אפשר גם וגם

לפני מספר חודשים נחשפה פעילות ה”האקר הסעודי” והיקפה, אשר התבטאה בין השאר בגנבת פרטי אזרחים ישראלים לרבות מספרי כרטיסי אשראי שלהם ומספרי תעודות זהות, וכן פרטי חשבונות מייל ואינטרנט שונים שהם מחזיקים (שם משתמש וסיסמה). פעילות ההאקר הסעודי וחבורתו לא נפסקה וניתן לקרוא עליה ולהתעדכן בבלוג הבא.

אחד הכשלים שנחשפים מהפרשה נוגע לעובדה שפרטי מידע רגישים כגון מספרי כרטיסי אשראי ותעודות זהות, נשמרים על ידי אתרים רבים, ויש בכך פירצה הקוראת לגנב.

ביום ראשון האחרון הודיע משרד המשפטים כי הוא בכוונתו לאסור על אתרי אינטרנט לאסוף מספרי זהות של משתמשים ללא הצדקה ממשית. משמעות הדבר היא שאתרים יעברו להשתמש במספר לקוח שהם ייצרו לכל לקוח ולקוח. מספר הלקוח ישמש כמזהה חד ערכי לכל אחד מלקוחות האתר באופן שיאפשר להבדיל בין לקוחות הנושאים, לדוגמה, את אותו שם, וכך משה כהן מתל אביב הנושא מספר לקוח X יזוהה כלקוח שונה ממשה כהן מתל אביב הנושא מספר לקוח Y.

יש לתת את הדעת לכך שאופרטיבית אין דרך טובה יותר ממספר תעודת הזהות לזהות משתמש או לקוח. מספר הזהות מלווה כל אזרח בכל מקום ובכל חנות או אתר, בעוד שלפי השינוי המוצע, כל אדם יצטרך להחזיק במספר רב של “מספרי לקוח”, לכל אתר ואתר. לעומת זאת אם היו כל אתרי ה e-commerse מתאגדים ומנפיקים מספר לקוח אחיד, אזי הבעיה של מספרי הזהות הייתה צצה מחדש שכן האקרים היו מתלבשים על מספר הלקוח הגלובאלי בהיותו מספר בעל ערך ומשמעות כמעט זהה לזו של מספר הזהות…

הפתרון המוצע

ניתן לפתור את הבעיה בדרך הבאה. באמצעות מנגנון של Hashing באמצעות הצפנה בכיוון אחד (One Way Function ), שבאמצעותו בצד של משתמש הקצה, מספר הזהות ימשיך להיות אמצעי הזיהוי באתרים, אולם בצד של האתר, ויותר חשוב, בדטה בייס שלו, יישמר נתון אחר שהוא תולדה של פונקציית הHashing .

המייחד תהליכים אלה, בהם הופך נתון אחד לנתון אחר באמצעות פונקציות ההמרה האלה הוא שמדובר בתהליך חד כיווני. לא ניתן באמצעים סבירים ונגישים להמיר בחזרה את הנתון שיתקבל ממספר הזהות וישמר בדטה בייס, חזרה למספר הזהות, ומכאן שמספר הזהות יוגן, לא יוחזק בשום מקום, ועם זאת, ישמש במזהה חד ערכי.

בשבועות האחרונים פרסם האקר המוכר בשם עומאר (“ההאקר הסעודי”) פרטים אישיים של גולשים ישראלים, שנגנבו בפריצות לאתרי אינטרנט מקומיים. אלו כללו שמות, כתובות מייל, מספרי כרטיסי אשראי ובפרט מספרי תעודות זהות. כמו כן נערכו בתקופה האחרונה דיונים בוועדת המדע והטכנולוגיה של הכנסת, לאור תלונות שהתקבלו על איסוף גורף של מספרי תעודות זהות מצד עסקים שונים.

כיצד יתבצע זיהוי של לקוח חוזר

כאשר לקוח יקליד את מספר הזהות שלו, מספר הזהות יומר לHash  שלו. המערכת תחפש נתון זה בדטה בייס ובמידה ונתון זה נמצא, יזוהה הלקוח כלקוח חוזר וניתן יהיה לשלוף את נתוניו שנשמרו (ואשר כמובן לא יכללו מספר זהות).

האם הHash לא יהפוך למזהה הייחודי החדש?

לא. משום שניתן להפיק מזהים אלה בדרכים רבות ותוך שקלול פרמטרים רבים. כל עוד משתמשים באלגוריתם ופרמרטים זהים בכל פעם שמקלידים מספר זהות באתר מסוים, השיטה תעבוד. פרמטרים ייחודיים יכולים להיות שם האתר, כתובתו, וכל פרט נוסף שניתן לבקש מהלקוח כאמצעי אבטחת מידע. לדוגמה: 4 ספרות אחרונות של כרטיס האשראי. או פרמטרים ייחודיים לאתר עצמו (למשל תאריך פרסום הפוסט הראשון באתר, קרי: משהו שרירותי ועם זאת קבוע), כך גם שליפת Hash מדטה בייס אחד לא תועיל במאום מול דטה בייס אחר, וללא ידיעת האלגוריתם והפרמטרים שנלקחים בחשבון.

ומה קורה למספר תעודת הזהות בכל התהליך

מספר תעודת הזהות משמש ככרטיס הכניסה, אולם משול הדבר לאדם שמציג תעודת זהות בכניסה לבניין, ולאחר שהוא מזוהה, תעודת הזהות מוחזרת לו ופרטיה אינם נשמרים. כך גם בתהליך זה. מספר הזהות נדרש לצורך האימות / רישום אולם הוא נזרק ולא נשמר.

Advertisements

למה אני נגד מתקפת התגובה של ההאקרים הישראלים נגד אזרחים

בימים האחרונים אנו שומעים על האקרים ישראלים או פרו ישראלים שתוקפים חזרה מטרות כגון אזרחים סעודים, אתרי אינטרנט ערביים, או מפרסמים פרטי חשבונות וכרטיסי אשראי של סעודים או ערבים. אני מצידי, פעלתי בתחילת הפרשה וסגרתי להאקר את החשבון.

בחלק מהמתקפות, צורף גם מסר בנוסח: “תראו איך אתם עכשיו אוכלים אותה בגלל האח שלכם 0xOmar…”.

בשמיעה (או קריאה) ראשונה, זה עושה הרגשה טובה ותחושה שהנה, אנחנו משיבים מלחמה לנבלות האלה ושפעם הבאה לא יתעסקו איתנו. גם אני חייכתי מתחת לשפם (שאין לי) כששמעתי על כך… ועם זאת, אני סבור שזו טעות לפעול בדרך הזו ושזה לא יוביל לשום מקום.

ברמה החוקית, למי שלא יודע, ביצוע עבירת מחשב בישראל כנגד אדם או יעד במדינה אחרת, כולל מדינה ערבית, הנו עבירה על החוק הישראלי. שנית, רוב הקורבנות (אם לא כל הקורבנות) של מתקפות מסוג זה אינם אשמים ואינם תומכים באותה קבוצת האקרים.

אם מישהו מאותם האקרים ישראלים איתר נקודתית חבר בקבוצת ההאקרים ויכול לגרום למחשב האישי שלו להעלות עשן ושכל תכולת הדיסק שלו תימחק, אז בבקשה, ועל אותו משקל, שאפו למי שהפיל את האתר של 0xOmar, אבל ככל שמדובר בטרור נגד חפים מפשע, הרי שלתפיסתי, טרור נגד אזרחים (סעודים) אינו תגובה הולמת או ראויה לטרור נגד אזרחים (ישראלים). לא זו הדרך.

הדבר משול להפגזת מטרות אזרחיות ואזרחים חפים מפשע, בתגובה לפיגוע חבלני בישראל. יש אנשים שתומכים בסוג תגובה כזה. אני לא נמנה עליהם. במידה לא מועטה, תגובה כזו רק מחלישה אותנו ולא מחזקת. היא מטשטשת ומסיטה את הפוקוס מעוצמת מעשיו המזעזעים של 0xOmar וקבוצת ההאקרים, וכך הופכת את השבת המלחמה הצודקת שעלינו לנהל נגדם לסוג של  “קרב כנופיות רחוב” בה זה תוקף את זה וזה תוקף חזרה.

ישנם אלה שמצדיקים פעולה מסוג זה כל עוד מדובר באזרחים של מדינת אויב אולם אני סבור שלא זה הקריטריון. מה פשע אזרח סעודי שפרטי כרטיס האשראי שלו נגנבו ופורסמו וכלל אין לו קשר להאקינג, ואולי בכלל אינו מבין במחשבים?

חבר ששאלתי אותו על כך ענה שהלב נמצא עם מי שתוקף בחזרה, ומעלה בכך במעט את המורל הלאומי (אם כי בדרך ילדותית משהו, ותוך כדי “ירידה לרמתם”) ועם זאת, חוק הוא חוק גם אם אינו חכם (שכן מדובר כאן במדינות אויב). טוב, אני מאלה שחלמו (ותמיד יחלמו) על היום שבו ישרור שלום באיזורינו ואפשר יהיה לקחת את האוטו לנסיעה לאירופה דרך טורקיה…

התגובה למתקפת קבוצת ההאקרים צריכה להיות ממוקדת, זאת לצד השקעה בהקשחת ההגנה, כמו למשל קביעת דרישות סף לאתרי אינטרנט השומרים פרטים אישיים, וגם אלה שקולטים פרטים אישיים גם אם אינם שומרים פרטים אלה (למשל אתרים שמאפשרים תשלום בכרטיס אשראי דרך צד שלישי כגון Pay Pal).

לקריאה נוספת: איך הזהרתי מהפריצות לאלעל ולבורסה וגם מעללי ההאקר הסעודי.