בלוג

מניסיון אישי בעבודה בישראל ובחו״ל, אין ספק שמבחינה טכנולוגית ישראל נמצאת על המפה.

למרות זאת, אנחנו עדיין רחוקים שנות אור מכל מיני הצהרות שונות ומשונות

ישראל נמנית בין 3 מעצמות הסייבר המובילות בעולם (בנימין נתניהו, 16.01.2016).

אני נוטה להאמין שמדינת ישראל חזקה בסייבר כשמדובר במדיניות כלפי חוץ – למשל כנגד מדינות עוינות כמו איראן. אבל כשמדובר במדיניות פנימית, אנחנו נופלים ובגדול.

רק לאחרונה פורסמה פירצה איומה באתר של מד״א ואם עוקבים אחרי האנשים שיודעים דבר ושניים בתחום, אפשר לראות שהפרטיות שלנו חשופה, וכרטיסי האשראי שלנו רחוקים צעד אחד מידיו של האקר חמדן.

המצאי עד כה: מעל 145,000 כרטיסי אשראי, מאות אלפי פרטי משתמשים כולל תעודות זהות. איטי כמו תחת, אבל אלוהים אדירות מה שיש שם

— Noam R (@noamr) June 9, 2018

לפני מספר ימים, לאחר צפייה בפוסט של נועםר שחשף את היכולת להגיע לפרטים אישיים של מבוטחים בחברת ביטוח גדולה

גלעד ארדן קורא לעזרה. מי בפיד יוכל לייעץ ולעזור לו לבחור את הזן שיעשה לו נעים? pic.twitter.com/mdUYhoDwAK

— Noam R (@noamr) October 25, 2018

החלטתי לבדוק האם יש בעיה דומה באחת מקופות החולים בארץ. ביקשתי מאח שלי את תעודת הזהות שלו וניסיתי לשלוף מידע רפואי שלו מקופת החולים שלנו – מאוחדת. לקח לי פחות מדקה לחזור אליו עם תשובה לגבי התרופה האחרונה שהוא רכש:

התהליך היה פשוט.

לפני שהתחלתי, תכנתתי את הטלפון שלי לעבוד עם mitm proxy שזו תוכנה אשר מאפשרת לי לראות את הקריאות שמתבצעות מאחורי הקלעים כאשר אני משתמש באפליקציה כלשהי. כמו שעשיתי בעבר עם טינדר.

לאחר מכן, התחברתי לאפליקציה של מאוחדת באייפון.

נכנסתי לאיזורים שונים ובעזרת mitmproxy ראיתי איזה קריאות מתבצעות וקיבלתי את הרושם שבעזרת שינוי פרמטר אחד, יכול להיות שאצליח לקבל את המידע שאותו אף אחד לא אמור לראות.

כל מה שהייתי צריך לעשות לאחר שהייתי מחובר, היה לשנות את תעודת הזהות של מבקש המידע.

ההנחה שלי מלכתחילה הייתה שהקוד שרשום מאחורה, אכן בודק האם הלקוח מחובר לאפליקציה של מאוחדת, אבל שליפת המידע לא מתבצעת בעזרת אותו פרמטר שמזהה את הלקוח, אלא בעזרת פרמטר של תעודת זהות. מעצמת סייבר כבר אמרנו?

אם הייתי צריך להסביר את זה בקוד, אז זה יהיה משהו כזה:

if (isAuthenticated()) then
idNumber = request.get("idNumber")
userDetails = getUserDetails(idNumber)
...
end

איפה אנחנו נופלים?

בעולם כבר מזמן למדו, שבמקום לקבור את הראש בחו״ל עדיף להודות בבעיה שקיימת ולנסות לשתף את כולם בכדי לפתור אותה. אז כן, לכולם יש בעיות אבטחה, גם לגדולות ביותר אבל הן כולן משתדלות לפתור את הבעיות הללו הן בעזרת עובדים מנוסים והן בעזרת תוכנית שנקראת bug bounty.

bug bounty היא תוכנית שנותנת לכל אחד את האפשרות לחפש בעיות אבטחה ופרטיות באפליקציות ואתרים שונים תמורת סכום מסוים של כסף כאשר הכל תלוי בחומרת הבעיה. ישנם אנשים שעושים 1000$ לבעיה וישנם אנשים שעושים קצת יותר.

החברות הרציניות בעולם עושות את זה, כמו פייסבוק, גוגל, אפל, מיקרוסופט ועוד.

אם אנחנו רוצים להיות מעצמת סייבר, כדאי שנתחיל ליישם פתרונות איכותיים למציאת בעיות חמורות כמו למשל אלו שהזכרתי למעלה. לפני שיהיה מאוחר מידי…

קראו היטב את מה שכתוב שם. הפרצה הזו, שהיא פירצה ותיקה שדיברתי עליה בכנס #reversim האחרון היתה יכולה לשמש כל תוקף להוריד את התשתית של מד״א. לא האתר. *התשתית*.
תחשבו שזה קורה באמצע מבצע צבאי או מלחמה.
אמרתי כבר בעבר, חמישה מומחי אבטחה יכולים להוריד את המדינה הזו על הברכיים. #סייבר https://t.co/66eITcuTxQ

— Ran Bar-Zik (@barzik) October 15, 2018

למזלנו, אנחנו משתפרים. מעבר להמלצת פרקליט המדינה לא להעמיד לדין האקרים שחושפים פרצות אבטחה – מערך הסייבר עובד סביב השעון.

יצרתי קשר עם מערך הסייבר בין חמישי-לשישי בשעה 12 בלילה, ותוך 24 דקות חזרו אליי שהנושא בטיפול. מבדיקה נוספת שעשיתי אתמול, נראה שהבעיה תוקנה ואפשר להיות רגועים עד לגילוי של הבעיה הבאה.

 בתקשורת

לאחר תיקון בעיית האבטחה, The Marker פרסמו כתבה שמיידעת את הציבור הרחב על הנושא.