Recreating Cybercloud Safeguarding Today

Cyber Security Blog
Blog with us, and Navigate the Cyber Secrets with Confidence!

We are here for you, let us know what you think

Jul 22, 2012

BComSECURE ייעוץ לאבטחת מידע: מהו סקר סיכונים והתהליך המקדים לניהול סיכונים

BComSECURE ייעוץ לאבטחת מערכות מידע
סקר סיכונים התהליך המקדים לניהול סיכונים ארגוני:
ניהול ע"פ הערכות סיכון ניהול סיכונים - הוא תהליך שמטרתו לאתר סיכונים, פגיעויות, עוצמות פגיעה ונזקים, למידע הארגוני הקריטי והחשוב, באמצ...

Jun 20, 2012

פרשיית דליפת מרשם האוכלוסין 'אגרון' - עידכונים

היסטוריה
פרשיה זו התגלתה כמאגר מידע רגיש שנפרץ ונגנב מרשויות המדינה (משרד הפנים ומשרד הרווחה).
התלונה הראשונה (2007) הוגשה למשטרה במטרה כי תבצע חקירה למציאה ומניעה של תופעה הידועה ברשת השיתוף כ"אגרון" ראשית ההפצה החלה ב2006 2007.
בתום בדיקה של מחלקת החקירות וההונאה במשטרת ישראל, הוציע המשטרה מסקנה - לא ניתן להגיע למסקה, העבריין פלוני.
ב2009 הוקמה מחלקת חקירות ברשות המשפט טכנולוגיה ומידע - רמו"ט, אשר החלו בגיבוש מומחים יועצים כדי שיסייעו לחקירה, החקירה הסתיימה ב- 2011 והוגשה לפרקליטות שהגישה תביעה כנגד שש עבריינים הקשורים לגניבת והפצת המאגר. המשפט יחל ביוני 2012.

התהליך
תהליך בניית Time Line המשקף את כל מהלך העבירה מהוצאתו ממשרד הפנים ועד להפצתו באינטרנט מפורט בסרטון זה שפרסם הרמו"ט


למי שאינו יכול להפעיל את הסרטון להן ראשי פרקים לתהליך:
בשנת 2006 מעביר משרד הפנים העתק מאגר לשימוש משרד הרווחה.
עובד חברת כוח אדם במשרד הרווחה (מיקור חוץ), שהיה הגורם המקצועי שאחראי על מאגר פיתוח אפליקציה סביב המאגר במשרד הרווחה, נהג לקחת את המאגר לביתו באמצעות זיכרון שליף ובניגוד לחוק.

אותו איש מחשבים באחת מן הפעמים הוא העביר עותק מלא של מרשם האוכלוסין לאיש מחשבים בישיבה בה למד בירושלים, המתקין את המאגר על שרת הישיבה ומעביר עותק לאחד מחבריו, גם הוא מאנשי הישיבה.

אותו אדם מוכר את המרשם לאדם אחר, טכנאי מחשבים מקצועי הפועל כאספן של מאגרי מידע שרכש אותו תמורת סכום של כמה אלפי שקלים. האספן מעביר את המרשם בתוספת מרשמים אחרים, למתכנת שיצר את התוכנה הידועה 'אגרון', מתוך מטרה להמשיך לשווק אותה ולהפיק ממנה רווח כספי.

וכך נמכרה בתחילה האגרון עד שאדם פלוני אלמוני פורץ את התוכנה ומפיץ אותה ברשת קהילה קטנה, משם עברה ידיים עד שהגיעה לאדם שכינויו "ארי", שהעלה אותה לרשת האינטרנט ורשת השיתוף בפרסום תוך מתן הסברים על חומרת המידע המצוי בה.

כפי שצוין המשפט יחל במהלך יוני 2012 ואנו נעקוב אחר זה.

פוסטים נוספים

Jun 11, 2012

הרגולטור הממשלתי מפרסם מסמך תקנות אבטחת מידע

רמו"ט ומחלקת ייעוץ וחקיקה ממשרד המשפטים, מפרסמות מסמך טיוטה המגדירה תקנות אבטחת מידע על פי חוק הגנת הפרטיות לעיון הציבור ובקשה להערות אם יש. התקנות מגיעות בעקבות הפקת לקחים של שתי פרשיות חשבוות בם עסקו אנשי רמו"ט והם: פרשת הפצת מרשם האוכלוסין הידוע בעיקר בשם "אגרון" וכן פרשת "ההאקר הסעודי".
נבצר ממני מדוע אין הרשות מפרסמת בשלב זה גם טיוטה לתקנה חשובה לא פחות, המתבססת על איסוף מידע למאגר, ומה יש למנוע מבעלי מאגר ברשת האינטרנת לדרוש מלקחות מזדמנים (לפרטים נוספים קראו פוסט זה). כדוגמא לסיכום ישיבת ועדת המדע והטכנולוגיה בעניין הגנת הסייבר, שבאה לאחר אירוע האקר הסעודי. האמת היא שלא פניתי אליהם בשאלה זו, ייתכן וגם אני נדבקתי בשעננות בכל הקשור לפעולות המדינה.

לאלו המעוניינים להתעמק בתקנות לחצו כאן

May 20, 2012

הצעת תיקון חוק המחשבים - האם מישהו באמת חשב על כך

הוזמנתי לועדת החוקה בכנסת...
במטרה להשתתף בדיון הנוגע להצבעה בקריאה ראשונה של הצעת תיקון לחוק המחשבים 1995 ביוזמת ח"כ רוחמה אברהם.
חברי קהילת ה- IT ואבטחת המידע מסכימים עימי שכבר מזמן החוק דורש מספר התאמות ועידכונים.
הצעה זו נוסחה ע"י יועצים משפטים ממשרד המשפטים, הפרקליטות והיועצת המשפטית של הוועדה.

כמובן כמו בהרבה דיונים אחרים בכנסת, כשאין מצלמות או שידורים חיים, חברי הועדה אינם מופיעים, במקרה זה גם יוזמת ההצעה לא נכחה בדיון או בהצבעה.
מי כן נכח, נציגי משרד המשפטים, נציגי הפרקליטות והמשטרה, נציג איגוד ISCA  "דורון רונן", וכן אנוכי ניר פסי בשבתי כמומחה עבירות מחשב ונציג איגוד, היועצת המשפטית לעבירות מחשב הדי רביב, עו"ד פיני עזריה החבר גם בועדה בלשכת עורכי הדין, עו"ד, איש מחשבים לשעבר עמוס תלם, וכבוד יו"ר הועדה ח"כ דוד רותם ביחד עם מזכירות הועדה.
הדיון נסב סביב שתי נושאים שהועלו לשינוי: הגדרת המונח "מחשב" כפי שמופיע בחוק, וכן סעיף 6 בחוק המדבר על קבצים מזיקים להוסיף את ענין האזנת סתר.

מדוע נדרש שינוי
המונח" מחשב" מוגדר בחוק המחשבים כמכשיר הפועל באמצעות תוכנה לעיבוד אריתמטי או לוגי של נתונים, לרבות ציודו ההיקפי, לרבות מערכת מחשבים, אך למעט מחשב עזר.  בבימ"ש מתעוררות מדי פעם סוגיות הנוגעות למכשירים הנכנסים להגדרת מחשב ואילו שיש ספק לגביהם, בסוגיות אלו נדרשים השופטים להחליט בגדר פרשנות שלהם לחוק.
בעיקר עולה הסוגיה של מכשיר טלפון, האם נכלל בהגדרת מחשב ע"פ חוק זה או לא.
ככלל כל טלפון דיגיטלי מעבד מידע באמצעות תוכנה ע"י עיבוד מידע, פיענוח וקידוד של אותות דיגיטלים והמרתם לvoice ולהיפך בשעת שיחה, כמו גם כל פעילות אחרת בטלפונים מסוג סמארטפונים הינם עיבוד מידע ולכן כולם נכללים בהגדרת מחשב, ע"פ חוק המחשבים. ההצעה של רוחמה אברהם היתה להוסיף מכשיר טלפון, לדידי הדבר מיותר, משום שטלפונים באשר הם, נכנסים להגדרה הקיימת ולכן אין כאן בעיה. ברם, עצם ההגדרה ניתנת להרחבה כך שלא תאפשר ספקות מיותרות, וכדאי להוסיף, כל מכשיר אשר מעבד מידע. אין יותר כללי מזה להגדיר כל אמצעי מחשוב ומין הראוי כי זה יכנס לחוק.
קיימת עוד סוגיה לדידי שיש לשים לה לב והיא המילה פועל., ההגדרה בחוק מופיע בזו הלשון: "מחשב" - מכשיר הפועל באמצעות תוכנה לעיבוד אריתמטי או לוגי של נתונים, לרבות ציודו ההיקפי, לרבות מערכת מחשבים... אך למעט מחשב עזר.  
כשאנו מתייחסים למילה הפועל יש לשים לב כי מחשב שאינו פועל, באם ניתפס ע"י צד אזרחי או ע"י המשטרה בצו ע"פ חוק המחשבים, אין התפיסה חוקית משום היותו במצב שאינו פועל וכך לא נופל להגדרתו כמחשב בחוק המחשבים כי אם להגדרת חפץ ע"פ סדר הדין. לשתי הסוגיות האלו החליטה הוועדה ונציגי משרד המשפטים והפרקליטות לא להתייחס, לכן ירד תיקון ההגדרה מההצבעה להצעת החוק.
נשארנו אם תיקון סעיף 6 לחוק (המדבר על נוזקות במחשב), בו ביקשה ח"כ רוחמה אברהם להוסיף את לעבירות המופעיות בסעיפים 4,5,ו-6 התייחסות לתוכנה אשר סוגלה לביצוע האזנת סתר ולהפנות לחוק האזנת סתר, פעולת ההפניה לחוק האזנות סתר היא במקומה, רק השאלה הנשאלת האם כל פעולת האזנה שתוכנה מבצעת נכללת בחוק האזנות סתר?

מה מגדיר חוק האזנות סתר כ"האזנה"?
ע"פ ההגדרות בחוק האזנת סתר 1979, " האזנה - האזנה לשיחת הזולת, קליטה או העתקה של שיחת הזולת והכל באמצעות מכשיר ". עוד מגדיר החוק " האזנת סתר - האזנה ללא הסכמה של אף אחד מבעלי השיחה ". כמדומני ביקשתי הבהרה מנציגי משרד המשפטים מדוע ההפניה ניתנת רק לחוק האזנות סתר ולא מרחיבים את ההגדרה, נדרשתי לדוגמא ונתתי (היום כל כמעת כל אפליקציה חוקית שאנו מורידים מבצעת האזנה למידע הקיים במכשיר הסמאטפון או הטאבלט הנוגע למשל למידע לגבי מיקום שלנו, בשל כך לא ניתן להאשים אדם המקבל מידע על מיקומך מבלי שרצית זאת, גם סוס טרויאני היושב במחשב ומדי פעם מבצע צילומי מסך פשוט שולח מדי כמה דקות תמונה בקובץ של פלט המסך למחשב מרוחק, גם זה לא נכלל בחוק האזנות סתר ולכן לא ניתן להחיל עליו את הדין בגלל שחוק האזנות סתר אינו מטפל בפעולות שאינם שיחה.

בנקודהזו קיבלתי מבט מזוגג ועיניים טועות מפרקליטות המדינה ומשרד המשפטים שלא הבינו כלל על מה אני מדבר, בעוד שחברי לדיון, עו"ד פיני עזריה ואחרים ניסו להסביר את העמדה לנציגי המדינה אך גם יו"ר הועדה שאינו מבין דבר בענין והיועצת המשפטית של הועדה החליטו לא להתייחס לסוגיה, בסופו של דבר אושרה ההצעה בקריאה ראשונה ("יו"ר הועדה ח"כ רותם וח"כ מקלב שנכנס רק לשם ההצבעה),  יחד הצביעו ברוב קולות, כדברי היו"ר וההצעה עברה.

מסקנות
אם ביצעו אצלכם חיפוש ותפסו מחשבים או טלפונים שאינם פועלים, תצהירו על כך בפני מבצעי הצו ואח"כ תטענו כי התפיסה לא היתה חוקית אם אושרה על פי חוק המחשבים והמידע שהוצע ממחשבים שאינם פועלים הינו בגדר הגדרת חפץ ואינו עונה להגדרה של מחשב על פי חוק המחשבים.
Subscribe to: Posts (Atom)