דו״ח מסווג של הדואר פתוח לעיני כל בגלל פאשלה ביזארית

כך באמצעות אוריינות מחשב בסיסית אפשר לפצח צנזורה מתקדמת
מידע מצונזר בדוחות הכספיים של הדואר

בזמן האחרון אני משתעשע בפוסטים על אבטחת מידע. מה שהכי כיף הוא שהפדיחות של אבטחת המידע שאני מגלה בכל רגע נתון הם כל כך טריוויאליות שאפילו הבת שלי בגיל 5 לא היתה נופלת בהן. הנה דוגמה ממש מצחיקה שיכולה להיות דוגמה לכל.

נניח ואתם רשות ממשלתית, כמו רשות החברות הממשלתיות. כמו כל רשות, אתם מחויבים לפרסם דו״חות כספיים. אבל חלק מהדו״חות האלו מסווג. טוב, לא כל דבר אפשר לפרסם. נכון? אז איך מצנזרים דו״ח? זה קל, פשוט משחירים אותו. בוא ונדגים:

אז הנה המידע המסוווג ביותר בעולם: משמעות החיים והקיום היא 42 אבל אתם לעולם לא תדעו אותו כי הוא מושחר! MUHAHAHAHA.

באמת? כל ילד יעשה את הדבר הבא: פשוט יסמן את הטקסט עם העכבר ויראה את מה שרציתי לכתוב!

העתקת טקסט מצונזר והדבקה שלו במקום אחר כדי לראות מה הוא
העתקת טקסט מצונזר והדבקה שלו במקום אחר כדי לראות מה הוא

טוב, נראה כמו ניסיון הצנזורה הכי פתטי ביקום, נכון? אבל אנחנו אנשים מבוגרים וכשאנחנו לא רוצים לחשוף משהו, אנחנו פשוט נחליף את הטקסט ב-X או בריבוע שחור ממשי. למשל:

█████████████████████████████

רגע, כשאמרתי שאנחנו אנשים מבוגרים התכוונתי לכך שאנחנו בעצם אנשים מבוגרים שלא עובדים בממשלה.

שימו לב למשל לדו״חות של רשות הדואר מהשנים האחרונות שפרסמה רשות החברות הממשלתיות. בעמוד 54, יש מידע סודי ורגיש עד מאוד שהדואר רצה לצנזר:

מידע מצונזר בדוחות הכספיים של הדואר
מידע מצונזר בדוחות הכספיים של הדואר

קרן התחקירים, שייסד תומר אביטל, שאלה את רשות החברות הממשלתיות מדוע צונזרו חלקים של הדו״ח הזה. שאלה מצוינת, לא? הנה מה שהרשות אמרה:

"בהתאם לדין הקיים, החברות הממשלתיות אינן מחויבות בפרסום הדוחות הכספיים לציבור […] לחברות קיימת זכות להשמיט מידע בהתאם לחוק חופש המידע (סעיף 9) […] החברה השמיטה את המידע מסיבות מסחריות […] ככל שנדרשים נימוקים פרטניים, יש לפנות ישירות לחברה".

אך המזל הוא שלרשות קרן התחקירים עומדים מיטב ההאקרים, האקרים, אנשים שמבינים מעולה במחשב, אנשים שיודעים לעשות copy&paste והצליחו לחלץ את המידע הגנוז. כיביתי את האור בחדר, שמתי על עצמי קפוצ׳ון ומסיכת גיא פוקס והצלחתי לשחזר את הפיצוח. שימו לב:

הקרן לתחקירים גם פרסמה הודעה עם המידע באופן יותר מסודר (הם טרחו לעצב קצת את הטקסט)

מה שהכי יפה הוא, שזו לא פעם ראשונה. הגולש הידוע הלמו, שמתמחה בעשיית בושות למערכת החוק ולממשלה, כבר עלה על דברים כאלו בשנת 2015:

תודו שזה פשוט נהדר. לא מזמן השוויצו בממשלה שהם ערוכים לכל איומי הסייבר. אני ממש מקווה שהם מתכוננים טוב, כי בינתיים תוקפים חמושים בתוכנת אדובי וביכולת לעשות copy&paste עושים שמות ב׳צנזורה׳ שמנסים להטיל פה על מסמכים. אני לא יודע אם לצחוק או לבכות. באמת.

אני מודה מאוד לגיא זומר שהביא לתשומת לבי את ׳הפריצה׳ הזו. ובבניין הסייבר ננוחם.

דורון אדלר הוסיף בדיון בפייסבוק שגוגל מאנדקס את הטקסט במסמך בלי קשר לעיצוב שלו, אז מספיק בת׳כלס חיפוש בגוגל כדי למצוא את הטקסט ׳הסודי׳. יש מצב שגם אחרי ״תיקון הפירצה״, התוכן עדיין יופיע ב Google Cache וב archive.org וניתן לחיפוש.

פוסטים נוספים שכדאי לקרוא

בינה מלאכותית

Safeguards על מודל שפה גדול (LLM)

פוסט בשילוב עם פודקאסט וסרטון על ההגנות שאפשר להציב על LLM בסביבת פרודקשן

פתרונות ומאמרים על פיתוח אינטרנט

יישום של nonce על מנת להגן מפני התקפות injection

בפוסט הקודם הסברתי על hash עם CSP על משאבי inline – שזה נחמד ומעולה אבל פחות ישים בעולם האמיתי שבו בדרך כלל התוכן ה-inline (בין

גלילה לראש העמוד