בליכוד שכחו מאבטחת מידע
איתן סטמרי, מנהל תחום אפליקציות בחברת אבנת אבטחת מידע, מעריך כי אתר ההצבעה לפריימריז לא נבנה תוך התחשבות בהליכי פיתוח מאובטח
הגנה לישראל
| 19/05/2011
(צילום מסך)
איתן סטמרי, מנהל תחום אפליקציות בחברת אבנת אבטחת מידע מסביר לאחר הערכה קצרה, על בסיס הממצאים ששוחררו בהקשר אתר האינטרנט של חברת יאיאסופט, מפעילת תוכנת ההצבעות בפריימריז של הליכוד והעבודה, כי נראה שהאתר אינו נבנה תוך התחשבות בהליכי פיתוח מאובטח או בכלי אבטחת מידע בכלל.
"עצם פתיחת המערכת הפנימית לרשת האינטרנט היא כשל ראשון במעלה. מתפקדי הפריימריז לא מצביעים מהבית ולכן אין הצדקה לפתיחת המערכת לרשת האינטרנט. כמפתח, אני יכול להבין את הלוגיקה שגרמה למהלך, אבל בשום פנים ואופן לא יכול לקבל אותה. לעיתים מפתחים אוהבים להשאיר back door כדי שאנשי התמיכה, ולעיתים הם עצמם, יוכלו לנהל מרחוק (מהבית או כל מקום אחר) בעיות ותקלות במקום להגיע פיזית למקום האירוע כך שנוצר מצב שעצם החיבור המיותר לרשת האינטרנט, הוא בעצם פצצה מתקתקת.
"על פניו, בשל החיבור לרשת האינטרנט, כל פרצה מקוונת שכתובה בספרי האקרים היא אפשרית ובעלת פוטנציאל ריאלי, אך אני מעריך כי מדובר בשתי פרצות פשוטות שנוצלו במקרה זה. אחת היא אפשרות גישה ישירה לדפי האתר, היות ולא מבוצעת בדיקת הרשאות ישנה חשיפה למידע רגיש. השנייה היא מתקפת manipulation parameter ביצוע מניפולציה על קלט באמצעות עריכת שדהURL , המאפשרת גישה למידע שלא אמור להיות חשוף למי שאינו מורשה.
"אפשר היה לצפות שאחרי כל כך הרבה שנים של אירועי אבטחת מידע ותקלות קשות שנגמרות כתוצאה מבעיות אבטחת מידע, יושם דגש משמעותי יותר בפיתוח תוכנות ומערכות שמשמשות באירועים מהותיים כמו הצבעה בבחירות".
קליפ המראה את פעילות מערכת ההצבעה
איתן סטמרי, מנהל תחום אפליקציות בחברת אבנת אבטחת מידע מסביר לאחר הערכה קצרה, על בסיס הממצאים ששוחררו בהקשר אתר האינטרנט של חברת יאיאסופט, מפעילת תוכנת ההצבעות בפריימריז של הליכוד והעבודה, כי נראה שהאתר אינו נבנה תוך התחשבות בהליכי פיתוח מאובטח או בכלי אבטחת מידע בכלל.
"עצם פתיחת המערכת הפנימית לרשת האינטרנט היא כשל ראשון במעלה. מתפקדי הפריימריז לא מצביעים מהבית ולכן אין הצדקה לפתיחת המערכת לרשת האינטרנט. כמפתח, אני יכול להבין את הלוגיקה שגרמה למהלך, אבל בשום פנים ואופן לא יכול לקבל אותה. לעיתים מפתחים אוהבים להשאיר back door כדי שאנשי התמיכה, ולעיתים הם עצמם, יוכלו לנהל מרחוק (מהבית או כל מקום אחר) בעיות ותקלות במקום להגיע פיזית למקום האירוע כך שנוצר מצב שעצם החיבור המיותר לרשת האינטרנט, הוא בעצם פצצה מתקתקת.
"על פניו, בשל החיבור לרשת האינטרנט, כל פרצה מקוונת שכתובה בספרי האקרים היא אפשרית ובעלת פוטנציאל ריאלי, אך אני מעריך כי מדובר בשתי פרצות פשוטות שנוצלו במקרה זה. אחת היא אפשרות גישה ישירה לדפי האתר, היות ולא מבוצעת בדיקת הרשאות ישנה חשיפה למידע רגיש. השנייה היא מתקפת manipulation parameter ביצוע מניפולציה על קלט באמצעות עריכת שדהURL , המאפשרת גישה למידע שלא אמור להיות חשוף למי שאינו מורשה.
"אפשר היה לצפות שאחרי כל כך הרבה שנים של אירועי אבטחת מידע ותקלות קשות שנגמרות כתוצאה מבעיות אבטחת מידע, יושם דגש משמעותי יותר בפיתוח תוכנות ומערכות שמשמשות באירועים מהותיים כמו הצבעה בבחירות".
קליפ המראה את פעילות מערכת ההצבעה
