לשמירה על הפרטיות האזינו כאן 👂

לקראת יום הגנת הפרטיות הבינלאומי, שמצויין ב-28/1, הפקנו ב-Podcasti.co פודקאסט חדש בשם “פרטיות העתיד” עבור הרשות להגנת הפרטיות במשרד המשפטים. בפרק הבכורה מדברים אנשי הרשות על מספר חידושים טכנולוגיים שנכנסו וייכנסו לחיינו (לבישי כושר ובריאות, האינטרנט של הדברים והעיר החכמה), בעיות הפרטיות שהם הביאו איתם ודרכי התמודדות.

הנגשה לכבדי שמיעה; RSS

קראקר בטלפון הסלולרי 🎨 חאריס טסוויס (cc-by-nc-nd)
חדירה לפרטיות 🎨 חאריס טסוויס (cc-by-nc-nd)

✈ פרטי נוסעי אל על וחברות נוספות נחשפו בפירצה ב”אמדאוס”, ששולטת ב-44% מהשוק העולמי 🐱‍💻 סייברסייבר

רן בר-זיק בסך הכל רצה לטוס לפסטיבל מטאל, “המוזיקה היחידה ששווה משהו”. אבל האקר נאה וחובב פחמימות (אך מתעב מטאל) פרץ לו לחשבון, שינה לו את הפרטים והכי נורא, הזמין לו ארוחה טבעונית גלאט כושר. איך זה קרה? בגלל פירצת אבטחה במערכת ששולטת על כמעט חצי משוק הכירטוס העולמי. הסיפור המלא בפרק 3 של סייברסייבר (שהוקלט בבהילות, ואנחנו מתנצלים על הסאונד).

הנגשה לכבדי שמיעה: כתבה על הפירצה

זה התחיל מכך שנעםר הזמין לעצמו כרטיס טיסה באל על (לקייב, מכל המקומות בעולם). כשקיבל אישור באימייל ראה שהלינק שצורף אליו, שמאפשר לצפות בהזמנה ולעדכנה, מכיל את המזהה הייחודי (ID) של ההזמנה. הוא ניסה לשנות את המזהה בשורת הכתובת ולהגיע לכרטיסים של אנשים נוספים, ונחל הצלחה. הוא גילה גם ששילוב של שם הנוסע והמזהה מאפשר לו ללגון למערכת, לראות את כל פרטי הנוסע ולשנותם.

בר-זיק, שלא ידע על כל זה, הזמין כרטיס לפסטיבל המטאל ומיהר לספר לחבר’ה בוואטסאפ, כולל תמונה של הכרטיס. אחד הנמענים היה נעםר, שנכנס לעמוד ההזמנה של בר זיק עם שמו של ברזיק והמזהה הייחודי, והזמין לו ארוחת גלאט טבעונית. יאמי.

אבל גם אם בר-זיק לא היה חושף את כרטיסו, נעםר יכול היה לאתר את ההזמנה בעצמו. כשהריץ סקריפט על האתר גילה שאין הגנה ממתקפת כוח-גס (ברוט פורס), כך שהוא יכול להריץ את כל צירופי האותיות והמספרים האפשריים למזהה הייחודי, ולשאוב את מאגר המידע המלא של נסיעות נוסעי אל על. וב-2018 אין שום סיבה שאתר יהיה חשוף למתקפה פרימיטיבית כמו ברוט פורס.

רן בר-זיק חושף את עצמו
רן בר-זיק חושף את עצמו

מחברת אל על נמסר בתגובה:

אל על קיבלה דיווח מלקוח של החברה לפיו קיים ליקוי אבטחת מידע.
הלקוח מסר כי לא עשה ואינו מתכוון לעשות שימוש במידע  וכי מטרת הפניה הינה בחינת הליקוי במטרה לתקנו.
החברה התייחסה במלוא הרצינות לדיווח וביצעה בדיקות מידיות. במסגרת הבדיקות עלה כי  הליקוי איפשר באמצעות הזנת מספר ההזמנה של לקוח אחר, לצפות בפרטי הזמנתו. יש לציין כי בשום שלב לא התאפשרה חדירה אל בסיס הנתונים של החברה. נדגיש כי אין מדובר בגישה למערכת ההזמנות עצמה אלא בגישה לתצוגה מצומצמת הקשורה בהזמנה ספציפית בלבד.
מערכת ההזמנות בה אל על עושה שימוש הינה מערכת בינלאומית בעלת רמת אבטחה גבוהה, המשמשת חברות תעופה רבות בעולם. אל על פנתה באופן מיידי לספק מערכת ההזמנות שנרתם לתיקון הליקוי.


המערכת הפרוצה שבה משתמשת אל על הוקמה על ידי אמדאוס, ספקית שירותים לחברות תעופה שב-2017 הכניסה 5.81 מיליארד דולר והחזיקה ב-43.9% מהשוק. מחברת אמדאוס נמסר בתגובה:

אבטחת מידע נמצאת בעדיפות עליונה באמדאוס, ואנחנו מנטרים ומעדכנים את המערכות שלנו כל הזמן. הצוותים הטכניים שלנו פעלו מיידית ואנחנו יכולים לאשר כעת שהסוגייה נפתרה. כדי לחזק את האבטחה, הוספנו Recovery PTR כדי למנוע ממשתמשים זדוניים גישה למידע הפרטי של הנוסעים. אנחנו מתנצלים על כל אי נוחות שעלולה היתה להיגרם בגלל המצב הזה.


ועל כך אומר נעםר: “אני מודה בבושה שאני לא מבין עד הסוף מה התיקון שהם עשו, אבל היי – זו חברה ששווה מיליארדים, הם בטח יודעים על מה הם מדברים”.

פירצת אבטחה באל על 📸 בורקס: Shlomif (PD); מטוס: זיגי נגראה (cc-by-nc-sa)

🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: נעם רותם, עידו קינן ➕ אורח: רן בר-זיק 🥐 בורקס: Shlomif (PD) 🛫 מטוס אל על: זיגי נגראה (cc-by-nc-sa) 🎵 מוזיקה: (Fauna & Killah B – CC-by), רוברט קלאות’ 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫

😾 טעות במספר🎙 שׁרת התרבות, פרק 5

ספאמר טלמרקטינג של סלקום התקשר לבנאדם הלא נכון. הוא והאחמשית שלו נקלעו לשיחה ארוכה על אישה שאינה קיימת וצ’יפים לחתולים. פרק חמישי של שׁרת התרבות, פודקאסט תרבות רשת.

חתול מסנן את סלקום 📸 Stock Catalog (cc-by) ו-Podcasti.co
חתול מסנן את סלקום 📸 Stock Catalog (cc-by) ו-Podcasti.co

שׁרת התרבות הוא הסכת (פודקאסט) על תרבות רשת 🗣️ יוצר ומגיש: עידו קינן 👨‍🔧 עיצוב סאונד: עומר סנש 🎵 מוזיקת פתיח וסגיר: N1N10DOH! (cc-by) 👽 מוזיקה עגומה: Setuniman (cc-by-nc) 🐈 תמונת חתול: Stock Catalog (cc-by) 😇 השראה ושם התוכנית: אלה נובק 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס


תכלה שנה ופירצותיה 🐱‍💻 סייברסייבר מסכמים את 2018

רק פרק שני וסייברסייבר כבר מסכמים שנה: נעם רותם ועידו קינן מדברים על דליפת פרטי מאות מיליוני משתמשים, מתקפות DDoS, פייסבוק וקיימברידג’ אנליטיקה, חקיקה נגד הצפנה, מלחמות הראוטרים ועשרות פירצות ופירצות בישראל.

הנגשה לכבדי שמיעה: התסריט המלא של הפרק מתפרסם כאן.

הערותוכנית

1:01 מתקפת מניעת שירות מבוזרת (DDoS)

6:01 ביג ביג דאטה

9:23 הצפנה

15:19 מלחמות הראוטרים

18:18 פריצות ופירצות

22:33 ובארץ

נעם רותם ועידו קינן, סייברסייבר 📸 עומר סנש, Podcasti.co
נעם רותם ועידו קינן, סייברסייבר עומר סנש, Podcasti.co

🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: נעם רותם, עידו קינן 🎵 מוזיקה: (Fauna & Killah B – CC-by), רוברט קלאות’ 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫

📵 פיקוד העורף לא רוצה שתשתמשו באפליקציות צבע אדום

זוכרים את ההתרעות של אפליקציית פיקוד העורף בצוק איתן? ברור שלא, כי לא היתה אחת כזו, עד שפקע”ר השיק רשמית את האפליקציה שלו, כנראה ביולי השנה, אני מנחש לפי המועד שבו דיווחו על כך אתרים שונים ועלו סרטוני ההסבר הרשמיים (תאריך ההשקה הוא מידע שלא תוכלו לאתר אם תסמכו על הודעת ההשקה ודברי ההסבר באתר פיקוד העורף, שמי שיצר אותו לא חשב שהודעות של גוף בטחוני לציבור צריכות הקשר כמו תאריך הפרסום, כי זה יעזור לאויב אני מניח; הוא גם לא מאמין בחיפוש הודעות ארכיון, לכן החיפוש שם לא עובד).

עד אז, אזרחי ישראל נאלצו להשתמש באפליקציות פרטיות, שצה”ל ניסה ליירט. עכשיו הוא החליט בטפשותו להשמיד אותן כליל, כפי שדיווח עודד ירון ב”הארץ”:

צה”ל החליט לנתק את האפליקציות הפרטיות להתרעה על ירי תלול מסלול לעבר ישראל מהמערכת של פיקוד העורף, מחשש להפצת התרעות שגויות והתרעות שווא. מצה”ל נמסר כי ההחלטה התקבלה בעקבות תלונות של אזרחים על תקלות טכניות באפליקציות, שאינן באחריות ובשליטת פיקוד העורף, אשר יצרו בלבול בקרב המשתמשים.

הצבא מסר כי גורמים ויזמים פרטיים רבים עושים שימוש בהתרעות המפורסמת באתר פיקוד העורף ברשת, לשם הפצתן באפליקציות. ואולם, בעקבות תקלות שונות – המידע המתקבל מהן לעתים מגיע באיחור ולעתים מפיץ התרעות שגויות.

וזה לא שאני לא סומך על פיקוד העורף וצה”ל בעניינים האלה. כלומר, חוץ מהקטע הזה שהטוויטר הרשמי של צה”ל דיווח ב-2014 על “דליפה גרעינית אפשרית בעקבות פגיעת שתי רקטות במתקן הגרעיני בדימונה” (עבודה של האקרים שפרצו לו לחשבון). וחוץ מהקטע שב-2015 פיקוד העורף שלח לירושלמים “התרעת חירום: חמורה ביותר” לא חתומה דרך מערכת ההתרעות הסלולרית, שהתבררה כהודעה לא חמורה על תרגיל ברכבת הקלה. פיקוד העורף, המשטרה ועיריית ירושלים לא טרחו לספק עליו פרטים באתריהם (צדיק בסדום: אתר סיטי פס, מפעילת הרכבת הקלה). אחרי המון טלפונים להמון גורמים גיליתי שפקע”ר בכלל לא היה זה ששלח את ההודעה: “פנה אלינו רב פקד בבקשה להשתמש במערכת ולכתוב את הסמס הזה. אישרנו לו להשתמש במערכת. […] זו הודעה של המשטרה, לא אנחנו כתבנו אותה”, סיפרה לי עוזרת דוברת פיקוד העורף.

"התרעת חירום: חמורה ביותר" שנשלחה בשידור סלולרי לסלולריים באזור ירושלים, 2.2015
“התרעת חירום: חמורה ביותר” שנשלחה בשידור סלולרי באזור ירושלים, 2.2015

👺 כך תנקמו/תשתלו מסרים בכלי תקשורת שמצטט את הטוויטר שלכם

בעוד שם המשתמש בטוויטר (@idokius) הוא חד-ערכי, והחלפתו מביאה להשבתו למאגר השמות הפתוחים לרישום וגם לשבירת לינקים ישנים, כינוי (“עידוק”) אפשר לשנות בקלות. כל כך בקלות, שהאקרים פרצו לחשבונות מאושררים (בעלי וי כחול), שינו להם את השם לאילן מאסק, כתבו שהם מחלקים ביטקוין בחינם והפילו בפח לא מעט אנשים.

שננינגז נוסף שאפשר לעשות עם שינוי הכינוי הוא לדפוק גרפיטי בתוך אתר שציטט את המשתמש. זה קורה הרבה בארה”ב, כשאתר חדשות מצטט אנשים שמתנגדים לקו הפוליטי שלו, רוצים להעביר מסר או שבא להם לעשות שיגועים. אחרי שהאתר מאמבד את הציוץ, המשתמש מחליף את הכינוי למסר שהוא רוצה להעביר.

הנה דוגמה טרייה מאצלנו – בכתבה שלהם על רפורמת הרב קו של #ישראלכץהביתהבתחבץ, דה-מרקר הטמיעו ציוץ מצויין של @oneofusoneofu. בתגובה הוא שינה את הכינוי שלו ל”שונא את דה-מרקר ששונאים עובדים”, ועכשיו הטקסט הזה מופיע במרכז הכתבה.

נקמת הטוויטריסט @oneofusoneofu בדה-מרקר
נקמת הטוויטריסט @oneofusoneofu בדה-מרקר

“בדה-מרקר החליטו שהציוץ שלי שווה ציוץ, אבל וואלק לסחבק יש זיכרון ארוך. אז החלפתי את הניק כדי להעביר מסר”, כתב. “שנה טובה, אתם עדיין יכולים לחזור בתשובה”.

(מזכיר לי שפעם גלובס שמו בהומפייג’ ווידג’ט טוויטר ששאב ציוצים עם מילות מפתח מסויימות, אז קצת הצפתי להם אותו בציוצים חיוביים על דה-מרקר. געגועים לימי השנניגנז)

(הלשין: תומר אשור)

🍆 תומר שרון, לאן הולכים הבולבולים כשהשרת קפוא? 🎙️ שׁרת התרבות, פרק 4

השחקן והמוזיקאי תומר שרון פרסם שיר בפייסבוק. בעקבותיו מישהי התחילה איתו, שלחה לו נודז וביקשה שישלח גם הוא. תומש חסר הנסיון בתחום צילם דיקפיק שבו רואים את פרצופו ושיגר אותו בטעות לפייסבוק במקום בהודעה פרטית. משם זה רק החמיר. שלא לדבר על הפעם ההיא שצ’וטט במשך חצי שנה עם אישה רק כדי לגלות שנפל קורבן לקאטפיש. תומש מספר על חוויותיו בפרק הרביעי של שׁרת התרבות.

הערותוכנית (shownotes)

הפוסט מורטם של תומר שרון
תומר שרון 📸 עידו קינן
תומר שרון 📸 עידו קינן

שׁרת התרבות הוא הסכת (פודקאסט) על תרבות רשת 🗣️ יוצר ומגיש: עידו קינן  🗜️ הפקה: הדר בן יהודה 👨‍🔧 עיצוב סאונד: עומר סנש 🎵 מוזיקה: N1N10DOH! (cc-by) 👽 אפקט חייזרים: Daniel Simion (cc-by) 😇 השראה ושם התוכנית: אלה נובק 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס



🍿 נתניהו ורגב נאלצו להסיר סרטוני תעמולה 📽️ פרק אינטראקטיבי של “מראה שחורה” 📻 האחראי על האינטרנט, מוצ”ש 19:30 גלצ

הקליקו לארכיון האחראי על האינטרנט

🎧 להאזנה לפינה 🔊

דברים שלא נדבר עליהם בפינה

תקלת הפוש של עמוס עוז ב"ישראל היום"
תקלת הפוש של עמוס עוז ב”ישראל היום”

נושא ראשי

שר הבטחון בנימין נתניהו ושרת התרבות מירי רגב נדרשו להסיר סרטונים שהעלו לרשת, בעקבות פעילות של שני אקטיביסטים.

עמותת “מחזקים” של אורי קול עתרה לוועדת הבחירות המרכזית נגד רגב ומשרדה, בטענה שהסרטון בן שעתיים וחצי שמתעד את פסטיבל “כתר המזרח – מצדיעים לתושבי עוטף עזה” מהווה תעמולת בחירות, “אשר כל מטרתו לפאר ולרומם את [השרה רגב], לזקוף לזכותה הישגים, להציגה באופן מחמיא ולייצר קשר תודעתי עמוק בינה לבין עצם קיומו של הזמר המזרחי […] וכל זאת, במימון הציבור”. במשרד התרבות הודיעו לוועדה כי הסירו את הסרטון.

עו”ד שחר בן מאיר עתר לוועדת הבחירות בנוגע לסרטון קצר, שבו בנימין נתניהו צולם על ידי לע”ם כשהוא משוחח עם חיילים ומשבח אותם ואת צה”ל. היועץ המשפטי לממשלה מסר לוועדה את עמדת המדינה, לפיה “מתעוררים קשיים אל מול הוראת סעיף 2א לחוק דרכי תעמולה. זאת בין היתר בשל כך שהסרטון נערך על-ידי עובדי מדינה מחומרים שמקורם בלע”מ ומקורות ממשלתיים אחרים, ובשים לב למאפייניו של הסרטון; קרי כזה שהופק ונערך תוך שילוב דברים שנשא ראש הממשלה בפני החיילים בזמן הביקור בליווי מוסיקה ותמונות, אשר יוצרים אפקטים דרמטיים ומבליטים את חלקו האישי של ראש הממשלה בסרטון. לאור האמור, היועץ המשפטי לממשלה הנחה את הגורמים הבכירים במשרד ראש הממשלה, לפעול להסרת הסרטון מהעמוד הרשמי בפייסבוק ומכל דף רשמי אחר ברשתות החברתיות, ללא דיחוי. […] עמדת היועץ המשפטי לממשלה היא כי יש להסיר את הסרטון האמור גם מן העמוד הפרטי-פוליטי בו עושה שימוש תנועת הליכוד. זאת, ראש ובראשונה לאור העובדה שמדובר בשימוש בסרטון שכאמור מעורר קשיים אל מול הוראת סעיף 2א לחוק דרכי התעמולה”.


הפינה “האחראי על האינטרנט” משודרת מדי שבת ב-19:30 בתוכנית “שישבת” בהגשת עידן קוולר בגלצ

דבר אלי בפרצופונים: המרשתת והשפה העברית 👅 מושב בכנס יום העברית

אומת האינטרנט היא הגורם הכי משמעותי בהתפתחות השפה העברית בעת הנוכחית, לדעתי. ברוח זו הנחיתי את מושב “דבר אליי בפרצופונים: המרשתת והשפה העברית” בכנס יום העברית של האקדמיה ללשון העברית, בהשתתפות יעל סלע, ראש צוות התרגום של גוגל ישראל; שרית כץ ואסף כץ, מנהלי קהילת “ילדים הם התסריטאים הטובים בעולם”; ופרופ’ סיריל אסלנוב מהאקדמיה ללשון העברית. הנה המושב במלואו.

[פרסומת] ואם אתם מחפשים מנחה/מרצה לאירוע שקשור לאינטרנט, תרבות רשת וטכנולוגיה, דברו איתי [\פרסומת]

📜 השפה העברית האינטרנטית 📻 ראיון ב”מה שכרוך”

האקדמיה ללשון העברית עורכת מחר אירוע ליום השפה העברית [₪ כרטיסים]. אני מנחה שם מושב על העברית האינטרנטית, עם ראש צוות התרגום של גוגל ישראל יעל סלע, פרופ’ סיריל אסלנוב מהאקדמיה ללשון העברית, ומייסדי קהילת “ילדים הם התסריטאים הטובים ביותרשרית כץ ואסף כץ. אני מדבר על זה היום ב-12:20 ב”מה שכרוך” עם מאיה סלע ויובל אביבי ב”כאן תרבות”.

בין הנושאים בפאנל:

יעל סלע תספר על “פרוייקט גוליית”, פרוייקט לעדכון השפה של ממשקי גוגל. בין השאר, הציוויים הפכו להצעות, והפניות בזכר הפכו לפניות נייטרליות מגדרית. היא תזכיר גם את המאמץ של מפתחי שירות התרגום גוגל טרנסלייט להפחית הטייה מגדרית.

פנייה לא ממוגדרת בגוגל 📸 מצגת פרוייקט גוליית של יעל סלע
פנייה לא ממוגדרת בגוגל 📸 מצגת פרוייקט גוליית של יעל סלע
הפיכת ציווי להצעה 📸 מצגת פרוייקט גוליית של יעל סלע
הפיכת ציווי להצעה 📸 מצגת פרוייקט גוליית של יעל סלע

פרופ’ סיריל אסלנוב ידבר על המקורות העבריים הזמינים ברשת, ובהם התנ”ך המנוקד, ועל אלו שאינם זמינים, כמו הספרות העברית החדשה מחמישים השנים האחרונות, מה שהופך אותם להרבה פחות נגישים לאלו מאומת הרשת שממעטים לקרוא ספרים.

קוראת בקורא"ל 🎨 Mike Licht, NotionsCapital.com, cc-by
קוראת בקורא”ל 🎨 Mike Licht, NotionsCapital.com, cc-by

שרית כץ ואסף כץ ידברו על ילדים שנולדו לעולם הדיגיטלי, שבו חלק ניכר מהתקשורת הבינאישית מתווך דרך מחשב/טלפון/טאבלט, ועל שפת הכלאיים בין דיבור לכתיבה.

חחחחחחח 📸 "ילדים הם התסריטאים הטובים בעולם"
חחחחחחח 📸 “ילדים הם התסריטאים הטובים בעולם”
Hello, World 📸 marymactavish, cc-by-nc-nd
Hello, World 📸 marymactavish, cc-by-nc-nd

לדף הבא →