הצטרפות לדואר חשמלי | הסרת מנוי מדואר חשמלי | שלח מכתב | דף ראשי

 

 

 

 

 

כך מתקנת מדינת ישראל מחדלי אבטחת מידע

 

28/12/2009 | גיליון מספר 109 | משה הלוי halemo

 

מספרי הזהות של כל השופטים בישראל היו חשופים לכל באתר נט המשפט. מיטב המוחות הטכניים של המדינה נזעקו, מחקו, ישבו, הינדסו ותיקנו את המחדל הנורא. מספרי הזהות של שופטי ישראל הוצפנו בשיטה סודית ומתקדמת. על בייס 64 שמעתם?

 

 

בגיליון 107 בכתבה מספר 3 סיפרתי לכם שאתר בתי המשפט החדש, הנקרא "נט המשפט", איפשר לצפות במספרי תעודות הזהות של כל השופטים בישראל. בכניסה פשוטה לאתר האינטרנט ומעבר בין מספר דפים עד להגעה לבית המשפט המתאים ורשימת השופטים בו, ניתן היה לצפות במספר תעודת הזהות של השופט המבוקש, על ידי קליק ימני בעכבר ובחירה בשורה "הצג מקור".

 

הכתבה הקודמת:

אתר נט המשפט מדליף את מספרי הזהות של השופטים

http://halemo.net/edoar/0107/0003.html

 

 

הדפדפן פתח עורך טקסט (פנקס הרשימות או Notepad) ובו הוצג קוד בשפת HTML המרכיב את הדף באתר. בדף זה, במקום טוב באמצע, היתה קיימת רשימה של שופטים לאותו בית משפט נבחר, עם כתובות דואר אלקטרוני המכילות מספר זהות של השופט, סימן שטרודל ואת שם המתחם gov.il

 

כך לדוגמה:

123456789@gov.il

 

 

הידיעה על חשיפת מספרי תעודות הזהות של כל השופטים בישראל הגיע גם לאוזניהם של עובדי הנהלת בתי המשפט. אלא נזעקו, והחליטו לטפל במפגע האלקטרוני הזה שחושף את את מספרי הזהות של השופטים. אישית, אינני חושב שמדובר במחדל אבטחה, מאחר ומספרי הזהות של השופטים קיימים בפרסומים אחרים, כמו ב"רשומות", אך דעתי אינה נחשבת בקרב עובדי המדינה, שרואים בכך מחדל אבטחה חמור.

 

ככל הנראה, הקלות הרבה שבה מספרי הזהות של השופטים זמינה לכל זב חוטם שגולש באינטרנט ולא רק באתרים משפטיים, מדאיגה מאוד את האנשים הטכניים של שירות המדינה, ואלה החליטו לטפל בבעיה באופן מיידי, ולהוסיף רכיב אבטחה לעניין.

 

 

הטיפול

 

למשך כשבועיים ימים נמחקו הפונקציות באתר נט המשפט המאפשרות צפייה במספרי תעודות הזהות של השופטים. בשבועיים אלה, עמלו אנשי אבטחת המידע של הנהלת בתי המשפט, ככל הנראה מומחי אבטחת מידע חיצוניים ו/או אנשי ממשל זמין (תהיל"ה), לטפל בבעיה הקשה של מספרי הזהות החשופים.

 

והנה, הבעיה לשיטתה של הנהלת בתי המשפט, נפתרה. כעת ניתן לצפות בפונקציה "דיונים לשופט ליום דיונים". בחשיפת הדף המתאים, שם השופט יופיע, אך כעת בקוד המקור, יופיע ללא מספר תעודת הזהות שלו. כעת יופיע המידע בצורה מוצפנת.

 

השיטה שנמצאה לפתרון בעיה זו, יכולה אולי להצביע על צורת ההתמודדות של כל בעיות אבטחת המידע באתרי ממשל זמין ועל אופן ניטרולם של מחדלים אלקטרוניים בראשות הצוות המהולל של אנשי תהיל"ה ומחלקת CERT המורכבת מהאקרים קשיי יום, שחושקים כל כך להיות עובדי מדינה ולא עובדי כוח אדם.

 

כעת, כדי להכביד על קראקרים שמחפשים בנרות את רשימת מספרי הזהות של כל השופטים בישראל, מספר הזהות של השופט לא יופיע באופן גלוי, אלא באופן מוצפן.

 

כעת, לאחר תיקון הבעיה, כך נראה מספר תעודת הזהות המוצפנת של השופט המבוקש (אני בחרתי את אברהם רובין מבית המשפט השלום בירושלים, כי הוא הכי חמוד):

MDU4NjY3NDg2QEdPVi5JTA==

 

 

להאקרים וילדי הסקריפט מבין הקוראים, שמחפשים אתגרים בחיים, מומלץ לא להמשיך ולקרוא את השורות הבאות, אלא להתרכז בפיצוח ההצפנה החדשה מבית היוצר של מדינת ישראל.

 

 

 

"הצפנה"

 

מה בעצם עשתה מדינת ישראל? כיצד הצפינה את כתובת האימייל (הפיקטיביות) של השופט, שהכילה את מספר תעודת הזהות שלהם?

 

ובכן, לא מדובר כלל וכלל בהצפנה, אלא בקידוד ידוע ופשוט שנקרא base64. ההבדל העיקרי בין הצפנה לבין קידוד, הוא שבהצפנה יש מפתח סודי כלשהו, אחד או יותר, שנועד להצפין מידע גלוי ולהפוך אותו לסמוי, כך שרק צדדים בעלי מפתח סודי או מפתח שני פומבי, יוכלו לקרוא את המידע שהוצפן, ואילו האויב לא יוכל לגלות את המידע.

 

קידוד לעומת זאת, נועד להפוך טקסט מסוים לטקסט אחר, וזאת כדי לפתור בעיות מסוימות שעלולות לצוץ בשימוש בטקסט לא מקודד. למשל, הקידוד שבו בחרו להשתמש אנשי אבטחת המידע של הנהלת בתי המשפט, משמש בעיקר ליישומי דואר אלקטרוני. קידוד בייס 64 נועד לפתור את הבעיה שמערכות מחשב ישנות אינן מסוגלות לפעול בסביבה של תווים בגודל 8 סיביות אלא ב 7 סיביות בלבד. קידוד בייס 64 מאפשר להעביר בין מערכות מחשב שונות שאינן של אותו יצרן, מכתבים שכתובים בשפה העברית או בשפות זרות אחרות (עברית בתקן ASCII מחייבת שימוש בתווים 8 סיביות), יכולים לעבור בתקשורת מחשבים ב 7 סיביות בלבד, זאת באמצעות הקידוד הנ"ל.

 

הקידוד גם פותר את הבעיה של העברת והצגת טקסט מסויים שמכיל רווחים. הקידוד מאפשר "כיווץ" הטקסט והצגת כיווץ זה בצורה נראית לעין, באמצעות מערכת של 64 סימנים שונים בלבד. השם BASE64 מקורו באותם 64 סימנים בסיסים המשמשים לקידוד (לרוב, אותיות גדולות וקטנות באנגלית).

 

המפרט המלא של קידוד BASE64 נמצא במספר מפרטי אינטרנט (תקנים) פומביים. ראו מידע נוסף באנציקלופדיה החופשית ויקיפדיה

http://en.wikipedia.org/wiki/Base64

 

 

כעת, מה שנותר לאותו גולש הוא פשוט לחפש אתר אינטרנט שמאפשר לבצע קידודים (encoding) ובעיקר פענוחים (decoding) של הטקסטים "המוצפנים" באתר נט המשפט.

 

הנה דוגמה למפענח base64 אונליין באינטרנט

http://www.opinionatedgeek.com/dotnet/tools/Base64Decode

 

 

 

בדוגמה לעיל של השופט אברהם רובין, פענוח הטקסט

MDU4NjY3NDg2QEdPVi5JTA==

 

יביא לתוצאה הבאה:

058667486@GOV.IL

 

 

צורת חשיבה טכנית לקויה

 

אם חשבו הנהלת בתי המשפט ואנשי ממשל זמין שפתרו את הבעיה "הקשה" של הצגת מספרי תעודות הזהות של שופטי ישראל, מתברר כאן שאנשי אבטחת המידע של ממשל זמין חושבים שהאזרח הקטן הוא מטומטם ולא בקיא במפרטי האינטרנט הציבוריים.

 

אישית, נתקלתי בצורת חשיבה מעוותת זאת של אנשי ממשל זמין בעת מהלך המשפט האחרון שבו זוכיתי מאישומים של חדירה לחומר מחשב שלא כדין. כבר אז התברר לי שאנשי ממשל זמין, אנשי חברות אבטחת מידע חיצוניים המייעצים לממלכה, וחוקרי עבירות מחשב במשטרת ישראל, אוסרים בסתר ליבם על אזרחים לשנות את כתובות ה URL בדפדפן שלהם, חושבים שאתרי האינטרנט הממשלתיים אינם דפים מקודדים בשפת HTML אלא אפליקציות סגורות וחכמות, בטוחים ש"פרוקסי" זה שם של תוכנת פריצה, מאמינים שאת מפרטי האינטרנט כתבו במכון התקנים הישראלי, והנורא מכל - משוכנעים שהאזרח הקטן הוא אדם נורמטיבי, אדיוט ומטומטם בדיוק כמו הממונים עליהם.

 

 

 

צילומי מסך

 

 


 





רוצה את המספר הסודי שלי?


 


 

 




 
 
 

 






 

 

 

 

 

 






















תגובות הקוראים