🐴 ה-FBI עצר את עוצר הכופרה WannaCry בחשד שהפיץ טרויאני בנקאי 📻 האחראי על האינטרנט בגלצ

הקליקו לארכיון האחראי על האינטרנט

🎙️ להאזנה לפינה 🎙️

ה-FBI עצר את הבריטי מארק האצ’ינס, שהגיע לארה”ב לפגוש עמיתים מקהילת חוקרי הסייבראבטחה בכנסי דפקון ובלאקהאט בלאס וגאס, נוואדה. המעצר התרחש ב-2/8, אולם הודעה על המעצר יצאה רק למחרת בשעות הצהריים המאוחרות, וקהילת ההאקרים, מעריצים, אקטיביסטים ועיתונאים ליקטו פרטים על מעצרו והעלו השערות על הסיבות לכך.

האצ’ינס, האקר בן 23, התפרסם בכינוי MalwareTech כשגילה את “כפתור הכיבוי” (Kill Switch) של הכופרה WannaCry. הכופרה השתמשה בפירצות אבטחה במערכת ההפעלה חלונות של מיקרוסופט, שה-NSA הכיר אך שמר למטרותיו, מיקרוסופט הטליאה במרץ, הודלפו לרשת על ידי קבוצת ההאקרים Shadow Brokers באפריל ושימשו את הכופרה במאי, כשהיא תוקפת מחשבים שבעליהם לא התקינו את טלאי האבטחה, ומחשבים עם מערכות הפעלה ישנות שמיקרוסופט כבר לא תומכת בהם (ואילצה את החברה להוציא טלאים גם למערכות ההפעלה הישנות).

תוך יום, תקפה WannaCry כ-230 אלף מחשבים ביותר מ-150 מדינות, כשהיא מצפינה את הקבצים על המחשבים הנגועים ודורשת תשלום של 300-600$ בביטקוין תמורת מפתח ההצפנה לפענוח הקבצים, ופוגעת בגופים כמו מערכת הבריאות הבריטית וחברת התקשורת הספרדית טלפוניקה.

הודעת ההצפנה ודרישת התשלום שהכופרה WannaCry מציגה על מחשבים נגועים

דרישת התשלום של WannaCry

האצ’ינס גילה שהכופרה מנסה להתחבר לדומיין מסויים, iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, ואם היא מגלה שיש שם אתר, היא לא מצפינה את הקבצים על המחשב. הוא בדק וגילה שהדומיין לא רשום, רשם אותו והעלה אתר לאוויר, מהלך שהאט משמעותית את התפשטות הכופרה.

מחזיקי שלושת ארנקי הביטקוין של הכופרה החלו לרוקן מהם את הכסף ב-24/7, ואת מרבית הכסף הוציאו ביום רביעי, שעות לפני המעצר של האצ’ינס, מה שהוביל לספקולציות על הקשר בין הדברים (אם כי יתכן שהדבר קשור לעליית השער בעקבות הפיצול בקריפטומטבע בתחילת החודש).

רק למחרת המעצר דיווח משרד המשפטים האמריקאי רשמית על המעצר של האצ’ינס ועל האישומים נגדו. לפי התובע הכללי של המחוז המזרחי של וויסקונסין, גרגרוי האנסטד, חקירה של שנתיים הובילה לכתב אישום בן שישה סעיפים נגד האצ’ינס בחשד שיצר והפיץ את הסוס הטרויאני קרונוס (Kronos). כתב האישום הוגש ביולי, אך הוטל עליו איסור פרסום. אם יורשע בכולם, הוא עלול לקבל עונש של עד 40 שנה בכלא.

קרונוס הוצע למכירה ב-2000-3000$ ללקוח דרך “השוק האפל” אלפאביי (זירת מסחר בסחורה לא חוקית, אשר פעלה ברשת האפלה ונסגרה ביולי בשת”פ בינלאומי של רשויות אכיפה בארה”ב ובאירופה). קרונוס שימש לקצירת פרטי התחברות לאתרי בנקים במחשבים נגועים, בין השאר בקנדה, גרמניה, פולין, צרפת ובריטניה, במשך שנה בין 2014-2015. לצד האצ’ינס ישנו נאשם נוסף, ששמו הוסתר בכתב האישום – ייתכן שטרם נעצר.

האם ההאקר הגיבור ששיבש את וואנהקריי הוא גם ההאקר המרושע שמכר תוכנת גניבת חשבונות בנק? “מאוד לא סביר”, אמרה אמו, ג’נט האצ’ינס, לפרס אסוסיאיישן, מאחר שהוא מבלה “כמויות עצומות של זמן” במלחמה במתקפות כאלו. מומחה סייבראבטחה אמר לגרדיאן שחקירה לגיטימית של פעילות של נוזקה עשויה להיראות דומה מאוד לפעילות בלתי לגיטימית של ההאקרים ששולטים באותה נוזקה, ושזה עלול היה לבלבל את ה-FBI: “חוקרים רבים אוהבים להתחבר לכלי וממשקי תוכנות-פשיעה ולשחק בהם”. האצ’ינס אפילו צייץ בטוויטר שהוא מבקש עותק של קרונוס כדי לבחון את פעילותה, באותו יום שבו הנאשם השני העלה ליוטיוב סרטון על קרונוס (אשר הוסר בינתיים).

כתב האישום כלל לא טוען שהאצ’ינס יצר את קרונוס כדי למכור אותו, ידע על מכירתו או היה מודע שהוא משמש למטרות זדוניות. כלומר, ייתכן שמדובר בכלי מחקרי שמישהו עשה בו שימוש זדוני, והאצ’ינס משלם את המחיר, בפרשנות גמישה לחוקי המחשבים של ארה”ב. לפי אתר The Hill, חוקרי סייבראבטחה טוענים שייתכן שהקוד נלקח מהאצ’ינס, או שהוא נתן אותו בעצמו, בתום לב, במחשבה שהמטרה היא לסייע לחוקרים אחרים. אם זה מה שקרה, ואם הרשויות מעמידות אותו לדין, כל חוקרי הסייבראבטחה הם עבריינים פוטנציאליים, ומחקר הסייבראבטחה עלול להיפגע מכך.


הפינה “האחראי על האינטרנט” משודרת מדי שבת ב-19:30 בתוכנית “שישבת” בהגשת עידן קוולר בגלצ

גמזו אמוג’י

אמש בראינוע

“אמוג’י – הסרט”
ביס פלאנט, רב חן, גלובוס מקס
לדידי מזל שלא דרכנו בזה 💩.

עק

 

📧 אם אתם צריכים כ-2300 אימיילים של הורי חניכי בני עקיבא, התנועה דאגה לכם

כששולחים אימייל בתפוצה המונית, ובפרט כשהנמענים לא בהכרח מכירים או קשורים זה לזה, מזינים את הכתובות בשדה ה-BCC, כדי לשמור על פרטיות הנמענים וכתובותיהם. בבני עקיבא לא עשו את זה, וחשפו כך לפחות 2300 כתובות אימייל של הורי חניכים בהודעה ששלחו אמש (ג’). בתנועה אמרו שטעות אנוש הביאה לחריגה מהנוהל, שמכתיב שליחה שאינה חושפת פרטים.

ההודעה, “הזמנה לערב הורים מחנה מעפילים‎”, נשלחה מ”מחלקת מפעלים” בכתובת mifalim@bna.org.il. ההודעה מכילה הזמנה ופרטים על “מחנה מעפילים”, שבו “ילדכם חוו עליה מהגולה לעבר ארץ ישראל” וכעת “הגענו לארץ ואנו עסוקים בבניית יישובי חומה ומגדל”, ופרטי ההתקשרות המשרדיים של השולחת ממזכירות מחלקת מפעלים. ההודעה היתה ממוענת לכ-2300 כתובות שהוזנו בשדה ה-To, כך שהן חשופות לכל הנמענים.

הודעת אימייל מבני עקיבא עם כתובות ב-TO. עיבוד: חדר 404

ההודעה מבני עקיבא. עיבוד: חדר 404

“הייתי בשוק כשראיתי את הכתובות שלי ושל כולם חשופות”, אומר שמעון (שביקש ששמו האמיתי לא יתפרסם), הורה לחניכה בתנועה. “נתתי את המייל כדי לקבל אישור הרשמה והודעות חשובות, לא בשביל שיפיצו אותו בתפוצת נאט”ו. המינימום זה לשלוח עותק מוסתר או להשתמש במערכת דיוור”.

רשימת כתובות האימייל מכילה מידע על בעליהן – שמותיהם, עיסוקיהם (של אלו שהשתמשו באימייל העסקי/לימודי/התנדבותי ולא הפרטי – ברשימה יש, בין השאר, כתובות בדומיינים ממשלתיים gov.il, באתר האגודה להתנדבות [שירות לאומי], במועצה מקומית ובמוסד חינוכי), אפשר להניח שיש להם ילדים, שהילדים הם חניכים בבני עקיבא (מכך אפשר להסיק גם את טווח גילאי ההורים, בקירוב), ושהם על הספקטרום הדתי-לאומי, ואף פרטים מביכים כמו כמה מהם משתמשים בוואלה מייל (188) או יאהו מייל (43!).

כל אחד מהנמענים יכול לאסוף את רשימת האימיילים לשימושיו, או להעביר את ההודעה הלאה, בתום לב ובזדון, ולחשוף את הרשימה לגורמים נוספים, שעלולים לעשות בה שימוש זדוני, מספאם ועד גניבת זהות.

אימייל בני עקיבא. תמונה: BRICK 101 (cc-by-nc). עיבוד: חדר 404

אימייל בני עקיבא. תמונה: BRICK 101 (cc-by-nc). עיבוד: חדר 404

דובר בני עקיבא, שאול עופר, מסר בתגובה: “היום בבוקר החלה בתנועת בני עקיבא פעילות מחנות הקיץ שתימשך כשלושה שבועות בהשתתפות עשרות אלפי חניכים. התנועה נמצאת בקשר רציף עם הורי החניכים ומעדכנת אותם באופן עקבי על הפעילות הענפה המתקיימת במהלך השנה, בין היתר באמצעות שליחת מיילים מפורטים מעת לעת. בתנועה קיים נוהל קבוע לשליחת המיילים באמצעות מערכת ניוזלטר מאובטחת כשדרכה נשלחים העדכונים להורים. אתמול, בעקבות טעות אנוש, נשלחה הודעה לכ-2300 הורים שלא באמצעות המערכת על ערבי הורים בפעילות אחד המחנות – שלא באמצעות עותק מוסתר. התנועה מתנצלת על כך ועל כן נשלחה הבוקר הודעת הסבר והתנצלות להורים וחודדו הנהלים אצל כל הגורמים הרלוונטיים על מנת שדבר זה לא יישנה”.

למה הלכתי לראות את פיסת הצואה המחייכת “אמוג’י – הסרט”


פוסט של אריק שגב

אתמול אחרי העבודה עשיתי משהו יותר חשוב מדיאליזה והלכתי לראות סרט גרוע בקולנוע.

את הרעיון לעשות את זה שאבתי מהספר הנ”ל שתמונתו מצורפת לכאן, “A Year at the Movies”, שהכותב שלו, קווין מרפי, הוא מיוצרי סדרת הקאלט המוצדקת Mystery Science Theatre 3000 (mst3k), כך שאפשר לטעות ולחשוב כי הוא שואב הנאה מסרטים גרועים, כמו אלה שעליהם ירד מדי תכנית, טענה שהוא מכחיש בתוקף.

הסרטים האלה, הוא כותב, גורמים לו לסבל כי הם מחופפים, עצלים, ובעיקר כי הם נוצרו על ידי יוצרים ומפיקים חמדנים שרצו להרוויח כסף קל על חשבון קהל פתי. ובדיוק מהסיבה הזו הוא נהנה ללכת לסרט גרוע בקולנוע (במקרה של הספר, “קורקי רומנו”, שהוא אכן דרעק בל ייאמן) – כדי לראות שהקהל הלכאורה פתי מסרב לאכול את התבשיל המוקדח המוגש לו.

שער הספר "שנה בסרטים" של קווין מרפי

שער הספר “שנה בסרטים” של קווין מרפי

בימים אלה אני כותב את העונה השלישית של “שבט צוצלת” (אני עוד אוכל לכם את הראש עליה בזמן המתאים, לא לדאוג) תכנית ילדים שבזמן העבודה עליה נתבקשתי שוב ושוב לפשט את התכנים שלה, לרדד את המסר שלה (מי ישמע), להנמיך את השפה שלה. ואם אפשר להכניס סלבס, להשתמש בבאזוורדז, לכלול רפרנסים לטרנדים.

סירבתי שוב ושוב, וקוממתי עליי לא מעט אנשי הפקה בתכנית מסיבה פשוטה (כאילו שתיים, אבל זה שאני פלוץ עיקש פחות רלוונטי לנקודה) : אני מסרב להאמין שאני כותב לקהל של דבילים. מדוע הורים לילדים מוכנים לקבל כעובדה שקהל של ילדים הוא בהכרח כזה שנרתע ממורכבות כלשהי עדיין נשגב מבינתי.

כרזת הסרט "אמוג'י - הסרט" בהונג קונג

כרזת הסרט “אמוג’י – הסרט” בהונג קונג

לפיכך אני ממליץ לכל עוסק בתחום לצפות בסרט האימוג’י. פיסת צואה שנולדה בחטא ומתוך אמונה שאם רק נשתמש במונחים כאילו אופנתיים ועכשוויים הקהל יגמע הכל בצמא של גמל אחרי שבועיים בסהרה, ולראות את אותו קהל יעד מסרב לקנות את מה שהוא מזהה בקלות כמשהו שבאופן ברור רק נועד להימכר לו. שלא לדבר על לשמוע אותו, ותאמינו לי הוא לא נותר שקט למול החנפנות הבוטה והלא מוצלחת.

חוויה נהדרת. לשעה וחצי בלתי נסבלות בעליל מכל היבט אחר חזר לי האמון באנושות. יותר מועיל לבריאות מדיאליזה.

אישה בוואנזי אמוג'י קקי מחייך. תמונה: עידו קינן (cc-by-sa)

אישה בוואנזי אמוג’י קקי מחייך. תמונה: עידו קינן (cc-by-sa)


אריק שגב הוא תסריטאי ואמוג’י קקי זועף. שגב כתב על הפשניסטים של הפאשיזם בגליון מאי 2014

לנבחר ציבור אסור לחסום גולשים במדיה חברתית בלי סיבה, פסק שופט פדרלי » האחראי על האינטרנט בגלצ 📻

הקליקו לארכיון האחראי על האינטרנט

משתמשי טוויטר אמריקאים הגישו החודש תביעה בבית המשפט הפדרלי בניו יורק נגד הנשיא דונלד טראמפ, שחסם אותם מהפרופיל הפרטי שלו (@realDonaldTrump), כך שאינם יכולים לקרוא את ציוציו או להגיב עליהם כשהם מחוברים מהפרופילים שלהם. התביעה מבקשת לקבוע שהטוויטר של טראמפ, וכנגזרת מכך חשבונות מדיה חברתית של נבחרי ציבור, הם מקום שלציבור האמריקאי יש זכות לחופש ביטוי בו, שמוגנת בתיקון הראשון לחוקה האמריקאית.

ג’יימס קצ’ריס, שופט מחוזי בווירג’יניה, פסק ביום שלישי פסיקה תקדימית בנושא, בתביעה דומה, כך לפי דיווח של ארסטכניקה. האזרח בראיין דייויסון הגיש את התביעה נגד פיליס רנדל, יו”ר מועצת המפקחים של מחוז לודון בווירג’יניה, על שחסמה אותו לחצי יממה בפייסבוק בעקבות דברים שכתב על שחיתות במחוז.

השופט קצ’ריס פסק כי “דיכוי של פרשנות ביקורתית הנוגעת לנבחרי הציבור הוא צורה מהותית של אפליה של נקודת מבט, שמפניה מגן התיקון הראשון לחוקה”. בשל העובדה שהחסימה היתה קצרת מועד והוסר, השופט לא גזר עונש על היו”ר רנדל, אולם קבע שהיא ביצעה “חטא מכריע לפי התיקון הראשון לחוקה”, וכי “המקרה הזה מעלה שאלות חשובות על המגבלות החוקתיות שישימות לחשבונות מדיה חברתית שמנוהלים על ידי נבחרי מציבור”. החשבון של היו”ר רנדל, קבע השופט, “מתפקד כפורום לשיח לפי התיקון הראשון לחוקה האמריקאית”.

עם זאת, קבע השופט קצ’ריס כי ליו”ר רנדל – כלומר לנבחרי ציבור – מותר לסנן תגובות במדיה החברתית שלהם, כדי לשמור על המטרה שלשמה הם מקיימים את הפורום המקוון שלהם וכדי למנוע ממשתתפים מטרידים ומציפים לפגוע בחופש הביטוי של משתתפים אחרים, “ולאור השכיחות של ‘טרולים’ מקוונים, זה אינו סיכון היפותטי”.

ארסטכניקה מזכיר שאותו שופט דחה תביעה דומה של אותו תובע, על מחיקת תגובות שלו מהפייסבוק של התובע הכללי של מחוז לודון וחסימתו משם. השופט קצ’ריס קבע אז כי המחיקה אינה מהווה הפרה של התיקון הראשון לחוקה.

את פסק הדין המלא של דיוויסון נגד רנדל אפשר לקרוא כאן (פדף).


הפינה “האחראי על האינטרנט” משודרת מדי שבת ב-19:30 בתוכנית “שישבת” בהגשת עידן קוולר בגלצ

מו”ל “הארץ” עמוס שוקן מחלטר כמחלק עיתונים כי חברת ההפצה עדיין לא התאפסה על עצמה

אלון רזניק הוא קורא “הארץ” לא מרוצה. לא מהעיתון עצמו, אלא מהבעיות בהגעתו. כבר שלושה שבועות שהעיתון לא נחת על סף דלתו, ושלוש תלונות של רזניק למחלקת המנויים לא הועילו – הוא קיבל פיצוי בדמות הנחות, אבל העיתון המשיך להיעדר. בשיחה האחרונה, שבה המתין 10 דקות ו-75 מתקשרים קודמים ענתה לו “אישה מנומנמת שששאלה באדישות אם לבטל את המנוי או לא. היא לא ניסתה לבדוק שום דבר ורק אמרה שהעיתון כנראה יגיע בהפצה מאוחרת. חיכיתי וחיכיתי. מסתבר שהארץ החליפו חברת הפצה שכנראה לא עושה את עבודתה כמו שצריך”, כך סיפר בפייסבוק.

רזניק הכועס כתב לאשת שימור לקוחות שהיה איתה בקשר בעבר, ולא נענה. משם הסלים ופנה ישר למו”ל, עמוס שוקן, עם ציוצים כועסים בטוויטר על ביטול המינוי.

שוקן שלח לו הודעה פרטית ושאל איפה הוא גר ומה שמו. “חשבתי שמחר בבוקר כבר יהיה טוב יותר ומישהו בחברת ההפצה יקבל על הראש”, כתב רזניק.

היום הבעיה נפתרה בצורה מפתיעה. רזניק דיווח: “לפני כמה דקות (יום שבת, 13 בצהריים, מגדיאל) ירדתי למטה להביא קצת מצרכי אפייה מהאמ.פמ ליד הבית. כשהגעתי לרחבת הבניין, ראיתי את עמוס שוקן מחפש את תיבת הדואר שלי עם עיתון הארץ של השבוע ביד. שאלתי אותו אם זה הוא, הוא כמובן הזדהה. ‘היה לי עיתון באוטו, והייתי באיזור, אז כבר הבאתי’, אמר. לחצנו יד, הודיתי לו מאוד על הטרחה והוא הלך לדרכו”.

מו"ל הארץ, עמוס שוקן. צילום: יונתן צור, cc-by-nc-nd

שוקן. תמונה: יונתן צור, cc-by-nc-nd

“במשך השנים הלא מעטות, עוד כשהייתי מנכ”ל, ועכשיו מו”ל, עשיתי את זה מדי פעם”, אישר שוקן בצ’ט עם חדר 404. “בדרך כלל זה היה קורה כשמנוי היה מגיע אלי אחרי שעות המשרד בימי ששי או שבת, ונשאר בלי עיתון, ואם הייתי יכול הייתי מביא לו. עד כמה שאני זוכר הכי רחוק היה בנימינה, אבל זה באמת היה חריג, ועזר שאשתי אוהבת לנסוע איתי במכונית (‘אז אנחנו יכולים לדבר’)”.

זה קורה הרבה, שמערך החלוקה\שירות הלקוחות נכשל עד כדי כך שאתה צריך לטפל בזה אישית? עשית זאת במקרים נוספים?
“מבחינת היקף, פעם פעמיים בשנה או בשנתיים. לא הרבה. […] ועכשיו נוסף טוויטר. בגלל שיש לי כאן נוכחות מסוימת, כתבו לי אנשים שלא קיבלו עיתון. מדובר רק בימי שישי. ברוב המקרים אני מבקש שיתנו פרטים כמו כתובת וטלפון בפרטי, ומעביר לשירות לקוחות שלנו, בימי שישי האחרונים היו כמה מקרים שגם אחרי זה לא קיבלו עיתון. אז בכמה מקרים הבאתי להם בעצמי. אני לא רוצה להפעיל אנשים בשבת, ובגלל שהתנועה קלה, גם קל לעשות את זה”.

“אין לי מוסר השכל לכל הסיפור הזה”, כתב רזניק. “אולי הדבר היחיד שאפשר ללמוד ממנו הוא שמו”ל הארץ, ועיתון הארץ שאותו הוא מייצג, הוא העיתון היחיד שעדיין מכבד את קוראיו ומתייחס אליהם ברצינות הראויה. תודה כמובן למר שוקן על הטרחה ועל המחווה היפה”.

אמ;לק – עמוס שוקן הביא לי אישית את עיתון Haaretz הארץ, בשבת, אחרי בעיית הפצה רצינית בשלושת השבועות האחרונים.

מקרה שהיה…

Posted by Alon Reznik on Saturday, July 29, 2017


רזניק לא לבד, באופן טבעי. גולשים נוספים בטוויטר התלוננו על בעיית ההפצה.

הגולשת תמר רוטמן תהתה אם שוקן יכול להביא גם לה את העיתון שלא הגיע, ואם אפשר לפתור את בעיית ההפצה כולה במקום להטריח את המו”ל.

על בעיית ההפצה אמר שוקן לחדר 404: “בתקופה האחרונה חווינו התרופפות מסוימת במערך ההפצה שלנו בגלל ההחלטה להפסיק הפצה עצמית ולהעביר את הפצת העיתונים לחברת בר הפצה. זה גרם למידה של דמורליזציה במערך שלנו, וממש ביולי ותחילת אוגוסט שבהם בכל יום שישי וראשון שבהם אנו מעבירים עוד אלפי מינויים לבר, נגרמות הרבה תקלות חלוקה עד שהמחלק יכיר את הכתובות החדשות. כשהוא מקבל מעט שינויים ברשימת המינויים זה קל, אבל כשהמספרים גדולים, זה מסובך. […] בתוך זמן קצר יוטמעו המנויים שלנו במערך של בר ואני בטוח שאיכות ההפצה תשוב להיות מה שהיתה”.

(עדכון אחרון: 18:46)

נשיא ארה”ב נגד התיקון הראשון לחוקה • ראש ממשלת אוסטרליה נגד חוקי המתמטיקה » האחראי על האינטרנט בגלצ

הקליקו לארכיון האחראי על האינטרנט

אני נשיא עמי את צער השתיקה

הנשיא דונלד טראמפ חסם וחוסם בטוויטר האישי שלו צייצנים שלא מוצאים חן בעיניו. כמה מהם תבעו את הנשיא בבית משפט פדרלי בניו יורק, בטענה שהפרופיל האישי שלו הוא פורום ציבורי, שבו זכותם לחופש ביטוי מוגנת על ידי התיקון הראשון לחוקה

הודעה שקיבל משתמש טוויטר שנחסם על ידי החשבון האישי של דונלד טראמפ. תמונה: @oppstn

הודעת חסימה ע”י טראמפ. תמונה: @oppstn

מדינה של פורעי חוק

ראש ממשלת אוסטרליה מלקולם טרנבול הציג חקיקה שתחייב חברות אינטרנט לסייע לרשויות האכיפה לפצח הצפנה של הודעות, וכשעיתונאים הפנו את תשומת לבו לכך שהחברות לא יכולות לבצע זאת, הוא השיב שעם כל הכבוד לחוקי המתמטיקה, מה שקובע זה החוקים של אוסטרליה.

ראש ממשלת אוסטרליה, מלקולם טרנבול. תמונה: Veni (cc-by-nc)

טרנבול. תמונה: Veni (cc-by-nc)


הפינה “האחראי על האינטרנט” משודרת מדי שבת ב-19:30 בתוכנית “שישבת” בהגשת עידן קוולר בגלצ

🚨 מפלגת העבודה ניצלה מפירצה נוספת כי מאגר הבוחרים ירד מהרשת; מגישה תלונה במשטרה על נסיון פריצה

אתר haavoda.com של מפלגת העבודה, שאיפשר לבדוק מי חבר במפלגה, אינו זמין לפחות משעות הבוקר המאוחרות. המפלגה הגישה תלונה ביחידת הסייבר של המשטרה בטענה שזיהתה נסיון פריצה לאתר, דיווח ספי עובדיה בחדשות 10. בשבוע שעבר חשפנו בחדר 404 מספר פירצות אבטחה ופרטיות באתר. סגירת האתר כעת הביאה לחסימתה של פירצת אבטחה נוספת, שמדווחת כאן לראשונה, אשר חשפה פרטים אישיים רבים – ובהם שם מלא, ת”ז, גיל, ארץ מוצא, כתובת מגורים, מועד הצטרפות למפלגה, הצבעה או אי הצבעה בפריימריז ועוד – על חברי מפלגה וגם על חברים לשעבר שעזבו את המפלגה.

תקציר הפרקים הקודמים: ביום שלישי, יום הפריימריז במפלגת העבודה, חשפנו כאן פירצת פרטיות, שמאפשרת לכל גולש להכניס כל תעודת זהות ולגלות אם בעליה הוא חבר מפלגת העבודה, מה שמו ובחלק מהמקרים מה מינו. בהמשך עדכנו שניתן גם לעקוף את מבחן אני-לא-רובוט (reCAPTCHA) באתר ולהוריד למחשב באמצעות סקריפט את מאגר חברי המפלגה המלא – שם, ת”ז ועבור חלק מהחברים מין. ביום רביעי דיווחנו כי במאגר החברים מופיעים גם אנשים שעזבו את המפלגה, ושהמפלגה משום מה לא מחקה את פרטיהם ממאגריה. באותו יום דיווחנו כי המפלגה חסמה אחת מהפירצות – זו שאיפשרה להוריד את המאגר המלא. ביום חמישי הבאנו את תגובת מפלגת העבודה, שלפיה “האפשרות הדיגיטלית לבדיקת זכות הצבעה בפריימריז, היא איננה פריצת אבטחה או פגיעה בפרטיות של מי ממתפקדי המפלגה וכל טענה שכזו היא בגדר דעה אישית שהפכה לעובדה”; “האתר של מפלגת העבודה הינו אתר מאובטח […] [המפלגה] ביצעה סדרה של בדיקות מקיפות על ידי מנהל אבטחת מידע מוסמך שאף קיים התייעצות מקצועית בנושא עם גורמים בכירים ברשות הסייבר הלאומית על מנת לוודא את תקינות מנגנוני האבטחה של האתר. על מנת לנקוט במשנה זהירות הוחלט להנחיל שיפורי אבטחה נוספים על אלו הקיימים, שיפורים שעליהם דווח בכתבה”.

נקודת הצבעה בפריימריז במפלגת העבודה, דיזנגוף סנטר, תל אביב, 4.7.2017. תמונה: עידו קינן, חדר 404

נקודת הצבעה בפריימריז במפלגת העבודה. תמונה: עידו קינן, חדר 404

אתר haavoda.com היה ממשק שסיפק גישה למסד הנתונים של המפלגה ממספר נקודות גישה, שחלקן פירצות, כלומר לא היו אמורות להיות פתוחות. אחת מהן נחסמה בעקבות חשיפתה. ביום חמישי המתכנת רן בר זיק רן ואני בדקנו פירצת אבטחה נוספת באתר, וזו כאמור התבררה כפעילה.

במסגרת הבדיקה, שביצענו על פרטיהם של אנשים שאישרו לנו לבודקם, גילינו שהמאגר מכיל שדות מידע רבים על כל חבר, אולם רובם נותרו ריקים. אחד השדות המסקרנים הוא שדה בשם newLikud, שמכיל את שמה של מפלגת הליכוד, אולם לא הצלחנו לברר את משמעותו. הוא היה ריק אצל האנשים שבדקנו, ובהם נועה, שעזבה את מפלגת העבודה והצטרפה לאחרונה לליכוד. “מקריפ”, אמרה נועה, שביקשה שלא נפרסם את שמה המלא, למראה הפרטים שמפלגת העבודה מחזיקה עליה, יותר משנה אחרי שעזבה. “שמירה של פרטי מידע אחרי שבחרתי לבטל חברות במפלגה מרגישה כמו ‘האח הגדול’, ולא אמורה לקרות במדינות מתוקנות”.

מבנה מאגר הנתונים עם פרטים על חברים וחברים לשעבר במפלגת העבודה מאתר haavoda.com

הפרטים על חברים במפלגת העבודה מאתר haavoda.com. מחקנו מידע מזהה

😠 רשת CNN איימה לחשוף את יוצר הסרטון שטראמפ צייץ 💸 ברק כהן במתקפת דירוגים על פפר • הפירצה שחשפה את חברי “העבודה” 🗳️ האחראי על האינטרנט

הקליקו לארכיון האחראי על האינטרנט

CNN נותנת לעצמה אגרוף בראש

נשיא ארה”ב – סיפור אמיתי, אפילו מופיע בוויקיפדיה – דונלד טראמפ התקוטט מילולית בטוויטר שלו עם שני מגישי תוכנית ב-MSNBC, כעס על הסיקור שהפרשה קיבלה ברשת החדשות CNN וצייץ ביום ראשון את ההשתגים #FraudNewsCNN ו-#FNN, וסרטון שבו הוא נראה מתאבק ומפיל לרצפה בנאדם עם לוגו של CNN במקום ראש, כי זה העולם שבו אנחנו חיים היום.

מקורו של הסרטון במשתמש רדיט בשם HanAssholeSolo, שפרסם ממים נוספים, בהם גזעניים ואנטישמיים. כתב CNN אנדרו קזינסקי איתר את זהותו של האיש ופנה אליו ביום שני לקבל תגובה. ביום שלישי HanAssholeSolo פרסם התנצלות על מעשיו וטען שהוא לא באמת גזען, ומחק את כל שאר הפוסטים שלו בסברדיט /The_Donald. בהמשך שוחח עם קזינסקי ואמר שהוא חושש לבטחונו אם שמו ייחשף.

קזינסקי דיווח (זהירות, וידאו באוטופליי):

CNN לא מפרסמת את שמו של “HanA**holeSolo’s” משום שהוא אדם פרטי שפרסם הצהרת התנצלות נרחבת, הראה חרטה בכך שאמר שהוריד את כל הפוסטים הפוגעניים, וכי אמר שהוא לא הולך לחזור על ההתנהגות המכוערת הזאת ברשתות החברתיות. בנוסף, הוא אמר שהצהרתו יכולה לשמש כדוגמה לאחרים לא לעשות כמוהו.

CNN שומרת לעצמה את הזכות לפרסם את זהותו אם משהו מזה ישתנה.

באומת הרשת היו מי שראו במשפט הזה סחיטה באיומים: “תתנהג יפה או שנפרסם את שמך”. היו גם מי שלקחו את זה הלאה – קזינסקי ומשפחתו נתונים למסע הטרדה, גולשים פרסמו את פרטיו האישיים והוא קיבל איומים ברצח, לפי דיווח של באזפיד. בשלישי בערב, בתגובה לטענות שאיים על HanAssholeSolo, צייץ קזינסקי: “לידיעתכם, ‘HanAssholeSolo’ התקשר אלי כרגע.’אני לגמרי מסכים עם ההצהרה שלך. לא אויימתי בשום צורה’. [כאן הופיע לינק לציוץ קודם של קזינסקי: “CNN בחרה באופן פרטני לא לחשוף את זהות הבחור הזה ולהגיד שאיימנו על מישהו זה שקר מוחלט”]. ‘אני מקווה שזה יתן לאחרים השראה להפסיק’, הוא הוסיף”.

ב-CNN מסרו בתגובה לבאזפיד:

CNN החליטה לא לפרסם את שמו של משתמש-הרדיט מחשש לשלומו. כל טענה שהרשת הפעילה סחיטה או כפייה על המשתמש היא שקרית. המשתמש, שהינו גבר בגיר, לא ילד בן 15, התנצל ומחק את החשבון שלו [ברדיט] לפני שדיבר עם הכתב שלנו. CNN מעולם לא עשתה שום הסכם, משום סוג, עם המשתמש. למעשה, CNN כללה את החלטתה להימנע מפרסום זהות המשתמש במטרה להיות שקופה לגמרי שאין שום עיסקה”.

עבודה רשלנית

השבוע התקיימו בחירות מקדימות במפלגת העבודה, ואתר המפלגה הציע לבוחרים הפוטנציאליים כלי מקוון שבו יוכלו לבדוק אם הם זכאים להצביע. פירצות אבטחה ופרטיות בכלי הבדיקה איפשרו לכל אחד לבדוק עבור כל מספר ת”ז אם בעליו חבר מפלגה, ובאמצעות סקריפט להוריד למחשב את הרשימה המלאה של חברי המפלגה, וגם של אנשים שעזבו אותה, שמסתבר שהמפלגה ממשיכה להחזיק בפרטיהם האישיים.

אישה משוחחת בטלפון תחת שלט בחירות פריימריז של יצחק הרצוג ליד מרפאת שיניים בדיזנגוף סנטר, 4.7.2017. תמונה: עידו קינן, חדר 404

ליד קלפי של מפלגת העבודה בדיזנגוף סנטר. תמונה: עידו קינן

המפלגה חסמה למחרת את הפירצה שאיפשרה להוריד את הרשימה המלאה, ומסרה בתגובה:

האפשרות הדיגיטלית לבדיקת זכות הצבעה בפריימריז, היא איננה פריצת אבטחה או פגיעה בפרטיות של מי ממתפקדי המפלגה וכל טענה שכזו היא בגדר דעה אישית שהפכה לעובדה.
[…]
יחד עם זאת ובשל רגישות הנושא מפלגת העבודה התייחסה ברצינות ובכובד ראש לפניית העיתונאי עידו קינן וביצעה סדרה של בדיקות מקיפות על ידי מנהל אבטחת מידע מוסמך שאף קיים התייעצות מקצועית בנושא עם גורמים בכירים ברשות הסייבר הלאומית על מנת לוודא את תקינות מנגנוני האבטחה של האתר. על מנת לנקוט במשנה זהירות הוחלט להנחיל שיפורי אבטחה נוספים על אלו הקיימים, שיפורים שעליהם דווח בכתבה.

פפרספריי

ברק כהן מארגון “באים לבנקאים”, שנוהג להפגין מול בנקאים, יחצניהם ובני משפחותיהם, ואשר קיבל צו הרחקה ממנכ”לית בנק לאומי רקפת רוסק עמינח, החליט לקיים פעולת מחאה מקוונת נגדה – מתקפת דירוגים על אפליקציית הבנקאות פפר של הבנק.

השבוע עלה בנק לאומי בקמפיין מטעה ושקרי ; שמטרתו לשאוב צעירים להורדת בנק-אפליקציה בשם pepper ; וזאת בדיוק השעה להעביר מסר ישיר לבנקאים. מסר שיגבה מבנק לאומי מחיר כבד ; כלכלי אך במיוחד תדמיתי. בתוך פחות מדקה ניתן להפוך את אפליקציית pepper למוצר הכי מגונה בגוגל. איך ?

1. נכנסים ללינק (אנדרואיד או אייפון)
2. מורידים את האפליקציה (הורדה ללא פתיחתה)
3. מדרגים בכוכב 1 ומוסיפים תגובה הולמת
4. מסירים את האפליקציה
5. מאברוכ, קרעת את בנק לאומי
6. שתפי כדי שגם החברים יוכלו לקרוע את לאומי

המתקפה הביאה להצפת שתי האפליקציות של הבנק בעשרות דירוגי כוכב אחד, רבות מהן מלוות בהערות מילוליות נגד הבנק.

קמפיין דירוגים שליליים של ברק כהן לאפליקציית פפר של בנק לאומי


הפינה “האחראי על האינטרנט” משודרת מדי שבת ב-19:30 בתוכנית “שישבת” בהגשת עידן קוולר בגלצ

🗳️ “דעה אישית שהפכה לעובדה”; “הוחלט להנחיל שיפורי אבטחה נוספים” 💾 מפלגת העבודה מגיבה על פירצות האבטחה

פירצות אבטחה ופרטיות באתר מפלגת העבודה איפשרו לגלות זהות של חברי מפלגה (וחברי מפלגה לשעבר) באמצעות מספרי תעודת זהות, ולהוריד עותק של הרשימה המלאה על ידי הרצת סקריפט. חשפנו פה את הפירצות בצהרי יום שלישי, יום הפריימריז במפלגה, ורביעי בערב המפלגה חסמה אחת מהן. היום בצהריים הגיעו תגובות.

הרשות למשפט, טכנולוגיה ומידע (רמו”ט) במשרד המשפטים לא נוקטים עמדה, רק אומרים שיבדקו את הטענות:

המידע כפי שהובא בפרסום ייבדק וייבחן על ידי מחלקת הפיקוח ברשות למשפט, טכנולוגיה ומידע. ככלל נציין כי הליכי אכיפה הנערכים על ידי הרשות ותוצאותיהם לא מתפרסמים אלא רק לאחר השלמתם.

תעמולה בפריימריז של מפלגת העבודה בסניף הרצליה. צילום: טל שניידר, הפלוג

פריימריז במפלגת העבודה. תמונה: טל שניידר, הפלוג

תגובת מפלגת העבודה:

האפשרות הדיגיטלית לבדיקת זכות הצבעה בפריימריז, היא איננה פריצת אבטחה או פגיעה בפרטיות של מי ממתפקדי המפלגה וכל טענה שכזו היא בגדר דעה אישית שהפכה לעובדה.

האפשרות לבדיקת זכות הצבעה הינה יכולת שהוטמעה באתר על מנת להקל על חברי המפלגה, לסייע ולהנגיש עבורם מידע בדבר סטטוס חברותם במפלגה. יכולת זו איננה זרה בעולם הטכנולוגי ואתרים רבים אחרים בארץ ובעולם משתמשים בה לטובת הגולשים כמו לדוגמא אתר מפלגת הליכוד ואתר מפלגת הבית היהודי.

לא טענתי זאת. טענתי שיש לאפשר לאליס לבדוק אם יש לה זכות הצבעה, תוך בדיקה שאליס היא אכן זו שמבצעת את הבדיקה על עצמה (למשל, על ידי שליחת התשובה למספר הטלפון הסלולרי של אליס, במקום להציג את התשובה באתר); טענתי גם שאין לאפשר לאליס לבדוק אם לבוב יש זכות הצבעה, משום שבכך היא מקבלת חיווי אם בוב הוא חבר מפלגה, פירצת פרטיות שמהווה פגיעה בפרטיותו של בוב לפי חוק הגנת הפרטיות – פירצה שעדיין לא נחסמה, אגב.

באשר לטענת הגישה למאגר נתוני המתפקדים: המפלגה מבהירה כי בניגוד לאתרי מפלגות אחרות, האתר של מפלגת העבודה הינו אתר מאובטח זאת בניגוד לאתרי המפלגות אחרות אשר אצלם לא שולבו כל אמצעי הגנה כלל, כדוגמת אתרי מפלגות הבית היהודי והליכוד.

ולמה אתה לא מגנה את אבטחת המידע בסוריה. עובדתית, האתר של מפלגת העבודה איפשר להוריד עם סקריפט את מאגר המידע עם רשימת חברי מפלגת העבודה (וחברים לשעבר שעזבו), פירצת אבטחה שמהווה פגיעה בפרטיותם לפי חוק הגנת הפרטיות. בנקודה זו הוא לא היה מאובטח כראוי, אלא האפשרות לשתות את רשימת החברים של המפלגה אינה פירצת אבטחה או פגיעה בפרטיות, וכל טענה שכזו היא בגדר דעה אישית שהפכה לעובדה.

יחד עם זאת ובשל רגישות הנושא מפלגת העבודה התייחסה ברצינות ובכובד ראש לפניית העיתונאי עידו קינן וביצעה סדרה של בדיקות מקיפות על ידי מנהל אבטחת מידע מוסמך שאף קיים התייעצות מקצועית בנושא עם גורמים בכירים ברשות הסייבר הלאומית על מנת לוודא את תקינות מנגנוני האבטחה של האתר. על מנת לנקוט במשנה זהירות הוחלט להנחיל שיפורי אבטחה נוספים על אלו הקיימים, שיפורים שעליהם דווח בכתבה. [הכתבה הזאת;
ע”ק]

מפלגת העבודה רואה את תהליך הדיגיטציה כתהליך מתבקש בעידן הטכנולוגי הנוכחי ותעשה כל שביכולתה, ולא תחסוך במשאבים,על מנת לשפר את השירות אשר ניתן לחבריה, לעמוד בסטנדרטים המחמירים ביותר של אבטחת מידע ולשמור על מאגרי המידע שלה.

← לדף הקודםלדף הבא →