מסננת וירטואלית - ב'

משה למפרט, ט"ז בטבת תשס"ו,

לבן ריק
לבן ריק
צילום: ערוץ 7

מספר אנשים העירו לי כי החלק הקודם היה עמוס מדי בפרטים טכניים. זה אמנם נכון, אולם, רציתי להעביר למי שקצת יותר מבין באיזו פשטות ניתן לנצל את החורים הללו ואת סכנתם.
אני מקווה שהפעם אוכל להעביר את הנושא בצורה טכנית הרבה פחות.

אתם כותבים באתר דתי ידוע. יש לכם שם משתמש וסיסמא איכותית (8
עד היום לא טרחו אנשי "כיפה" לסלק את הסיסמא מקוד המקור של דף עדכון פרטים, חרף תחינותיי בנושא
אותיות ומעלה, שילוב של מספרים וסימני פיסוק). יש לכם מסרים רגישים שקיבלתם מחברים/ות או פרטים אחרים שמיועדים להיות אישיים ולא להיחשף לגורם זר.

מישהו יכול להציץ למסרים שלכם, לכתוב בשמכם הודעות ומסרים, ואף לשנות/לגנוב את הסיסמא וזה אפילו קל מאוד.

רק לפני כן - עוד הסבר טכני קטן:
עוגיות (
Cookies) - קבצי טקסט קטנים שנשמרים על ידי אתרים במחשב שלכם, על מנת לזכור אותכם אחר כך.

בשעה שבה חשפתי את חור האבטחה הקודם (והפשוט יחסית לניצול), לא העלתי בדעתי את קיומו של הבא. חור האבטחה הזה התגלה כמסוכן בהרבה.
כאשר גולש מקיש שם וסיסמא באתר אינטרנט, האתר שומר בו עוגיה ובה הנתונים שאותם מעוניין האתר לזכור. בדרך כלל מדובר במספר הפנימי של המשתמש (זוכרים?) ובעוד קוד סודי השייך רק לו.

בשלהי שנת תשס"ד, חשפתי את העובדה שבאתר כיפה, פשוט שומרים בעוגיה המספר של הגולש, ללא שום מספר נוסף. חיפשתי קצת בפורומים ומצאתי שמספר המשתמש של הנהלת הפורומים שם הוא 1.
כאן כבר הייתי צריך לדעת יותר, ולבסוף הצלחתי. לאחר כמה דקות יכולתי להתחזות לכל גולש שרק רציתי במערכת, אילו ראיתי את המספר שלו (שכבר כתבתי בפעם הקודמת שהוא גלוי וידוע). הצלחתי לכתוב הודעות בשם גולשים אחרים, למחוק (בעזרת המספר של ההנהלה - 1), לגשת לדף המסרים האישיים (שבהם לא נגעתי, אבל רק מסיבות מוסריות) ועקב תכנון גרוע במיוחד - גם לראות ולשנות את הסיסמא.

לאחר חודש וחצי, נסתמה הפירצה הספציפית לבסוף על ידי הנהלת הקהילות. עד היום לא טרחו אנשי "כיפה" לסלק את הסיסמא מקוד המקור של דף עדכון פרטים, חרף תחינותיי בנושא בזמנו ובשבוע שעבר בעת הכנת הכתבה (למי שמבין באבטחה ובפריצות: כיפה מחורר כמו מסננת. רוב הפרצות הן XSS).

אגב, אם במקרה קורא פה אחד מהאנשים שקשורים לאתר "רוטר.נט", מצאתי שם לפני הרבה שנים חור אבטחה ולא היה לי אז הידע המספיק בכדי לחקור אותו. אני מעריך שהוא עדיין קיים ולכן אני נמנע מלפרסם פרטים.

על שבר "בת עמי".
בשנה שעברה נתבקשתי על ידי מכרה להסתכל ולראות מדוע היא לא יכולה להירשם לסיירת באתר עמותת "בת עמי". לקחתי את פרטיה ונכנסתי לאתר. לפתע צדה עיני את הכתובת שבסופה היה מספר פנימי רציף.
מספר רציף, כשמו כן הוא, רציף. ניסיתי לשחק עם המספר ולתדהמתי נחשפו לפניי פרטיהן המלאים של הבנות שנרשמו לאתר העמותה. שם, ת.ז., כתובת מלאה, טלפון בבית, פלאפון וכמובן הוספה והסרה של סיירות.

יאמר לזכות העמותה ואנשיה, שעוד באותו יום הם תיקנו את הפירצה והפסיקו את הפגיעה החמורה בפרטיות הבנות שנרשמו לאתר. צל"ש

אז מה אפשר לעשות?
מצאתם חור אבטחה? נודע לכם שמישהו חשף כזה? צרו מיד קשר עם הנהלת האתר שבו נמצא החור ודרשו מהם לתקן אותו. חומר טכני על אבטחת אתרי אינטרנט יש בכמויות עצומות בגוגל (למי שקצת יותר מבין וקורא אנגלית - שיחפש בגוגל
XSS, SQL Injection ועוד...).

הם עדיין לא מוכנים לתקן? פנו אליי ואשתדל לטפל בבעיה. איום בחשיפת הפירצה לעין כל בדרך כלל עוזר.
לא ייתכן שפרטיותכם ופרטיכם האישיים יפגעו עקב תכנות רשלני.

__________________
בשבוע הבא - חוזרים למתכונת רגילה ונקייה ממושגים טכניים. בתקווה שעד אז הרשת הדתית תהיה מעט בטוחה יותר.

ומזל טוב ע-נ-ק-י למרב הראל מהבלוג הסמוך וחגי רטיג לרגל אירוסיהם. יה"ר שתראו אור בדרככם המשותפת.