ראיתי, כמו כל עם ישראל את מה שהולך בעמונה. כוחות צבא ומשטרה שבאו להגן על הערבים ודובר מחוז משטרתי שלא מפסיק לשקר.
ראיתי גם את הנער בן ה-12 שנפצע אנוש לאחר נסיון לרצח (בידי היס"מ) בישוב עמונה.

אמת - יש בהחלט צעירים קצת אלימים. כאלו שבימי גרוש קטיף נשמעו למועצת יש"ע וראו את התוצאות, ראינו אותם גם בחברון באים לשמור על ארץ ישראל. ייתכן שאותם צעירים עברו את הקו, אולם האחרון שרשאי מוסרית לשפוט אותם הוא אני.

אולם, כרגיל, מי שהפעיל את האלימות היו שוטרי מג"ב והחיילים. החל בהפיכת ישוב יהודי לשטח צבאי סגור, המשך בתוכנית לגרש יהודים ממבנה שנבנה באופן חוקי, על אדמות השייכות ליהודים ונתפסו בידי הערבים לאחר הטבח בתרפ"ט והמשך באלימות והחטיפות לאור היום.

בשלב הזה עלו לי בראש התמונות מימי הגירוש.

משטרת כיסופים. צולם בפלא'.

איך ארזתי את חפציי (בגדים, מחשב נייד, פלאפון ומטענים) לתוך תיק שחור, איך נסעתנו בדרכים לא דרכים,
איך קצין במדים ירוקים תפס אותנו באזור קיבוץ רעים, וצרח עלינו (במאמר מוסגר אציין כי 6 ניידות משטרה ומשטרה צבאית ראו אותנו - אך המשיכו ליסוע).
איך קלגסי היס"מ התנפלו על אנשים כמו חיות טרף ושברו להם את העצמות,
איך חטפו את מי שהם חשבו כמדריך כאילו היה ראש המאפיה הישראלית,
איך נכלאנו כ-80 איש, נשים, ילדים קטנים, צעירים בתוך אוטובוס ולא הורשינו לרדת ממנו לא לשתות ולא לשרותים,
איך הוחזקנו בו למעלה מארבע שעות ואיך לאחר מכן הובלנו לחצר בית הסוהר בבאר שבע כאחרוני העבריינים,
איך חיילים שגדולים ממני בסך הכל בשנה או שנתיים הפכו לרובוטים ואיך הפכו יישובים פורחים לעיי חורבות.

ה-"פושעים" בכלא דקל בבאר שבע.
איכות התמונה הירודה עקב שימוש בפלא'.

נכון לעכשיו הצבא (בעיקר לשכת הגיוס) עושה לי את המון צרות. "התאדתי" ממסלול שהייתי רשום בו לאור היום, קיבלתי צו גיוס לעוד חודש, לאחר מאבק דחו לי את הגיוס לעוד כמה חודשים והסיפור עוד לא נגמר.

האם אני יכול בכלל ללבוש את אותם מדים שבשמם נזרקתי לבית סוהר ? שבשמם מגרשים יהודים והורסים את בתיהם ? שבשמם עשרות (בינתיים) אנשים נשלחים לבתי חולים?

לי אין תשובה על השאלה הזו, כמו גם לא על השאלה הטכנית ועל כמה זה חשוב צבא לעומת השאלה המוסרית לגבי הגירושים הבאים.

איך אני אגיב, רגשית, מעבר לכל המילים היפות,  כאשר אאלץ על פי חוק ללבוש את המדים, שבשמם נזרקתי לכלא "דקל" בבאר שבע.

לא נשכח - ולא נסלח.

רק לפני כן - עוד הסבר טכני קטן:
עוגיות (Cookies) - קבצי טקסט קטנים שנשמרים על ידי אתרים במחשב שלכם, על מנת לזכור אותכם אחר כך.

בשעה שבה חשפתי את חור האבטחה הקודם (והפשוט יחסית לניצול), לא העלתי בדעתי את קיומו של הבא. חור האבטחה הזה התגלה כמסוכן בהרבה.
כאשר גולש מקיש שם וסיסמא באתר אינטרנט, האתר שומר בו עוגיה ובה הנתונים שאותם מעוניין האתר לזכור. בדרך כלל מדובר במספר הפנימי של המשתמש (זוכרים?) ובעוד קוד סודי השייך רק לו.

בשלהי שנת תשס"ד, חשפתי את העובדה שבאתר כיפה, פשוט שומרים בעוגיה המספר של הגולש, ללא שום מספר נוסף. חיפשתי קצת בפורומים ומצאתי שמספר המשתמש של הנהלת הפורומים שם הוא 1.
כאן כבר הייתי צריך לדעת יותר, ולבסוף הצלחתי. לאחר כמה דקות יכולתי להתחזות לכל גולש שרק רציתי במערכת, אילו ראיתי את המספר שלו (שכבר כתבתי בפעם הקודמת שהוא גלוי וידוע). הצלחתי לכתוב הודעות בשם גולשים אחרים, למחוק (בעזרת המספר של ההנהלה - 1), לגשת לדף המסרים האישיים (שבהם לא נגעתי, אבל רק מסיבות מוסריות) ועקב תכנון גרוע במיוחד - גם לראות ולשנות את הסיסמא.

לאחר חודש וחצי, נסתמה הפירצה הספציפית לבסוף על ידי הנהלת הקהילות. עד היום לא טרחו אנשי "כיפה" לסלק את הסיסמא מקוד המקור של דף עדכון פרטים, חרף תחינותיי בנושא בזמנו ובשבוע שעבר בעת הכנת הכתבה (למי שמבין באבטחה ובפריצות: כיפה מחורר כמו מסננת. רוב הפרצות הן XSS).

אגב, אם במקרה קורא פה אחד מהאנשים שקשורים לאתר "רוטר.נט", מצאתי שם לפני הרבה שנים חור אבטחה ולא היה לי אז הידע המספיק בכדי לחקור אותו. אני מעריך שהוא עדיין קיים ולכן אני נמנע מלפרסם פרטים.

על שבר "בת עמי".
בשנה שעברה נתבקשתי על ידי מכרה להסתכל ולראות מדוע היא לא יכולה להירשם לסיירת באתר עמותת "בת עמי". לקחתי את פרטיה ונכנסתי לאתר. לפתע צדה עיני את הכתובת שבסופה היה מספר פנימי רציף.
מספר רציף, כשמו כן הוא, רציף. ניסיתי לשחק עם המספר ולתדהמתי נחשפו לפניי פרטיהן המלאים של הבנות שנרשמו לאתר העמותה. שם, ת.ז., כתובת מלאה, טלפון בבית, פלאפון וכמובן הוספה והסרה של סיירות.

יאמר לזכות העמותה ואנשיה, שעוד באותו יום הם תיקנו את הפירצה והפסיקו את הפגיעה החמורה בפרטיות הבנות שנרשמו לאתר. צל"ש

אז מה אפשר לעשות?
מצאתם חור אבטחה? נודע לכם שמישהו חשף כזה? צרו מיד קשר עם הנהלת האתר שבו נמצא החור ודרשו מהם לתקן אותו. חומר טכני על אבטחת אתרי אינטרנט יש בכמויות עצומות בגוגל (למי שקצת יותר מבין וקורא אנגלית - שיחפש בגוגל XSS, SQL Injection ועוד...).

הם עדיין לא מוכנים לתקן? פנו אליי ואשתדל לטפל בבעיה. איום בחשיפת הפירצה לעין כל בדרך כלל עוזר.
לא ייתכן שפרטיותכם ופרטיכם האישיים יפגעו עקב תכנות רשלני.

__________________
בשבוע הבא - חוזרים למתכונת רגילה ונקייה ממושגים טכניים. בתקווה שעד אז הרשת הדתית תהיה מעט בטוחה יותר.

ומזל טוב ע-נ-ק-י למרב הראל מהבלוג הסמוך וחגי רטיג לרגל אירוסיהם. יה"ר שתראו אור בדרככם המשותפת.

הפעם, בניגוד להרגלי כאן בבלוג, אני בוחר לעסוק בנושא קצת טכני וממוחשב. חורי אבטחה. גם מי שאינו איש טכני או שאינו רוצה להיות כזה, חייב להיות מודע לסכנות העולות מהחורים הללו לו ולפרטיותו.

בחרתי שלא לכתוב על הדברים הרגילים והמוכרים,על וירוסים, על אבטחת מחשב אישי ודברים דומים אלא על אבטחת אתרי אינטרנט ושרתים שעליהם מאוחסן המידע הפרטי שלנו. השתדלתי גם להימנע ככל הניתן מעיסוק במינוחים טכניים, אלא בחרתי להתמקד במה שמעניין את הגולש הפשוט וזה המעט מתקדם יותר -  מה אפשר לעולל לו. בלי קצת טכני אי אפשר, כך שלפני כן אסביר כמה מושגים פשוטים.

קוד מקור - קוד מקור של האתר. ניתן לצפות בו בלחיצה על מקש ימני > הצג מקור.
מספר/ID - מספר רציף שנוצר על ידי מסד נתונים לרשומה בטבלה. המספר יכול להיות שייך למסתמש, פורום, הודעה או דבר דומה. למשל, מספר הבלוג שאתם קוראים בו עכשיו הוא 1.

חשוב לציין שאני לא חושף כיצד ניתן לנצל חורי אבטחה קיימים, אלא רק חורים שכבר תוקנו או ניתן למנהל האתר מספיק זמן על מנת לתקנם. אין לי עניין לקלקל אלא להכריח את אותם בעלי אתרים לתקן ולהפסיק לזלזל לנו בפרטיות.

כל מי שכותב באופן קבוע בפורומים הדורשים הרשמה, ודאי יודע שיש לכל גולש במערכת מספר. המספר נוצר אוטומאטית בעת ההרשמה שלו לאתר, והוא מספר קבוע, חד-ערכי המייצג את הגולש במערכת האתר. מספר חד-ערכי כזה יש גם לפורומים, הודעות, בלוגים וכל מערכת "חכמה" אחרת. את המספר הזה כל אחד יודע (בדרך כלל) וניתן להפיק אותו מהקישור לכרטיס האישי של הגולש.

לעיתים מערכת האתר אינה מאובטחת כמו שצריך, וניתן לנצל את העובדה הזו לרעה.

מקרה "כיפה".
אתר כיפה, שהוקם בשנת תש"ס הינו דוגמא מאלפת למסננת מלאת חורים שניתן לכתוב עליה ספר שהכותרת שלו היא "כך לא בונים אתר".

באמצע שנת תשס"ד נתקלתי באחד הפורומים בגולש ששמו א. שקיבל לפתע צבע סגול של מנהל בפורום. הבן אדם עצמו לא ידע להסביר במה מדובר, אולם זה סיקרן אותי לחקור. הצצתי בקוד המקור של דף שליחת ההודעה בפורומים, ולפתע צדה עיני את הדבר הזה:

אני יודעת שיש חור אבל אל תפרסם את זה.

 -מנהלת אתר ידוע

<input type="hidden" name="userid" value="3054">

לא צריך להיות מומחה בשביל להבין מה כתוב פה. כתוב פה (בתוך מקור הדף !!) את המספר של הגולש השולח את ההודעה. כלומר, השרת סומך על הגולש, שיחזיר לו את המספר שלו.

בשלב הזה החלטתי לנסות לשנות את המספר. נעזרתי ב-"שמירה בשם" ופתחתי את הדף בפנקס רשימות. עוד מספר שינויים והדף המזוייף מוכן. כתבתי בתוכו 2 מילים ולחצתי על "שלח".
ההודעה נשלחה לפורום, כשלידה מתנוסס שמה של מנהלת שאת מספרה אני כתבתי שם (מה שגרר תגובה נזעמת של א., אחר כך מישהו סיפר לי שהוא חשש שהצצתי לה למסרים האישיים ואני תהיתה מה הקשר. לימים - התחתן עם אותה המנהלת.).

יהיו עכשיו כאלו שיגידו שחורים כאלו הם בעייתו של בעל האתר בלבד. אני חושב שמדובר בבעייה של הגולשים שניתן לכתוב בשמם הודעות.

עוד חור אבטחה בכיפה שלא נחקר די הצורך: שימו לב שניתן לשלוח הודעות בפורומים מוגנים בסיסמא, על ידי שינוי המספר של הפורום בכתובת של טופס הודעה חדשה (http://www.kipa.co.il/community/newm.asp?id=43 למשל). דיווחתי להם על החור הזה לפני שנה וחצי והם עדיין לא תקנו אותו.

עד למועד פירסום המאמר - לא ניתן היה להשיג את תגובת הנהלת הקהילות בכיפה. ביקשתי, שלחתי עותק ולא עזר. תגובתם תתקבל בברכה במערכת התגובות.

מורשת, חור ברשת
כמה שנים קודם לכן, חשפתי חור אבטחה פשוט עוד יותר לניצול באתר מורשת. כתבתי אז בפורום של עזרא וניסיתי (בתמימות) לנסות להדגיש כותרת של הודעה. אז לא שלטתי כ"כ באבטחה ולא ידעתי שניתן לנצל את זה לרעה כ"כ כמו שאני יודע היום. באותה התקופה התחלתי לשחק עם הפורומים של עזרא ופירסמתי שם (בפורום הגוסס) את הקישור לאתר.

אולם, במקום לשים קישור כמו כל אחד, ניצלתי את החור הנ"ל וכך כתבתי בכותרת ההודעה:

</a><a href=http://www.ezraygccjb.net>פורום חדש לעזרא

היום לא פועל אתר בכתובת הזו, אבל כך בערך זה היה. כל מי שלחץ על ההודעה חשב לתומו שיפתח את ההודעה שלי, כשלמעשה הוא הוקפץ לדף האתר.
לאחר מכן קיבלתי מייל מנומס של אחת העובדות במורשת (כמדומני ששמה היה ציפי) שביקשה ממני יפה "לא להשתמש יותר בטריקים של HTML", זאת במקום לצעוק על האידיוט שכתב את הקוד של הפורומים על כך שהוא מסכן את הפרטיות של הגולשים ושל אנשי המערכת.

בתקופה הזו היה ידוע גם שניתן להיכנס לתפריטי הניהול של האתר בעזרת זיוף עוגיות. אני באופן אישי לא בדקתי את זה כך שאני לא יודע איפה זה היה ומה יש שם היום. אני בהחלט מקווה שהחור הזה כבר נסתם וב-"מורשת" לא מזלזלים בפרטיות הגולשים.

הבעיה הקשה במקרים הללו ודומיהם לא היתה חור האבטחה עצמו (שנגרם, אגב מהרגלי תכנות גרועים במיוחד) אלא התגובה של הנהלת האתר. רק איום בפרסום גרם להם לתקן חורים, וישנם כאלו שלא תוקנו עד היום.

ולא מדובר רק באתר כיפה ומורשת, רק שאת כיפה על מעלליו אני מכיר לעומק ואת השאר אני לא חקרתי ולא מכיר. את זה עשו אחרים. ידוע לי בעבר על חורי אבטחה חמורים במיוחד שהיו (ואולי עדיין קיימים) גם במערכות פופולאריות אחרות. רק קצת (ובאמת קצת !) ידע טכני ואתה בפנים.

נכון שזה לא נעים שכל אחד עם קצת ידע יכול להציץ לכם בתיבת המסרים האישיים באיזה אתר? או לשנות/לגנוב את הסיסמא ולפרוץ אחר כך לעוד מקום ? או סתם לשנות פרטים אישיים ? או לשלוח הודעות בשמכם ?

בשבוע הבא בעז"ה - מה זה עוגיות, מה זה הרגלי תכנות גרועים, חור באתר של עמותת שירות לאומי וחור אבטחה נוסף של אתר "כיפה".