בנק הפועלים חוסם גולשים מחו”ל. רשימת המדינות החסומות סודית
תקציר מנהלים
אתר בנק הפועלים, קצת כמו פנדורה, לא עובד מחו”ל (לפעמים).
תקציר
אם יש לך חשבון עסקי בבנק הפועלים ואתה הולך להיות בחו”ל, קח בחשבון ש*אולי* לא תהיה לך גישה לאתר. למה אולי? כי הבנק לא יגיד לך איזה מדינות חסומות או מתי. אתה תושב חו”ל ורוצה לגשת לאתר? תשכח מזה, או תעבור למדינה המאושרת על ידי הבנק (אבל אל תשאל את הבנק מה מאושר, שם לא יגידו לך).
הסיפור הארוך
לפני כשנה, כש”ההאקר הסעודי” פרסם ברשת פרטים של כמה עשרות אלפי כרטיסי אשראי שנגנבו מאתרים ישראליים, היה גל של אתרים ישראלים שהתחילו לחסום גישה לאתר מארצות שנראו להם חשודות. בנק ישראל הורה אז לבנקים לחסום את אתריהם לגישה מכתובות IP ספציפיות מערב הסעודית, איראן ואלג’יריה. כיוון שישראלים לא ממש יודעים מה חשוד (למשל, כל האסיאתים כידוע נראים אותו הדבר), בערך חצי מאוכלוסית העולם נחסמה (הבנקים הבינלאומי ודיסקונט, למשל, חסמו כליל את הגישה לאתריהם מחו”ל). אני יודע את הסיפור כי אני מסתובב הרבה בחו”ל, בעיקר באסיה, וחוויתי את החסימות, וגם כי אושיית אינטרנט ישראלית פנתה אלי אז לנסח הסבר “ממומחה אבטחת מידע” למה לחסום גאוגרפית זה לא עוזר בגרוש מבחינת אבטחת מידע, אבל מזיק מכל בחינה אחרת. איכשהו אחרי קצת זמן השטות הזאת נעלמה, והפסיקה החסימה תלוית הגאוגרפיה, ואז שכחתי מכל העניין.
לאחרונה, בפתאומיות, קיבלתי דז’ה-וו-אול-אובר-אגיין. גיליתי שאי אפשר לגלוש לאתר העסקי של בנק הפועלים, שם יש לנו חשבון. הם חוסמים לגמרי גישה לאתר (לא נותנים איזו הודעה). זה גרם לי כמה שעות של תסכול כי חשבתי שהבעיה היא באתר שלהם (שיורד מדי פעם) או בדפדפן (כי הרי הם מאפשרים להשתמש רק באקספלורר, ואני משתמש באקספלורר רק עבור אתר הבנק). כיוון שהייתי בדרום קוריאה, ואיכשהו נזכרתי בסיפור שהבאתי במבוא, התחברתי דרך VPN כדי לקבל כתובת אמריקאית. הפלא ופלא – אם אתה “אמריקאי”, האתר עובד.
הבעיה עם חסימה גאוגרפית היא שהיא תחסום הרבה לקוחות לגיטימים. כאן נתתי דוגמה ללקוח משלם (אני) שנמצא בארץ אחרת – אין ספק לאף אחד שמדובר בי ולא בתוקף, אז למה לחסום אותי בכל זאת? חלק אחר מהלקוחות יחסמו בגלל שמאגר הנתונים שמסווג למדינות אינו מושלם, והוא עשוי לחשוב שמישהו בכפר סבא נמצא ברשות הפלסטינית. חלק נוסף יחסם בגלל שהאינטרנט היא רשת גלובלית: מישהו שמשתמש ברשת של חברה יפנית עשוי לצאת לאינטרנט עם כתובת ביפן.
אבל גם מבחינת החסימה עצמה, היא לגמרי לא אפקטיבית. ההתקפות נעשות דרך מחשבי “זומבי” (רשת של מחשבי זומבי נקראת “בוטנט”) שהם מחשבים מכל העולם שתקפו אותם ומשתמשים בהם בתור בסיס תקיפה (דמיין את המחשב של הדודה בתור בסיס מחבלים קטן). במלים אחרות, ההתקפה על הבנק תגיע, כמעט תמיד, ממחשב בארה”ב, או באירופה או אפילו בישראל – מחשב של דודה מסכנה שלא הספיקה לעדכן את הדפדפן או הורידה בטעות רושעה. לסיכום, לא חסמנו את ההתקפה עצמה אבל כן חסמנו לקוחות לגיטימים. זה ילד פוסטר לאיך שלא עושים אבטחה.
שלחתי לבנק דואל, דרך ממשק “צור קשר” באתר העסקי. קצת סקרן אותי לדעת אם תהיה להם סיבה לגיטימית לחסימה, ובעיקר רציתי לדעת איזה מדינות חסומות (מסיבות פרקטיות; אנחנו מבצעים את כל הפעולות בחשבון דרך האתר, ואני צריך לדעת אם האתר יעבוד לי, או שאני צריך לבקש ממישהו לעשות את זה מהארץ במקומי. סין, למשל, כבר לא מרשה תעבורת VPN, ואם סין חסומה, לא תהיה לי גישה לאתר בכלל. אני נמצא בסין פעם בחודש, בערך).
הייתי שמח לדעת מה הסיבה שלא ניתן לגשת לאתר מכתובות IP בקוריאה?
הגישה היתה פתוחה עד לפני מספר ימים ללא כל בעיה.
אם ברצונכם להשאר הבנק הראשון בישראל, כדאי שתקחו בחשבון שיש אנשי עסקים שנמצאים בחול חלק מהזמן, וצריכים גישה לחשבון העסקי.
אודה על תשובה בהקדם.
– Aviram
באותו יום קיבלתי את התשובה המדהימה-ולא-מפתיעה-כאחת הבאה:
אבירם שלום,
תודה על פנייתך,
בהתאם להוראות אבטחת מידע, וכפעולת מנע אל מול האיום המתגבר לאחרונה ברשת האינטרנט, הוחלט לחסום באופן זמני את הגישה לאתרי בנק הפועלים ממדינות מסוימות בחו”ל.
אנו מבצעים הערכת מצב באופן סדיר, ומקווים לחדש את הגישה לאתרים בהקדם.
נשמח לעמוד לשירותך במוקד שירות לקוחות האינטרנט בטלפון 2409*, 03-6532409
אנו מתנצלים על חוסר הנוחות.
* לשירותך תמיד
שירות לקוחות פועלים באינטרנט בנק הפועלים
זה הזכיר לי את השיטה הצה”לית של איך בודקים איזה מחשב מחובר לארון התקשורת לשקע 152. ככה: אתה מנתק את הכבל שמחובר לשקע 152, ומחכה לראות מי מתלונן שלא עובד לו המחשב. כשיוסי מתלונן, אתה רושם “יוסי” ליד שקע 152, וממשיך לשקע 153. בנק הפועלים רצה לראות מה יקרה שהוא מנתק את התקשורת לאתר ממדינה X. האם יפסקו ההתקפות? (ספוילר: לא). האם יתלוננו לקוחות? (ספוילר: למי אכפת).
כיוון שהמייל הסתיים ב”אנו מתנצלים”, חשבתי שאולי לא הובן חומרת המצב. למשל, אולי הם חושבים שגישה לאתר בנק הוא לא דבר שכל כך חשוב לחברה עסקית, או אולי הם ציפו ממני לקפוץ לסניף המקומי של בנק הפועלים בקוריאה. שמתי לב, גם, ששכחתי לשאול איזה מדינות חסומות – שהרי התשובה שלהם אמרה שיש “מדינות מסוימות”. החלטתי להדגיש את הבעייתיות:
כיוון שמדובר במניעת שירות מלקוח, אני דורש לדעת:
– מאיזה מדינות מתקיימת החסימה (על מנת שלא יהיו לי הפתעות נוספות)
– מתי תהיה אותה “הערכת מצב”אולי לא הבנתם את חומרת הבעיה, אתם מונעים ממני לחלוטין גישה לאתר כשאני בחו”ל. הגישה לאתר חשובה במיוחד למי שאין לו קשר טלפוני עם הבנק ולא יכול להגיע לסניף באופן פיזי כדי לבצע פעולות בסיסיות.
– Aviram
כאן עבר הבנק להגנת ה”למען ילדינו”. כלומר, “מטעמי סודיות”. סליחה, “מטעמי אבטחת מידע”. מישהו צריך להמציא משפט שמקביל ל”הפטריוטיות הוא מפלטו של הנבל” אבל עם אבטחת מידע.
אבירם הנכבד,
תודה על פנייתך
מטעמי אבטחת מידע, הבנק שומר לעצמו את הזכות לפי הצורך, לחסום גישה ממדינות שונות בחו”ל.
במידה והינך שוהה באופן קבוע בחו”ל, באפשרותך לפנות למוקד “פועלים באינטרנט” לבדיקת חלופות לשימוש באתר במדינה בה אין את האפשרות לגלוש לאתר הבנק מסיבות אבטחה.
בנוסף לכך, מטעמי סודיות אין באפשרותינו למסור את שמות המדינות מהן לא ניתן לגלוש לאתר הבנק.
מתנצלים על אי הנוחות.
לשירותך תמיד
שירות לקוחות פועלים באינטרנט
בנק הפועלים
אתה מבין? יש להם “חלופות” לאינטרנט. האם מדובר על אינטרנט2? או שאולי יש לבנק BBS שאפשר לחייג אליו במודם? אינטרנט מעל יונים? (סוף סוף RFC 1149!)
(אגב, אחרי סיפור ההאקר הסעודי, כשאתרים ישראליים, חלקם ממלכתיים, חסמו גישה מחו”ל, הם חסמו גישה לגוגלבוט, הבוט של גוגל שמאנדקס אותם, מה שאמר שגוגל הוריד אותם מהרשת אחרי שבוע. במלים אחרות, הם עשו DDoS לעצמם. על זה ברוס שנייר אומר: כשאתה נותן לחובבנים לעשות אבטחה, אתה מקבל אבטחה חובבנית).
בבנק הפועלים סירבו בכל תוקף להגיב.
אבירם חניק הוא מנכ”ל חברת אבטחת מידע. הסיפור התפרסם במקור בגירסה שונה בטור “השרת” במדור fi בגליון פברואר 2013 של מוסף פירמה של גלובס
תגובות
10 תגובות לפוסט “בנק הפועלים חוסם גולשים מחו”ל. רשימת המדינות החסומות סודית”
פרסום תגובה
עליך להתחבר כדי להגיב.
מה זה פה?
רוצה להפיק פודקאסט?
המלצת סייברסייבר (מ)
פרנסה
[…] מטיפול ראשוני, מונע בנק הפועלים את גישת הלקוחות מחו"ל על מנת לחסום את אלו התוקפים אותו ומשבש כך את גישת […]
אני תוהה בקשר לפרט אחד בסיפור הזה- אני גולשת באתר של הבנק הפועלים בעזרת דפדפן פיירפוקס בלי בעיה. בניגוד לאתרים מרגיזים וטרחניים אחרים, הם לא מכריחים אותי להשתמש באקספלורר. מעניין למה אותך כן.
שני,
את גולשת לאתר הפרטי. אני גולש לאתר העסקי. זה ההבדל.
האתר העסקי לא נגיש לדפדפנים שאינם אקספלורר) בגרסה מסוימת(
במקרה של התקפת DDOS מבוטנט מבוזר, יש הגיון רב בחסימה *זמנית* מכתובות שאינן בארץ – זה מוריד מאוד את העומס על האתר המותקף. עם סיום ההתקפה, מסירים את החסימה והכל חוזר לקדמותו.
כמובן שאינני מגן על שירות הלקוחות שמתייחס אל הלקוחות כמו אל אדיוטים (אם כי ייתכן שבצדק…) מן הסתם הם לא יודעים כלום על שיקולי האבטחה וגם אם היו יודעים, לא היו מבינים.
אני חווה כעת אותה בעיה מאוקראינה.
באמת חוצפה מצד בנק הפועלים.
חבל שלא קראתי את הכתבה לפני שיצאתי לעבוד בחו”ל לחודשיים. בדיוק עכשיו נישברתי מלנסות להגיע לאתר.
מאוקראינה דרך אגב.
דז’ה וו. בדיוק אותו תרחיש כמו של הכותב אבירם. אותה מדינה (דרום קוריאה) אותם הסימנים של היעדר חיים באתר העסקי של בנק הפועלים. אלא שאצלי בשל הדחיפות, נאלצתי לבלות 45 דקות בטלפון עם התמיכה ופקיד הבנק במקביל (שכללה בין היתר הסברים על ההבדל בין צפון קוריאה לדרום קוריאה). הפתרון היחיד שהציעו לי הוא למסור להם איי.פי קבוע. מאחר והמלון בו שכנתי כבר לא בבעלותי (מכרתי מזמן), הסברתי שאין לי אפשרות לאיי.פי קבוע.
נכון לימים אלה, אני בודק בנק שיוכל להבטיח שירות גם מהמדינה (השכנה) של קים ג’ונג-און.
חג שמייח ישראל
כשטיילתי במרוקו דווקא לא הייתה לי בעיה להתחבר לבנק. איך שעברתי לספרד, ובמשך כל התקופה שהייתי בספרד, לא הייתה לי אפשרות להתחבר לחשבון. אז התחברתי עם פרוקסי לבדוק את העניין, והפלא ופלא, האתר עובד! הייתי צריך לבקש מחבר שיבצע עבורי פעולות בחשבון בזמן שאני בחו”ל והבעיה נפתרה ברגע שחציתי את הגבול הספדתי לצרפת.
הגלישה לאתר בנק הפועלים חסומה מאוקראינה
אם היית איש אבטחה אמיתי היית פשוט עוקף את החסימה בצורה פשוטה …. חוץ מזה כל הבנקים שציינת חוסמים בדר”כ רק גישה ממדינות שמוגדרות עויינות או תוקפות. נכון להיום כבר כמעט כולם הסירו את רוב החסימות והשאירו רק מדינות שאין לנו איתם שום קשרים כגון: אירן, עירק וכו….