גבר הולך לעיבוד

מדיניות הדלת הגלויה

אם יש משהו שמביא לי את הקריזה באבטחת מידע (בעצם לא רק) זו עצלנות/רשלנות. שתי דוגמאות, מתחום פיתוח האתרים.

חברת הציוד המשרדי "קרביץ", שוקדת בימים אלה על הקמת אתר אינטרנט משלה.
כל הניגש לכתובת www.kravitz.co.il רואה את המסר הבא:

עד כאן צפוי ורצוי. אולם, לא תמתינו יותר ממספר שניות ותועברו אוטומטית לדף הבא:

וכמובן שבדף הכתובת של הדפדפן מופיע הקישור המלא לטופס ההזדהות לכניסה למערכת הניהול, קישור שמרבית הסיכויים שיישאר זהה גם לאחר עליית האתר לאוויר באופן רשמי.
כל מה שצריך בכדי שתוקפים ינסו לפרוץ למערכת על ידי ניחוש סיסמאות (Brute Force). כדאי לקוות גם שהסיסמאות הן לא פשוטות או מוכרות מדי.

ונעבור לדוגמא השנייה:
במהלך גלישה באתר של אחד מלקוחות חברת iDune מנתניה, אשר פיתחה פלטפורמה ליצירת אתרי אינטרנט ותחזוקתם, ביצעתי הקלקה של המקש הימני של העכבר באחד מהדפים באתר. מייד, במקביל לפתיחת תפריט ההקשר של הדפדפן, נפתח סרגל כתום, בתחתית הדף, המציג מצד שמאל את לוגו החברה, ומצד ימין כפתור עם אייקון של פנים:

מסקרן, נכון? לחצתי:

ובכדי להסביר באילו אתרים נוספים המערכת מותקנת, יש גם רשימת לקוחות של החברה. המערכת כנראה מאפשרת למנהליה לבטל סרגל כלים זה (או להגביל את הפעלתו לכתובות IP ממקור ספציפי), כי בחלק מאתרי הלקוחות אפשרות זו אכן אינה פעילה. באתר של iDune עצמה האפשרות פעילה (היא כנראה פעילה כברירת מחדל), אולי בכדי להדגים את קלות ניהול המערכת. אגב, הסרגל פעיל מכל דף ברחבי כל אתר המנוהל על ידי המערכת.

במאי השנה יצרתי קשר דואל עם החברה ובו ביקשתי לדבר איתם טלפונית לגבי בעיית אבטחת מידע ומסרתי את מספר הנייד שלי. לאחר מייל חשדני מצד המנכ"ל, הבהרתי לו שאני רוצה להסב את תשומת ליבם למשהו, ואני עושה את זה מתוך רצון טוב וללא בקשה לתמורה כלשהיא. לבסוף יצר איתי קשר טלפוני אדם מהחברה, כנראה אחד ממנהלי החברה, אינני זוכר את שמו, והסברתי לו את הנושא. הוא אמר שהם לא רואים בכך בעיית אבטחת מידע, ובזאת נסתיימה השיחה.

ברור לי שלא כל האתרים דורשים הגנות מתקדמות ויש צורך להקל על האנשים המקימים ומתחזקים את האתרים, כי לא תמיד הם בעלי ידע מספיק במחשוב. אבל המינימום הוא לא להציג את "דלת הכניסה" לאתר בדרכים כל כך אוטומטיות או על ידי שימוש סביר בדפדפן.

האם בוש תכנן להפציץ את מטה אל-ג'זירה?

ב-22/11/2005 פרסם העיתון Daily Mirror הבריטי כי נודע לו אודות מזכר סודי שמקורו במשרד ראש הממשלה הבריטי, טוני בלייר, ובמזכר זה רשומים דברים שנאמרו בפגישה משותפת שלו עם נשיא ארה"ב, גו'רג' בוש, אשר נערכה בבית הלבן, ב-16 לאפריל 2004.

על פי המזכר הביע מר בוש את רצונו להפציץ את המשרדים הראשיים של רשת הטלוויזיה הערבית העצמאית "אל ג'זירה", אשר כתביה דיווחו מרחבי עירק והמפרץ הפרסי בזמן המלחמה, ועקפו את מנגנוני הצנזורה וה"שיווק המלחמתי" של בעלות הברית.
משרדים אלו שוכנים בקטאר, אשר הייתה לצד בעלות הברית, ומשמעות מעשה כזה תהיה פגיעה בריבונותה של בעלת ברית.
יוזמה זו נעצרה בתקיפות על ידי מר בלייר, שטען כי הדבר יגרום להעצמת ההתנגדות למלחמה.

אחד מהמקורות החסויים בידיעה טוען כי הדברים נאמרו על ידי מר בוש ברצינות ולא על דרך ההלצה.

משרדי אל-ג'זירה באפגניסטן הופצצו על ידי ארה"ב בשנת 2001, ובעירק בשנת 2003. בשני המקרים הכריזו האמריקאים כי מדובר בטעות. המזכר הנ"ל מעמיד טענות אלו בספק.

על פי הידיעה המסמך הופיע לראשונה במאי 2004, במשרד הבחירות של טוני קלארק
(Tony Clarke), חבר פרלמנט מטעם מפלגת הלייבור.
קצין תקשורת בקבינט הבריטי, דיוויד קוג (David Keogh), מואשם על ידי השלטונות הבריטים כי הפר את ה-Official Secrets Act הבריטי בכך שהעביר את המזכר לידי ליאו א'וקונר (Leo O'Connor) אשר עבד עם מר קלארק וערך עבורו מחקרים.
קלארק החזיר את המזכר למשרד ראש הממשלה.

משרד ראש הממשלה הבריטי סירב להגיב על הידיעה.
דובר הבית הלבן הגיב "We are not interested in dignifying something so outlandish and inconceivable with a response" ("אנו לא מעוניינים לכבד משהו כל כך חריג ובלתי מתקבל על הדעת בתגובה").
(אגב הכחשות של ארה"ב – ארה"ב הכחישה במשך זמן רב שהשתמשה בפצצות זרחן בקרבות שנערכו בעיר פלוג'ה אשר בעירק. רק לפני פחות מחודש ניתן אישור רשמי מטעם הפנטגון כי אכן נעשה שימוש בפצצות אלו בקרבות המדוברים)

יום למחרת, ב-23/11/2005, מיהרו משפטנים מטעם הממשלה הבריטית להזהיר את עורכי העיתונים בממלכה כי הם יעברו על החוק הנזכר לעיל באם יפרסמו תכנים מתוך המזכר המודלף.

לאחר יומיים, ב-25/11/2005, הגיע ללונדון בדחיפות מנכ"ל אל-ג'זירה, וואדה קאנפר
(Waddah Khanfar), בדרישה לקבל הסברים מגורמים בריטיים רשמיים אודות הידיעה שפורסמה.

הממשל הבריטי פעל מהר, וב-30/11/2005 זומנו א'וקונר וקוג לבית המשפט והואשמו בהפרת
ה-Official Secrets Act.
קוג הואשם במסירת המזכר ולא הגיב להאשמות אלא רק מסר את פרטיו, ואילו א'וקונור הואשם בקבלת המזכר והגיב "לא אשם".
השניים שוחררו בערבות בתנאים מגבילים האוסרים עליהם להיפגש או ליצור קשר זה עם זה, וכמו כן נאסר עליהם לעזוב את בריטניה.
המשך משפטם יתקיים ב-10 לינואר 2006.

בנוסף, נכתב כי בלייר נשאל ישירות על ידי חבר פרלמנט איזה מידע קיבל לגבי פעולה שהממשל האמריקאי תכנן כנגד אל-ג'זירה. תשובתו של בלייר הייתה "None".

אם בתחילה, בגלל שהעיתון נחשב טבלואיד, כלומר עיתונות צהובה, לאדם הסביר יהיה ספק חזק לגבי אמינות הידיעה הראשונית – הרי שתגובת השלטון הבריטי, אזהרה מפורשת לעורכי עיתונים והגשת אישומים כנגד המעורבים הראשיים בפרשה – בהחלט מעידה כי לא מדובר בהמצאה מוחלטת. בכל מקרה, כדאי לשמור על ספקנות, עד שהתכנים יתבהרו, אם בכלל.

מהצד האישי, נראה כי יש לפרשה זו דמיון מסוים לפרשת הפרקליטה ליאורה גלאט-ברקוביץ' אשר הדליפה תכנים מהחקירה של פרקליטות המדינה כנגד ראש הממשלה, אריאל שרון, בחשד לקבלת הלוואה מהמיליונר הדרום-אפריקאי סיריל קרן – עובדי דרג ביניים אשר נחשפו במסגרת עבודתם למידע והתנהלות שהיו כה חמורים לדעתם עד שגרמו להם להדליף את המידע מחוץ למערכת.

לגבי אל-ג'זירה, במידה והידיעה אמיתית, אם ננסה להסתכל על הצד החיובי, הרי שהרצון של נשיא המדינה הדמוקרטית החזקה בעולם להשמיד אותה, ארגון עיתונאי, מהווה תעודת כבוד עיתונאית מהדרגה הגבוהה ביותר, שהרי היא עשתה עבודתה נאמנה וחשפה מציאות שהממשל האמריקאי רצה להסתיר מהעולם כי לא התאימה לדעותיו ומטרותיו.
מי היה מאמין שדווקא רשת טלוויזיה ערבית תבצע עבודה עיתונאית כה טובה, עצמאית ודעתנית, בסביבה עוינת ובלתי-דמוקרטית ברובה?

אם בלייר עוד יוצא אחראי מהפרשה הזו, הרי שבוש ממשיך להצטייר כאדם בלתי-אחראי במקרה הטוב, וכחסר כל רסן במקרה היותר סביר.

אתר "מרכז רבין" מציע לכם משכנתאות, נדל"ן ומניות

טלי ביקשה שאסייע לה למצוא תכנים בנושא מנהיגות, במסגרת תפקידה כרכזת האחראית על מועצת תלמידים, ותוך כדי החיפוש מצאתי את האתר rabin.org .

האתר מוזכר במקומות רבים ברשת, כמקור למידע והנצחה אודות יצחק רבין, כך שכנראה מדובר בשם דומיין אחד מני רבים לאתר של "מרכז רבין" (בהמשך).
דף המטמון (Cache) של האתר, בגוגל, מרמז במבנהו וצבעיו כי אכן בדומיין זה ניתן למצוא באופן רגיל את האתר הרשמי, מה גם שהתאריך של דף זה הוא מה-7 לאוקטובר 2005 (כלומר, מאתמול).

על פי אתר dnsstuff.com (אתר מעולה למציאת מי עומד מאחורי כתובת IP או שם דומיין ועוד טריקים חביבים), הדומיין rabin.org שייך ל"The Association for Yitzhak Rabin Center for Israeli Research", בעלת הדומיין rabin-center.org.il שאין לו אתר פעיל כרגע. איש הקשר שרשום בעבור דומיין זה הוא ראובן וימר, כנראה הפרסומאי.

מדובר בעמותה אשר עומדת מאחורי "מרכז רבין", בעלת הדומיין http://www.rabincenter.org.il אשר דווקא פעיל ומציג אתר מושקע אודות יצחק רבין.
בעלי הדומיין הם The Yitzhak Rabin Center For Israel Studies.
מר וימר הוא אחד מחברי הנהלת העמותה.

איתור כתובת ה-IP המשויכת כעת לשם הדומיין rabin.org הובילה לכתובת ‏216.152.252.55, אשר באמת מציגה אתר בעל מראה דומה לזה המתקבל מגלישה כעת לאתר rabin.org.
איתור המיקום הנוכחי של האתר ברשת (TraceRoute) העלה כי הוא משויך (על ידי כתובת ה-IP הנ"ל) לאתר בשם unknown.xeex.net אשר שייך לחברה בשם Thought Convergence, אשר פעילה בשני תחומים: מנוע חיפוש משולב, והתחום הרלוונטי למקרה שלנו: הגדלת הכנסות באמצעות הקלקות על תוצאות חיפוש, אשר מוצגות בדפי Parking (הצבת דף יחיד ופעיל בכתובת הדומיין, עד להקמת אתר מלא, בכדי למנוע שימוש בלתי-מורשה בשם הדומיין).

אני משער שלא מדובר בשירות Parking שהוזמן על ידי העמותה – כי קשה לי להאמין שחברי העמותה הסכימו באופן מודע שכך ייראה דף הבית של דומיין זה, ללא דף מתאים או הפניה לאתר הרשמי של "מרכז רבין"; וגם בשל דף המטמון של גוגל, כנזכר לעיל.

ההשערה שלי היא שהתרחשה כאן חטיפת דומיין (רק כתובת ה-IP לצורך הפנית הגולשים, ולא הבעלות על השם) על ידי סוחרי אינטרנט זריזים, כנראה על ידי DNS Poisoning (הסבר על ההתקפה ודרכים למניעתה).

זהו. אני הולך לשלוח דואל לעמותה, שיטפלו בזה.
לילה טוב לכם.

(עדכון, 16/11/05 – רק לפני מספר ימים, בסמוך לציון עשר שנים להירצחו של יצחק רבין ועם פתיחתו הרשמית של של משכן "מרכז יצחק רבין לחקר ישראל" – הקישור אינו מוביל לדף הנזכר לעיל. המצב כעת הוא שפשוט אין כרגע כתובת IP כלשהיא המשויכת לשם הדומיין הזה ולכן הקישור מוביל להודעת שגיאה שהשרת לא נמצא.)

(עדכון, 28/3/2006 – הבעלות על האתר יצאה מידי "The Association for Yitzhak Rabin Center for Israeli Research" ואינה שייכת לו עוד. סוף הסיפור)