Profile picture
Ran Bar-Zik @barzik
, 10 tweets, 4 min read Read on Twitter
אז למי שפספס - אתר @channel10 הושחת בידי צבא הישע התימני (או האיראני, לא ברור). לא נעים בכלל ואני לא רוצה לרקוד על הדם - אבל ניתוח הפרצה מראה איך ״דברים לא מהותיים״ יכולים להוביל לנזק משמעותי. למה זה חשוב? אני אסביר בשרשורפלצת מיוחד על אבטחת מידע >>
>> כשאני או @noamr או ׳רן ל.׳ המסתורי או כל אחד אחר מגלים חולשת אבטחה - הטענה המרכזית שאנחנו מתמודדים איתה (מייד אחרי איומי התביעה והמכות הבבוניות על החזה כמקובל) זה: ״זה לא מהותי״. מצאתם חולשת ברוטפורס שחושפת את כל היסטורית השיחות של רשת סלולרית? ״ברוט פורס זה לא מהותי״ >>
>> חולשה שמציגה את כל הקבצים על השרת? ״זה לא מהותי״. חולשה שבמסגרתה השרת שופך פרטים על הגרסה? ״זו לא פרצה אמיתית״. אין HTTPS? ״זה לא מהותי כי זה אתר תדמיתי״. גישה מלאה לאתר הסטייג׳ינג/פיתוח בלי הגנות? ״לא מדובר בפרצת אבטחה״. הכל ציטוטים אמיתיים. כן? >>
>> כשאומרים לי כזה דבר, אני יודע שמדובר ב:
1. חוסר מקצועיות.
2. כיסוי ישבן שנעשה כי בדרך כלל המנכ״ל/מישהו בכיר מכותב למייל או רואה את ההודעה.
כשאני מפשל, ופישלתי באבטחה לא מעט (תשאלו את @liran_tal ) תמיד קיבלתי אחריות וניסיתי ללמוד מהתקלות. כל חולשה היא חולשה שלא צריכה להיות >>
>> מי שקובע אם זו חולשה ממשית זה לא אני, אלא @owasp . אם החולשה הזו מתועדת אצלם בקפידה והם אומרים שזה חשוב. אז זה פאקינג חשוב ומהותי.
ההשחתה של ערוץ 10 היא דוגמה מעולה לאיך משהו קטן ולא מהותי מוביל להשחתה ולנזק רב. ותאמינו לי שהתימנים/אירניים היו יכולים להזיק יותר. הרבה יותר >>
>> החולשה שהיתה שם היא פשוטה - השרת החזיר את נתוני השגיאה. במשהו בסגנון הזה:

לכאורה משהו לא מהותי? נכון? משהו שלא שווה אפילו אזכור בעיתון. אבל הנה - זה בדיוק מה שקרה לערוץ 10. וזה לא בשמים למנוע את זה. כל מה שצריך זו מודעות >>
>> הודעת השגיאה שהוחזרה למשתמשים בעקבות שימוש במתקפות סטנדרטיות, כללה גם פרטי לוגין למסד הנתונים ומשם כל מי שראה אותה (כל גולשי האתר בשלב מסוים) היה יכול לנצל אותה כדי לשנות את מסד הנתונים ולהשחית את האתר וזה בדיוק מה שנעשה. הכל בגלל תקלה ״לא מהותית״.
>>
>> לגלות שפישלת זה לא נעים. יש שתי תגובות אפשריות למצב הזה: להבין שאתה בן אדם ולטעות זה אנושי, להודות בטעות ולהשתפר בפעם הבאה או למרוח/להתחמק/לנפנף. לצערי כשאני מגלה חולשה אני רואה הרבה יותר את הצד השני מאשר את הצד הראשון. גם אני וגם אחרים שומעים יותר מדי את המשפט ״זה לא מהותי״>>
>> בגלל הגישה הזו מתרחשות הרבה תקלות. אומרים לכם שזה ״לא מהותי/חשוב״? זה הזמן להכנס ללחץ.
לסיכום - אני יודע שהפרצות האלו יכולות לייאש ולתת הרגשה ש״הכל פריץ״ - אבל זה לא ככה. לא הכל פריץ וזה לא חייב להיות *עד כדי כך* קל. זהו.
עוד על הפירצה, כאן: internet-israel.com/?p=8076
ומי שרוצה דוגמה נהדרת לפאשלות של אבטחת מידע באתר מפלגה ואיך דובר יהיר מטאטא שאלות רציניות ביותר - דוגמה נהדרת פה (מצרף צילום מסך וקישור לפייסוש).
ברגע שאומרים לי ש״המערכת מאובטח לפי התקנים המחמירים ביותר״ במקום לומר ״נתקן מייד תודה״. אני מתחיל לדאוג. מאוד.
facebook.com/mati1000/posts…
Missing some Tweet in this thread?
You can try to force a refresh.

Like this thread? Get email updates or save it to PDF!

Subscribe to Ran Bar-Zik
Profile picture

Get real-time email alerts when new unrolls are available from this author!

This content may be removed anytime!

Twitter may remove this content at anytime, convert it as a PDF, save and print for later use!

Try unrolling a thread yourself!

how to unroll video

1) Follow Thread Reader App on Twitter so you can easily mention us!

2) Go to a Twitter thread (series of Tweets by the same owner) and mention us with a keyword "unroll" @threadreaderapp unroll

You can practice here first or read more on our help page!

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just three indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member and get exclusive features!

Premium member ($3.00/month or $30.00/year)

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!