|
16-05-2012, 22:13
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
בתגובה להודעה מספר 52 שנכתבה על ידי נאחס עד ייאוש שמתחילה ב "בדיקת חדשות 2: פירצת אבטחה באתר "גולן טלקום""
ראיתי את הכתבה
ה"פירצה" המדוברת היא שהם לא משתמשים ב SSL, כך שאם מישהו מאזין לתעבורה בינך לבין האתר (במקרה של גולש בבית, מדובר, פחות או יותר, בעובדי ספקי האינטרנט הישראליים בלבד - אשר לרשתות אלחוטיות שלא מוצפנות - ובכן - מי שמשתמש בהן באופן כללי כדי לגשת למידע אישי, עושה, לדעתי, טעות), הוא יכול לקבל את שם המשתמש והסיסמא שלך, ולגשת למידע שבחשבון. "פירצה" זו קיימת בהרבה אתרים אחרים, כולל זה שאתם גולשים בו עכשיו אבל אנחנו מודעים לה. בכל אופן, כשאני הכנסתי את פרטי האשראי שלי בגולן, זה היה באמצעות שרת תשלומים של צד ג', פרטי האשראי לא נשלחו לשרתים של גולן בכלל... כך שלא ברורה לי הטענה כיצד ישיגו את פרטי האשראי. זה יהיה אפשרי רק אם צד ג' דוחף את הפרטים (המלאים, לא רק 4 ספרות אחרונות) חזרה לאתר האינטרנט של גולן. בעוד שהדבר אפשרי, זו תהיה החלטת design מאוד מוזרה. למה לטרוח ליצור קשר עם ספק סליקת אשראי רק כדי שהוא יחזיר את הנתונים אלייך - מה תעשה איתם אם הספק הוא הסולק. אבל הכל אפשרי, אני לא שולל.
בכל אופן, כיוון שהכתבה התמקדה בגולן הנורא למדי - וכיוון שלבעיות מסוג זה בשוק הישראלי אני שמתי לב כבר לפני שנים - חזרתי לחברת הסלולר הנוכחית שלי, אורנג'. שהם כביכול חכמים יותר (או שאותם המומחים לא בדקו) - אימות שם המשתמש והסיסמא אולי אמור להיות ב SSL (יש קצת HTTPS בקוד המקור של הדף?) - אך Firebug טוען שהמידע נשלח לקישור http://www.orange.co.il/bill4u_priv...ndInitAction.do - כפי שניתן לראות, אין https, ובכל מקרה, גם אם אני מפספס משהו ושם המשתמש והסיסמא כן נשלחו מוצפנים, המשך התקשורת הוא בוודאות לא ב https. כלומר, גם לו יצוייר ששם המשתמש והסיסמא כן נשלחים בכל זאת בצורה מוצפנת, אדם עם sniffer על קו התקשורת, יכול לקחת במקום את שם המשתמש והסיסמא, את ה cookie של ה session של המשתמש המזוהה, ולהמשיך לגלוש בשמו באתר. אם הוא גם ידאג לבצע בקשות "keep alive" עם אותה עוגיה, הוא גם יישאר מחובר לאתר לעולם (אולי אפילו אחרי שינוי סיסמא על ידי המשתמש האמיתי?)
לא בדקתי בחברות סלולר אחרות, כי אין לי משתמש בחברות אחרות, אבל אתם יכולים לבדוק בעצמכם: האם משלב הכניסה הראשוני לאתר (הטופס שמכיל את בקשת שם המשתמש והסיסמא) ובכל המסכים בהמשך, כתובת האתר מתחילה תמיד ב HTTPS?
אם הטופס עצמו לא נטען מ https, ייתכן שבכלל כל הדף נגנב על ידי חוטף DNS (או ARP), ואולי יפנה אתכם לשרת אחר; שיזהה אתכם, וישמור את הסיסמא בצד. בעייה. ישנן עוד בעיות אבטחה שנגרמות כתוצאה מהמעבר מאתר מאובטח לאתר שלא מאובטח ולהפך, בדמות עוגיות שנשארות בין המצבים; צריך להיות מודע לדברים האלה; רוב האתרים לא מודעים. אבל כאן יש צרות גדולות יותר (ובא"מ, חולשת האבטחה נובעת מהחוליה החלשה ביותר), וכל זאת קורה בחברה שלא מתקמצנת על אבטחה כי יש לה הרבה כסף וגובה מחירי פרימיום, לא? כך לפחות נרמז בכתבה...
עד כאן שקר עיתונאי וחברת אבטחת מידע שרוצה להתפרסם. אני תוהה מי הזמין את "הבדיקה"...
הדבר היחיד שמטריד אותי בכל הסיפור הזה הוא הטענה של גולן על החבר'ה של 8200. אני רוצה להאמין שיחידה שעושה מה שעושים ב 8200, מודעת טוב מאוד לבעייתיות של העברת מידע ב cleartext. לכן שתי אפשרויות: או שהם לא היו מעורבים בכל השכבות של האתר, אלא רק עשו auditing על קוד התוכנה (אבל היו צריכים לאכוף בקוד התוכנה שהוא יסכים לקבל מידע רק אם השרת סימן דגל שהמידע הגיע בחיבור מוצפן, לדעתי), או שהם היו מודעים, הודיעו על הבעייתיות למנהל מסויים בחברה, ואותו מנהל, הוא מהמנהלים שמבינים יותר טוב מאנשי המקצוע שלהם הם משלמים הרבה כסף, והמנהל הזה החליט להתעלם מהאזהרה שלהם... טוב, יש גם אפשרות שלישית, אך היא בלתי נתפסת: שהם לא מודעים. במקרה זה, מישהו צריך לעשות חושבים באמ"ן, לדעתי.
אני מסכים שצריך להיות SSL באתר כזה, ולו הייתי אני ה CTO שלהם, זה היה הדבר הראשון שהייתי עושה. אבל זה נכון גם לחברות ותיקות בשוק כגון פרטנר...
nice try, though
|
|