Wednesday, June 1, 2016

Projects and articles

Mini CV 
Project and articles - mixing of Hebrew and English
Feel free to contact me for a job,projects and challenges 

My art Blog :
(about art and lights hacking)
My personal website:
My Company website:

If you have an interesting job offer or request for service/consulting/product needs ,feel free to contact me.

מגזין Digital Whisper

הבנקאי הטלפוני- כבר לא כל כך בטוח...
-חדירה לחשבונות בנק דרך הטלפון-

כשלים בתהליכי הטמעת מוצרים טכנולוגיים

שימוש במזהה חד חד ערכי לאיתור מאגרי מידע פרוצים

מתקפות מבוססות The Text Warzone - SMS

זיהוי אנשים ומטופלים על פי מבנה כף יד ורנטגן

 התנגשויות בין חוקים, תקנות, פקודות ומידע אישי

תקיפת בתי חולים על ידי מטופלים

פרצות בשערים חשמליים

פרצת אבטחה באפליקציית פנגו - (שרותי חניה) מסע ממספר טלפון ללוחית זיהוי

פרצת אבטחה בחברת אורנג - From MSISDN user-agent of the phone

פרצת אבטחה בחברת אינטרנט רימון

מאמרים נוספים:

 פרצה חוקית מאפשרת לגלות ברשת מהי העמדה הפוליטית של הסובבים אתכם

Israel Defense Tech
סימון מטרות סלולריות

פעילות פרלמנטרית

הזכות לפרטיות בעידן הטכנולוגי - לציון יום זכויות האדם הבינלאומי
התרעה והמלצות בנושא גניבת זהות טלפונית וזיופי שיחות



Online Banking Security Magazine
 Security Bridge in DTMF

The Day When Fingerprints Has Rule Out From Being An Evidence

Geekcon 2012

  Team project
License Plate Generator

Walls of fame/awards

Security Researcher Acknowledgments for Microsoft Online Services

Eventbrite Security Wall Of Fame

Zendesk Contributors and acknowledgement list




Wednesday, November 12, 2014

The Israeli WikiLeaks - In the name of the Movement for Freedom of Information, your privacy will be lost

The Israeli Movement for Freedom of Information,exposed again private and sensitive data, of many private and public personal this included phone numbers and more sensitive data.

To be clear, I blame the minister offices,who gave them the files.
I blame the NGO - Movement for Freedom of Information who publish it - as is.
I blame as well any information security and legal advisory who didn't edit the private information in the files. 

The exposed took place during usual act of  sharing with the public, information which was hidden until now.

In the 2th of Nov. 2014 just couple of days ago,the NGO exposed data of up to 85 mental ill people,who were mention in a list,given them by the ministry of health.
Unlike the ministry health,who took responsibility,and apologized, the NGO answer the the issue was  (Calcalis) blaming only the ministry of health. they didn't said anything about the fact that's they published online information of people against the privacy of them.

"והיה גם המקרה המוזר של משרד הבריאות, שהעביר לנו רשימת ספקים שכללה בין השאר גם שמות של חוסים ופגועי נפש שהוא מעביר להם תשלומים. הסבנו את תשומת לבו של משרד הבריאות לעניין וביקשנו לקבל רשימה מעודכנת (המגנה גם על צינעת הפרט). משרד הבריאות טרם שלח רשימה מעודכנת."

Really ?


They said: "We asked the ministers to their appointment calendar for 2013. Despite the directive of the Attorney General determined that this information should be published - only 14 ministers from the 23 we gave them, and they partially. And these are the names of ministers who have not shared the public in their path: Gideon Sa'ar Yuval Steinitz and Israel Katz. Prime Minister Benjamin Netanyahu ignored our request" (Google translate from Hebrew)

Well,they did published many dairies which is good,but many information related to private people, phone numbers and much more has been published as well.

The NGO used to blame anyone who send him info,and said "we don't touch it" but saying that's you don't take any responsibility on information which is giving you by others, doesn’t put you with clear hand.

I really like what they do,but I'm sure everyone who want to publish information about elected officials,or government ministry ,should see if more people will be in the line of exposure.

I don't accept the answer of "We publish as is".

This story can't be understood ,without knowing that's now days,there is a very cool project in Israel which called "100 days of Transparency" founded by Tomer Avital.

This different project had a significant success,by getting crowd funding of 159,151 ILS from 1473 Backers,as well as making people in the parliament,looking around to see if there is a private investigator

Having this kind of activity,can be really good,as long as you don't harm the public,like the Movement for Freedom of Information, done at least in the story related the the mental ill people.

The story have a twist,since not only the government ministry have a responsibility,of sharing other people information with NGO,knowing it will be publish,we can realized that's there is lasting impact against privacy in Israel.

Last week we have heard about the story of the Dog centre apps, which have been published here in the first time,and made the Minister of agriculture
agreed with the problem of the apps, and even consider of taken it down..

Now,back to our story, I can see how the project "100 days of Transparency" can be change to "100 days of protecting the privacy"...

I really hope that's this project of Tomer Avital will be a great story,I really like it.
Moreover,I will do my best to help the Movement for Freedom of Information,but I can't accept the idea of publishing private information like they did,with blaming others on the miss editing.

As the government as the NGO,they both did mistakes. Unlike the NGO the ministry of health took responsibility,while they refuse to do it,end even insist to keep the same process in the future.
Since it's contain many pages, I'm adding them now for the public review.

This page will be update later with more info.
To remind you, the ministry of health,as well as the NGO did  a bigger mistake not so long ago.

In my opinion,the Movement for Freedom of Information should double check any data they publishing,as well as the people who giving it to them,which is mostly government officials.

Sharing data with the public should have more privacy related rules,and  guarding the privacy of the public, should be integrated into the motivation of sharing all we knows about the Elected officials.

 Update 15:52 13.11.2014:

Answers from the NGO

09:23 AM
אמיתי שלום רב,
ראשית חשוב להבהיר שהתנועה מפרסמת מידע כמו שהוא נמסר לה. ללא כל שינוי, הוספה או גריעה.
שיקול הדעת כיצד למסור את המידע מצוי בידו של מוסר המידע, במקרה זה משרדו של בנט, על כן ממליצה לך לפנות אליהם ולהביע הסתייגותך מהאופן בו בחרו למסור את המידע.
רחלי אדרי, עו"ד
התנועה לחופש המידע

10:56 AM
כפי שאתה הצלחת להשיג אותנו בטוחה שמי שמחפש גם כן ימצא. לא מסובך, אנו זמינים לרוב בטלפון במשרד ובמייל הזה וכפי שאתה רואה עונים לכל פונה.
לגבי משרד הבריאות, המידע לא התפרסם, אנו הסבנו לכך את תשומת לב משרד הבריאות, וביקשנו מהם שישלחו רשימה חדשה ללא שמותיהם של חוסים. טרם קיבלנו רשימה כזו ולכן מכל רשימות הספקים שקיבלנו הרשימה של משרד הבריאות חסרה, על אף שנמצאת ברשותנו.
גם פה, הטעות הייתה של משרד הבריאות וכמו שכתבתי אילולא תשומת הלב שלנו היה נגרם עוול גדול מאוד לעשרות חוסים.

הנהלים שאנו עובדים לפיהם הם הוראות חוק חופש המידע ותו לא.
כמו שכתבתי לך במייל הקודם כל טענה על המידע שנשלח עליך להפנות למי ששלח את המידע.
למיטב הבנתי, לשכת בנט עובדת על רשימה חדשה כשזו תשלח אנו כמובן נעדכן, בינתיים לא קיבלנו כל פניה רשמית ממשרדו של בנט להסיר את המידע. 


רחלי אדרי, עו"ד
התנועה לחופש המידע 
המסלול האקדמי המכללה למנהל
ת.ד. 25073 ראשון לציון, מיקוד - 7502501
טלפון: 03-9560146 | פקס: 03-9560359 |


I found a lead to this story in Besheva,and after publishing, I saw one place who had something related to the problem ,this in Rotter.
If you have any leads, feel free to contact me.


Friday, November 7, 2014

סיפור לשבת על חכמי חלם כלבים ועל הכנסת The Israeli Dog Center Data base & Tales of Chelm

 Tales of Chalem
By Amitay Dan

מוקדש לאלו שיודעים,שתקו או דיברו.. לחברים שעזרו,לתנועה לזכויות דיגיטליות ולכתבים שכתבו.

המאמר כולל הדרכה כיצד ניתן לאתר פרטים של אנשים בהצלבה,אתם יכולים לדלג לשם,אם  לא מעניין אותכם לקרוא קצת על עבודת הכנסת,על כתבים,ניגודי איטרסים ודברים צהובים אחרים.

מכירים את העיר חלם? רצוי לחקוק את הסיפור על חכמי חלם במדריך לעבודה הפרלמנטרית,נראה שלפעמים מעשה חלמאי אחד יוצר אגדה שלמה.
היו שם יהודים,זאת עיר אמיתית,האגדה אפשרית וכנראה מבוססת מציאות במידה זו או אחרת,גיליתי שיש גם מדליה,ככה שזה בדם שלנו.

כמו שאתם יודעים,לאחרונה סקרתי אפליקציה בשם "מאגר כלבים" ,האמת שדיברתי על היכולת הזו בעבר,כשהסברתי איך ניתן להשתמש בה כדי לפרוץ לשערים חשמליים,או לאתר לוחיות זיהוי של רכבים,על ידי פרצה באפליקצית פנגו.

לפני הכל,מסתבר שלמישהו אכפת עדיין מהפרטיות כפי שמשתקף בויראליות של הסיפור:

עיתונאים לרוב לא אוהבים לספר משהו שכבר נכתב עליו,אלא אם כן הנושא הפך ויראלי,וחדשותי - שיחת היום. השיחה הזו כבר בוצעה פעם אחת,על ידי Ynet כבר ב2007 ,אז דובר באתר האינטרנט. שימו לב שבשנת 2007 היו בישראל 250,000 כלבים ,בעוד שכיום על פי הצהרת משרד החקלאות ישנם 350,00 כלבים.

חשוב לזכור,שהמאגר כולל בתוכו פרטי בעלים של כלבים מתים או כאלו שאבדו,כך שמצד אחד גם הם נמצאים שם,ומצד שני לא ידוע לי כרגע כמה כלבים חיים קיימים בישראל.

נתון זה חשוב כדי להבין כמה בתי אב חשופים עקב מאגר המידע,שלפי טענות חוקר אבט.

תשובת משרד החלקאות ב2007: 

"המרכז הארצי לרישום כלבים הוקם על-מנת להסדיר את הפיקוח על כלבים במדינה וליצור מאגר נתונים אחד, כלל ארצי, הכולל בתוכו את פרטי כל הכלבים הרשומים בארץ. המאגר מאפשר לעקוב אחר הכלבים מבחינה בריאותית, אחר עיקורם וסירוסם, ולדעת אם הינם משתייכים לקבוצת הכלבים המסוכנים".

לדברי אנשי המשרד, "החוק להסדרת הפיקוח על כלבים מונה בבירור את הפרטים שצריכים להופיע במאגר, כדוגמת שם וכתובת. נושא הפרטים האישיים נידון בוועדת הכלכלה של הכנסת בעת אישור החוק. כל המשרדים הרלוונטיים וחברי הוועדה נתנו את דעתם בנושא, ולבסוף הוחלט כי האינטרס הציבורי ליצור מאגר מידע אמין ונגיש לציבור גובר על אינטרס צנעת הפרט".

"החוק להסדרת הפיקוח על כלבים מונה בבירור את הפרטים שצריכים להופיע במאגר, כדוגמת שם וכתובת. נושא הפרטים האישיים נידון בוועדת הכלכלה של הכנסת בעת אישור החוק. כל המשרדים הרלוונטיים וחברי הוועדה נתנו את דעתם בנושא, ולבסוף הוחלט כי האינטרס הציבורי ליצור מאגר מידע אמין ונגיש לציבור גובר על אינטרס צנעת הפרט"

תשובת משרד החקלאות ב2014:

 "המרכז הארצי לרישום כלבים במשרד החקלאות ופיתוח הכפר הוקם על מנת להסדיר את הפיקוח על כלבים במדינת ישראל וליצור מאגר נתונים אחד, כלל ארצי, הכולל בתוכו פרטים של כל הכלבים הרשומים בישראל. המאגר מאפשר לעקוב אחר הכלבים מבחינה בריאותית (חיסון כלבת), עיקורם / סירוסם והאם הינם משתייכים לקבוצת הכלבים המסוכנים. המטרה – פיקוח על הכלבים מתוך דאגה לבריאות בעלי החיים והציבור".

"החוק להסדרת הפיקוח על כלבים מונה בבירור את הפרטים שחייבים להופיע במאגר (שם, כתובת וכו'). נושא זה אף נידון בכנסת (בוועדת הכלכלה) בעת אישור החוק, ושם הוחלט כי האינטרס הציבורי ליצור מאגר מידע אמין ונגיש לציבור גובר על אינטרס צנעת הפרט".
"כל המשרדים הרלוונטיים (חקלאות, פנים ומשפטים) וחברי הוועדה נתנו דעתם בנושא ולבסוף הוחלט כאמור כי האינטרס הציבורי ליצור מאגר מידע אמין ונגיש לציבור גובר על אינטרס צנעת הפרט".
"הכנסת אף קבעה כי ניתן לפנות למרכז הרישום במשרד בבקשה להסתיר את מספר הטלפון שלך. אם אזרח מעוניין להסתיר את מספר הטלפון שלו הוא יוכל לעשות זאת דרך כפתור "כתוב לנו" באפליקציה החדשה או דרך פנייה במייל למאגר הכלבים".

אם מעניין אותכם כיצד דרדרת מתחילה,אתם מוזמנים לקרוא את הכתבה בYnet משנת 2007:

אביא ממנה קטעים מסויימים:


"הפגיעה בפרטיות עוררה סערה שהביאה להסתרת מספרי הזהות באתר. מזה כחודש מספק האתר מידע על שמו ועיר מגוריו של בעל הכלב, ומפנה לשירותים הווטרינריים של מועצה או רשות מקומית."


"השמירה על פרטיות בעלי הכלבים גררה מחאה של ווטרינרים, שטענו כי החסימה עלולה לפגוע בכלבים. לפני החסימה הם היו יכולים לאתר בקלות את בעליו של כלב משוטט, גם בשעות הלילה או בסופי השבוע. לאחר החסימה נמנעה יכולתם זו והם נאלצו להמתין עד לבוקר או ליום העבודה הבא כדי למצוא את בעל הכלב ולהודיע לו שכלבו אותר."

 חברי הכנסת

בתהליך האישור מחדש של התקנות בנושא הוחלט כאמור לאפשר גישה חופשית למידע - למעט מספרי תעודת הזהות - אך הוחלט גם להוסיף את מספרי הטלפון של הבעלים. חברי הוועדה, ח"כ משה כחלון, רונית תירוש ואבשלום וילן, אמרו שמדובר בדאגה לבריאות הציבור שגוברת במקרה זה על הזכות לפרטיות. השינויים היו אמורים להיכנס לתוקף בעוד מספר שבועות אולם כעת הוחלט כי מספרי הטלפון של בעלי הכלבים יישארו חסומים, משום שמשרד החקלאות אינו יכול לתת לציבור אפשרות לשמור בכל זאת על פרטיותו.

חבר הוועדה הכלכלה, ח"כ אבשלום וילן אינו מרוצה מההחלטה. לדבריו, העובדה שמרכז הרישום הארצי לכלבים אינו זמין בסופי השבוע היא שערורייה כדבריו. "אם מצאת כלב ביום חמישי בערב לא תוכל לאתר את בעליו עד יום ראשון. זה בלתי נתפס", הוא אמר ל-ynet. "זו מדינת חלם שרק דרך לשכות השרותים הווטרינריים ניתן יהיה להשיג את פרטי הבעלים, אך למעשה הן פתוחות רק בשעות העבודה ולא בשעות הערב. לשירותים הווטרינרים יש אינטרס שכל כלב ישהה אצלם יותר ימים במטרה לעשות עליו כסף, אבל בסופו של דבר הכלבים משלמים את המחיר ומורדמים, כי לא מוצאים את בעליהם ואין מאגר מסודר".

לדברי וילן, פרסום מספר הטלפון של בעלי הכלבים באתר יקצר את תהליך השבת הכלבים לבעליהם. "לא יתכן שלבעל הכלב לא יהיה לאן להתקשר כשהוא נמצא במצוקה והוא יתקל בבירוקרטיה", הוא אומר. "מי שלא רוצה לחשוף את מספרו, יצטרך להודיע זאת, אך משרד החקלאות טוען שמדובר בבעיה טכנית ואין להם כוח אדם לטפל בה. זו עבודה כמו בימי הביניים". וילן ציין כי במהלך השנה הקרובה יחוייב משרד החקלאות למצוא פתרונות אופרטיביים לבעיה.

ממשרד החקלאות נמסר בתגובה: "כפי שאישרה ועדת הכלכלה, האתר יפעל במתכונתו המקורית ולאחר שתפורסמנה התקנות ברשמות בעוד מספר שבועות, יפורסמו שמות וכתובות בעלי הכלבים באתר. בעזרת פרטי בעלי הכלבים המופיעים באתר מרכז הרישום הארצי, ניתן יהיה לאתר את מספרי הטלפון שלהם באמצעות שרותי המודיעין של בזק וחברות הסלולר".

לשאלה כיצד מתכוונים במשרד לטפל במצוקת בעלי הכלבים בסופי השבוע ובשעות הערב השיבו במשרד: "במידה ומגיעות בקשות למרכז מעבר לשעות הפעילות הרגילות, ישנה הפנייה באתר לטלפון סלולרי של אנשי המשרד למקרים דחופים".
אז אנחנו רואים שבעצם היו פה הרבה אינטרסים,אנשים שטענו שחלם זה מה שהיה,ויצרו חלם חדשה,חברי כנסת מוועדת הכלכלה, שממש לא ברור לא הם עוסקים בסוגיה של מאגר מידע שחושף אנשים הכוללים אישיות בטחוניות,אוכלוסיות בסיכון כמו עיוורים,ועוד.

נראה שטובת הכלב מוצגת כאן,אבל בעצם מדובר בטענה שניתן להפריך ולהגיד שהוטרינר לא רוצה שיפריעו לו לישון. לא ברור האם בשנים שעברו,משרד החקלאות עבר למתכונת מלאה. ולכן שוב משתמע שהווטרינרים המטפלים בכלב ביקשו לחסוך את הטלפון הלילי (אפשר להבין אותם).

  • לדעתי,צריך להקים מוקד מאויש ללא הפסקה,שיתן מענה לפניות הציבור.
  • יש צורך בהגנה פרואקטיבית על המאגר,מניסיונות שאיבה של הנתונים שבו (Scraping)
  • צריך להגן יותר טוב על אוכלוסיות חסרות ישע כמו עיוורים,שניצול המאגר לרגע יכול לשמש לפגיעה בהם,אנחנו חוטאים להם כחברה.
  • האתר הבא ניסה להתמודד עם הבעיה,, אבל יש להם טעות בהבנת הסיטואציה,כי לאחר נשיכה אנחנו נרצה לדעת מי הבעלים,ולא נוכל תמיד לגשת אליהם, לפעמים להם כלבים מסוכנים גדרות ומצלמות אבטחה וגישה קצת מאיימת). 
הידיעה על השלכות המאגר הישן

  1. (פורסם: 06.06.2007 12:10) Ynet
  2. (פורסם 06.11.2007 14:47) Ynet 
  3. (פורסם  
 הידיעה על האפליקציה
  1. (פורסם לפני: 06.11.2014 10:05) בלוג אבטחת המידע והטכנולוגיה של אמיתי דן                   וגם בקבוצות הפייסבוק: אבטחת מידע  DC9723

  2. (פורסם: 06.11.2014 13:04Ynet
  3. (פורסם: 06.11.2014 13:11) הארץ
  4. (פורסם: 06.11.2014 13:24) The Marker
  5. (פורסם: 06.11.2014 13:33) כלכליסט
  6. (פורסם: 06.11.2014 14:16) חדשות 2 - mako
  7. (פורסם: 00:48
  8. (פורסם: 07.11.2014 01:35) ישראל היום
  9. Geektime  

אם אתם רוצים לחפש אנשים חסויים,כאלו שלא נמצאים ב144,וכנראה גם לא ב441, זה מקום טוב להתחיל בו.

בהנחה שהתקדמתם וחיפשתם אדם וקבלתם כלב,או שיש לכם התקן RFID שבניתם,אתם תקבלו בין היתר את הפרטים הבאים:

השאלה היא מה לכל הרוחות עושים עם מספר טלפון? איך ממשיכים ממנו הלאה? ואיך מגיעים אליו?

יש כמה דרכים שכדאי לשים אליהן לב:

1. מסתבר שאפליקציית Whatsapp נותנת לכם יכולת לצפות בפרטי הבעלים של בעל המכשיר,לפעמים גם בשם שהוא נתן לעצמו (אם התכתבתם)

2.ניתן לדלות מידע בעזרת שיחה נכנסת ממספר שאיתרתם,תוך שינוי השיחה המזוהה והתקשרות למספר אחר שבו מותקנת אפליקציה שמאתרת מידע על מספרים נכנסים (כמו CallApp)

3.ניתן לפתוח שער חשמלי,תוך שימוש במזהה השיחה ושינוי שיחה מזוהה.

4.ניתן לחדור למרכזיות טלפוניות, שבהם ההזדהות הינה בעזרת שיחה מזוהה.