בואו לגלות את עמוד הכתבה החדש שלנו
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

חוקרים בדקו את אפליקציית רמזור ומצאו שורה של אורות אדומים מהבהבים

קריפטוגרפים וחוקרי אבטחה ביצעו הנדסה לאחור של האפליקציה וגילו בעיות בקוד של האפליקציה ובתהליך אימות החתימה על "הדרכון הירוק" שהיא מספקת

22תגובות
אפליקציית התו הירוק

אפליקציית "הרמזור" נתקלה בקשיים חמורים למדי עם יציאתה, והתלונות עליה הגיעו גם לדפי עיתון זה ולדפי הסקירות שלה. האפליקציה אמורה להיות פשוטה ביותר, אבל המשקל הרב שלה, הבחירה בקוד סגור, והיעדר הליווי של מומחי אבטחה ופרטיות חיצוניים (כפי שהיה עם "המגן 1"), גרמה לדאגה מסוימת בקרב מפתחים. חוקרי אבטחה וקריפטוגרפיה שבחנו את הקוד של האפליקציה גילו כמה בעיות שמעיבות על האמינות של האימות שהאפליקציה מספקת למחוסנים.

כאשר אנו מקבלים אפליקציה בקוד פתוח, אנחנו יכולים לבחון את הקוד המקורי - כפי שכתבו אותו המתכנתים, לפני שהוא "נארז" (Compiled) לצורך ההפעלה המלאה. כאשר מדובר באפליקציה בקוד סגור - תוכנה "ארוזה" - אנו בבעיה. אפשר לבחון את התקשורת אל ומהאפליקציה, אבל זה לא מאפשר לנו לגלות את כל מה שמתחבא בקוד - לטוב או לרע.

ציוץ של רן לוקאר - דלג

דרך נוספת היא לבצע "הנדסה לאחור" (Reverse Engineering) ולפתוח את החבילה הארוזה. זה לא הפתרון האופטימלי, ובאמת קצרה היריעה מלספר על תחום ההתמחות הזה באבטחת מידע (אני לא מתמחה בו, למען הסר ספק) אבל זה אפשרי ונותן קוד מסוים של האפליקציה שמאפשר ללמוד עליה.

פרופסור אור דונקלמן מאוניברסיטת חיפה וד"ר אייל רונן מאוניברסיטת תל-אביב, יחד עם חוקרי אבטחת המידע יובל אדם ונעם רותם, עשו את תהליך הפענוח הזה באמצעות שתי תוכנות, jdx ו-apktool. חלק מהממצאים שעלו בעקבות התהליך היו מדאיגים למדי, והם מעלים שאלות כבדות משקל לגבי איכות הקוד והתאמתו למשימה רגישה כל כך.

ציוץ - דלג

החוקרים מצאו כמה בעיות בקוד של האפליקציה ובתהליך אימות החתימה על "הדרכון הירוק" שהיא מספקת, ובכלל - נראה שהמפתחים לא שילבו את הפונקציות הקריפטוגרפיות בתוכנה כיאות.

תהליך אימות החתימה בקוד ה-QR בתו הירוק ובתעודת החיסונים מומש בצורה שלא תואמת את האיפיון המקורי שפורסם על ידי משרד הבריאות. קוד האימות עצמו מומש בצורה מבולבלת, שניכר שסיבכה את המפתחים של האפליקציה שלא לצורך.

בעיה נוספת היא שימוש בספריית תוכנה קריפטוגרפית בשם SpongyCastle, שלא מתוחזקת כבר יותר מ-3 שנים, וגם קודם לכן נסמכה על מפתח בודד. כלומר, גם אם התגלו פרצות אבטחה או בעיות אחרות בתוכנה מאז, איש לא עדכן אותה.

מפתחי האפליקציה גם השאירו סיסמאות וטוקנים הקשורים לבדיקות בקוד עצמו, שיתכן שקיימים גם בסביבת הפרודקשן החיה, דבר העשוי להצביע על תהליכי פיתוח לא מסודרים. מילא אם היה מדובר באפליקציה למתן ציונים לצמר גפן מתוק, אבל באפליקציה סופר רגישה שיש לה השלכות קריטיות ומיידיות  לכלל תושבי המדינה, זה בעייתי.

גילוי נוסף מרמז על דליפת מידע אפשרית. הדליפה היא בתחום יצירת הקשר עם משרד הבריאות, בדף יצירת הקשר שיש באפליקציה:

יצירת קשר

בכל פעם שאתם יוצרים קשר עם האפליקציה, נשלח מייל אל משרד הבריאות, כפי שצריך להיות. אבל במקביל לכך נשלח מייל נוסף לכתובת פרטית בג'ימייל, בכל פעם שאזרח שולח הודעה באמצעות טופס יצירת הקשר באפליקציה.

המייל הזה פרטי לחלוטין, והוא ומשמש גם חשבון בפייסבוק, גם חשבון בטוויטר וכן חשבונות נוספים. המידע הזה הגיע באמצעות בדיקה של מאגרי מידע שדלפו מאפליקציות שונות באמצעות haveibeenpwned.com - כלומר סיסמאות שקשורות למייל הזה דלפו. ייתכן שהסיסמאות הללו הוחלפו מאז, ואין חשש שמישהו יפרוץ למייל, אבל למשרד הבריאות אין כל דרך לוודא זאת.

לאחר בדיקה, מסתבר שהמייל הזה שייך לבעלת תפקיד באפליקציית "הרמזור", שמשום מה בחרה לקבל למייל האישי שלה את כל הפניות של האזרחים באפליקציה. וזה בעייתי, כיוון שפניות כאלו יכולות לכלול מידע אישי ואף רפואי, וזה גם מסגיר פרקטיקת ניהול מידע ופרטיות סופר בעייתית. כל המידע שמגיע מהאפליקציה צריך להגיע לשרתי משרד הבריאות, בוודאי שלא לחשבון פרטי בג'ימייל של בעלת תפקיד במשרד, חשבון שמשמש אותה לרישום לאפליקציות כמו MyFitness ו-MyHeritage. כפי שגרסיה מרקס כתב: כרוניקה של דליפת מידע שנכתבה מראש.

תגובה לרן

אבל המייל הזה, שמכיל את השם המלא של בעלת התפקיד, היה מוכר לי, ולאחר כמה דקות של מחשבה נזכרתי: אותה בעלת תפקיד, שבפרופיל האישי שלה לא מצוינת כעובדת משרד הבריאות וגם טענה שהיא כלל לא ממשרד הבריאות, כתבה לי בפייסבוק לא מעט. בין היתר היא טענה שאני ארסי מאוד, שהדיווחים העיתונאיים שלי לא היו צריכים להגיע לעיתון אלא להישלח למשרד הבריאות ישירות. 

לאור הגילויים האלו נשאלת השאלה מה לעשות - האם לסמוך על אפליקציית הרמזור או להוריד תו ירוק ישירות מהאתר ולהציגו במקום האפליקציה?

תגובה לרן

כרגע הייתי ממליץ שלא להשתמש באפליקציית "הרמזור", לפחות עד קבלת אישור ממומחה אבטחה חיצוני שמלווה את הפיתוח, אלא להכנס לאתר משרד הבריאות ולהוציא דרכון ירוק על נייר, עם הברקוד. כדאי להכנס בשעות הלילה או הבוקר המוקדמות, כיוון שהאתר נוטה לקרוס כשיש עומס.

ציוץ של יובל אדם - דלג

שאלתי את משרד הבריאות מדוע כל המיילים של התמיכה נשלחים לאותה בעלת תפקיד, והאם האתר נבחן על ידי מומחה אבטחה חיצוני.

ממשרד הבריאות נמסר כי:

1. שימוש בחלק מהספריות נובע מכך שבמשרד קיים תהליך בדיקה ואישור כל ספריה או כלי או אלגוריתם שצוות הפיתוח רוצה להשתמש בו. תהליך אישורים זה לא הסתיים עדיין עבור חלק מספריות קריפטוגרפיה שניתן היה להשתמש בהן בפרויקט, לכן הוחלט שלא לעכב עליה לאוויר מכוון שלא קיימת סכנה בפתרון הקיים שעולה על הנזק שייגרם בדחיית השחרור של הפתרון לציבור.

2. בעזרת הפרסומים שלכם אותרה טעות בקוד (ביצוע Hash כפול מיותר) שתתוקן, והתיקון יעלה בעוד כמה ימים. אנחנו מודעים להשלכות של הטעות הזו והן יטופלו בצד ההנפקה של התעודות ובצד הפתרונות לאימות התעודות. חשוב להבהיר שטעות זו לא מהווה פגיעה באבטחת האפליקציה או התעודה, ולא מהווה סכנה עבור משתמשי האפליקציה.

3. כתובת המייל הפרטית של היועצת החיצונית לפרויקט הוכנסה לגרסת Beta של האפליקציה לפני עלייה הרשמית לאוויר לצורך בדיקות. כתובת זו שונתה לכתובת רשמית של מערך רמזור של משרד הבריאות.

4. למשרד הבריאות צוות אבטחת מידע המונה מספר מומחים בתחום. מקצועיות הצוות נבחנת לאורך השנים על ידי מספר רב של גורמים חיצוניים למשרד הבריאות. בנוסף, במשרד קיים נוהל בדיקות עבור כל פרויקט שיוצא, שכולל גם בדיקה פנימית אך גם בדיקה חיצונית על ידי חברה חיצונית בלתי תלויה, שמבצעת בדיקות אבטחת מידע מקיפות על המוצרים שמשוחררים לציבור.

5. אנחנו עובדים צמוד עם רשות להגנת הפרטיות, ובנוסף קיבלנו חוות דעת בלתי תלויה ממספר גורמים, בהם ארגון "פרטיות ישראל". משרד הבריאות דואג לאשר את הפתרונות מול מומחי פרטיות בשלב הארכיטקטורה (במקרה הזה באמת היה שינוי בפתרון לאחר התייעצות עם גורמי חוץ בלתי תלויים) ולהעביר למפתחים הנחיה ברורה הקשורה גם להיבטי הפרטיות. עמידה בהנחיות אלו על ידי המפתחים נבחנת בסוף התהליך על ידי צוות אבטחת מידע וגורמי חוץ רלוונטיים.

מ"פרטיות ישראל", נמסר בתגובה לנקודה זו: פרטיות ישראל לא נתנו למשרד הבריאות חוות דעת, אלא שלחו להם נייר עמדה שפורסם לציבור, ובוחן את היבטי הפרטיות ביישום של דרכון רפואי״.

6. כל פתרון שמשוחרר לציבור, במיוחד במקרה של אתרי אינטרנט או אפליקציות, עובר Code Review על ידי צוות אבטחת מידע וגורם חיצוני רלוונטי. בנוסף, לפני שלב זה קיים תהליך מסודר של Code Review אצל הספק המפתח את הפתרון. במידה והפתרון מפותח על ידי צוות הפיתוח הפנימי של משרד הבריאות, קיים תהליך מסודר של Code Review בתוך המשרד.

7. כאמור, היועצת היא יועצת חיצונית לפרויקט. כל התייחסות שלה ברשתות החברתיות היא בגדר התייחסות אישית, בחשבון פרטי, שאינו מהווה תגובה רשמית של משרד הבריאות או הדוברות.

רן בר-זיק הוא מפתח בחברת Verizon Media וכותב אתר internet-israel.com; לעמדות המובאות באתר זה אין קשר לוורייזון מדיה



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות

כתבות שאולי פספסתם

*#
בואו לגלות את עמוד הכתבה החדש שלנו