BitCoin – יש פה משקיע/יזם רציני?

(הערה קטנה: על מנת שלא אובן נכון, התוכן במאמר הוא הצעה כללית, אין מדובר על כך שאני מחפש להיות מושקע, אינני מחפש לפתוח סטארט-אפ או לחפש תמלוגים על הרעיון. זה רעיון שכל אחד יכול לעשות איתו כרצונו ללא קשר אליי)

אתמול והיום לקחתי קצת זמן כדי ללמוד את המטבע החדש Bitcoin מבחינת ארכיטקטורה, מימוש, העברת כספים וכו’. אני כמובן לא “ספץ” בנושא מכמה שעות השקעה, אבל אני חושב שהבנתי את הבסיס.. ואני חושב שיש כאן מקום לקבוצת מתכנתים להקים משהו רציני.

אז קודם כל, למי שאינו מכיר מהו המטבע האינטרנטי, מומלץ להתחיל לקרוא לגביו כאן.

הסיבה שאני התעניינתי לגבי Bitcoin היא סיבה מסחרית פשוטה: אני מעוניין למכור שרתי VPS (במיוחד שהחל מאתמול יש לנו שרתים במחירים זולים בטירוף – גם מול המתחרים הגדולים – בארה”ב ובאירופה) ולתת אפשרות לשלם עם Bitcoin.

הבעיה המרכזית? הפתרונות המוכרים שיש כיום הם פתרונות ברמת המכונה האישית, כלומר אני יכול להתקין Client כמו Bitcoin-Qt והוא יוצר לי Unique ID שאליו אני יכול לקבל כסף (אני יכול ליצור כמה שאני רוצה משתמשים כאלו), אבל אם מחר נגנב המחשב ממני או שהדיסק הקשיח נדפק ואין לי גיבוי לקובץ wallet.dat – הלך הכסף.

וזה רעיון לא כל כך טוב…

לעניות דעתי, משקיע רציני שמכיר טוב את עולם הטרנסאקציות יכול לעשות עסק לא רע בכלל, ויש כאן הזדמנות לדעתי להקים “Paypal” ל-Bitcoin.

על מה מדובר? די פשוט

כיום קיימת בעיה רצינית להמיר מטבעות לכסף ממשי. יש כמובן כל מיני עסקים קטנים (כמו bitcoil) שמאפשרים להמיר שקלים ל-BTC (זה הקיצור הרשמי של Bitcoin) וההיפך. מה אין? אפשרות להמיר דרך כרטיס אשראי, כלומר אתר שאני יכול להעביר את הכרטיס אשראי שלי ולרכוש לי 100 BTC או לתת 100 BTC ולקבל זיכוי בכרטיס האשראי שלי, או אפשרות לקבל כסף מזומן (ללא העברה בנקאית) במכירת מטבעות BTC.

וכאן בדיוק הרעיון שיכול לקרוץ למשקיע רציני – להקים “בנק” שיעשה את הדברים. כיום יש “בנק” כזה יחיד – MtGox, אבל זה פתרון יחיד, כלומר יש הרבה מקום לתחרות, והאתר שלהם לא ממש בנוי למשתמשים חדשים שלא מבינים ב-BTC, מה גם שהם אינם תומכים במטבעות רבים (אין שקלים ואין עוד כמה מטבעות ידועים), וכמו שציינתי -אין תמיכה בכרטיסי אשראי בצורה ישירה ויש עוד מגבלות רבות.

טכנית, לא מדובר פה בלקחת 3-4 מפתחים, לתת להם ללמוד את Bitcoin ולהתחיל לממש את זה בצורה של Web Service, זה רק חלק מזה. החלק המרכזי כלל אינו קשור לתכנות, אלא קשור למשקיעים עם שם, משקיע מוכר שיש לו קשרים עם בנקים בעולם, כי בסופו של דבר, בשביל שהעסק יפעל, צריך שלאותו עסק יהיה שם מוכר עם גב מוכר, שהעסק יראה אבטחה רצינית ללקוחות מבחינת שמירה על המטבעות שלהם, שיוכל לבצע סליקה והמרת מטבעות, שידע לתמוך ב-IBAN ו-Swift, כרטיסי אשראי וכו’.

אז אם אתה מכיר משקיע “כבד” שיש לו קשרים כאלו, הפנה אליו את הפוסט הזה (לי אין שום קשר לנושא, אני רק זורק את הכפפה, ומי שרוצה – שירוויח). המון פתרונות טכנולוגיים מבריקים יצאו מישראל, אולי יצא עוד פתרון שיכבוש את השוק..

חגיגת כרטיסי האשראי ממשיכה

היום נודע כי הפורץ הסעודי פירסם עוד 11000 מספרי כרטיסי אשראי, וכבר המדיה הישראלית (וואלה, YNET) הספיקו לראיין את הבחור ו…איך לאמר… הוא לא ממש מצטיין באמירת אמת. הוא טען שהוא פירסם 400,000 כרטיסי אשראי. סטודנט בשם עופר שוורץ שחקר קצת את הנושא, הראה שמדובר ב-27000 כאשר מספרים רבים חוזרים על עצמם.

כמובן שכל החגיגה הזו עושה כאב ראש לחברות האשראי: לקוחות זועמים, שעות נוספות של עובדים, הריסת מוניטין ועוד – ואז מתראיין ישראל דוד, מנכ”ל כא”ל ומוציא אזהרה לממשלה: “ללא התערבות הרגולציה שתעמיד תקנים מחמירים ותפקח על האתרים – פרטיהם של מיליוני אזרחים בסכנה”.

כשקראתי את הטקסט הזה, תהיתי על מה לכל הרוחות הוא מדבר. אנשים מתלוננים על זמן של 24-48 שעות שלוקח ל-DNS להתעדכן (טוב, זה מה שלוקח בארץ, עם שרתי ה-DNS הזבל של כל הספקי אינטרנט בישראל – ד”ש חם לבזק בינלאומי ולנטויז’ן!), אז אם תוסיף רגולציה, ובמיוחד אם נזכור את הבירוקרטיה והחלמאות הישראלית ששמה הולך לפניה – שום דבר טוב לא יצא מזה. מי בדיוק יפקח? על מה? אם היום אני רוצה להקים אתר מסחרי שיסלוק לי כרטיסי אשראי בארץ, אני יכול לסגור עניין בכמה דקות מול Paypal (בלי ניירת ובלי שיחה עם נציגות שמעודדות הטחה עצמית של הראש בקיר) ותוך עניין של ימים האתר יכול להיות למעלה מתחיל לקבל לקוחות.

אז מה יעזרו רגולטורים חוץ מלהאיט ולסבך כל דבר?

אדרבא, למי שיש את הכח ביד (טוב, לפחות חלקית, מאז שנכנסה Paypal לישראל באופן חצי רשמי) אלו חברות האשראי. הן יכולות לקבוע מי יקבל אישור סליקה ומי לא, ומי מחר יקבל עצירת סליקה עד שיעמוד בתקן PCI, אבל גם כאן חברות האשראי מעדיפות לגרור רגליים ולהחליט שרק ב-2013 תקן PCI יהיה הכרחי לסליקה. תחשבו על כך – אנחנו נמצאים בהתחלת 2012 ובמשך השנה הקרובה כל מיני פורצים יחגגו כי חברות האשראי זזות לאט. חברות אשראי יקרות, קבלו טיפ קטן: אפשר וצריך לחייב את אותן חברות שסולקות כרטיסים (דרך האינטרנט ולאתרי אינטרנט, לא דיברתי על מסופים) לעמוד בתקן תוך 3 חודשים או להסתכן בפסילת רשיון סליקה, ובהזדמנות גם לטפל בחברה שעדיין משקרת ללקוחותיה ומציינת שיש לה PCI למרות שאין לה (מנהלי מחלקת הבטחון בחברות האשראי שקוראים בלוג זה מוזמנים לחפש את המייל ששלחתי אליהם לפני מספר חודשים עם הוכחות), ואגב, אני כמעט בטוח לגבי 2 חברות גדולות אחרות שסולקות כרטיסים עם חיבור לשב”א – שהנתונים שלהן לא מוצפנים. אני מטבע הדברים ועל מנת שלא לחטוף תביעת לשון הרע – לא מפרסם את שמות החברות.

עוד בענייני כרטיסי אשראי: מישהו החליט לתבוע תביעה יצוגית גם את ויזה כא”ל, את דובל בניית אתרים, ואת איזי פיימנט. הסכום? “קטן” – רק 13 מיליארד שקל. קצת מוזר לי לראות את רשימת הנתבעים: הסעודי לא פרץ לאיזי-פיימנט, הוא פרץ לדובל. לתבוע את כא”ל על רשלנות? לזה אני קורא Long shot או איך אומר מורגן פרימן ב-“האביר האפל” – Good luck with that..

כל איש סיסטם שמתחזק שרתים (ולא חשוב איזו מערכת הפעלה מדובר): אם תעשה חצי עבודה בתיקון תקלה, זה יצוץ מחדש ובצורה הרבה יותר גרועה, וזה בדיוק מה שקרה לחברות האשראי: שנים שנתנו בצורה עיוורת אישורי סליקה בלי שום בדיקה (למעט בדיקה מסכנה של SSL) מה קורה עם מספרי כרטיסי האשראי לאחר הסליקה ומי בכלל בודק ומשגיח על מדיניות השמדה ו/או שמירת הנתונים – אז הנה, זה חזר לנשוך אותן בישבן, ובחור סעודי משועמם בן 19 מראה ל-3 חברות אשראי גדולות בארץ מה המחיר של הרשלנות הפושעת שלהן.

והערה לבעלי עסקים: הגיע הזמן לעשות חושבים לגבי כמה דברים בקשר לאתר שלכם. על כך – בפוסט הבא שיתפרסם בסוף שבוע זה.

הפריצה והגניבה של כרטיסי האשראי: אנליזה שלי

מאז שכתבתי את הפוסט, קראתי עוד קצת כתבות, של עידו קינן ואחרים, ונראה כי המדיה “קנתה” את הסיפור של בעלי חברת בניית האתרים: אנחנו היינו מוגנים, חשבון ששיתפנו ולא היה באחריותנו לא היה מוגן ודרכו נפרץ האתר עם פרטי הכרטיסים.

אין חולק על כך שפורץ סעודי עשה את העבודה. אין חולק על כך שהכרטיסים נגנבו. אינני מכיר את אותם בוני אתרים, הם לא לקוחות של העסק שלי ולי אין מושג ירוק מה מותקן בשרת זולת הידיעה (דרך Netcraft) שהאתר רץ על Linux.

עם כל זאת, אני מאמין לאותם אנשים כמו שאני מאמין שעל כתפי הימנית יושבת כרגע פייה….

נתחיל בבסיס (המאמר הולך להיות עמוס במונחים טכנולוגיים אך אנסה לפשט כמה שאפשר): בעקרון מערכת Linux רגילה שפותחים משתמש חדש (שהוא אינו עם הרשאות root ואינו בעל הרשאות sudo – הרשאות המאפשרות בעצם לשנות את כל המערכת), אינו יכול לשנות מאומה זולת התיקיה שלו. אם לדוגמא יש לו הרשאה של גישה לבסיס נתונים, הוא יכול ליצור בסיס נתונים, לתת הרשאות בתוכו, ליצור משתמשים נוספים ובסיסי נתונים נוספים (לפי כל מיני מגבלות שמנהל השרת קובע). המשתמש יכול להתפרע עם ההרשאות – אבל רק עד הרמה של המשתמש שלו, כלומר אין לו אפשרות “לטפס” עם ההרשאות “כלפי מעלה” לכיוון הרשאות סיסטם.

כל זה כמובן מדובר על מערכת Linux שמותקנת ומעודכנת עם הטלאים האחרונים (yum update או apt-get update תלוי בהפצה) ועם הגדרות הקשחה נוספות. אותם בוני אתרים טענו שיש להם תקן PCI (אם הבנתי נכון) כך שאם באמת היה להם תקן PCI, מי שמימש אותו היה צריך להקשיח את המערכת.

נחזור אחורה בזמן לאותם רגעים שהפורץ הסעודי נכנס במערכת, וכאן הפואנטה העיקרית: אם המערכת היתה באמת מוקשחת ומוגנת, הפורץ היה מקסימום יכול לשבש/למחוק את אותם אתרים שמתארחים על אותו חשבון שדרכו הוא פורץ. לא צריך להיות גאון, מספיק שהאפליקציה המותקנת על אותו חשבון רעוע אינה מעודכנת, וניתן בדקות ספורות להיכנס ולעשות מה שרוצים אבל רק באותו חשבון, כלומר לא ניתן לשבש חשבונות אחרים, ולא ניתן לדעת מה קורה בחשבונות אחרים. אם כמובן החשבונות האחרים מותקנים עם אותה גירסת אפליקציה, אז אותו פורץ יכול גם לדפוק את החשבונות, אבל עדיין לא יהיו לו ההרשאות לראות את כל הקבצים ובסיסי הנתונים של כל המשתמשים.

נחזור לטענה של בוני האתרים: מהאתר שאינו שלהם ושהם אירחו – אותו פורץ סעודי נכנס לאתר שלהם וגנב משם את הפרטים.

כלומר כדי להיכנס לקבצים של חשבון אחר (בכל זאת, הפורץ צריך לדעת מה שם ה-DB, סיסמא וכו’), צריך לעשות אסקלציה של הרשאות.

ואיך עושים אסקלציה? משתמשים בפירצות ידועות במערכת ההפעלה, פרצות שנסגרו אבל עדיין לא עודכנו בשרת הנוכחי, כלומר כל מה שהפורץ היה צריך לעשות זה להריץ סקריפט או אפליקציה מול אותו שרת, ולראות איזה חור יהיה עדיין פתוח. כנראה שהוא מצא, משם המרחק לקבל הרשאות יותר גבוהות (ואפילו root) מאוד קצר. אחרי שהוא הצליח, הוא כנראה עשה משהו כמו mysqldump לקובץ, שם את הקובץ במקום זמין לו ושאב אותו ב-Download רגיל.

במילים אחרות: אם השרת היה באמת מוקשח עם עדכונים אחרונים, כל זה לא היה קורה.

חבל שהמדיה רצה לקנות את הסיפור שסיפרו לה במקום להתייעץ עם מישהו שבאמת מבין באבטחה..

האם ניתן לעשות משהו כדי למנוע? כן, לא מעט:

  • עדכונים, כל הזמן לעדכן את השרתים, גם גרסאות ישנות של לינוקס עדיין מוציאים להם עדכונים
  • אם יש לכם קוד שמטפל בכרטיסי אשראי, מומלץ להצפין את הקוד ולשמור קוד מקור במחשב אחר לחלוטין. ניתן להצפין קוד PHP עם ION Cube כך שגם אם מישהו פורץ, הוא לא יוכל להסתכל בקוד
  • להצפין את ה-DB. אפשר להשתמש בדרכים כמו שמופיעים כאן לדוגמא
  • שילוב של 2 הסעיפים: ההצפנה מבוצעת בקוד והתוצר המוצפן מוכנס ל-DB כאשר הקוד עצמו מוגן עם ION Cube

ויש עוד דרכים ושיטות אחרות שמומחי אבטחה יכולים להמליץ עליהן.

לסיכום: אני לא מאמין לאותו תירוץ שאותם בוני אתרים סיפרו לעיתונות ואני חושב שהסברתי בפוסט זה מדוע זה לא יתכן. אם מישהו “בונה” על תקן PCI שזה יתן לו אבטחה מקסימלית, הוא מוזמן להתעורר מהאשליה הזו. שום פתרון אבטחה אינו מועיל אם שוכחים לעדכן את השרתים בעדכוני אבטחה.

כמה מילים על גניבת מספרי אשראי

כל מי שלא בילה את הלילה האחרון מתחת לאיזה סלע בוודאי כבר שמע על הפריצה של פורצים סעודים (ריבונו של עולם – “האקרים” אלו אנשים שמשנים את הקוד “קראקרים” – אלו הם האנשים שפורצים, כרגיל בעיתונות טעו) שפרצו לאתר מסויים ומשם פרצו לאתר אחר וגנבו משם פרטים של 400,000 כרטיסי אשראי. רוב פרטי האשראי היו כבר פגי תוקף, אבל עדיין נשארו כמה אלפי כרטיסים תקינים.

כרגיל, כשפורצת שערוריה, כולם מאשימים אחד את השני: חברות האשראי מאשימות את חברות האחסון, חברות האחסון מאשימות את הלקוחות שלקחו אצלם אחסון, הלקוחות מאשימים את חברות האחסון ואני משער שישנם עוד כמה גורמים בדרך.

אז תרשו לי כאדם פרטי שאבטחת מידע סופר חשובה לו על כך להצביע בבירור על האשמים: למעט הלקוחות הפרטיים (הגולשים) כולם אשמים בצורה זו או אחרת. ברשותכם, אפרט:

חברות כרטיסי האשראי

עד לפני מספר חודשים, יכלת לאחסן את האתר המסחרי שלך באחסון משותף, יחד עם הלקוחות הצעירים שמריצים שרתי משחקים, Warez ועוד שרתים שממש מהווים מטרה לפריצה, ומבחינת חברת האשראי כל מה שהיית אמור לעשות זה לרכוש תעודת SSL בכמה עשרות דולרים (או פחות), הפקידה בחברת האשראי היתה נכנסת לאתר שלך כדי לבצע קניית דמה, מוודאת שיש איזה מנעול כלשהו בדפדפן והיית צריך להבטיח שאתה תהיה “ילד טוב” ושתצפין את נתוני האשראי שלך – וזהו, קיבלת מספר סולק.

שוחחתי בעבר עם אחד מאנשי האבטחה של חברות האשראי והדגמתי לו כמה הדבר מגוחך לחלוטין: הרמתי אתר דמה של מוצרים למבוגרים, וקישרתי את המוצרים קישור עקיף לחנות פורנו שהסליקה שלה היתה מה שסטנדרטי באתרי פורנו: CCBill, כך שמבחינתה כשהיא היתה לוחצת על מוצר ועושה Checkout, היא היתה מגיעה לסליקה של CCBill שעליו כמובן יש מפתח SSL. העלתי את איש האבטחה על הקו, עשינו שיחת ועידה, ביקשתי שישתוק ויראה אם אני מקבל אישור או לא.

לקח בערך דקה אחת לקבל אישור. אפילו לא קניתי תעודת SSL ומבחוינת אותה חברת אשראי אני יכול לסלוק כרטיסים בלי שום בעיה ואף אחד לא בודק לי את הקוד, את ה-DB ושום דבר אחר. מבחינתן, כל עוד אני משלם דמי חבר ומשתמש בשרותיהן, אין שום בעיה, ואף אחד לא יבדוק אם אני מאחסן את פרטי כרטיס האשראי כקובץ טקסט, CSV פשוט או כל פורמט שילד בן 6 יכול לקרוא.

רק לאחרונה החלו חברות האשראי להתעקש על תקן PCI, אבל אם אתם חושבים שזה יעזור, טעות בידכם ותיכף ארחיב על כך.

חברות הסליקה

אין לי מושג אם טרנזילה מוגנת באמת או לא (אני מאמין שכן), אבל בעבר הוכחתי פה שחור על גבי אתר איך חברה שטוענת שהמידע של הלקוחות מוצפן (ושיש לה תקן PCI) משקרת במצח נחושה ללקוחותיה וללקוחות פוטנציאלים, ואני די בטוח שהם לא היחידים, ומכיוון שאותה חברה (ומספר חברות אחרות) מציעות אפליקציות שמבוססות על מיקרוסופט Access, הפורץ לא יצטרך לעבוד קשה מדי כדי לפרוץ קבצי MDB כי בברירת המחדל הם אינם מוצפנים.

חברות אחסון האתרים

אין לי רצון להאשים חברת אחסון מסויימת, אבל אני חזרתי בבלוג העסקי של העסק שלי שוב ושוב על אותה נקודה: אתה רוצה אבטחה ברמה רצינית? אחסון משותף אינו פתרון ואני אומר את זה כאחד שמגדיר את השרתים האלו. מבחינה טכנית, בסופו של דבר מה שמבדל לקוח אחד מלקוח שני זה בסך הכל UID ו-GID באחסון המשותף וזהו. האבטחה באחסון משותף (ולא חשוב מי הספק) אינה יכולה להיות מקסימלית (כמו בשרת VPS או שרת יעודי) בגלל כל מיני גורמים שצריך להתחשב בהם כדי לתת ללקוח אחסון משותף. לצערי חברות רבות המוכרות שרותי אחסון משותף (כולל בוני אתרים רבים שמוכרים את זה כ”ריסלר” בחבילות שלהם) מבטיחות דברים שאי אפשר לקיים ומי שמבטיח “אבטחה מקסימלית” על אחסון משותף – רק מטעה את לקוחותיה.

בוני אתרים

במדינת ישראל ישנם הרבה מאוד שמציעים שרותי בניית אתרים (או “בניית אתרים” כשמדובר על התקנת ג’ומלה/וורדפרס/דרופל, עיצוב, 4-5 שינויים ב-CSS וזהו – הוא “בונה אתרים”), אך לרבים מהם אין מידע כלל או מידע מספק על אבטחת האתר שלהם, כי מי מבוני האתרים מספיק אמיץ לאמר ללקוח “תשמע, אני לא הכי מומחה באבטחת מידע ולכן צריך לשכור מישהו שיעבור על הקוד ובסיס הנתונים ולאבטח את הכל”? אף אחד, אז בעל האתר חושב שהוא מאובטח בשעה שהוא פשוט לא..

אני רוצה לאמר משהו נוסף על חברות האשראי בארץ.

חברות האשראי נסמכות עכשיו על ה-דבר: תקן PCI לאבטחת מידע של כרטיסי אשראי. יש לי חדשות בשבילכם: זה לא יעזור. תמיד יהיה המתכנת הפוץ שלא מבין בסולאריס או לינוקס והשאיר את הסקריפט שמחייב את הלקוחות בחיוב החודשי עם הרשאות 666 ושהסיסמא ל-DB בתוך הסקריפט (תאמינו לי, ראיתי את זה ולא פעם אחת!) אז פורץ שימצא את הסקריפט הזה ולא חשוב כמה הצפנות קשיחות יהיו לבסיס הנתונים – יוכל בקלות לשאוב את הנתונים, לארוז אותם בקובץ zip ולהעביר אותם לעצמו. לא מאמינים? תנחשו איך גנבו לחברת Stratfor את המידע (וכן, הם עברו תקן PCI) עם מספרי כרטיסי אשראי בערב חג המולד…

לצערי הרב, חברות האשראי בארץ עדיין עובדות כאילו הן נמצאות בשנות ה-90, וכשמסתכלים על Paypal בחו”ל לשם השוואה, זה נראה כאילו מדובר במסע בזמן. ישראכרט לדוגמא, ישמחו לתת ללקוחותיהם Isracard Web, כרטיס וירטואלי עם 16 ספרות, אבל הם לא מצמידים את מספר הכרטיס לחשבון, אלא דורשים שהלקוח יפקיד סכום מסויים והסכום הזה “נתקע” באותו כרטיס וירטואלי. אם שמת 600 שקל והשתמשת ב-300, אז 300 תקועים בכרטיס מבלי שתוכל לעשות שימוש אחר זולת שימוש באותו כרטיס וירטואלי. מה אם בקניה הבאה תצטרך 380 במקום 300? תעבור את התהליך מחדש. פתרון מטומטם או לא?

גם כא”ל ולאומי קארד לא יוצאים חכמים בכל העסק. מדוע שאותן חברות לא יציעו לחברות מעין אחסון פרטי של דפי אתר סליקה ובכך כל המידע על הכרטיסים ישאר עדיין במקום בטוח יחסית (חברות האשראי עצמן)? הרי לא מדובר פה ב”קטילה” של הסולקים האחרים, אפשר לתמחר את זה במחיר שיהיה פחות או יותר אותו דבר, וכך הלקוח לא יצטרך לשבור את הראש בין הסולק, שב”א, חברת אשראי והלקוחות הגולשים. אני לא שמעתי את חברות האשראי עושות או אפילו מדברות על כך.

ובכלל, היכן אותם מערכות “ניהול סיכון” של חברות האשראי? איך לא נדלקו הנורות האדומות שכרטיסים ישראליים מבקשים אישורים לעסקאות שמזין מספר הכרטיס מגיע מ-IP בסעודיה או במדינות אחרות בשעה שרוב מוחלט של העסקות האלו נעשה מ-IP ישראלי?

ועוד נקודה שחשובה לכם הקוראים שחברות האשראי לא כל כך מהר יספרו לכם: אם האקר ערבי גנב את מספר כרטיס האשראי שלכם והשתמש בו לפני שחברת האשראי חסמה את הכרטיס, אתם לא תקבלו את כספכם חזרה אם לא תבדקו את החשבונות שלכם ותציינו בפני הנציגים (שאולי יענו לכם יום אחד, כרגע יש המון ניתוקים.. אחלה מערכות טלפוניה!!) עסקאות שלא ביצעתם. במילים אחרות – כנסו מהר לאתרים של חברת האשראי שלכם ובדקו עסקאות.

מה ניתן לעשות להבא? כמה דברים פשוטים:

  • חשבון Paypal (מישהו יודע אם כא”ל גמרו את משחקי העמלות כפולות מול Paypal?) – פעם אחת מזינים את מספר הכרטיס, עוברים תהליך אישור כרטיס ובפעם הבאה שאתם רוכשים, תבחרו באופציה של Paypal. את העמלה אתם לא משלמים, אלא הסוחר משלם. מספר הכרטיס שלכם לא עובר לשום סוחר, וניתן גם להתחרט ולהתלונן אם יש לכם בעיה עם עיסקה. אני חייב לציין לטובה את השרות בעברית שלהם בטלפון.
  • אם אתם צריכים לעשות עיסקאות עם אתרים קטנים או כאלו שנמצאים במזרח ואינכם יודעים את טיבם, עדיף להשתמש בכרטיס נטען (שניתן לרכוש בדואר ולהטעין אותו עד 1000 שקל, אולי ויזה כא”ל יתעוררו יום אחד ויאפשרו הטענות חוזרות). במקרים כאלו גם אם משתמשים במספר הזה, הנזק אינו רב.
  • מערכות אתרי האשראי התקדמו טיפה לכיוון שנת 2012 ומאפשרות לראות עיסקאות שנעשו ביומיים שלושה האחרונים (מדוע טיפה? בארה”ב אתה רואה את העיסקה עם הפרטים בחשבון האשראי שלך מיידית, אצלנו בארץ כנראה חברות האשראי עובדות עם קומודור 64 כנראה), ולכן מומלץ אחת לשבוע להסתכל ברשימת העסקאות ולאתר עסקאות חשודות.
  • בעלי אתרים – כן, ברוב המקרים בונה האתר שלכם מבין באבטחת מידע כמו שאני מבין בהטסת חלליות. תתחילו לחפש אנשים שמבינים היטב באבטחת קוד (SRO? אתה כאן? תשאיר פרטים שלך בטוקבק ולינק לאתר שלך) שיעברו על האתר שלכם ויחסמו דברים פתוחים, יקשיחו סיסמאות וגישות ועוד. אחרי הכל, אתם לא רוצים לראות את הפרטים הסודיים שלכם בידי המתחרים שלכם.

ולבסוף – אולי, אולי יבינו בכנסת ששום מאגר מידע אינו חסין בפני פריצה ובמיוחד לא המאגר הביומטרי שמתחיל לקום! (אדרבא, במקרה של הממשלה עם ערימות קבלני המשנה שקל לשחד אותם בבמבה ובפחית קולה) והרעיון כולו דבילי, אולי אם היו מקשיבים לעדי שמיר (ה-S ב-RSA, גוף מאוד מוכר באבטחת מדי – זה Shamir), אז יכול להיות שיש סיכוי שאפשר לעצור את השגעון הזה בראשות מאיר שטרית. למה ללכת רחוק? רק לפני חודשיים ישיבה החליטה לבדוק אם התלמידים שלה עשו עוון רציני ולמדו (השם ישמור) שיעורי נהיגה. מהיכן המידע נראה לכם?

כמה מילים על תשלומים דיגיטליים

כעסק המציג ומוכר שרותי אינטרנט שונים, אני מעדיף לעבוד באמצעים דיגיטליים ופחות עם ניירת. במקום חשבוניות וקבלות עשויות מנייר, עדיף לעבוד עם חשבוניות וקבלות דיגיטליות שיוצאות כ-PDF. במקום להטריח את הלקוח לשלוח פקסים להעברות בנקאיות או לשלוח אותו לעמדת “אל תור” להפקיד צ’ק, עדיף העברות באינטרנט ותשלומים בכרטיסי אשראי. רוב המתחרים גם עברו לפתרונות דיגיטליים כאלו ואחרים.

אבל אז גם מתגלות כל מיני הפתעות, חלקן קשורות לפחדים למעבר לעולם הדיגיטלי וחלקן קשורות לבעיות תמוהות, שברשותכם אפרט.

אתחיל עם חתימות דיגיטליות: כל עצמאי, עסק קטן/בינוני/גדול צריכים להכין את עצמם לכך שבשנה הבאה הכל יעשה דרך האינטרנט ועם דרישת חתימות דיגיטליות. השנה חייבים לעשות זאת בעלי העסקים שיש להם מחזור של 4 מיליון שקלים ומעלה, אך משנה הבאה – כולם צריכים לעשות זאת.

העסק שלי משתמש בשרות של invoice4u. המחירים שלהם נוחים, המערכת שלהם מאוד קלה ונוחה והמחירים שלהם לא בשמיים (ישנה אגב מערכת חלופית חינמית – ifreelance). אפשר להוציא בקלות חשבוניות, קבלות, זיכויים, הצעות מחיר ועוד.

הכל טוב ויפה, עד שלפני שבוע אחד הלקוחות שלי שלח אלייי אימייל עם אבחנה מעניינת: החתימה הדיגיטלית לא ממש לגטימית (התמונה משמאל). זה נראה לי מאוד מוזר, בהתחשב בכך שהאתר של invoice4u מדגיש כמה החתימות שלו אמיתיות ונכונות. הרמתי טלפון אל החברה והם הודיעו שיחזרו אליי. זה היה לפני שבוע, עד כה לא חזרו אליי. כשתהיה תשובה, אני מבטיח לעדכן אתכם.

ומכאן – לכרטיסי אשראי.

אם יום אחד חברות אשראי כמו ויזה-כא”ל, לאומי קארד, וישראכרט לא יבינו לאן נעלמו להם כל הלקוחות העושים עסקאות ברשת, הם יוכלו למצוא אותם אצל המתחרה הגדול מחו”ל, Paypal. מדוע? מבדיקה שלי מתברר כי כל חברות האשראי מפלים לרעה עסקים הסולקים דרך האינטרנט. ישראכרט לדוגמא נותנים את הכסף רק לאחר 30 יום + הימים עד לתאריך הזיכוי. ויזה כא”ל ולאומי קארד דורשות שתיהן 10,000 שקלים ערבות בנקאית, גם אם אתה סולק בסכומים של מאות שקלים בחודש (מעניין ששתי החברות טוענות שהן צריכות את הערבות בגלל התאוריה שלא תספק את המוצר והן יצטרכו להחזיר את הכסף. כשמנסים להסביר להן שהלקוח יכול לקבל את המוצר עוד לפני שהוא משלם, זה לא משכנע אותן).

לעומת זאת, ב-Paypal החיים הרבה יותר קלים: אפשר להנפיק חשבוניות (אם כי אינני יודע כמה החשבוניות הללו מוכרות ע”י רשויות המס בארץ. בכל מקרה אני מפיק גם ב-invoice4u חשבונית מקור) ולדרוש את התשלום והוא מופיע לך מיידית בחשבון ב-Paypal. תרצה להוציא את הכסף? תוך 3-5 ימים תקבל אותו ישירות לחשבון הבנק הישראלי שלך (או לכל חשבון בעולם, לפחות במדינות ש-Paypal תומכת), והכי חשוב: Paypal יותר זולה מחברות האשראי, כשלוקחים בחשבון את דמי החבר ושאר עמלות שחברות האשראי גובות מהעסק כל חודש. החסרון היחיד של Paypal כשזה מגיע לסליקה, הוא שאינך יכול לסלוק כרטיסים בעלי 8 ספרות כמו ישראכרט מקומי (יש לכך פתרון לא כל כך זול – הלקוח יכול להיכנס לאתר ישראכרט ולהנפיק לעצמו מספר אשראי “ישראכרט Web”, אך אז מדובר על הקצאת אשראי שיורדת מקו האשראי ואינה ניתנת להחזרה לקו האשראי, כך שאם יצרת כרטיס וירטואלי עם 1000 שקלים ושילמת על מוצר ברשת 600 שקלים, לא תוכל להחזיר את ה-400 שקלים לקו אשראי שלך ותצטרך למצוא מה לעשות עם אותם 400 שקלים).

וכך יוצא כאן מצב שעקב עודף חשש מצד חברות האשראי הישראליות, “הרגל” של גביית סכומים נכבדים (שלא תמיד מוצדקים), המתחרה החדש בסליקה נכנס בתנאים מאוד נוחים לשוק, וכל מה ש-Paypal צריכים לעשות זה לפרסם את המחירים שהם גובים מול המתחרים. לא יהיה קשה כל כך לשכנע את העסקים המבוססים על מכירות ברשת לעבור (אפילו אקסלוסיבית) לעבוד מול Paypal.

בחודש שעבר חזיתי במחזה מעניין בחשבון העסקי: חיוב של 582 שקלים מחברת ישראכרט. על שום מה? על שום הצטרפות כעסק לישראכרט. 450 שקלים הצטרפות ועוד “דמי חבר” של 132 שקלים, שכמובן ירדו כל חודש, ללא קשר לכמות העסקאות שתסלוק (לשם השוואה: Paypal לא גבו ממני שקל בהצטרפות כחשבון עסקי). הבוקר חתמתי את המסמכים לסיום הרומן העסקי שלי עם ישראכרט. ב-Paypal סך כל העמלות על עסקאות לא מגיע אפילו למחצית מכך. תודה ישראכרט, אך לא תודה.

סליקת כרטיסים והאבטחה – שלא קיימת

בשבוע שעבר חתמתי חוזה במסגרת העסק שלי לקבל כרטיסי אשראי ללקוחות, והוספתי גם שיפור ללקוחות לגבי תאריכי החיוב (אפשר לקרוא על כך בהרחבה כאן).

עד כאן הכל טוב ויפה, אך מה לעשות שעבדכם הנאמן Geek בנשמתו, ואני אוהב לבדוק איך דברים עובדים. יום שבת הגיע, היה משעמם אז… בוא נבדוק קצת את התוכנה שהתקנתי עבור סליקת כרטיסים של חברה מסויימת (לא אציין פרטים של החברה, אני לא כל כך מחפש תביעות).

התחלתי להסתכל על התוכנה ולבדוק תלויות שלה וגיליתי שהיא עובדת עם MDB, כלומר זו תוכנה שנכתבה עם מיקרוסופט אקסס. נו טוב, גם זה קורה.

לקחתי קובץ MDB והחלטתי לפתוח אותו ב-Hex Editor. הקובץ נפתח בלי בעיה. אוקיי, בוא נריץ חיפוש מחרוזות טקסט. כל מספרי האשראי של ויזה בארץ מתחילים ב-4580 אז בוא נחפש 4580 ונראה אם נמצא משהו.

המממ….. (לחצו על התמונה לקבלת גירסה מוגדלת)

card details-in-hex-editor

מה אתם יודעים! המספר נמצא גלוי לכל, כולל תוקף ושם מלא של המנוי! (במקרה הזה אני הכנסתי למערכת מספר כרטיס פיקטיבי על שם .. החתולה שלי, את השם תראו שם).

עכשיו מבינים שיש פה חור אבטחה ענק! התוכנה מבצעת את הסליקה עם מערכת של שב”א דרך האינטרנט וכך תאורתית אפשר לפרוץ למכונת ה-Windows (כולנו יודעים כמה Windows “מאובטח”!). כל מה שהפורץ צריך לעשות זה לפרוץ למכונה, להוריד את קובץ ה-MDB (לא צריך לחפש אותו יותר מדי, הוא נמצא בתיקיה תחת שם התוכנה שנמצאת ישירות על ה- :C).

לאחר גילוי זה, התקשרתי הבוקר לאותה חברה ודיברתי עם הנציגה. שאלתי אותה אם יש להם באמת תקן PCI כמו שמופיע באתר שלהם. תשובתה “זה בדרך”. סיפרתי לה מה גיליתי והיא אוטומטית הכחישה שזה יכול להיות “מה פתאום! הכל מוצפן!”. אחלה הצפנה, לא?

הכל מוצפן הא? חיברתי אותה ל-VNC, פתחתי מולה את עורך ה-HEX והראתי לה מה שאתם רואים. תגובתה? “אני לא מכירה את התוכנה שאתה מראה לי כרגע”. אה, בגלל שהיא לא מכירה מה זה עורך HEX, הטיעון שלי לא נכון.

החלטתי ליצור קשר עם חברת שב”א, שדרכה אותה חברה סולקת. ענה לי בחור שאפשר לתמצת את תשובתו ל”זו לא בעיה שלנו, פנה לחברות אשראי”. פניתי לחברת ישראכרט, וכבר אחרי 30 דקות שחזרתי 10 פעמים על הסבר פשוט של מה שאני מנסה לאמר, הצליחו להעביר אותי למישהי במחלקת הבטחון. שלחתי אליה אימייל עם כל הפרטים, כולל שם החברה.

תמהני, אם זו אבטחת המידע של אותה חברת סליקה, אני מפחד לדמיין מה קורה אצלם בשרתים ומה יקרה אם יפרצו לשם מחר. מה שמפתיע אותי זו האדישות של כל הגורמים כמו שב”א וישראכרט (לאומי קארד ו-ויזה כא”ל אמרו שיחזרו אליי. הם עדיין לא חזרו).

מה ההמלצות שלי? 2 המלצות פשוטות:

  • חברה טוענת שיש לה PCI? בקשו מסמך המראה את ה-PCI שלהם.
  • אם יש לכם לקוח שעובד עם מערכת סליקה שמתחברת למודם או סולקת לאינטרנט (לא דרך API וובי אלא ממש תוכנה מותקנת במחשב), בדקו אם היא משתמשת ב-Access, ובדקו את קבצי ה-MDB שלה עם חיפוש כמו 4580. אם מצאתם מספרים גלוים, כדאי שתחשבו במהירות על אלטרנטיבה.

עצוב למצוא שבשנת 2011 גם אבטחה של כרטיסי אשראי נעשית בשיטת ה”יהיה בסדר”.

באשר לעסק שלי, כמו שציינתי בעבר: ההגינות היא הדבר הכי חשוב לי. יכלתי לכתוב את הפוסט הזה (או לא לכתוב), להבטיח ללקוחות ש”הכל בסדר” ולהשתמש במערכת הזו, אבל אני מעדיף להיות הגון ולספר על המערכת הזו וכשליה (אגב, אף מספר כרטיס אשראי של לקוח לא הוכנס אליה והתוכנה הוסרה) ולעבור ל-Paypal. אינני יודע מה המתחרים עושים, ולכן כדאי לבדוק (אם יש לך מנוי אצל המתחרים) מי הסולק שלהם ולספר להם על העניין.

פייפאל–זה תרגום??

למי שלא ידע, פייפאל הכריזו אתמול בקול גדול כי האתר שלהם הוא עכשיו בעברית, ויש להם תמיכה טלפונית בעברית (זה כבר קיים כמה חודשים), לקוחות ועסקים ישראליים מוזמנים לעשות עסקים.

כפי הנראה משהו התפקשש לגמרי. ה”אתר בעברית” של פייפאל נראה שונה לחלוטין מצילומי המסך שמראים בכתבות. מה שרואים (לפחות אצלי) זה את המסך האנגלי עם מספר מילים מתורגמות לעברית. אתר מימין לשמאל? נאדה. בעיתונות כתבו שכדאי ללכת ל- www.paypal.co.il רק מי שהולך לשם, או שמקבל תקלת טעינת דף, או שממתין זמן רב ובסוף מקבל… את האתר האנגלי עם כמה מילים בעברית.

קצת מפליא כי לפייפאל קורים פאקים כאלו. תמהני אם הם ניסו את האתר מבחוץ כדי לבדוק שהכל תקין. כפי הנראה שלא..

לעניות דעתי, בשביל שפייפאל יתקבל כאן יותר בישראל מעבר לעסקים שכבר עובדים איתו, הם יצטרכו לעשות מס’ דברים:

  • להתחיל לקבל כרטיסי אשראי ישראליים שהם אינם 16 ספרות, כמו ישראכרט, שהוא כרטיס מאוד נפוץ בארץ.
  • לפשט את מערכת העברת הכספים לחשבון הבנק. לא כולם יודעים מה קוד הבנק שלהם, ואיך להכניס את מס’ החשבון (במיוחד כשיש בנקים שנותנים 2 מספרי חשבון: מקוצר וארוך, כמו בנק דיסקונט). זה לא כל כך מסובך לעשות תפריט דינמי שמשתנה ככל שנכנסים יותר פרטים (בחירת בנק מתוך תפריט,לאחר מכן רשימת סניפים עם שמותיהם)
  • לפרסם הבהרות לגבי מיסוי, על מה צריך להוסיף מע”מ ועל מה לא (האם PayPal הוא גם מוסד מחוייב במיסוי וכו’)

כשמסתכלים על התחרות כיום, פייפאל נותנת תחרות רצינית לסולקים כיום בארץ: לא צריך להמתין עד 60 יום (שוטף + 30) לקבל את הכספים, לא צריך לפתוח חשבון סולק מול חברות האשראי, וגם זמן העברת הכספים אינו נורא כל כך (7 ימי עסקים).

נראה לי שהולך להיות בהחלט מעניין (ברגע שהם יתקנו את הדברים)

כמה מילים לגבי אבטחה, כרטיסי אשראי נטענים

image

בשנתיים האחרונות חברות האשראי הישראליות הצטרפו לטרנד העולמי בהנפקת כרטיסי אשראי נטענים. כ.א.ל עם VISA נטען וישראכט עם “ישראכרט Web”. שני הכרטיסים מאפשרים הטענה חד פעמית בסכום עד 1000 ש”ח. הכרטיס אנונימי וניתן להשתמש בו בארץ ובחו”ל, למעט במקומות מסויימים כמו וידאומטים, הוראות קבע ועוד.

כיום כמעט לכל אחד יש כרטיס אשראי כלשהו, אז מדוע צריך כרטיס נטען (למעט אלו שאין להם כרטיסים מכל מיני סיבות)? התשובה לכך די פשוטה: אבטחה. באתרים רבים אין הודעה מובלטת מה דינו של מס’ כרטיס האשראי שלך לאחר שחוייבת וישנם אתרים רבים שמשאירים אצלם את פרטיך בצורה מאובטחת (עד שפורצים אליהם). עם כרטיס נטען, הנזק עצמו אינו כזה גדול ויכול להיגמר במקסימום של כמה מאות שקלים, בניגוד לכרטיס אשראי רגיל שעד שבעל הכרטיס לא שם לב, גונב המספר (נניח פריצה באתר כלשהו) יכול “לחגוג” ואותה חגיגה יכולה להיגמר באלפי שקלים, ואם בעל הכרטיס לא נכנס לאתר הבנק שלו או אתר כרטיס האשראי שלו ואינו שם לב אלא בתשלום החודשי, הסיפור של החזרת הכספים מחברת האשראי יכול להיות סיפור מההפטרה. נקודה נוספת לזכות כרטיסים נטענים היא האנונימיות. איש אינו יכול (לפחות בכרטיס של כ.א.ל) לדעת אם רכשת, מה רכשת, איך איפה ומתי. הכרטיס אנונימי לחלוטין וברגע שנגמר הכסף, זורקים את הכרטיס לפח. בישראכרט לקחו את זה צעד קדימה ושם אין שום כרטיס פיזי אלא דף אינטרנט שהדפדפן מציג עם מספר שיוצר ע”י המחשב עם הסכום שהלקוח ביקש, והלקוח צריך להדפיס את הדף ולשמור, כי אין לאף אחד (לטענת אנשי ישראכרט) אפשרות לדעת שאתה רכשת כרטיס WEB.

מי מהכרטיסים יותר נוח? כאן כ.א.ל מנצחים, מכיוון שאתה מקבל כרטיס פלסטי ליד (במחיר של 27 ש”ח מעבר לסכום שאתה רוצה להטעין) בעוד שבישראכרט כמו שציינתי, המספר מוצג על המחשב בלבד. מי שאינו בעל כרטיס ישראכרט לא יכול לרכוש כרטיס WEB למרות שהכרטיס בכלל אנונימי. העלות של כרטיס WEB היא 7.25 ש”ח.

קניתם כרטיס ואתם רוצים לדעת מה מצב הכרטיס מבחינת המזומנים עליו? ב-כ.א.ל נותנים לך כתובת אינטרנט שבה אתה מזין את מספר הכרטיס, Captcha ומיד תראה. בישראכרט? תחייג אליהם, תבקש נציג, תסביר לו שזה כרטיס WEB, תחכה על הקו שהוא ישאל מישהו אחר מה אתה רוצה ממנו (היה לי הסיפור הזה היום בהצהרים, תודה ישראכרט!), תתן לו את מספר הכרטיס שלך ורק אז תשמע מה יתרת הכרטיס.

החלטתם שאתם רוצים לפרוע את היתרה שבכרטיס? ב-כ.א.ל יבקשו ממכם לסור לסניף הדואר הקרוב למקום מגוריכם, שם תיפרדו יפה מ-15 ש”ח ותקבלו במזומן את העודף מהכרטיס. בישראכרט המצב יותר מסובך. יש לך פקס? אם לא, שב וכתוב מכתב לישראכרט בו הינך מפרט את מספר הכרטיס הנטען שלך ואז הם יזכו את הכרטיס הרגיל שלך. שם עוד לא שמעו על האינטרנט. כסף מזומן לא תראו מישראכרט.

לסיכום: אם אתם רוכשים מוצרים באינטרנט, בין אם זה אתר בארץ או בחו”ל, מומלץ לרכוש כרטיס טעינה חד פעמית. אתרים רבים משתמשים במסלקות ו/או אתרים צד שלישי (לדוגמא: PayPal) כדי לסלוק כרטיסי אשראי. לא כל החברות נוקטות את כל הצעדים הדרושים בכדי לעמוד בסטנדרטים לסליקת כרטיסים (מה שנקרא בעגה המקצועית: PCI Compliance), וחבל שמספרכם יזלוג לידיים לא רצויות ויהיה קשה מאוד לקבל את כספכם חזרה. כרטיס נטען מקטין נזקים במקרה של גניבה, מעניק אנונימיות, ומונע הפתעות כשמגיע הדו”ח החודשי. ההשקעה הכרוכה ברכישת וטעינת כרטיס כזה היא די קטנה ולעניות דעתי – שווה את זה.