הבוט לחידוש דרכון חוזר עם טוויסט חדש: "אין להם דרך לחסום אותנו"

אחרי שחברת CallFlow חסמה את הבוטים לחידוש דרכון ישראלי, חוקר אבטחה החליט שלא לוותר, ומצא דרך לעקוף את מנגנון הקאפצ'ה

מצרך מבוקש: דרכון ישראלי. תמונה: גיקטיים

לא טסלה, לא אייפון 13 ולא פלייסטיישן 5… נדמה שהמוצר הנחשק ביותר לשנת 2022 הוא תור לחידוש דרכון ישראלי. כזכור, אחרי הקריסה והמחסור בתורים בלשכות רישום האוכלוסין, הרימו כמה מתכנתים בוטים שאיפשרו לאלפים לקבוע תורים, רק כדי להיחסם על ידי החברה שאחראית על השירות.

אבל עכשיו אנחנו מדווחים על שיתוף פעולה מעניין ודי מקורי בין חוקר אבטחה ליוצר הבוט המקורי, שיתוף פעולה שאולי יאפשר למשתמשים לתפוס תור ואולי להספיק לטוס בחודשים הקרובים.

תקציר האירועים הקודמים

לפני חודש דיווחנו לכם על ניסו מזוז והבוט שפיתח שהחל כערוץ טלגרם פשוט, שמדווח על תורים שנפתחו או התפנו, והפך למערכת זימון התורים שמשרד הפנים ו-MyVisit היו צריכים כנראה לפתח מלכתחילה. בין השאר כללה המערכת שפותחה בהתנדבות את היכולת לראות את כל התורים הזמינים בכל אחד מ-52 הלשכות הפתוחות ברחבי הארץ, כך שהמשתמשים לא היו צריכים לעבור לשכה לשכה ולרענן את העמוד כל היום בתקווה לתפוס את התור הנכסף.

אבל יחד עם מזוז הגיעו עוד מפתחים שניסו לפתח פתרונות כאלו ואחרים, ובהם גם בוטים שתופסים תורים ולאחר מכן מוכרים אותם. CallFlow, החברה שעומדת מאחורי שירות MyVisit, שעליו מתבססת מערכת התורים של לשכת רישום האוכלוסין, החליטה לסיים את החגיגה, וחסמה את האפשרות ל-Session אנונימי, הוסיפה מנגנון Captcha, ובפועל חסמה את הגישה של כל הבוטים.

סוף החגיגה? לא כל-כך מהר. לא כשמתעסקים עם הייטקיסטים.

צרת רבים – מתכון לתוסף

שרון בריזינוב, חוקר אבטחה ב-Claroty, בנה גם הוא בוט לשימוש אישי כדי לסייע לאחותו לקבוע תור לחידוש דרכון, ולאחר שכל הבוטים נחסמו לפני כשבועיים, הוא החליט שהוא לא מוותר עליהם, והחליט לפנות למזוז כדי לחשוב על שיתוף פעולה, שיוביל להשבת הבוט הפופולרי שלו לחיים. "הבנתי שיש כאן אתגר טכנולוגי מעניין ואני אוהב את זה. חשבתי על פתרון, שאי אפשר לסגור אותו", מספר בריזינוב לגיקטיים. אפשרות אחת שעלתה היא להשתמש בשירותים אנושיים שפותרים קאפצ'ות עבור שירותים שכאלו, אבל זה היה נראה להם כפתרון לא נכון.

במקום זאת, בריזינוב ומזוז חשבו על הדרך לנצח את הקאפצ'ה: כשאתם נכנסים ל-MyVisit ופותרים את הקאפצ'ה, אתם מקבלים טוקן ייחודי שפעיל במשך 10 דקות. זה בעצם תחליף לקובצי קוקיז שמאפשר לכם להמשיך לגלוש באתר ולחפש תורים פנויים. ברגע שעוברות 10 דקות, אתם צריכים שוב לפתור קאפצ'ה וחוזר חלילה. אז השניים יצרו תוסף שבעצם לוקח את הטוקן הזה, ומעביר אותו לבוט, כך שהבוט מקבל 10 דקות חופשיות לרוץ ולחפש עוד תורים קיימים לטובת הכלל. ברגע שהבוט מוצא תור, הוא מדווח לערוץ הטלגרם שכבר נושק ל-18 אלף נרשמים. 

כך, מי שהתקין את התוסף ונכנס לאתר משרד הפנים מסייע להפעלת הבוט, שגם יכול לעזור לו בהמשך. לטענת השניים, יותר מ-300 משתמשים הורידו את התוסף, וכששאלתי אותם האם זה מספיק, הם משיבים כי מלבד בשעות הלילה המאוחרות, הבוט עובד בצורה רציפה הודות למשתמשים. "האמת היא שהייתי סקפטי לגבי הרצון לשתף פעולה ולהוריד את התוסף, אבל זה נותן ערך לאנשים ויש להם תמריץ".

בריזינוב הוא כאמור חוקר אבטחה, ולכן רק מתבקש שנבדוק את נושא האבטחה, כיוון שמדובר בהעברה של טוקן והתקנה של תוסף. לטענתו, המשתמשים יכולים להיכנס למערכת בצורה אנונימית (אחרי מילוי Captcha כמובן), מה שאומר שהטוקן שלהם לא מקושר אליהם בשום אופן. באפשרות השנייה, המשתמש מזין את מספר הטלפון שלו ואז עובר את תהליך הקאפצ'ה, כך שבמקרה הזה, הטוקן אכן מקושר למספר הטלפון של המשתמש, אך לטענת בריזינוב התיעוד הזה נשמר רק אצל CallFlow, כמו במצב רגיל, ולא מגיע לתוסף והמערכת של מזוז, כך שבכל מקרה מידע פרטי של המשתמשים לא עובר ביחד עם הטוקן.

בהמשך: הבוט יקבע עבורכם את התור

כך זה נראה

נכון לעכשיו, הבוט, בשילוב התוסף, רק יודע לזהות תורים פנויים ולשלוח לגביהם הודעה בערוץ העמוס, אבל מזוז מספר לגיקטיים שהוא כבר חושב על השלב הבא: "אני רוצה להתחיל במהלך השבוע בפעילות של קביעת תורים. זה קצת שונה ממה שעשינו עד היום. זה יעשה בצורה קצת שונה והוגנת". לדברי מזוז, הוא יצר סקריפט שהוא מעין מנגנון תיעדוף, כך שאדם שטס בעוד חודש, ואין שום סיכוי שיקבל את הדרכון שלו בזמן לא יתפוס תור של אדם שמנסה לטוס בספטמבר, ויכול להספיק לחדש את הדרכון שלו. "בבוטים אחרים הכניסו את כולם לתור ארוך וקבעו להם תורים ללא שום מנגנון תיעדוף. הכל היה רנדומלי. נקווה שזה יעשה קצת יותר שכל". במערכת החדשה שלו, מזוז טוען כי הוא יבקש מהמשתמשים להזין תעודת זהות וטלפון נייד לצורך ההרשמה, אך לטענתו הם יישמרו בצורה מוצפנת.

ולשאלת מיליון הדולר: האם מדובר בפיתרון זמני ש-CallFlow תוכל לחסום שוב? לשאלה זו משיב בריזינוב כי "אין להם דרך לחסום אותנו. אנחנו משתמשים בכוח הקהילה כדי לעשות את זה". בשביל לחסום את הבוט החדש, CallFlow תצטרך ככל הנראה לשנות את כל מערך האבטחה שעליו היא מתבססת, וכמו שראינו עד כה, CallFlow לא מוסיפה פיצ'רים חדשים במהירות.

פנינו גם לחברת CallFlow לתגובתם, וזו לשונה: "אעדכן אותך שרשות הסייבר הלאומית הנחתה אותנו לא לאפשר בוטים. בנוסף, הסיבות להסרת הבוטים ידועות ומובנות: פעילות ספסרות, מאגר נתונים לא חוקי, תפיסת תורים ועומס מלאכותי. בנוסף, בהתאם להנחיות משרד הפנים, חלו שיפורים בממשק המשתמש ובקרוב יעלו שיפורים נוספים. בכל מקרה, על פי ידיעתנו, רשות האוכלוסין פועלת להגדלת ההיצע כך שהבעיה בכללותה תצטמצם. לידיעתך, מיי ויזיט פועלת במאות ארגונים בישראל ובעולם כפלטפורמה לזימון תורים לשביעות רצון הארגונים והלקוחות".

התוסף של בריזינוב ומזוז זמין ב-GitHub, והמערכת של מזוז זמינה כאן

עוד סיפורים כאלו מחכים לכם עכשיו עוד סיפורים כאלו מחכים לכם עכשיו בערוץ העדכונים הרשמי של גיקטיים

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

41 תגובות על "הבוט לחידוש דרכון חוזר עם טוויסט חדש: "אין להם דרך לחסום אותנו""

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
סטארטאפיסט
Guest

הפתרון נחמד אבל מצטער לאכזב: אפשר לחסום די בקלות לדעתי. פשוט לשייך את הטוקן לIP של המשתמש שפתר את הקאפצ'ה. ככה שבוט עם IP אחר לא יוכל להשתמש בטוקן שנוצר במחשב של זה שפתר את הקאפצ'ה.

הדרך לעקוף את זה יהיה תוסף שמריץ את הבוט עצמו. כלומר שהבוט ירוץ על המכונה של המשתמשים ואת זה כמעט בלתי אפשרי לחסום כי זה מדמה פעולה אנושית.

אחד שיודע
Guest

היום חסימות לא יכולות להיות מבוססות IP כי מכשירים מודרנים מחליפים IP בתדירות גבוהה – מעבר בין רשתות wifi, רשתות LTE וכו׳

משתמש
Guest

בטח שיכולות, אבל זה ייפגע בחוויית המשתמש ותלוי כמה זאת מעניינת את החברה.
כבר קרה לי שהייתי צריך לעשות לוגין מחדש כי עברתי מוויי-פיי לסלולארי או בחזרה.

tom
Guest

ומה לגבי mac address?

מתושלח
Guest

תגובה של אדיוט שמנסה להיראות רלוונטי

משתמש
Guest

יכולות להיות גם מבוססות על fingerprint של הדפדפן

רם פרס
Guest

פינגרפרינט של הדפדפן? אתרי הממשלה עדיין מנסים להבין מה אפשר לעשות עם הטכנולוגיה החדשנית של קוקיז…

אחד שיודע (אבל יותר)
Guest
אחד שיודע (אבל יותר)

אבל התוקן נשאר רק לעשר דקות, זה אומר שהוא לא קובע. כך שאפשר להשתמש בIP, ופתרון נוסף הוא שימוש בmac address, שלא ניתן לשינוי.

רם פרס
Guest

נכון מק אדרס לא ניתן לשינוי. זה לא שהוא כתוב באופן לוגי כלשהו ואז מוחלף בראוטר הביתי שלך ואז מוחלף כל פעם שהוא קופץ מראוטר לרואטר. כי מי בכלל יודע מה זה L2 או L3. אפשר לכתוב שטויות בכיף.

חדקרן
Guest

כתובות אייפיי מתחלפות בתדירות גבוהה על כל שינוי רשת. אפשרות אחרת לחסום היא באמצעות שיוך כתובת הmac של המכשיר. למרות שגם כתובות מאק אפשר לשנות לרנדומליות

איש
Guest

כתובת הmac לא נשלחת

רן כהן
Guest

לכל מי שמדבר על IP שמתחלף בתדירות גבוהה – הTOKEN הוא רק לעשר דקות. קשה לי להאמין שמישהו יחליף IP כמה פעמים בעשר דקות כאשר הוא שקוע באתר של משרד ממשלתי…

אנונ
Guest

session id?

יוסקה
Guest

תן לי לנחש יא מטומטם שכמוך, בצבא בטח היית שואל מלא שאלות קיטבג, נכון?
אולי תיתן עצות גם לחמאס איך לעשות פיגועים? אויבים מבית אשכרה….

מתעניין
Guest

כל הכבוד.

אמיל והבלשים
Guest

אפשר להחליף את כל הממשלה בבוט

מיכל
Guest

זה לא כבר ככה היום?

בוטיםבכלמקום
Guest

יש בוטים שלא דורשים מהמשתמשים להוריד תוסף ועלולים לפגוע להם בפרטיות
https://t.me/misradpnim

ארי
Guest

במקום לחסום את הבוט פשוט שבמשרד הפנים יחלו לעבוד

ASD
Guest

הם עסוקים בלחסום פליטים אוקראנים

שם כלשהו
Guest

לעבוד זה קשה, למה לעבוד ולחפש קבלן שיבנה מערכת טובה ונוחה למשתמש כשאין לך מתחרים?

זקן השבט
Guest

אוי נו איזה בושה, אם רוצים יש כ"כ הרבה דרכים לחסום את הבוט הזה שזה פשוט בושה לטעון את השטויות האלה, ועוד בכותרת.

איציק
Guest

מחר הבוט הזה יחסם. ובפעם הבאה תעשו דברים בשקט מבלי להתקשר ל-CallFlow ולהסביר להם כיצד לחסום אתכם.

תוכן ממומן
Guest

הוא ממש מסביר איך לחסום אותם. חברת CallFlow פשוט צריכים לסגור את האפשרות להיכנס למע' בצורה אנונימית ולדרוש כניסה רק עם מספר טלפון.
זה יצמצם את מספר האנשים בו זמנית יאפשר להם לחסום מספרים שמתנהגים כמו בוט וכ'…

מיכל
Guest

בשביל מה אתה ממשיך לתרום להם טיפים?

תוכן ממומן
Guest

הם לא צריכים את הטיפים שלי. כלומר כל הכותרת של הכתבה הזאת היא שטות גמורה, ובשביל זה יש את התגובות. כי הם לא יתקנו את הכתבה.

שם כלשהו
Guest

פה אתה מניח שהמדינה לשם שינוי לקחה חברה שיש לה מושג מה הם עושים

נראה מגניב
Guest

נדמה לי שכבר לפני שנים פיתחו בינה מלאכותית שפותרת קאפצ'ה

מצ\'עמם לי
Guest

"לשביעות רצון הארגונים והלקוחות".

פחחח.
תעשו מוצר נורמלי במקום להתעסק בלחסום את מי שמנסה לפתור את הבעיות שאתם גורמים.

אזרח
Guest

הסתומים "חסמו" את הבוט אבל נהיה לקשה יותר להיכנס לאדם הלא בוט

פרטיות
Guest

יפה, אבל לא אוהב שזה עבר לתוסף (לכו תדעו מה זה עושה מאחרי הקלעים בדפדפן). כשזה היה בוט בטלגרים-בסדר. תוסף? אתר שמבקש ממני מייל שזה שקול בימינו לת.ז/כתובת מגורים? לא.

גלידה
Guest

זה קוד פתוח אפשר לקרוא מה זה עושה (עוד לא קראתי)

carob
Guest

גם התנאים של הבנק להלוואה ועדין אף אחד לא יודע מה כתוב שם

אריה
Guest

לתפוס תורים ולמכור אותם בכסף זה סחיטה וזה לא מוסרי… תופעה שלא צריכה להיות קיימת… השוואה דומה לזה היא ספסרות בכרטיסי מופע שזו עבירה פלילית… (אתה קונה הרבה כרטיסים במחיר רגיל כדי למכור אותם לאנשים נואשים כשהם נגמרים במחיר גבוהה, זה בדיוק אותו דבר כמו לתפוס תורים בחינם עכשיו על ידי בוטים וכשאין יותר תורים למכור אותם לאנשים נואשים בכסף)

מיכל
Guest

עשו את הבוטים כדי להתגבר על ממשק זוועתי שפיתח קבלן שנתן כנראה את המחיר הכי זול. ספסרות זה דבר שקורה מעט מאוד אם בכלל וזה רק תירוץ נוח של החברה שעשתה את הפאדיחה, לעשות קאפצ'ות ולתרץ שזאת הסיבה

דוד
Guest

אנשים רבים לא היו צריכים לחדש דרכון אם הממשלה לא היתה מענישה אותם על סירוב שמירת טביעת אצבע במאגר הביומטרי בקיצור תוקף הדרכון מ 10 ל 5 שנים.
ככה זה כשהשלטון נלחם באזרחים במקום לשרת אותם.
ועכשיו יש לנו אפליקצית הזמנת תורים שנלחמת באזרחים שמעיזים לרצות דרכון
אמנם מדובר במגזין טכנולוגי אבל נראה לי שבמקרה הזה הפתרון איננו טכנולוגי

ZUZ
Guest

משרד הפנים בתגובה חחח האתר שלנו גם ככה לא זז ומגיב.. אז לך תחפש 🙈

אנונ
Guest

יש דרך הרבה יותר פשוטה מהמתוארת פה. כמעט כמו לפני השינוי עם תוקן + Api key.

אסף
Guest

בלתי אפשרי לחסום? דוקא יש דרך קלה לחסום – שיוך הטוקן לכתובת איי פי. אבל לא נגלה להם :)

רפאל
Guest

דרך אחת לחסום את הבוט היא להשתמש ב-webauthn (כניסה באמצעות נעילת מסך של המכשיר) ושיוך הטוקן ל-publickey שנוצר מהמכשיר (ה-private key נשמר במכשיר בצורה מוצפנת)
דרך נוספת היא להגדיל את זמן התגובה בין בקשה לבקשה (עם penalty שתלוי בזמן שבין בקשה לבקשה) ככה שבוט שמנסה לבצע המון בקשות ייצטרך לחכות המון זמן ולא יוכל לאסוף מידע במהירות (סוג של rate limiter)

Rafael Green
Member

אפשר להגדיל את זמן התגובה בין בקשה לבקשה (עם penalty שתלוי בזמן שבין בקשה לבקשה) ככה שבוט שמנסה לבצע המון בקשות ייצטרך לחכות המון זמן ולא יוכל לאסוף מידע במהירות (סוג של rate limiter)

wpDiscuz

תגיות לכתבה: