Firesheep תוסף פיירפוקס המנצל פירצות אבטחה – אין מה להתרגש


אתמול בבוקר עלתה כתבה באתר החדשות וואלה על תוסף פיירפוקס חדש המאפשר לנו לנצל פרצות אבטחה באתרים גדולים ברשת תוך חיבור לרשתות אלחוטיות לא מאובטחות בכדי לגנוב את זהותם של המשתמשים התמימים ולנצלם כאוות נפשנו, כמו בכל כתבה חדשותית טובה, מנסים לעורר את הפאניקה הטבעית של המשתמש הקטן החרד לפרטיותו ובדרך רומסים את האמת, הכל בשביל לעורר פרובוקציה.

כולנו מבלים שעות ארוכות בחשבונות המייל שלנו, בגוגל , פייסבוק ואתרים אחרים ואיננו מבינים את הקלות שבה המידע האישי שלנו נופל לידיים הלא נכונות, שימוש ברשת אלחוטית זו רק ההתחלה.

חדשות טובות פירצות אבטחה כאלו קיימות משחר האינטרנט והאיום היה שם תמיד

פירצות אבטחה כאלו קיימות כבר כמעט משחר האינטרנט, וישנן אינספור תוכנות ושיטות לפרוץ ולגנוב זהויות ומידע מהמשתמש הפשוט וגם הן לא יותר מסובכות מהתקנת תוסף פיירפוקס או חיבור דיסקאון-קי קטן למחשב האישי שלנו,הסיבה בגללה לא טרחו לספר לנו על כך בכתבה הנוכחית טמונה בכך שיהרס מסע ההפחדה.

כמו בכל אתר חדשות שמיהר לדווח על התוסף ההרסני, שכחו להוסיף שתוספים כאלו (לאו דווקא לפיירפוקס) קיימים כבר מעל עשור ומאפשרים לכל ילד בן 8 עם הבנה בסיסית במחשבים לגנוב מידע ממחשבים המחוברים לרשתות לא מאובטחות, העובדה שזה כל כך קל ונגיש טמונה בשימוש ברשת האלחוטית בה המידע נע באוויר ונגיש לכל מי שמסוגל "להאזין" לו.

אמת – האיום לא כל כך גדול כמו שחשבנו

קצת אמת לא תזיק, בדרך כלל אם אנו גולשים ברשת האלחוטית של ביתינו היא מאובטחת, רשת מאובטחת היא חסינה לחלוטין לשימוש בתוסף זה וכל ניסיון להתחבר דרך התוסף יכשל, מה שדורש מההאקר לדעת את הסיסמא לרשת האלחוטית שלנו או לפרוץ את הרשת, במידה ויש להאקר את הידע והכלים הדרושים לפרוץ הצפנת 24 Bit של הרשת האלחוטית שלנו הוא אינו באמת זקוק לתוסף הזה בשביל לגנוב את כל המידע שהוא זקוק לו מהמחשב.

כך שהאיום הוא לא ממשי למעט המצבים בהם נשב בארומה, או נשתמש ברשת אלחוטית שאינה מאובטחת, במידה ואנו מבצעים פעולה שכזו עלינו להבין שהמידע שלנו חשוף בפני גניבה ועלינו לקחת אחריות על כך, התוסף הזה הוא רק אחד מתוך עשרות כלים שיש לגנבי מידע וזהויות בכדי לקבל את מה שהם צריכים.

מידור מידע בצורה חכמה – להשתמש נכון באינטרנט לא מאובטח

הנה ארבעה טיפים שיסייעו לכם להשתמש נכון ברשת לא מאובטחת ולשמור על המידע שלכם:

1. לפני חיבור לרשת האלחוטית הזו נקו את קבצי העוגיות (קוקיז) מכל הדפדפנים שברשותכם, כך במידה והתחברתם ועדיין לא הקשתם דבר להאקר לא תהיה אפשרות לראות קבצי עוגיות וקויז מהעבר המכילים שמות משתמש וסיסמאות.

2. במידה ואנו משתמשים בפיירפוקס אנו יכולים להשתמש בתוסף שנקרא – HTTPS Everywhere המעניק לנו אפשרות לגלוש בצורה מאובטחת דרך הדפדפן ומונע את האפשרות לגנוב את המידע (כי הוא נשאר מוצפן) ניתן גם להשתמש בתוסף – FORCE – TLS שיעשה עבודה זהה אבל זקוק להגדרות ידניות.

3. לא נכנסים לחשבונות מייל, פייסבוק, טוויטר, יוטיוב, בלוגר ברשת אלחוטית לא מאובטחת, כשחושבים על זה לעומק את רוב חיינו הויראטואליים אנו מעבירים באתרים אלו, אם זה בכתיבת סטטוסים, שיחות עם חברים או העלאת פוסטים לבלוג. חשוב להכנס לאתרים אלו רק מהמחשב בבית, ורק מרשת אלחוטית מאובטחת שאנו יודעים מי הגולשים הנמצאים בה. Better Safe Then Sorry

4. גם אם אנו מתחברים לתוכנות שיחה כמו מסנג'ר אייסיקיו וכו' יש להימנע מהקשת סיסמאות, העברת שמות משתמש ובכלל הזנת המידע הזה על גבי האינטרנט, קל מאד לגנוב מידע שכזה כאשר אנו מחוברים לרשת אלחוטית לא מאובטחת.

אין מה להשלות את עצמנו התוסף הקטן הזה סה"כ מתווסף למאות כלים אחרים הקיימים על גבי הרשת וחלקם קיימים כבר עשור או יותר, רובם נועדו בכדי לגנוב מידע במיוחד דרך קבצי קוקיז איתם משתמשים האתרים הגדולים. (פייסבוק, גוגל, טוויטר)
אחת הטכניקות העתיקות לגניבת מידע שכזה היא שימוש ב-SSLstrip, בעזרת טכניקה זו ניתן להשיל את מעטה האבטחה של SSL ולחשוף את כל הפרטים שגולשי האתר המסכנים מקישים ומזינים. SSL זו שיטת הצפנה יעילה מאד, המאפשרת לנו להקיש מידע סודי כמו מספר כרטיס אשראי, ססמאות וחשבונות בנק מבלי לחשוש שיגנב המידע.

פיתוח התוסף הינו זעקה אילמת – ככל שהקוד מסובך יותר ככה יש יותר פירצות

ההאקרים של ימינו תמיד מוצאים פירצות בכל שיטת אבטחה, והאקר העיקש ובעל התושיה גם יצליח לגנוב את מה שהוא צריך, כך שהאיום על המידע שלנו היה קיים עוד הרבה לפני התוסף הפשוט של אריק באטלר האמריקאי עלה לרשת, אמנם תוסף זה תוכנת ונוצר בכדי להרים צעקה על אוזלת היד שיש לאתרים גדולים באבטחת המידע שלהם, אך צעקה זו היא אילמת.

אבטחת מידע זהו תחום שלעולם אינו מפסיק להתפתח, כי לכל תרופה יש מכה חדשה החסינה לתרופה הזו וכן הלאה, ככל שיתפתחו תוכנות יותר יעילות לאבטח מידע כך יקום האקר שיפרוץ אותן בטכניקות שונות, ככל שהכלים יהיו מסובכים יותר כך האקרים יכולים למצוא יותר פירצות בקוד, אין קוד שהוא אטום לפריצות.

ישנם אפילו תוספי חומרה המעניקים להאקר יתרון אפילו גדול יותר, נאמר שהלכנו לארומה והתחברנו לרשת האלחוטית, המידע עובר באוויר וניתן להאזין לו על ידי צד שלישי, דיסקאון-קי פשוט בעל תוכנה כזו יכול להפוך לכלי רב עוצמה בידיו של האקר מנוסה, ויכול להיות שהבחור שיושב לידכם עם הלפטופ מאזין לכל המידע שעובר אצלכם במחשב.

בסופו של יום, האיום על הפרטיות שלנו קיים לא משנה לאן נפנה. ועוד לא קם המתכנת שהצליח ליצור תוכנת אבטחה שלא נפרצה, החל מהגנה על משחקי מחשב ועד להגנה על הרשתות האלחוטיות שלנו, האיום תמיד קיים חשוב רק להשתמש ברשת האלחוטית נכון, ולגלוש ברשתות אלחוטיות מאובטחות.

במידה ונתקלנו במצב שאנו חייבים להשתמש ברשת שאינה מאובטחת עלינו פשוט לשמור על כללים פשוטים ובכך נוכל גם לשמור על המידע שלנו, אצלנו בסוף השימוש ברשת. תמיד מומלץ להשתמש ברשתות אלחוטיות מאובטחות, אל תחששו המידע שלכם נגיש להאקרים כמו שהיה לפני התוסף ואין חדש תחת השמש.

  • Share/Bookmark
השאר תגובה

עליך להיות מחובר כדי להגיב.