ארכיון תגיות: אבטחה

מי מפחד מכבשת האש?

FireSheep היא הרחבה חדשה לדפדפן Firefox שעושה פעולה מסובכת בצורה פשוטה – מאפשרת לאנשים רגילים לעשות משימה שעד כה היתה גוזלת זמן גם ממומחי אבטחה מיומנים.

FireSheep עובדת בצורה הבאה – היא סורקת את הנתונים שעוברים ברשת האלחוטית, וברגע שהיא מוצאת חבילות מידע "מעניינות" היא שומרת אותן בצורה מקומית ומאפשרת למפעיל התוכנה להשתיל את ההזדהות של משתמשים אחרים ברשת על הדפדפן שלו, ובצורה זו לשלוח בשמם עדכונים בפייסבוק ובאתרים דומים. ההרחבה לא אמורה לשאוב את הססמאות שלכם באתרים, אבל קחו בחשבון שאם העברת המידע הזה אינה מוצפנת ייתכן מאד ואדם מיומן יושב ברגעים אלו ומאזין לססמאות שלכם.

מה כן אפשר לעשות בנידון?

  • לאתרים רבים ישנה אפשרות להתחבר ב־https. טוויטר, לדוגמה, יכול לעבוד עם ssl אם נכנסים אליו דרך הכתובת https://twitter.com, אבל כל עוד זו לא אפשרות ברירת המחדל רק מעטים ידעו על היתרונות של חיבור מוצפן לאתר, וגם טוויטר עצמם לא ממהרים להעביר את כל המערכות לחיבור מוצפן למרות הדרישה מהציבור. ישנן הרחבות דוגמת Force TLS ו־HTTPS everywhere שיכולות לסייע, אבל קחו בחשבון שהן טרם הותאמו לגרסה החדשה של פיירפוקס.
  • לא להתחבר לרשתות פתוחות. במידת האפשר, עדיף להימנע משליחת מידע פרטי ברשתות ציבוריות. אני, למשל, מחזיק פרופיל מיוחד של פיירפוקס עבור רשתות פתוחות, כדי להעביר מינימום מידע פרטי ברשתות אלו. במידה ויש לכם דיבור עם איש ה־IT של הארגון, אולי כדאי להביא את הנושא לידיעתו ולייעץ לו להצפין את תעבורת הרשת.
  • אם שום דבר אחר לא עוזר, ניתן תמיד לתעל את התקשורת דרך שרת מאובטח. השרת המאובטח יכול להיות אפילו המחשב שלכם בבית עם פרוקסי או חיבור VPN ישירות אליו. אפשר גם להשתמש ב־SSH בשביל לחסוך את עלויות הפריסה בהנחה שיש לכם שרת לינוקס נגיש.

טוויטר טיפ: הצפנת החיבור ל־Twitter

נניח ואתם מעוניינים לסקר אירוע כלשהו דרך טוויטר, אבל לא חשקה נפשכם לחשוף את שם המשתמש והסיסמה שלכם באוויר לכל העולם. מה תעשו?

ישנם אנשים שמעדיפים לשלוח הודעות דרך טלפון סלולרי כדי להתחמק מחשיפת המידע דרך חיבורי אינטרנט אלחוטי המשותפים לכל באי האירוע, ואחרים משתמשים בכל מיני פתרונות מוזרים בדמות שימוש בשירותי צד שלישי כדי להתגבר על המגבלה. הדרך בה אני נוקט ומתברר שהיא אינה ידועה למרבית המשתמשים היא שימוש ב־SSL מול טוויטר.

מזה תקופה ארוכה שיש אישור אבטחה חוקי לטוויטר. לא ברור לי למה הם לא מפרסמים אותו, ולא משתמשים בו אפילו במסך ההתחברות למערכת כברירת מחדל. למרות זאת, ביומיים האחרונים יש לי את ההרגשה כי החיבור ב־SSL הוא פחות יציב ותמונת הלוויתן המעופף מופיעה אצלי בתדירות גבוהה יותר מאשר בחיבור רגיל. אני משתמש בהצפנה של טוויטר באופן קבוע, גם כאשר אני בחיבור נייח לרשת; עדיף לנקוט באמצעי זהירות מאשר להצטער על כך מאוחר יותר.

בפעם הבאה שאתם רוצים להתחבר לטוויטר מבלי שהשכנים יוכלו לראות את הסיסמה שלכם או להשתלט על החשבון שלכם, היכנסו לטוויטר מכאן – https://twitter.com.

רישומי שמות המתחם של דומיין דה נט חשופים להשתלטות?

ידיעה שעלתה הבוקר ב־ynet בישרה רעות ללקוחות אחד הבנקים הגדולים בארץ, ולאתרים נוספים כגון האתר האנגלי של ynet. מסתבר כי מישהו חיבל בשרתים של רשם הכתובות Domain The Net והגולשים הופנו לאתר בגנות ישראל במקום לאתר המבוקש.

שם המתחם של בנק דיסקונט נחטף. צילום מתוך ynet

שם המתחם של בנק דיסקונט נחטף. צילום מתוך ynet

מה שקרה בפועל הוא שהאתרים שנפרצו נרשמו בעבר דרך חברת Domain The Net, והוגדרו להם שרתי שמות בשליטת הגופים הרלונטיים. בנק דיסקונט, עם כל הכספים שהוא יוציא על אבטחת האתר והמערכות הנלוות, ועם כל מומחי האבטחה שהוא יעסיק לא יוכל למנוע השתלטות על הדומיין אם הפריצה הייתה בצד של הרשם שלו.

חברת דומיין דה נט כשלה באבטחת המערכות שלהם, ומישהו הצליח להיכנס לרישומים שלהם. גם אם נצא מנקודת הנחה שהפריצה לא הייתה לכלל מאגר השמות אלא נקודתית לכתובות מסויימות (bankdiscount.net, ynetnews.com ואולי עוד מספר אתרים שלא ידוע לנו כרגע שנפרצו באותה השיטה), יש פה פוטנציאל למחדל. כיצד רשמי השמות שלנו שומרים עלינו מפני סכנת גניבת בעלות על הכתובת? כיצד אשן בשקט אם בכל רגע גורם עויין יכול להשתלט על הכתובת שלי ללא ידיעתי ואישורי?

כאשר שרת האיחסון נפרץ ומושחת, בעלי האתרים יכולים לשחזר אותו מגיבוי ולסגור את הפרצה דרכה נכנסו הפורצים. הכתובת עצמה נשארת בבעלות שלהם, והם יכולים בכל רגע נתון להעבירה לשרת אחר מאובטח ומוגן יותר. להבדיל, כאשר גורם עויין משנה את פרטי הבעלות על הכתובת אצל הרשם עצמו, הוא הופך להיות הבעלים על הכתובת, והבעלים החוקיים למעשה ננעלים בחוץ ללא שום יכולת הגנה והתאוששות מהירה. למעשה, כלל לא בטוח שתהיה לו יכולת להוכיח את בעלותו על הכתובת בפני נציגי הרשם בפרק זמן סביר.

ואיך בכלל התאפשר לרשם הכתובות להיפרץ? האם סייבר-טרוריסטים עשו Brute Force Attack מול האתר של Domain The Net עד שהם הצליחו לגלות את סיסמת הגישה לחשבון של כל אתר ואתר? האם הם הצליחו לעשות זאת, איך שום מערכת אצל דומיין דה נט לא זיהתה את הסכנה מבעוד מועד וחסמה את הגישה שלהם בזמן?

והכי מדאיג – איך זה שלחברת דומיין דה נט לא מתפרסמת במקום בולט בדף הראשי באתר ההבטחה שלהם לאבטחת המערכות שלהם בפני השתלטות, אבל יש להם את האומץ לנסות ולמכור לנו שירות "אבטחת מותג"?