לא פעם בפורום הזה יש לנו דיונים, ואף וויכוחים, לגבי רף כניסה ראוי ל-"הייטק", ולרוב כשאנשים אומרים "הייטק" הם מתכוונים למקצוע פיתוח תוכנה, ולא ל-1001 מקצועות נושקים שנחוצים כדי שהתעשייה שלנו תתקיים.
אז היום נתקלתי בכתבה הזו:
www.nbcnews.com
נראה, שאתר באחריות של ממשל מדינת מיזורי בארה"ב, שנועד להציג מורים בבתי הספר השונים של המדינה כדי לאפשר להורים לעמוד על טיב המוסדות החינוכיים לשם ישלחו את ילדיהם, פותח בצורה כ"כ רשלנית, שהשאיר בתוך ה-html הפתוח של העמוד שמציג כל מורה, את מספר הביטוח הלאומי שלהם (social security).
זה הזכיר לי מקרה דומה שקרה בארץ, כאשר אתר הכנסת כלל בתוך ה-HTML את מספרי ת.ז. של חברי הכנסת.
התיקון הראשון שעשו ב-"מחשוב ממשלתי" בארץ היה "להצפין" את המספרים עם base64.
מה שמעניין במקרה מארה"ב, הוא שלמרות שהעיתונאי שגילה את הפשלה (אני לא יכול לקרוא לזה פרצה), נהג בצורה אחראית, והודיע להם לפני הפרסום, תוך שהוא נותן להם זמן סביר לתקן את הבעיה, לפני שהכתבה תעלה לאוויר.
מה שכאמור מהווה נוהל מקובל אצל חוקרי אבטחה.
אלא שהארגון האחראי לא רצה לצאת באור רע, ושכנע את מושל המדינה להעמיד לדין את העיתונאי ולתבוע את העיתון כולו באשמת "פרצה למערכת מאובטחת".
אבל מה שמעניין אותי בכל הסיפור זה - מי כתב את האתר?
מה בדיוק עבר בראש של אותו מפתח כשהוא החליט להוסיף את ה-"פיצ'ר" הזה למערכת?
להבנתי, חשיפת מספר social security עבור אמריקאי היא אפילו יותר בעייתית מחשיפת מס' ת.ז. עבור ישראלי, בהתחשב בכך שאין להם שם באמת מערכת זיהוי כלל ארצית כמו שיש לנו, והמספר הזה נותן את כל מה שצריך כדי לגנוב למישהו זהות.
אז מה בדיוק היו הכישורים של המפתח החביב?
מי העסיק אותו?
מי בדק את הקוד שלו?
האם אחרי שהמקרה התגלה היו לזה השלכות על התעסוקה שלו?
והאם אתם באמת ובתמים חושבים שעדיין אין הצדקה לפקפק ב-IQ של הבן אדם הזה?
אז היום נתקלתי בכתבה הזו:
Missouri governor calls for prosecution of journalist who flagged website flaw
The flaw exposed teachers' personal data, but cybersecurity law experts say prosecution could have a chilling effect on others who discover such vulnerabilities.
www.nbcnews.com
נראה, שאתר באחריות של ממשל מדינת מיזורי בארה"ב, שנועד להציג מורים בבתי הספר השונים של המדינה כדי לאפשר להורים לעמוד על טיב המוסדות החינוכיים לשם ישלחו את ילדיהם, פותח בצורה כ"כ רשלנית, שהשאיר בתוך ה-html הפתוח של העמוד שמציג כל מורה, את מספר הביטוח הלאומי שלהם (social security).
זה הזכיר לי מקרה דומה שקרה בארץ, כאשר אתר הכנסת כלל בתוך ה-HTML את מספרי ת.ז. של חברי הכנסת.
התיקון הראשון שעשו ב-"מחשוב ממשלתי" בארץ היה "להצפין" את המספרים עם base64.
מה שמעניין במקרה מארה"ב, הוא שלמרות שהעיתונאי שגילה את הפשלה (אני לא יכול לקרוא לזה פרצה), נהג בצורה אחראית, והודיע להם לפני הפרסום, תוך שהוא נותן להם זמן סביר לתקן את הבעיה, לפני שהכתבה תעלה לאוויר.
מה שכאמור מהווה נוהל מקובל אצל חוקרי אבטחה.
אלא שהארגון האחראי לא רצה לצאת באור רע, ושכנע את מושל המדינה להעמיד לדין את העיתונאי ולתבוע את העיתון כולו באשמת "פרצה למערכת מאובטחת".
אבל מה שמעניין אותי בכל הסיפור זה - מי כתב את האתר?
מה בדיוק עבר בראש של אותו מפתח כשהוא החליט להוסיף את ה-"פיצ'ר" הזה למערכת?
להבנתי, חשיפת מספר social security עבור אמריקאי היא אפילו יותר בעייתית מחשיפת מס' ת.ז. עבור ישראלי, בהתחשב בכך שאין להם שם באמת מערכת זיהוי כלל ארצית כמו שיש לנו, והמספר הזה נותן את כל מה שצריך כדי לגנוב למישהו זהות.
אז מה בדיוק היו הכישורים של המפתח החביב?
מי העסיק אותו?
מי בדק את הקוד שלו?
האם אחרי שהמקרה התגלה היו לזה השלכות על התעסוקה שלו?
והאם אתם באמת ובתמים חושבים שעדיין אין הצדקה לפקפק ב-IQ של הבן אדם הזה?