"אני בסה"כ רוצה לעבוד קצת על המחשב, לא להיות מהנדס חלל"

אחת המהפכות הטכנולוגיות הגדולות ביותר שהיו לנו ב20 שנה האחרונות היו הבאת המחשב "האישי" אל הציבור הרחב שיאמץ אותו. כבר כתבתי יותר מידי פעמים כאן בבלוג שלי שאחת הטעויות העיקריות שנעשו זה מכירת המושג "ידידותי" ל"משתמשים" (שימו לב שהפרדתי בין ה2). Windows למשל ידידותי בדיוק כמו האדם הטכני שמשמיש אותו, ואולי אפילו פחות מזה. אותו הדבר לינוקס ד"א, אבל משום מה אנשים בטוחים שלינוקס פחות ידידותי כי צריך אנשים טכניים, אבל הם מתעלמים מהעובדה שזה קיים גם בWindows באותה מידה, ואולי אפילו בצורה חמורה יותר (כלומר פחות אנשים מסתדרים עם Windows מאשר לינוקס, בגלל שהוא יותר נפוץ).

אם נוסיף לעובודת האלו שהיום הסלולרי שלנו זה גם מחשב לכל דבר ועניין, ובנוסף האינטרנט היום הפך להיות המקום החם ביותר ביקום (האנושי) בערך להיות בו בנוסף לכך שבני האדם לא השתנו, ויש לנו אנרכיה שלמה. היות ושילטון אוהב כוח ושליטה, הוא לא מוכן לקבל את האנרכיה ורוצה לפגוע בנטרליות של הרשת, אבל לא צריך באמת שילטון בשביל זה, החוכמה האנושית עושה את העבודה בצורה מצויינת עבורו.

רוב האנשים אינם מוכנים לקחת אחריות וללמוד לעבוד עם המחשב, ולהבין את ההשלכות של השימוש בו ושל הטכנולוגיות אשר קשורות בכלי הזה – קרי לימוד מעמיק של הסביבה והחשיבה שנדרשת בשביל זה. הם כן רוצים שזה פשוט יעבוד להם כמו שהם רוצים. ואז מגיע מצב בו יש התקפה מאוד גדולה על אנשים (במקרה הזה מסיבות פוליטיות/"דתיות" [ובעיקר עסקיות]), ופתאום כולם באים בטענות על "האקרים" תורכים ש"פרצו" לאתרים וקיבלו סיסמאות. העניין הוא שזה כל כך פשוט לגלות את המידע הזה בלי להיות "האקר", "קראקר", "כובע שחור" וכו'…

הרבה מאוד מהסיסמאות ש"נפרצו" היו תאריכי לידה, שמות משתמשים, מקומות, מילים שקיימות במילון רגיל, משחקי אותיות של:

q1w2e3r4t5y6u7i8o9p0

כלומר אות והמיקום המקביל שלה מול מספר, כוכביות, סימני שאלה, סולמיות והרשימה ממשיכה. אתם חושבים שאתם חכמים, אבל יש מילונים באורך הגלות עם כל שטות והתחכמות שאתם כבר חשבתם עליהם, כי הטבע האנושי צפוי מידי ומאזינים לו כל הזמן.

העניין הוא שזה לא נגמר כאן. בתי ספר, אוניברסיטאות ומכללות, לא מלמדות אנשים שבאים ללמוד שם לחשוב ולהבין השלכות של דברים, אלא עוברים על מינימום חומר שיהיה אפשר להגיד שאפשר להתחיל לעשות משהו ולסיים עניין. אם היו לומדים ש"טכנולוגיית SSL" לא שווה מעבר למנהרה. זה כמו שיגידו שפגישה פנים מול פנים מאובטחת כי היא לא מתבצאת מרחוק. יש כל כך הרבה דברים מעבר שצריך לקחת אותם בחשבון וה SSL הוא אחד הדברים האחרונים ביותר בתחום. אבל זה לא מפריע לחברות השונות גם להתחמק מאחריות לנושאו להאשים את ה"האקרים".

14 מחשבות על “"אני בסה"כ רוצה לעבוד קצת על המחשב, לא להיות מהנדס חלל"

  1. אורי

    הסיסמא הכי חזקה שתוכל להמציא לא תהיה שווה את שנית התיחכום שהשתמשת כדי ליצור אותה, אם תשתמש בה גם לאימייל שלך, גם לפייסבוק שלך, גם לחשבון הבנק, גם לפיצריה השכונתית, גם ללוח מודעות, וכו וכו.

    וזו הבעיה החמורה שנחשפה עם חשיפת הרשימות הטורקיות. עד כאן המשתמשים ועכשיו לתקלה היותר חמורה אפילו שבעלי האתרים שאמורים להבין דבר מה באבטחה לא נתנו עליה את הדעת.

    אתר הפיצריה למשל הגיב שהוא הזהיר את המשתמשים שהם נפרצו, ושבכל מקרה לא היה פרטים של כרטיס אשראי. אבל רגע – מה פתאום קיים קובץ שמות משתמשים, מייל, וסיסמא? ממתי שומרים סיסמא בצורתה המוקרית ולא אחרי גיבוב כלשהו? ממתי שולחים סיסמא בצורה לא מגובבת דרך האינטרנט?

    אם לא היו סיסמאות שמורות, הרשימות הללו היו רשימות מטופשות של שמות ומיילים. חסרות כל שימוש.

  2. ik_5 מאת

    יותר מזה, למה לעזאזל פיצה האט צריכה ליצור רישום משתמשים עבור הזמנת פיצה ?
    הרי אפשר לדעת בעוד צורות (חוץ משמירה זמנית של הזמנה עד להדפסה שלה או משהו בסגנון) אם זה לקוח קבוע או לא, שלא נדרש כניסה לאתר עם משתמש וסיסמה…

    יש הרבה מאוד בלאגן ורצון לאגור מידע שעולה ביוקר לכולנו באופן כללי.

  3. Tzafrir Cohen

    לפיצה־האט יש קצת יותר מעשרות אלפי לקוחות. הם שמרו אצלם שמות משתמש וכו' רק של "לקוחות קבועים": לקוח קבוע יכול לקבל הנחה. ההנחה הזו נועדה לגרום לו לחזור בפעם הבאה דווקא לאותה פיצריה ולא למתחרה.

    שומרים את הסיסמה בין השאר כדי להיות נחמדים למשתמשים ולאפשר להם אפשרות של שחזור סיסמה?

  4. ik_5 מאת

    צפריר, יש דברים כמו 3des או אפילו blue fish רק בשביל הקידוד, לא חייבים לעשות message digest שאי אפשר לשחזר…

    כל הזמנה וכל מידע עבור ההזמנה, אפשר לשמור ב CRM נפרד לגמרי מהאתר וכך אפשר לדעת אם זה לקוח קבוע, הנחות וכו'…

  5. Tzafrir Cohen

    עידו, אם אפשר לשחזר את הסיסמה ששומרים (בשביל לשלוח למשתמש שאיבד אותה), גם הפורצים יכולים לעשות את זה.

    לגבי מערכת נפרדת או לא: הקוד של האתר אמור להיות בעל יכולת לרשום משתמשים חדשים, לבדוק סיסמאות של משתמשים קיימים, ועוד. שוב: צריך להניח שהפורצים יכולים לעשות לפחות מה שקוד האתר יכול לעשות.

  6. foobar

    מישהוא יכול להסביר למה אין עדיין תביעה לדין את האחראים על האתר ? אני לא אופתע עם הם שמרו עוד מידע שהם מתפדחים לרשום שנגנב (ראה ערך כתובות אמצעי תשלום וכן הלאה ).

  7. ik_5 מאת

    צפריר, כמו שאמרתי, בפיצה האט אין סיבה אמיתית לתת רישום למשתמשים.
    זה שאפשר לשחזר סיסמה עדיין מחייב אותך לממש את זה. הרי יש לך 20 שיטות, ואתה צריך לדעת מה המפתח ומה הsalt וכו' … ואם זה משתנה ממשתמש למשתמש הכמות אנרגייה לא שווה את זה ברוב המקרים.

    בהאש ד"א הרבה אנשים חוטאים עוד יותר כי הם אומרים ש"בוא נשמור כבר את הhash ברמת צד הלקוח" ואז בכלל לא צריך את סיסמה בשביל "לפרוץ".

    foobar, מי שנפגע מוזמן לתבוע.

  8. Tzafrir Cohen

    foobar, אם השתמשת באותה סיסמה לשני שרותים שונים: בעיה שלך.

    יכול להיות שהם התרשלו בהחזקת מאגר גדול של כתובות. במקרה הזה נראה לי שזו אולי עברה פלילית, אך לא אזרחית.

    ציינתי כבר שאני לא עורך־דין?

    עידו: כל הרעיון של שימוש ב־hash הוא שלא ניתן (מבחינה מעשית) לשחזר את הסיסמה. אם ניתן, הרי זו ממילא בעיה של המימוש.

    וחוץ מזה, מי אתה שתחליט בשבילם שאין סיבה לרישום משתמשים?

  9. שחזור מידע

    טוב האמת שבעולם שלנו כמו איך שהוא נראה היום מטעמי בטיחות יחסמו לך אוטוטו את הבית בבלוקים במקרה ותשלח את הבן שלך לחלק פליירים לפיצריה המקומית… ד"א אלו יהיו משטרת גוגל בטענה שהפצת ספאם לתיבות דואר…

  10. foobar

    Tzafrir , רק אדיוט משתמש באותה הסיסמה בכל האתרים.
    רוב האתרים (עד כמה שאני מכיר) שומרים את כל המידע על האשראי (מספר מלא כולל CVV) בין אם מדובר ישירות בבסיס הנתונים לבין שמירה בחלק אחר במכונה.

    וזה עוד לפני שנגענו בנושאי הקידוד של הנתונים (כיוון אחד או לא).

    עידו , כולם נפגעו מהסיפור

  11. Tzafrir Cohen

    foobar, כששומרים כרטיסי אשראי, צריך להקפיד יותר. חברות האשראי דורשות את זה. לפחות ממעט המקרים שראיתי, תוכניתנים נזהרים לא לשמור כרטיסי אשראי אם לא צריך, מכיוון ששם יש נזק כספי ברור.

    לפי כל מה שקראתי על הפריצות האחרונות, באתרים הגדולים שנפרצו לא היו פרטי כרטיסי אשראי.

    למה הכוונה בקידוד הנתונים? קידוד כך שהקוד שרץ בתוכנה (שנפרצה) לא ידע איך לקרוא אותו?

  12. אורי

    צפריר – בכל זאת אני לא רואה שום סיבה לאפשר שחזור סיסמא. אם איבדת את הסיסמא – תמיד אפשר להפיק אחת חדשה.

    כמו שכולנו מכירים מכל אתר עם חוש אחריות ברמה בסיסית..

  13. עפר פרידמן

    לא ממש מבין את הדיון על הסיסמאות, ולמה צריך להסביר היום (או בכלל) שלא שומרים סיסמאות בבסיס הנתונים (נקודה). יש אפשרויות פתרונות רבים לבעיית (תהליך) שכחתי סיסמה, ואף אחד מהם לא כולל את הצורך לשמור את הסיסמה ולא את ההאש (hash) שלה.

    צריך לזכור שגם שימוש בפונקציות ש"נפרצו" כמו sha1 או MD5 עדיין בטוח לחלוטין (מי ישקיע 9e18 פעולות בשביל למצוא סיסמה (זה אחרי שהוא מצא את ההאש שזה גם לא פשוט…)
    כמו כל דבר בישראל גם התוכניתנים (ובעיקר המנהלים) חותכים פינות, זאת התוצאה!

  14. ik_5 מאת

    עופר, לא כולם חותכים פינות, העניין הוא למצוא את אלו שלא חותכים פינות ומבינים בדיוק את הבעיות, ולא יקחו מראש אחריות על בעיות כאלו.

    דרור גולברמן אמר היום בטלויזיה שאם תתחיל תביעה משפטית נגד האתרים שנפרצו, אז דברים יתחילו להשתנות, אבל אני דווקא בספק.

כתיבת תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s