בואו לגלות את עמוד הכתבה החדש שלנו
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

שירים של עומר אדם ותמונות אישיות: סיור בשרתים של אפליקציית 100

חוקר אבטחה גילה כי ניתן לגשת בקלות למפתחות הפרטיים של שרתי המשטרה באמצעות האפליקציה שלה. חיכו לו שם שלל קבצים מוזרים מ-2018. לאחר שדיווח - פעלה המשטרה במקצועיות וסגרה את פרצת האבטחה

5תגובות
ניידת משטרה בחוף הים בתל אביב
עופר וקנין

משטרת ישראל מציעה שירותים רבים לאזרח, ביניהם גם אפליקציית 100, בה ניתן לדווח על מפגעים, להגיש בקשות לביטול דו"חות ועוד. לא כולם יודעים, אך אפליקציות בנויות בבסיסן כאתר אינטרנט, והפעולות שנעשות בהן מתבצעות מול שרתי אינטרנט. באפליקציות יש אשליה של קוד שסגור בפני המשתמש (בניגוד לזה עליו בנוי אתר, וניתן לראות בקלות בעזרת קליק ימני), אך למעשה כל משתמש יכול להציץ גם לקרביהן של האפליקציות שלו באמצעות כלי Decompiler פשוט. ניתן גם לעקוב אחר התקשורת בין האפליקציה לשרת ולפענח אותה. מפתחי אפליקציות יודעים זאת, ונזהרים מהכנסת נתונים רגישים לאפליקציה. אך מפתחיה של אפליקציית 100 ככל הנראה דילגו על השיעור הזה.

אפליקציית 100. שלל שירותים לאזרח - אך גם להאקר מזדמן
צילום מסך

חוקר האבטחה נעם רותם בחן את האפליקציה של משטרת ישראל, וגילה שם מפתחות פרטיים של שרתי המשטרה היושבים על הענן של מיקרוסופט (Azure), ומאפשרים לאוחז בהם לצפות בקבצים ולבצע פעולות נוספות, תיאורטית – גם להיכנס ולהפעיל קוד תפעולי בתוך השרתים הללו. כל פעילות על שרתי המשטרה מהווה עבירה על החוק, ולכן פעילות החקירה הפרטית של רותם נעצרה כאן.

קוד האפליקציה, אליו אפשר לגשת בעזרת Decompiler
צילום מסך

רותם מצא על השרתים כמות גדולה של קבצים מסוגים שונים ומגוונים: חלקם תמוהים, כמו שלל שירים של זמרים כעומר אדם, רועי הרוש ואברהם המר, וגם תמונות אישיות של המפתחים (עובדי ממשלה) והמשתמשים השונים במערכת. חלקם קשורים יותר לעבודת המשטרה, כריכוזי פניות של אזרחים ושל שוטרים, תכנון יציאת גרסה של אחד המוקדים וגם, למרבה המבוכה, אישורים על מעבר קורס באבטחת מידע:

תכנון מעבר גרסה, כפי שנמצא על שרתי המשטרה הגלויים לכל
צילום מסך
האירוניה: פלוני עבר בהצלחה קורס אבטחת מידע באפליקציות מובייל
צילום מסך

אמנם לא מדובר במערכת ליבה של המשטרה, וחשוב לציין כי הקבצים תוארכו לשנת 2018 ומטה, אך עדיין – מדובר במאגר מידע פרוץ, שגופים עוינים בהחלט היו חוגגים עליו לו נתקלו בו. רותם פנה למערך הסייבר ודיווח להם על ממצאיו, ואלו הועברו למשטרה. זו הזדרזה לסגור את חורי האבטחה, ולאחר שבדקה את העניין מסרה לרותם כי מדובר בשרתים ישנים. למרבה השמחה תגובתם הייתה נעימה ומקצועית. אין לקחת זאת כמובן מאליו – לא מעט גופים מאיימים על חושפי ליקויים.

ממשטרת ישראל נמסר:

במסגרת שיתוף פעולה בין גורמים שונים לזיהוי חולשות, הובא לידיעתנו כי ישנה היתכנות לחשיפת מידע. מיד עם קבלת המידע הנושא נבחן וטופל. נדגיש כי אין מדובר בנתונים עדכניים או רגישים ומדובר בסביבת פיתוח ישנה שמזה תקופה ארוכה אינה בשימוש. משטרת ישראל פועלת תחת אבטחה סדורה לצד יישום בקרות לאיתור חולשות וכמובן במידת הצורך סגירתן המידית.



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות

כתבות שאולי פספסתם

*#
בואו לגלות את עמוד הכתבה החדש שלנו