ארכיון תגיות: מסופים

פריצת אבטחה "מעניינת"

פורסם בתאריך על ידי

walla לפניכם תמונה. כפי שאתם יכולים לראות בתמונה, אתם רואים מסך עם Windows XP, וחלון מלא של אקספלורר ובתוכו רואים את אתר "וואלה" (אפשר ללחוץ על התמונה ולקבל גירסה מוגדלת של התמונה). מה בדיוק פרוץ פה? אה, הסיפור הולך כך..

הלכתי עם ידידתי הנחמדה לבנק דיסקונט לסניף שבו היא מנהלת את חשבון הבנק שלה והיא היתה צריכה מס' שרותים מהפקידים שיושבים בקידמת הסניף. לי לא היה מה לעשות. הסתובבתי קצת בלובי ואז ראיתי את המסוף של טלבנק דיסקונט. החלטתי קצת "לחטט", ולקח לי בערך 10 שניות (טוב, שורת ה-Address Bar היתה גלויה) לגלוש החוצה, לאתר של "וואלה". למי שעוד לא הבין, הצלחתי לגלוש החוצה במסוף שלא אמור לתת גלישה חופשית בלי שום בעיה מתוך המערכת הפנימית של בנק דיסקונט.

חקרתי קצת יותר לעומק את המחשב (בכל זאת, הפקידים היו עסוקים…). איזה פתרון אבטחה ה-XP מריץ? הופתעתי: Symantec Antivirus Corporate Edition, הגוויה הצפה הזו אמורה להגן על המחשב. ניחא.

אז אוקיי, אפשר לגלוש, לא ביג דיל, נכון? זהו, שזה כן. ברשותכם אעשה סוויץ' ואהיה איזה Black Hat Hacker (אני לא, אבל נניח). כל מה שאצטרך לעשות הוא פשוט לגלוש לאתר מסוים שפשוט "יסרוק" את האקספלורר לפריצות שלא נחסמו לאחרונה, ומי שלא יודע, מיקרוסופט אין לה רקורד זוהר בסגירת פריצות (שלא לדבר על פריצות שיש בפלאש) וימצא פריצה מסויימת. מהרגע שהוא מוצא, אני אתן לו להוריד קובץ Loader קטן ותמים שירוץ ושיוריד "בתשלומים" (כדי לעקוף מערכות פילטרים או פיירוולים) תוכנת Key Logger ולאחר ההורדה, ה-Loader ירכיב את החלקים ביחד, יכניס את ההפעלה ל-Registry של ה-XP (יש לא מעט דרכים לכך, תשאלו כל בחור עם תעודת MCSE) ופשוט ישב ברקע ויאזין להקלקות של הלקוחות  הבאים שבבטחון גמור יכניסו את מס' הזהות שלהם, סיסמא וגם קוד, ואחרי זה ה-Key Logger הנחמד ישלח את הפרטים החוצה אליי ותנחשו מה אני יכול לעשות עם הפרטים…

הבה נהיה יותר רשעים: אינני רוצה לגנוב כספים מלקוחות הבנק (למרות שרבים מהלקוחות חותמים על אישורים להעברת כספים דרך מערכת הטלבנק!), אני רק רוצה לעשות אנדרלמוסיה קטנה: תוכנת ה-Key Logger תוריד גם תוכנה אחרת, שתדע לפתוח חלון אקספלורר ב-Minimize (מה הלקוחות מבינים בחלונות minimized?) או חלון נסתר של אקספלורר, תזין את הפרטים שהיא לקחה מלקוח תמים מלפני שעה, ופשוט תעביר כספים (אחרי הכל, זה רק עניין של parsing, שליחת POST, אין שום captcha להגן) אל הלקוח שנכנס לפני 20 דקות. (אפשר להעביר עד 10000 ש"ח). הלקוח של לפני 40 דקות אם ירגיש בכך ויתלונן, כספו יוחזר רק אחרי המון ויכוחים, כי אין כאן פריצה קלאסית: הלקוח היה במסוף, ומבחינת המערכת הוא העביר מאותו מסוף ללקוח לפני 20 דקות את הכסף. תארו לכם את אותו טריק חוזר כמה עשרות פעמים במשך חודש, כפול מספר סניפים שאני "מתקין" את 2 התוכנות בביקור תמים באותם סניפים, ולבנק יש סיוט לא קטן.

את הסיוט הזה אפשר לגמור עוד היום, אם הבנק יעשה את הצעדים הבאים:

  • יעיף החוצה גלישה. המסוף אמור לתת את אתר הבנק? אז את אתר הבנק בלבד
  • ירד מאקספלורר: לאינטרנט אקספלורר לא חסרים פריצות גם כיום שמיקרוסופט עדיין לא טיפלה בהם.
  • אם הבנק רוצה לתת גלישה מוגבלת מאוד לאתרים חיצוניים, כדאי שהבנק ירד מ-XP ואקספלורר ויחפש פתרונות אחרים יותר מאובטחים ויותר נעולים (לא חסרות שיטות להריץ פקודות ב-XP גם אם מבטלים את כפתור ה"התחל"). לינוקס עם מנהל גרפי מינימלי (לא GNOME או KDE) ו-FireFox במצב Kiosk נעול לגמרי יציג את הדברים בצורה מצוינת.

ולבסוף, אשאיר אתכם עם תמיהה: אני בטוח שאני לא היחיד שגיליתי את עניין הגלישה החוצה ממסופי טלבנק. לי אין כמובן שום כוונה לנצל את אותו "גילוי" לרווח/רמייה של הבנק, אך אולי מישהו אחר ברחבי הארץ גילה זאת והתקין דברים מזיקים באותם מסופים?

אני נדהם שבנק גדול כמו בנק דיסקונט שכסף לא חסר לו, נכשל ברמת אבטחת מידע בצורה כזו מביכה.

מוגש כחומר למחשבה.

עדכון: שלחתי הודעה "דחופה" למחלקת אבטחת מידע של הבנק לפני שהתחלתי לכתוב את הטקסט (בסביבות 7 וחצי בערב) עם פרטיי המלאים וביקשתי שיחזרו בדחיפות. עד לרגע זה (20:54) איש לא חזר.

מחשבות על כרום OS

פורסם בתאריך על ידי

אתמול כתבתי את הפוסט על כרום OS לאחר צפיה בבלוגים, הערות של אנשים טכניים, מדיה, וקצת מחשבה על כרום OS. "ישנתי" על החומר ובבוקר ניסיתי לחשוב על זה משהו אחד פשוט: מי צריך את זה?

אני מעוניין לתת תזכורת קטנה לקוראי הבלוג שאינם נמצאים בתחום עשרות שנים. קצת היסטוריה.

בשנות ה-70 (ואף לפני כן) וגם בשנות ה-80, היו מסופי מחשב (בנוסף למחשבים האישיים שהתחילו לצאת כמו אפל II, קומודור ויק 20, אטארי 400/800, ה-ZX ספקטרום ועוד) שהיו הדבר ה"שולט" בשוק הארגוני. אלו היו בעצם מעין מחשבים "טפשים" שלא היה להם כל אמצעי אחסון, והם היו מורכבים ממסך (שבתוכו היה צ'יפ עם "מערכת ההפעלה" ותוכנת הטרמינל) ומקלדת. המסוף היה מתחבר דרך חיבור רשת (עוד בזמן שהיה חיבור קואקסיאלי, במקרים אחרים זה היה חיבור מודם) ומה שהמסוף היה עושה זה להציג טקסט מ-שרת מרוחק ולשלוח בחזרה טקסט. לא היה אמצעי אחסון, לא היה צבע ולא היו אמצעי קלט/פלט אחרים.

מאוחר יותר הגיעו מסופים אחרים, יותר גרפיים, ואלו היו מסופי X Terminal שגם שם הטרמינל היה טיפש, היתה תצוגה גרפית כלשהי, היה עכבר ומקלדת והחיבור היה מתבצע דרך חיבור Ethernet עם או בלי שימוש בכרטיס חכם, ושוב, לטרמינל לא היה כל אמצעי אחסון והוא היה שולח את תנועות העכבר והתגובות אל השרת ומציג את התוצאה.

נעבור קדימה בזמן לשנות ה-90 וה-2000 שבהם כל המחשבים הם מחשבים "שמנים", וגם כאן נמצא מסופים, רק שהפעם בנוסף למסופי ה-X Terminal (כמו Sun Ray 100) נמצא גם מסופי RDP שמתחברים לשרתי מיקרוסופט השונים (2000/2003/2008) והם היו מציגים לאנשים מסך Windows עם סביבה מוכרת כמו המחשב הרגיל רק ששוב: במסוף אין שום אמצעי אחסון. יש ניתוב יותר חכם של אביזרים מ/אל המסוף והשרת, אבל עדיין מדובר במסוף טיפש.

כרום OS והמחשבים שיהיו מבוססים עליו יהיו בעצם דור המשך. במחשבים הניידים האלו לא יהיה אחסון קבוע, רק שבמקום להציג X או RDP, יהיה דפדפן שיציג דפים. גרפיקה עשירה, אודיו, אבל עדיין.. מסוף טיפש. כמה טיפש? אהבל מוחלט כל מחשב נייח/נייד שתשים מולו עם כל מערכת הפעלה קונבנציונאלית: מאק, לינוקס, או כל גירסת Windows מהעשור האחרון.

מהנדסי גוגל דיברו אתמול על המפרט שהם הולכים להכתיב ליצרני החומרה שירצו לשים את כרום OS ולמכור אותו כך לציבור. נכון, לא יהיה דיסק קשיח, אבל המהנדסים רוצים מסך יותר גדול מ-10 או 12 אינטש, הם רוצים מקלדת מלאה וה-Touch Pad אמור להיות יותר גדול, וכל זה מוסיף למחיר ה-BOM (ר"ת: Bill of Materials), מה שאומר שנטבוקים כאלו יגיעו למחירים של 300 דולר ומעלה לצרכן. אם נוסיף עוד 100 דולר, נוכל לקנות מחשב נייד רגיל בסיסי עם כל היכולות של הנטבוק, עם דיסק קשיח, ועם הרבה הרבה יותר יכולות, אז מדוע בעצם שצרכנים ירצו בכלל לרכוש מוצר נכה כזה? תירוץ הניהול הוא תירוץ קלוש. אנחנו כבר 20 שנה עם מחשבים שמנים ולא חסרים פתרונות ניהול ותחזוקה למשתמשים הביתיים והפעולה הכי בסיסית (גיבוי) יכולה לפתור את רוב הבעיות שהמשתמשים נתקלים בהם.

אז למי הנטבוקים מבוססי כרום OS מתאימים? ל-2 קבוצות עיקריות: ספקי תקשורת רט"ן (כדוגמת פלאפון/סלקום/אורנג'/מירס) וחברות ענקיות. ברשותכם, אסביר מדוע:

  • ספקי תקשורת רט"ן, מבחינתם נטבוק כזה הוא פשוט מתנה משמיים! חתום על חבילת Data מורחבת (או "בלתי מוגבלת", תלוי בספק) וקבל במחיר מינימלי (או אפילו בחינם) נטבוק של יצרן חומרה ידוע. ספקים כאלו רוכשים מחשבים כאלו במאות או אלפים (תלוי בספק/קמפיין וכו' וכו') ויכולים לקבל נטבוקים כאלו במחיר זול בעשרות אחוזים מהמחיר לצרכן, כך שהם יכולים לקבל את הנטבוק במחיר של 200 דולר או פחות מכך. מבחינת הספק, הוא יכול להרים מעין "פורטל" שכתובתו תיצרב לנטבוק, ושהלקוח יגלוש לאן שהוא רוצה. הלקוח משלם מחיר עבור חבילת ה-Data כל חודש ואם הוא חורג מהחבילה, הוא ישלם מחירים (מופקעים) על החריגה, והלקוח מחוייב בתשלום חודשי ל-18 חודשים. אין צורך בטיפול בבעיות בנטבוק אצל לקוח קצה. תכבה, תדליק, כנס עם שם המשתמש והסיסמא, נגמרה הבעיה. ספק הרט"ן מרוויח תזרים מזומנים שוטף רווחי. מה רע? יש כמובן צורך בהתאמות לפורטל אם הלקוח רוצה לראות סרטים או לשמוע מוסיקה בתשלום (לתשומת לב אורנג' ופלאפון שהימרו על פלטפורמת Streaming של מיקרוסופט: אין תמיכה לנטבוקים בפרוטוקולים אלו. תעברו ל-Flash).
  • חברות ענק עם אלפי מחשבים שעברו או עוברים לאפליקציות מבוססות Web יכולים להתחיל לחשוב על נטבוקים מעין אלו: המשתמש מקבל מחשב נייד שלתוכו נצרבת כתובת הפורטל הארגוני (גם אם יגנב נטבוק כזה, לגנב אין מה לעשות עם הנטבוק) ואת כל עבודתו הוא עושה שם. מדובר כמובן במחלקות מסויימות (תמיכה, מכירות, קבלת קהל). העובד צריך אופיס? אחלה, מיקרוסופט מוציאה בקרוב את אופיס 2010 שמאפשר עבודה על מסמכים גם מתוך הדפדפן (אפשר לקרוא על כך כאן), ושוב, עלות התחזוקה היא אפסית כי אין מה לתחזק בתחנות הקצה.

כמובן, אין צורך להמתין לכרום OS. מי שמעוניין בהטמעה של מסופים טפשים או מחשבים ללא דיסקים קשיחים יכול לעשות זאת כבר היום. אם יש לך Storage שתומך ב-iSCSI יכול בעזרת תוכנה כמו gPXE (נקראת גם Etherboot) ושרת DHCP להרים מערכת שתתן את מה שכרום OS תתן עוד שנה (אוקיי, למעט העניין של Boot ב-7 שניות, אבל מצד שני, אפשר להתממשק מול Active Directory או כל LDAP אחר ומשם לעשות מיפויים שונים ולתת שרותים שונים פר משתמש/קבוצה).

לסיכום: כרום OS הוא דבר נחמד, אבל לצערי הוא לא מפיק לקחים מדורות קודמים של מסופים ומחשבים טפשים וחבל. עדיין יש צורך באפליקציות מקומיות כמו נגן מדיה, וחבל שגוגל לא לקחו זאת בחשבון.