Ran Bar-Zik, dziennikarz gazety Ha-Arec, włamał się na stronę internetową Sił Obronnych Izraela i dotarł do danych osobowych dziesiątek tysięcy żołnierzy służby czynnej i rezerwistów. Natychmiast zgłosił swój wyczyn wojsku, które przystąpiło do poprawy zabezpieczeń.
Wszystko zaczęło się od pomysłu departamentu innowacji Cahalu. W poszukiwaniu pomysłów na zwiększenie efektywności i skuteczności izraelskich sił zbrojnych departament utworzył specjalną stronę internetową, na której żołnierze mogą zgłaszać własne innowacyjne pomysły i opiniować te zaproponowane przez innych.
Bezpieczeństwo strony było pozornie zapewnione. Strona nie identyfikowała żołnierzy pełnym imieniem i nazwiskiem. Zaistniał jednak błąd w zabezpieczeniach, przez który można było zdobyć nazwiska i numery telefonów wojskowych.
11 listopada tego roku wielu żołnierzy i rezerwistów otrzymało wiadomość SMS o treści: „Szalom, ____! Czy masz pomysły, które pozwolą Cahalowi stać się efektywniejszym i oszczędzać zasoby? Chcemy Cię usłyszeć! Masz realną możliwość wpłynąć na to tutaj: https://say.idf.il/xxxx. Ten link jest osobisty i nie może być przeniesiony. Utajnione pomysły mogą być wysyłane na wojskową pocztę elektroniczną: Co sądzisz? ____”.
Problemem okazał się link. W oryginalnych wiadomość w miejscu „xxxx” znajdował się indywidualny kod złożony z czterech cyfr i małych liter alfabetu łacińskiego. Po wejściu na stronę żołnierze musieli potwierdzić swoją tożsamość, podając imię i wojskowy adres e-mail. Kody złożone były z kolejnych cyfr i liter.
Jak tłumaczy Bar-Zik, w takiej sytuacji wystarczy, że haker będzie wpisywać kolejne kombinacje znaków, aby zorientować się, jak działają wewnętrzne zasoby strony. Kolejnym krokiem jest napisanie prostego programu, który będzie sprawdzać kolejne linki i zbierać powiązane z nimi dane. Tak uczynił dziennikarz. Z racji liczby zaproszonych do udziału w programie żołnierzy i rezerwistów włamanie się na każde z kont wymagało relatywnie niewielu prób. Przy stu tysiącach żołnierzy w bazie danych do trafienia właściwego kodu wystarczy 160 podejść. Było to tym łatwiejsze, że strona umożliwiała wielokrotny dostęp.
Kontynuując swój wywód, Bar-Zik wskazuje, jakie podstawowe błędy popełnił departament innowacji. Zhakowanie strony byłoby trudniejsze, gdyby kody były złożone z losowych kombinacji alfanumerycznych, a dostęp do danych żołnierzy – chroniony hasłem. Kolejnym, banalnym, zabezpieczeniem jest blokowanie adresu IP usiłującego wielokrotnie połączyć się z nieistniejącymi zasobami.
Cahal szybko zareagował na informacje dziennikarza. Dostęp do strony zablokowano, a po wznowieniu jej działalności do zalogowania konieczne są nazwa użytkownika i hasło. Biuro rzecznika Sił Obronnych Izraela zapowiedziało dokładne zbadanie sprawy i przyswojenie wniosków.
Izrael jest znany ze swoich cyberszpiegów i dużej uwagi przykładanej do cyberbezpieczeństwa, jednak nawet tam zdarzają się widowiskowe wpadki. W roku 2014 grupa syryjskich hakerów Syrian Electronic Army włamała się na anglojęzyczne konto rzecznika Sił Obronnych Izraela na Twitterze i zamieściła fałszywą informację o przecieku w elektrowni jądrowej Dimona w wyniku ataku rakietowego.
Ran Bar-Zik pisze dla Ha-Arec na tematy związane z cyberbezpieczeństwem. Jego głównym zajęciem jest jednak praca jako deweloper dla Verizon Media, amerykańskiej grupy medialnej, w której skład wchodzą między innymi Yahoo i Huffington Post.
Zobacz też: Hakerzy wykradli gry komputerowe US Army
(haaretz.com)
Israel Defense Forces
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS