יומיות 24.12.2020: הפריצות לשירביט ולדג'ר
אם תשאלו אותי, אני צריך עכשיו שלושה חודשים חופש במקום מבודד.
אבל המציאות מאפשרת רק יומיים. שכרתי דירה בעיר העתיקה בוורשה, וזה הנוף הנהדר שנשקף מחלונה.
1. שנקל על פריצות למאגרי מידע של חברות, ונתחיל עם שירביט.
תזכורת: מאגר הלקוחות של חברת הביטוח שירביט נגנב. הוא כלל פרטים רגישים שיכולים להסב נזק כבד ללקוחות. הגנבים ביקשו סכום גדול, בביטקוין, תמורת המחיקה שלו.
שירביט שכרה "מומחי סייבר" שינהלו את המשבר. השיחות שלהם עם ההאקרים (שהודלפו ע"י ההאקרים), זכו למטח ביקורות ברשת, בעיקר בגלל סגנון המשא ומתן הישראלי שלפעמים נראה כאילו הם מניחים שהצד השני דביל מוחלט, ובגלל רמת האנגלית. תשפטו בעצמכם – חילוף ההודעות נמצא פה.
ההודעות הפומביות של שירביט רק הרעו את המצב. "אין בנתונים שהוצאו מידע שעלול לגרום נזק למבוטחינו" הם אמרו. "הפרטים המלאים של כרטיסי האשראי לא נגנבו" הצהירו. אמירות לא נכונות, שהוסיפו להרגשת החובבנות המוחלטת בניהול המצב.
השיחות נכשלו, ההאקרים הדליפו חלק מהמידע לרשת, אבל את רובו כנראה מכרו למישהו אחר.
אפשר לצחוק על "מומחי הסייבר" ששכרה שירביט כמה שרוצים, אבל מה הם יכולים לעשות? אפשר לצחוק על רמת האנגלית או סגנון המשא ומתן שלהם, אבל האם סגנון אחר ואנגלית אחרת הייתה מביאה לתוצאות אחרות?
מה אפשר לעשות במצב הזה? לא המון לדעתי.
תנסו לשכור מומחי אבטחת מידע? אם ההאקרים אפילו חצי-מקצועניים זה לא יביא לתוצאות. אפשר לשלם להאקרים, אבל מי יבטיח לכם שהמידע באמת ימחק? אפשר לנסות לשלם בביטקוין ואז לעקוב אחרי הביטקוין כדי לגלות מי ההאקרים. זה *אולי* יצליח, אבל לא משיג את מטרת מחיקת המידע.
מהרגע שהמידע דלף רוב הסיכויים שהוא ישאר דלוף, וכל תקנות אבטחת המידע בעולם לא יבטיחו שמידע לא ידלוף.
אופציה עתידנית מעניינת להתמודד עם הבעיה היא לעבוד למודל שפרוייקט Solid מציע.
פרוייקט Solid, שכבר הזכרתי בעבר, הוא נסיון של טים ברנרס לי, האיש שהמציא את אתרי האינטרנט, לפתור את עניין פרטיות המידע.
הרעיון של Solid הוא שהמידע שלכם *לא* ישמר אצל החברות, אלא אצל ספק מידע לבחירתם. זה אומר ששירביט לא תחזיק מידע של לקוחות, אלא תקבל גישה זמנית קצרה למידע כשהיא תצטרך אותו. ואז, אם שירביט נפרצת, אין כמעט מידע חשאי לגנוב ממנה.
מצד שני, תארו לכם מה יקרה אם אחד מספקי המידע יפרצו – והם יפרצו. אפשר אולי לדרוש שהספקים יחזיקו את המידע בצורה מוצפנת, אבל אז מה יקרה אם אנשים יאבדו את מפתחות ההצפנה? איך ישחזרו את המידע?
2. נמשיך עם פריצה אחרת לגמרי, שהתרחשה עכשיו ליצרנית ארנקי הביטקוין, Ledger.
בעולם הביטקוין יש משהו שנקרא "ארנק חומרה". זה מכשיר קטן וחזק ששומרים עליו כמויות גדולות של ביטקוין. היתרון שלו הוא שהוא עמיד – אמור להחזיק עשרות שנים – וגם מאובטח מאד. אפילו אם האקרים גונבים אותו עקרונית הם לא יוכלו להוציא את הביטקוין שיש עליו.
ארנקי חומרה נחשבים לדרך הכי בטוחה להחזיק ביטקוין. לרוב משתמשי ביטקוין הרציניים יש אחד כזה.
והנה – השבוע דלף מאגר הלקוחות המלא של אחת החברות הגדולות ביותר לייצור ארנקי חומרה: Ledger. המאגר כלל את פרטי הלקוחות שלה, מקום מגוריים ועוד כל מיני פרטים מזהים אחרים.
הנזק הפוטנציאלי פשוט עצום. להחזיק ארנק חומרה עם ביטקוין בבית זה כמו להחזיק מליוני דולרים מתחת למזרון. ברגע שהמידע דלף, פושעים יודעים לאיזה בתים לפרוץ כדי לגנוב את הארנקים שלהם. ומה לגבי זה שהארנקים מאובטחים? נו, אז הפורצים ייענו כמה דקות את דיירי הבית, עד שאלו יתנו להם את הקוד לארנק.
כמה ימים אחרי הגניבה, כבר יש דיווח של לקוח שטוען שהוא קיבל איומי סחיטה שיחטפו אותו אם הוא לא יביא למאיימים את הארנק והקוד שלו.
באותו הזמן, טרזור, המתחרים העיקריים של Ledger, הודיעו שהם מוחקים את המידע של לקוחות תוך 90 יום.
ונקנח ביפן. שם יש מסורת יפה של "משלוח עיוור", בה השולח לא יודע את כתובת הלקוח, והלקוח לא יודע את כתובת השולח. טוב לפושעים, אבל טוב גם להגנת הלקוחות.
An innovation in Japan which I think will arrive everywhere: double-blinded shipping, where neither the sender nor receiver know each other's address.
This was negotiated by a large marketplace (Mercari), which didn't want to have to walk so many users over the privacy hump.
— Patrick McKenzie (@patio11) December 23, 2020
3. בפולין יש מסורת של גרפיטי ענקיים בגודל בניין שלם. The legend of giants, בביאליסטוק, הוא אחד המקסימים שבהם.
4. חמישה לקחים כלליים חשובים שצריך ללמוד מההיסטוריה. כולם חשובים, כנראה שמרובם נתעלם. כתבה ארוכה אך נהדרת.
5. הסיפור על איך יזהר אשדות היה הראשון בישראל ששבר את הרשת.
ואם כבר חגיגות יום הולדת ליזהר אשדות, אי אפשר בלי הסיפור על המייל שלו ש"תקע" את האינטרנט. מעשה שהיה כך היה:
בליל ה-11 באוגוסט 1996, אשדות קיבל מייל מקבוצת אימייל אמריקאית שעסקה במוזיקה, והחליט לשלוח אליה בחזרה מידע על דיסק הבונוס שצורף בזמנו לאלבומו "הופעה חיה בהארד רוק קפה" > pic.twitter.com/KpxBzVmDCt
— הקופסה 🎗 (@Hakufsah) November 23, 2020
6. לו היה צדק בעולם, גם החבר'ה האלה היו שוברים את האינטרנט הישראלית
7. בהוגו 2021 יוסיפו קטגוריות למשחקי מחשב. ויפה שעה אחת קודם!
8. סדרות האנימציה הטובות ביותר של 2020. יש שם כמה דברים טובים (lower decks, She-ra), כמה דברים מסקרנים, וגם את העונה הרביעית של ריק ומורטי, שקשה לתת לה קומפלימנטים חיוביים.
9. מזה כמה שבועות שעונג שבת, הטור השבועי המיתולוגי של גיאחה, חזר, ואתם חייבים לקרוא אותו!
10. סיכום קולנוע אימה 2020 של סריטה. מומלץ בחום.
הבנתי מכמה מומחים אמיתיים,שחלק מהבעיה של רוב החברות המסחריות שהן משקיעות את המינימום האפשרי (רק מה שמחויבים בחוק) בהגנה.
ושאלה, אין אפשרות ,להתיחס למידע כמו חיובי כרטיס אשראי, ואם מועבר הרבה בבת אחת לא לאפשר בלי הודעה לאחראי על ההגנה?
מנסיוני גם מי שמשקיע נפרץ. הרי מאינטל ונינטנדו דלף רק לאחרונה מידע שהסב להם נזק אדיר, והם משקיעים המון מאמצים.
לא בטוח שהבנתי את השאלה, תוכלי לנסח שוב?:)
קצת פרופורציות על שירביט
פרצו לשרת הפקסים של החברה
והורידו את כל ההיסטוריה שהלקוחות שלחו
לא כל הלקוחות שם ולא כל הפרטים
א. קשה לי להאמין שיש להם "שרת פקסים". קישור?
ב. איך זה פרופורציות?