יום שבת, 9 במרץ 2019

בשם חופש המידע - איך השגתי את מספרי הצל שמסתתרים מאחורי הכוכביות




במשך קרוב לעשור אני עוסק בנושאים שונים הקשורים לפרצות טלפוניה

 אחד מהנושאים שחוזרים על עצמם שוב ושוב עם חוסר ההצלחה שלי לבצע שינוי מערכתי, הם מערכות טלפוניה לזיהוי לקוחות המתקשרים למספר מסויים, ומזוהים לפי  
מספר טלפון המזוהה שאיתו הם הציגו את עצמם

זיהוי שכזה כמזהה יחידני הינו בלתי חוקי, וניתן לעקיפה בקלות בעזרת שינוי שיחה מזוהה, שינוי שניתן לבצע בעזרת אפליקציות ייחודיות או הגדרה פשוטה למי שמתפעל מרכזיות טלפוניה בעלות ספקים זרים.

לא פעם התרעתי על חולשות הקשורות למשפחה זו של חולשות זיהוי לקוחות בממשקים טלפוניים, ובגדול נכשלתי.

רוב האופציות של אזרחים בישראל לבצע שינוי שיחה מזוהה, הינם על ידי שיחה ממערכת הממוקמת במדינות זרות, כאשר מערכות אלו לא תומכות בהתקשרות למספרים מקוצרים בצורת חיוג לכוכבית

לכן לפעמים לתוקף הפוטנציאלי יש בעיה - אין לו את הטלפון האמיתי שמסתתר מאחורי הכוכבית

בקשות חופש מידע הינן דרך אולטימטיבית לפגיעה בפרטיות, ולאיתור פרצות אבטחה - בשם החוק

הן במהותן חיוביות, אבל כמו שכתבתי פה כבר בעבר, ההשלכות שלהן יכולות להיות חסרות תקנה

לפני מספר חודשים החלטתי לחסוך הרבה כאב ראש מחקרי, ולהגיש בקשת חופש מידע בנושא הכוכביות

אני מקווה שהתוצר הזה יגרום הפעם לשינוי מודעות
מדובר על מאגר מידע חופשי, ועל שיטה שלא נועדה לאבטח אלא לקצר את תהליך ההתקשרות של הלקוחות ולפשט אותו.


להלן הדוח שקיבלתי
אם יש לכם מערכת טלפונית, אל תסתתרו מאחורי כוכבית בתואנה שאי אפשר להתקשר לשם באופן מזוייף, זאת אשליה אופטית
אשליה טלפונית שבקשת חופש מידע ממסמסת ביעילות


המאגר הזה מאוד יעיל גם לשימוש רגיל, כמו שיחות טלפון לאנשים ששוהים בחו"ל או מתקשרים ממערכות טלפוניה מבוססות אינטרנט שלא תומכות במספרי כוכבית

 אגב, התברר לי שהיה גורם נוסף שביקש בקשה דומה קצת לפני, ככה שההליך היה יחסית מהיר 

 לדעתי, יש לבצע תיקון לחוק שיגרום לכך שכל  בקשת חופש מידע תעבור סינון של איש אבטחת מידע שהוכשר לכך

בנוסף, יש לבצע מניעה מעקב ואכיפה אחר גורמי 
טרור ופשע שמנצלים בקשות חופש מידע לרעה 


כאן ניתן לראות בקשה שלישית בסגנון זה ומאגר , כללי של בקשות חופש מידע

https://foi.gov.il/he/node/5197 

אין תגובות:

הוסף רשומת תגובה