין ספק כי הנושא מהווה בעיית אבטחה.
לצערנו נראה כי האתר כבר לא זמין אך עברנו על הדו”ח באתרכם ונראה כי נאסף מספיק מידע על מנת לפנות לבעלי האתר ולפעול לפתרון הבעיה.

• הפוסט עודכן לאחרונה ב-17/12/2017


סייברשקשוקה הוא מדור על סייבראבטחה בישראל 🍳🍅 יש לכם סיפור בנושא? ספרו לי.

לוגו המדור 🖌️ חדר 404, עם אייקונים של Adrien Coquet (cc-by) ו-Arthur Shlain (cc-by)