$
חדשות טכנולוגיה

מחדל אבטחה ופרטיות בצה''ל: מתחזים יכולים להשיג אישורי פרט באתר האינטרנט של אכ''א

אתר שמכיל פרטים אישיים של חיילי צה"ל בהווה ובעבר חסר הגנה מספקת מפני ניסיונות התחברות מרובים ובכך עלול להיות נוח לתוקפים, כך טוען מומחה אבטחה. לדבריו, החולשה באתר מאפשרת מעקף אימות ובכך שאיבת נתונים הכוללים מידע אישי, רגיש אודות כלל האזרחים. צה"ל: "מנגנון ההזדהות הקיים מאפשר הגנת פרטיות ברמה גבוהה"

רפאל קאהאן 18:2103.06.20

מחדל אבטחת מידע חמור באחד מהאתרים הפופולריים של צה''ל בקרב חיילי סדיר, מילואים ומשוחררי מערכת הביטחון, כך עולה ממידע שהגיע לידי כלכליסט. האתר שהוקם לאחרונה על ידי אגף כוח אדם כולל מנגנון הזדהות שאמור לסנן את המשתמשים שזכאים להזמין אישורים על שמם. אישורים אלה נדרשים בכל מיני שלבים בחיים, החל באישור על תקופת שירות שנדרש לקבלת נקודות זיכוי לזכאי משרד השיכון וכלה באישורים שוטפים על קורסים, מצב אישי ואחרים.

 

 

 

מנגנון ההזדהות דורש שימוש בשני נתונים: מספר ת''ז של המבקש שמאומת מול מספר רשיון הנהיגה שבידיו. ואולם, למרות שעל פניו נראה שמדובר בנתונים שקשה מאוד להשיג במשולב, הם אינם מספקים הגנה מספקת כדי לסנן ולזהות באופן חד ערכי את המבקש, שמקבל לידיו נתונים אישיים. כך למשל על פי בדיקה שנערכה על ידי מומחה האבטחה אופיר מוסקוביץ', האתר אינו מספק הגנה מפני ניסיונות התחברות מרובים.

 

אתר נוח לפריצה? אתר נוח לפריצה? צילום: pixabay

 

מנגנון זה שמוטמע בכל אתר אינטרנט בעל יכולת הגנה סבירה מונע מהגולש לנסות להזין את נתוני ההתחברות יותר משלוש או 5 פעמים בדרך כלל. מדובר באמצעי חשוב שנועד למנוע שימוש של אפליקציות יצירת מספרים רנדומליים שבהן האקרים משתמשים. אלה מסוגלות להריץ סדרות של מספרים במהירות גבוהה ולייצר מה שמכונה בעגה המקצועית "מתקפת brute force". מתקפות אלה הפכו לנדירות ככל שאמצעי האבטחה באינטרנט השתכללו ומוזר שבארגון שבידיו כל כך הרבה מידע אישי, שלא לומר פרטי, העדיפו לוותר על שימוש בו.

 

לדברי מוסקוביץ, החולשה באתר מאפשרת "מעקף אימות וכתוצאה מכך - ניתן לבצע שאיבת נתונים הכוללים מידע אישי, רגיש ומשפטי אודות כלל אזרחי המדינה מצו ראשון ועד פרישה מצה"ל". עוד הוסיף שבאתר ישנם נתונים של כל מי שאי פעם שירת בצה''ל, כולל בכירים כגון פוליטיקאים, אנשי מערכת הביטחון בהווה ובעבר וכמובן אנשי עסקים, פעילים חברתיים, וכל מי שיש לו פרופיל ציבורי גבוה.

 

התוצאות של חשיפת פרטים אישיים במקרים מסוימים עשויים להועיל מאוד לתוקפים שמבקשים להרכיב פרופיל אישי מדויק. זה יכול להיות האקרים שמנסים לבצע הונאות או פריצות אונליין, בלשים פרטיים שמנסים להשיג מידע על נחקרים, פעילי BDS שמחפשים לפגוע באנשי מערכת הביטחון או אפילו ארגוני ביון המעוניינים במידע ללא סיכון מצידם.

 

יתרה מכך, בפברואר השנה נחשף על ידי חוקרי האבטחה רן לוקאר ונעם רותם בפודקסט שלהם "סייברסייבר", שאתר הטבות לחיילים אפליקציית 1824, הכיל ליקוי אבטחה דרכו ניתן היה להשיג פרטים של עשרות אלפי חיילים ומשוחררים טריים כגון: מספרי ת''ז, רשיון נהיגה ואחרים. מיותר לציין שגם ללא פרטים אלה אין בעיה כיום להשיג את מספר ת''ז של כל אדם בישראל כולל ראש הממשלה בזכות דליפת מאגר המידע "אגרון" שעדיין ניתן להשיג ברשת באתרים מפוקפקים בקלות יחסית.

 

אך זה לא הכל, מוסקוביץ מוסיף שישנן פרצות נוספות. "ליקויי פרטיות ואבטחת מידע נוספים באתר כוללים: שדות הזנת הפרטים האישיים בהתחברות חשופים, כתובת המען (דוא"ל) למשלוח האישורים נשמר במשך תקופה העולה על 30 יום ולא ניתן לאפס שדה זה, בקשות אישורים שבוטלו גם כן נשמרות מעל 30 יום". במקרה של כתובת המשלוח למשל, זה אומר שאם תוקף הזין כתובת מזויפת באתר, בעל הזהות האמיתית לא יוכל לשנותה לכתובת האמיתית, והכתובת המזויפת תמשיך להופיע כברירת המחדל למשלוח האישורים המבוקשים.

 

לפי הערכתו של מוסקוביץ, הנזקים שעלולים להיגרם כתוצאה מחשיפת המידע האישי, הרגיש והמשפטי באתר האישורים כוללים: גניבת זהות, פגיעה בפרטיות ומיפוי אסטרטגי של צה"ל (לדוגמה: למי יש קב"א 56, מי שהה בחו"ל ומתי, מי לוחם, מי נמצא בחופש, מי רשאי ללכת על אזרחי ועוד). חשוב לציין שאין כאן מידע מסווג והסכנה לביטחון המדינה אינה מיידית - אך יש כאן מידע שבהחלט יכול לפגוע בביטחון המדינה ואזרחיה בטווח הלא מיידי.

 

עם זאת בצבא מודעים למצב ולמרות זאת מעדיפים להעביר את הטיפול לזמן לא ידוע. מוסקוביץ פנה מספר רב של פעמים לצה''ל והתריע על הליקויים. על פי התכתבויות שהגיעו לידי כלכליסט, הוא פנה לראשונה באוגוסט 2019 לשלטונות הצבא ולאחר מכן אף למערך הסייבר. חשוב לציין שהאחרון אינו אחראי על נושא הסייבר בצבא וזה נתון באחריותו הבלעדית של צה''ל שלו מערך סייבר פנימי ועצמאי. בהמשך ניהל מוסקוביץ סדרה של התכתבויות שהאחרונה שבהן בוצעה באמצע מאי האחרון. בצבא אמנם ענו והסבירו שאף נשקל להוסיף פרט אימות נוסף דוגמת תאריך הנפקת ת''ז, אך מעבר לכך לא התייחסו למצב וסירבו להתחייב על תאריך לתיקון הפרצות.

 

ניכר שבצה''ל חושבים שלא מדובר בליקוי אבטחה שדורש טיפול מיידי.

 

 מצה''ל נמסר: "אתר אישורי הפרט משרת נתח אוכלוסייה רחב מאד ומאפשר להנפיק אישורים נדרשים מצה״ל, באופן מיטבי ומונגש. תהליך ההזדהות לאתר מכיל הזנת מספר תעודת זהות ומספר רישיון נהיגה. מספרי רישיונות הנהיגה עומדים בהגדרה של הגנת הפרטיות. נדגיש כי מנגנון ההזדהות הקיים מאפשר הגנת פרטיות ברמה גבוהה. קיימת יכולת להרחיב את המנגנון אף יותר והיא נדונה במסגרת תוכנית העבודה."

 

 

x