משתמש בתשתית של בזק? אתה חשוף לסיכונים

משתמשים בבזק? ייתכן והראוטר שלכם משמש כ-access point שלא בטובתכם.

זה לא חדש, גם נטצ'יף וגם יהונתן קלינגר דיברו על זה עוד בשנת 2012, אבל אם זה הפתיע אותי ואם זה הפתיע את עדו קינן, זה בטח יפתיע אתכם.

אם אתם משתמשים בתשתית של בזק, לכו לרשת הביתית שלכם, פתחו את הטלפון שלכם או כל מכשיר אחר שבודק רשתות ותראו אם אתם רואים Bezeq Free (עם מספר מסוים) ואיכות קליטה מצוינת. נתקו את הראוטר מהחשמל. גם הרשת שלכם וגם הרשת המסתורית תעלם. למה? כיוון שבזק מקצה 10% מרוחב הפס לרשת חינמית במסגרת השירות שלה של  Free Wifi. מדובר בשירות די צולע בעולם האינטרנט הסלולרי, אבל בגדול זה מאפשר לכל אחד להתחבר לרשתות אלחוטיות כדי להנות מחיבור. הרשת שבזק מקצה היא לא על חשבונכם ואמורה להיות מבודדת מהרשת שלכם. אבל בזק משתמשת בראוטר שלכם ללא רשות וללא אישור מראש כדי לפתוח מהראוטר רשת אלחוטית גם אם אתם לא משתמשים בשירות או בכלל שמעתם עליו (כמו עבדכם הנאמן ששמע לפני שנתיים ושכח מזה).

בזק טוענים שהרשת של רק מי שנרשם לשירות נפתחת לקהל. אבל אני, וגם מפתחי ווב אחרים, לא ביקשנו להרשם לשירות ובכל זאת אני ואחרים גילינו להפתעתנו שהראוטר שלנו משמש כנקודת גישה וחושף אותנו לסיכונים. ואני חושב שכל מי שקורא כאן יתן לי את הקרדיט שאני בחיים לא נתתי הסכמה מפורשת לשירות הזה.

מה הבעיה?

זה חושף אתכם מבחינת אבטחה – ברגע שלתוקף פוטנציאלי יש גישה לרשת שלך, הוא יכול להכנס לראוטר (במיוחד אם לא שינית את שם המשתמש והסיסמה הדיפולטיביים – בנטגיר זה Admin Admin) ומשם להשיג בקלות את הסיסמה שלך ואז להכנס אל רשת המחשבים שלך דרך הרשת הרגילה ולעשות מגוון התקפות שונות ומשונות.

עבור מפתחי ווב, שאמורים לאבטח את הרשת הפנימית שלהם, לעתים גם באופן חוזי, ולא לאפשר לאיש מלבדם גישה אליה זה מהווה גם הפרת חוזה פוטנציאלית כלפי לקוחות. באופן אישי, יצא לי לעבוד עם לא מעט לקוחות שהייתי צריך להתחייב מולם על פרוטוקול אבטחה מסוים – כמו למשל מחשב מוגן בסיסמה, הצפנת קבצים, שימוש במפתח הצפנה לתקשורת – הפירצה הזו של בזק היתה יכולה לגרום לי כאב ראש לא קטן ולסכן את היחסים שלי עם הלקוחות.

איך בודקים אם זה קיים אצלכם?

מאוד פשוט, עומדים קרוב לראוטר שלכם, לוקחים טלפון נייד ובודקים את רשת ה-wi-fi. תראו את הרשת שלכם. האם אתם רואים רשת Bezeq Free (עם מספר כלשהו) בעוצמה חזקה? אם כן, נתקו את הראוטר שלכם מהחשמל. הרשת שלכם תעלם. האם רשת Bezeq Free גם היא נעלמה? אם כן, הרשת שלכם משותפת על ידי בזק.

איך משביתים את זה?

אם אתם מעוניינים בשירות הזה, כמובן שאין צורך בהשבתה שלו. אבל במידה ולא (כמוני), אתם יכולים להתקשר לתמיכה הטכנית של בזק והם יסירו את זה. אם אתם לא מעוניינים לדבר עם התמיכה הטכנית (כי שיניתם למשל את סיסמת הכניסה לראוטר, מה שאתם חייבים לעשות אם אתם שומרים על רמת אבטחה בסיסית). אז השינוי הוא פשוט ביותר: פשוט נכנסים לממשק השליטה של הראוטר, בוחרים ברשתות האלחוטיות הזמינות. הרשת של בזק היא הרשת השניה. אפשר לראות איך מסך הניהול של הרשתות נראה בצילום המסך הזה:

ממשק ניהול הרשתות האלחוטיות בראוטר של נטגיר
ממשק ניהול הרשתות האלחוטיות בראוטר של נטגיר

הבעיה היא שמומחי האבטחה של בזק "חסמו" את האפשרות לעשות שינויים. אנו "נפרוץ" את החסימה הקשה באמצעות העפת תגיות ה-disabled מהפקדים המתאימים כדי לאפשר עריכה. אפשר לעשות את זה באופן ידני או באמצעות לחיצה על F12 בכרום והעתק הדבק של השורה הבאה ב-console:


var inputs = document.getElementsByTagName('input'); 
for (var i=0 ; i<inputs.length ; i++){  inputs[i].removeAttribute('disabled'); }

שימו לב שאתם מקנפגים את ה-target frame שלכם למקום הנכון. במקרה של נטגיר: WLG_wireless3.htm

בחירת פריים בנטגיר באמצעות הקונסולה
בחירת פריים בנטגיר באמצעות הקונסולה: חץ קטן שלידו כתוב top frame. יש ללחוץ על החץ ולשנות לפריים הנכון. אם אתם לא בטוחים מה הפריים הנכון, חיזרו על הפעולה בכולם.

אחרי ההעתק-הדבק, פשוט ללחוץ enter, הכל יהיה אפשרי לעריכה וכל מה שנצטרך לעשות זה לשנות את שם הרשת וכן לציין שאתם לא מעוניינים ברשת הזו. זה הכל.

לסיכום

למרות שהשירות של בזק מאוד נחמד, אולי הם צריכים להקפיד שרק מי שביקש את השירות באופן הכי מפורש שאפשר יקבל אותו. אני וגם אחרים, שאי אפשר להאשים אותם בחוסר ידע, מאוד הופתענו שגילינו שהרשתות האלחוטיות שלנו חשופות באופן כזה. לי יש לקוחות ומידע רגיש שאני לא מעוניין לחשוף מבחינה אבטחתית, ולפיכך כל המידע על המחשבים שלי מוגן ברמה הגבוהה ביותר שאני יכול לאפשר לעצמי. פירצה כזו סיכנה אותי ואת הלקוחות שלי.

 

פוסטים נוספים שכדאי לקרוא

ספריות ומודולים

מציאת PII באמצעות למידת מכונה

כך תגנו על משתמשים שלכם שמעלים מידע אישי רגיש כמו תעודות זהות באמצעות שירות אמאזוני.

גלילה לראש העמוד