טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

יש לכם שער שנפתח באמצעות סלולר? הוא פרוץ, וזו רק הקטנה בבעיות

מערכות רבות מסתמכות על מספר הטלפון שלכם כדי לזהות אתכם, הבעיה היא שכל כך קל לזייף את המספר, ובינתיים לא נראה שמישהו מנסה למצוא דרך למנוע זאת

תגובות

חוקרי אבטחה גילו ששערי הברזל הענקיים שנפתחים באמצעות שיחות סלולר ניתנים לפתיחה בקלות על ידי תוקפים כמעט ללא כל ידע טכני. אמיתי דן, אחד החוקרים שגילה את הדבר כבר ב-2011, מזהיר כי האפשרות לפתוח שערים מבוססי GSM Opener, מהסוג שמוצב בכניסות למושבים, קיבוצים ומפעלים ברחבי הארץ, כמו גם בכמה התנחלויות, היא רק דוגמה אחת לשורה ארוכה של סכנות הנובעות משימוש במספר הטלפון (Caller ID) כמזהה של משתמשים במערכות שונות. דן, שגילה את הבעיה כבר ב-2011, פנה למשרדי ממשלה שונים, אולם עד כה איש לא טיפל בנושא באופן מערכתי. השבוע הוא אף הציג את הנושא בוועדת המדע והטכנולוגיה של הכנסת בניסיון לקדם חקיקה שתקשה על התחזות בטלפון.

דבר הפרצה נחשף רק לאחרונה באתר Israel Defence, בעקבות הרצאתו של דן בכנס אבטחת המידע Defcon ובעקבות הרצאה של ד"ר אלעד ברקן, מתימטיקאי וקריפטוגרף מהטכניון, בכנס Geekcon. ברקן, שעשה את זה רק כשעשוע צדדי, הציג יישום שמקל את תקיפת השערים. דן הסביר להארץ כי אין מדובר בחברה מסוימת שמייצרת את השערים מבוססי המחשב, אלא בבעיה אינהרנטית לאופן שבו פועלת הטכנולוגיה.

השערים שנשלטים על ידי מחשב, שבו מותקן כרטיס SIM, נפתחים רק כאשר הם מקבלים שיחה מאחד מהגורמים המורשים לפתיחת השער - כלומר על ידי מה שנקרא רשימה לבנה של מספרי טלפונים. ואולם, כל אדם יכול בנקל להתקשר מהטלפון שלו ולהתחזות לאחד מהטלפונים המורשים ברשימה באמצעות אפליקציות שונות שאת חלקן אפשר להוריד בחינם מהרשת.

שער שנפתח באמצעות סלולר
ירון קמינסקי

אמנם כדי להצליח לפתוח את השער צריך גם לדעת גם מספר טלפון של אדם מורשה וגם את המספר את הטלפון של השער עצמו, אבל השגתם אינה מהווה בעיה ברוב המקרים. את המספרים של התושבים קל מאוד למצוא. דן סיפר למשל שגם מאגר בעלי הכלבים (בעלי השבבים) הוא מקור לא אכזב למספרי טלפון ושמות. בנוגע למספר של השער לעתים הוא פשוט קיים באתרים באינטרנט כמו פורומים או דפי פייסבוק של היישובים. ברקן סיפר שבחלק מהניסויים הוא פשוט שלח הודעות SMS לכל הטלפונים של התושבים שהוא מצא, ובכל המקרים מישהו שלח לו את המספר של השער.

תוקפים יותר מתוחכמים יכולים כמובן לפרוץ לטלפונים, או ליירט את התקשורת בין הטלפונים לבין אפליקציות ספרי טלפונים זמינות שאוספות מספרי טלפונים. ברוב המקרים, המספר של השער כבר יהיה שם.

ברקן אמר כי הבעיה פה היא יחסית ממוקדת והיא נובעת ממנגנון אימות חלש מאוד. "טלפון של יישוב - או כל דבר שיודעים אותו 200 אנשים זה לא סוד. לא צריך לסמוך על אמצעים אלקטרוניים לכניסה למקומות רגישים בלי שום אמצעי נוסף. חשוב להבין שהמנגנון הזה לא אמין - אפשר לעקוף אותו מאוד מאוד בקלות. אבל זה גם מאוד פתיר. כל מי שיש לו שער כזה צריך למצוא דרך לפתור את זה. אם זה מקום חשוב אני בכל מקרה לא הייתי מפקיר את זה בידיים של משהו אלקטרוני".

במקרה כזה צריך לדברי ברקן לכל הפחות להוסיף מנגנון אימות נוסף, כמו סיסמה או לבצע את הפתיחה של השער באמצעות אפליקציה, ולא רק באמצעות שיחה. למעשה בעקבות הרצאתו כבר פתחו יזמים חברה בשם Gate Cloud שמציעה פיתרון לנושא הזה.

אבל דן, שכאמור חקר את הנושא כבר זמן רב, ניסה לקדם פתרון ברמה הממלכתית ופנה למשרדי ממשלה שונים בניסיון לראות מי יכול לספק פיתרון, שם נראה כי העניין נופל בין הכסאות. במשרד לביטחון פנים אישרו כי מדובר בבעיה, אבל הסבירו כי אגף האבטחה של המשטרה הוא האחראי לנושא, וגם לשאלת הארץ אמרו במשרד שאגף האבטחה הוא האחראי לנושא. כמותם גם אמרו גם גופים אחרים כמו משרד המשפטים שאחראי על הרשות למדע וטכנולוגיה.

מכתב השר. אמיתי דן

אבל, דוברת אגף המבצעים, רפ"ק בלה גרינברג, הסבירה להארץ כי על פי חוק אגף האבטחה של המשטרה אחראי להנחיה של שורה של גופים, ובהם מעברי גבול, מתקני תשתיות, בנקים ומגרשי ספורט, והמשטרה אינה ממליצה על שימוש בשיטה כזו לאבטוח מקומות. "נדגיש כי מקומות שהכניסה אליהם מתבצעת ע"י חיוג טלפוני שפותח את השער אינה מאפיינת גופים המונחים אבטחתית ע"י המשטרה. במידה וידוע לך על גוף או יישוב כזה, נשמח אם תחזור אלינו בעניין", הוסיפו.

באחד הסרטונים המפרסמים שערים דומים באינטרנט מצויין כי השער עמד בכל התקנים הנדרשים, אבל מבדיקה במכון התקנים הם הסבירו כי התקן הישראלי עוסק רק "בבטיחות מכנית (שהשער יזהה מכשול ולא ירד למישהו על הראש) ובטיחות חשמלית (שלא יתחשמלו) אך לא עוסק באמצעים חכמים לפתיחה וסגירה של שערים". עם זאת, ראוי לציין כי דן פנה אל המכון כבר ב-2011 והמליץ להם להתייחס לנושא של ה-Caller ID.

דן רואה בקלות שבה אפשר להתחזות למספרי טלפון בעיה נרחבת בהרבה שדורשת טיפול ברמה החוקית. רק לאחרונה דווח במאקו על פרצה שהוא מצא באפליקציית החניה פנגו, ואפשרה להתחזות למשתמש. בהדגמה שהוא ביצע אז בעודי יושב בתחנת רכבת, הוא הראה לי לא רק כיצד הוא יכול להפעיל את החניה שלי, אלא גם לזהות היכן החניתי את המכונית שלי (שם העיר) ולבסוף גם חסך לי את הצורך להיכנס לאפליקציה והפסיק את את החניה בעצמו. בשיחה עמו ביום המחרת דן ביקש ציין לטובה את הטיפול של בפנגו בפרצה. הם מיהרו להתייחס לדיווח והיא נסגרה תוך כמה שעות.

אבל השערים ופנגו הם רק דוגמאות. גם בדיון בכנסת הוא הסביר כי השערים הם רק דוגמה אחת של בעיה נרחבת בהרבה שנובעת מהקלות שבה אפשר לזייף את זהות השיחה. שירותים רבים כמו מרכזי שירות טלפוניים משתמשים במספר הטלפון כאמצעי זיהוי, בין אם כזיהוי ראשוני ובין אם כזיהוי אוטומטי שמאפשר לך לבצע פעולות. לדבריו, לדבר יכולות להיות השלכות חוקיות וביטחוניות לא פשוטות.

והפעם לא מדובר רק באפליקציות פשוטות. "אנשים קונים שירות מחברות שמספקות תשתית שמאפשרות את השינויים האלה - בפועל אנשים מחייגים מספק אינטרנטי שהוא בבסיסו ממוקם בחו"ל. כשהשיחה עצמה מתבצעת ממדינה זרה וזה מגיע לשערים של ישראל ונכנס פנימה ומזוהה כשיחה מקומית למרות שזה מזוייף - ברגע שזה קורה אתה מבין שזה כמו שנכנסה תעודת זהות מזויפת".

בנקודה הזו כמה גורמים טכנולוגיים עמם שוחחתי לא מיהרו להסכים עם דן, בין היתר מפני שכך עובדת המערכת, והזיהוי והבלימה של מקור השיחה נראות כמו משימות בלתי אפשריות. אבל גם עו"ד ד"ר נמרוד קוזלובסקי, שותף בקרן JVP שעוסק בנקודות ההשקה בין טכנולוגיה למשפט כבר שנים רבות, רואה עין בעין עם דן. "זו בהחלט בעיה ניכרת הן ביטחונית והן משפטית. תופעת ה-Ip Spoofing (זיוף כתובת אינטרנט, שזיוף שיחות היא בעצם מקרה פרטי שלה) מובנית בתוך מערכות אינטרנט ותקשורת כחלק מהפרוטוקול ואין מנגנון לאימות כתובת אשר מוודא מהיכן המקור. הבעיה כמובן חמורה במקום בו מערכות מתבססות על Ip לצורך זיהוי אדם או מכונה, כמו בנושא פתיחת שערים, אבל גם במערכות שבהן חילוץ מידע אישי על אדם או הרשאות מבוססות על Ip של מכשיר בלבד".

"הבעיה קיימת כמובן גם בשדה המשפטי", אמר קוזלובסקי. "הוכחה של טענות לגבי מקור הודעה או נמען מתבססות על Ip ובקלות רבה ניתן לזייף מקור או נמען כאשר יש לכך השלכה משפטית ראייתית ניכרת. אמנם, על פי הדין, ניתן לתקוף את מהימנות הנתון של ה-Ip ולעורר ספק באשר למשקל הראייה, ואולם ככלל בתי המשפט נוטים להסתמך על מטא-דטה לרבות כתובת IP ובהיעדר הוכחה משמעותית לסתור לא יטו להפחית במשקל הראייה. בפועל, הנטל בדין עבר למי שמנסה לסתור את הראייה לגבי מהימנות נתון ה-IP והנטל הזה כבד למדי, כי לא די בהצבעה על האפשרות התיאורטית לזייף".

הבעיה היא שרוב עורכי הדין והשופטים כלל לא מודעים לאפשרות הזיוף, הוא הסביר. "במספר מקרים בהם הועלתה האפשרות התיאורטית כי מדובר בזיוף והוצג לבית המשפט המנגנון בו ניתן לבצע את הזיוף, לא הסתפק בית המשפט בהסבר הכללי וביקש אינדיקציה כי נעשה זיוף במקרה הספציפי... כמעט לא ניתן להצביע על מקרים שבהם בית המשפט קיבל את טענת הזיוף".

במשרד התקשורת למשל מסכימים כי היכולת לזיוף יוצרת בעיה ניכרת, שדורשת לדברי המשרד, טיפול במישור הפלילי. כך אמרו גם במשטרה שמסרה כי הנושא מוכר לה והסבירה כי הנושא לא מהווה בעיה כאשר מדובר בתוכנות חוקיות שמשמשות למטרות חוקיות. "במקרים בהם עולה חשד כי השימוש הנעשה בתוכנות מגיע לכדי עבירת זיוף או התחזות, החשד ייבחן ויטופל ככל מקרה אחר של חשד לעבירות אלה ולכל עבירה פלילית".

אבל דן הסביר לוועדת המדע והטכנולוגיה כי הטיפול וההתייחסות הפלילית לא מספקים. "אם מישהו בא עם דרכון מזויף לנתב"ג, נותנים לו להיכנס? אז למה שיאפשר לשיחות מזויפות?", אמר. הפיתרון לדבריו צריך להיות בשילוב של חקיקה ומניעה טכנית, בדיוק כמו שחלק מהשיחות שמגיעות מחו"ל לבזק מוצגות כמספר לא מזוהה. בתום הדיון שהתקיים ביום שלישי האחרון ביקש יו"ר הוועדה למדע וטכנולוגיה משה גפני תשובות ממשרד המשפטים והמשרד לביטחון פנים על הצד החוקי של הנושא.



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות