ארכיון תגיות: פריצה

כמה מילים על התקיפה המתוכננת ביום ראשון

פורסם בתאריך על ידי

אחת למספר שבועות, ארגון "אנונימוס" מוצא לו מטרה חדשה להתקיף. הסיבות שונות מתקיפה לתקיפה. חלק מהסיבות נראות לאנשים מסויימים מוצדקות. אישית אינני חושב ששום התקפה יכולה להיות מוצדקת. התקפות על אתרים כמובן שלא משנות מאומה מבחינת שינוי מדיניות של המותקף, אבל לך תסביר את זה לכמה אלפי משועממים.

ביום ראשון הקרוב (7/4) מתוכננת התקפה (שלמען האמת כבר החלה, כפי שניתן לראות כאן) על אתרים ישראלים. בפוסט זה אנסה לתת כמה שיותר מידע וטיפים בנידון.

בניגוד למה שרבים חושבים, התקפה של אנונימוס אינה רק התקפה מסוג DDoS אלא גם נסיונות פריצה או השחתה של אתרים. את החלק של DDoS בארץ סופגים ספקי האינטרנט הישראליים (שכבר החלו להיערך לכך מלפני שבועיים), וסביר להניח שאחד הדברים הראשונים שהם (הספקים) יעשו בחלק מהמקרים הוא חסימת התקשורת מחו"ל לישראל לשרתים מסויימים, כך שאם השרת (בין אם פיזי או וירטואלי) מותקף, ואתה מתארח אצל ספק קטן, אתה צריך להודיע לספק והוא יבקש מהספק הראשי (נטויז'ן/סלקום, 012/אורנג', 014/בזק-בינלאומי) לחסום זמנית תקשורת מחו"ל. לא נעים שגולשים מחו"ל לא יצליחו לגלוש לחלק מהאתרים, אבל אין הרבה ברירות.

הסוג השני של ההתקפה הוא כפי שציינתי, הם נסיונות פריצה או השחתה של אתרים. בחלק מהמקרים ינסו לתקוף אתר ספציפי, ובחלק מהמקרים סביר להניח שינסו לתקוף את השרת עצמו כך שאם יצליחו, כמעט כל האתרים באותו שרת יינזקו. 

רשימות של אתרים וכתובות IP המיועדים להיות מותקפים פורסמו באתרים כמו Pastebin ואחרים, אך כפי שציינתי לעיל, רשימה זו אינה רשימה מוחלטת, כלומר אם האתר שלך יושב על שרת שמארח אתר אחר שכן פורסם ברשימה, האתר שלך יהיה חשוף לנסיונות פריצה.

מה בוני אתרים ומתחזקי אתרים ושרתים יכולים לעשות? מספר דברים:

  1. גיבוי – צרו גיבוי מיידי ואל תסמכו על שרות הגיבוי של הספק שאתם נמצאים אצלו. ביום ההתקפה סביר להניח שידי הספק תהיינה מלאות (כבר יצא לי לשוחח עם כמה ספקים שהם אדישים לחלוטין למה שיקרה ביום א') ושחזור יכול לקחת זמן. "הפתעה" נוספת שיכולה לקרות היא גילוי שהספק מעוניין בתשלום עבור שחזור. לכן אני ממליץ להיכנס לפאנל ניהול של החשבון שלכם, ליצור גיבוי ולהוריד אותו אליכם כך שתוכלו לשחזר ביום א' אם יפרץ האתר/שרת שלכם.
  2. מעבר על הרשאות: אתרים שרצים על לינוקס, מומלץ להיכנס למנהל קבצים ולבדוק שההרשאות הן המינימום ההכרחי: 644 לקבצים, 755 לתיקיות (אפשר 701 לתיקיה אם אתם משתמשים ב-SuExec ודומיו). לא להשאיר תיקיות עם הרשאות כתיבה/קריאה/הרצה לכל העולם ואחותו (הרשאות 777). 
  3. עדכונים: עדכון גירסת האפליקציה/תוספים/עיצובים – ודאו כי יש ברשותכם גירסה אחרונה.
  4. עברו על ה-DB שלכם ווודאו כי אין משתמש בשם admin או User ID שהוא 1. כמו כן, הסתכלו ב-MD5 של הסיסמאות, ואם אותו מספר חוזר בכל המשתמשים, אז כנראה בעבר פרצו ל-DB שלכם, שנו את הסיסמאות. 
  5. בעלי שרתי VPS/שרתים פיזיים – התקינו חומת אש (בלינוקס: CSF מומלץ) פנימית, והגדירו אלו מדינות יהיו חסומות (רמז: השכנים שלנו ועוד כמה מדינות "חובבות" ישראל), כך תקטינו את הסיכוי שיפרצו אליכם.

הכי חשוב: להצטייד בסבלנות. אם האתר שלכם מותקף (ולא חשוב איזה סוג התקפה) הלקוחות יתקשרו עצבניים. אל תיקחו את זה אישית, הסבירו שמדובר בהתקפה כוללת.

לאחר יום א', מומלץ שוב לבדוק את ה-DB והקבצים לראות שלא החדירו לכם קבצים חדשים או לא שינו לכם את ה-DB.

פריצה לעסק שלך .. עם ראוטר בלבד

פורסם בתאריך על ידי

לפני מספר ימים שחררה חברת Mandiant וידאו קליפ המראה איך הסינים פורצים לחברות מסחריות גדולות בארה"ב. קחו כמה דקות לצפות בקליפ הבא:

לאנשי אבטחה רציניים, וידאו כזה יכול לגרום להם להחוויר, להתעצבן וכו', אך לרבים מהאנשים דבר כזה לא ממש מזיז להם, וזה כולל גם אנשי סיסטם רבים, כפרילאנסר שמחפש עבודות ושחובב נושאי אבטחה ושאכפת לו, החלטתי לכתוב את הפוסט הזה.

בשביל הפוסט הזה נדמיין לעצמנו שעבדכם הנאמן החליט לעסוק במקצוע לא חוקי אך מניב רווחים גדולים מאוד: סחר במידע גנוב.

תשאלו אנשי סיסטם רבים, מנכל"ים, סמנכל"י IT ועוד, וכולם ישמחו לספר איך הם השקיעו ב"מילה האחרונה" בטכנולוגיה: חומות אש של סיסקו וצ'קפוינט וחברות ידועות אחרות, טכנולוגיות שיודעות לאבחן תקשורת חשודה, נסיונות פריצה מבחוץ ועוד. הם מרגישים מבחינתם מוגנים, אבל ההרגשה הזו היא כפי שאדגים כאן בתאוריה – אשליה. נכון, נסיונות פריצה רבים קורים מבחוץ והמערכות הנ"ל מגינות עליהן, אבל לא רבים חושבים על התמודדות נסיונות פריצה מבפנים.

אז החלטתי לסחור במידע גנוב. איך בדיוק אשיג את המידע הגנוב? להתחיל לנסות לפרוץ מבחוץ לא יתן לי יותר מדי חוץ מאשר כאב ראש רציני ותסכול. צריך לחשוב על דרך אחרת.

מהי הדרך האחרת? הדרך היא דרך .. קיבתם של העובדים. כמו שידוע, רבים מהעובדים יוצאים בשעות הצהרים לאכול ולוקחים איתם מחשבים ניידים. הם מגיעים למסעדות פופלריות, מזמינים לאכול ויושבים לאכול, ובד"כ לאחר 20-30 דקות משלמים וחוזרים למקום עבודתם. המידע הזה מסייע לי, משום שאני יכול לתכנן את הכניסה שלי בדיוק בנקודה הזו שהיא הנקודה החלשה: המחשבים הניידים שלהם.

כל מה שאני צריך לעשות זה להצטייד בראוטר סלולרי עם אות שידור חזק וחיבור לאינטרנט. אחרי שאמצא מהי המסעדה הפופולרית אכנס לשם, אזמין לי משהו לאכול ואפעיל את הנתב שלי. אני אזייף את את שם הראוטר שלי שיהיה כמו המקורי ואת המקורי אני אפיל (לא מסובך להפעיל ראוטר של מסעדה, במיוחד שאף אחד מהעובדים לא יודע לטפל בזה..), כך שכל הגולשים שיש להם WIFI פתוח יראו את הראוטר שלי ויתחברו אליו. כמובן, אין צורך בסיסמא כדי להתחבר ולקבל שרותי גלישה מהראוטר שלי..

מהרגע שבעל המחשב הנייד התחבר ל-WIFI שלי, הוא מקבל כתובת IP ומיד Redirect בדפדפן שלו לדף "הסכם גלישה" שלי. הדף נראה דף תמים עם הסכם שכולם גוללים למטה ולוחצים אישור.. רק שלאישור לוקח 3 שניות להופיע.

כאן הסקריפטים שלי מתחילים לעבוד, לאחר שהקורבן התחבר אליי..

שלב ראשון, נבדוק כמה הבחור (או מנהל ה-IT או הסיסטם) היו חכמים והעיפו לו את התוסף JAVA מהדפדפן. לא העיפו? מגניב, רוגלה מיוחדת שלי תותקן בסתר במחשב שלו (אל דאגה, הסקריפט יודע לזהות אם זה מחשב Windows או מק, יש גירסת רוגלה לכולם). אין לו JAVA? לא נורא, נבדוק על המחשב שלו מגוון פריצות חדשות (Zero-day, למה יש שוק שחור של פריצות כאלו?) עד שאצליח להיכנס. הוא לא ירגיש כלום, לי יש 20-30 דקות עד שהוא ילך.

מהרגע שאני בפנים, החגיגה מתחילה. אם הוא משתמש מק והוא משתמש במפתחות כדי להתחבר למכונות אחרות, אני אעתיק את המפתחות מתיקיית ssh., אעתיק את קובץ ה-known_hosts שלו, אחטט לו קצת בתיקיות מסמכים וכו', אעתיק גם את ה-Contacts שלו, כניסות VPN אוטומטיות ועוד. אני גם אעתיק את ה-MAC ADDRESS שלו כדי שאדע לזהות את המחשב שלו.

הקורבן סיים לאכול והלך? אחלה. ההעתקה הזו היתה החלק הראשון, ה"סיפתח". שהוא יפעיל את המחשב שלו במשרד, האפליקציה שלי תתחיל את החלק השני שלה, החלק היותר מעניין

בחלק היותר מעניין אני נמצא בתוך ה-LAN של העסק. בשלב הראשון אני רואה מה ה-MAPPING שיש, והאפליקציה שלי כבר תדע ליצור Tunnel בין המחשב הנ"ל למחשב שנמצא בעולם. האפליקציה תדע לשלוח לי רשימות קבצים, הודעות מייל ועוד. אני מתחיל לקבל מעין "מפה" של מי עובד ומה תפקידם. אם אני מתעניין בקבצים מסויימים, האפליקציה תדע לשלוח אליי אותם. בחלקים. מדוע בחלקים? כדי לא לגרום לחשדות של כל מיני תוכנות ניטור. במקביל האפליקציה תסרוק מחשבים קרובים וגם אותם היא תפרוץ ותשכפל את עצמה אליהם. עד שבסיסטם יתעוררו, לי יהיו מספיק קבצים ומידע כדי לסחור בו.

חושבים שכל מה שתיארתי כאן הוא דמיוני? תחשבו שוב. כל מה שתיארתי כאן ניתן לביצוע כיום

אז מה ניתן לעשות? ב-2 מילים: להגדיל ראש. להבין שפריצות זה לא רק פורץ משועמם מבחוץ שמנסה לפרוץ את ה-Firewall שלך אלא הרבה מעבר לכך. המחשבים הניידים, הטאבלטים והטלפונים הסלולריים כיום יכולים לשמש כדרך לפרוץ אל העסק שלך, לעשות פילטרינג מורכב יותר למייל שמגיע לא מאנשי הקשר הקבועים כדי למנוע מצבים שמגיעים קבצי מסמכים נגועים שיתנו לחגוג על המסמכים אצלכם, ובקיצור – הפריצות לא יגיעו רק מהאינטרנט, אלא גם מתוך ה-LAN שלך, ואם מישהו לא ידאג לדברים הללו, יהיה מי שינסה להיכנס ולגנוב מסמכים, קוד ודברים אחרים על מנת לסחור בהם ולהעביר אותם למתחרה שלכם או לכל גורם אחר.

חגיגת כרטיסי האשראי ממשיכה

פורסם בתאריך על ידי

היום נודע כי הפורץ הסעודי פירסם עוד 11000 מספרי כרטיסי אשראי, וכבר המדיה הישראלית (וואלה, YNET) הספיקו לראיין את הבחור ו…איך לאמר… הוא לא ממש מצטיין באמירת אמת. הוא טען שהוא פירסם 400,000 כרטיסי אשראי. סטודנט בשם עופר שוורץ שחקר קצת את הנושא, הראה שמדובר ב-27000 כאשר מספרים רבים חוזרים על עצמם.

כמובן שכל החגיגה הזו עושה כאב ראש לחברות האשראי: לקוחות זועמים, שעות נוספות של עובדים, הריסת מוניטין ועוד – ואז מתראיין ישראל דוד, מנכ"ל כא"ל ומוציא אזהרה לממשלה: "ללא התערבות הרגולציה שתעמיד תקנים מחמירים ותפקח על האתרים – פרטיהם של מיליוני אזרחים בסכנה".

כשקראתי את הטקסט הזה, תהיתי על מה לכל הרוחות הוא מדבר. אנשים מתלוננים על זמן של 24-48 שעות שלוקח ל-DNS להתעדכן (טוב, זה מה שלוקח בארץ, עם שרתי ה-DNS הזבל של כל הספקי אינטרנט בישראל – ד"ש חם לבזק בינלאומי ולנטויז'ן!), אז אם תוסיף רגולציה, ובמיוחד אם נזכור את הבירוקרטיה והחלמאות הישראלית ששמה הולך לפניה – שום דבר טוב לא יצא מזה. מי בדיוק יפקח? על מה? אם היום אני רוצה להקים אתר מסחרי שיסלוק לי כרטיסי אשראי בארץ, אני יכול לסגור עניין בכמה דקות מול Paypal (בלי ניירת ובלי שיחה עם נציגות שמעודדות הטחה עצמית של הראש בקיר) ותוך עניין של ימים האתר יכול להיות למעלה מתחיל לקבל לקוחות.

אז מה יעזרו רגולטורים חוץ מלהאיט ולסבך כל דבר?

אדרבא, למי שיש את הכח ביד (טוב, לפחות חלקית, מאז שנכנסה Paypal לישראל באופן חצי רשמי) אלו חברות האשראי. הן יכולות לקבוע מי יקבל אישור סליקה ומי לא, ומי מחר יקבל עצירת סליקה עד שיעמוד בתקן PCI, אבל גם כאן חברות האשראי מעדיפות לגרור רגליים ולהחליט שרק ב-2013 תקן PCI יהיה הכרחי לסליקה. תחשבו על כך – אנחנו נמצאים בהתחלת 2012 ובמשך השנה הקרובה כל מיני פורצים יחגגו כי חברות האשראי זזות לאט. חברות אשראי יקרות, קבלו טיפ קטן: אפשר וצריך לחייב את אותן חברות שסולקות כרטיסים (דרך האינטרנט ולאתרי אינטרנט, לא דיברתי על מסופים) לעמוד בתקן תוך 3 חודשים או להסתכן בפסילת רשיון סליקה, ובהזדמנות גם לטפל בחברה שעדיין משקרת ללקוחותיה ומציינת שיש לה PCI למרות שאין לה (מנהלי מחלקת הבטחון בחברות האשראי שקוראים בלוג זה מוזמנים לחפש את המייל ששלחתי אליהם לפני מספר חודשים עם הוכחות), ואגב, אני כמעט בטוח לגבי 2 חברות גדולות אחרות שסולקות כרטיסים עם חיבור לשב"א – שהנתונים שלהן לא מוצפנים. אני מטבע הדברים ועל מנת שלא לחטוף תביעת לשון הרע – לא מפרסם את שמות החברות.

עוד בענייני כרטיסי אשראי: מישהו החליט לתבוע תביעה יצוגית גם את ויזה כא"ל, את דובל בניית אתרים, ואת איזי פיימנט. הסכום? "קטן" – רק 13 מיליארד שקל. קצת מוזר לי לראות את רשימת הנתבעים: הסעודי לא פרץ לאיזי-פיימנט, הוא פרץ לדובל. לתבוע את כא"ל על רשלנות? לזה אני קורא Long shot או איך אומר מורגן פרימן ב-"האביר האפל" – Good luck with that..

כל איש סיסטם שמתחזק שרתים (ולא חשוב איזו מערכת הפעלה מדובר): אם תעשה חצי עבודה בתיקון תקלה, זה יצוץ מחדש ובצורה הרבה יותר גרועה, וזה בדיוק מה שקרה לחברות האשראי: שנים שנתנו בצורה עיוורת אישורי סליקה בלי שום בדיקה (למעט בדיקה מסכנה של SSL) מה קורה עם מספרי כרטיסי האשראי לאחר הסליקה ומי בכלל בודק ומשגיח על מדיניות השמדה ו/או שמירת הנתונים – אז הנה, זה חזר לנשוך אותן בישבן, ובחור סעודי משועמם בן 19 מראה ל-3 חברות אשראי גדולות בארץ מה המחיר של הרשלנות הפושעת שלהן.

והערה לבעלי עסקים: הגיע הזמן לעשות חושבים לגבי כמה דברים בקשר לאתר שלכם. על כך – בפוסט הבא שיתפרסם בסוף שבוע זה.

הפריצה והגניבה של כרטיסי האשראי: אנליזה שלי

פורסם בתאריך על ידי

מאז שכתבתי את הפוסט, קראתי עוד קצת כתבות, של עידו קינן ואחרים, ונראה כי המדיה "קנתה" את הסיפור של בעלי חברת בניית האתרים: אנחנו היינו מוגנים, חשבון ששיתפנו ולא היה באחריותנו לא היה מוגן ודרכו נפרץ האתר עם פרטי הכרטיסים.

אין חולק על כך שפורץ סעודי עשה את העבודה. אין חולק על כך שהכרטיסים נגנבו. אינני מכיר את אותם בוני אתרים, הם לא לקוחות של העסק שלי ולי אין מושג ירוק מה מותקן בשרת זולת הידיעה (דרך Netcraft) שהאתר רץ על Linux.

עם כל זאת, אני מאמין לאותם אנשים כמו שאני מאמין שעל כתפי הימנית יושבת כרגע פייה….

נתחיל בבסיס (המאמר הולך להיות עמוס במונחים טכנולוגיים אך אנסה לפשט כמה שאפשר): בעקרון מערכת Linux רגילה שפותחים משתמש חדש (שהוא אינו עם הרשאות root ואינו בעל הרשאות sudo – הרשאות המאפשרות בעצם לשנות את כל המערכת), אינו יכול לשנות מאומה זולת התיקיה שלו. אם לדוגמא יש לו הרשאה של גישה לבסיס נתונים, הוא יכול ליצור בסיס נתונים, לתת הרשאות בתוכו, ליצור משתמשים נוספים ובסיסי נתונים נוספים (לפי כל מיני מגבלות שמנהל השרת קובע). המשתמש יכול להתפרע עם ההרשאות – אבל רק עד הרמה של המשתמש שלו, כלומר אין לו אפשרות "לטפס" עם ההרשאות "כלפי מעלה" לכיוון הרשאות סיסטם.

כל זה כמובן מדובר על מערכת Linux שמותקנת ומעודכנת עם הטלאים האחרונים (yum update או apt-get update תלוי בהפצה) ועם הגדרות הקשחה נוספות. אותם בוני אתרים טענו שיש להם תקן PCI (אם הבנתי נכון) כך שאם באמת היה להם תקן PCI, מי שמימש אותו היה צריך להקשיח את המערכת.

נחזור אחורה בזמן לאותם רגעים שהפורץ הסעודי נכנס במערכת, וכאן הפואנטה העיקרית: אם המערכת היתה באמת מוקשחת ומוגנת, הפורץ היה מקסימום יכול לשבש/למחוק את אותם אתרים שמתארחים על אותו חשבון שדרכו הוא פורץ. לא צריך להיות גאון, מספיק שהאפליקציה המותקנת על אותו חשבון רעוע אינה מעודכנת, וניתן בדקות ספורות להיכנס ולעשות מה שרוצים אבל רק באותו חשבון, כלומר לא ניתן לשבש חשבונות אחרים, ולא ניתן לדעת מה קורה בחשבונות אחרים. אם כמובן החשבונות האחרים מותקנים עם אותה גירסת אפליקציה, אז אותו פורץ יכול גם לדפוק את החשבונות, אבל עדיין לא יהיו לו ההרשאות לראות את כל הקבצים ובסיסי הנתונים של כל המשתמשים.

נחזור לטענה של בוני האתרים: מהאתר שאינו שלהם ושהם אירחו – אותו פורץ סעודי נכנס לאתר שלהם וגנב משם את הפרטים.

כלומר כדי להיכנס לקבצים של חשבון אחר (בכל זאת, הפורץ צריך לדעת מה שם ה-DB, סיסמא וכו'), צריך לעשות אסקלציה של הרשאות.

ואיך עושים אסקלציה? משתמשים בפירצות ידועות במערכת ההפעלה, פרצות שנסגרו אבל עדיין לא עודכנו בשרת הנוכחי, כלומר כל מה שהפורץ היה צריך לעשות זה להריץ סקריפט או אפליקציה מול אותו שרת, ולראות איזה חור יהיה עדיין פתוח. כנראה שהוא מצא, משם המרחק לקבל הרשאות יותר גבוהות (ואפילו root) מאוד קצר. אחרי שהוא הצליח, הוא כנראה עשה משהו כמו mysqldump לקובץ, שם את הקובץ במקום זמין לו ושאב אותו ב-Download רגיל.

במילים אחרות: אם השרת היה באמת מוקשח עם עדכונים אחרונים, כל זה לא היה קורה.

חבל שהמדיה רצה לקנות את הסיפור שסיפרו לה במקום להתייעץ עם מישהו שבאמת מבין באבטחה..

האם ניתן לעשות משהו כדי למנוע? כן, לא מעט:

  • עדכונים, כל הזמן לעדכן את השרתים, גם גרסאות ישנות של לינוקס עדיין מוציאים להם עדכונים
  • אם יש לכם קוד שמטפל בכרטיסי אשראי, מומלץ להצפין את הקוד ולשמור קוד מקור במחשב אחר לחלוטין. ניתן להצפין קוד PHP עם ION Cube כך שגם אם מישהו פורץ, הוא לא יוכל להסתכל בקוד
  • להצפין את ה-DB. אפשר להשתמש בדרכים כמו שמופיעים כאן לדוגמא
  • שילוב של 2 הסעיפים: ההצפנה מבוצעת בקוד והתוצר המוצפן מוכנס ל-DB כאשר הקוד עצמו מוגן עם ION Cube

ויש עוד דרכים ושיטות אחרות שמומחי אבטחה יכולים להמליץ עליהן.

לסיכום: אני לא מאמין לאותו תירוץ שאותם בוני אתרים סיפרו לעיתונות ואני חושב שהסברתי בפוסט זה מדוע זה לא יתכן. אם מישהו "בונה" על תקן PCI שזה יתן לו אבטחה מקסימלית, הוא מוזמן להתעורר מהאשליה הזו. שום פתרון אבטחה אינו מועיל אם שוכחים לעדכן את השרתים בעדכוני אבטחה.

כמה מילים על גניבת מספרי אשראי

פורסם בתאריך על ידי

כל מי שלא בילה את הלילה האחרון מתחת לאיזה סלע בוודאי כבר שמע על הפריצה של פורצים סעודים (ריבונו של עולם – "האקרים" אלו אנשים שמשנים את הקוד "קראקרים" – אלו הם האנשים שפורצים, כרגיל בעיתונות טעו) שפרצו לאתר מסויים ומשם פרצו לאתר אחר וגנבו משם פרטים של 400,000 כרטיסי אשראי. רוב פרטי האשראי היו כבר פגי תוקף, אבל עדיין נשארו כמה אלפי כרטיסים תקינים.

כרגיל, כשפורצת שערוריה, כולם מאשימים אחד את השני: חברות האשראי מאשימות את חברות האחסון, חברות האחסון מאשימות את הלקוחות שלקחו אצלם אחסון, הלקוחות מאשימים את חברות האחסון ואני משער שישנם עוד כמה גורמים בדרך.

אז תרשו לי כאדם פרטי שאבטחת מידע סופר חשובה לו על כך להצביע בבירור על האשמים: למעט הלקוחות הפרטיים (הגולשים) כולם אשמים בצורה זו או אחרת. ברשותכם, אפרט:

חברות כרטיסי האשראי

עד לפני מספר חודשים, יכלת לאחסן את האתר המסחרי שלך באחסון משותף, יחד עם הלקוחות הצעירים שמריצים שרתי משחקים, Warez ועוד שרתים שממש מהווים מטרה לפריצה, ומבחינת חברת האשראי כל מה שהיית אמור לעשות זה לרכוש תעודת SSL בכמה עשרות דולרים (או פחות), הפקידה בחברת האשראי היתה נכנסת לאתר שלך כדי לבצע קניית דמה, מוודאת שיש איזה מנעול כלשהו בדפדפן והיית צריך להבטיח שאתה תהיה "ילד טוב" ושתצפין את נתוני האשראי שלך – וזהו, קיבלת מספר סולק.

שוחחתי בעבר עם אחד מאנשי האבטחה של חברות האשראי והדגמתי לו כמה הדבר מגוחך לחלוטין: הרמתי אתר דמה של מוצרים למבוגרים, וקישרתי את המוצרים קישור עקיף לחנות פורנו שהסליקה שלה היתה מה שסטנדרטי באתרי פורנו: CCBill, כך שמבחינתה כשהיא היתה לוחצת על מוצר ועושה Checkout, היא היתה מגיעה לסליקה של CCBill שעליו כמובן יש מפתח SSL. העלתי את איש האבטחה על הקו, עשינו שיחת ועידה, ביקשתי שישתוק ויראה אם אני מקבל אישור או לא.

לקח בערך דקה אחת לקבל אישור. אפילו לא קניתי תעודת SSL ומבחוינת אותה חברת אשראי אני יכול לסלוק כרטיסים בלי שום בעיה ואף אחד לא בודק לי את הקוד, את ה-DB ושום דבר אחר. מבחינתן, כל עוד אני משלם דמי חבר ומשתמש בשרותיהן, אין שום בעיה, ואף אחד לא יבדוק אם אני מאחסן את פרטי כרטיס האשראי כקובץ טקסט, CSV פשוט או כל פורמט שילד בן 6 יכול לקרוא.

רק לאחרונה החלו חברות האשראי להתעקש על תקן PCI, אבל אם אתם חושבים שזה יעזור, טעות בידכם ותיכף ארחיב על כך.

חברות הסליקה

אין לי מושג אם טרנזילה מוגנת באמת או לא (אני מאמין שכן), אבל בעבר הוכחתי פה שחור על גבי אתר איך חברה שטוענת שהמידע של הלקוחות מוצפן (ושיש לה תקן PCI) משקרת במצח נחושה ללקוחותיה וללקוחות פוטנציאלים, ואני די בטוח שהם לא היחידים, ומכיוון שאותה חברה (ומספר חברות אחרות) מציעות אפליקציות שמבוססות על מיקרוסופט Access, הפורץ לא יצטרך לעבוד קשה מדי כדי לפרוץ קבצי MDB כי בברירת המחדל הם אינם מוצפנים.

חברות אחסון האתרים

אין לי רצון להאשים חברת אחסון מסויימת, אבל אני חזרתי בבלוג העסקי של העסק שלי שוב ושוב על אותה נקודה: אתה רוצה אבטחה ברמה רצינית? אחסון משותף אינו פתרון ואני אומר את זה כאחד שמגדיר את השרתים האלו. מבחינה טכנית, בסופו של דבר מה שמבדל לקוח אחד מלקוח שני זה בסך הכל UID ו-GID באחסון המשותף וזהו. האבטחה באחסון משותף (ולא חשוב מי הספק) אינה יכולה להיות מקסימלית (כמו בשרת VPS או שרת יעודי) בגלל כל מיני גורמים שצריך להתחשב בהם כדי לתת ללקוח אחסון משותף. לצערי חברות רבות המוכרות שרותי אחסון משותף (כולל בוני אתרים רבים שמוכרים את זה כ"ריסלר" בחבילות שלהם) מבטיחות דברים שאי אפשר לקיים ומי שמבטיח "אבטחה מקסימלית" על אחסון משותף – רק מטעה את לקוחותיה.

בוני אתרים

במדינת ישראל ישנם הרבה מאוד שמציעים שרותי בניית אתרים (או "בניית אתרים" כשמדובר על התקנת ג'ומלה/וורדפרס/דרופל, עיצוב, 4-5 שינויים ב-CSS וזהו – הוא "בונה אתרים"), אך לרבים מהם אין מידע כלל או מידע מספק על אבטחת האתר שלהם, כי מי מבוני האתרים מספיק אמיץ לאמר ללקוח "תשמע, אני לא הכי מומחה באבטחת מידע ולכן צריך לשכור מישהו שיעבור על הקוד ובסיס הנתונים ולאבטח את הכל"? אף אחד, אז בעל האתר חושב שהוא מאובטח בשעה שהוא פשוט לא..

אני רוצה לאמר משהו נוסף על חברות האשראי בארץ.

חברות האשראי נסמכות עכשיו על ה-דבר: תקן PCI לאבטחת מידע של כרטיסי אשראי. יש לי חדשות בשבילכם: זה לא יעזור. תמיד יהיה המתכנת הפוץ שלא מבין בסולאריס או לינוקס והשאיר את הסקריפט שמחייב את הלקוחות בחיוב החודשי עם הרשאות 666 ושהסיסמא ל-DB בתוך הסקריפט (תאמינו לי, ראיתי את זה ולא פעם אחת!) אז פורץ שימצא את הסקריפט הזה ולא חשוב כמה הצפנות קשיחות יהיו לבסיס הנתונים – יוכל בקלות לשאוב את הנתונים, לארוז אותם בקובץ zip ולהעביר אותם לעצמו. לא מאמינים? תנחשו איך גנבו לחברת Stratfor את המידע (וכן, הם עברו תקן PCI) עם מספרי כרטיסי אשראי בערב חג המולד…

לצערי הרב, חברות האשראי בארץ עדיין עובדות כאילו הן נמצאות בשנות ה-90, וכשמסתכלים על Paypal בחו"ל לשם השוואה, זה נראה כאילו מדובר במסע בזמן. ישראכרט לדוגמא, ישמחו לתת ללקוחותיהם Isracard Web, כרטיס וירטואלי עם 16 ספרות, אבל הם לא מצמידים את מספר הכרטיס לחשבון, אלא דורשים שהלקוח יפקיד סכום מסויים והסכום הזה "נתקע" באותו כרטיס וירטואלי. אם שמת 600 שקל והשתמשת ב-300, אז 300 תקועים בכרטיס מבלי שתוכל לעשות שימוש אחר זולת שימוש באותו כרטיס וירטואלי. מה אם בקניה הבאה תצטרך 380 במקום 300? תעבור את התהליך מחדש. פתרון מטומטם או לא?

גם כא"ל ולאומי קארד לא יוצאים חכמים בכל העסק. מדוע שאותן חברות לא יציעו לחברות מעין אחסון פרטי של דפי אתר סליקה ובכך כל המידע על הכרטיסים ישאר עדיין במקום בטוח יחסית (חברות האשראי עצמן)? הרי לא מדובר פה ב"קטילה" של הסולקים האחרים, אפשר לתמחר את זה במחיר שיהיה פחות או יותר אותו דבר, וכך הלקוח לא יצטרך לשבור את הראש בין הסולק, שב"א, חברת אשראי והלקוחות הגולשים. אני לא שמעתי את חברות האשראי עושות או אפילו מדברות על כך.

ובכלל, היכן אותם מערכות "ניהול סיכון" של חברות האשראי? איך לא נדלקו הנורות האדומות שכרטיסים ישראליים מבקשים אישורים לעסקאות שמזין מספר הכרטיס מגיע מ-IP בסעודיה או במדינות אחרות בשעה שרוב מוחלט של העסקות האלו נעשה מ-IP ישראלי?

ועוד נקודה שחשובה לכם הקוראים שחברות האשראי לא כל כך מהר יספרו לכם: אם האקר ערבי גנב את מספר כרטיס האשראי שלכם והשתמש בו לפני שחברת האשראי חסמה את הכרטיס, אתם לא תקבלו את כספכם חזרה אם לא תבדקו את החשבונות שלכם ותציינו בפני הנציגים (שאולי יענו לכם יום אחד, כרגע יש המון ניתוקים.. אחלה מערכות טלפוניה!!) עסקאות שלא ביצעתם. במילים אחרות – כנסו מהר לאתרים של חברת האשראי שלכם ובדקו עסקאות.

מה ניתן לעשות להבא? כמה דברים פשוטים:

  • חשבון Paypal (מישהו יודע אם כא"ל גמרו את משחקי העמלות כפולות מול Paypal?) – פעם אחת מזינים את מספר הכרטיס, עוברים תהליך אישור כרטיס ובפעם הבאה שאתם רוכשים, תבחרו באופציה של Paypal. את העמלה אתם לא משלמים, אלא הסוחר משלם. מספר הכרטיס שלכם לא עובר לשום סוחר, וניתן גם להתחרט ולהתלונן אם יש לכם בעיה עם עיסקה. אני חייב לציין לטובה את השרות בעברית שלהם בטלפון.
  • אם אתם צריכים לעשות עיסקאות עם אתרים קטנים או כאלו שנמצאים במזרח ואינכם יודעים את טיבם, עדיף להשתמש בכרטיס נטען (שניתן לרכוש בדואר ולהטעין אותו עד 1000 שקל, אולי ויזה כא"ל יתעוררו יום אחד ויאפשרו הטענות חוזרות). במקרים כאלו גם אם משתמשים במספר הזה, הנזק אינו רב.
  • מערכות אתרי האשראי התקדמו טיפה לכיוון שנת 2012 ומאפשרות לראות עיסקאות שנעשו ביומיים שלושה האחרונים (מדוע טיפה? בארה"ב אתה רואה את העיסקה עם הפרטים בחשבון האשראי שלך מיידית, אצלנו בארץ כנראה חברות האשראי עובדות עם קומודור 64 כנראה), ולכן מומלץ אחת לשבוע להסתכל ברשימת העסקאות ולאתר עסקאות חשודות.
  • בעלי אתרים – כן, ברוב המקרים בונה האתר שלכם מבין באבטחת מידע כמו שאני מבין בהטסת חלליות. תתחילו לחפש אנשים שמבינים היטב באבטחת קוד (SRO? אתה כאן? תשאיר פרטים שלך בטוקבק ולינק לאתר שלך) שיעברו על האתר שלכם ויחסמו דברים פתוחים, יקשיחו סיסמאות וגישות ועוד. אחרי הכל, אתם לא רוצים לראות את הפרטים הסודיים שלכם בידי המתחרים שלכם.

ולבסוף – אולי, אולי יבינו בכנסת ששום מאגר מידע אינו חסין בפני פריצה ובמיוחד לא המאגר הביומטרי שמתחיל לקום! (אדרבא, במקרה של הממשלה עם ערימות קבלני המשנה שקל לשחד אותם בבמבה ובפחית קולה) והרעיון כולו דבילי, אולי אם היו מקשיבים לעדי שמיר (ה-S ב-RSA, גוף מאוד מוכר באבטחת מדי – זה Shamir), אז יכול להיות שיש סיכוי שאפשר לעצור את השגעון הזה בראשות מאיר שטרית. למה ללכת רחוק? רק לפני חודשיים ישיבה החליטה לבדוק אם התלמידים שלה עשו עוון רציני ולמדו (השם ישמור) שיעורי נהיגה. מהיכן המידע נראה לכם?

עדכון אבטחה קריטי ל-Apache

פורסם בתאריך על ידי

לפני מס' ימים כתבתי כאן בקצרה על חור אבטחה שנתגלה באפאצ'י (כל הגרסאות עד 2.2.20). דרך פירצה זו אפשר לשלוח בקשות מיוחדות לאפאצ'י שגורמות לו לקחת יותר ויותר זכרון עד שהשרת נופל, וזאת עם כמות בקשות קטנה.

לצערי "חברינו" הטורקים החלו להשתמש בטריק הזה בימים האחרונים.

לכן, מי שמנהל שרתי Apache מומלץ כי יעשה את הדברים הבאים:

  • מי שמקמפל מקוד מקור, יכול להיכנס לאתר אפאצ'י ולהוריד את גירסה 2.2.20 הכוללת תיקון לפירצה.
  • שרתי אובונטו/דביאן – יש כבר תיקון בעדכונים. הריצו עדכון.
  • משתמשי CentOS … הממ, כאן קצת נכנסת פוליטיקה. אלו שבונים את CentOS טוענים ש"העדכון כבר ב-Repository". עבדכם הנאמן בדק והוא לא שם. בדקתי ליתר בטחון גם ב-Mirror של פייסבוק, וזה גם לא שם. מה עושים?
    • לוקחים מכונת סנטוס 64 ביט (לא על שרת פרודקשן!), מורידים את הקובץ הזה, זהו קובץ SRPM הכולל את הקוד מקור + תיקונים.
    • כ-root מריצים פקודת: rpmbuild –rebuild file (שימו לב, יש 2 מינוסים לפני ה rebuild) כאשר file הוא הקובץ שהורדתם מהקישור הנ"ל.
    • סביר להניח שנסיון הבניה ישר יזעק שחסרות לו תלויות. התקינו את התלויות עם yum (עניין של העתק והדבק) והריצו לאחר מכן את הפקודה מחדש.
    • בסוף הקימפול יהיו לכם בתוך תיקיית usr/srv/redhat/RPMS/i686/ מס' קבצי RPM. הקבצים שתצטרכו להתקין הם: httpd, mod_ssl, httpd-manual (את ה-manual אפשר להעיף אם לא התקנתם אותו מלכתחילה).
    • לאחר ההתקנה, הפעילו מחדש את שרות האפאצ'י ( service httpd restart ) ובדקו אם הכל פועל כמצופה.
    • במידה והכל פועל, אפשר להעתיק את קבצי ה-RPM לשאר השרתים.
  • משתמשי WHM/CPANEL – כנסו לתוך ה-whm, הפעילו את EasyApache וודאו כי הגירסה היא 3.6.1 לפחות. הפעילו build מחדש, הוא כבר יוריד אפאצ'י 2.2.20 ויקמפל.
  • משתמשי הפצות אחרות – שרותי העדכון שלכם אמורים לתת לכם אפאצ'י מעודכן.

הכי חשוב: לעדכן במהירות, אם יש לכם שרתים חשופים החוצה לגולשים. ההתקפות כבר החלו. העבירו בבקשה לינק לפוסט לחברים שיש להם שרותים על מנת שגם הם יזכרו לעדכן את השרתים שלהם.

פריצת אבטחה "מעניינת"

פורסם בתאריך על ידי

walla לפניכם תמונה. כפי שאתם יכולים לראות בתמונה, אתם רואים מסך עם Windows XP, וחלון מלא של אקספלורר ובתוכו רואים את אתר "וואלה" (אפשר ללחוץ על התמונה ולקבל גירסה מוגדלת של התמונה). מה בדיוק פרוץ פה? אה, הסיפור הולך כך..

הלכתי עם ידידתי הנחמדה לבנק דיסקונט לסניף שבו היא מנהלת את חשבון הבנק שלה והיא היתה צריכה מס' שרותים מהפקידים שיושבים בקידמת הסניף. לי לא היה מה לעשות. הסתובבתי קצת בלובי ואז ראיתי את המסוף של טלבנק דיסקונט. החלטתי קצת "לחטט", ולקח לי בערך 10 שניות (טוב, שורת ה-Address Bar היתה גלויה) לגלוש החוצה, לאתר של "וואלה". למי שעוד לא הבין, הצלחתי לגלוש החוצה במסוף שלא אמור לתת גלישה חופשית בלי שום בעיה מתוך המערכת הפנימית של בנק דיסקונט.

חקרתי קצת יותר לעומק את המחשב (בכל זאת, הפקידים היו עסוקים…). איזה פתרון אבטחה ה-XP מריץ? הופתעתי: Symantec Antivirus Corporate Edition, הגוויה הצפה הזו אמורה להגן על המחשב. ניחא.

אז אוקיי, אפשר לגלוש, לא ביג דיל, נכון? זהו, שזה כן. ברשותכם אעשה סוויץ' ואהיה איזה Black Hat Hacker (אני לא, אבל נניח). כל מה שאצטרך לעשות הוא פשוט לגלוש לאתר מסוים שפשוט "יסרוק" את האקספלורר לפריצות שלא נחסמו לאחרונה, ומי שלא יודע, מיקרוסופט אין לה רקורד זוהר בסגירת פריצות (שלא לדבר על פריצות שיש בפלאש) וימצא פריצה מסויימת. מהרגע שהוא מוצא, אני אתן לו להוריד קובץ Loader קטן ותמים שירוץ ושיוריד "בתשלומים" (כדי לעקוף מערכות פילטרים או פיירוולים) תוכנת Key Logger ולאחר ההורדה, ה-Loader ירכיב את החלקים ביחד, יכניס את ההפעלה ל-Registry של ה-XP (יש לא מעט דרכים לכך, תשאלו כל בחור עם תעודת MCSE) ופשוט ישב ברקע ויאזין להקלקות של הלקוחות  הבאים שבבטחון גמור יכניסו את מס' הזהות שלהם, סיסמא וגם קוד, ואחרי זה ה-Key Logger הנחמד ישלח את הפרטים החוצה אליי ותנחשו מה אני יכול לעשות עם הפרטים…

הבה נהיה יותר רשעים: אינני רוצה לגנוב כספים מלקוחות הבנק (למרות שרבים מהלקוחות חותמים על אישורים להעברת כספים דרך מערכת הטלבנק!), אני רק רוצה לעשות אנדרלמוסיה קטנה: תוכנת ה-Key Logger תוריד גם תוכנה אחרת, שתדע לפתוח חלון אקספלורר ב-Minimize (מה הלקוחות מבינים בחלונות minimized?) או חלון נסתר של אקספלורר, תזין את הפרטים שהיא לקחה מלקוח תמים מלפני שעה, ופשוט תעביר כספים (אחרי הכל, זה רק עניין של parsing, שליחת POST, אין שום captcha להגן) אל הלקוח שנכנס לפני 20 דקות. (אפשר להעביר עד 10000 ש"ח). הלקוח של לפני 40 דקות אם ירגיש בכך ויתלונן, כספו יוחזר רק אחרי המון ויכוחים, כי אין כאן פריצה קלאסית: הלקוח היה במסוף, ומבחינת המערכת הוא העביר מאותו מסוף ללקוח לפני 20 דקות את הכסף. תארו לכם את אותו טריק חוזר כמה עשרות פעמים במשך חודש, כפול מספר סניפים שאני "מתקין" את 2 התוכנות בביקור תמים באותם סניפים, ולבנק יש סיוט לא קטן.

את הסיוט הזה אפשר לגמור עוד היום, אם הבנק יעשה את הצעדים הבאים:

  • יעיף החוצה גלישה. המסוף אמור לתת את אתר הבנק? אז את אתר הבנק בלבד
  • ירד מאקספלורר: לאינטרנט אקספלורר לא חסרים פריצות גם כיום שמיקרוסופט עדיין לא טיפלה בהם.
  • אם הבנק רוצה לתת גלישה מוגבלת מאוד לאתרים חיצוניים, כדאי שהבנק ירד מ-XP ואקספלורר ויחפש פתרונות אחרים יותר מאובטחים ויותר נעולים (לא חסרות שיטות להריץ פקודות ב-XP גם אם מבטלים את כפתור ה"התחל"). לינוקס עם מנהל גרפי מינימלי (לא GNOME או KDE) ו-FireFox במצב Kiosk נעול לגמרי יציג את הדברים בצורה מצוינת.

ולבסוף, אשאיר אתכם עם תמיהה: אני בטוח שאני לא היחיד שגיליתי את עניין הגלישה החוצה ממסופי טלבנק. לי אין כמובן שום כוונה לנצל את אותו "גילוי" לרווח/רמייה של הבנק, אך אולי מישהו אחר ברחבי הארץ גילה זאת והתקין דברים מזיקים באותם מסופים?

אני נדהם שבנק גדול כמו בנק דיסקונט שכסף לא חסר לו, נכשל ברמת אבטחת מידע בצורה כזו מביכה.

מוגש כחומר למחשבה.

עדכון: שלחתי הודעה "דחופה" למחלקת אבטחת מידע של הבנק לפני שהתחלתי לכתוב את הטקסט (בסביבות 7 וחצי בערב) עם פרטיי המלאים וביקשתי שיחזרו בדחיפות. עד לרגע זה (20:54) איש לא חזר.

כמה מילים לגבי אבטחה, כרטיסי אשראי נטענים

פורסם בתאריך על ידי

image

בשנתיים האחרונות חברות האשראי הישראליות הצטרפו לטרנד העולמי בהנפקת כרטיסי אשראי נטענים. כ.א.ל עם VISA נטען וישראכט עם “ישראכרט Web”. שני הכרטיסים מאפשרים הטענה חד פעמית בסכום עד 1000 ש”ח. הכרטיס אנונימי וניתן להשתמש בו בארץ ובחו”ל, למעט במקומות מסויימים כמו וידאומטים, הוראות קבע ועוד.

כיום כמעט לכל אחד יש כרטיס אשראי כלשהו, אז מדוע צריך כרטיס נטען (למעט אלו שאין להם כרטיסים מכל מיני סיבות)? התשובה לכך די פשוטה: אבטחה. באתרים רבים אין הודעה מובלטת מה דינו של מס’ כרטיס האשראי שלך לאחר שחוייבת וישנם אתרים רבים שמשאירים אצלם את פרטיך בצורה מאובטחת (עד שפורצים אליהם). עם כרטיס נטען, הנזק עצמו אינו כזה גדול ויכול להיגמר במקסימום של כמה מאות שקלים, בניגוד לכרטיס אשראי רגיל שעד שבעל הכרטיס לא שם לב, גונב המספר (נניח פריצה באתר כלשהו) יכול “לחגוג” ואותה חגיגה יכולה להיגמר באלפי שקלים, ואם בעל הכרטיס לא נכנס לאתר הבנק שלו או אתר כרטיס האשראי שלו ואינו שם לב אלא בתשלום החודשי, הסיפור של החזרת הכספים מחברת האשראי יכול להיות סיפור מההפטרה. נקודה נוספת לזכות כרטיסים נטענים היא האנונימיות. איש אינו יכול (לפחות בכרטיס של כ.א.ל) לדעת אם רכשת, מה רכשת, איך איפה ומתי. הכרטיס אנונימי לחלוטין וברגע שנגמר הכסף, זורקים את הכרטיס לפח. בישראכרט לקחו את זה צעד קדימה ושם אין שום כרטיס פיזי אלא דף אינטרנט שהדפדפן מציג עם מספר שיוצר ע”י המחשב עם הסכום שהלקוח ביקש, והלקוח צריך להדפיס את הדף ולשמור, כי אין לאף אחד (לטענת אנשי ישראכרט) אפשרות לדעת שאתה רכשת כרטיס WEB.

מי מהכרטיסים יותר נוח? כאן כ.א.ל מנצחים, מכיוון שאתה מקבל כרטיס פלסטי ליד (במחיר של 27 ש”ח מעבר לסכום שאתה רוצה להטעין) בעוד שבישראכרט כמו שציינתי, המספר מוצג על המחשב בלבד. מי שאינו בעל כרטיס ישראכרט לא יכול לרכוש כרטיס WEB למרות שהכרטיס בכלל אנונימי. העלות של כרטיס WEB היא 7.25 ש”ח.

קניתם כרטיס ואתם רוצים לדעת מה מצב הכרטיס מבחינת המזומנים עליו? ב-כ.א.ל נותנים לך כתובת אינטרנט שבה אתה מזין את מספר הכרטיס, Captcha ומיד תראה. בישראכרט? תחייג אליהם, תבקש נציג, תסביר לו שזה כרטיס WEB, תחכה על הקו שהוא ישאל מישהו אחר מה אתה רוצה ממנו (היה לי הסיפור הזה היום בהצהרים, תודה ישראכרט!), תתן לו את מספר הכרטיס שלך ורק אז תשמע מה יתרת הכרטיס.

החלטתם שאתם רוצים לפרוע את היתרה שבכרטיס? ב-כ.א.ל יבקשו ממכם לסור לסניף הדואר הקרוב למקום מגוריכם, שם תיפרדו יפה מ-15 ש”ח ותקבלו במזומן את העודף מהכרטיס. בישראכרט המצב יותר מסובך. יש לך פקס? אם לא, שב וכתוב מכתב לישראכרט בו הינך מפרט את מספר הכרטיס הנטען שלך ואז הם יזכו את הכרטיס הרגיל שלך. שם עוד לא שמעו על האינטרנט. כסף מזומן לא תראו מישראכרט.

לסיכום: אם אתם רוכשים מוצרים באינטרנט, בין אם זה אתר בארץ או בחו”ל, מומלץ לרכוש כרטיס טעינה חד פעמית. אתרים רבים משתמשים במסלקות ו/או אתרים צד שלישי (לדוגמא: PayPal) כדי לסלוק כרטיסי אשראי. לא כל החברות נוקטות את כל הצעדים הדרושים בכדי לעמוד בסטנדרטים לסליקת כרטיסים (מה שנקרא בעגה המקצועית: PCI Compliance), וחבל שמספרכם יזלוג לידיים לא רצויות ויהיה קשה מאוד לקבל את כספכם חזרה. כרטיס נטען מקטין נזקים במקרה של גניבה, מעניק אנונימיות, ומונע הפתעות כשמגיע הדו”ח החודשי. ההשקעה הכרוכה ברכישת וטעינת כרטיס כזה היא די קטנה ולעניות דעתי – שווה את זה.

התראת אבטחה למנהלי פורומים מבוססים PHPBB 3.0.X

פורסם בתאריך על ידי

אלו שמנהלים פורומים המבוססים PHPBB 3 (עד, כולל, גירסה 3.0.4) אולי שמו לב בזמן האחרון למשהו מעניין: נרשמים בכל יום מס’ אנשים בשמות משתמשים באנגלית, עם כתובת אימייל רוסית. הם עדיין לא כותבים הודעות אלא רק נרשמים.

אלו אינם אנשים רגילים אלא סקריפט שרץ מרחוק ויודע “לקרוא” את  ה-CAPTCHA מייצר את המשתמשים האלו, כך שבעתיד הסיכוי גבוה שאותם “משתמשים” יתחילו להפציץ לכם את הפורום בזבל.

בשלב זה אין פתרון מצד מפתחי PHPBB. יהיה פתרון בגירסה 3.0.5 אך היא עדיין לא קיימת.

מה אפשר לעשות? עבודה ידנית שהיא די פשוטה:

  • היכנסו לתפריט הניהול הראשי ובחרו את שם המשתמש שאינכם בטוחים אם המשתמש אמיתי או פרי יצירת סקריפט. העתיקו את כתובת ה-IP שלו
  • כנסו לאתר הזה והדביקו את כתובת ה-IP
  • אם הכתובת מופיעה בבסיס הנתונים שם, תוכלו לראות ממתי יש חסימה, את שמות המשתמש שנוצרו ע”י הסקריפט שרץ במכונה עם הכתובת הנ”ל (הנה דוגמא).
  • מחקו את המשתמש והודעותיו.
  • כנסו במסך הניהול הראשי ל”משתמשים וקבוצות” ובחרו בתפריט מימין “חסימת כתובות IP”. הזינו את הכתובת ורישמו הערה (תרגישו חופשי גם לקלל בהערה 🙂 )
  • זהו. לעת עתה הסקריפט שיורץ שוב מאותה מכונה לא יוכל ליצור משתמשים אוטומטית.

לאלו המעוניינים ממש להקפיד, אפשר להפעיל את האופציה שמייל ישלח עם לינק אקטיבציה ורק לאחר מכן שהמשתמש יאושר, אולם לצערי הסקריפט המפצח את ה-CAPTCHA עוקף גם את זה, ולכן כדאי לחסום כתובות עד שתופיע גירסה המתקנת את הפריצה הזו.

“חור” אבטחה רציני באקספלורר

פורסם בתאריך על ידי

מיקרוסופט הודיעו כי הם חוקרים התקפות המבוצעות על חור אבטחה חדש (שעדיין אין לו טלאי). גירסאות האקספלורר שיכולות להיות מותקפים: 5, 5.5, 6, 7 והאחרון: גירסה 8 בטא 2, על כל מערכות ההפעלה של מיקרוסופט החל מ-XP ומעלה (כולל ויסטה, וכולל גרסאות שרתים).

חור האבטחה מאפשר להריץ קוד מרחוק, להתקין דברים מרחוק. את המידע היותר טכני ניתן לקרוא בלינק הנ”ל.

בשלב זה מיקרוסופט מציעה שורה של צעדים כ-Workaround (יש שם חתיכת רשימה!) כדי למנוע אפשרות להיות מותקף.

הואיל ולמיקרוסופט אין שום פתרון בצורת טלאי כרגע, לעניות דעתי מומלץ לחברות לחשוב מחדש לגבי שימוש באלטרנטיבות כמו השועל, או גוגל כרום.

אין ספק שביום א’ מנהלי רשתות מיקרוסופט העוקבים אחר חורי אבטחה יהיה להם כאב ראש לא קטן.