🔌 חברת החשמל של הפלסטינים חושפת הכל 🐱‍💻 סייברסייבר

לקרוא למה שהיה באתר חברת החשמל המזרח ירושלמית (شركة كهرباء محافظة القدس) פירצת אבטחה יהיה עלבון לפירצות אבטחה. מי שבנו את האתר לא שמעו על אבטחת מידע. לא כשמועה רחוקה, לא כרמז הנישא על כנפי הרוח, ואפילו לא כניחוח רחוק המזכיר גשם ישן. כלום. סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר – פרק 11, עם נעם רותם + עידו קינן.

מד מתח 📸 Thomas Kelley (thkelley@Unsplash); עיבוד: Podcasti.co

הערותוכנית

דיברנו על פירצות אבטחה בחברת החשמל לישראל בפרק 7 של סייברסייבר:


סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, נעם רותם 🎵 מוזיקה: Fauna & Killah B (CC-by), רוברט קלאות’ 🎛️ אפקטים: Timbre (cc-by-nc), Stevious42 (cc-by), RunnerPack (cc-by), video forum (cc-by), keweldog (cc0), InspectorJ (cc-by), InspectorJ (cc-by), Macif (cc0), Ryding (cc-by), elankford (cc-by), animationIsaac (cc0), Breviceps (cc0) 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס


📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cybercyber@podacsti.co

🗳️ מעל 100 אלף רשומות על ליכודניקים דלפו לרשת 🐱‍💻 סייברסייבר בחירות 2019

לכבוד הבחירות אנחנו מקדישים את פרק 10 של סייברסייבר, עם נעם רותם, עידו קינן ורן בר-זיק, למיטב הפירצות באתרי המפלגות, שהפקירו לכל גולש חובב מאפים את הפרטים של מתפקדיהן – ובמקרה של הליכוד, גם את הספירה החוזרת של ההצבעה בפריימריז, וברגע האחרון גם 119 אלף רשומות על תומכי ליכוד.

נאום הבוטים של בנימין נתניהו 🎨 עיבוד לצילומסך מהטוויטר של נתניהו

הערותוכנית

00:00 נעםר איתר פירצת אבטחה טרייה, שחשפה 119 אלף רשומות מידע על תומכי ליכוד. מערך הסייבר דאג לסגירתה תוך שעתיים. ממפלגת הליכוד לא נמסרה תגובה.

דגימה מהמידע שדלף מהליכוד. טשטשנו פרטים מזהים כדי לא לפגוע בפרטיות

05:45 כפר הבחירות של דפקון פורץ מכונות הצבעה (פדף)

08:27 פירצת אבטחה באתר מפלגת העבודה חשפה את שמות המתפקדים

14:48 העבודה שמרו פרטים של חברי מפלגה גם אחרי שעזבו

15:41 פירצת אבטחה באתר הליכוד (המטה הלאומי בליכוד) חשפה פרטי מתפקדים, איפשרה את השחתתם ואיפשרה שתילת מתפקדים פיקטיביים

17:22 פירצת אבטחה באתר הבית היהודי חשפה פרטי מתפקדים

17:57 פירצת אבטחה באתר של שאול מופז ממפלגת קדימה חשפה פרטי מתפקדים

18:15 פירצת אבטחה באתר של עמרם מצנע ממפלגת העבודה חשפה פרטי מתפקדים

23:27 פירצת אבטחה באתר הפריימריז של הליכוד איפשרה השחתת נתוני ההצבעות בפריימריז

26:15 הפורנזיקה של הפירצה באתר הפריימריז של הליכוד:


סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, נעם רותם (בחופשה), רן בר-זיק 🎵 מוזיקה: Fauna & Killah B (CC-by), רוברט קלאות’ 🎛️ אפקטים ואינסרטים: Sirkoto51 (CC0), ניר שרף, לע”מ 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס


📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cybercyber@podacsti.co

🤳 הטרוקולר הסעודי חשף את המשתמשים 🐱‍💻 סייברסייבר, פרק 9

רוצים לדעת מי התקשר אליכם? יש אפליקציה לזה. אבל אל תתקינו אותה: היא תשתה את כל ספר הטלפונים שלכם, עם כל הפרטים של כל אנשי הקשר. בפרק 9 של סייברסייבר, נעם רותם ורן לוקאר מדברים עם עידו קינן על אפליקציית זיהוי השיחות הסעודית “דליל“, שאספה יותר מדי מידע על 5 מיליון משתמשיה – והפקירה אותו ברשת לכל הגולשים 🤖 וגם: תשדיר שירות לפרוייקט הבוטים הגדול של יובל אדם ונעם רותם.

אפליקציית דליל

🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, נעם רותם ➕ אורח: רן לוקאר 🎵 מוזיקה: Fauna & Killah B (CC-by), רוברט קלאות’, xclntr (cc-by) 🎛️ אפקטים ואינסרטים: Taken, כל אנשי הנשיא 📸 Nambit, VN (cc-by), Harrison Moore/Unsplash 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס


📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cybercyber@podacsti.co

🐶 כלב השמירה של הבית הלא כל-כך חכם 🐱‍💻 סייברסייבר, פרק 8

ביתכם הוא מבצרכם? לא אם התקנתם את הבית החכם של misterhouse, שמאפשרת להאקרים לחדור למערכת, לסגור לכם את האזעקה, לעמעם את הכלב ולשתות לכם את כל היין, שלא לדבר על להשתלט לכם על הרשת הביתית. בפרק 8 של סייברסייבר, עידו קינן מדבר עם נעם רותם ורן לוקאר על הפירצות הרבות במערכת הזאת, איך לדעת אם הבית החכם שלכם פרוץ גם הוא ומה לעשות בקשר לזה. [עדכון] קפטן אינטרנט פרסם כתבה בנושא.


אוּבֶּר חוּכֶם הויז 📸 Sharon Pazner, Shir Nidam and Ron Garshowitz (cc-by-nc)

🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, רן בר-זיק ➕ אורח: רן לוקאר 🎵 מוזיקה: Fauna & Killah B (CC-by), רוברט קלאות’, xclntr (cc-by) 🎛️ אפקטים ואינסרטים: The Flying House, Zajjman (cc0), luckylittleraven (cc0), kyles (cc0) 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס


📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cybercyber@podacsti.co

סייבר זורם בכפות ידייך, גנוב אותי חזק 🐱‍💻 סייברסייבר

חברת החשמל רוצים להקל על לקוחותיהם לשלם חשבונות ולדווח על תקלות. באותה הזדמנות, הם מקלים על האקרים להשתלט להם על החשבון ולאסוף עליהם מידע. בפרק 7 של סייברסייבר, עידו קינן מדבר עם רן בר-זיק ואמיתי דן על פירצות האבטחה והסכנות שנובעות מהן.

עוד בפרק: איך מכשיר פריצת-סלולר של סלברייט מגיע לידיים של האקרים, ומה הם יכולים לעשות איתו.

זהירות, כבל חשמל 📸 תומר ליכטש (cc-by-sa)

🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, רן בר-זיק ➕ אורח: אמיתי דן 🎵 מוזיקה: Fauna & Killah B (CC-by), רוברט קלאות’, xclntr (cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 📷 תמונת ניידת משטרה לגו: Filip Gabryel (cc-by-nc) 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 שילחו לנו אימיילים אל cybercyber@podacsti.co

מפסק חשמל 📸 זאב ברקן (cc-by)

👨‍👦 סייברהונאה ושתי גופות 😤 וגם: אמרנו לכם 🐱‍💻 סייברסייבר

כשהמשטרה הרומנית איימה לקנוס או לכלוא את מרסל דטקו על שהוריד פורנו למחשב, הוא רצח את בנו בן ה-4 והתאבד. הכל נכון, חוץ מהקטע על המשטרה. למעשה, האימייל שהודיע על כך לדטקו היה מפוברק, ונועד לגרום לו לשלם לנוכלים כופר בביטקוין.

הודעות דומות מופצות גם בישראל, ורבים מאמינים להן ונקלעים למצוקה. בפרק 6 של סייברסייבר, רן בר-זיק ועידו קינן מספרים על הטרגדיה, פירצות האבטחה וההנדסה החברתית שמאחוריה, ואיך להימנע ולהתמודד עם מקרים דומים בעתיד.

אימייל הונאה שמתחזה להיות מהמשטרה הרומנית

מעקב סייברסייבר: נגישות היא אכן אסון

אתרים ישראליים רבים, ובהם וויינט, הושחתו השבוע עם הודעה שלפיה “ירושלים היא בירת פלסטין #OpJerusalem”. וקטור ההתקפה: תוסף נגישות ישראלי שמותקן באתרים המושחתים, nagich.co.il, ואשר ההאקרים הצליחו לשנות את רשומת ה-DNS שלו ולהוביל לקוד ג’אווהסקריפט שהשתיל את ההודעה. בדיוק כפי שהזהרנו בפרק הראשון של סייברסייבר. אפשר לשמוע אותו כאן:

השחתת אתר וויינט

🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, רן בר-זיק 🎵 מוזיקה: Fauna & Killah B (CC-by), רוברט קלאות’, xclntr (cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 📷 תמונת ניידת משטרה לגו: Filip Gabryel (cc-by-nc) 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫

“אתרים פקקטה” 🏆 טקס פרסי הסייברסייבר 2019 🐱‍💻 סייברסייבר ע01פ05

סיסמאות גלויות בקוד, היעדר הצפנה, בוטים טפשים, פארק סייבר וג’ימבורי ועוד ועוד מככבים בטקס פרסי הסייברסייבר 2019, בהגשת נעם רותם ורן בר-זיק

הנגשה לכבדי שמיעה: המצגת המלאה של הטקס

נעם רותם ורן בר-זיק בטקס פרסי הסייברסייבר 2019 📸 עידו קינן
נעם רותם ורן בר-זיק בטקס פרסי הסייברסייבר 2019 📸 עידו קינן

🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: נעם רותם, עידו קינן 🎵 מוזיקה: (Fauna & Killah B – CC-by), רוברט קלאות’ 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס; תודה לסולוטו על האירוח 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 דברו איתנו: cybercyber@podcasti.co

"המצב פה הוא מעולה מבחינת הסייבר. וזה שאתה מביא ראיה מפריצה לכל מיני אתרים פקקטה זה לא רציני."

גוגל דורקינג: מנוע חיפוש למציאת פירצות 🐱‍💻 סייברסייבר ע01פ04

גוגל עושה עבודה מרשימה מאוד בחיטוט וקיטלוג המידע ברשת, עם טריליונים רבים של דפים מאונדקסים. רובנו משתמשים בשורת החיפוש של גוגל כדי להקיש מילות מפתח ולקבל תשובות. חלקנו, במיוחד אלו מאיתנו שהם האקר נאה וחובב פחמימות, משתמשים בגוגל גם כדי למצוא פירצות אבטחה. זה נקרא גוגל דורקינג, ובפרק 4 של סייברסייבר נלמד איך עושים את זה.

הנגשה לכבדי שמיעה: התסריט המלא של הפרק

הערותוכנית

נעם רותם ועידו קינן, סייברסייבר 📸 עומר סנש, Podcasti.co
נעם רותם ועידו קינן, סייברסייבר 📸 עומר סנש, Podcasti.co

🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: נעם רותם, עידו קינן 🎵 מוזיקה: (Fauna & Killah B – CC-by), רוברט קלאות’ 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫

"המצב פה הוא מעולה מבחינת הסייבר. וזה שאתה מביא ראיה מפריצה לכל מיני אתרים פקקטה זה לא רציני."

✈ פרטי נוסעי אל על וחברות נוספות נחשפו בפירצה ב”אמדאוס”, ששולטת ב-44% מהשוק העולמי 🐱‍💻 סייברסייבר ע01פ03

רן בר-זיק בסך הכל רצה לטוס לפסטיבל מטאל, “המוזיקה היחידה ששווה משהו”. אבל האקר נאה וחובב פחמימות (אך מתעב מטאל) פרץ לו לחשבון, שינה לו את הפרטים והכי נורא, הזמין לו ארוחה טבעונית גלאט כושר. איך זה קרה? בגלל פירצת אבטחה במערכת ששולטת על כמעט חצי משוק הכירטוס העולמי. הסיפור המלא בפרק 3 של סייברסייבר (שהוקלט בבהילות, ואנחנו מתנצלים על הסאונד).

הנגשה לכבדי שמיעה: כתבה על הפירצה

זה התחיל מכך שנעםר הזמין לעצמו כרטיס טיסה באל על (לקייב, מכל המקומות בעולם). כשקיבל אישור באימייל ראה שהלינק שצורף אליו, שמאפשר לצפות בהזמנה ולעדכנה, מכיל את המזהה הייחודי (ID) של ההזמנה. הוא ניסה לשנות את המזהה בשורת הכתובת ולהגיע לכרטיסים של אנשים נוספים, ונחל הצלחה. הוא גילה גם ששילוב של שם הנוסע והמזהה מאפשר לו ללגון למערכת, לראות את כל פרטי הנוסע ולשנותם.

בר-זיק, שלא ידע על כל זה, הזמין כרטיס לפסטיבל המטאל ומיהר לספר לחבר’ה בוואטסאפ, כולל תמונה של הכרטיס. אחד הנמענים היה נעםר, שנכנס לעמוד ההזמנה של בר זיק עם שמו של ברזיק והמזהה הייחודי, והזמין לו ארוחת גלאט טבעונית. יאמי.

אבל גם אם בר-זיק לא היה חושף את כרטיסו, נעםר יכול היה לאתר את ההזמנה בעצמו. כשהריץ סקריפט על האתר גילה שאין הגנה ממתקפת כוח-גס (ברוט פורס), כך שהוא יכול להריץ את כל צירופי האותיות והמספרים האפשריים למזהה הייחודי, ולשאוב את מאגר המידע המלא של נסיעות נוסעי אל על. וב-2018 אין שום סיבה שאתר יהיה חשוף למתקפה פרימיטיבית כמו ברוט פורס.

רן בר-זיק חושף את עצמו
רן בר-זיק חושף את עצמו

מחברת אל על נמסר בתגובה:

אל על קיבלה דיווח מלקוח של החברה לפיו קיים ליקוי אבטחת מידע.
הלקוח מסר כי לא עשה ואינו מתכוון לעשות שימוש במידע  וכי מטרת הפניה הינה בחינת הליקוי במטרה לתקנו.
החברה התייחסה במלוא הרצינות לדיווח וביצעה בדיקות מידיות. במסגרת הבדיקות עלה כי  הליקוי איפשר באמצעות הזנת מספר ההזמנה של לקוח אחר, לצפות בפרטי הזמנתו. יש לציין כי בשום שלב לא התאפשרה חדירה אל בסיס הנתונים של החברה. נדגיש כי אין מדובר בגישה למערכת ההזמנות עצמה אלא בגישה לתצוגה מצומצמת הקשורה בהזמנה ספציפית בלבד.
מערכת ההזמנות בה אל על עושה שימוש הינה מערכת בינלאומית בעלת רמת אבטחה גבוהה, המשמשת חברות תעופה רבות בעולם. אל על פנתה באופן מיידי לספק מערכת ההזמנות שנרתם לתיקון הליקוי.


המערכת הפרוצה שבה משתמשת אל על הוקמה על ידי אמדאוס, ספקית שירותים לחברות תעופה שב-2017 הכניסה 5.81 מיליארד דולר והחזיקה ב-43.9% מהשוק. מחברת אמדאוס נמסר בתגובה:

אבטחת מידע נמצאת בעדיפות עליונה באמדאוס, ואנחנו מנטרים ומעדכנים את המערכות שלנו כל הזמן. הצוותים הטכניים שלנו פעלו מיידית ואנחנו יכולים לאשר כעת שהסוגייה נפתרה. כדי לחזק את האבטחה, הוספנו Recovery PTR כדי למנוע ממשתמשים זדוניים גישה למידע הפרטי של הנוסעים. אנחנו מתנצלים על כל אי נוחות שעלולה היתה להיגרם בגלל המצב הזה.


ועל כך אומר נעםר: “אני מודה בבושה שאני לא מבין עד הסוף מה התיקון שהם עשו, אבל היי – זו חברה ששווה מיליארדים, הם בטח יודעים על מה הם מדברים”.

פירצת אבטחה באל על 📸 בורקס: Shlomif (PD); מטוס: זיגי נגראה (cc-by-nc-sa)

🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: נעם רותם, עידו קינן ➕ אורח: רן בר-זיק 🥐 בורקס: Shlomif (PD) 🛫 מטוס אל על: זיגי נגראה (cc-by-nc-sa) 🎵 מוזיקה: (Fauna & Killah B – CC-by), רוברט קלאות’ 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫

תכלה שנה ופירצותיה 🐱‍💻 סייברסייבר מסכמים את 2018

רק פרק שני וסייברסייבר כבר מסכמים שנה: נעם רותם ועידו קינן מדברים על דליפת פרטי מאות מיליוני משתמשים, מתקפות DDoS, פייסבוק וקיימברידג’ אנליטיקה, חקיקה נגד הצפנה, מלחמות הראוטרים ועשרות פירצות ופירצות בישראל.

הנגשה לכבדי שמיעה: התסריט המלא של הפרק מתפרסם כאן.

הערותוכנית

1:01 מתקפת מניעת שירות מבוזרת (DDoS)

6:01 ביג ביג דאטה

9:23 הצפנה

15:19 מלחמות הראוטרים

18:18 פריצות ופירצות

22:33 ובארץ

נעם רותם ועידו קינן, סייברסייבר 📸 עומר סנש, Podcasti.co
נעם רותם ועידו קינן, סייברסייבר עומר סנש, Podcasti.co

🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: נעם רותם, עידו קינן 🎵 מוזיקה: (Fauna & Killah B – CC-by), רוברט קלאות’ 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫

← לדף הקודםלדף הבא →