 |
/images/archive/gallery/292/241.jpg
צילום הדמיה: פלאש 90; למצולמת אין קשר לכתבה  |
|
|
| אל תלשינו למשטרה באינטרנט |
|
| טפסי ההלשנה באתר המשטרה אינם מאובטחים, והאקרים יכולים לשאוב מהם מידע על המלשינים. המשטרה: החוק לא מחייב אבטחה |
|
|
|
|
|
|
|
|
|
|
בימים טרויאניים שכאלה, אפשר לצפות ממשטרת ישראל למוּדעוּת אבטחת מידע מוגברת. הציפייה תהיה לשווא: המשטרה מאפשרת לגולשים להלשין לה על פשעים דרך האינטרנט, בטפסים מקוונים שהעלתה באתרה, אלא שהטפסים הללו לא מאובטחים, ומאפשרים להאקרים לצותת להם בקלות יחסית, תוך חשיפת פרטי המתלוננים.
"ראית, שמעת? חשוב לנו לדעת!", נכתב בעמוד פניות הציבור באתר המשטרה. "אנו מעונינים לקבל ממך מידע שעשוי לחשוף תופעות עברייניות ופשיעה, לגלות עבריינים ולמנוע פשיעה המידע שתעביר לנו באמצעות האתר, יגיע לגורם המקצועי במשטרה בלבד ולא לגורמים חוץ-משטרתיים, שאינם מוסמכים לעיין בו. בפנייה אלינו אתה רשאי להישאר אנונימי לגמרי - אינך צריך להזדהות. עם זאת, העברת הפרטים שלך תאפשר לנו לחקור את הנושא טוב יותר וכן תאפשר לנו לפנות אליך במקרה ונזדקק במידע נוסף".
העמוד מפנה ל"טופס ראית שמעת", שאינו מאובטח ב-SSL. טופס נוסף שאינו מאובטח הוא טופס ההלשנות של יחידת הפשיעה הכלכלית. "בדיוק כמו שאתה לא הולך ושם את כרטיס האשראי שלך באתר לא מאובטח, לא כדאי לתת פרטים אישיים באתר לא מאובטח, על אחת כמה וכמה כשאתה יודע שיש סיכון אישי, במיוחד אם מדובר בעולם התחתון", אומר שון כהן, מנהל תפעול ראשי של הסניף הישראלי של ארגון אבטחת המידע הבינלאומי (ISSA). "מדובר פה במידע מאוד מאוד אישי. אדם לא סתם הלך ועשה את זה דרך הרשת – הוא חש סיכון מסוים, יותר נוח לו לעבוד מהרשת מאשר לפנות למשטרה בטלפון או בעל פה".
כהן מסביר שתעודה דיגיטלית בפרוטוקול SSL נועדה להבטיח שני דברים:
האחד, שהגולש יידע שהאתר אליו הגיע הוא אכן אתר המשטרה הרשמי. בהיעדר תעודה כזאת, הגולש חשוף לנסיונות הונאה של האקרים זדוניים, שעלולים לנסות להפילו בפח. "אפשר לעשות מה שנקרא DNS Poisoning, לגרום לדפדפן שלך להגיע לאתר שלי במקום למשטרה", מסביר כהן. מאותו רגע, כל מידע שיספק הגולש לאתר, ילך בלי ידיעתו להאקר במקום למשטרה.
השני, שהמידע שהגולש שולח בטופס יועבר בצורה מוצפנת, ולא בטקסט נקי (clear text). היעדר ההצפנה מקל על האקרים להשיג את המידע שנשלח – ברגע שהוא בידיהם, הם יכולים לקרוא אותו בלי שיצטרכו לנסות ולפרוץ את ההצפנה. "לשרת שלהם יש כתובת. כהאקר אני יכול להריץ כלי סריקה על הכתובת הזאת. אם יש האקר שהוא man in the middle [יושב על התעבורה בין הגולש לשרת המשטרתי], הוא יכול להפעיל כלי פריצה ולראות את כל מה שכתוב שם. היה והמסר נשלח בטקסט נקי, אני אוכל לקרוא אותו".
מהמשטרה נמסר בתגובה: "החוק קובע שכל טופס שיש בו תעודת זהות, מומלץ שיהיה מוגן על ידי פרוטוקול SSL. בטופס של היחידה הכלכלית יש את פרטי המוסר אך לא תעודת זהות. בטופס של האתר המרכזי (Witness.asp) יש פרוטוקול SSL בזמן שליחת הטופס, ולא בזמן המילוי. הנושא בטיפול כך שגם בעת מילוי הטופס, האזרח יראה שהוא אכן נמצא באתר מאובטח".
|
|
 |
|
 |
|
|
|
| |
| |
|
|
| |
|
|
|
