WTF ? מה קורה עם קופות החולים ?
12 בינואר, 2012לפני מספר דקות, קיבלתי הודעה על קיומו של שירות חדש בסופר פארם .. כמובן שאני לא מתכוון לעשות להם פרסומת מסחרית, אך השירות הוא מעניין ..
אני יכול להזין באמצעות האינטרנט מידע על מרשם שקיבלתי, אם אני מבין נכון, המידע עובר אל השרתים של סופר פארם, משם הוא מחובר למערכות המידע של קופות החולים .. והתרופה תמתין לי בבית המרקחת הקרוב (שנמנה על השירות) .
נחמד ..
נחמד ..
נחמד .. (הנה הייתי חביב וחיובי ) .
אבל , בדברי ההסבר באתר של סופר פארם(תלחצו על "הזמנת תור" =>תבחרו קופ"ח =>תגדילו את התמונה), הסתבר לי שעל כל מרשם מופיע מס' ת.ז. של הרופא שרשם את המרשם .. ואני שואל WTF ?
הרי ברגע שאני אקבל מרשם יהיה לי את שמו של הרופא, שם המשפחה שלו .. ת.ז. שלו .. ולפי אתר סופר פארם גם הכתובת והטלפון שלו .. ושוב אני שואל WTF ??
בשביל מה יש לרופא מ.ר. (מספר רופא … שגם הוא אגב מופיע במרשם) .
זה לא נראה קצת עודף מידע על מרשם ?
ולמה אני כלקוח של רופא (פציינט) צריך את כל המידע הזה על הרופא שלי – מה קורה כאן ?
יודגש, אין בידי מרשם (אני לא חובב רופאים) שאליו אני יכול להשוות ואני סומך את ידי על מה שכתוב באתר של סופר פארם .. (תלחצו על "הזמנת תור" =>תבחרו קופ"ח =>תגדילו את התמונה) .
**** בדקתי את כל הקופות .. יש לתת צל"ש לקופ"ח כללית שלא חושפת את מס ת.ז של הרופא במרשמים שלה . ב 2 הקופות האחרות יש חשיפה .
יורד גשם ??? לא. פשוט משתינים עלינו ..
12 בינואר, 2012היום קראתי פרסום (“מאמר" ) של גון קמני, מנהל הרשות לניהול המאגר הביומטרי.
בדרך כלל אני ממש לא יורד על אנשים ברמה האישית – אבל שר הפנים, ומשרד הפנים חצו מבחינתי את כל הגבולות ..
בתחילה הביאו את מר ניסים אליאסף, ואת מר יורם אורן, ועכשיו את מר גון קמני, וכל מה שיש לי לומר הוא – די לקישקושים.
לפחות אם הייתם מצליחים לשפר את התירוצים שלכם, את הסיבות .. הרי לא צריך להתאמץ כדי למצוא עוד כמה סיבות הגיוניות להצדקת הטיעון שאתם מעלים .. תחת זאת אתם ממשיכים להשתמש באותם תירוצים נבובים שכבר אמרתם אותם בעבר ..
אמרתם , והראתם לעולם כמה אתם לא מבינים – ואם אתם לא מבינים, חייבת להישאל השאלה , מה אתם בדיוק עושים בתפקיד שלכם.
בכתבה מסביר מר קמני כי תעודות זהות אובדות, וכך גם דרכונים , והם משמשים גורמים שונים (פליליים ובטחונים) על מנת לזייף זהויות ולהשתמש בהם .. נו ?
אז מה הבעיה לקיים את הפרויקט של תעודת זהות חכמה ? הרי אפשר לייצר תעודות זהות שיהיה קשה מאד עד כדי בלתי אפשרי לזייף אותן (ללא משאבים מאד מאד גדולים) ..
וגם אם תהיה תעודה שאי אפשר לזייף אותה , הרי כשמישהו מחליט שהוא הולך לרצוח מישהו או להתפוצץ איפשהו , הדבר היחיד שעוצר אותו הוא תעודת זהות ??? מה זה הקישקוש הזה ..
ונניח לרגע שאכן זה מה שיעצור את הטרור ואת האלימות ואת הפשיעה ..
נניח לרגע שאני הולך להוציא תעודה (תעודת זהות .. לא ביומטרית) , הרי במסוף ניתן לכתוב שהוצאתי תעודה, ניתן לתת סימנים במידע , סימנים שידועים רק למשרד הפנים. לא חייבים להוציא מידע ביומטרי .. הרי כאשר יבוא מישהו נוסף להוציא תעודה תחת שמי יהיה כתוב במסוף שכבר הוצאתי – הרי באותו רגע ניתן לעצור את אותו אדם ולהביא גם אותי לזיהוי – כי ברור שאחד מאיתנו משקר לגביי הזהות שלו (שזה אגב מה שיקרה כאשר יהיה שימוש במידע ביומטרי …. מסתבר שאפשר לעשות זאת גם ללא מידע ביומטרי).
מה כל כך קשה ? בשביל זה צריך ביומטריה ?
אבל נניח שרוצים להשתמש במידע ביומטרי, אפשר לשים אותו על שבב בכרטיס .. הרי אתם לא צריכים דווקא את המידע במאגר – ופשוט אין לי כוח לכתוב את כל זה – אבל ניתן לאמת אדם מול תעודה, ותעודה מול מפתח .. לא צריך מאגר ..
(ואל תקשקשו שצריך תמונה ביומטרית .. כבר יש לכם את התמונות שמשרד התחבורה לקח מכל הנהגים … כן, הם קיבלו את מאגר התמונות של משרד התחבורה).
אז אם שנתיים אחרי תחילת הדיונים על מאגר ביומטרי (אולי כבר 3 שנים ) – אתם ממשיכים עם אותם תירוצים ילדותיים וירודים – אולי אנחנו פשוט צריכים להבין בידיים של מי אנחנו מפקירים את הזהות שלנו ופשוט לשלוח אתכם , ואת משרד הפנים ואת שר הפנים .. ללכת לעשות מאגר אצל מישהו אחר.
חבל על הכסף, חבל על המאמץ, חבל על הזהות השדודה שתהיה כאן לאזרחים, חבל שאתם מסכנים את כולנו ..
[הפוסט תוקן והוסרו ממנו כמה "פניני לשון" ]
כרטיסי אשראי מדאיגים אתכם ?
11 בינואר, 2012אוקיי, אני סבור שנתתי את כל הזמן שבעולם לחברה מסויימת לטפל בבעיות שלה.
מקרה שהיה, כך היה.
היה זה לפני שנה וחצי, כאשר בהיותי אצל חברה מקומית שהסתייעה בי, הייתי צריך לסייע בהתקנה של storage על בסיס iSCSI .
במסגרת הפרוייקט, היו גם בעיות, והיה שלב שחשדנו בסוויצ'ים – או יותר נכון בחוסר תפקודיות טובה שלהם, למעשה שהם מפלים תקשורת כאשר יש עליהם עומס.
תוך כדי בדיקה של הנושא, הופעל tcpdump על מנת לראות מה מגיע, איך מגיע ….
ולפתע ….
telnet .. אני מזהה שמישהו עובד ברשת על telnet ….
“אבי … בוא, בוא הנה. אני שואג על מנהל הרשת" , “אתה פתחת telnet איפשהו ? אני שואל … "
והבן אדם לא יודע על מה אני מדבר ..
חקירה מהירה איתרה את התחנה ואת השרת שהיא עבדה מולו (שרת לינוקס) …
“תביא , תביא .. את הסיסמה של root לשרת הזה , נראה מה עשו פה" אני מפטיר לעבר אבי ..
והוא .. מביא ..
מדובר בשרת שחברה חיצונית טיפלה ומטפלת בו .. שרת ERP .. שרת שמחובר להנהלת החשבונות … ועליו מתבצעות פעולות חשבוניות של הארגון המדובר ..
אני מתחבר .. ועיניי חשכו.
כל מה שאתם רוצים מותקן על השרת .. telnet , ftp פתוח לחלוטין, samba על תקן של זונה דרום אמריקאית, webmin ללא שמץ של אבטחה … הכל כולל הכל .. כלי פיתוח, שרותי "r” למינהם (rlogin, rsh' rexec …. )
אני ואבי לוקחים את הרשימה וניגשים למנמ"ר של אוצה חברה ..
“אתה ידעת מזה? “ אני שואל .. והוא, מופתע לא פחות מאיתנו ..
מספבר שאותה חברת ERP ישראלית היא זו שהקימה וטיפלה בשרת .. אני מסביר לו את הבעיות הנובעות מהסיטוציה (הכל כולל הכל פרוץ) ..
ועוד באותו ערב אני מוציא מייל גם אליו וגם אל החברה של ה ERP על מנת להציבע על התקלות ועל הסיכון הנובע מהן ..
וחברת ה ERP מגיבה במייל מתחמק ..
אני כמעט מתחנן שינחו אותנו מה אפשר לסגור ואיך אפשר לתקן את המצב ..
.. וחברת ה ERP ממשיכה להתחמק .. מנסה למכור לי סיפורים (בנתיים מעורבים בתכתובת גם המנכ"ל של חברת ה ERP וגם מנהלים אצל אותו לקוח)
אני אפילו מוכן לעשות את זה בחינם .. רק שהמצב לא יישאר כפי שהוא נשאר ..
וחברת ה ERP .. מאיימת שהיא תתבע לי את הצורה בבית משפט אם אני אפרסם את זה ..
לאחרונה, אותו לקוח היה צריך לשדרג את המערכת , וברגע שבחברת ה ERP שמעו שאני עדיין היועץ של הלקוח בתחום של הלינוקס .. המנכ"ל של חברת ה ERP הודיע שהוא לא מוכן ..
אז באמת שלא נראה לי לעניין שמחר בבוקר יגלו כאן מאות או אלפי עסקים בארץ שהמערכת הנהלת החשבונות שלהם פתוחה ופרוצה לכל רוח ..
אבל … אם יש לכם, לארגון שבו אתם עובדים, מערכת ERP ישראלית שמיועדת לעסקים קטנים / בינוניים (עד כמה מאות עובדים בדרך כלל) – תבדקו שהמערכת לא פתוחה לחלוטין .. ואם היא פתוחה לחלוטין .. גשו לאותה חברה ותודיעו להם שלכם יש בעיה עם זה ..
אלא אם לא אכפת לכם שכל המידע הפיננסי של הארגון שלכם יהיה חשוף ופריץ ..
פצצת אטום היא לא רימון יד .. (עודכן)
9 בינואר, 2012
משרד הפנים: המאגר הביומטרי לא אתר קופונים: לא יפרצו אותו .
כן, הם נלחצים, הם נלחצים כי הם רואים שמתחיל להיות משקל נגד למאגר, ראשי מפלגות וחברי כנסת שמבינים לפתע שהחקיקה היתה נמהרת מידי.
והאמת, שאני מסכים איתם, המאגר הביומטרי הוא לא אתר קופונים, באתר קופונים הנזק יכול להיות ממוקד, מוגבל, ובסופו של דבר זניח – ובכל מקרה הוא רק נזק כלכלי.
אבל אם יגנבו לכם את הזהות .. טוב אז אני מניח שכמו שאומרים בפרסומת של משרד הדתות, תהיה לכם זכות להיקבר בארץ ובאמת אפשר שתצטרכו לחכות 120 שנה (אלוהים יודע איפה), כי אם מישהו יגנוב לכם את הזהות, בטוח שגם ישתמשו לכם במקום קבורה שלכם …
אכן, המאגר הביומטרי הוא אינו דוכן פיסטוקים, אתר קופונים או חנות בשוק הכרמל , ועצוב שכך מתייחסים אליו גם אלו שאחראים עליו.
אבל מה לעשות שאני לא ממש במצב רוח להאמין למישהו שטוען שהמידע לא ייפרץ – הרי לא הוא ישלם את המחיר.
הרי מר קמני (האחראי על הרשות הביומטרית) היה מנהל אבטחת מידע של לאומי כארד .. כמו שאתם רואים, לא אנשי לאומי כארד, לא אנשי ישראכרד ולא אנשי ויזה משלמים את המחיר .. האנשים הפשוטים משלמשים את המחיר … אז תחשבו לבד אם אתם רוצים לשלם את המחיר.
אבל גם יש מידה רבה של אמת בדבריו של מר קמני, הרי תמיד אנשי משרד הפנים, אמרו שצריך להשוות תפוחים לתפוחים .. אז אני הולך לי שיטתם .
כמו שהנתונים של כרטיסי האשראי לא דלפו במקרה הזה מחברות האשראי עצמן .. כך גם אף אחד לא אומר שהנתונים הביומטריים ידלפו דווקא מהמאגר שתחזיק הרשות הביומטרית.
יכול להיות שכמו במקרה הזה , שהנתונים דלפו לא ממי שהוא השומר (אוצר) של הנתונים אלא מתחנת מעבר (חנות אלקטרונית / אתר ) כך גם הנתונים הביומטרי , עשויים לדלוף בחלקם מ"תחנת מעבר" ולא מהשומר (אוצר) עצמו, לנתונים הביומטרים שלנו יש לא מעט תחנות מעבר בדרכן אל הרשות הביומטרית, החל ממעמד הנטילה, דרך כל שוטר שיכול לקחת אותם (ולהחזיק בהם בצורה זמנית .. שהחוק לא הגדיר כמה זמן זה “זמנית”) וכלה בפקידי מדינה למינהם.
עידוק בפוסט מגניב.
תגובת האגודה לזכויות האזרח:
האגודה לזכויות האזרח מסרה בתגובה, כי המידע של כרטיסי האשראי, ממש כמו מרשם האוכלוסין שמתגלגל ברשת האינטרנט מזכירים לנו שבמוקדם או במאוחר כל מאגר מידע דולף. יתכן שהמאגר הביומטרי יהיה מאובטח יותר, אבל בסופו של דבר גם הוא ידלוף – כך לפחות התנבא משה בסול, שהיה אחראי על אבטחת מידע בשב"כ. בשונה מהנזק הקטן שנגרם בעקבות הפריצה לנתוני האשראי שלנו, דליפה של מידע מהמאגר הביומטרי יהיה גדול לאין שיעור. משרד הפנים תיאר את הנזק שייגרם לתושבים בעקבות דליפה כ"בלתי הפיך" ומומחים מן השורה הראשונה הזהירו מפני פגיעה קשה בביטחון. חבל שרשות האוכלוסין מבזבזת כספי ציבור כדי לשווק את המאגר הביומטרי המיותר והמסוכן
עידכון / תוספת:
עצוב לי לכתוב זאת, אבל יש לי תחושה לא טובה לאחרת שקראתי את הדברים הללו,
או שראש הרשות הביומטרית אינו מקצועי דיו או שמישהו מכתיב לו מה לומר .. ואם מישהו מכתיב לו מה לומר , אולי גם יכתיבו לו מה לעשות ? ואז, איך בדיוק תיראה ההגנה על המאגר הביומטרי .
לכאן או לכאן , התחושה לאחר שקראתי את הדברים אינה טובה .
האם הדרך היחידה להבטיח את גניבת הזהות של תושבי ישראל היא באמצעות מאגר ביומטרי ..
ואם נאמר את המשפט הזה על דרך השלילה .. כל מדינה שאין לה מאגר ביומטרי מפקירה את אזרחיה .
האם כל המדינות בעולם (כי עדיין אין לאף אחת מאגר) מפקירות את אזרחיהן ..
מסופקני .
ולמען הפרוטוקול – הייתי מאד עדין .
עידכון / תוספת (מס' 2 )
התלבטתי אם בכלל לכתוב את הדברים, אבל אני יכול להעיד כי אחת מהחברות שאנשיה מתבטאים בעיניין של הגנה על מידע, כלומר, חברת אבטחת מידע, הינה פרוצה ברמה שכזו שמידע פנימי סודי שלה מסתובב ברשת .
אני לא מתכוון למסור פרטים על מי היא החברה ומה הוא המידע (אלא לאנשים של החברה בלבד), וכיצד המידע זלג / נפרץ .. אבל דבר אחד אפשר להסיק כשרואים את המידע הזה – אין אף אחד שיכול לטעון שהוא מוגן. נקודה.
תגיות: מאגר ביומטרי
