איפה אתם חושבים זרוקה הפרטיות של הילדים שלכם ?

26 בינואר, 2012 | מאת doron |

לאחרונה אני רואה עוד ועוד בתי ספר אשר עושים שימוש באינטרנט על מנת לשמור ולייצר קשר בין התלמידים לבתי הספר ובין התלמידים לבין עצמם.

כבר כתבתי מיילים למספר בתי ספר (אלו שנתקלתי בהם) שעל פי מה שקורה באתר שלהם, אני סבור שיהיה כדאי יותר לסגור את האתר ולא לאפשר לפרטיות של המורים והתלמידים לזלוג.

אבל, לאחרונה נתקלתי במערכת שהחלה להיות מוכנסת לבתי ספר, לא מדובר במשהו בית ספרי ממשלתי ,אלא במערכת של חברה פרטית שנמכרת כשירות לבתי ספר.

המערכת נקראת משו"ב ולמעשה מורים / מחנכים ואנשי סגל בבתי ספר יכולים להזין מידע באמצעות תוכנה, והתלמידים וההורים יכולים להתחבר למערכת על מנת לראות מה קורה עם הילד / ילדה .. מבחינת ציונים והתנהגות.

לכאורה מטרה יפה – יכולה להיות כאן בקרה של ההורים ובית הספר על ההתקדמות של התלמיד.

אבל למה להוציא ל"מיקור חוץ" או לידיים של חברה פרטית מידע אישי / סודי /פרטי של קטינים ??? (מי למען השם מאשר כאלו דברים ? )

למעשה מעין הרחבה של היומן שפעם מורים היו מסתובבים איתו ..

מטרה יפה – היישום שלה , לא ממש.

אם תתחברו לאתר של המערכת, תוכלו לראות כי יש שם כמה עשרות בתי ספר – כלומר המערכת מחזיקה מידע על כמה אלפי תלמידים (כולם כמעט עונים להגדרות של קטין) , ובכלל זה מידע אישי -פרטי כגון מספר תעודת זהות ומידע מזהה אחר + מידע על הציונים , התנהגות וכיוצ"ב.

באתר החברה מוסבר כי ישנם מעגלי אבטחה ומורה מקצועי לא יכול לראות את כל המידע, או שהמנהל לא יכול לגשת למידע שמחנך הכניס, לכאורה מעגלי אבטחה ..

שימו לב שהעמוד "אודותינו" באתר לא מספק שום מידע לבד מכותרת , וכך לא ניתן היה לדעת כי מדובר בחברה פרטית, רק שימוש ב whois הראה כי מדובר בחברה פרטית – וחיפוש במאגר של רשם החברות הוכיח כי אכן מדובר בחברה פרטית.

כלומר מישהו הפריט את הפרטיות של הילדים שלכם. יופי.

באתר לא מצאתי איזכור למספר מאגר המידע , ככל שאני מבין, הם מחזיקים מאגר מידע לא פשוט (או בעברית פשוטה מאגר מידע אחושרמוטה רגיש) – ולפיכך חייבים על פי חוק לרשום אותו ברשם מאגרי המידע של משרד המשפטים .

יכול להיות שהוא אכן רשום .. אבל אני לא מצאתי איזכור לכך (עד עתה).

כמו כן, תעודות ה SSL של המערכת פגו תוקף, ואם החברה לא דואגת לחדש את התעודות SSL בזמן .. איך היא בדיוק שומרת על מידע סופר רגיש של הילדים שלכם ?

מצאתם עוד מידע מעניין ? ספרו לנו ..

לקוראים התמימים, כאשר אתם קוראים פוסט זה, יש לקרוא גם את תגובתו של עומר מחברת משו"ב אשר טרח וענה לחלק מהשאלות והתהיות שעלו בפוסט.


תגיות:

  1. 13 תגובות עבור “איפה אתם חושבים זרוקה הפרטיות של הילדים שלכם ?”

  2. מאת TheLeader בתאריך 26 בינואר, 2012 | תגובה

    מצחיק שאתה מעלה את הנושא, כשמשו"ב עוד היה בתחילת הדרך, שני חבר'ה מקהילת ההאקינג הישראלית ביצעו עליו כמה בדיקות וראו שהוא שולח פרטים מזהים שלא קשורים לתוכנה ונמצאים על המחשב לשרת של משו"ב!

    מדובר על דברים כמו פרטי ICQ וחשבונות FTP, שם מחשב, כתובת IP פנימית, כתובת MAC ייחודית, דגם כרטיס גרפי.

    בחור בשם l3D אפילו כתב קוד שמיירט את התקשורת ומסנן את כל המידע הזה מהבקשות שנשלחות לשרת כדי למנוע פגיעה בפרטיות.

    http://forums.hacking.org.il/viewtopic.php?t=7482
    http://pastebin.com/m496a7e05
    http://pastebin.com/f1effce64

  3. מאת TheLeader בתאריך 26 בינואר, 2012 | תגובה

    תיקון: לא שני אנשים ביצעו את המחקר אלא מספר גדול יותר, בערך שישה.

  4. מאת doron בתאריך 26 בינואר, 2012 | תגובה

    זה לא מצחיק – זה עצוב
    :)
    לא הכרתי … אני אלך לקרוא את מה שכתוב שם .
    בכל מקרה, ממש רק לפני כמה ימים ראיתי את הדבר הזה .

  5. מאת עומר בתאריך 27 בינואר, 2012 | תגובה

    שלום דורון,

    אתה מעלה כמה נקודות והאשמות מאוד קשות, שהיה ראוי לבדוק אותן לעומק לפני העלאתם על הכתב.
    בירור קצר עימנו היה עונה על מרבית השאלות שלך.

    לעניינינו:
    1- אנחנו אכן מחזיקים רשומים כמאגר מידע במשרד המשפטים (מספר מאגר: 700004398).
    2- לשאלתך "מי למען השם מאשר דברים כאלו ?", התשובה היא "משרד החינוך". אנחנו מחזיקים באישור הפעלת התוכנה ממשרד החינוך, לאחר תהליך של כשנה אשר כלל בדיקות אבטחה מעמיקות, בדיקות עמידה בתקנים, ועוד.
    3- תוקף סרטיפיקט ה-SSL אינו פג תוקף, פשוט המחשב שלך מציג את התאריך בפורמט אמריקאי. 1\5\2012, כאשר למעשה האישור פג תוקף רק בראשון למאי 2012. ולא (!) ב5 לינואר כמו שניסית להציג פה.
    האישור מתחדש מעצמו עם סיום התוקף שלו אוטומאטית.

    4- טיעוני ה"האקרים" שביצעו את המחקר ה"מעמיק" גם לא העלו הרבה תובנות חדשות. אנו אכן שומרים את כתובת ה-IP הפנימית והחיצונית, שם המחשב, כתובתו ועוד.
    נתונים אשר ניתן ומותר לאסוף באופן חוקי.
    מה גם שאנו מצהירים על כך במסך הראשי של התוכנה, ככה שהגילוי לא מאוד מרעיש…

    למעשה, אני לא מכיר אף מערכת רצינית שלא שומרת את הפרטים הללו בהתחברות משתמשים.
    במידה ולא היינו מבצעים זאת היית יכול לטעון לחוסר אחריות, לא להפך..

    5- הטענה שאנחנו אוספים את פרטי המאיץ הגרפי (?!) סיסמאות ל-ICQ וסיסמאות ל-FTP אינה נכונה כמובן, ואף שקרית.
    חד וחלק.

    אנא ערוך מחדש את הפוסט הזה ומחק את הטעויות שהעלית פה.

    עומר

  6. מאת עומר בתאריך 28 בינואר, 2012 | תגובה

    https://sealinfo.thawte.com/thawtesplash?form_file=fdf/thawtesplash.fdf&dn=SAFE.MASHOV.INFO&lang=en

  7. מאת יוחאי בתאריך 28 בינואר, 2012 | תגובה

    עומר,

    1. חלק מהטענות שאתה מייחס לדורון הועלו על ידי "TheLeader".

    2. באתר אין פרטי קשר, אין פרטים על העומדים מאחורי המערכת, כלום. כאשר עמוד האודות ריק ועמוד הצור קשר מכיל טופס לא ברור אי אפשר לפנות אליכם לבירור קצר.
    במיוחד לא כאשר האפשרויות הן "שיווק ומכירה" או "תמיכה בהתקנה והפעלה ראשונית".

  8. מאת doron בתאריך 29 בינואר, 2012 | תגובה

    עומר שלום,
    אני מודה לך על תגובתך, ואני אציין בפוסט שהגבת והקוראים מוזמנים לעיין בתגובתך.
    עם זאת ברשותך מס' הערות.
    אין בפוסט דבר אחד שאינו נכון. אין בפוסט האשמות, אבל הפוסט באמת מעלה תהייה קשה מאד לגביי פרטיות של קטינים.
    עיניינית לתגובתך:
    1. אני שמח שאתם מחזיקים את המאגר כמאגר מידע רשום, אם אתה עוסק בזה אתה וודאי יודע שקיימים מספר קריטריונים שונים למאגרים – אני אישית, אשמח לבדוק תחת איזה קריטריון אתם מופעים. אילו לא הייתם רושמים את המאגר – הרי שבהחלט היה מדובר כאן בעבירה פלילית, אני שמח ומאושר שזה נחסך מאיתנו.

    2. על פי זה שהתייחסת לנקודה, אני מקווה שהבחנת כי הפוסט באמת מתייחס ל 2 גופים , אליכם כחברה פרטית ואל המדינה ובמקרה זה למשרד החינוך.
    אני מאד מקווה שאתם עושים מלאכתכם נאמנה ושומרים על המידע .. לצערי הפרטנר שבחרתם לא עושה זאת.
    כשהורים שולחים ורושמים את הילד/ה שלהם לבית הספר – זה לא אומר שהם התירו למשרד החינוך לסחור במידע האישי הפרטי של הילד/ה וכאן יש כשל (יודגש לא שלכם אלא של משרד החינוך).
    הרי אם אני נכנס מחר בבוקר לבית חולים לטיפול אין זה אומר שאני התרתי לבית החולים להעביר את המידע האישי פרטי שלי לגורמים מסחריים חיצונים (דהיינו, לדוגמה, חברת תרופות).
    אני חושב שמשרד החינוך טעה והפקיר את המידע שהורים נתנו לו בתום לב.
    עליכם כקבלן מבצע להוכיח שאתם אכן אתם שומרים על המידע, דבר שאותו עשית בתגובה לפוסט ועל כך אני מודה לך.

    3. אני סיפקתי תמונת מסך – אתה מעוניין להתווכח איתה, בבקשה. אם יש לך טענה שאני באמצעות תוכנת עיבוד תמונות שיניתי את התמונה על מנת להטיל בכם כתם, הרי שזו טענה אחרת.

    4. אני מודה לך על ההבהרה.

    5. אני מודה לך על ההסבר, אני אכן התכוונתי לבדוק את הדבר לעומק, מן הסתם אני אצטרך לעשות זאת בימים הקרובים.

    בכל מקרה, בפוסט, להבנתי, אין טעויות .. אני אשמח אם תצביע על טעויות ספציפיות יותר.
    הרי בסופו של דבר המהות היא שמשרד החינוך לקח מידע פרטי והעביר לחברה חיצונית, מידע של קטינים (שזה בדרגת חומרה גבוהה יותר), אתה טוען שאתם עושים את התפקיד שלכם נאמנה – ואני בהחלט מברך על כך, אך עם זאת, כאזרח מחובתי לנסות ולבדוק את הדברים.

    לו העמוד "אודותינו" באתר שלכם היה מכיל פרטים, הייתי שמח לנסות ולהתקשר אליכם, אבל כמו שאני רואה הבלוג שוב הוכיח את עצמו כפלטפורמה שבה ניתן לקבל תשובות.

  9. מאת עומר בתאריך 29 בינואר, 2012 | תגובה

    היי,
    אתה מוזמן לבדוק את טיב המאגר.

    בנוגע לתמונת המסך, אני לא טוען שערכת אותה אצלך על המחשב.

    התאריך המוצג שם הוא בפורמט אמריקאי (קרי mm/dd/yyyy, בעוד שאתה מנסה להציג את התאריך כתאריך בפורמט dd/mm/yyyy).

    זו הטעיה, שכנראה ביצעת שלא ביודעין, אבל כרגע אתה מודע למידע השגוי שאתה מציג כ"אמת".

    עומר

  10. מאת doron בתאריך 29 בינואר, 2012 | תגובה

    עומר,
    למען הסר ספק, אם לא היה ברור שקיבלתי את טענתך, אני אמר שאני מקבל את טענתך בנושא התאריך, לא תמונת מסך כזו או אחרת, אלא פשוט הורדתי את ה ssl והנה התוצאה:

    openssl x509 -in safe.mashov.info -noout -enddate
    notAfter=Apr 30 23:59:59 2012 GMT

    עם זאת, אני הספקתי לבדוק עוד מספר דברים וראוי גם לומר אותם.
    לדעתי, מצאתי דרך לא מסובכת בעליל להגיע למידע של קטינים, אני סבור שזה אמור להיות מאד מדאיג את כל מי שקשורים למערכת.

    כמו כן, אתה קצת זילזלת בכבודם של אנשים שהגיבו לפוסט, וגם את הדבר הזה בדקתי , במקומך לא הייתי מזלזל (בין אם אתה חושב שהם האקרים ובין אם אתה חושב שהם לא), אתה טענת שאתם לא שומרים את המידע (ICQ וכו') , אני חושב שאתה לא צודק, יש לכם תת מערכת שכן מאפשרת לשמור את המידע .
    יותר מזה המידע האישי / סודי / פרטי , נמצא גם בה.
    יותר מכך היא מתקשרת עם העולם שלא באמצעות ssl ולפיכך חשופה לסניפינג .. שזה בעצם מה שטענו כאן.

  11. מאת עומר בתאריך 29 בינואר, 2012 | תגובה

    דורון,
    אין שום תקשורת שהתוכנה מבצעת שלא באמצעות SSL. לפחות לא שום תקשורת חשובה.
    תוכל להכנס לשרשור המדובר ולראות איך הם הגיעו למידע הנל.

    אין אצלנו שום מערכת ששומרת סיסמאות לICQ \ סיסמאות לחשבונות FTP \ סוג מאיץ גרפי.

    עומר

  12. מאת doron בתאריך 29 בינואר, 2012 | תגובה

    עומר,
    אם יש לכם זמן, תבדקו בבקשה את המערכת הזו:
    http://moodle.mashov.info

    נראה שמדובר ב IIS שמאפשר תקשורת לא מוצפנת ומאפשר לתלמידים להכניס חשבונות חיצוניים.

    אנא, בידקו זאת בזמנכם החופשי ואני מניח שאתם תסתדרו בלעדיי ..

  13. מאת גיל בתאריך 30 בינואר, 2012 | תגובה

    האשמה היא לא בחברת משוב אלא במי שלקח את השירותים שלה

    ולא חושב שיש לבקש רשות מההורים !
    זה משרד החינוך
    שבלי בושה אוסף את כל המידע על התלמידים – כל מה שהמורים אמרו עליהם ועוד ועוד
    כל ההתנהגות הזאת היא בדיוק כמו המאגר הביומטרי
    וזאת פגיעה ב אושיות הדמוקרטיה
    ככה עוד מעט כבר לא תהיה פה דמוקרטיה !

  14. מאת עדי בתאריך 4 בפברואר, 2012 | תגובה

    לול על עמוד האודות של משו"ב. תחת הכותרת המפוצצת "מיידיות, שקיפות ובקרה" יש עמוד ריק. אולי הם עובדים עם הטמל שקוף?

השארת תגובה

Protected by WP Anti Spam