סטודנטיות בטכניון כתבו תוכנה שתקעה את משתמשי WAZE בפקק.

למרות הכתרים הרבים שהם קשרו לעצמם, לדעתי כתיבה של אפליקציה שכזו אינה כרוכה במאמץ מיוחד. במיוחד כש-WAZE כמו כל תוכנת ניווט אחרת אינה ערוכה להתגוננות מפני התקפות שכאלה.

 

כמי שנוהג לצאת לדרכו בדקה ה-90. ועל מנת לחסוך לעצמי זמן כתיבה ולימוד. הייתי שמח להניח ידי על תוכנה זו.

 

האם הגיוני להשקיע משאבים בניסיון להוכיח שניתן לעבוד על אפליקציית ניווט?

מהי הייתה תרומת הטכניון למדע בפיתוח זה?

כשגוף מכובד עוסק במתקפות סייבר הוא פותח פתח מסוכן. אני אתפלא את החל מהיום, לא יהיו אקרים רבים שינסו בכל כוחם להמשיך לשגע תוכנות ניווט מתוך כוונה להוכיח שהם סטודנטים הרבה יותר טובים.

שמוליק שלום לעולם המשתמשים הם בודקי התוכנה הטובים ביותר. בזכות בדיקות מעין אלה העולם מתקדם.

צטט: ofer309 2014-03-26 05:32:54

שמוליק שלום לעולם המשתמשים הם בודקי התוכנה הטובים ביותר. בזכות בדיקות מעין אלה העולם מתקדם.

אלה אינם משתמשים, מדובר בהאקרים פורעי חוק בחסות אקדמית.

בדיוק כמו מפתח תוכנת אגרון. מפתח התוכנה לא היה זה שגנב את בסיס הנתונים של משרד הפנים. הוא רק פיתח תוכנה שמקלה על חיפוש הנתונים. למיטב ידיעתי הוא נכלא למספר שנים טובות.

לא מדובר כאן באפליקציה ביטחונית. לא הייתה שום סיבה לנסות ולתקוף אותה בדרך בה זה נעשה, ועוד לתת לזה פרסום כה גורף.
כתיבת הגנה יעילה לאפליקציות שכאלה תייקר משמעותית את האפליקציות (הגנה זה לא בחינם). בנוסף, השד שוחרר מכלאו. החל מרגע זה עשוייה להתחולל תחרות האקרים בעולם מי מצליח לפרוץ ולבלבל תוכנות ניווט.

 

אחת מהבעיות הידועות בעולם זו בעיית ה-GPS. כיום, מערכות מלחמה שלמות מתבססות על אותם לוויינים שמשדרים אותות אלה. לחסום את האותות זה אחד מהדברים הקלים יותר לביצוע. עובדתית עד היום זה לא התרחש. יש המון אמירות לא מבוססות שכשיתרחש דבר שכזה ארה"ב תשמיד את התוקף.
עכשיו, אני ממליץ לטכניון לעניין את מחלקת ההנדסה בפיתוח מערכת חסימה שכזו. לחסום ליום אחד את כל אותות הלווין. להוכיח שחסימה שכזו הינה ברת ביצוע וקלה ביותר. קצת מאמץ של שני סטודנטים מתחילים במחלקה להנדסת חשמל. עם קצת השקעה, הסטודנטים יכולים למשל להפוך את כיווני הצפון והדרום.
זה בטח ישגע את כל המערכות מבוססות GPS. כל העולם ואישתו ינסו למצוא לזה פתרונות. ארה"ב תשגר לוויינים חדשים לשמים וכו'.

מבטיח לך שיהיה כייף אמיתי................. 

שמוליק, בכל דבר יש גוונים. זה לא שפרויקט כזה נטול הפרעות חברתיות ומצד שני זה לא שנגרם פה נזק למישהו. מחקר הסייבר בישראל זוכה לעדיפות במימון ממשלתי נדיב. איפשהו פרויקט כזה הוא על הגבול של מה שנסבל מהתקפה על מערכת. אני משוכנע שערן יהב, הדוקטורנט ושני העתודאיות לא היו מנסים לצשל התקפה על בנק הפועלים

צטט: ד. פ. 2014-03-26 11:19:15

שמוליק, בכל דבר יש גוונים. זה לא שפרויקט כזה נטול הפרעות חברתיות ומצד שני זה לא שנגרם פה נזק למישהו. מחקר הסייבר בישראל זוכה לעדיפות במימון ממשלתי נדיב. איפשהו פרויקט כזה הוא על הגבול של מה שנסבל מהתקפה על מערכת. אני משוכנע שערן יהב, הדוקטורנט ושני העתודאיות לא היו מנסים לצשל התקפה על בנק הפועלים

דורון, במידה וניסיונות חסימה של מערכות ניווט חכמות יהפכו לשכיחות בעקבות פרסומים אלה אזי נגרם נזק ממשי.

יתרה מכך, עכשיו כל מפתחי המערכות האלה יהיו חייבים להשקיע משאבים כספיים במתן פתרונות לבעיה שעד כה לא הייתה קיימת. השקעה שכזו תמיד באה בסופו של דבר על חשבון הציבור שמשלם בדרך זו או אחרת את עלות הפיתוח.

אילו היו מנסים לבצע התקפה על מוסד כגון בנק הם היו נתבעים.

 

אלגוריתם הצפנה של המידע המוזרם לשרת עשוי לפתור את הבעיה. הצפנה שכזו עשוייה לגרום לכך ש-WAZE לא יעבוד יותר על ניידים בעלי עוצמת מיחשוב נמוכה.

בקיצור, מאחורי תעלול שכזה שכל מטרתו לפאר ולרומם עדת ברווזים מסתתר הרבה כסף.

צטט: שמוליקיפiד 2014-03-26 11:49:16

צטט: ד. פ. 2014-03-26 11:19:15

שמוליק, בכל דבר יש גוונים. זה לא שפרויקט כזה נטול הפרעות חברתיות ומצד שני זה לא שנגרם פה נזק למישהו. מחקר הסייבר בישראל זוכה לעדיפות במימון ממשלתי נדיב. איפשהו פרויקט כזה הוא על הגבול של מה שנסבל מהתקפה על מערכת. אני משוכנע שערן יהב, הדוקטורנט ושני העתודאיות לא היו מנסים לצשל התקפה על בנק הפועלים

דורון, במידה וניסיונות חסימה של מערכות ניווט חכמות יהפכו לשכיחות בעקבות פרסומים אלה אזי נגרם נזק ממשי.

יתרה מכך, עכשיו כל מפתחי המערכות האלה יהיו חייבים להשקיע משאבים כספיים במתן פתרונות לבעיה שעד כה לא הייתה קיימת. השקעה שכזו תמיד באה בסופו של דבר על חשבון הציבור שמשלם בדרך זו או אחרת את עלות הפיתוח.

אילו היו מנסים לבצע התקפה על מוסד כגון בנק הם היו נתבעים.

 

אלגוריתם הצפנה של המידע המוזרם לשרת עשוי לפתור את הבעיה. הצפנה שכזו עשוייה לגרום לכך ש-WAZE לא יעבוד יותר על ניידים בעלי עוצמת מיחשוב נמוכה.

בקיצור, מאחורי תעלול שכזה שכל מטרתו לפאר ולרומם עדת ברווזים מסתתר הרבה כסף.

 

 

 

 

אני משוכנע שלא נרשם פה פטנט על שיבוש GPS.

הפרויקט נעשה במסגרת סדנה לסטודנטים ובאמצעים פשוטים.

משטרת ישראל מבצעת תרגילים בנסיון לשבש את WAZE

כפי שקראתי, למשל עוברים ליד גלאי מהירות או מצלמת רמזור

ומדווחים שהוא מבוטל. לעומת זאת לWAZE יש את האמצעים שלה

להלחם. התקפות תמיד יבואו. כאן ההתקפה מאד פשוטה, על ידי

יצירת משתמשים המדווחים על פקק תנועה. מכיון שהפקק הוא בשום

מקום (ליד שער הטכניון, בלילה, כמדומני) אין פה נזק אמיתי. לעומת

זאת יש רווח לWAZE.

בכל אירגון חשוב (למשל חברת חשמל) יש אנשים שאלו בדיוק תפקידם:

למצוא פגמי אבטחה ולהבטיח התנהגות תקינה. ובכל מקום בעולם קיימים

האקרים המנסים למצוא את הפגמים.

גם באקדמיה, המחקר בנושא הינו חשוב ויש לו עידוד גדול של הממשלה.

הממשלה עומדת לפתוח מספר מרכזי מחקר להגנת והתקפת סייבר באוניברסיטאות

והאוניברסיטאות מתחרות ביניהן על מרכזים אלו. אין פה שום עניין להסטריה, או

משחק מלוכלך, להיפך.

צטט: ד. פ. 2014-03-26 12:12:35

צטט: שמוליקיפiד 2014-03-26 11:49:16

צטט: ד. פ. 2014-03-26 11:19:15

שמוליק, בכל דבר יש גוונים. זה לא שפרויקט כזה נטול הפרעות חברתיות ומצד שני זה לא שנגרם פה נזק למישהו. מחקר הסייבר בישראל זוכה לעדיפות במימון ממשלתי נדיב. איפשהו פרויקט כזה הוא על הגבול של מה שנסבל מהתקפה על מערכת. אני משוכנע שערן יהב, הדוקטורנט ושני העתודאיות לא היו מנסים לצשל התקפה על בנק הפועלים

דורון, במידה וניסיונות חסימה של מערכות ניווט חכמות יהפכו לשכיחות בעקבות פרסומים אלה אזי נגרם נזק ממשי.

יתרה מכך, עכשיו כל מפתחי המערכות האלה יהיו חייבים להשקיע משאבים כספיים במתן פתרונות לבעיה שעד כה לא הייתה קיימת. השקעה שכזו תמיד באה בסופו של דבר על חשבון הציבור שמשלם בדרך זו או אחרת את עלות הפיתוח.

אילו היו מנסים לבצע התקפה על מוסד כגון בנק הם היו נתבעים.

 

אלגוריתם הצפנה של המידע המוזרם לשרת עשוי לפתור את הבעיה. הצפנה שכזו עשוייה לגרום לכך ש-WAZE לא יעבוד יותר על ניידים בעלי עוצמת מיחשוב נמוכה.

בקיצור, מאחורי תעלול שכזה שכל מטרתו לפאר ולרומם עדת ברווזים מסתתר הרבה כסף.

 

 

 

 

אני משוכנע שלא נרשם פה פטנט על שיבוש GPS.

הפרויקט נעשה במסגרת סדנה לסטודנטים ובאמצעים פשוטים.

משטרת ישראל מבצעת תרגילים בנסיון לשבש את WAZE

כפי שקראתי, למשל עוברים ליד גלאי מהירות או מצלמת רמזור

ומדווחים שהוא מבוטל. לעומת זאת לWAZE יש את האמצעים שלה

להלחם. התקפות תמיד יבואו. כאן ההתקפה מאד פשוטה, על ידי

יצירת משתמשים המדווחים על פקק תנועה. מכיון שהפקק הוא בשום

מקום (ליד שער הטכניון, בלילה, כמדומני) אין פה נזק אמיתי. לעומת

זאת יש רווח לWAZE.

בכל אירגון חשוב (למשל חברת חשמל) יש אנשים שאלו בדיוק תפקידם:

למצוא פגמי אבטחה ולהבטיח התנהגות תקינה. ובכל מקום בעולם קיימים

האקרים המנסים למצוא את הפגמים.

גם באקדמיה, המחקר בנושא הינו חשוב ויש לו עידוד גדול של הממשלה.

הממשלה עומדת לפתוח מספר מרכזי מחקר להגנת והתקפת סייבר באוניברסיטאות

והאוניברסיטאות מתחרות ביניהן על מרכזים אלו. אין פה שום עניין להסטריה, או

משחק מלוכלך, להיפך.

יש אינטרס לאומי להגן על משאבי המדינה מפני התקפות של האקרים. לפיכך מושקעים בנושא משאבים רבים.

התקפה על חברת חשמל עשוייה לגרום לנזק בלתי הפיך לכלכלת ישראל. כנ"ל התקפה על מערכות פיקוח תחבורה וכדומה.

התקפה על תוכנת GPS חינם זו ליצנות לישמה. לארגוני טרור אין אינטרס ברור לייצר התקפות שכאלה.

כל מה שהליצנים הוכיחו הוא שניתן להתחזות לפרוטוקול של WAZE ולשדר דיווחי עומס יזומים ומיקומי GPS מסומלצים. סך הכל עבודה מטופשת, סזיפית ופשוטה.
במקום לפתח פרוייקט אדיוטי שכזה יכלו לפנות ל-WAZE ולהמליץ להם להצפין את המידע. 

צטט: שמוליקיפiד 2014-03-26 12:32:13

צטט: ד. פ. 2014-03-26 12:12:35

צטט: שמוליקיפiד 2014-03-26 11:49:16

צטט: ד. פ. 2014-03-26 11:19:15

שמוליק, בכל דבר יש גוונים. זה לא שפרויקט כזה נטול הפרעות חברתיות ומצד שני זה לא שנגרם פה נזק למישהו. מחקר הסייבר בישראל זוכה לעדיפות במימון ממשלתי נדיב. איפשהו פרויקט כזה הוא על הגבול של מה שנסבל מהתקפה על מערכת. אני משוכנע שערן יהב, הדוקטורנט ושני העתודאיות לא היו מנסים לצשל התקפה על בנק הפועלים

דורון, במידה וניסיונות חסימה של מערכות ניווט חכמות יהפכו לשכיחות בעקבות פרסומים אלה אזי נגרם נזק ממשי.

יתרה מכך, עכשיו כל מפתחי המערכות האלה יהיו חייבים להשקיע משאבים כספיים במתן פתרונות לבעיה שעד כה לא הייתה קיימת. השקעה שכזו תמיד באה בסופו של דבר על חשבון הציבור שמשלם בדרך זו או אחרת את עלות הפיתוח.

אילו היו מנסים לבצע התקפה על מוסד כגון בנק הם היו נתבעים.

 

אלגוריתם הצפנה של המידע המוזרם לשרת עשוי לפתור את הבעיה. הצפנה שכזו עשוייה לגרום לכך ש-WAZE לא יעבוד יותר על ניידים בעלי עוצמת מיחשוב נמוכה.

בקיצור, מאחורי תעלול שכזה שכל מטרתו לפאר ולרומם עדת ברווזים מסתתר הרבה כסף.

 

 

 

 

אני משוכנע שלא נרשם פה פטנט על שיבוש GPS.

הפרויקט נעשה במסגרת סדנה לסטודנטים ובאמצעים פשוטים.

משטרת ישראל מבצעת תרגילים בנסיון לשבש את WAZE

כפי שקראתי, למשל עוברים ליד גלאי מהירות או מצלמת רמזור

ומדווחים שהוא מבוטל. לעומת זאת לWAZE יש את האמצעים שלה

להלחם. התקפות תמיד יבואו. כאן ההתקפה מאד פשוטה, על ידי

יצירת משתמשים המדווחים על פקק תנועה. מכיון שהפקק הוא בשום

מקום (ליד שער הטכניון, בלילה, כמדומני) אין פה נזק אמיתי. לעומת

זאת יש רווח לWAZE.

בכל אירגון חשוב (למשל חברת חשמל) יש אנשים שאלו בדיוק תפקידם:

למצוא פגמי אבטחה ולהבטיח התנהגות תקינה. ובכל מקום בעולם קיימים

האקרים המנסים למצוא את הפגמים.

גם באקדמיה, המחקר בנושא הינו חשוב ויש לו עידוד גדול של הממשלה.

הממשלה עומדת לפתוח מספר מרכזי מחקר להגנת והתקפת סייבר באוניברסיטאות

והאוניברסיטאות מתחרות ביניהן על מרכזים אלו. אין פה שום עניין להסטריה, או

משחק מלוכלך, להיפך.

יש אינטרס לאומי להגן על משאבי המדינה מפני התקפות של האקרים. לפיכך מושקעים בנושא משאבים רבים.

התקפה על חברת חשמל עשוייה לגרום לנזק בלתי הפיך לכלכלת ישראל. כנ"ל התקפה על מערכות פיקוח תחבורה וכדומה.

התקפה על תוכנת GPS חינם זו ליצנות לישמה. לארגוני טרור אין אינטרס ברור לייצר התקפות שכאלה.

כל מה שהליצנים הוכיחו הוא שניתן להתחזות לפרוטוקול של WAZE ולשדר דיווחי עומס יזומים ומיקומי GPS מסומלצים. סך הכל עבודה מטופשת, סזיפית ופשוטה.
במקום לפתח פרוייקט אדיוטי שכזה יכלו לפנות ל-WAZE ולהמליץ להם להצפין את המידע. 

 

 

 

מדובר בשני חברים שלי (המנחים, לא הסטודנטיות)

שהם בכלל לא ליצנים. וזה נעשה במסגרת מקצוע של מעבדת סטודנטים,

כלומר פרוייקט פשוט לסטודנטיות לתואר ראשון ללא יומרה מדעית גדולה.

יפה שבישראל סטודנטיu,(בתכנית מצויינות של העתודה) מסוגלות לעשות דבר

כזה. למרות שלא מדובר כנראה במחקר שאותו ניתן לפרסם בכנסים, הרי מדובר

באלגוריתם שעבור הפורץ הינו Black box עבורם, כלומר, הן לא יודעות איך

האלגוריתם מתנהג. ועדיין, הן צריכות לפצח אותו ולהבין איך הוא עובד. הסיבוכיות

לכך היא גדולה. בעיקרון WAZE מנסה לעדכן אוטומטית לגבי פקקי תנועה, ולכן,

הן צריכות לפצח את הפרוטוקול בלי להכיר אותו, רק דרך הממשק, ולגרום

להתנהגותו בניגוד ליעודו.

בדיקה אוטומטית של תכונות של פרוטוקול איתו אתה יכול רק להתממשק הינה בסיבוכיות

עצומה. אנשים פרסמו על כך מאמרים בכנסים בינלאומיים...

 

מה הקשר בין זה לבין פורום זוגיות?

 

צטט: אורי אביבי 2014-03-26 17:54:50

מה הקשר בין זה לבין פורום זוגיות?

 

הקשר פשוט.

תאר לך שקבעת דייט עם גברת ואתה מאחר עקב פקקים.

כל שנותר לך לעשות הוא ליגרום פקק אחד גדול במקום הכי פנוי שיש. ככה זמני ההגעה יתקצרו ואתה תגיע לזוגיות מופלאה.

צטט: ד. פ. 2014-03-26 13:37:32

 

מדובר בשני חברים שלי (המנחים, לא הסטודנטיות)

שהם בכלל לא ליצנים. וזה נעשה במסגרת מקצוע של מעבדת סטודנטים,

כלומר פרוייקט פשוט לסטודנטיות לתואר ראשון ללא יומרה מדעית גדולה.

יפה שבישראל סטודנטיu,(בתכנית מצויינות של העתודה) מסוגלות לעשות דבר

כזה. למרות שלא מדובר כנראה במחקר שאותו ניתן לפרסם בכנסים, הרי מדובר

באלגוריתם שעבור הפורץ הינו Black box עבורם, כלומר, הן לא יודעות איך

האלגוריתם מתנהג. ועדיין, הן צריכות לפצח אותו ולהבין איך הוא עובד. הסיבוכיות

לכך היא גדולה. בעיקרון WAZE מנסה לעדכן אוטומטית לגבי פקקי תנועה, ולכן,

הן צריכות לפצח את הפרוטוקול בלי להכיר אותו, רק דרך הממשק, ולגרום

להתנהגותו בניגוד ליעודו.

בדיקה אוטומטית של תכונות של פרוטוקול איתו אתה יכול רק להתממשק הינה בסיבוכיות

עצומה. אנשים פרסמו על כך מאמרים בכנסים בינלאומיים...

 

מאחר שיש לי ניסיון קל בפריצת פרוטוקולים ופענוח אלגוריתמים להלן תגובתי לחבריך הליצנים:

הסטודנטיות עבדו קשה על מנת ללמוד את הפרוטוקול ולכתוב את תוכנת ההדמיה.

האלגוריתם אותו פיצחו היה אחד הקלים שבהם. לא הייתי כותב מילה אחת על זה.

אלגוריתם זה רחוק כרחוק מזרח ממערב מאלגוריתם החיפוש של גוגל או הצפת הפיד של פייסבוק.

כשיפענחו את אלגוריתם החיפוש של גוגל תהיה להם סיבה לגאווה.

 

כמי שעושה שימוש קל ב-WAZE כל מה שהן היו אמורות לעשות זה לדווח אקראית באמצעות "מקש" הדיווח על עומסים הולכים וגדלים בכביש. כמובן שעל העומס לגדול אחורה בטווח ממוקד תחילת העומס. כנ"ל עליהן לסמלץ תנועה איטית שהולכת ומתקבצת לכיוון הפקק. כדי לטבל מעט את הפקק הייתי מוסיף דיווח תאונה (ב"מקש")  בנקודת היווצרות הפקק.

ועכשיו, תן לי הסבר מלומד מה היה כ"כ מסובך בפרוייקט ההזוי הזה?

כפי שכתבתי, כל מה שעל WAZE לעשות הוא להצפין את המידע. זה לא יהפוך את WAZE לחסין באופן מוחלט. זה יקשה מעט על סטודנטים וד"ר חסרי מעש באונ' לפתח תוכנות מיותרות.

 

אגב, מהירות התגובה של WAZE להיווצרות והשתחררות פקקים, איטית להחריד. חסר להם באלגוריתם באופן ברור ביותר מנגנון הצופה פני עתיד. אילו היה להם אחד כזה הם היו מעולים. כיום כל המנגנונים האלה מפגרים למדי.

היה טוב אילו הד"ר הליצן והסטודנטיות היו משקיעים בפיתוח אלגוריתם פקק יעיל יותר, במקום לנסות לפצח את האלגוריתם הטיפשי הנוכחי.