Sunday, October 28, 2012

פרצות אבטחת מידע עקב חקיקה, לקראת בחירות

פרצות אבטחת מידע עקב חקיקה

הקדמה


באופן מסורתי מקובל להתייחס לפרצות אבטחת מידע ככאלו המתרחשות עקב כשלים בתוכנה בקוד או בשיטות
העבודה, לעתים דווקא חוקים האוסרים משהו חדש יגרמו לטריגר שיביא לשימוש בלתי חוקי בשיטה שלא הייתה
מוכרת עד כה.

במחקר שערכתי עולה שלעתים דווקא חקיקה אם בתצורה של חוק יחיד ואם בהתנגשות בין חוקים ,היא זו שתגרום
להיווצרות הכשל,ולכן בחינה של חוקים תקנות ותקנונים שונים תביא לעתים לאיתור פרצות אבטחה שיטתיות.
בתקציר זה בחרתי להדגים את המחקר על שיטת הבחירות במדינת ישראל.

אדגיש שאין בכך ביקורת על הממסד אלא רצון להפנות את תשומת הלב לכך שיש לבדוק מה המשמעות באספקט
הדיגיטלי של החוקים והתקנות בזמן בנייתם ,לפני הכנסתם לתוקף ולאחר החלתם לאור שינויים בלתי צפויים.
עיון בספר הבוחרים של מפלגות – לקראת בחירות מקדימות.

תקציר זה מביא בחשבון שכיום נמצאים ברחבי האינטרנט ואצל אנשים רבים מאגרי מידע אשר נגנבו ממשרד הפנים
ולפיהם ניתן לדעת פרטים רבים על אזרחים ובהם את מספרי תעודת הזהות שלהם.

הזנה של מספר תעודת זהות תביא לקבלת תשובה מי התפקד למפלגה מסוימת ומי לא (לרוב לצורך בדיקת זכאות
להצבעה בבחירות מקדימות).

עקב כך אנו נוכל בקלות לדעת מהי הדעה הפוליטית של בוחר ספציפי, ואם נבחר בכך נוכל להריץ את כל מאגר
תעודת הזהות שנגנב וכך לדעת מיהם כלל המתפקדים במפלגה.

בעוד שבעבר ספרי הבוחרים השונים של המתפקדים למפלגות היו מתפרסמים בעיקר באופן מודפס כיום ניתנת
למצביע היכולת לבדוק את זכאותו לבחור בבחירות המקדימות למפלגה ,או את מיקום הקלפי במפלגות לאחר הזנת
תעודת זהות.

כנראה שהדבר נובע מתיקון מס' 5 תשנ"ו 1996- לחוק המפלגות:

(ג) מפלגה תקיים רישום של חבריה, לרבות חברי המפלגה בסניפיה; הרישום יכלול את מספר הזהות של כל חבר
ויהווה ראיה לכאורה לחברות במפלגה ,חשוב להבין שלעתים החוסר בהנחיה כיצד לזהות בוחרים מביאה ללקונה
בחוק שהיא זו שגורמת להיווצרות בעיות אבטחת מידע,ומכשול שגורם לגופים ופרטים כמו מפלגות או עובדי מדינה
לעבור על תקנונים או חוקים אחרים,לא הוגדר שלא לזהות על פי תעודת זהות,כן הוגדר שהבחירות יהיו חשאיות.
לכאורה זיהוי באינטרנט על פי תעודת זהות מהווה ייעול של הליכי בדיקת זכאות לבחור בהתאם לחוק, ולכן כיום
המצב הוא שהמפלגות הנוהגות כך פועלות בצורה שהבוחר ידע שהבקשה שלו התקבלה והוא רשאי לבחור את
נבחריו במפלגה.

כפי שציינתי המחוקק לא הגדיר את הדרכים המדויקות לעיון בספרי הבוחרים, ולכן הדבר פותח פתח הפוגע כיום
בעיקרון החשאיות וגורם לשרשרת של עברות מסוגים שונים על כלל המעורבים.

הרשות למדע וטכנולוגיה במשרד המשפטים פרסמה הנחיה האוסרת לזהות אנשים על פי נתונים הנמצאים במאגר
אגרון ללא מזהה נוסף והנחתה שמי שייתן גישה למידע מרחוק באמצעים שבהם הזנת תעודת זהות בלבד רשם
המאגרים יראה אותו כמי שעבר על חוק הגנת הפרטיות,אי לכך המצב כיום הוא שהמפלגות עוברות לכאורה על
תקנות רמו”ט וחוק הגנת הפרטיות בעוד שהן מנסות לפעול על פי חוק המפלגות ולאפשר בירור זכות הצבעה..

בנוסף,מאחר שהמפלגות מציגות מצג של חשאיות נוצר מצב שאוכלוסיות רגישות כמו עובדי מדינה בכירים מתפקדות, וזאת
למרות שהמצב הוא שהחקיקה גורמת לכך שהמפלגות מציגות את ספר הבוחרים בצורה שהופכת אותו לגלוי (חיפוש
על פי תעודת זהות) ,ולכן אין חשאיות ובעצם אסור לאותן אוכלוסיות להתפקד על פי הנחיות המדינה או הצבא.

"חייל יוכל להצביע בבחירות מקדימות (פריימריז) בתנאי שתהיינה אלו בחירות חשאיות המונעות כל אפשרות לזהות
את השתייכותו הפוליטית של החייל.”

כיום המצב בשטח הוא שהמדינה חוקקה את חוק המפלגות שגרם למפלגות לפתח ממשקי אינטרנט שבהם מתבצע
זיהוי על פי תעודת הזהות של הבוחר, באופן שמתנגש עם חוק הגנת הפרטיות ותקנות חדשות של הרשות למדע
וטכנולוגיה המסדירות את המצב.

לסיטואציה מעניינת זו נכנסו גם הנחיות התקש"יר לגבי התפקדות עובדי מדינה בכירים ופקודות הצבא בנוגע להתפקדות
חיילים אשר משאירות את הדברים

לסיכום

במאמר זה מודגם כיצד חוקים תקנות וסיטואציות דינמיות (גנבת מאגרי מידע) גרמו לכך שאזרחים עוברים על חוקים
ותקנות מאחר שהם פועלים על פי חוקים אחרים, לעתים הדבר נובע מלקונה בחוק שמביאה להחרפת המצב.

כחוקר אבטחת מידע אני מודע למצב זה ולכן עיון בחוקים מביא אותי לאתר נקודות תורפה בעולם אבטחת המידע
אשר נוצרות עקב הלקונה שבחוקים ,הוואקום שנוצר או ההתנגשות בין החוקים הגורמת לכשלים בשיטות שלמות.

מצב זה מביא לכך שניתן ללא כל צורך במבדק חדירות להגיע למסקנה שיש אתר אינטרנט בעל פרצת אבטחה
הגורמת בו בזמן לבעליו לעבור על חוק אזרחי ופלילי,על המשתמשים באתר לעבור על חוקים אחרים (תקנות/פקודות)
ולי כחוקר אבטחת מידע לגלות עולם חדש של פרצות אבטחת מידע שאין מודעות מספקת אליהן,אשר עלולות לאפשר בעתיד לחוקר /האקר לתבוע את בעלי האתר על תביעת רשלנות יחד עם תביעת פיצויים ייצוגית ותלונה שמשמעותה פלילית.

ביבליוגרפיה:

כתבי אישום נגד מעורבים בפרשית אגרון
http://www.calcalist.co.il/internet/articles/0,7340,L-3556077,00.html

"שימוש במזהה חד חד ערכי לאיתור מאגרי מידע פרוצים" מאת אמיתי דן
http://www.digitalwhisper.co.il/files/Zines/0x1D/DW29-5-DBSearch.pdf

מתן מידע לגבי התפקדות של חיילים ועובדי מדינה על ידי בלוג של שלי יחימוביץ
http://www.shelly.org.il/node/5140

חוק המפלגות, התשנ"ב - 1992 (חוק בחירות מקדימות)
http://www.knesset.gov.il/elections16/heb/laws/party_law.htm#3

חוק בחירות לגופים ציבוריים, תשי"ד 1954-
http://www.justice.gov.il/NR/rdonlyres/0FA4E85F-F9D2-49D2-A35D-FE4295DA3C74/22581/ChokBchirotLegufimtziburiim.doc

פקודות צבאיות בנושא
http://www.aka.idf.il/rights/asp/info.asp?moduleId=2&catId=22703&docId=22724

הנחיות התקש"יר
http://www.civil-service.gov.il/NR/rdonlyres/06E12F9A-BD57-4238-86E1-1197C4B731AE/0/guide2008.pdf

הנחיות רמו"ט -פרשיית אגרון (מאגר משרד הפנים)
http://www.justice.gov.il/MOJHeb/ILITA/News/crackedcase.htm
http://www.justice.gov.il/NR/rdonlyres/58F10E28-D61B-4A96-B2E2-FC066421A908/18744/draft110.pdf


אתר מפלגת העבודה – בירור מצב התפקדות על פי תעודת זהות
http://www.havoda.org.il/Web/JoinUs/2014.aspx

אתר מפלגת קדימה – בירור מצב התפקדות על פי תעודת זהות
https://secure.kadima.org.il/mitpakdim2012


מנגנון בדיקת מצב התפקדות -מפלגת הליכוד-אתר בתפעול המטה הלאומי בליכוד (אתר לא רשמי המחובר למאגר נתונים)
https://www.code99.co.il

מנגנון בדיקת זכאות הצבעה באתר ההסתדרות
http://www.bhirot.histadrut.org.il/index.php?page_id=2130