לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה חץ ימינה  

לך אחורה   לובי הפורומים > מחשבים > תוכנה ומשחקי מחשב
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
 
כלי אשכול חפש באשכול זה



  #1  
ישן 04-11-2010, 10:24
צלמית המשתמש של זיו
  זיו מנהל זיו אינו מחובר  
L'enfer, c'est les autres
 
חבר מתאריך: 21.11.01
הודעות: 29,242
מידע על אבטחה ברשתות אלחוטיות, ושימוש בתוסף Firesheep לפיירפוקס - מאמר


Law, Firesheep & Order

מאת רנדי אברמס, דיירקטור לחינוך טכנולוגי, חברת ESET

לאחרונה שוחרר תוסף לפיירפוקס שנקרא Firesheep. התוסף מאפשר פריצה לחשבונות
כגון אי מיילים, פייסבוק וכו' כל כך בקלות כך שלא צריך להיות האקר מיומן כדי לעשות את
זה. כך זה עובד: המשתמש מתקין את התוסף Firesheep על המחשב שלו ויוצא ל"צייד"
במקומות בהם ישנה רשת אלחוטית לא מאובטחת כגון בתי קפה, שדות תעופה וכו'.
ה Firesheep "מרחרח" באותה רשת לא מאובטחת, וכשהוא מוצא קבצי cookies (קבצים
אשר שומרים נתונים מסוימים בזמן הגלישה) לאתר ספציפי כגון פייסבוק, טויטר או אמזון,
הוא מעתיק אותם ומאפשר למשתמש בו את הגישה לחשבון הלגיטימי של גולש אחר.
לדוגמא, אתה גולש ברשת אלחוטית חינמית (שלא מצריכה שם משתמש וסיסמא) בבית
קפה ואתה נכנס לחשבון הפייסבוק שלך. אני יושב בשולחן שלידך באותו בית קפה ומריץ
את ה Firesheep. עכשיו יש לי גישה לחשבון שלך, אני יכול לשלוח הודעות בשמך, ולראות
את כל מה שאתה רואה כולל רשימת החברים וכו'. אם אתה משתמש בטויטר, אני יכול
"לצייץ" בשמך. רוב האתרים שמצריכים שם משתמש וסיסמא יכולים להיפרץ על ידי שימוש
ב Firesheep.

זמן קצר אחרי שהתוסף Firesheep שוחרר, אדם אחר כתב תוכנה אחרת וקרא לה Idiocy
(אידיוטיות). בעיקרון Idiocy עושה בדיוק את אותו הדבר רק שהיא מוגבלת לחשבונות טויטר
בלבד. אחרי שהתוכנה זיהתה את קבצי ה cookies של הגולש היא שולחת הודעה שאומרת
"גלשתי בטויטר בצורה לא מאובטחת ברשת ציבורית, וכל מה שקיבלתי הוא 'ציוץ' עלוב".
הרעיון שעומד מאחורי Firesheep ו- Idiocy הוא העלאת המודעות לבעיות המהותיות של
אבטחה ופרטיות. אתרים כמו פייסבוק, טויטר, יאהו, אמזון וכל אתר אחר שדורש סיסמא
צריך להשתמש בפרוטוקול https כל הזמן, לא רק במסך הכניסה.

ישנה גם השאלה החוקית והאתית בשימוש בתוכנות כאלו. החוק משתנה ממדינה למדינה
ואפילו יכול להשתנות בין מדינות בתוך ארה"ב. אני מנחש (לא מבטיח) שלא בלתי חוקי
להשתמש ב Firesheep כדי להעתיק קבצי cookies. אך ברגע שעשיתם דאבל-קליק על
תמונת המשתמש כדי להיכנס לחשבון שלו, קרוב לודאי שעברתם על החוק. כרגע המומחים
בנושא החוק ואבטחת המידע עדיין חלוקים בדעתם לגבי חוקיות השימוש בתוסף. באופן
אישי אני לא יתקין את התוכנה Idiocy כיוון שבאופן אוטומטי היא תבצע חדירה בלתי חוקית
לחשבון אחר.

לפני שאתה מתקין ו/או משתמש ב Firesheep בדוק את החוקים המקומיים שמתייחסים לכך.
יש סיכוי גבוה שבעצם התקנת התוכנה אתה עובר על החוק. באופן אישי אני חושב שזה
לא יהיה אתי לעשות את זה, אפילו מתוך הכוונה הטובה ביותר של להזהיר את חבריך מפני
הסכנות שבגלישה לא בטוחה.

ובלי קשר, Firesheep הפכה את השימוש ברשתות ציבוריות למסוכנות יותר מבעבר.

על הדרכים להתגוננות מפני התוסף החדש ניתן לקרוא במאמר הבא (זיו)
_____________________________________
..


נערך לאחרונה ע"י זיו בתאריך 04-11-2010 בשעה 10:35.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #6  
ישן 04-11-2010, 11:09
צלמית המשתמש של boris2k4
  boris2k4 boris2k4 אינו מחובר  
 
חבר מתאריך: 15.07.04
הודעות: 3,236
בתגובה להודעה מספר 5 שנכתבה על ידי זיו שמתחילה ב "אתה יודע שזה לא כך. מי שלא..."

תראה, זה נכון שהבעיה היא לא בפרוטוקול ה WiFi, כי הוא אמור לעבוד ככה.
ומה לעשות, אם אתה מחובר לנתב אחלוטי שלא ב WPA אתה שולח מידע (כולל את שם המשתמש והסיסמא שלך לכל אתר שאליו אתה מתחבר) באופן גלוי לכל מי שבסביבה.
יש מספר פתרונות, אחד הוא להשתמש בגרסא המוצפנה של האתר, כלומר SSL, אם הוא מספק לך את האפשרות.
הפתרון השני הוא להצפין את החיבור לנתב ב WPA. אתה אומר שמי שהיה יודע שזה חשוב היה עושה את זה כבר עכשיו? זה נכון.
אבל לדוגמא במסעדות ומקומות ציבוריים שבהם ה WiFi מסופק כשירות, ופתוח בכוונת תחילה הפתרון של WPA יכול לעבוד, שכן כל מה שצריך זה להגדיר סיסמא ולהדביק דף עם הסיסמא על הקיר של המקום.
ככה Firesheep לא יעבוד שם, וכולם יוכלו לגלוש.


ובקשר ל:"באדיבות תוכנה מתוצרת הקוד הפתוח שעסוקה בלהגן על העולם מפני פורצים כמובן."
אתה אומר שעדיף שאף אחד לא היה יודע שWEP הוא פרוטוקול שניתן לפרוץ תוך דקה, ורק כמות מאוד מצומצמת של אנשים שעלו על כך לבד פשוט יסתובבו בעולם עם הכלים לפרוץ אותו?
זה מגוחך, זו היא ההגדרה המדוייקת של לטמון את הראש בחול.
_____________________________________
יש 99% שכל מה שרשמתי הוא טעות.

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #7  
ישן 04-11-2010, 11:27
צלמית המשתמש של זיו
  זיו מנהל זיו אינו מחובר  
L'enfer, c'est les autres
 
חבר מתאריך: 21.11.01
הודעות: 29,242
בתגובה להודעה מספר 6 שנכתבה על ידי boris2k4 שמתחילה ב "תראה, זה נכון שהבעיה היא לא..."

אוקיי, אתה מציג מצג של עולם מתוקן, שבו כולם עושים מה שצריך, ואף אחד לא גולש דרך שכניו. אוטופיה. זה לא קרה, לא קורה, ולא יקרה. מה שכן יקרה, זה שחבורה (ועכשיו גם לא מצומצמת) תעסוק בגניבת זהויות לא להם. וזה יהיה להם קל מתמיד. הרי גם כדי לפרוץ הגנת WEP כיום זה לא דבר פשוט; צריך להוריד תוכנה מסויימת שפועלת על לינוקס, לקמפל, ולהריץ אותה על כרטיסי רשת מאוד מסויימים. מה ששוב משאיר אותנו עם חבורה מצומצמת של אנשים שאשכרה עושים את זה.
אני לא אומר לטמון את הראש בחול, אבל הצדקנות הזו לא נראית אמיתית... מה שקורה בפועל זה שלחבורה של ילדים יהיה קל יותר לפרוץ ולעצבן.
_____________________________________
..

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך

קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 15:33

הדף נוצר ב 0.04 שניות עם 12 שאילתות

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2024 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר