מעצמת הסייבר וקופות החולים

מניסיון אישי בעבודה בישראל ובחו״ל, אין ספק שמבחינה טכנולוגית ישראל נמצאת על המפה.

למרות זאת, אנחנו עדיין רחוקים שנות אור מכל מיני הצהרות שונות ומשונות

ישראל נמנית בין 3 מעצמות הסייבר המובילות בעולם (בנימין נתניהו, 16.01.2016).

נתניהו טוען שאנחנו מעצמת סייבר"

אני נוטה להאמין שמדינת ישראל חזקה בסייבר כשמדובר במדיניות כלפי חוץ – למשל כנגד מדינות עוינות כמו איראן. אבל כשמדובר במדיניות פנימית, אנחנו נופלים ובגדול.

למה אנחנו נופלים על בעיות פשוטות?

רק לאחרונה פורסמה פירצה איומה באתר של מד״א ואם עוקבים אחרי האנשים שיודעים דבר ושניים בתחום, אפשר לראות שהפרטיות שלנו חשופה, וכרטיסי האשראי שלנו רחוקים צעד אחד מידיו של האקר חמדן.

לפני מספר ימים, לאחר צפייה בפוסט של נועםר שחשף את היכולת להגיע לפרטים אישיים של מבוטחים בחברת ביטוח גדולה

החלטתי לבדוק האם יש בעיה דומה באחת מקופות החולים בארץ. ביקשתי מאח שלי את תעודת הזהות שלו וניסיתי לשלוף מידע רפואי שלו מקופת החולים שלנו – מאוחדת. לקח לי פחות מדקה לחזור אליו עם תשובה לגבי התרופה האחרונה שהוא רכש:

מה קורה שלא דואגים לפרטיות ומשאירים דלתות פתוחות
מה קורה שלא דואגים לפרטיות ומשאירים דלתות פתוחות

התהליך היה פשוט.

לפני שהתחלתי, תכנתתי את הטלפון שלי לעבוד עם mitm proxy שזו תוכנה אשר מאפשרת לי לראות את הקריאות שמתבצעות מאחורי הקלעים כאשר אני משתמש באפליקציה כלשהי. כמו שעשיתי בעבר עם טינדר.

לאחר מכן, התחברתי לאפליקציה של מאוחדת באייפון.

נכנסתי לאיזורים שונים ובעזרת mitmproxy ראיתי איזה קריאות מתבצעות וקיבלתי את הרושם שבעזרת שינוי פרמטר אחד, יכול להיות שאצליח לקבל את המידע שאותו אף אחד לא אמור לראות.

כל מה שהייתי צריך לעשות לאחר שהייתי מחובר, היה לשנות את תעודת הזהות של מבקש המידע.

רגעים שמפתיעים אותך כשאתה מגלה בעיית אבטחה
רגעים שמפתיעים אותך כשאתה מגלה בעיית אבטחה

ההנחה שלי מלכתחילה הייתה שהקוד שרשום מאחורה, אכן בודק האם הלקוח מחובר לאפליקציה של מאוחדת, אבל שליפת המידע לא מתבצעת בעזרת אותו פרמטר שמזהה את הלקוח, אלא בעזרת פרמטר של תעודת זהות. מעצמת סייבר כבר אמרנו?

אם הייתי צריך להסביר את זה בקוד, אז זה יהיה משהו כזה:

if (isAuthenticated()) then
idNumber = request.get("idNumber")
userDetails = getUserDetails(idNumber)
...
end

איפה אנחנו נופלים?

בעולם כבר מזמן למדו, שבמקום לקבור את הראש בחו״ל עדיף להודות בבעיה שקיימת ולנסות לשתף את כולם בכדי לפתור אותה. אז כן, לכולם יש בעיות אבטחה, גם לגדולות ביותר אבל הן כולן משתדלות לפתור את הבעיות הללו הן בעזרת עובדים מנוסים והן בעזרת תוכנית שנקראת bug bounty.

bug bounty היא תוכנית שנותנת לכל אחד את האפשרות לחפש בעיות אבטחה ופרטיות באפליקציות ואתרים שונים תמורת סכום מסוים של כסף כאשר הכל תלוי בחומרת הבעיה. ישנם אנשים שעושים 1000$ לבעיה וישנם אנשים שעושים קצת יותר.

החברות הרציניות בעולם עושות את זה, כמו פייסבוק, גוגל, אפל, מיקרוסופט ועוד.

אם אנחנו רוצים להיות מעצמת סייבר, כדאי שנתחיל ליישם פתרונות איכותיים למציאת בעיות חמורות כמו למשל אלו שהזכרתי למעלה. לפני שיהיה מאוחר מידי…

למזלנו, אנחנו משתפרים. מעבר להמלצת פרקליט המדינה לא להעמיד לדין האקרים שחושפים פרצות אבטחהמערך הסייבר עובד סביב השעון.

יצרתי קשר עם מערך הסייבר בין חמישי-לשישי בשעה 12 בלילה, ותוך 24 דקות חזרו אליי שהנושא בטיפול. מבדיקה נוספת שעשיתי אתמול, נראה שהבעיה תוקנה ואפשר להיות רגועים עד לגילוי של הבעיה הבאה.

 בתקשורת

לאחר תיקון בעיית האבטחה, The Marker פרסמו כתבה שמיידעת את הציבור הרחב על הנושא.