Ran Bar-Zik, dziennikarz gazety Ha-Arec, włamał się na stronę internetową Sił Obronnych Izraela i dotarł do danych osobowych dziesiątek tysięcy żołnierzy służby czynnej i rezerwistów. Natychmiast zgłosił swój wyczyn wojsku, które przystąpiło do poprawy zabezpieczeń.
Wszystko zaczęło się od pomysłu departamentu innowacji Cahalu. W poszukiwaniu pomysłów na zwiększenie efektywności i skuteczności izraelskich sił zbrojnych departament utworzył specjalną stronę internetową, na której żołnierze mogą zgłaszać własne innowacyjne pomysły i opiniować te zaproponowane przez innych.
Bezpieczeństwo strony było pozornie zapewnione. Strona nie identyfikowała żołnierzy pełnym imieniem i nazwiskiem. Zaistniał jednak błąd w zabezpieczeniach, przez który można było zdobyć nazwiska i numery telefonów wojskowych.
11 listopada tego roku wielu żołnierzy i rezerwistów otrzymało wiadomość SMS o treści: „Szalom, ____! Czy masz pomysły, które pozwolą Cahalowi stać się efektywniejszym i oszczędzać zasoby? Chcemy Cię usłyszeć! Masz realną możliwość wpłynąć na to tutaj: https://say.idf.il/xxxx. Ten link jest osobisty i nie może być przeniesiony. Utajnione pomysły mogą być wysyłane na wojskową pocztę elektroniczną: Co sądzisz? ____”.
Problemem okazał się link. W oryginalnych wiadomość w miejscu „xxxx” znajdował się indywidualny kod złożony z czterech cyfr i małych liter alfabetu łacińskiego. Po wejściu na stronę żołnierze musieli potwierdzić swoją tożsamość, podając imię i wojskowy adres e-mail. Kody złożone były z kolejnych cyfr i liter.
Jak tłumaczy Bar-Zik, w takiej sytuacji wystarczy, że haker będzie wpisywać kolejne kombinacje znaków, aby zorientować się, jak działają wewnętrzne zasoby strony. Kolejnym krokiem jest napisanie prostego programu, który będzie sprawdzać kolejne linki i zbierać powiązane z nimi dane. Tak uczynił dziennikarz. Z racji liczby zaproszonych do udziału w programie żołnierzy i rezerwistów włamanie się na każde z kont wymagało relatywnie niewielu prób. Przy stu tysiącach żołnierzy w bazie danych do trafienia właściwego kodu wystarczy 160 podejść. Było to tym łatwiejsze, że strona umożliwiała wielokrotny dostęp.
Kontynuując swój wywód, Bar-Zik wskazuje, jakie podstawowe błędy popełnił departament innowacji. Zhakowanie strony byłoby trudniejsze, gdyby kody były złożone z losowych kombinacji alfanumerycznych, a dostęp do danych żołnierzy – chroniony hasłem. Kolejnym, banalnym, zabezpieczeniem jest blokowanie adresu IP usiłującego wielokrotnie połączyć się z nieistniejącymi zasobami.
Cahal szybko zareagował na informacje dziennikarza. Dostęp do strony zablokowano, a po wznowieniu jej działalności do zalogowania konieczne są nazwa użytkownika i hasło. Biuro rzecznika Sił Obronnych Izraela zapowiedziało dokładne zbadanie sprawy i przyswojenie wniosków.
Izrael jest znany ze swoich cyberszpiegów i dużej uwagi przykładanej do cyberbezpieczeństwa, jednak nawet tam zdarzają się widowiskowe wpadki. W roku 2014 grupa syryjskich hakerów Syrian Electronic Army włamała się na anglojęzyczne konto rzecznika Sił Obronnych Izraela na Twitterze i zamieściła fałszywą informację o przecieku w elektrowni jądrowej Dimona w wyniku ataku rakietowego.
Ran Bar-Zik pisze dla Ha-Arec na tematy związane z cyberbezpieczeństwem. Jego głównym zajęciem jest jednak praca jako deweloper dla Verizon Media, amerykańskiej grupy medialnej, w której skład wchodzą między innymi Yahoo i Huffington Post.
Zobacz też: Hakerzy wykradli gry komputerowe US Army
(haaretz.com)
Israel Defense Forces
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS