הפאשלה של הדואר עושה שחור בעיניים

אנחנו נוטים לחשוב על פרצות באבטחת מידע כמשהו שדורש מומחי מחשבים כדי לחשוף אותן, אבל כל מה שצריך לדעת כדי לגלות את המידע הסמוי בדו"חות הדואר זה Copy&Paste

רן בר זיק - צרובה
רן בר-זיק
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
דואר ישראלצילום: עופר וקנין

בשנים האחרונות כולם אוהבים לדברי על סייבר, והצירוף אבטחת מידע נשמע כמעט ארכאי, אבל המצב בשטח לעתים כה מביך, עד שאני נתקל בפדיחות שאפילו בתי בת החמש לא היתה נופלת בהן. את הדוגמה האחרונה לכך סיפקה רשות הדואר עם שיטת הסתרת מידע שעשתה לי שחור בעיניים.

רשותיות ממשלתיות מחויבות לפרסם דו"חות כספיים, אבל חלק מהדו"חות האלו מסווג - למה? זה נושא לדיון אחר. אנחנו יותר בעניין של האיך. אם תהיתם, אפשר להשחיר את הטקסט על ידי שימוש בטכניקות מתקדמות כמו כלי ה-Highlight במעבדי תמלילים, רק דואגים שיהיה בצבע שחור.

באמת? כל ילד יעשה את הדבר הבא: פשוט יסמן את הטקסט עם העכבר ויראה את מה שרציתי לכתוב!

טוב, נראה כמו ניסיון הצנזורה הכי פאתטי ביקום, נכון? כלומר הוא עשוי לעבוד, אם המסמך מודפס. אם לא, זה כבר סיפור אחר. אם אתם לא רוצים לחשוף משהו, פשוט תחליפו את הטקסט ב-X או בריבוע שחור, בלי להשאיר שם את הטקסט. 

שימו לב למשל לדו"חות של רשות הדואר מהשנים האחרונות שפרסמה רשות החברות הממשלתיות. בעמוד 54 יש מידע סודי ורגיש עד מאוד שהדואר רצה לצנזר:

מידע מצונזר בדוחות הכספיים של הדואר
צילום: רן בר-זיק

קרן התחקירים, שייסד תומר אביטל, שאלה את רשות החברות הממשלתיות מדוע צונזרו חלקים של הדו"ח הזה. שאלה מצוינת, לא? הנה מה שהרשות אמרה:

"בהתאם לדין הקיים, החברות הממשלתיות אינן מחויבות בפרסום הדוחות הכספיים לציבור [] לחברות קיימת זכות להשמיט מידע בהתאם לחוק חופש המידע (סעיף 9) [] החברה השמיטה את המידע מסיבות מסחריות [] ככל שנדרשים נימוקים פרטניים, יש לפנות ישירות לחברה".

אך המזל הוא שלרשות קרן התחקירים עומדים מיטב ההאקרים - אנשים שמבינים מעולה במחשב, אנשים שיודעים לעשות copy&paste והצליחו לחלץ את המידע הגנוז - גם בלי קפוצ'ון או מסיכת גאי פוקס:

הקרן לתחקירים גם פרסמה הודעה עם המידע באופן יותר מסודר (הם טרחו לעצב קצת את הטקסט):

מה שהכי עצוב הוא, שזו לא פעם ראשונה. הגולש הידוע הלמו, שמתמחה בעשיית בושות למערכת החוק ולממשלה, כבר עלה על דברים כאלו בשנת 2015.

אני מודה מאוד לגיא זומר שהביא לתשומת לבי את 'הפריצה' הזו. ובבניין הסייבר ננוחם.

רן בר-זיק הוא מפתח בחברת OATH וכותב אתר internet israel.com

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ