Wednesday, December 23, 2015

מדינת ישראל נגד ניר עזרא - השלכות פסיקת בית המשפט העליון על פעילות מנועי חיפוש חוקרים ורובוטים אגרסיביים רע"פ 8617/14 רע"פ 8464/14

רובוט חיפוש עבריין מחשב
מאת אמיתי דן popshark1@


כל מידע "הנכנס" למחשב – בין שנוצר על-ידי מחשב אחר ובין שנוצר כתוצאה מפעילות המשתמש במחשב מקים את הדרישה ההתנהגותית בעבירה

במהלך יום שלישי האחרון (‏ג' בטבת התשע"ו (‏15.12.2015), בית המשפט העליון עסק באופן תקדימי בערעור משפטי בנושא חדירה לחומר מחשב, מטרת מאמר זה הנה להסביר מדוע החברות שמפעילות מנועי חיפוש אוטומטיים וסורקים מסוגים שונים, הופכות עכשיו לעברייניות בכל הקשור לפעילותן בתחומי השיפוט בישראל, בדיוק כמונו חוקרי אבטחת המידע שכעת לא נמהר לדווח על פרצות שמסכנות את האזרחים.

אין סיבה לרובוט יהיה מותר משהו שלי כחוקר אסור, וזה מה שבית המשפט בעצם קבע בלי לשים לב.  הוא גם סייג ואמר על הדרך שלכבות מזגנים ומוצרי חשמל בעלי מחשב, זה בסדר וזוטי דברים ושכח שכאלא יש גם בבתים חכמים, אבל אסור לפרוץ למטוסים.

סעיף 4 לחוק המחשבים:
"החודר שלא כדין לחומר מחשב הנמצא במחשב, דינו – מאסר שלוש שנים; לעניין זה, "חדירה לחומר מחשב" – חדירה באמצעות התקשרות או התחברות עם מחשב, או על ידי הפעלתו, אך למעט חדירה לחומר מחשב שהיא האזנה לפי חוק האזנת סתר, תשל"ט-1979".


פסק הדין מרתק ומחכים, מביא הקשרים מהמשפט העברי (שרון אהרוני-גולדנברג "האקר כהלכה? חדירה למחשב בראי המשפט העברי" מאזני משפט ח' 237 (תשע"ג)) אבל לדעתי טעו שם, בצורה שתפגע בעתיד עולם אבטחת המידע בישראל, בין היתר נפגעים שם מנועי חיפוש.

מאחר שהנושא כבר סוקר בעיתון הארץ, רוטר פורטל Law.co.il ואתר החדשות News1, אני ממליץ להתחיל שם ולחזור לפה אחרי שקראתם את ההתייחסויות עד כה, ובעדיפות לקריאה מקדימה של פסק הדין.

עיקר הטעות למיטב הבנתי היא, שבית המשפט החליט לפרש את המונח חדירה לחומר מחשב באופן רחב, וללא חובה בעקיפת חסימה בדרך ליעד, ז"א לא משנה איך נכנסת כל עוד אין לך אישור אתה עבריין, גם אם נעזרת במחשב אדם או מכונה. הוא הוסיף ואמר, שאם תהיה עקיפה של מחסום בדרך, העונש יהיה חמור יותר. לכן, נוצר מצב שבו קל מאוד לגלוש למקומות בעייתיים כנגד הוראות פסק הדין.

י. "אם כן כיצד מפרשים "חדירה" למחשב? ניתן לפרש "חדירה" במובן של השגת שליטה; קרי, כל פעולה של שליטה במחשב והפעלתו מקיימת את מונח החדירה. פרשנות חלופית – "מילולית" – מרחיבה אף יותר. לפי פרשנות זו, כל ממשק בין מחשבים (דוגמת שליחת דוא"ל) מקיים את דרישת החדירה, שכן המחשב השולח מחדיר מידע למחשב המקבל. כאמור, נראה כי דעת הרוב בספרות תומכת בגישה זו."
(המשנה לנשיאה א. רובינשטיין)


טו. "סקרנו את עמדת המלומדים ואת עמדת המשפט המשוה ואף עמדנו בקצרה על יחסו של המשפט העברי לסוגיה; ועתה – להכרעה לענייננו. דומני שיש לקבל את הדעה הרווחת בקרב המלומדים, לפיה יש לפרש את המונח "חדירה" פרשנות מרחיבה. פרשנות נאמנה לתכלית החוק, ובמיוחד במבט צופה פני עתיד, מחייבת הגדרה כללית ל"חדירה", כך שכל מידע "הנכנס" למחשב – בין שנוצר על-ידי מחשב אחר ובין שנוצר כתוצאה מפעילות המשתמש במחשב – מקים את הדרישה ההתנהגותית בעבירה. דומה שהדבר תואם גם את השכל הישר, המבקש לטעמי לצמצם "דרכי מילוט". אם נעניק למונח "חדירה" פרשנות הקשורה לטכנולוגיה ספציפית שהנמצאת היום לנגד עינינו, ניאלץ להשתתף בעל כורחנו במשחק מתמיד של "חתול ועכבר", וכידוע הטכנולוגיה דהאידנא בטבעה מהירה עשרות מונים מן החוק. באשר לפרשנות המונח "שלא כדין" דומה, כי הפרשנות הראויה למונח היא שימוש במחשב בהיעדר הסכמת בעליו. ודוק, עקיפת מכשול טכנולוגי בהחלט עשויה להיות בעלת משמעות לעניין קיומה של הסכמה לשימוש במחשב.
(המשנה לנשיאה א. רובינשטיין)


כמו שאתם רואים, בית המשפט פסק שכל מידע המגיע למחשב כלשהו, בין אם מחשב יצר אותו (כולל תוכנה , א"ד), ובין אם נוצר כתוצאה של המשתמש (ז"א בן אדם , א"ד) יוצר פעולה בלתי חוקית, כל עוד לא הייתה הסכמה של הבעלים. למיטב הבנתי ובעקבות מחקר שמתנהל על ידי בתקופה האחרונה,הפרשנות הנרחבת של בית המשפט העליון,גורמת עכשיו לכך לבעיות שלא נצפו על ידו.

בית המשפט בפסיקתו, גורם לכך שלא רק חוקרי אבטחה, חוקרים אקדמיים או גולשים, גם מנועי החיפוש  שבהם רובינו משתמשים ביום יום נכנסים כרגע תחת החוק, וכל שנותר הוא להוכיח שמנוע חיפוש כלשהו אגר נתונים בתאריך כלשהו באופן שיהווה חדירה ללא הסכמה למערכת כלשהי או למאגר נתונים אחר, וזאת בדרך לתביעה משפטית נגד המפעילה שלו הפועלים בשטח ווירטואלי או פיזי, הכפוף לחוקי מדינת ישראל.

זה לא משנה יותר אם הגדרתי לרובוטי החיפוש מה לעשות, כל עוד לא אישרתי להם להיכנס הם עבריינים עכשיו וזה שהשארתי את המחשב פתוח איננו מתיר להם להיכנס.

"טו. איני רואה סיבה מדוע יגן החוק על ראובן, שסיסמה נדרשת לשם שימוש במחשבו, אך לא על שמעון אשר לא השכיל להתקין במחשבו הגנה מסוג זה. בית ללא מנעול אינו הפקר – וכך הדין גם במחשב; והדברים נכונים במיוחד נוכח תכלית החוק (ראו פסקה י"א מעלה). מובן כי מקרים שבהם נעשה הדבר באופן תמים ללא כוונה פלילית, כפי שיתכן שיארע בסביבות עבודה, לא ייכללו בגדר האמור, בראש וראשונה כיון שבעל המחשב ש"נחדר" לא יראה זאת כחדירה שלא כדין ולא יתלונן – ונשוב לכך."

ישנם כיום מנועי חיפוש רבים שסורקים את רשת האינטרנט, החל מאתרי אינטרנט ועד לגישה למערכות בקרה רגישות, או למזגנים ביתיים. גם מנועי חיפוש רגילים (Yahoo,Bing,Google,Yandex) סורקים את הרשת ולא פעם מוצאים מוצרים ואתרים שונים שמחוברים אליה, אשר גישה אליהם הפכה להיות כיום בלתי חוקית מאחר שבעליהם לא אישר גישה אליהם, או שפשוט לא חסם את הבקר לכניסה מבחוץ בעזרת סיסמה.

במקביל, מפותחים גם מנועי חיפוש אחרים שמיועדים לחיפוש של מוצרים רגישים, כמו משאבות ראוטרים, בקרים תעשייתיים, ממשקי שליטה ובקרה ועוד. הידוע בהם נקרא Shodan אבל יש לו מתחרה סינית בשם ZoomEye. חוקרי אבטחה והאקרים, או גורמים אחרים יכולים בעזרתם של מנועים אלו להתחבר לאותם מכשירים שמופו על ידי המערכת, שאף העתיקה מהם נתונים.

לאחרונה פרסמתי מאמר שסקר פיתוחים אקדמיים, בעולם מנועי החיפוש. מאמר זה הראה כיצד שתי אוניברסיטאות יצרו בחודשיים האחרונים (University of Michigan and Northeastern University-China) מנועי חיפוש מתחרים, ששניהם מיועדים לאיתור חולשות אבטחה ככה שגם באקדמיה היום ממפים עם מנועי חיפוש מכשירים חשופי רשת, ושואבים מהם מידע מקטלגים ומפרסמים.


"Censys is a search engine that allows computer scientists to ask questions about the devices and networks that compose the Internet. Driven by Internet-wide scanning, Censys lets researchers find specific hosts and create aggregate reports on how devices, websites, and certificates are configured and deployed"

מנוע החיפוש האקדמאי Censys, סורק את רשת האינטרנט, ומאפשר לחוקרים להבין כיצד מכשירים אתרים ותעודות (אבטחה) הוגדרו והותקנו. הבדיקות הללו הינן בדיקות שמתאפשרות עקב סריקה, שכיום מוגדרת כחדירה בלתי חוקית על ידי בית המשפט.



צריך להבין, שהעובדה שתוכנת מחשב היא זו שמבצעת את פעולת החדירה ולא אדם, איננה מסירה אחריות מהשולח (הבעלים שלה).

בנוסף לאמור, להבנתי הייתה כאן טעות שיפוטית נוספת. בית המשפט העליון הבין שמזגן ממחושב המכובה על ידי מישהו אחר, הינו החריג שבו לא יהיה מקום לדון את הפורץ לדין.

שימו לב לניגודיות הבאה,סעיף ו בפסק הדין הנו השלב של ההקדמה לפסק הדין ואיננו מחייב אלא מביא את הדעה האישית, אבל בפסיקה בסעיף י”ז - מכשירים חשמליים כמו מזגן המופעלים דרך מחשב זה משהו שאפשר לכבות לפי התקדים החדש, ובעצם לקבל הגנה אם מכבים אותו, והדבר מובא באופן חד משמעי.

ו. "פיתוחים טכנולוגיים דוגמת מחשוב לביש, מכוניות אוטונומיות וארנקים סלולריים – והברכה השורה בצידם – יתקשו מאוד להשתלב במרקם החיים האנושי כל עוד השימוש בהם אינו זוכה להגנה משפטית כדבעי ואין צורך להכביר מלים; לשון אחר, לפני שהמכונית האוטונומית תעלה על הכביש, יהיה עלינו לאסדר בצורה טובה יותר את הטיפול בפצחנים המסוגלים להשתלט עליה בלחיצת כפתור, במישור הטכנולוגי וגם במישור המשפטי. הוא הדין לארנק הנייד, והדמיון עשוי להפליג, אך ככל שיפליג – לא יפליג דיו."
 

יז. בתרחיש השביעי אדם מכבה מכשיר חשמלי המופעל באמצעות מחשב – דוגמת מזגן – ללא רשות.. דבר זה גורם לכך שבתים חכמים רבים המכילים מכשירים חכמים לא יזכו להגנת החוק כנגד האקרים, או מכונות, וזאת בניגוד לחדירה למנוע של מחשב או מכונית אוטונומית.” “ברי, כי אדם המכבה מזגן ללא קבלת רשות, או צעיר ה"מסתנן" לפורום אינטרנטי סגור כעניין היתולי לא יקימו את יסודות העבירה; אך לא כן אדם המשבית את מערכת מיזוג האויר במטוס, או אדם ה"מסתנן" להתכתבויות פנימיות של בכירי משרד הביטחון. אומר שוב, מקרים מסוג זה מחייבים שימוש בשכל ישר תוך תשומת לב לתכלית החוק ולהיגיון שבבסיסו.)

יש הרבה חכמה בכך שרגולוציה פרואקטיבית, יכולה להביא להגנה טובה על מערכות. אבל האבסרוד כאן עצום. בית המשפט לא מבין שחברות שמפקירות ביודעין או במחדל את המשתמשים, כולל חברות המפתחות רכבים אוטנומיים כדבריו, מאכסנות מאגרים רגישים בטחונית לא יוכלו עכשיו לקבל התרעות מקדימות אותן התרעות שבגוף בריא מאפשרות לגוף להבריא את עצמו.

האנליסטית קרן אלעזרי חוקרת רבות את הנושא של ההשלכות החיוביות של ההאקרים על מערכת האינטרנט, והרצאתה Hackers: the Internet's immune system היא בדיוק מה שהיה חסר כאן לבית המשפט, כדי להבין את חומרת המצב שאליו הוא מכניס את מה שמחובר לאינטרנט בישראל.

אנחנו לא נתריע, והשערים ישארו פרוצים, כולל שערי הכניסה לקיבוץ שלכם, או היישוב שבו אתם גרים, אגב הם עדיין פרוצים ברובם, כי לא הקשיבו לאותן התרעות שבית המשפט מנסה לחסום, ולא לקחו אחריות על המצב, שנוצר בכלל משיטה פשוטה ויעילה שאיפשרה לפתוח מכשירים על בסיס שיחה מזוהה, משהו שכשל והתפוגג.

אישית, יצא לי להתריע בין היתר על פרצה שגרמה לאלפי מכוניות במדינת ישראל, המחוברות לרשת האינטרנט, להיחשף החוצה. פסק דין כמו זה יגרום לי לחשוב יותר מפעמיים האם לדווח בכלל, ואני בטוח שכמוני גם רבים אחרים שבאופן קבוע מתריעים על פרצות אבטחה של אתרים שמסכנים משתמשי רשת, או בעלי תשתיות קריטיות.

לדעתי בית המשפט פתח תיבת פנדורה, שתגרום לפחות אבטחה. ולמנועי חיפוש רובוטיים שמאפשרים ביקורת ובדיקה להיות בלתי חוקיים, כולל Google להיות בעתיד הלא רחוק מוגבלים חוקית, ואף נקנסים על הפרת פרטיות מעצם תפקודם בסריקת הרשת, למטרות אבטחה ואיתור מכשירים רגישים חשופי רשת, או סריקה שוטפת המביאה גם מכשירים רגישים.


במחקר האחרון שבו אני עוסק בימים אלו, אני מוכיח כיצד רובוטים ומנועי חיפוש פולשים דיגיטלית לבתים חכמים, שומרים את פרטי הגישה ומאפשרים לצפות במה שהתרחש בבית גם בדיעבד. אני יכול להבין למה הפסיקה גם גאונית, למה היא הלכה שנים קדימה,  אבל איך שאני לא מנתח את המצב מנועי החיפוש שאתם משתמשים בהם, ובכלל פעולות רובוטיות אינן חוקיות יותר לפחות עד להודעה חדשה.

אם אתם רוצים להנות קצת, ולקבל רקע נוסף אני ממליץ לצפות בסרט הבא, העוסק ברובוט פושע




מיפוי רובוטי של דפים:







אמיתי דן הנו חוקר אבטחת מידע, הנוהג להתריע על פרצות אבטחה. בעברו פעל בין היתר במסגרת מחקר רב קבוצתי באוניברסיטת תל אביב,  בנושא פרצות אבטחה בתשתיות קריטיות מחקר זה הוזמן על ידי משרד המדע.

Saturday, December 12, 2015

426 Net-Security / ICSfind Another academic tool aim to hunt for ICS&SCADA


ICSfind ( http://icsfind.com/ ) Is A new search engine, which aim to detect exposed ICS (Industrial control system) arrived to the playground, but now it's coming from the academic world China.
Since 2009, we had Shodan (created by JohnMatherly) as an ultimate tool to find critical infrastructure.
This October a new competitor Launched his activity in the west, Censys. Straight from the academic world (University of Michigan and University of Illinois - Urbana Champaign)  lead by ZakirDurumeric and based on ZMap. And now many people are seeing it as the alternative for commercial search engine Shodan, Not anymore a new player arrived, and was there silently since this October.
Yesterday I've found new tool Created in NortheasternUniversity-China, By Professor Yu Yau and his students. The tool called 426Net-Security or ICSfind. 
This  dedicated for ICS/SCADA, I really liked the UI and the simplicity. It's not a perfect tool but I think this is just the beginning. By the way here is no needs for registration, or limitation of uses.
I'm still checking it, and I would like to hear more opinion about it. The tool has only Chinese interface but it's really easy to use.
in my opinion having two new tools in one month, it's the best gift to get for the new year. 
About the change in the academic world, after years of being far away from the field and having academic paper which don't give direct help, or blocked from the public with payment system, or just great tools which never been out of the academic world - those changes makes me really happy.













סאגת הפרצות המובנות במאגר הכלבים מתקרבת לסיומה

מסתבר שכדאי להתעקש,למרות שטחנות הגנת הפרטיות טוחנות לאט.

אחד הנושאים שעסקתי בהם לא מעט וקיבל חשיפה לאחר מכן, וכן סוקר לפני ובמקביל גם לא מעט על ידי רבים וטובים כמו עו"ד יונתן קלינגר,כלי תקשורת כעיתון הארץ  Geektime ו Ynet לאורך כמה שנים טובות מקבל סוף סוף תפנית חיובית.

כתבה שנודע לי עליה שבוע שעבר, מעיתון כלכליסט (עומר כביר 18.11.2015) חשפה שבעקבות פניה של ח"כ תמר זנדברג לשר החקלאות אורי אריאל, הוא ענה לה בתגובה הבאה: "לאור התגובות שהתקבלו בציבור, ועל מנת לצמצם את הפגיעה בצנעת הפרט, אנו ממליצים לתקן את התקנות באופן שבו תבוטל אפשרות החיפוש לפי שם הבעלים"

אמנם הכותרת בכתבה מטעה, כי הפירצה הזו קיימת מעצם קיום המאגר גם בגלגול הראשון שלו באתר האינטרנט של משרד החקלאות, האפליקציה רק איפשרה פשיטה קלה יותר על המאגר מעצם היותו מאגר פתוח לציבור, שמיועד לאפשר איתור אנשים בעלי כלבים.

צריך לציין, שהתשובה הזו הגיע בעקבות דיון שנערך לאחר שנחשפו פרצות לוגיות ואחרות באפליקציה, ושאילתה כללית שהיא הגישה בנושא, אפשר לקרוא יותר על היחס שלה לפרטיות כאן.
תמר לא הייתה הראשונה שעסקה בנושא,אבל ההתערבות שלה אכן דחפה את הבעיה פעם נוספת לסדר היום הציבורי, ונראה שהיא מצאה אוזן קשבת אצל שר החקלאות הנוכחי.

בהנחה שהנושא יטופל, יהיה ניתן לאתר פרטי בעלי כלבים רק בעזרת קורא שבבים ידני, או באם ידוע מספר השבב במקרים שבהם הוא נמצא על הקולר.

באופן כללי,יש לציין שנוצרו כבר אלטרנטיביות למאגר הרשמי כגון כלב.im שאמנם מאפשר חיפוש גם לפי בעלים, אבל רק לאחר הזנה של מספר שבב ניתן לראות שם פרטי טלפון.

לדעתי האלטרנטיבה טובה יותר, ואפשר לשפר אותה  - כי היא עדיין תאפשר לאתר פרטים על כלב שנשך לפי בעלים, כמו האם הוא מחוסן, ועוד אך מבלי לחשוף פרטים נוספים כגון מקום מגורים,טלפון והלאה.

בחזרה לנקודה שציינתי בעבר, לגבי היכולת לקבל פרטים על כלב ישירות מהשבב, חשוב להזכיר קבוצה ייחודית בפייסבוק שעוזרת לאנשים לאתר פרטים של בעלי כלבים שאבדו, מבלי להזדקק לווטרינר. לקבוצה הזו קוראים "הסורקים" וזה התיאור שלה:

"מצאתם כלב? לא יודעים מה לעשות? צריכים לסרוק לו שבב? העלו תמונה שלו לפה כולל עיר. לאחר מכן, את מספר הטלפון וכתובת מדוייקת, שלחו לאחד מהמנהלים בהודעה פרטית ונשמח לעזור. אנו קבוצה של מספר עשרות אנשים, פרטיים, שמקדישים מזמנם (גם בשעות לא הגיוניות ובסופי שבוע) להגיע למקומות בהם נמצאו כלבים."

מלבד הנושא החיובי של עזרה לכלבים ולבעלים שלהם, צריך להבין שעצם קיום שבב בכלב מאפשר לאנשים זרים לאסוף מידע עליכם ישירות מהכלב, לטוב ולרע.

בישראל הראשונים שלדעתי הלכו עם זה רחוק, באופן חדשני היו Itai Levitan Maayan Dermer Shahar Zrihan, במסגרת פרוייקט מרתק שהם בנו באירוע Geekcon 2013.

הפרוייקט נקרא RFIDog, והוא הדגים איתור שבב,ומשיכת פרטים עליו באופן אלחוטי דרך קורא שבבים עם חיבור שן כחולה למחשב קצה ו RFID.

לצערי הם לא המשיכו עם הפרוייקט הזה למשהו מסחרי, ולכן ניסיתי לחפש אלטרנטיבות אחרות ולשחזר לפחות חלק מהיכולות שהוא הדגים.

המטרה הייתה לאתר מוצר, שיאפשר למי שרוצה לאתר פרטים על כלבים באופן פיזי (קריאת שבב), וזאת מבלי להוציא יותר מ30 -$40  ותוך שימוש במכשיר טלפון נייד וללא צורך בתכנות.

עשיתי חיפוש ברשת, והתברר שמאחר שכיום ניתן במכשירים חכמים לחבר USB ישירות לנייד (OTG) לא יהיה צורך ברכישת מוצר אלחוטי שייקר את העלויות, מה שעניין אותי יותר הייתה שהשיטה של כמה יצרנים סיניים היא Plug and Play לתוך תוכנת כתבן (Keyboard emulation)
בצורה שמדמה הקלדת מקלדת, משהו שאנשי אבטחה והאקרים מכירים מהדונגל USB Rubber Ducky  שמשמש בכלל לתקיפה של מחשבים.

בחזרה לשבבים, מאחר שיש תקן ישן לקריאת שבבים אפשר לרכוש דונגל בתקן FDX-A בתדר 125khz או להעדיף את התדר החדש בתקן ISO11784/85 FDX-B שסורק בתדר 134.2khz צריך לשים לב כמה מספרים הקורא יודע לקרוא, כי התקן החדש דורש 15 ספרות.

אם מישהו רוצה לבנות קיט, לדעתי המודול הבא יכול לעזור הוא תומך בשני התקנים.