אולי כדאי לשייך לאשכול התקיפה.. ואולי לאשכול ההומור.

השיטה פשוטה יחסית, אך יעילה: phishing .
העובדים קיבלו מייל מ-"עמוס שוקן", הקורא להם לפתוח קישור "לכתבה באתר הגארדיאן". הקישור הוביל ל-"דף הכניסה לדוא"ל הארגוני", וכשהעובדים הסקרנים הקלידו את שם המשתמש והסיסמא- הם עברו לידי ההאקרים.

רשימת השמות והססמאות פורסמה ע"י "syrian electronic army", והארץ נאלץ להשבית את שרת הדוא"ל שלו.

כמו כן:

ציטוט:

באוקטובר ובינואר בשנה שעברה הותקפו שרתי הארץ על ידי האקרים. האקר שהזדהה כ"אנונימוס פלסטין" לקח אחריות על התקיפה לפני שנה, ולאחר מכן התנצל על כך: "אנחנו מצטערים, לא ידענו ש'הארץ' הוא עיתון טוב, מתנצלים על כך – תהיו בטוחים שאף אחד לא יפגע בכם שוב", כתב בהודעה שפירסם.

------------------------------------------
מה בעצם אמור עובד אחראי לעשות? מייל המקשר לבקשת שם וסיסמא זה לא משהו כ"כ מופרך.

ואיך זה שאין פיתרון טכנולוגי לפישינג? תוכנה המותקנת על המחשב, ומאשרת שמסך הזדהות הוא אכן של הארגון שהמשתמש חושב שבפניו הוא מזדהה?

ציטוט:

במקור נכתב על ידי קרן-אור השיטה פשוטה יחסית, אך יעילה: phishing .

יעילה נגד מפגרים, או לכל הפחות - בניסוח עדין יותר - אנשים שלא בדיוק יודעים להשתמש במחשב ובאינטרנט...

ציטוט:

במקור נכתב על ידי קרן-אור מה בעצם אמור עובד אחראי לעשות? מייל המקשר לבקשת שם וסיסמא זה לא משהו כ"כ מופרך.

זה כן מופרך והוא לא אמור להכניס את שם המשתמש והסיסמה שלו.

[הגישה המחמירה אומרת שאתה לא אמור להכניס שם משתמש, סיסמה, או כל נתון אישי אחר (תאריך לידה, כתובת, וואטבר) כאשר לא מדובר בהתקשרות שאתה יזמת. זו לא גישה חדשה למחשבים או לאינטרנט, כמובן. היא הייתה קיימת הרבה לפני שצץ המושג "phishing". זו אותה גישה שאומרת לא למסור מס' כרטיס אשראי למישהו שמתקשר אליך וטוען שהוא מחנות ורוצה לאשר הזמנה, אלא להתקשר אליהם למספר שאתה מכיר ולמסור את נתוני האשראי.]

עובד אחראי אמור לדעת שלארגון שלו אין בכלל מערכת ארגונית כזאת...

ציטוט:

במקור נכתב על ידי קרן-אור ואיך זה שאין פיתרון טכנולוגי לפישינג? תוכנה המותקנת על המחשב, ומאשרת שמסך הזדהות הוא אכן של הארגון שהמשתמש חושב שבפניו הוא מזדהה?

יש פיתרון. הוא נקרא "דפדפן".
כשאתה גולש לאתר בכל דפדפן מודרני (אקספלורר, פיירפוקס, אופרה, ספסארי, כרום, זיבי, וואטבר), אם אתה גולש לאתר דרך SSL/TLS (כלומר, כתובת שמתחילה ב-https ולא ב-http) הוא מוודא שהכתובת שאליה גלשת באמת שייכת לארגון שהאתר מתיימר לייצג. רק צריך להקליק שם ליד שורת הכתובת, להעיף מבט על מה שכתוב ועל מי שרכש את הסרטיפיקט, ולהחליט אם זה נשמע לך הגיוני או לא.

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

הממ...בלי לדעת כלום, אבל אולי זו הבעיה?
https://www.haaretz.co.il/exchange

ציטוט:

במקור נכתב על ידי lior432 הממ...בלי לדעת כלום, אבל אולי זו הבעיה? https://www.haaretz.co.il/exchange

לא זו לא הבעיה. הבעיה במקרה הזה היא העובדה שהגורם האנושי, דהיינו אנשי מערכת, לא היו מתודרכים בצורה בסיסית ולא יודעו כיצד אפשר בנקל להימנע מתחבולות מסוג פישינג. הגורם האנושי הוא הגורם שהכי קל לעבור אותו במקרה הזה. אישית אני זוכר שמערכת הארץ היתה אחד הגופים הראשונים שבזמנו הושבת כמעט לגמרי בגלל אחת התולעים שהיו נפוצות בימיו הראשונים של וינדוס אקס פי, לפני גירסת השירות השלישית שסגרה חלק מהבעיות האלה.

מבלי להסיט את הדיון בפורום זה לענייני מיחשוב, במחקר שביצעו באנגליה הוכיחו שמשהו כמו 80% מעובדי חברות הייטק, דהיינו אנשים שאמורים להיות בעלי מודעות טובה יותר מסתם אדם ברחוב, הפקירו ומסרו פרטים מזהים שידועים רק להם תמורת משהו פעוט כמו חפיסת שוקולד.

---------------------
מיצו
---------------------

כן, אבל אם העובד מקבל את ההתראה על התעודה כדבר שבשגרת העבודה שלו, מה הסיכוי שבכל כניסה הוא יבדוק?

אכן זו בהחלט יכולה להיות בעיה שביחד עם בעיות אחרות מצטרפת לסך כשלי אבטחה.

בנימה אישית - הסורים בחרו (לדעתי האישית והבלתי מחייבת) דווקא לתקוף את מי שהכי מזוהה בישראל עם השמאל, יש שיגידו השמאל הקיצוני (גדעון לוי וע(א)מירה הס just to name a few)...

---------------------
מיצו
---------------------

.

והנה ההוכחה, בנתיים...

---------------------
מיצו
---------------------

ציטוט:

במקור נכתב על ידי lior432 הממ...בלי לדעת כלום, אבל אולי זו הבעיה? https://www.haaretz.co.il/exchange

בלי לדעת כלום, אולי זאת הבעיה?



כשמתרגלים לכך שמסך אדום של אזהרה זה מצב רגיל ותקין, באמת "העובד האחראי" יתקשה לשים לב לכך שיש סרטיפיקט בלתי-תקין אחר. אבל מה זה אומר על אנשי המחשוב של הארגון?
(כמובן שאולי בתוך הארגון מופנים ל-IP אחר, מקבלם סרטיפיקט אחר, וכו' וכו', אבל הרי התחלנו מ"בלי לדעת כלום")

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

יאאאפפפפ........ניסחת את זה יותר טוב ממה שאני ניסחתי למיצו, אבל זו הייתה הכוונה שלי בדיוק


מה זה אומר על אנשי ה- IT?

אם הם כבר רכשו סרטיפיקט, כנראה שזו לא בעיה תקציבית, הרי הוא כבר נרכש.

אז מה נשאר? מישהו צריך ללמוד איך מייצרים CSR?

אני לא חושב שהיית בקלות מכנה "טיפש" אדם שרכב העבודה שלו היה נגנב אחרי שהגנב שם לו בננה באגזוז, חיכה שיצא לבדוק מה קרה, ואז נכנס לקבינה וברח (המפתחות בפנים), נכון?

.

זה יותר דומה ל"סע לחניון ליד המערכת, שים את המפתחות על הגג ולך לעבודה כרגיל.

כל ארגון שאני מכיר מנחה להזהר ממקרים כאלו ומודיע שלעולם לא יבקש למסור שם משתמש וסיסמא.

אגב, הססמאות שפורסמו גם לא ממש מופת של אבטחה.
אם לא כללים מינימלים שנכפו (אותיות גדולות+קטנות+מספרים) כנראה שלחצי מהאנשים הססמא היתה password או 123456. יתכן גם שזה לא מייצג ויש מתאם בין ססמאות חלשות לנפילה בפח...

ציטוט:

במקור נכתב על ידי mc3 זה יותר דומה ל"סע לחניון ליד המערכת, שים את המפתחות על הגג ולך לעבודה כרגיל. כל ארגון שאני מכיר מנחה להזהר ממקרים כאלו ומודיע שלעולם לא יבקש למסור שם משתמש וסיסמא. ח...

אני לא שופט את רמת המחדל בהתאמה לגודל הנזק, אלא ביחס לקלות שבה אפשרי להונות את מי שהיה חלק מהמחדל.

לו הייתי מכיר אותך "בחיים האמיתיים" הייתי אומר לך עכשיו משהו כזה, בידידות כמובן:

"בתוך כשלושה חודשים אפתיע אותך עם הוכחה חותכת ופשוטה לכך שנפלת קורבן להונאה מאוד מאוד שקופה, פשוטה אבל כזו שעשויות היו להיות לה תוצאות די חמורות".

מן הסתם לא הייתי מנסה להפיל אותך בפישינג דרך האי מייל, אבל אני מבטיח לך שהיית נופל בקלות לאיזשהו פישינג שבשורה התחתונה משמעותו הייתה "אם רק היית חושב - לא היית נופל" (*)

* כמובן שזה יהיה פסק דין קנטרני מצידי - כי האמת היא שמה שנכון להגיד הוא "אתה חי בשגרה, ואני העוקץ: זה אומר שכל עוד אהיה נחוש, סבלני ושקט: אני אפיל אותך".

.

אין לי ספק שאפשר להפיל אותי בעוקץ מסוג כלשהו ובפרט כזה שיראה במחשבה לאחור כאילו לא חשבתי כלל. אף אחד לא מגגש תיילים 24/7 ואם היו חוטפים לי את הלוגאין למייל של העבודה סיכוי גדול שלא הייתי מעיף מבט לבדוק אם אני ב-http או ב- https. (למרות שאני רוצה לחשוב שאם הייתי לוחץ על לינק והייתי פתאום מגיע ללוגאין הייתי חושד)

הנקודה שלי היא שהסורים לא התאמצו פה יותר מדי, הם עשו טריק משומש מהספר, בדיוק מה שמזהירים אותך ממנו.

ואני לא מדבר על "מכתבי שרשרת" שרלוונטיים לימי הווינדווס NT. אין מה לעשות ולרובינו יש עוד הרבה דברים לעשות מעבר ללהביט אל מעבר לכתף. ומה עוד שעולם המחשוב הוא רב מימדי ולא תמיד אדם בכלל מבין את המשמעות של כל קליק שהוא עושה (ולראיה: הגאות העצומה באפליקציות פלא משפרות חיים בסמארטפון שהן למעשה סוסים טרוייאניים בפוטנציה מאחר ומקבלות גישה שוטפת לכל מאגר הנתונים האישי שלך). אי אפשר כל הזמן לעצור ולבדוק על "וי" שאתה מסמן/מוריד כאשר אתה מאשר משהו... ישנם מקומות, כמו הארגון לו אני שייך, שפשוט מגדירים "סביבת עבודה" ממוחשת מבוקרת שבה רק מנהל הרשת קובע מה מראש יותקן. ע"י כך הוא מונע ממני לבצע אחוז נכבד מהטעויות הפשוטות, אבל... ביננו? מי מאיתנו לא סומך על אי אילו לוגואים כאילו מדובר על שר הבטחון המדבר אליו אישית? כאילו שגוגל חייבת לנו משהו באמת. חברה משוכללת מפיקה יתרונות עצומים מהמורכבות והשכלול - אבל לאלה יש גם מחיר נלווה. הביקורת שלי הייתה נגד אלה שמנסים ליצור תמונה כאילו פשעי הונאת מחשב היא קטגוריה נפרדת - אני טוען שזו סתם עוד הונאה. והונאות ונעשי עוקץ עושים את אותו שימוש, באותן חולשות אנוש, כל הזמן. ישנן 2 דרכים להמנע מפישינג פשוט:

1. להיות פרנואיד (ואז בהגדרה אתה מונע מעצמך להיות חלק ממכונה משוכללת)
2. לאמץ מספר מצומצם של כללים, שרובם נוגדי פזיזות, אשר מקפיצים אותך בסך הכל ליגה אחת למעלה במעלה סולם האבטחה, וע"י כך מגינים עליך מרוב רובם של תרגילי העוקץ - שמטיבם מחפשים את הפרצה הקלה. לדוגמא? אחרי שקרו לי/לעמיתים כמה פאשלות בשל לחיצה אקראית על "שלח" באי מייל/לחיצה אקראית על "בקש חברות" בפייסבוק (כאשר בפועל אותו אדם חיפש מידע על האדם לו הציע בטעות חברות, בעוד שהוא התכוון בעצם להיות עוקב סמוי!) הרגלתי את עצמי להשתמש רק במקשי "פייג דאון/פייג אפ" או החיצים במקלדת כאשר אני סוקר דפים שמכילים הרבה אפשרויות ללחיצה בלתי הפיכה על מקש/ שיוצר אינטראקציה.

באותה המידה עובדים אמורים לתרגל עצמם לכלל של "דקת צינון" לפני כל ביצוע מהלך שיוצר אינטראקציה לא הפיכה. הבעיה היא שהפישינג לרוב יפתיע אותך במקום הכי בנאלי. זה כמו שבארה"ב אימצו את שיטת "7 שניות איחור" בשידור חי של אירועים רגישים, כדי להמנע מאיזה שד נשי להראות לצופה התמים - אבל סביר להניח שלא עושים זאת בכל שידור, מה שאומר שתאורטית "עוקץ" שיחפש בכוונה להראות איזה ציץ מציץ, יעשה את זה דווקא בתוכנית בוקר באיזה ערוץ נוצרי.

.

ציטוט:

במקור נכתב על ידי g.l.s.h זו סתם עוד הונאה. והונאות ונעשי עוקץ עושים את אותו שימוש, באותן חולשות אנוש, כל הזמן.

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://static2.fjcdn.com/comments/Amen+to+that+_529c95b0a0177bd49da1edccf2feabe2.jpg]

ציטוט:

במקור נכתב על ידי g.l.s.h אני לא שופט את רמת המחדל בהתאמה לגודל הנזק, אלא ביחס לקלות שבה אפשרי להונות את מי שהיה חלק מהמחדל. לו הייתי מכיר אותך "בחיים האמיתיים" הייתי אומר לך עכשיו משהו כזה, בידידות כמובן: "בתוך כשלושה חודשים אפתיע אותך עם הוכחה חותכת ופשוטה לכך שנפלת קורבן להונאה מאוד מאוד שקופה, פשוטה אבל כזו שעשויות היו להיות לה תוצאות די חמורות". מן הסתם לא הייתי מנסה להפיל אותך בפישינג דרך האי מייל, אבל אני מבטיח לך שהיית נופל בקלות לאיזשהו פישינג שבשורה התחתונה משמעותו הייתה "אם רק היית חושב - לא היית נופל" (*) * כמובן שזה יהיה פסק דין קנטרני מצידי - כי האמת היא שמה שנכון להגיד הוא "אתה חי בשגרה, ואני העוקץ: זה אומר שכל עוד אהיה נחוש, סבלני ושקט: אני אפיל אותך".

אילו היו תופסים אותם באמצעות תקיפה ממוקדת, של מישהו שעקב אחריהם שלושה חודשים, זה היה בסדר גמור. כלומר, זה לא בסדר במובן שאנחנו עדיין לא רוצים שזה יקרה, אבל זה לא מביך ומטופש באותה רמה. כשיש עוקץ שכל העיסוק שלו זה לחפש איך להפיל מישהו שחי בשגרה, ליפול לעוקץ זה "מקובל", או לפחות נסבל.

אבל לא על זה מדובר. לקבל מכתב בדואר (ישראל, לא אלקטרוני...) שבו כתוב "אני נסיך ניגרי גולה. בוא תביא לי את כל הכסף שלך, ואני מבטיח להחזיר לך!! באמא שלי!!!!!111111" ובמקום להגיב ב-"חח (ל"ת)" ולזרוק אותו לפח, לשלוח את כל החסכונות שלך לנסיך הניגרי זה מטופש.

אתה נעלב מהמילה טיפש או מטופש? אין לך מה להעלב. כולנו טיפשים בנושא כזה או אחר. למען האמת, כולנו כושלים בהרבה יותר מנושא אחד. כל עוד אנחנו מודעים לזה ועושים את הטרייד-אוף מבחירה אין בזה שום דבר מעליב. גם רכב זה רק כלי עבודה. יכול להיות אדם שלא יודע להחליף צמיג (וזו לא בדיוק פיזיקה גרעינית). יכול להיות שהוא מעדיף להזמין חברת שירות בשביל דבר כזה, ולקחת מונית להמשך הדרך. מי שלא יודע להחליף צמיג הוא בהחלט סוג של טיפש, אבל מי אמר שזה כל כך נורא? לא אני. יש גם כאלה שפעם ידעו, ובשלב מסוים החליטו שזה מתחת לכבודם, ובגלל זה הם לא עושים את זה לבד. גם בסדר. זכותם. כל עוד הם מודעים למחיר שהם משלמים תמורת זה.

בכל שניה נופלים אלפי אנשים בעולם ל"מתקפות" מטומטמות כאלה. לעשות מזה כתבה בעיתון? מביך לגמרי.
זה כמו לדווח בעיתון "ג'יש כתב איזו חפירה על ל"ב ב-20 פלוס". אני אוהב לקרוא את ההודעות האלה, אבל אתה ברצינות חושב שזה משהו שצריך להגיע לעיתון?
ועוד לדווח דבר כזה על עצמך כאילו שזה מביא לך כבוד? הם לא דיווחו "צבא אסד חטף כתב בכיר של הארץ", ואפילו לא "ההאקרים האגדיים של צבא הסייבר הסורי בסיוע איראן ולורד זינו חדרו למחשבי 'הארץ' ושאבו משם מידע סודי ומגניב כזה או אחר", אלא "שלחו לנו מייל וביקשו את הסיסמה שלנו, ומאחר שאנחנו מפגרים הבאנו להם. חח. אופסי." מצטער. אני לא מתרשם...
http://www.haaretz.co.il/captain/1.1920357

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

לא אני נפלתי לתרגיל עוקץ... האמת שהערתי פשוט משום שכבר כמה שנים ישנו מין טרנד להתייחס לאנשים ש"אינם מבינים במחשבים מעבר לרמה X" באותו טון שמקובל לשמור עבור סיפורים על אנשים שלא יודעים לשרוך נעליים.

.

שיט, הבן זונה לא היה ניגרי?? איך עבד עליי...

מחמלי, אחיי גיבורי התהילה ,כל הרפאים , משל"ג עד 2000

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

תגובה סורית?

אולי נסיון להגיע לקבצים של אחד אורי בלאו?

דווקא הנסיון ה"חפיף" , והאשמה הסורית, יכול להיות מישהו יותר גדול, שמנסה עוד כיוון.

אפשר פשוט לקנות את המהדורה המודפסת בשביל אורי בלאו

קרן אור פתח אשכול עם קביעה שהיתה התקפה של האקרים מסוריה על "הארץ" בלי להפנות אותנו למקור הידיעה. אלמנטרי ווטסון. המקור הוא - אתר הארץ, כאן אגב - החמודים ב"הארץ" מחקו את הסיסמאות שההאקרים פרסמו, כאילו לא ניתן לראות אותם באתר של ההאקרים.
יכול היה קרן אור לציין שבידיעה נמסר שהיתה תגובת נגד של פצחן (בלשונו של הארץ) ישראלי נגד אתר עתונות סורי.
וגם אם היתה התקפה כזו, איך יודעים שהם מסוריה? כי הם אמרו שהם מסוריה או כי הפרטים פורסמו באתר
שמזדהה כ- syrian electronic army SEA ? נו שוין. אז אמרו. זה ידוע שכללי האתיקה של האקרים מחייבים אותם להצהיר עבור מי הם פועלים, אחרת רשיונם יישלל.
על אותו משקל אפשר לטעון שמדובר בכלל באמריקאים, כי הדומיין של האתר ה"סורי" רשום על כתובת במדינת פנסילבניה בארה"ב (למי שמאמין שהמידע ב- whois אמין).

כאן יִרְוֶה לוֹ מִשֶּׁפַע וָאֹשֶׁר בֶּן-עֲרָב, בֶּן-נַצֶּרֶת וּבְנִי (ז. ז'בוטינסקי, 1930)