04-11-2010, 10:24
|
|
L'enfer, c'est les autres
|
|
חבר מתאריך: 21.11.01
הודעות: 29,242
|
|
על אבטחה ברשתות אלחוטיות, ושימוש בתוסף Firesheep לפיירפוקס - מאמר
Law, Firesheep & Order
מאת רנדי אברמס, דיירקטור לחינוך טכנולוגי, חברת ESET
לאחרונה שוחרר תוסף לפיירפוקס שנקרא Firesheep. התוסף מאפשר פריצה לחשבונות
כגון אי מיילים, פייסבוק וכו' כל כך בקלות כך שלא צריך להיות האקר מיומן כדי לעשות את
זה. כך זה עובד: המשתמש מתקין את התוסף Firesheep על המחשב שלו ויוצא ל"צייד"
במקומות בהם ישנה רשת אלחוטית לא מאובטחת כגון בתי קפה, שדות תעופה וכו'.
ה Firesheep "מרחרח" באותה רשת לא מאובטחת, וכשהוא מוצא קבצי cookies (קבצים
אשר שומרים נתונים מסוימים בזמן הגלישה) לאתר ספציפי כגון פייסבוק, טויטר או אמזון,
הוא מעתיק אותם ומאפשר למשתמש בו את הגישה לחשבון הלגיטימי של גולש אחר.
לדוגמא, אתה גולש ברשת אלחוטית חינמית (שלא מצריכה שם משתמש וסיסמא) בבית
קפה ואתה נכנס לחשבון הפייסבוק שלך. אני יושב בשולחן שלידך באותו בית קפה ומריץ
את ה Firesheep. עכשיו יש לי גישה לחשבון שלך, אני יכול לשלוח הודעות בשמך, ולראות
את כל מה שאתה רואה כולל רשימת החברים וכו'. אם אתה משתמש בטויטר, אני יכול
"לצייץ" בשמך. רוב האתרים שמצריכים שם משתמש וסיסמא יכולים להיפרץ על ידי שימוש
ב Firesheep.
זמן קצר אחרי שהתוסף Firesheep שוחרר, אדם אחר כתב תוכנה אחרת וקרא לה Idiocy
(אידיוטיות). בעיקרון Idiocy עושה בדיוק את אותו הדבר רק שהיא מוגבלת לחשבונות טויטר
בלבד. אחרי שהתוכנה זיהתה את קבצי ה cookies של הגולש היא שולחת הודעה שאומרת
"גלשתי בטויטר בצורה לא מאובטחת ברשת ציבורית, וכל מה שקיבלתי הוא 'ציוץ' עלוב".
הרעיון שעומד מאחורי Firesheep ו- Idiocy הוא העלאת המודעות לבעיות המהותיות של
אבטחה ופרטיות. אתרים כמו פייסבוק, טויטר, יאהו, אמזון וכל אתר אחר שדורש סיסמא
צריך להשתמש בפרוטוקול https כל הזמן, לא רק במסך הכניסה.
ישנה גם השאלה החוקית והאתית בשימוש בתוכנות כאלו. החוק משתנה ממדינה למדינה
ואפילו יכול להשתנות בין מדינות בתוך ארה"ב. אני מנחש (לא מבטיח) שלא בלתי חוקי
להשתמש ב Firesheep כדי להעתיק קבצי cookies. אך ברגע שעשיתם דאבל-קליק על
תמונת המשתמש כדי להיכנס לחשבון שלו, קרוב לודאי שעברתם על החוק. כרגע המומחים
בנושא החוק ואבטחת המידע עדיין חלוקים בדעתם לגבי חוקיות השימוש בתוסף. באופן
אישי אני לא יתקין את התוכנה Idiocy כיוון שבאופן אוטומטי היא תבצע חדירה בלתי חוקית
לחשבון אחר.
לפני שאתה מתקין ו/או משתמש ב Firesheep בדוק את החוקים המקומיים שמתייחסים לכך.
יש סיכוי גבוה שבעצם התקנת התוכנה אתה עובר על החוק. באופן אישי אני חושב שזה
לא יהיה אתי לעשות את זה, אפילו מתוך הכוונה הטובה ביותר של להזהיר את חבריך מפני
הסכנות שבגלישה לא בטוחה.
ובלי קשר, Firesheep הפכה את השימוש ברשתות ציבוריות למסוכנות יותר מבעבר.
על הדרכים להתגוננות מפני התוסף החדש ניתן לקרוא במאמר הבא (זיו)
_____________________________________
..
נערך לאחרונה ע"י זיו בתאריך 04-11-2010 בשעה 10:35.
|