מלכודת למטרידן שיתוף כתבה.





  • פסטט... אפשר לקבל אותו מידע באמצעות מיילטראק...
    עריכה: האמת שאני לא משתמש במיילטראק. ייתכן שרק משתמשי הגירסא בתשלום מקבלים את כל המידע.



  • לעצם העניין,
    המידע הבסיסי הזה לא נותן הרבה בד"כ למשתמש הביתי.



  • שיתפתי סתם כי נהנתי.
    הבלוג הזה כולו מרתק שווה קריאה!
    הכתבה הזאת היא חלק משרשרת כתבות הנה הראשון https://tech.b48.club/2018/01/27/how-https-works.html



  • אשמח אם יעתיקו לכאן.

    תודה רבה.



  • @בערל בבקשה:
    דף הבית על אודות צרו קשר לפני האיתחול
    27 בינואר2018
    איך עובד HTTPS
    בכל פעם שאנחנו משתמשים ברשת אנחנו שולחים ומקבלים כמויות גדולות של מידע. האתרים בהם אנחנו מבקרים שולחים לנו את התוכן שלהם, ואנחנו שולחים להם מידע כמו למשל השם והסיסמה שלנו כשאנחנו מבקשים להתחבר לשירות שלהם, או ממלאים טופס “סטטוס” כשמתחשק לנו לעדכן אותם במצבנו, או כל דבר אחר שעובר מהמכשיר שלנו לרחבי הרשת.

    אבל בכל פעם שאנחנו עושים את זה, המידע שעובר מנקודה א’ לנקודה ב’, חשוף לציתות של גורמים מרושעים. אם, למשל, אני מבקש להעביר לידידי את המתכון הסודי של סבתי לעוגיות טחינה, לא הייתי רוצה שאף אחד יחשף לתוכן ההודעה שלי ויגלה את המרכיב הסודי שהפך את העוגיות שלה לנימוחות כל כך.

    לצורך ההסבר, בואו נדמיין לנו סביבה בה הסודיות היא חשובה. כלא, נניח. בכלא שלנו מוחזקים בלעם, אסיר פוליטי, ולודה, מנהיגת המחתרת. בלעם ולודה מצאו דרך לתקשר באמצעות יעקב, מחלק המזון של הכלא, שבמסגרת תפקידו עובר בין התאים ויכול להעביר חבילות ופתקים.

    http

    בימים הראשונים בכלא כתב בלעם פתק, קיפל אותו, רשם על על צידו החיצוני “מאת: בלעם, לכבוד: לודה”, ונתן אותו ליעקב. כשיצא מהתא שלו, פתח יעקב הסקרן את הפתק וראה את כל מה שכתב בלעם.

    צורת התקשורת הזו היא בעצם מה שאנחנו מכירים ברשת בתור HTTP, ראשי תיבות של Hypertext Transfer Protocol. פרוטוקול פשוט ובלתי מוצפן, שהתקשורת בו חשופה לכל צד אשר שותף להעברת ההודעה. כשאתם מבקרים באתרים אשר הכתובת שלהם מתחילה ב: http (ולא https), דעו שכל מי שנמצא ביניכם לבין האתר בו אתם גולשים חשוף לכל פרט בתקשורת שלכם.

    מהר מאוד הבינו לודה ובלעם שזה לא פתרון שיבטיח להם פרטיות, וחשבו על רעיון אחר. בכל פעם שבלעם רוצה להעביר הודעה למפקדת שלו, לודה, הוא מבקש מיעקב להגיד ללודה שיש לו משהו להגיד לה. יעקב מעביר את המסר ללודה, והיא נותנת לו קופסה עם מנעול פתוח להעביר לבלעם, אבל שומרת לעצמה את המפתח. בלעם מקבל את הקופסה, שם בפנים את המסר שלו, ונועל אותה על ידי סגירתה. כשלודה מקבלת את הקופסה היא פותחת אותה באמצעות המפתח שלה וקוראת בפרטיות את תוכנה. בדרך הזו גם יעקב הסקרן, או מישהו שיתפוס את יעקב בדרך עם הקופסה, לא יוכלו לקרוא את תוכן ההודעה כי היא נעולה באמצעות מנעול חזק והמפתח היחידי נמצא אצל לודה.

    שיטת ההצפנה הזו נקראת “הצפנה א-סימטרית” (Asymmetric encryption) או “הצפנת מפתח פומבי” (Public key encryption). בדוגמה של לודה ובלעם הקופסה היא המפתח הציבורי של לודה, והמפתח שלה הוא המפתח הפרטי. רק המפתח הפרטי של לודה יוכל לפתוח את הקופסה ולראות את תוכנה.

    a-symetric encryption

    גם השיטה הזו לא מספיק טובה. יום אחד תפס מפקד את הכלא את יעקב הסקרן, ולאחר שהבין שלא יוכל לקרוא את המסרים בגלל שיטת הקופסאות של לודה ובלעם, החליט להתחכם. הוא ישב במשרדו והכין קופסה דומה לזו של לודה, וציווה על יעקב שבפעם הבאה שבלעם מבקש ממנו להגיד ללודה שיש לו מסר בשבילה על מנת לקבל את הקופסה, יעקב לא ילך ללודה אלא ישירות אליו, למפקד הכלא. מפקד הכלא יתן לו את הקופסה שלו, ובלעם, שלא חושד בדבר, יכניס את המסר הסודי שלו פנימה. עכשיו מפקד הכלא יוכל לפתוח את הקופסה בעזרת המפתח שלו, ולקרוא מה כתוב בפנים. הוא אפילו יוכל לצוות על יעקב ללכת ללודה, לבקש ממנה את התיבה שלה בשם בלעם, ואחרי שקרא את המסר ששלח בלעם להכניס אותו לתיבה של לודה ולשלוח אותו אליה, כדי שבלעם ולודה לא יחשדו שמישהו מתערב במסרים שלהם.

    man in the middle attack

    התחבולה של מפקד הכלא נקראת “Man in the middle attack”’ או “התקפת אדם בתווך”. בעזרת ההתקפה הזו יכול צד שלישי מרושע להתחזות לשני הצדדים האחרים והם לא יחשדו בדבר.

    אז מה יעשו לודה ובלעם? איך יוכלו לתקשר בלי שצד שלישי מרושע יראה את תוכן שיחתם? בהתחלה הם חשבו שלודה תחתום על הקופסה שלה, כך בלעם יוכל לדעת שזו באמת הקופסה שלה ולא של מפקד הכלא האכזר. אבל מכיוון שאין להם דרך להסכים על חתימה בלי להיפגש, היה עליהם לחשוב על דרך אחרת. אז הם נזכרו ביוהן, נציג ארגון נייטרלי שמבקר בכלא לעיתים, ועליו בלעם ולודה סומכים. בפגישתם הבאה ביקשו לודה ובלעם מיוהן לחתום על הקופסאות שלהם בחתימתו היחודית, וכך כאשר יקבל בלעם את הקופסה של לודה הוא ידע בוודאות שהיא שלה בגלל שמתנוססת עליה חתימתו היחודית של יוהן, ומפקד הכלא הרשע לא יוכל לבצע יותר מתקפת “אדם בתווך”.

    https

    הצד השלישי עליו סומכים שני הצדדים המתכתבים נקרא “Certificate Authority” (“רשות אישורים” בתרגום חופשי), וברשת מדובר בארגונים מוכרים העומדים בקריטריונים נוקשים של אמינות. כשהדפדפן שלנו, למשל, ניגש לאתר אינטרנט מאובטח, הוא מחפש את החותמת של אחת מהרשויות המוכרות הללו כדי לדעת שתעודת האבטחה שלהם לגיטימית ולא מזויפת.

    ככה, בגדול, עובד המנגנון מאחורי הקידומת https שנמצא בתחילת הכתובת של אתרים רבים ברשת כדי לציין שהתקשורת מוצפנת בין הדפדפן לאתר האינטרנט. בדרך זו מפקד הכלא עדיין יודע שבלעם ולודה מתכתבים, אבל הוא לא יודע מה הם אומרים.

    למרות שהמנגנון הזה (שנקרא SSL - ראשי תיבות של Secure Sockets Layer, והגרסה המעודכנת שלו TLS - ראשי תיבות של Transport Layer Security) נפוץ מאוד ונמצא בשימוש נרחב מאוד, גם הוא לא חף מפגמים. אציין בקצרה שלושה מהם:

    מפקד הכלא הרשע יכול להכריח את יוהן, או לשחד אותו, לחתום על הקופסה שלו. במקרה כזה, בלעם לא יוכל לדעת שלא מדובר בקופסה של לודה, והתקשורת שלו תחשף לעיני חורשי רעתו. בפועל, צו ביטחוני מסווג כזה יכול למנוע מרשויות האישורים לגלות לנו, הציבור, על פרקטיקה כזו.

    פרצה נוספת במנגנון יכולה להיות שיוהן, רשות האישורים שלנו, הוא אדם עסוק מאוד, לכן הוא מסמיך כמה מידידיו לחתום בשמו על אישורי אבטחה כאלה. הסמכה כזו יוצרת “שרשרת אמון” (chain of trust), אבל מספיק שאחד מידידיו של יוהן, שנקראים “intermediate certificate authority” (רשות ביניים לאישורים, בתרגום חופשי), יתפתה לבגוד באמון שניתן בו, וכל העסק נכשל. מקרה מסוג זה קרה ב-2013, כאשר רשות ביניים טורקית “חתמה” על אישור לדומיין של גוגל, ומקרה אחר כשרשות צרפתית גם היא חתמה על תעודה דומה. המשמעות של החתימה הזו היתה שמשתמשים היו עלולים לחשוב שהם מתקשרים בצורה מאובטחת עם גוגל בשעה שבפועל תיקשרו עם גורם מרושע שרק התחזה לגוגל.

    פרצה אחרת עלולה להיות אם במקום יוהן, ידידנו האמין, היה נכנס לבקר את לודה ובלעם מתחזה מטעם מפקד הכלא המרושע, דבר שהיה מאפשר שוב לבצע מתקפה של “אדם בתווך”. מקרה כזה התגלה ב-2015 כאשר יצרנית המחשבים “לנובו” מכרה מחשבים עם רושעה מתוצרת החברה הישראלית “סופרפיש” שעשתה בדיוק את זה: זייפה את זהותן של רשויות האישורים, ואיפשרה לבצע מתקפות “אדם בתווך” לצרכים מפוקפקים.

    עכשיו אתם יודעים איך עובד המנגנון מאחורי האותיות HTTPS, ומבינים יותר את יתרונותיו ואת חסרונותיו. בפרקים הבאים נמשיך לספר על קורותיהם של לודה ובלעם בכלא, ואת האמצעים העומדים לרשותם כדי להערים על מפקד הכלא החלקלק ולהסתיר מפניו את תכניותיהם.

    ברוכים הבאים לבלוג הטכני של נעםר מה זה VPN ואיך עובדת רשת TOR
    דף הבית על אודות צרו קשר
    noamr@ הדליפו פרסמו את פרטיכם


  • חשמל ואלקטרוניקה תכנות

    @משרדי אמר במלכודת למטרידן שיתוף כתבה.:

    הכתבה הזאת היא חלק משרשרת כתבות

    הנה אחד חזק! https://tech.b48.club/2018/06/01/caa-breach-anatomy.html
    לא להאמין!

    @ תכנות הזהרו בקודכם...



  • בכללי יש לו כשרון כתיבה לא רע
    וגם עולה על פרצות אבטחה מזעזעות
    הבעיה היא שאין תפריט של כל הפוסטים ואי אפשר לדלג שתי פוסטים קדימה
    וכיוון שחלק מהפוסטים חסומים אי אפשר להתקדם
    למישהו יש פתרון?


  • חשמל ואלקטרוניקה תכנות

    @nigun אמר במלכודת למטרידן שיתוף כתבה.:

    בכללי יש לו כשרון כתיבה לא רע

    הוא שמאלני רצח...



  • @WWW
    צריך כאן - תוכו אכל קליפתו זרק.
    התוכן שלו ממש כתוב טוב



  • @nigun אמר במלכודת למטרידן שיתוף כתבה.:

    בכללי יש לו כשרון כתיבה לא רע
    וגם עולה על פרצות אבטחה מזעזעות
    הבעיה היא שאין תפריט של כל הפוסטים ואי אפשר לדלג שתי פוסטים קדימה
    וכיוון שחלק מהפוסטים חסומים אי אפשר להתקדם
    למישהו יש פתרון?

    כאן תוכל לדלג:
    https://tech.b48.club/


  • חשמל ואלקטרוניקה תכנות

    @clickone לדעתי יש לו אינטרס פעילות שמאלנית באתר הזה.
    ראיתי כמה פוסטים שמה שלא הריחו לי טוב.
    בפרט שהכל שם מוסווה.



  • אני קראתי בחיי כמה בלוגים בדיוק בסגנון הזה עם פחות או יותר אותו מידע עד שבאיזשהוא שלב הם ירדו מהרשת.
    למרות שהחומר כתוב בצורה נורא מעניינת ומובנת, זה עדיין חומר "זול" מאוד, כי מדובר בחומר בסיסי וגם שקיים כבר שנים - כל אחד שבתחום שולט היטב בחומר הזה, ואפילו מי שלא אם הוא דובר אנגלית ובעל הבנה טכנית יכול בקלות לייצר את התוכן הזה.
    החכמה בבלוגים זה יציבות וחדשנות אקטואלית - שזה חומר "יקר" ברשת.



  • @WWW
    אפשר לראות את הנטיה שלו בכתבות על הבוטים
    באופן מפתיע הוא מוצא רק בוטים ימניים ולא שמאלנים
    אבל במילא זה לא ישנה מה אני אבחר
    כך שזה לא מפריע לי לקרוא את זה
    @dovid
    זה נראה שהקהל יעד שלו זה לא המתכנתים המקצועיים
    אלא אנשים פשוטים שלא מבינים כל כך בתכנות
    ואולי יש לו אינטרס להשקיע בזה בשביל המסרים


  • חשמל ואלקטרוניקה תכנות

    @dovid אני יותר מדבר על ה'עובדות' שהוא אסף שמה...



  • אני לא טרחתי לקרוא אפילו מאמר אחד. די לי בכותרות - מדובר בחומר מפתה לקורא עברי מתחיל, אבל שממש קל לכתוב עליו. למשל חיפוש פרצות דרך חיפוש גוגל שמוכר לי בערך באותו סגנון כבר עשר שנים מבלוגים שונים שמן הסתם גם הם עשו עבודת העתק הדבק מאנגלית.
    במילים אחרות הבלוג מלא בחומר אטרקטיבי אבל לא איכותי.
    בקשר לימין שמאל רוב האקדמיה בארץ שמאלנית ללא ספק.



  • @dovid
    צודק בכל מילה
    למשל הפוסט שבגללו נפתח השירשור הזה
    הוא כל כך לא שימושי
    כי בעצם כל מתכנת יכול לבנות את זה בקלות
    ולמעשה אתה לא מרויח כלום מזה שגילת את הIP של הבן אדם



  • @nigun אמר במלכודת למטרידן שיתוף כתבה.:

    ולמעשה אתה לא מרויח כלום מזה שגילת את הIP של הבן אדם

    אם זה הטרדות גדולות מדאי, והוא לא בספק שנותן NAT, אלא בספק שמקצה כתובת רגילה אפילו רנדומלית לכל משתמש
    זה יכול להוות קצה חוט למשטרה כדי למצוא מי מטריד (ושוב, מדבר לכאורה בהטרדות שראויות לחקירת משטרה [למרות שראינו כאן לאחרונה כמה בדיוק יש להם סבלנות לחקור...])



  • @dovid
    אם כבר הנושא עלה
    אולי תשתף אותנו בבלוגים איכותיים שאתה מכיר
    (גם באנגלית)
    אני אתחיל ממה שאני מכיר
    בלוג ארכיטקטורת תוכנה
    מגזין אבטחת מידע



  • @dovid אמר במלכודת למטרידן שיתוף כתבה.:

    אני לא טרחתי לקרוא אפילו מאמר אחד. די לי בכותרות - מדובר בחומר מפתה לקורא עברי מתחיל, אבל שממש קל לכתוב עליו. למשל חיפוש פרצות דרך חיפוש גוגל שמוכר לי בערך באותו סגנון כבר עשר שנים מבלוגים שונים שמן הסתם גם הם עשו עבודת העתק הדבק מאנגלית.
    במילים אחרות הבלוג מלא בחומר אטרקטיבי אבל לא איכותי.
    בקשר לימין שמאל רוב האקדמיה בארץ שמאלנית ללא ספק.

    תכלס נראה שדרך הבלוג הזה הוא גייס 50 אל״ש לפרוייקט הבוטים שלו.



  • @WWW אמר במלכודת למטרידן שיתוף כתבה.:

    @clickone לדעתי יש לו אינטרס פעילות שמאלנית באתר הזה.
    ראיתי כמה פוסטים שמה שלא הריחו לי טוב.
    בפרט שהכל שם מוסווה.

    הוא בפירוש מצהיר על עצמו מי הוא
    הוא כתב טכנולוגי ב''הארץ''
    אז למה אתם מצפים ?



  • @חכם
    זה נראה לי מישהו אחר
    בכל מקרה נראה לי שהנושא גלש טיפה מחוץ לכללי הפורום



  • @חכם אמר במלכודת למטרידן שיתוף כתבה.:

    מי הוא

    משהו נכנס לקישור הזה?

    תרדו טיפה למטה בדף ותראו את הדבר הבא:

    5902474d-9d76-4aa6-b7ea-6a8f0bd20d0f-image.png



  • @zvinissim בלי פרטים זה לא שווה כלום.
    גם אני יכול לכתוב שפרצתי לתוך מחשבי המוסד תוך חמש דקות בלי אפלו לנסות.



  • @yossiz אמר במלכודת למטרידן שיתוף כתבה.:

    @zvinissim בלי פרטים זה לא שווה כלום.
    גם אני יכול לכתוב שפרצתי לתוך מחשבי המוסד תוך חמש דקות בלי אפלו לנסות.

    במקרה שלך אני מאמין שכנראה זה היה גם היה ...


  • חשמל ואלקטרוניקה תכנות

    @yossiz אמר במלכודת למטרידן שיתוף כתבה.:

    @zvinissim בלי פרטים זה לא שווה כלום.
    גם אני יכול לכתוב שפרצתי לתוך מחשבי המוסד תוך חמש דקות בלי אפלו לנסות.

    הכל יכול להיות.



  • ...


  • חשמל ואלקטרוניקה מורחק

    @בערל אתה הצלחת?



  • ...


  • חשמל ואלקטרוניקה מורחק

    @בערל ברור!!
    פנית למנהלי נטפרי ושיתפת?
    אגב אתה לא מתכוון על האופצייה הידועה נכון?


התחבר כדי לפרסם תגובה
 

45
מחובר

2.6k
משתמשים

8.0k
נושאים

93.0k
פוסטים

gardner photograph

סלולר כשר במחירים הנמוכים ביותר עם ובלי ניוד.

כנסו לאתר לקניה מקוונת, או בדקו סניף קרוב לביתכם.

מוצרים עם הנחה

לחצו פה כדי להגיע לרשימת מוצרים עם הנחה בקיאספי.

בהגעה דרך הלינק, ישנה הנחה בשלב התשלום בקופה!

בא תתחבר לדף היומי!