יום רביעי, 23 בדצמבר 2015

מדינת ישראל נגד ניר עזרא - השלכות פסיקת בית המשפט העליון על פעילות מנועי חיפוש חוקרים ורובוטים אגרסיביים רע"פ 8617/14 רע"פ 8464/14

רובוט חיפוש עבריין מחשב
מאת אמיתי דן popshark1@


כל מידע "הנכנס" למחשב – בין שנוצר על-ידי מחשב אחר ובין שנוצר כתוצאה מפעילות המשתמש במחשב מקים את הדרישה ההתנהגותית בעבירה

במהלך יום שלישי האחרון (‏ג' בטבת התשע"ו (‏15.12.2015), בית המשפט העליון עסק באופן תקדימי בערעור משפטי בנושא חדירה לחומר מחשב, מטרת מאמר זה הנה להסביר מדוע החברות שמפעילות מנועי חיפוש אוטומטיים וסורקים מסוגים שונים, הופכות עכשיו לעברייניות בכל הקשור לפעילותן בתחומי השיפוט בישראל, בדיוק כמונו חוקרי אבטחת המידע שכעת לא נמהר לדווח על פרצות שמסכנות את האזרחים.

אין סיבה לרובוט יהיה מותר משהו שלי כחוקר אסור, וזה מה שבית המשפט בעצם קבע בלי לשים לב.  הוא גם סייג ואמר על הדרך שלכבות מזגנים ומוצרי חשמל בעלי מחשב, זה בסדר וזוטי דברים ושכח שכאלא יש גם בבתים חכמים, אבל אסור לפרוץ למטוסים.

סעיף 4 לחוק המחשבים:
"החודר שלא כדין לחומר מחשב הנמצא במחשב, דינו – מאסר שלוש שנים; לעניין זה, "חדירה לחומר מחשב" – חדירה באמצעות התקשרות או התחברות עם מחשב, או על ידי הפעלתו, אך למעט חדירה לחומר מחשב שהיא האזנה לפי חוק האזנת סתר, תשל"ט-1979".


פסק הדין מרתק ומחכים, מביא הקשרים מהמשפט העברי (שרון אהרוני-גולדנברג "האקר כהלכה? חדירה למחשב בראי המשפט העברי" מאזני משפט ח' 237 (תשע"ג)) אבל לדעתי טעו שם, בצורה שתפגע בעתיד עולם אבטחת המידע בישראל, בין היתר נפגעים שם מנועי חיפוש.

מאחר שהנושא כבר סוקר בעיתון הארץ, רוטר פורטל Law.co.il ואתר החדשות News1, אני ממליץ להתחיל שם ולחזור לפה אחרי שקראתם את ההתייחסויות עד כה, ובעדיפות לקריאה מקדימה של פסק הדין.

עיקר הטעות למיטב הבנתי היא, שבית המשפט החליט לפרש את המונח חדירה לחומר מחשב באופן רחב, וללא חובה בעקיפת חסימה בדרך ליעד, ז"א לא משנה איך נכנסת כל עוד אין לך אישור אתה עבריין, גם אם נעזרת במחשב אדם או מכונה. הוא הוסיף ואמר, שאם תהיה עקיפה של מחסום בדרך, העונש יהיה חמור יותר. לכן, נוצר מצב שבו קל מאוד לגלוש למקומות בעייתיים כנגד הוראות פסק הדין.

י. "אם כן כיצד מפרשים "חדירה" למחשב? ניתן לפרש "חדירה" במובן של השגת שליטה; קרי, כל פעולה של שליטה במחשב והפעלתו מקיימת את מונח החדירה. פרשנות חלופית – "מילולית" – מרחיבה אף יותר. לפי פרשנות זו, כל ממשק בין מחשבים (דוגמת שליחת דוא"ל) מקיים את דרישת החדירה, שכן המחשב השולח מחדיר מידע למחשב המקבל. כאמור, נראה כי דעת הרוב בספרות תומכת בגישה זו."
(המשנה לנשיאה א. רובינשטיין)


טו. "סקרנו את עמדת המלומדים ואת עמדת המשפט המשוה ואף עמדנו בקצרה על יחסו של המשפט העברי לסוגיה; ועתה – להכרעה לענייננו. דומני שיש לקבל את הדעה הרווחת בקרב המלומדים, לפיה יש לפרש את המונח "חדירה" פרשנות מרחיבה. פרשנות נאמנה לתכלית החוק, ובמיוחד במבט צופה פני עתיד, מחייבת הגדרה כללית ל"חדירה", כך שכל מידע "הנכנס" למחשב – בין שנוצר על-ידי מחשב אחר ובין שנוצר כתוצאה מפעילות המשתמש במחשב – מקים את הדרישה ההתנהגותית בעבירה. דומה שהדבר תואם גם את השכל הישר, המבקש לטעמי לצמצם "דרכי מילוט". אם נעניק למונח "חדירה" פרשנות הקשורה לטכנולוגיה ספציפית שהנמצאת היום לנגד עינינו, ניאלץ להשתתף בעל כורחנו במשחק מתמיד של "חתול ועכבר", וכידוע הטכנולוגיה דהאידנא בטבעה מהירה עשרות מונים מן החוק. באשר לפרשנות המונח "שלא כדין" דומה, כי הפרשנות הראויה למונח היא שימוש במחשב בהיעדר הסכמת בעליו. ודוק, עקיפת מכשול טכנולוגי בהחלט עשויה להיות בעלת משמעות לעניין קיומה של הסכמה לשימוש במחשב.
(המשנה לנשיאה א. רובינשטיין)


כמו שאתם רואים, בית המשפט פסק שכל מידע המגיע למחשב כלשהו, בין אם מחשב יצר אותו (כולל תוכנה , א"ד), ובין אם נוצר כתוצאה של המשתמש (ז"א בן אדם , א"ד) יוצר פעולה בלתי חוקית, כל עוד לא הייתה הסכמה של הבעלים. למיטב הבנתי ובעקבות מחקר שמתנהל על ידי בתקופה האחרונה,הפרשנות הנרחבת של בית המשפט העליון,גורמת עכשיו לכך לבעיות שלא נצפו על ידו.

בית המשפט בפסיקתו, גורם לכך שלא רק חוקרי אבטחה, חוקרים אקדמיים או גולשים, גם מנועי החיפוש  שבהם רובינו משתמשים ביום יום נכנסים כרגע תחת החוק, וכל שנותר הוא להוכיח שמנוע חיפוש כלשהו אגר נתונים בתאריך כלשהו באופן שיהווה חדירה ללא הסכמה למערכת כלשהי או למאגר נתונים אחר, וזאת בדרך לתביעה משפטית נגד המפעילה שלו הפועלים בשטח ווירטואלי או פיזי, הכפוף לחוקי מדינת ישראל.

זה לא משנה יותר אם הגדרתי לרובוטי החיפוש מה לעשות, כל עוד לא אישרתי להם להיכנס הם עבריינים עכשיו וזה שהשארתי את המחשב פתוח איננו מתיר להם להיכנס.

"טו. איני רואה סיבה מדוע יגן החוק על ראובן, שסיסמה נדרשת לשם שימוש במחשבו, אך לא על שמעון אשר לא השכיל להתקין במחשבו הגנה מסוג זה. בית ללא מנעול אינו הפקר – וכך הדין גם במחשב; והדברים נכונים במיוחד נוכח תכלית החוק (ראו פסקה י"א מעלה). מובן כי מקרים שבהם נעשה הדבר באופן תמים ללא כוונה פלילית, כפי שיתכן שיארע בסביבות עבודה, לא ייכללו בגדר האמור, בראש וראשונה כיון שבעל המחשב ש"נחדר" לא יראה זאת כחדירה שלא כדין ולא יתלונן – ונשוב לכך."

ישנם כיום מנועי חיפוש רבים שסורקים את רשת האינטרנט, החל מאתרי אינטרנט ועד לגישה למערכות בקרה רגישות, או למזגנים ביתיים. גם מנועי חיפוש רגילים (Yahoo,Bing,Google,Yandex) סורקים את הרשת ולא פעם מוצאים מוצרים ואתרים שונים שמחוברים אליה, אשר גישה אליהם הפכה להיות כיום בלתי חוקית מאחר שבעליהם לא אישר גישה אליהם, או שפשוט לא חסם את הבקר לכניסה מבחוץ בעזרת סיסמה.

במקביל, מפותחים גם מנועי חיפוש אחרים שמיועדים לחיפוש של מוצרים רגישים, כמו משאבות ראוטרים, בקרים תעשייתיים, ממשקי שליטה ובקרה ועוד. הידוע בהם נקרא Shodan אבל יש לו מתחרה סינית בשם ZoomEye. חוקרי אבטחה והאקרים, או גורמים אחרים יכולים בעזרתם של מנועים אלו להתחבר לאותם מכשירים שמופו על ידי המערכת, שאף העתיקה מהם נתונים.

לאחרונה פרסמתי מאמר שסקר פיתוחים אקדמיים, בעולם מנועי החיפוש. מאמר זה הראה כיצד שתי אוניברסיטאות יצרו בחודשיים האחרונים (University of Michigan and Northeastern University-China) מנועי חיפוש מתחרים, ששניהם מיועדים לאיתור חולשות אבטחה ככה שגם באקדמיה היום ממפים עם מנועי חיפוש מכשירים חשופי רשת, ושואבים מהם מידע מקטלגים ומפרסמים.


"Censys is a search engine that allows computer scientists to ask questions about the devices and networks that compose the Internet. Driven by Internet-wide scanning, Censys lets researchers find specific hosts and create aggregate reports on how devices, websites, and certificates are configured and deployed"

מנוע החיפוש האקדמאי Censys, סורק את רשת האינטרנט, ומאפשר לחוקרים להבין כיצד מכשירים אתרים ותעודות (אבטחה) הוגדרו והותקנו. הבדיקות הללו הינן בדיקות שמתאפשרות עקב סריקה, שכיום מוגדרת כחדירה בלתי חוקית על ידי בית המשפט.



צריך להבין, שהעובדה שתוכנת מחשב היא זו שמבצעת את פעולת החדירה ולא אדם, איננה מסירה אחריות מהשולח (הבעלים שלה).

בנוסף לאמור, להבנתי הייתה כאן טעות שיפוטית נוספת. בית המשפט העליון הבין שמזגן ממחושב המכובה על ידי מישהו אחר, הינו החריג שבו לא יהיה מקום לדון את הפורץ לדין.

שימו לב לניגודיות הבאה,סעיף ו בפסק הדין הנו השלב של ההקדמה לפסק הדין ואיננו מחייב אלא מביא את הדעה האישית, אבל בפסיקה בסעיף י”ז - מכשירים חשמליים כמו מזגן המופעלים דרך מחשב זה משהו שאפשר לכבות לפי התקדים החדש, ובעצם לקבל הגנה אם מכבים אותו, והדבר מובא באופן חד משמעי.

ו. "פיתוחים טכנולוגיים דוגמת מחשוב לביש, מכוניות אוטונומיות וארנקים סלולריים – והברכה השורה בצידם – יתקשו מאוד להשתלב במרקם החיים האנושי כל עוד השימוש בהם אינו זוכה להגנה משפטית כדבעי ואין צורך להכביר מלים; לשון אחר, לפני שהמכונית האוטונומית תעלה על הכביש, יהיה עלינו לאסדר בצורה טובה יותר את הטיפול בפצחנים המסוגלים להשתלט עליה בלחיצת כפתור, במישור הטכנולוגי וגם במישור המשפטי. הוא הדין לארנק הנייד, והדמיון עשוי להפליג, אך ככל שיפליג – לא יפליג דיו."
 

יז. בתרחיש השביעי אדם מכבה מכשיר חשמלי המופעל באמצעות מחשב – דוגמת מזגן – ללא רשות.. דבר זה גורם לכך שבתים חכמים רבים המכילים מכשירים חכמים לא יזכו להגנת החוק כנגד האקרים, או מכונות, וזאת בניגוד לחדירה למנוע של מחשב או מכונית אוטונומית.” “ברי, כי אדם המכבה מזגן ללא קבלת רשות, או צעיר ה"מסתנן" לפורום אינטרנטי סגור כעניין היתולי לא יקימו את יסודות העבירה; אך לא כן אדם המשבית את מערכת מיזוג האויר במטוס, או אדם ה"מסתנן" להתכתבויות פנימיות של בכירי משרד הביטחון. אומר שוב, מקרים מסוג זה מחייבים שימוש בשכל ישר תוך תשומת לב לתכלית החוק ולהיגיון שבבסיסו.)

יש הרבה חכמה בכך שרגולוציה פרואקטיבית, יכולה להביא להגנה טובה על מערכות. אבל האבסרוד כאן עצום. בית המשפט לא מבין שחברות שמפקירות ביודעין או במחדל את המשתמשים, כולל חברות המפתחות רכבים אוטנומיים כדבריו, מאכסנות מאגרים רגישים בטחונית לא יוכלו עכשיו לקבל התרעות מקדימות אותן התרעות שבגוף בריא מאפשרות לגוף להבריא את עצמו.

האנליסטית קרן אלעזרי חוקרת רבות את הנושא של ההשלכות החיוביות של ההאקרים על מערכת האינטרנט, והרצאתה Hackers: the Internet's immune system היא בדיוק מה שהיה חסר כאן לבית המשפט, כדי להבין את חומרת המצב שאליו הוא מכניס את מה שמחובר לאינטרנט בישראל.

אנחנו לא נתריע, והשערים ישארו פרוצים, כולל שערי הכניסה לקיבוץ שלכם, או היישוב שבו אתם גרים, אגב הם עדיין פרוצים ברובם, כי לא הקשיבו לאותן התרעות שבית המשפט מנסה לחסום, ולא לקחו אחריות על המצב, שנוצר בכלל משיטה פשוטה ויעילה שאיפשרה לפתוח מכשירים על בסיס שיחה מזוהה, משהו שכשל והתפוגג.

אישית, יצא לי להתריע בין היתר על פרצה שגרמה לאלפי מכוניות במדינת ישראל, המחוברות לרשת האינטרנט, להיחשף החוצה. פסק דין כמו זה יגרום לי לחשוב יותר מפעמיים האם לדווח בכלל, ואני בטוח שכמוני גם רבים אחרים שבאופן קבוע מתריעים על פרצות אבטחה של אתרים שמסכנים משתמשי רשת, או בעלי תשתיות קריטיות.

לדעתי בית המשפט פתח תיבת פנדורה, שתגרום לפחות אבטחה. ולמנועי חיפוש רובוטיים שמאפשרים ביקורת ובדיקה להיות בלתי חוקיים, כולל Google להיות בעתיד הלא רחוק מוגבלים חוקית, ואף נקנסים על הפרת פרטיות מעצם תפקודם בסריקת הרשת, למטרות אבטחה ואיתור מכשירים רגישים חשופי רשת, או סריקה שוטפת המביאה גם מכשירים רגישים.


במחקר האחרון שבו אני עוסק בימים אלו, אני מוכיח כיצד רובוטים ומנועי חיפוש פולשים דיגיטלית לבתים חכמים, שומרים את פרטי הגישה ומאפשרים לצפות במה שהתרחש בבית גם בדיעבד. אני יכול להבין למה הפסיקה גם גאונית, למה היא הלכה שנים קדימה,  אבל איך שאני לא מנתח את המצב מנועי החיפוש שאתם משתמשים בהם, ובכלל פעולות רובוטיות אינן חוקיות יותר לפחות עד להודעה חדשה.

אם אתם רוצים להנות קצת, ולקבל רקע נוסף אני ממליץ לצפות בסרט הבא, העוסק ברובוט פושע




מיפוי רובוטי של דפים:







אמיתי דן הנו חוקר אבטחת מידע, הנוהג להתריע על פרצות אבטחה. בעברו פעל בין היתר במסגרת מחקר רב קבוצתי באוניברסיטת תל אביב,  בנושא פרצות אבטחה בתשתיות קריטיות מחקר זה הוזמן על ידי משרד המדע.

יום שבת, 12 בדצמבר 2015

426 Net-Security / ICSfind Another academic tool aim to hunt for ICS&SCADA


ICSfind ( http://icsfind.com/ ) Is A new search engine, which aim to detect exposed ICS (Industrial control system) arrived to the playground, but now it's coming from the academic world China.
Since 2009, we had Shodan (created by JohnMatherly) as an ultimate tool to find critical infrastructure.
This October a new competitor Launched his activity in the west, Censys. Straight from the academic world (University of Michigan and University of Illinois - Urbana Champaign)  lead by ZakirDurumeric and based on ZMap. And now many people are seeing it as the alternative for commercial search engine Shodan, Not anymore a new player arrived, and was there silently since this October.
Yesterday I've found new tool Created in NortheasternUniversity-China, By Professor Yu Yau and his students. The tool called 426Net-Security or ICSfind. 
This  dedicated for ICS/SCADA, I really liked the UI and the simplicity. It's not a perfect tool but I think this is just the beginning. By the way here is no needs for registration, or limitation of uses.
I'm still checking it, and I would like to hear more opinion about it. The tool has only Chinese interface but it's really easy to use.
in my opinion having two new tools in one month, it's the best gift to get for the new year. 
About the change in the academic world, after years of being far away from the field and having academic paper which don't give direct help, or blocked from the public with payment system, or just great tools which never been out of the academic world - those changes makes me really happy.













יום שבת, 8 באוגוסט 2015

Anonymous India hacked BSNL - 30 milion people in risk.

לפני כחודש חברת התקשורת ההודית BSNL נפרצה,החברה הינה חברה ממשלתית.
הידיעה הזו לא מוכרת מספיק למרות החשיבות שלה,ונראה שרק 296 אנשים צפו בלינק לחומר החלקי שהודלף (מאז ה05.07.2015).

לפי התיאור של התוקפים, מדובר על לפחות 30 מיליון לקוחות,כולל פרטי תשלום ופרטים רבים אחרים.

מבחינת רקע,בהודו כל פרצת אבטחה קטנה משתקפת במליוני יוזרים,והחברות והאתרים הממשלתיים מאובטחים באופן גרוע - יחסית לשוק הפרטי ובכלל.


בדומה לאולטימטום האחרון שנעשה מול מפעילי הבגידות "אשלי מדיסון" גם כאן יש הצגת תנאים על ידי הפורצים, אך במקרה זה מדובר בסחיטה של מדינה על ידי האקרים,שככל הנראה גם מגיעים ממנה.
 
אלו הדרישות שלהם:





Message to Government of India:

1) Demand government to take action against RS Prasad for openly challenging privacy of the citizens of India.

2) Demand government to take action against TRAI for their stupidity of releasing million Email IDs, helping spammers & violating your very own IT laws.

3) Demand government to take action against Reliance sending unencrypted data to China via their Jio Chat app.

4) Demand government (RS Prasad) to stop moving towards a licensing regime. We are watching your every move on net neutrality.

5) Demand government to shut down all surveillance projects like CMS & RS Prasad’s interception of phone calls before it is too late. Also release all details in public of whose phone calls have been tapped & are under surveillance.

7) Demand government to take action against NIC for trying to change history. Wikipedia is not your medium to promote lies & propagandas.

The group has also asked the Minister for Communications and Information Technology, Ravi Shankar Prasad, “to stop moving towards a licensing regime”.

מומלץ לעקוב כאן:

AnonOpsIndia
http://anonopsindia.tumblr.com
 http://ianarchism.quora.com
https://twitter.com/opindia_revenge/status/617728473273094144?lang=en
מקורות:

dump

http://pastebin.com/G8MCynGJ






מדיה
http://www.techworm.net/2015/07/anonymous-india-hack-bsnl-website-claim-to-have-access-to-30-million-records.html

http://www.demanjo.com/news/technology/2391045/hacktivist-group-anonopsindia-hacks-bsnl-website--days-after-hacking-nation-s-pan-database.html

עמוד שנפרץ
http://webcache.googleusercontent.com/search?q=cache:BVKBjnCOyeIJ:tj.bsnl.co.in/tjeditions/OCT13/anonops.html+&cd=1&hl=en&ct=clnk

רשתות חברתיות
https://twitter.com/TrooperTroller/status/617746630004092928

https://twitter.com/techworm_in/status/617377743534080000

יום שבת, 11 באפריל 2015

Channel two in morning show - spoof caller ID and SCADA

Last week I have been in morning show, were I have spoke about hacking, preventing security problem and more.

The idea was to make people understand hacking.

The ministry of science technology and space in Israel asked me to do it,due to the coming publishing of white paper by the research group which I'm part of, in Tel Aviv University.

The paper will be shown in the website of The ministry of science technology and space.


Enjoy!

יום שישי, 3 באפריל 2015

חג החירות של הדומיינים או חג החירות של התוקפים - חשש לחטיפת דומיינים בישראל

חשש לחטיפת דומיינים:

לאחרונה יש מהלך של איגוד האינטרנט הישראלי שבו מעדכנים כתובות דומיינים.
לפי סקירה של הארכיטקטורה של הממשק,נראה שניתן להגיש בקשות שעלולות להביא להשתלטות על דומיינים ולשנות כתובת DNS.

משם זה תלוי בתוקף

מתקפות בסיסיות לדוגמא:

  • מחיקה ואו-DNS תביא למתקפת DOS כי לא תהיה גישה לאתרים
  •  חטיפת דומיין תיתן אפשרות לבקשת כופר על הדומיין
  • השתלטות על DNS ודומיין ביחד, נותנים לבצע פישינג על אתרים

על הרקע למהלך ניתן לקרוא כאן

איגוד האינטרנט לא ענה לפניה שנעשתה ב 31.03, בנוגע לצורת ההגנה על התהליך של הסדרת הדומיינים.

בפניה עקיפה שנעשתה, נאמר בתגובה שהם מודעים היטב לנושא אבטחת המידע ולוקחים את הנושא במלוא הרצינות.

ברור לי שיש כאן גם דברים חיוביים, אבל השיטה מזמינה מתקפות.
יש שאלות נוספות שנציף בהמשך

רקע נוסף:

אתר המערכת

http://www.1999.co.il






תקנון

http://www.1999.co.il/LMC_infopage.pdf



מערכת לתביעת בעלות על דומיינים

http://www.isoc.org.il/domain_heb/registration_direct.html
 
https://register.isoc.org.il/register/modify





המצור הדיגיטלי של טינדר על רצועת עזה והאזורים שמעבר לקו הירוק, ומה הקשר לצפון קוריאה?

For my English reader: I've found that Passport  feature which is part of Tinder Plus services , is not supported in Gaza and behind ...