אז למי שפספס - אתר @channel10 הושחת בידי צבא הישע התימני (או האיראני, לא ברור). לא נעים בכלל ואני לא רוצה לרקוד על הדם - אבל ניתוח הפרצה מראה איך ״דברים לא מהותיים״ יכולים להוביל לנזק משמעותי. למה זה חשוב? אני אסביר בשרשורפלצת מיוחד על אבטחת מידע >>
>> כשאני או @noamr או ׳רן ל.׳ המסתורי או כל אחד אחר מגלים חולשת אבטחה - הטענה המרכזית שאנחנו מתמודדים איתה (מייד אחרי איומי התביעה והמכות הבבוניות על החזה כמקובל) זה: ״זה לא מהותי״. מצאתם חולשת ברוטפורס שחושפת את כל היסטורית השיחות של רשת סלולרית? ״ברוט פורס זה לא מהותי״ >>
>> חולשה שמציגה את כל הקבצים על השרת? ״זה לא מהותי״. חולשה שבמסגרתה השרת שופך פרטים על הגרסה? ״זו לא פרצה אמיתית״. אין HTTPS? ״זה לא מהותי כי זה אתר תדמיתי״. גישה מלאה לאתר הסטייג׳ינג/פיתוח בלי הגנות? ״לא מדובר בפרצת אבטחה״. הכל ציטוטים אמיתיים. כן? >>
>> כשאומרים לי כזה דבר, אני יודע שמדובר ב:
1. חוסר מקצועיות.
2. כיסוי ישבן שנעשה כי בדרך כלל המנכ״ל/מישהו בכיר מכותב למייל או רואה את ההודעה.
כשאני מפשל, ופישלתי באבטחה לא מעט (תשאלו את @liran_tal ) תמיד קיבלתי אחריות וניסיתי ללמוד מהתקלות. כל חולשה היא חולשה שלא צריכה להיות >>
1. חוסר מקצועיות.
2. כיסוי ישבן שנעשה כי בדרך כלל המנכ״ל/מישהו בכיר מכותב למייל או רואה את ההודעה.
כשאני מפשל, ופישלתי באבטחה לא מעט (תשאלו את @liran_tal ) תמיד קיבלתי אחריות וניסיתי ללמוד מהתקלות. כל חולשה היא חולשה שלא צריכה להיות >>
>> מי שקובע אם זו חולשה ממשית זה לא אני, אלא @owasp . אם החולשה הזו מתועדת אצלם בקפידה והם אומרים שזה חשוב. אז זה פאקינג חשוב ומהותי.
ההשחתה של ערוץ 10 היא דוגמה מעולה לאיך משהו קטן ולא מהותי מוביל להשחתה ולנזק רב. ותאמינו לי שהתימנים/אירניים היו יכולים להזיק יותר. הרבה יותר >>
ההשחתה של ערוץ 10 היא דוגמה מעולה לאיך משהו קטן ולא מהותי מוביל להשחתה ולנזק רב. ותאמינו לי שהתימנים/אירניים היו יכולים להזיק יותר. הרבה יותר >>
>> החולשה שהיתה שם היא פשוטה - השרת החזיר את נתוני השגיאה. במשהו בסגנון הזה:
לכאורה משהו לא מהותי? נכון? משהו שלא שווה אפילו אזכור בעיתון. אבל הנה - זה בדיוק מה שקרה לערוץ 10. וזה לא בשמים למנוע את זה. כל מה שצריך זו מודעות >>
לכאורה משהו לא מהותי? נכון? משהו שלא שווה אפילו אזכור בעיתון. אבל הנה - זה בדיוק מה שקרה לערוץ 10. וזה לא בשמים למנוע את זה. כל מה שצריך זו מודעות >>
>> הודעת השגיאה שהוחזרה למשתמשים בעקבות שימוש במתקפות סטנדרטיות, כללה גם פרטי לוגין למסד הנתונים ומשם כל מי שראה אותה (כל גולשי האתר בשלב מסוים) היה יכול לנצל אותה כדי לשנות את מסד הנתונים ולהשחית את האתר וזה בדיוק מה שנעשה. הכל בגלל תקלה ״לא מהותית״.
>>
>>
>> לגלות שפישלת זה לא נעים. יש שתי תגובות אפשריות למצב הזה: להבין שאתה בן אדם ולטעות זה אנושי, להודות בטעות ולהשתפר בפעם הבאה או למרוח/להתחמק/לנפנף. לצערי כשאני מגלה חולשה אני רואה הרבה יותר את הצד השני מאשר את הצד הראשון. גם אני וגם אחרים שומעים יותר מדי את המשפט ״זה לא מהותי״>>
>> בגלל הגישה הזו מתרחשות הרבה תקלות. אומרים לכם שזה ״לא מהותי/חשוב״? זה הזמן להכנס ללחץ.
לסיכום - אני יודע שהפרצות האלו יכולות לייאש ולתת הרגשה ש״הכל פריץ״ - אבל זה לא ככה. לא הכל פריץ וזה לא חייב להיות *עד כדי כך* קל. זהו.
עוד על הפירצה, כאן: internet-israel.com/?p=8076
לסיכום - אני יודע שהפרצות האלו יכולות לייאש ולתת הרגשה ש״הכל פריץ״ - אבל זה לא ככה. לא הכל פריץ וזה לא חייב להיות *עד כדי כך* קל. זהו.
עוד על הפירצה, כאן: internet-israel.com/?p=8076
ומי שרוצה דוגמה נהדרת לפאשלות של אבטחת מידע באתר מפלגה ואיך דובר יהיר מטאטא שאלות רציניות ביותר - דוגמה נהדרת פה (מצרף צילום מסך וקישור לפייסוש).
ברגע שאומרים לי ש״המערכת מאובטח לפי התקנים המחמירים ביותר״ במקום לומר ״נתקן מייד תודה״. אני מתחיל לדאוג. מאוד.
facebook.com/mati1000/posts…
ברגע שאומרים לי ש״המערכת מאובטח לפי התקנים המחמירים ביותר״ במקום לומר ״נתקן מייד תודה״. אני מתחיל לדאוג. מאוד.
facebook.com/mati1000/posts…
