עושים צ'ק-אין בבסיס

איזה מידע צבאי אפשר לגלות באמצעות שימוש באפליקציית foursquare? מסתבר שלא מעט מיקומים של יחידות צבאיות. גיא מזרחי, האקר, יועץ, חוקר ומרצה בתחום אבטחת מידע, ישב באחד הימים האחרונים באזור מגדלי עזריאלי בתל אביב. הוא מספר כשפתח את אפליקציית foursquare וביצע check in, להפתעתו, מצא שם כמה וכמה מיקומים (venues) מעניינים:

• קומה 7, בניין מטכ"ל
• ענף ארגון, בסיס קרייה
• קריה, מנחם בגין
• קומה 16, קריה
• חטיבת המחקר, בסיס מטכ"ל 128 (קריה)
• המשרד של אפרת וקורל, קריה - בניין מטכ"ל
• בור, קריה
י• הקריה - בניין מטכ"ל
• קומה 9, קריה
• מחקר, בסיס קרייה

מסתבר שישנם חיילים המגיעים ליחידות הצבאיות שלהם ומזינים באמצעות הסמארטפון את מיקומם הצבאי. כמה בדיוק חיילים עושים זאת? לא ברור. התופעה קיימת. מדוע הם עושים זאת? כנראה מחוסר מודעות. הבעיה היא שחוסר המודעות מספק כמה פרטי מידע מעניינים שלא בטוח שצה"ל ירצה לחלוק עם הציבור הרחב. מזרחי הצליח בכמה דקות להבין היכן חטיבת המחקר של בסיס המטכ"ל; היכן נמצאת לשכת ראש חטיבת תקשוב.

foursquare היא רשת חברתית מבוססת מיקום, המאפשרת לגולש לדעת היכן המיקום הפיסי של חבריו. כל גולש יכול להזין היכן הוא נמצא (לעדכן מיקום על ידי check in). אפשר גם ליצור מיקום (כפי שעשו החיילים). המשתמשים ברשת החברתית זוכים לתארים ואותות (badges) כמו "ראש העיר", שניתנים למי שעשה הכי הרבה check in למיקום מסוים. foursquare מתחרה כיום בכמה שירותי מבוססי מיקום אחרים פופולאריים. גוגל השיקה באחרונה גירסת אנדרואיד שמאפשרת לבצע check in במקומות על גבי מפות גוגל. הבעיה: גוגל לא מחברת את השירות שלה לשירותים חברתיים אחרים כמו טוויטר ופייסבוק. לפייסבוק יש facebook places שמציע שירות דומה. שירות נוסף פופולארי הוא gowalla.

מערכת היחסים של צה"ל עם שירותי מדיה חברתית היא מלחמה בלתי פוסקת מצד צה"ל לחסום שירותים שעשויים להוות סיכון ביטחוני. אלא שלא בטוח שצה"ל מסוגל להתמודד עם שטף שירותי הווב שנמצאים כיום ברשת. בחודש אוקטובר האחרון דיווחנו ב-themarker כי צה"ל החליט לחסום מחשבים המחוברים לרשת האינטרנט בצה"ל לפייסבוק.

סא"ל גדי עבאדי, ראש ענף ביטחון מידע תקשובי באגף המודיעין, אמר בראיון לערוץ 2 כי החסימה מתבצעת במחשבים המחוברים לאינטרנט ומצויים בבסיס או במשרד צבאי, כאשר בקרבת מקום קיים חומר מסווג. ואולם, גישה לאתרים אלה לא תיחסם ממחשבים שהוצבו במועדון היחידה. בנוסף, חיילים יוכלו להמשיך לגלוש לאתרים אלה באמצעות המכשירים הסלולריים.

כדי להתמודד עם הבעיה של זליגת מידע מסווג לרשת ולרשתות חברתיות בפרט, הקים צה"ל יחידה מיוחדת, הפועלת תחת מחלקת ביטחון מידע של אמ"ן ומטרתה לאתר תקריות של הדלפת מידע שלא בזדון דרך רשתות חברתיות. היחידה, שהוקמה כחלק מלקחי מלחמת לבנון השנייה, סורקת שורה של אתרים פופולריים, בהם פייסבוק, טוויטר ומייספייס. במקביל, הפיץ אמ"ן עלון ובו נהלים במטרה להגדיל את המודעות לסכנות שנובעות מזליגת מידע לרשתות חברתיות.

מדובר צה"ל נמסר בתגובה: "מחלקת ביטחון מידע מקיימת הסברה לחיילים וקצינים בכל יחידות צה"ל במטרה להעלות את המודעות וחשיבות השמירה על ביטחון המידע. במסגרת ההדרכות מחדדים קציני ביטחון המידע בפני החיילים את הסכנות, האיומים והנהלים. בתוך כך, מתודרכים החיילים בין היתר שלא להזדהות ברשתות חברתיות כחיילים בצה"ל".

מזרחי מתייחס לתגובת דובר צה"ל ואומר שלמעשה אין קשר בין תגובת הדובר למה שנחשף כעת: "מי שעשה check in שם - הוא חייל או עובד מערכת הביטחון. אני לא מכיר סתם אזרחים שנכנסים ל'בור' בקריה או לאיזורים אחרים שמופיעים שם. כל אדם כזה גם עושה check in במקומות בהם הוא נוהג להסתובב. קל מאוד לאתר את חלקם. הבעיה המשמעותית הנוספת כאן היא חשיפת מידע בעייתי: העובדה שהקרייה היא בסיס מטכ"ל 128; קיום בניין בשם בניין מטכ"ל; המצאות של משרד עם שמות העובדות בו בבניין מטכ"ל; קיום חטיבת המחקר בקריה; קיום ענפים נוספים; ויש גם פירוט רחב יותר, למשל שלשכת רח"ט תקשוב בקריה כוללת הקומה בבנין בו היא נמצאת וכן מי עובד בה.

"הזנת המיקום ל-foursquare מתבצעת באמצעות מכשיר סלולר חכם. זה בעצם מחשב וניתן להפוך אותו למכשיר האזנה בפעולות תקיפה סייבריות. כל אחד מהחבר'ה האלה הוא בעצם מכשיר האזנה מהלך בקריה, חלקם במקומות מחקריים. יש לחלק גדול מהם חברים ב-foursquare שגם הם עושים check in במקומות מעניינים (מצאתי בסיסי צה"ל נוספים כולל בסיסי חיל האויר, גלילות ועוד). לפחות חלק מה-venues האלה ממוקמים בדיוק (של gps) ונותנים את הקואורדינטות האמיתיות של המיקומים כמו גם כתובות מדוייקות. לכן תגובת דובר צה"ל לא קשורה לעניין".