מתוך כתבה של דרור גלוברמן:

יש לנו סוד צבאי לחשוף לפניכם. אל דאגה, זה סוד שכולם יודעים: הצבא מתנהל בוואטסאפ. חצי ממנו לפחות. מבצעים, מעקב אחרי מחבלים ומשגרים, תרגילים, תיאומים, מקומות, יחידות, שיבוץ קרבי, מעצרי חשודים. אפילו בעומק. כשחיילים עוצרים חשוד בשטחים, בלא מעט מקרים הם שולחים את תמונתו בוואטסאפ. שאלתי באינסטגרם ובפייסבוק, האחיות של וואטאפ, עד כמה קריטי וואטסאפ בצבא. 80% מהעונים הלא-מייצגים כתבו לי שוואטסאפ קריטי או שימושי מאוד במסגרת הצבאית. כשזה מגיע למילואים, אפילו יותר.
...
הבעיה היא יותר גדולה מביטחון מידע. הבעיה שלצה"ל אין שליטה על מה שקורה בוואטסאפ. אתם מכירים את זה ממקום העבודה שלכם: כשאתה חדש, אתה צריך למצוא את העובדת ההיא שפתחה את הקבוצה, שתכניס אותך. הארגון לא מנהל את הקבוצה או את המידע. אף אחד לא מאבטח את הטלפונים הפרטיים של החיילים. כשהם משתחררים, המידע הולך איתם. והכי מפחיד - מה אם וואטסאפ יקרוס? חצי מצה"ל יעצור מלכת, לפחות לכמה שעות.
...
מדינת ישראל, רובה ככולה, ארגונים חשובים ובלתי חשובים, מצה"ל ועד קיוסק בשלומי, תלויה עד צוואר בתשתית תקשורת של חברה שלא מוכנה לקחת שום אחריות לשירות או לגורל משתמשיה. זה עוד יתנקם בנו.

בצבא שלא מסוגל כבר שנים לספק אמצעי קשר נורמליים ליחידות מילואים שאינן חוד, זה רק מתבקש שיתבצע outsourcing כפוי לאמצעים "אחרים". מי רוצה להיות הגיבור ולהציף את הבעיה הזאת לרמטכ"ל/ס.רמטכ"ל החדשים? אולי הם יתחילו להזיז משהו...

גם כשלא היה הרבה, היה לנו הכל

בתקווה שמישהו שיכול להשפיע קורא את זה:
כיצד עובדת אבטחת מידע בחברת הי-טק גדולה (בהקשר זה כמובן)?
כל הניידים מונפקים בידי החברה. הם מוגדרים ע"י אנשי האבטחה כך שהמכשירים מנוהלים בידי סמכות מרכזית אחת (החברה כמובן). המשתמש רואה בחלק מהמסכים באייפון- "מנוהל בידי סמכות מרכזית XYZ"
כך כל הגדרות האבטחה של המכשיר שיכולות לשמש לפריצה- חסומות בפני העובדים.
לעיתים קרובות גם האפליקציה עצמה- למרות שהיא לכאורה "אזרחית"- רצה במצב עבודה מיוחד עם הגדרות שאנשי האבטחה קבעו, עם הצפנה שהם הגדירו ונעלו.

ואם קבעו שווטסאפ אינה ניתנת להתאמה והקשחה?
אזי תיבחר אפליקציה אחרת (למשל Signal, Teams)- ואותה יקשיחו ויתאימו לצרכים.

הבאתי את ההסבר כדי להבהיר שממש אין צורך להמציא את הגלגל מחדש ולבנות ווטסאפ צה"לי- רק צריך שמישהו ייקח את האחריות לידיים.

ברוב החברות שאני מכיר אף אחד לא מספק לעובדים טלפון, הם משתמשים בווטסאפ וסלאק על המכשיר הפרטי שלהם (אם כי אני לא בקיא במה שקורה בחברות שהעיסוק העיקרי שלהן הוא בטחוני או סייבר). אין שום סיכוי שצה"ל יספק לכל חייל טלפון מאובטח וינהל ויתחזק מאות אלפי מכשירים.
לכל חייל, פחות או יותר, יש ווטסאפ מותקן על הטלפון שלו, וזה יישום כל כך יעיל ונוח שכמעט בלתי אפשרי לגרום לחיילים לעבוד בישום אחר (שכמעט בהכרח יהיה פחות יעיל ונוח, ובכל מקרה יהיה נוסף ולכן נראה כמיותר). על אחת כמה וכמה חיילי מילואים. לנסות להציב גבולות בין הקבוצה שבה חיילים קובעים איפה להפגש במוצ"ש באזרחות או איך לנסוע ביחד לבסיס בראשון בבוקר לבין הקבוצה שבה הם יקבעו מי עולה לשמור באיזו שעה - לי זה נראה נדון לכשלון, או לפחות מחייב מאמץ עצום שלא ברור מה התמורה לו. לזכות ווטסאפ צריך לציין שזו אפליקציה שמוצפנת ברמה טובה מקצה לקצה; כל עוד מכשיר לא נופל פיזית לידי מישהו אחר או נפרץ, לא ניתן לחדור לתוכן השיחות ובכלל לא ניתן לחדור דרכה לשיחות של צדדים אחרים. בסה"כ נראה לי שהסתמכות על ווטסאפ (כמו על הרשת הסלולרית עצמה) היא סבירה למדי, למעט לצרכים מבצעיים ספציפיים.

אין צורך שצהל ינפיק טלפונים.
לפחות לאנדוראיד יש אפשרות להגדיר אזור מאבוטח ועליו אפלקציות נשלטות על ידי גוף מרכזי. מאותו אזור א ניתן להעביר נתונים לאזור הלא מבאובטח כלומר לא ניתן לשלוח משם אימיילים או דברים מסוג זה.
לא שיא האבטחה אבל עדיין הרבה יותר טוב ממה שקורה היום.

מסכים 👍

קראתי את תגובתך ואני מאמין שהבנתי את כוונתך.
קיצרתי מאוד את תגובתי כיון שאני מנסה לא לכתוב מאמרים של 20 עמוד.

אין צורך שהמכשיר יהיה שייך לחברה/צה"ל.
יש צורך לעשות משהו שנקרא enrollment. שזה בעצם אומר להתקין את התשתית/תוכנה/הגדרות כפי שהחברה פיתחה ובנתה.
אני בחו"ל ויש לי מכשיר של החברה, אך גם אפשרי ומקובל שעובד יתקין את זה על מכשיר פרטי.
כך שרכישת המכשירים/תקציב וכו'- כלל אינה מחויבת המציאות בתרחיש שאני מציע.

החלק העיקרי בסיפור הוא שיש מחלקת סייבר שמעריכה את האיומים, בוחנת את היישומים, ובונה סדרה של יישומים שמותרים בשימוש במידה והמשתמש התקין את ההגדרות המוקשחות כפי שתיארתי.
הערת צד: כמובן שההחלטה באלו מכשירים תומכים היא חלק מתהליך זה- למשל אצלנו נתמכים רק אייפון ואנדרואיד.

ברור שתקשורת יומיומית טריויאלית (נפגשים בטרמפיאדה בשעה....) אינה בהכרח כה רגישה.
אבל בהחלט כדאי ואפשרי לפתח פרופיל להתקנה שכל מפקד פלוגה (למשל) צריך להתקין רק במידה והוא/היא רוצה להעביר מידע רגיש (תמונות עצורים, מפות, חומר מודיעיני) וכו'.
לדעתי:
1. מי שלא רוצה להתקין דבר כזה במכשיר פרטי- לא יהיה רשאי להעביר בו מידע שכזה.
2. ראוי שתהיינה תקנות ומי שמעביר מידע רגיש בצינור לא מאובטח יטופל משמעתית.

אם אתה מדבר על משהו שמותקן אצל קצינים בדרג מ"פ ומעלה, קמ"נים וכו' - זה סיפור אחד. זו קבוצה איכותית, מחוייבת למערכת, ממושמעת ומודעת (יחסית) לסיכוני בטחון שדה, וגם לא גדולה מאד מספרית. ניתן להטיל מגבלות ולטפל באופן מסודר בשימוש של הקבוצה הזו במכשירים אישיים. לעומת זאת, אם מדובר על כלל חיילי צה"ל זה נראה לי חסר סיכוי; לכל חייל יש מכשיר שהוא מחליף, כנראה, במהלך השירות, יתכן שיש לו יותר מאחד או שהוא עשוי להשתמש במכשיר של חבר או בן משפחה אם יש בעיה כלשהי במכשיר שלו. גם אם היו מתקינים לו אפליקציה או איזור מאובטח במכשיר, עדיין היה צריך לוודא שהוא ישתמש בו ולא באפליקציה שהוא רגיל אליה ונוחה לשימוש.

הרבה יותר משאני מוטרד מהשימוש בווטסאפ (שכפי שכתבתי לעיל, היא אפליקציה יחסית מאובטחת ולא נראה לי שהיא פחות יציבה מאפליקציה שצה"ל עשוי לתפעל עצמאית במקומה) מטריד אותי החשש משימוש בטלפונים הפרטיים כפלטפורמה לריגול, בין ע"י שת"פ עם היצרן כפי שהממשל הסיני מסוגל לעשות ובין ע"י הדבקת מכשירים בנוזקה (למשל דרך הצעת גרסה פרוצה של אפליקציה כלשהי) כפי שהאיראנים מסוגלים, ועל כך פתחתי כאן אשכול לפני כמה שבועות.

לגבי חייל שמשתמש במכשיר של מישהו אחר- נגד זה אין מה לעשות חוץ ממשמעת אישית של החייל.
בד"כ מי שאין לו את הגישה- יש לו מניע להתקינה- כי אחרת הוא מוצא את עצמו מחוץ לתקשורת של שאר חברי הצוות/יחידה.
אבל שוב- מי שמתקין את הגישה במכשיר ואז נותן/מוכר/משאיל אותו- זה אכן חור שרק החייל יכול לסגור.
כמובן אפשר להקשיח במובן שהפעלת הגישה במכשיר נוסף מיד תחסום את הגישה במכשיר הישן, או שהגישה תהיה לפי מ"א ומי שמנהל את זה יידע מי עזב את היחידה ויחסום את הגישה מרחוק.

לגבי הסכנה בשימוש במכשירים כפלטפורמה לריגול- זה מדאיג גם אותי. אנשים שרצים להתקין כל שטות ומשחק שאפשר לקבל בחינם- אכן יש יישומים חינמיים שבהם היישום הוא תרוץ בלבד כדי להשתלט על המכשיר ו/או נתונים של בעליו.

מצד שני הדבר עובד ככה כבר פחות או יותר 8-10 שני ולמיטב ידיעתינו לא הייתה שלום דליפת מידע או פריצה רצינית ששיבשה תוכניות צה"ליות. אם מישהו מכיר כזאת אני אשמח למראי מקום. ולפחות מהחוויה האישית שלי, ששירתתי במקום ממש אבל ממש לא מובחר (מפח"ט של חטיבת שיריון) דווקא אצלינו, שאף אחד מאיתנו לא היה מטכ"ליסט שושואיסט, הייתה הבחנה די טובה באיזה דברים הם "כן לווטסאפ" ומה לא. כשהייתה אחת מההתחממויות העזה בזמן החפש"ש שלי ושאלתי את המפקד שלי אם קורה משהו ואני צריך לעלות ליחידה, הוא אמר לי שאם זה היה המצב הוא בטח לא היה כותב לי את זה בווצאפ. אנקדוטלי? נכון. אבל לא יותר אנקדוטלי מהכתבה הזאת שגם היא מתבססת על מקרים נקודתיים של מה שהכתב שמע מאנשים מאוד ספציפיים.

ווטסאפ (וסלולרי אזרחי) כל כך שימושי שהמשמעות של עבודה בלעדיו היא חזרה לשנות ה-90. הכל עדיין יעבוד, אבל בקצב של שנות ה-90.
הדבר היחיד שיכול להחליף כזו שימושיות זה חיקוי צה"לי לאפליקציה, שאני לא בטוח שיהיה מוצלח או בטוח יותר מווטסאפ, ובטוח יהיה יעד תמידי לפריצות ואיסוף מידע.
בקיצור, כנראה אין פתרון טוב יותר ממה שיש היום, ומה שנשאר להקפיד עליו זה אי-שימוש כאשר מדובר בפעולה מלחמתית.

רק כדי לחזק את הטענה שאם צה"ל ינסה להרים אלטרנטיבה משלו לווצאפ זה כנראה יהיה כישלון - במילואים האחרונים שלי בחברון ניפקו לכל סיור\כוח מכשיר טלפון צהלי עם אפליקציה כלשהי ששמה ברח לי כרגע שנועדה לסריקה של לוחיות זיהוי ופרצופים. הרעיון היה שנשתמש בה ונקבל מידע באותו רגע האם הרכב\אדם מבוקש לחקירה.
בפועל מה שקרה שהמכשירים אף פעם לא היו טעונים כשהיה צריך אותם, האפליקציה הייתה לא ידידותית ורוב האנשים (מהנדסים והייטקיסטים לרוב) לא הצליחו להשתמש בה כמו שצריך. בסופו של דבר כולנו שלחנו את התמונות והמספרים לחמ"ל דרך הווצאפ, בשבוע שעבר עשיתי סדר בגלריה בטלפון והופתעתי לגלות כמה תמונות של אנשים שצילמתי בזמנו בקו.

האם זה מאובטח במיוחד? לא. האם זה הגיוני שנצלם אזרחים של הרש"פ בטלפונים אישיים? גם לא כ"כ. האם זה עושה את העבודה ולא דורש משאבים מיותרים מצה"ל? כן.

תמיד עדיף מוצר מדף.
יש בעולם בטח אלפי חברות שמנהלות כל יום תקשורת שמצריכה מידור, תשתית עצמאית, ניהול הרשאות וכד'.
אם אין מוצר כזה בשוק אני רואה פה כסף על הרצפה.

האמת שזה די חורה לי שצה"ל עם המתכנתים המוכשרים שלו לא מצליח לנהל אבטחת איכות של תוכנה וליצר משהו שהוא לפחות בר שימוש. זה לא אמור לקרות אם יש מישהו שבודק את התוכנה ונותן משוב.

ולגבי זה שהמכשירים לא היו טעונים- חלק בלתי נפרד מהתו"ל זה אורך חיי סוללה ורכישה ושימוש ב- power bank כשצריך.
אם לא עושים את זה- מה הטעם בכל הטכנולוגיה? זה בדיוק כמו כוונת טרמית עם סוללה ריקה...

https://www.mako.co.il/nexter-dror-...a799c581027.htm

ציטוט:

במקור נכתב על ידי etio40 https://www.mako.co.il/nexter-dror-...a799c581027.htm

מתוך הכתבה:
"לא יחולקו מכשירים לכל חייל, אבל יהיו מספיק מכשירים ביחידות, כך שניתן יהיה לאסוף את המכשירים האישיים מהחיילים ולהתבסס אך ורק על המכשירים הצה"ליים."

כל עוד אין אלטרנטיבה ברמת הפרט, שלא יתחילו לדבר על "לקחת לחיילים את המכשירים האישיים". זה כ"כ לא פרקטי, האם מצפים שבשביל כל תקשורת פנים פלוגתית ברמת ה"אחרי מי אני שומר?" תלך לחפש את הסמל שבמקרה קיבל מכשיר מוצפן ותשאל אותו? זו רמת התקשורת ששואפים אליה בצה"ל 2023?

פחחחחחחחחח

הסיכוי שיצליחו או אפילו ינסו לקחת לחיילים בטח למילואימניקים את הפלאפונים
מי המנותק שחשב על זה

אפילו בשמירות שרשמית אסור לעלות עם פלאפון ותמיד היה אסור זה לא הופעל בצורה אפילו קרובה לאפקטיבית אפילו לגבי טירונים בטח לגבי ותיקים ולגבי מילואימניקים...

לפני שצה"ל מנסה להחליף את וואטסאפ שינסה לספק פתילי לב שאשכרה עובדים בלי שנצטרך לברור את הבודדים הטובים מערמה של בררה ולירוק לתוכם כדי שיתברגו.

מתי קרה שהגעתם לצאלים וכל הג'נטקסים עבדו? וכל הקשרים?

להחליף את וואטסאפ הוא אומר..... פחחחחח

ללא ספק כי התקשרות ועברת המידע מהירה כיום היא המפתח להצלחה במשימה ואפילו ברמה של הצלחת חיים. הוואטצאפ ושלל תוכנות גינריות בסגנון הפכו ל"איבר" נוסף בגוף שלנו ובמיוחד לדור שהוא עכשיו חיילים.
אני לא מצליח להבין איך צה"ל הגדול עם שלל תקציב עתק לא הצליח יצור תוכנה בעלת רמת מידור בסיסית מבוססת על קוד RSA ועוד רמות אבטחה, רמז... יש ומשתמשים בהן, גם במשטרה שהוא גוף ענק מצליח ענק בעל יותר מ28 אלף שוטרים מצליחים לתקשר אחד עם השני ולהעביר מסמכים ברמות שונות של סיווג גם סודי ביותר באמצעות הטלפון האישי שלהם. אז אם המשטרה יכולה, למה צה"ל לא מצליח?
לא צריך למדר מ"פ או קמ"ן, המידע צריך לזרום עד לחפ"ש, שוב דרך המפקד שלו, מג"ד->מ"פ->מ"מ.
לצבא היה את ה"ורד הרים" ז"ל, כיום ישנן מערכות אחרות מצויינות מותאמות ל2023 ולא עולות המון כסף.
אני יודע מנסיוני כי גופי מודיעין/מיוחדות הצבא היה רוכש "משתמש" לכל מי שהיה צריך לטובת שימוש בפלפרומה ישראלית הדומה לוואצטפ בכדי להעביר מידע, הפלפורמה זאת גם היא החליפה את הידיד הישן -ביפר.
גופי ביון אחרים בארץ,קרי מוסד,שב"כ, אמ"ן ואחרים מצליחים להעביר מידע, לא הגיוני שהצבא לא פתר את הבעיה הזאת, אבל מנגד מבקש לשמור על בטחון שדה. לא ניתן לשמור על בטחון שדה כאשר לא נותנים תחלופה ראויה.

לגבי זליגת מידע, היו מספר פעמים שלוחמים בין אם בזדון או בתמימות עדכונו סטאטוסים ברשות החברתיות על פעילויות והדברים "דלפו" או נחשפו בלפני גורמים אשר לא היו אומרים לראות אותן.
כמו שהצבא מנהל מלחמת צללים מול אויבנו גם הם מנהלים את אותה מלחמה, בין אם היא חכמה או "טיפשה", לפחות פעם בשנה "נחשפת" רשת של איראן,חאמס ועוד אשר ביצעו "פיתוי" לאנשים במטרה לשאוב מהם מידע.
הכל עינין של רצון ולא תקציב, כי לא הגיוני שבתקציב הכדי גדול במדינה לא מצליחים לתת מענה לבעיה כל כך זוטא, אז כנראה שאין רצון.

חיה ותן לחיות

1. "בשעה 10 בבוקר, 7 באוקטובר, הבין אחד הקודקודים ביחידת מגלן שני דברים: האחד - אנחנו נמצאים במלחמה; השני - חייבים לפתוח קבוצת ווטסאפ."
https://www.israelhayom.co.il/magaz...rticle/15273565

2. "הפעילות האווירית ביום הראשון לא הייתה מאורגנת, אך גם בשמיים אלתרו הטייסים פתרונות למצב המסובך וחסר התקדים: חלק גדול מהכוונת האש וקבלת המטרות מהכוחות שנלחמו בשטח הגיעו לטייסים באמצעות שיחות טלפון או שליחת תמונות בוואטסאפ."
https://www.ynet.co.il/news/article/b111niukzt