Leaking credit card information is no different than leaking radioactive materials

כה אמרה המומחית הידועה לאבטחת מידע, לוחמת סייבר וטרור גרעיני – סמדר שיר.
.
כנראה שאני טעיתי בהערכתי הראשונית את פרשת גניבת כרטיסי האשראי על ידי ההאקר הסעודי, כי אם הגברת שיר בכבודה ובעצמה נכנסה לעובי הקורה בעניין חמור זה, אז כנראה שהנזק שייגרם בעניין זה יהיה לבסוף הרבה יותר גדול ממה שהערכתי בהתחלה.

טור הדעה של הגברת שיר מופיע כרגע באנגלית בלבד. נקווה שבימים הקרובים הוא יתורגם לעברית ויהיה זמין ברשת, לטובת כלל תושבי ישראל קוראי העברית, ובהתאמה נוסיף לכאן קישור מתאים.

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

הקטע שהכי הצחיק אותי היום

אין לי באמת רצון או צורך להתייחס לפרשיה של היום, או יותר נכון להגיד היומית, אבל אני חייב לשתף אתכם בקטע הכי מצחיק שראיתי בנושא.
אתר ONE, שהיה מעורב שלא מרצונו בפרשה, מסביר את הצד שלו, ואת עיני צדה שם הפסקה הבאה:
"
האקרים הצליחו לחדור לאחת מחוות השרתים של האתר במהלך משחק העונה בין מ.ס. אשדוד ובין עירוני קריית שמונה, במהלך הפריצה הצליחו ההאקרים להפנות למספר דקות חלק מגולשי האתר לדף הפרסום שלהם.
"

חסרי לב. חיכו שכולם (חוץ מאלו שגולשים ב-ONE במקביל לצפייה במשחק, כמובן) יכססו ציפורניים מול המשחק שחיכינו לו זה 2000 שנות גלות (והסתיים בתיקו אפס) ואז הם היכו. כשאף אחד לא שם לב.
ערמומיים האויבים האלו. תדאגו שהפיירוול שלכם יישן עם עין אחת פקוחה (ושלא יראה משחקי כדורגל).

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

בת יענו סודי

לפעמים נדמה לי שאנחנו, אזרחי ישראל, הם כמו הבעל, כמאמר האמרה העצובה, שהוא זה שיודע אחרון.
לפעמים זה גם משרת אותנו, לפחות נפשית, כמי שלא רוצים לדעת, כמי שחושבים שאם אנחנו לא יודעים, אז אף אחד אחר לא יודע, כמו הילד המכסה את עיניו ובכך חושב שלא רואים אותו.
מדינת ישראל, או לפחות הצנזורה וגופים רלוונטיים אחרים, צריכים להחליט מה חשוב ומה לא ובהתאם להגן על מה שצריך, ועל מה שלא – אז לא.

היום נודע שמונה ראש "מוסד" חדש, מר תמיר פרדו. העיתונים הגדולים מלאו בכל המידע שכנראה מותר לספר על האיש, כולל רמז כללי על מיקום ביתו, יישוב בשרון, זה הכי מדויק שהם רשמו. אני לא יודע אם מיקום ביתו הוא מידע סודי באופן רשמי או לא, אבל הגיוני שכדאי שגורמים עוינים לא ידעו מידע זה, בכדי להקטין את הסיכון לחייו ולמשפחתו.
כך גם אני, כמו כל אזרח ישראלי מהסוג הנזכר בפסקה הראשונה לעיל, לבטח ככזה העוסק באבטחת מידע ומידענות, נחרדתי לגלות במוסף הראשי של "ידיעות אחרונות" מהיום – כתבה בשם "העסקים של תמיר פרדו: שיתוף פעולה עם נעם לניר והקמת "חברת ייעוץ"" (המצויה כעת באתר כלכליסט ששייך לקבוצת התקשורת של  "ידיעות אחרונות").
היה מיד ברור לי שהמידע בכתבה יכול לאפשר לכל אדם, בתוך דקות, לדעת את כתובת ביתו המדויקת, ואכן, חיפוש קצר אחר שם החברה באנגלית, באתר רשם החברות, איפשר לי לדעת את שמו המלא של האיש, היישוב בו הוא גר, שם הרחוב, מספר הבית ומיקוד (אם כי נראה שהוא הגן על עצמו מעט כי לפי הפרטים כנראה ששם הרחוב אינו אמיתי כי הוא זהה לשם היישוב ומספר הבית זהה למספר תיבת הדואר). זהו.
"איזה חוסר אחריות של הכתב, העורכים שלו והצנזורה" חשבתי לעצמי – "הם אולי מסננים נתונים ישירים אבל הם לא חושבים שנתונים עקיפים יכולים בקלות להביא לנתונים ישירים? עד כדי כך הם שיכורי דיווח על גיבור ישראלי חדש? ו/או חושבים שהיריבים כאלו טיפשים? כאילו אנו בעוד ספר של חסמב"ה?"

כך, לאחר שהנתונים היו בידי, אמרתי לעצמי שנעשה עוד חיפוש קטן, לראות מי עוד יודע את הפרטים האלו.

אז מסתבר שבעברית רק אחת הקדימה אותי, הבלוגרית דבורית שרגל, המתכנה velvet underground, המכסה את תחום התקשורת בישראל, והיא טוענת ש"מעריב" כבר חשף את שם היישוב. אני לא מצאתי לכך עדות באתר nrg.co.il, אתר האינטרנט של "מעריב". אולי זה היה רק בגרסת הנייר של העיתון.

אבל כל זה שטויות, באמת, הרי האמת העירומה תמיד נמצאת אצל המתבונן החיצוני, וכך, חיפוש קל בגוגל של שם הראש החדש עם המילה home מביאה תמונות שלו מהיום, בכניסה לביתו, כולל שם היישוב, במגוון רחב של אתרי אינטרנט חדשותיים. אפילו התמונות יותר ברורות וחדות מתמונות ההצצה שהעיתונות הישראלית שחררה עם ההכרזה על המינוי ומאז לא הוסיפה (לפחות באינטרנט).

עכשיו רק צריך לקוות שחורשי רעה לא מכירים את רשם החברות, לא קוראים אנגלית, לא מחוברים לאינטרנט ולא מכירים מנועי חיפוש.

אני לא יודע כיצד פועלים העיתונים הגדולים בישראל במקרים כאלו, כמה הם נתונים להשגחה צמודה מהצנזורה, כמה הם צמודים לחוק, כמה הם מפעילים צנזורה עצמית – אבל לאור השורות התחתונות, ניכר שהמצב הוא מין תערובת הזויה שניכרת בו "משיכת החבל" בין הרצון לעמוד בדרישות הצנזורה-חוק לבין הרצון העיתונאי לחשוף כמה שיותר, לבטח כאשר התקשורת העולמית ממש לא מוגבלת במה שהיא מפרסמת, שלא לדבר על הקצה השני – פלטפורמות הדלפה כמו wikileaks, שמשתמשת במידע שהושג בדרכים לא חוקיות.

המצב הנוכחי של הילד המסתיר את עיניו הוא לא פחות ממגוחך ואווילי. הצנזורה וגופי הביטחון בוודאי יכולים להיות מרוצים מיכולת ההרתעה שלהם מול התקשורת הישראלית, שלפעמים בוודאי מקדימה אותם בצנזורה עצמית – אבל מה שחשוב זו השורה התחתונה, ובשורה התחתונה אנו אולי מחייכים בשביעות רצון מהחושך הסודי שאנו כופים על עצמו, אבל בשורה היותר התחתונה – אנחנו בלי תחתונים.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

נער טוען לפריצת כרטיס התחבורה הציבורית "רב-קו"

נער בן 17, יוסי דהן, העוסק בפיתוח יישומים ל-iPhone, iPad ולטוויטר, במסגרת חברת Appmobil, טוען שהצליח לפרוץ את כרטיס הנסיעות החדש של (חלק) מהתחבורה הציבורית בישראל, רב-קו, (המבוסס על תקן Calypso).
טענה זו מובאת בכתבה באתר TheMarker, שכוללת בעיקר ציטוטים של הבחור ושל תגובת משרד התחבורה. נראה שלא נעשה ניסיון אמיתי על ידי העיתון לבדוק ולאמת בפועל את דברי הבחור ואת תגובת משרד התחבורה. העיקר, כרגיל, שיש כתבה מהירה ורעש ציבורי. נסתפק בזאת.

כמה הערות שלי, לאחר שבטובכם כמובן תקראו את הקישורים של הרב-קו ושל הכתבה:
– רשום לגבי הכרטיס: "רק הכרטיס בעל הפרטים מאפשר טעינה של חופשי חודשי, קבלת הנחות גמלאים, ילדים, נכים וביטוח המאפשר החזר כספי במקרה בו הכרטיס נהרס או אבד. כרטיס אנונימי ניתן תמורת תשלום של 10 ש"ח." אני עוד יכול להבין את מניעת ההנחות וההטבות, למניעת התחזות ואובדן הכנסות, אבל למה כרטיס אנונימי (שזה בדיוק מה שהיה עם כרטיסי הנייר) צריך לעלות 10 ש"ח?! הרי רק על נפח המידע שנחסך מהאחסון הדיגיטלי במסדי הנתונים של חברות התחבורה השונות היה צריך לסבסד את הכרטיסים האלו.
מצד שני, אנונימיות מפריעה למאמצי השיווק…

– מר דהן טוען "הצלחתי לנתח את כל המידע שיש בכרטיס הרב-קו, ואפילו להחליפו במידע קיים. עם עוד מעט עבודה אוכל בלי בעיה לטעון את הכרטיס בכמה נסיעות שאני רוצה, ואפילו לשנות פרטים". רגע, אני ממש לא מומחה לכרטיסים חכמים, ואולי מי מקהל הקוראים יוכל להאיר את עיניי ועיניי שאר הקוראים, אבל אם הוא הצליח להחליף במידע קיים את כל המידע שיש בכרטיס, לדבריו, אז למה הוא צריך "עוד מעט עבודה" בכדי לטעון את הכרטיס בכמה נסיעות שהוא רוצה ואפילו לשנות פרטים? הוא לא כבר עשה את זה?…

– מצוטט ש"דהן מציין כי מטרתו בפריצה היתה להוכיח באיזו קלות ניתן לפרוץ למאגרי מידע, ובעיקר למאגר הביומטרי." הא?! מה קשר מחט לתחת? איך הוא הגיע מכרטיס בודד אל פריצת מאגר נתונים?!

– בהמשך הכתבה מר דהן ממשיך להתרחב ולהתלהב עד מאוד על האפשרויות הנרחבות של מעקב אלקטרוני אחר נוסעי התחבורה הציבורית. נראה לי שהוא נסחף מעט והמעקב הזה, אני משער, יכול להיות גם בחלקו על בסיס הכרטיס האנונימי כי אני משער שגם לכרטיס זה יש מספר סידורי שהשימוש בו נרשם ומעקב פיזי קצר אחר אדם יכול להצליב בין הכרטיס האנונימי לבין אדם מסוים.

– תגובת דובר דן כמובן מוציאה במידה מסוימת את העוקץ מהכתבה.

– בדיוק חזרתי לפני מספר שבועות מפריז, שם עשיתי שימוש בכרטיס דומה לטובת מנוי שבועי למטרו, אבל נראה שהכרטיס שלהם שונה כי אין לו פס מגנטי (אבל יש כמובן שבב). כמו כן הטעינה, ככל שאני ראיתי, *כן* מחייבת מגע עם מערכת הטעינה (אם כי זה כמובן לא אומר שהטעינה היא לא אלחוטית).
מכיוון שמדובר בסה"כ בתקנים שנעשה בהם שימוש נרחב במדינות רבות ולאורך שנים ומדובר בייצור הכרטיסים על ידי חברה ידועה בתחום (ASK), הרי שייתכן שמר דהן הצליח למעשה לפרוץ לחלק ממערכת ההסעות הציבורית בצרפת (אבל לא רק כרטיסים, כן? גם מאגרי מידע!) ובכך למוטט את הסיכוי של חברות תחבורה ציבורית שם להרוויח כסף. אוּ – לָה – לָה…
אתם, כמובן, כמו מר דהן, מוזמנים לבדוק או להפריך את טענותיו. ממילא הוא אמר שנדרשת "רק עוד מעט עבודה", מה זה קצת עבודה לעומת נסיעה חינם בתחבורה ציבורית?

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

השבת נותנת השראה

בהמשך לפוסט שלי על אתר ביטוח לאומי שסגור בשבת, מצאתי היום "כתבה" מאוד דומה באתר של "הארץ" בשם "אתר המוסד לביטוח לאומי שומר שבת".
הפוסט שלי פורסם ב-2 לאוגוסט והכתבה הזו ב-16 לאוגוסט. יכול להיות שאני טועה ואני כמובן לא יכול להוכיח דבר אבל זה מאוד נראה לי מסוג הכתבות הפושות (פושעות?) בעיתונות האינסטנט של ימינו, בסגנון קח גרעין כתבה מוכן, ערוך אותו כרצונך, הוסף דמויות פיקטיביות וקבל תגובה של דובר המוסד המדובר במידת הצורך.
איכס.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...