בזמן האחרון אני משתעשע בפוסטים על אבטחת מידע. מה שהכי כיף הוא שהפדיחות של אבטחת המידע שאני מגלה בכל רגע נתון הם כל כך טריוויאליות שאפילו הבת שלי בגיל 5 לא היתה נופלת בהן. הנה דוגמה ממש מצחיקה שיכולה להיות דוגמה לכל.
נניח ואתם רשות ממשלתית, כמו רשות החברות הממשלתיות. כמו כל רשות, אתם מחויבים לפרסם דו״חות כספיים. אבל חלק מהדו״חות האלו מסווג. טוב, לא כל דבר אפשר לפרסם. נכון? אז איך מצנזרים דו״ח? זה קל, פשוט משחירים אותו. בוא ונדגים:
אז הנה המידע המסוווג ביותר בעולם: משמעות החיים והקיום היא 42 אבל אתם לעולם לא תדעו אותו כי הוא מושחר! MUHAHAHAHA.
באמת? כל ילד יעשה את הדבר הבא: פשוט יסמן את הטקסט עם העכבר ויראה את מה שרציתי לכתוב!
טוב, נראה כמו ניסיון הצנזורה הכי פתטי ביקום, נכון? אבל אנחנו אנשים מבוגרים וכשאנחנו לא רוצים לחשוף משהו, אנחנו פשוט נחליף את הטקסט ב-X או בריבוע שחור ממשי. למשל:
█████████████████████████████
רגע, כשאמרתי שאנחנו אנשים מבוגרים התכוונתי לכך שאנחנו בעצם אנשים מבוגרים שלא עובדים בממשלה.
שימו לב למשל לדו״חות של רשות הדואר מהשנים האחרונות שפרסמה רשות החברות הממשלתיות. בעמוד 54, יש מידע סודי ורגיש עד מאוד שהדואר רצה לצנזר:
קרן התחקירים, שייסד תומר אביטל, שאלה את רשות החברות הממשלתיות מדוע צונזרו חלקים של הדו״ח הזה. שאלה מצוינת, לא? הנה מה שהרשות אמרה:
"בהתאם לדין הקיים, החברות הממשלתיות אינן מחויבות בפרסום הדוחות הכספיים לציבור […] לחברות קיימת זכות להשמיט מידע בהתאם לחוק חופש המידע (סעיף 9) […] החברה השמיטה את המידע מסיבות מסחריות […] ככל שנדרשים נימוקים פרטניים, יש לפנות ישירות לחברה".
אך המזל הוא שלרשות קרן התחקירים עומדים מיטב ההאקרים, האקרים, אנשים שמבינים מעולה במחשב, אנשים שיודעים לעשות copy&paste והצליחו לחלץ את המידע הגנוז. כיביתי את האור בחדר, שמתי על עצמי קפוצ׳ון ומסיכת גיא פוקס והצלחתי לשחזר את הפיצוח. שימו לב:
הקרן לתחקירים גם פרסמה הודעה עם המידע באופן יותר מסודר (הם טרחו לעצב קצת את הטקסט)
מה שהכי יפה הוא, שזו לא פעם ראשונה. הגולש הידוע הלמו, שמתמחה בעשיית בושות למערכת החוק ולממשלה, כבר עלה על דברים כאלו בשנת 2015:
תודו שזה פשוט נהדר. לא מזמן השוויצו בממשלה שהם ערוכים לכל איומי הסייבר. אני ממש מקווה שהם מתכוננים טוב, כי בינתיים תוקפים חמושים בתוכנת אדובי וביכולת לעשות copy&paste עושים שמות ב׳צנזורה׳ שמנסים להטיל פה על מסמכים. אני לא יודע אם לצחוק או לבכות. באמת.
אני מודה מאוד לגיא זומר שהביא לתשומת לבי את ׳הפריצה׳ הזו. ובבניין הסייבר ננוחם.
דורון אדלר הוסיף בדיון בפייסבוק שגוגל מאנדקס את הטקסט במסמך בלי קשר לעיצוב שלו, אז מספיק בת׳כלס חיפוש בגוגל כדי למצוא את הטקסט ׳הסודי׳. יש מצב שגם אחרי ״תיקון הפירצה״, התוכן עדיין יופיע ב Google Cache וב archive.org וניתן לחיפוש.
מתי תפתח כבר קורס סייבר בלוקצ'יין javascript (מסיכה חינם לכל הנרשמים מוקדם)?
כנ"ל קרה עם תמלילי ועדת צמח בשנת 2013.
אבל מאז התקדמנו שנות אור… וחזרנו לאותה נקודה.
חחחחחחחחחחחחח גדול! נפלתם בפח!
חשבתם אולי שהם עשו את זה בכוונה?