“אתרים פקקטה” 🏆 טקס פרסי הסייברסייבר 2019 🐱💻 סייברסייבר ע01פ05

סיסמאות גלויות בקוד, היעדר הצפנה, בוטים טפשים, פארק סייבר וג’ימבורי ועוד ועוד מככבים בטקס פרסי הסייברסייבר 2019, בהגשת נעם רותם ורן בר-זיק

הנגשה לכבדי שמיעה: המצגת המלאה של הטקס

נעם רותם ורן בר-זיק בטקס פרסי הסייברסייבר 2019 📸 עידו קינן
נעם רותם ורן בר-זיק בטקס פרסי הסייברסייבר 2019 📸 עידו קינן

🐱💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: נעם רותם, עידו קינן 🎵 מוזיקה: (Fauna & Killah B – CC-by), רוברט קלאות’ 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס; תודה לסולוטו על האירוח 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 דברו איתנו: cybercyber@podcasti.co

"המצב פה הוא מעולה מבחינת הסייבר. וזה שאתה מביא ראיה מפריצה לכל מיני אתרים פקקטה זה לא רציני."
31 בינואר, 2019 | בנושאים: 404, סייברסייבר | תגובה אחת 

🛰️ ההדלפה של רוסיליקס 👎 לייק אינו השמצה 🤙 איחוד בין מסנג’ר, וואטסאפ ואינסטגרם 📻 האחראי על האינטרנט, מוצ”ש 19:30 גלצ

ספריפדיה

פעילי וויקיפדיה העברית הוותיקים לא תמיד ידידותיים כלפי תורמים מזדמנים. קבוצה של תורמים כאלו ביצעו בשבוע וחצי האחרון מאות עריכות, במסגרת קמפיין #1Lib1Ref העולמי, שבו ספרנים מעשירים ערכים וויקיפדיים. בשנה שעברה הגיעה וויקיפדיה העברית למקום הרביעי בקמפיין עם 356 עריכות, וכרגע, קצת לפני אמצע הקמפיין, 43 ספרנים בספרייה הלאומית ובספריות אחרות בארץ ביצעו כבר 578 עריכות. אנחנו מדברים על כך עם אורלי סימון, מנהלת אגף שירותי קהל בספרייה הלאומית.

ספרים 🎨 Combined Media, cc-by-nc-nd
ספרים 🎨 Combined Media, cc-by-nc-nd

דברים שלא נדבר עליהם בפינה

📵 על רקע המתיחות המתגברת בין סין לארה”ב, מנוע החיפוש בינג של מיקרוסופט, שעדיין קיים, נחסם על ידי הממשל הסיני ביום רביעי. זאת במסגרת פעילות מסיבית של רשות הסייברספייס הסינית נגד שירותי אינטרנט, שמתנהלת בשנה האחרונה ואשר כללה חסימת 9300 אפליקציות ו-700 אתרים השבוע. הסינים הורו על החסימה למרות שמיקרוסופט נכנעה לשלטון הרודני וסיפקה בסין גירסה מצונזרת של מנוע החיפוש (ושל הרשת החברתית העסקית לינקדאין), בעוד המתחרה גוגל החליטה ב-2010 להפסיק לצנזר תוצאות ויצאה מהמדינה.

🛰️ 175 גיגהבייט של מסמכים רוסיים פנימיים, ובהם חומרים על המלחמה הרוסית באוקראינה, והתנהלות עסקית של אוליגרכים הודלפה אתמול לרשת (🔐) על ידי קבוצת פעילי שקיפות בשם Distributed Denial of Secrets, משחק מילים על DDoS, סוג של מתקפת סייבר מבוזרת. בין השאר, ההדלפה כוללת חומרים שנגנבו מהמשרד לעניינים פנימיים של רוסיה, שוויקיליקס סירבו לפרסם ב-2016 בטענה שהם לא מפרסמים חומרים שאינם יכולים לוודא את אמיתותם או שהם לא חשובים, ואשר חיזקו את הטענות שלפיהן המטרות של וויקיליקס ורוסיה חופפות. לפי הניו יורק טיימס, הדלפת המידע הרוסי נתפסת כתגובה סמלית להדלפת המידע מהמפלגה הדמוקרטית ומהקמפיין של הילרי קלינטון, שהרוסים חשודים שביצעו בבחירות 2016 בארה”ב.

🤙 מנכ”ל פייסבוק, מארק זאקרברג, רוצה לאחד עד תחילת 2020 את התשתיות שמאחורי אפליקציות המסרים המידיים וואטסאפ, פייסבוק מסנג’ר וזו של אינסטגרם, שביחד מחזיקות ב-2.6 מיליארד משתמשים (חלקם חופפים), ולהוסיף לשתי האחרונות הצפנה מקצה-לקצה, כך חשף הניו יורק טיימס. המטרה היא לחזק את השליטה של פייסבוק במשתמשים, והתוכנית מעוררת חששות לגבי פרטיותם והגידול באחיזה המונופוליסטית של פייסבוק בשוק המסרים המידיים.

👎 שיתוף פוסט משמיץ בפייסבוק עלול להיחשב כלשון הרע, אבל לייק/פיברוט לא, כך קובע היועמ”ש לממשלה. “מהותה ותכליתה של פעולת החיבוב כשלעצמה, מנקודת מבטו של המשתמש, אינה הפצת פרסום, אלא הבעת רגש כלפיו, ואילו הפצת התוכן, ככל שאכן מתרחשת, הינה תוצר נלווה ותלויה באלגוריתם שאינו בשליטתו או בידיעתו”, נקבע בעמדת היועמ”ש, שהוגשה לביהמ”ש המחוזי בת”א בנוגע לערעור על פסק דין מאוגוסט 2016 על בני זוג שנתבעו על השמצה פייסבוקית של מקומון.

26 בינואר, 2019 | בנושאים: האחראי על האינטרנט בשישבת בגלצ | תגובה אחת 

גוגל דורקינג: מנוע חיפוש למציאת פירצות 🐱💻 סייברסייבר ע01פ04

גוגל עושה עבודה מרשימה מאוד בחיטוט וקיטלוג המידע ברשת, עם טריליונים רבים של דפים מאונדקסים. רובנו משתמשים בשורת החיפוש של גוגל כדי להקיש מילות מפתח ולקבל תשובות. חלקנו, במיוחד אלו מאיתנו שהם האקר נאה וחובב פחמימות, משתמשים בגוגל גם כדי למצוא פירצות אבטחה. זה נקרא גוגל דורקינג, ובפרק 4 של סייברסייבר נלמד איך עושים את זה.

הנגשה לכבדי שמיעה: התסריט המלא של הפרק

הערותוכנית

נעם רותם ועידו קינן, סייברסייבר 📸 עומר סנש, Podcasti.co
נעם רותם ועידו קינן, סייברסייבר 📸 עומר סנש, Podcasti.co

🐱💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: נעם רותם, עידו קינן 🎵 מוזיקה: (Fauna & Killah B – CC-by), רוברט קלאות’ 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫

"המצב פה הוא מעולה מבחינת הסייבר. וזה שאתה מביא ראיה מפריצה לכל מיני אתרים פקקטה זה לא רציני."
21 בינואר, 2019 | בנושאים: סייברסייבר | 2 תגובות 

לשמירה על הפרטיות האזינו כאן 👂

לקראת יום הגנת הפרטיות הבינלאומי, שמצויין ב-28/1, הפקנו ב-Podcasti.co פודקאסט חדש בשם “פרטיות העתיד” עבור הרשות להגנת הפרטיות במשרד המשפטים. בפרק הבכורה מדברים אנשי הרשות על מספר חידושים טכנולוגיים שנכנסו וייכנסו לחיינו (לבישי כושר ובריאות, האינטרנט של הדברים והעיר החכמה), בעיות הפרטיות שהם הביאו איתם ודרכי התמודדות.

הנגשה לכבדי שמיעה; RSS

קראקר בטלפון הסלולרי 🎨 חאריס טסוויס (cc-by-nc-nd)
חדירה לפרטיות 🎨 חאריס טסוויס (cc-by-nc-nd)
16 בינואר, 2019 | בנושאים: 404 | להגיב זה מגניב 

✈ פרטי נוסעי אל על וחברות נוספות נחשפו בפירצה ב”אמדאוס”, ששולטת ב-44% מהשוק העולמי 🐱💻 סייברסייבר ע01פ03

רן בר-זיק בסך הכל רצה לטוס לפסטיבל מטאל, “המוזיקה היחידה ששווה משהו”. אבל האקר נאה וחובב פחמימות (אך מתעב מטאל) פרץ לו לחשבון, שינה לו את הפרטים והכי נורא, הזמין לו ארוחה טבעונית גלאט כושר. איך זה קרה? בגלל פירצת אבטחה במערכת ששולטת על כמעט חצי משוק הכירטוס העולמי. הסיפור המלא בפרק 3 של סייברסייבר (שהוקלט בבהילות, ואנחנו מתנצלים על הסאונד).

הנגשה לכבדי שמיעה: כתבה על הפירצה

זה התחיל מכך שנעםר הזמין לעצמו כרטיס טיסה באל על (לקייב, מכל המקומות בעולם). כשקיבל אישור באימייל ראה שהלינק שצורף אליו, שמאפשר לצפות בהזמנה ולעדכנה, מכיל את המזהה הייחודי (ID) של ההזמנה. הוא ניסה לשנות את המזהה בשורת הכתובת ולהגיע לכרטיסים של אנשים נוספים, ונחל הצלחה. הוא גילה גם ששילוב של שם הנוסע והמזהה מאפשר לו ללגון למערכת, לראות את כל פרטי הנוסע ולשנותם.

בר-זיק, שלא ידע על כל זה, הזמין כרטיס לפסטיבל המטאל ומיהר לספר לחבר’ה בוואטסאפ, כולל תמונה של הכרטיס. אחד הנמענים היה נעםר, שנכנס לעמוד ההזמנה של בר זיק עם שמו של ברזיק והמזהה הייחודי, והזמין לו ארוחת גלאט טבעונית. יאמי.

אבל גם אם בר-זיק לא היה חושף את כרטיסו, נעםר יכול היה לאתר את ההזמנה בעצמו. כשהריץ סקריפט על האתר גילה שאין הגנה ממתקפת כוח-גס (ברוט פורס), כך שהוא יכול להריץ את כל צירופי האותיות והמספרים האפשריים למזהה הייחודי, ולשאוב את מאגר המידע המלא של נסיעות נוסעי אל על. וב-2018 אין שום סיבה שאתר יהיה חשוף למתקפה פרימיטיבית כמו ברוט פורס.

רן בר-זיק חושף את עצמו
רן בר-זיק חושף את עצמו

מחברת אל על נמסר בתגובה:

אל על קיבלה דיווח מלקוח של החברה לפיו קיים ליקוי אבטחת מידע.
הלקוח מסר כי לא עשה ואינו מתכוון לעשות שימוש במידע  וכי מטרת הפניה הינה בחינת הליקוי במטרה לתקנו.
החברה התייחסה במלוא הרצינות לדיווח וביצעה בדיקות מידיות. במסגרת הבדיקות עלה כי  הליקוי איפשר באמצעות הזנת מספר ההזמנה של לקוח אחר, לצפות בפרטי הזמנתו. יש לציין כי בשום שלב לא התאפשרה חדירה אל בסיס הנתונים של החברה. נדגיש כי אין מדובר בגישה למערכת ההזמנות עצמה אלא בגישה לתצוגה מצומצמת הקשורה בהזמנה ספציפית בלבד.
מערכת ההזמנות בה אל על עושה שימוש הינה מערכת בינלאומית בעלת רמת אבטחה גבוהה, המשמשת חברות תעופה רבות בעולם. אל על פנתה באופן מיידי לספק מערכת ההזמנות שנרתם לתיקון הליקוי.


המערכת הפרוצה שבה משתמשת אל על הוקמה על ידי אמדאוס, ספקית שירותים לחברות תעופה שב-2017 הכניסה 5.81 מיליארד דולר והחזיקה ב-43.9% מהשוק. מחברת אמדאוס נמסר בתגובה:

אבטחת מידע נמצאת בעדיפות עליונה באמדאוס, ואנחנו מנטרים ומעדכנים את המערכות שלנו כל הזמן. הצוותים הטכניים שלנו פעלו מיידית ואנחנו יכולים לאשר כעת שהסוגייה נפתרה. כדי לחזק את האבטחה, הוספנו Recovery PTR כדי למנוע ממשתמשים זדוניים גישה למידע הפרטי של הנוסעים. אנחנו מתנצלים על כל אי נוחות שעלולה היתה להיגרם בגלל המצב הזה.


ועל כך אומר נעםר: “אני מודה בבושה שאני לא מבין עד הסוף מה התיקון שהם עשו, אבל היי – זו חברה ששווה מיליארדים, הם בטח יודעים על מה הם מדברים”.

פירצת אבטחה באל על 📸 בורקס: Shlomif (PD); מטוס: זיגי נגראה (cc-by-nc-sa)

🐱💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: נעם רותם, עידו קינן ➕ אורח: רן בר-זיק 🥐 בורקס: Shlomif (PD) 🛫 מטוס אל על: זיגי נגראה (cc-by-nc-sa) 🎵 מוזיקה: (Fauna & Killah B – CC-by), רוברט קלאות’ 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫

15 בינואר, 2019 | בנושאים: סייברסייבר | 5 תגובות 

😾 טעות במספר🎙 שׁרת התרבות, פרק 6

ספאמר טלמרקטינג של סלקום התקשר לבנאדם הלא נכון. הוא והאחמשית שלו נקלעו לשיחה ארוכה על אישה שאינה קיימת וצ’יפים לחתולים. פרק שישי של שׁרת התרבות, פודקאסט תרבות רשת.

חתול מסנן את סלקום 📸 Stock Catalog (cc-by) ו-Podcasti.co
חתול מסנן את סלקום 📸 Stock Catalog (cc-by) ו-Podcasti.co

שׁרת התרבות הוא הסכת (פודקאסט) על תרבות רשת 🗣️ יוצר ומגיש: עידו קינן 👨‍🔧 עיצוב סאונד: עומר סנש 🎵 מוזיקת פתיח וסגיר: N1N10DOH! (cc-by) 👽 מוזיקה עגומה: Setuniman (cc-by-nc) 🐈 תמונת חתול: Stock Catalog (cc-by) 😇 השראה ושם התוכנית: אלה נובק 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס

14 בינואר, 2019 | בנושאים: שׁרת התרבות | 3 תגובות 

תכלה שנה ופירצותיה 🐱💻 סייברסייבר מסכמים את 2018

רק פרק שני וסייברסייבר כבר מסכמים שנה: נעם רותם ועידו קינן מדברים על דליפת פרטי מאות מיליוני משתמשים, מתקפות DDoS, פייסבוק וקיימברידג’ אנליטיקה, חקיקה נגד הצפנה, מלחמות הראוטרים ועשרות פירצות ופירצות בישראל.

הנגשה לכבדי שמיעה: התסריט המלא של הפרק מתפרסם כאן.

הערותוכנית

1:01 מתקפת מניעת שירות מבוזרת (DDoS)

6:01 ביג ביג דאטה

9:23 הצפנה

15:19 מלחמות הראוטרים

18:18 פריצות ופירצות

22:33 ובארץ

נעם רותם ועידו קינן, סייברסייבר 📸 עומר סנש, Podcasti.co
נעם רותם ועידו קינן, סייברסייבר עומר סנש, Podcasti.co

🐱💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: נעם רותם, עידו קינן 🎵 מוזיקה: (Fauna & Killah B – CC-by), רוברט קלאות’ 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫

7 בינואר, 2019 | בנושאים: סייברסייבר | להגיב זה מגניב 

📵 פיקוד העורף לא רוצה שתשתמשו באפליקציות צבע אדום

זוכרים את ההתרעות של אפליקציית פיקוד העורף בצוק איתן? ברור שלא, כי לא היתה אחת כזו, עד שפקע”ר השיק רשמית את האפליקציה שלו, כנראה ביולי השנה, אני מנחש לפי המועד שבו דיווחו על כך אתרים שונים ועלו סרטוני ההסבר הרשמיים (תאריך ההשקה הוא מידע שלא תוכלו לאתר אם תסמכו על הודעת ההשקה ודברי ההסבר באתר פיקוד העורף, שמי שיצר אותו לא חשב שהודעות של גוף בטחוני לציבור צריכות הקשר כמו תאריך הפרסום, כי זה יעזור לאויב אני מניח; הוא גם לא מאמין בחיפוש הודעות ארכיון, לכן החיפוש שם לא עובד).

עד אז, אזרחי ישראל נאלצו להשתמש באפליקציות פרטיות, שצה”ל ניסה ליירט. עכשיו הוא החליט בטפשותו להשמיד אותן כליל, כפי שדיווח עודד ירון ב”הארץ”:

צה”ל החליט לנתק את האפליקציות הפרטיות להתרעה על ירי תלול מסלול לעבר ישראל מהמערכת של פיקוד העורף, מחשש להפצת התרעות שגויות והתרעות שווא. מצה”ל נמסר כי ההחלטה התקבלה בעקבות תלונות של אזרחים על תקלות טכניות באפליקציות, שאינן באחריות ובשליטת פיקוד העורף, אשר יצרו בלבול בקרב המשתמשים.

הצבא מסר כי גורמים ויזמים פרטיים רבים עושים שימוש בהתרעות המפורסמת באתר פיקוד העורף ברשת, לשם הפצתן באפליקציות. ואולם, בעקבות תקלות שונות – המידע המתקבל מהן לעתים מגיע באיחור ולעתים מפיץ התרעות שגויות.

וזה לא שאני לא סומך על פיקוד העורף וצה”ל בעניינים האלה. כלומר, חוץ מהקטע הזה שהטוויטר הרשמי של צה”ל דיווח ב-2014 על “דליפה גרעינית אפשרית בעקבות פגיעת שתי רקטות במתקן הגרעיני בדימונה” (עבודה של האקרים שפרצו לו לחשבון). וחוץ מהקטע שב-2015 פיקוד העורף שלח לירושלמים “התרעת חירום: חמורה ביותר” לא חתומה דרך מערכת ההתרעות הסלולרית, שהתבררה כהודעה לא חמורה על תרגיל ברכבת הקלה. פיקוד העורף, המשטרה ועיריית ירושלים לא טרחו לספק עליו פרטים באתריהם (צדיק בסדום: אתר סיטי פס, מפעילת הרכבת הקלה). אחרי המון טלפונים להמון גורמים גיליתי שפקע”ר בכלל לא היה זה ששלח את ההודעה: “פנה אלינו רב פקד בבקשה להשתמש במערכת ולכתוב את הסמס הזה. אישרנו לו להשתמש במערכת. […] זו הודעה של המשטרה, לא אנחנו כתבנו אותה”, סיפרה לי עוזרת דוברת פיקוד העורף.

"התרעת חירום: חמורה ביותר" שנשלחה בשידור סלולרי לסלולריים באזור ירושלים, 2.2015
“התרעת חירום: חמורה ביותר” שנשלחה בשידור סלולרי באזור ירושלים, 2.2015
3 בינואר, 2019 | בנושאים: 404 | להגיב זה מגניב