. מאחורי המסך - בלוגים - ערוץ 7

מבזקי חדשות

שרות "עדכן אותי"
רוצה לקבל הודעה כשהבלוג מתעדכן?

בלוגים
י' טבת תשס"ו, 10/01/2006

מסננת וירטואלית.


הפעם, בניגוד להרגלי כאן בבלוג, אני בוחר לעסוק בנושא קצת טכני וממוחשב. חורי אבטחה. גם מי שאינו איש טכני או שאינו רוצה להיות כזה, חייב להיות מודע לסכנות העולות מהחורים הללו לו ולפרטיותו.

בחרתי שלא לכתוב על הדברים הרגילים והמוכרים,על וירוסים, על אבטחת מחשב אישי ודברים דומים אלא על אבטחת אתרי אינטרנט ושרתים שעליהם מאוחסן המידע הפרטי שלנו. השתדלתי גם להימנע ככל הניתן מעיסוק במינוחים טכניים, אלא בחרתי להתמקד במה שמעניין את הגולש הפשוט וזה המעט מתקדם יותר -  מה אפשר לעולל לו. בלי קצת טכני אי אפשר, כך שלפני כן אסביר כמה מושגים פשוטים.

קוד מקור - קוד מקור של האתר. ניתן לצפות בו בלחיצה על מקש ימני > הצג מקור.
מספר/ID - מספר רציף שנוצר על ידי מסד נתונים לרשומה בטבלה. המספר יכול להיות שייך למסתמש, פורום, הודעה או דבר דומה. למשל, מספר הבלוג שאתם קוראים בו עכשיו הוא 1.

חשוב לציין שאני לא חושף כיצד ניתן לנצל חורי אבטחה קיימים, אלא רק חורים שכבר תוקנו או ניתן למנהל האתר מספיק זמן על מנת לתקנם. אין לי עניין לקלקל אלא להכריח את אותם בעלי אתרים לתקן ולהפסיק לזלזל לנו בפרטיות.

כל מי שכותב באופן קבוע בפורומים הדורשים הרשמה, ודאי יודע שיש לכל גולש במערכת מספר. המספר נוצר אוטומאטית בעת ההרשמה שלו לאתר, והוא מספר קבוע, חד-ערכי המייצג את הגולש במערכת האתר. מספר חד-ערכי כזה יש גם לפורומים, הודעות, בלוגים וכל מערכת "חכמה" אחרת. את המספר הזה כל אחד יודע (בדרך כלל) וניתן להפיק אותו מהקישור לכרטיס האישי של הגולש.

לעיתים מערכת האתר אינה מאובטחת כמו שצריך, וניתן לנצל את העובדה הזו לרעה.

מקרה "כיפה".
אתר כיפה, שהוקם בשנת תש"ס הינו דוגמא מאלפת למסננת מלאת חורים שניתן לכתוב עליה ספר שהכותרת שלו היא "כך לא בונים אתר".

באמצע שנת תשס"ד נתקלתי באחד הפורומים בגולש ששמו א. שקיבל לפתע צבע סגול של מנהל בפורום. הבן אדם עצמו לא ידע להסביר במה מדובר, אולם זה סיקרן אותי לחקור. הצצתי בקוד המקור של דף שליחת ההודעה בפורומים, ולפתע צדה עיני את הדבר הזה:


אני יודעת שיש חור אבל אל תפרסם את זה.
 -מנהלת אתר ידוע

<input type="hidden" name="userid" value="3054">

לא צריך להיות מומחה בשביל להבין מה כתוב פה. כתוב פה (בתוך מקור הדף !!) את המספר של הגולש השולח את ההודעה. כלומר, השרת סומך על הגולש, שיחזיר לו את המספר שלו.

בשלב הזה החלטתי לנסות לשנות את המספר. נעזרתי ב-"שמירה בשם" ופתחתי את הדף בפנקס רשימות. עוד מספר שינויים והדף המזוייף מוכן. כתבתי בתוכו 2 מילים ולחצתי על "שלח".
ההודעה נשלחה לפורום, כשלידה מתנוסס שמה של מנהלת שאת מספרה אני כתבתי שם (מה שגרר תגובה נזעמת של א., אחר כך מישהו סיפר לי שהוא חשש שהצצתי לה למסרים האישיים ואני תהיתה מה הקשר. לימים - התחתן עם אותה המנהלת.).

יהיו עכשיו כאלו שיגידו שחורים כאלו הם בעייתו של בעל האתר בלבד. אני חושב שמדובר בבעייה של הגולשים שניתן לכתוב בשמם הודעות.

עוד חור אבטחה בכיפה שלא נחקר די הצורך: שימו לב שניתן לשלוח הודעות בפורומים מוגנים בסיסמא, על ידי שינוי המספר של הפורום בכתובת של טופס הודעה חדשה (http://www.kipa.co.il/community/newm.asp?id=43 למשל). דיווחתי להם על החור הזה לפני שנה וחצי והם עדיין לא תקנו אותו.

עד למועד פירסום המאמר - לא ניתן היה להשיג את תגובת הנהלת הקהילות בכיפה. ביקשתי, שלחתי עותק ולא עזר. תגובתם תתקבל בברכה במערכת התגובות.

מורשת, חור ברשת
כמה שנים קודם לכן, חשפתי חור אבטחה פשוט עוד יותר לניצול באתר מורשת. כתבתי אז בפורום של עזרא וניסיתי (בתמימות) לנסות להדגיש כותרת של הודעה. אז לא שלטתי כ"כ באבטחה ולא ידעתי שניתן לנצל את זה לרעה כ"כ כמו שאני יודע היום. באותה התקופה התחלתי לשחק עם הפורומים של עזרא ופירסמתי שם (בפורום הגוסס) את הקישור לאתר.

אולם, במקום לשים קישור כמו כל אחד, ניצלתי את החור הנ"ל וכך כתבתי בכותרת ההודעה:

</a><a href=http://www.ezraygccjb.net>פורום חדש לעזרא

היום לא פועל אתר בכתובת הזו, אבל כך בערך זה היה. כל מי שלחץ על ההודעה חשב לתומו שיפתח את ההודעה שלי, כשלמעשה הוא הוקפץ לדף האתר.
לאחר מכן קיבלתי מייל מנומס של אחת העובדות במורשת (כמדומני ששמה היה ציפי) שביקשה ממני יפה "לא להשתמש יותר בטריקים של HTML", זאת במקום לצעוק על האידיוט שכתב את הקוד של הפורומים על כך שהוא מסכן את הפרטיות של הגולשים ושל אנשי המערכת.

בתקופה הזו היה ידוע גם שניתן להיכנס לתפריטי הניהול של האתר בעזרת זיוף עוגיות. אני באופן אישי לא בדקתי את זה כך שאני לא יודע איפה זה היה ומה יש שם היום. אני בהחלט מקווה שהחור הזה כבר נסתם וב-"מורשת" לא מזלזלים בפרטיות הגולשים.

הבעיה הקשה במקרים הללו ודומיהם לא היתה חור האבטחה עצמו (שנגרם, אגב מהרגלי תכנות גרועים במיוחד) אלא התגובה של הנהלת האתר. רק איום בפרסום גרם להם לתקן חורים, וישנם כאלו שלא תוקנו עד היום.

ולא מדובר רק באתר כיפה ומורשת, רק שאת כיפה על מעלליו אני מכיר לעומק ואת השאר אני לא חקרתי ולא מכיר. את זה עשו אחרים. ידוע לי בעבר על חורי אבטחה חמורים במיוחד שהיו (ואולי עדיין קיימים) גם במערכות פופולאריות אחרות. רק קצת (ובאמת קצת !) ידע טכני ואתה בפנים.

נכון שזה לא נעים שכל אחד עם קצת ידע יכול להציץ לכם בתיבת המסרים האישיים באיזה אתר? או לשנות/לגנוב את הסיסמא ולפרוץ אחר כך לעוד מקום ? או סתם לשנות פרטים אישיים ? או לשלוח הודעות בשמכם ?

בשבוע הבא בעז"ה - מה זה עוגיות, מה זה הרגלי תכנות גרועים, חור באתר של עמותת שירות לאומי וחור אבטחה נוסף של אתר "כיפה".
ד' טבת תשס"ו, 04/01/2006

מאיפה מצאו עבור כל האידיוטים כ"כ הרבה חומר גלם ?


"הצבא יוצא, הטרור נכנס,
מחבל שוחרר, מתנחל נתפס.
גטו עם גדר, תיל מחושמל,
אין מוסר השכל, לא תופסים נמשל.

אין שום לקחים, שכל משובש,
מפקירים אחים, זה כבר לא חדש.
אני בהלם,
אני בחלם,

מאיפה לקחו עבור כל האידיוטים כל כך הרבה חומר גלם ?"

קניתי בשבוע שעבר את הספר והדיסקים "הרי אמרתי לכם" שכתב, ניגן, עיבד, ושר ד"ר שלום פליסר. רופא שיניים ביום יום ואדם מוסיקלי להפליא.
קצת לפני אסון אוסלו הוא התחיל להוציא שירי מחאה (ברובם הומוריסטיים) והחל לשלוח אותם לאמצעי התקשורת. הוא כתב את המילים, כתב את הלחן, ניגן ובסופו של דבר גם שר (מה לעשות, אף זמר מקצועי לא מוכן לסכן את עתידו המקצועי ולשיר שירים שהשלטון לא אוהב).


פול חייל שלי פול,
בחור שלי עדין,
 אם לא תיפול עוד היום,
מחר תעמוד לדין
 - מארש משפטי
כצפוי - אף כלי תקשורת (למעט ערוץ 7 כמובן, וגם הוא לא מספיק) לא השמיע את שיריו שנוסחו בשפה עשירה, חדה כתער וממש לא פופולארית . אפילו שאילתא בכנסת של ח"כ דב שילנסקי לשרת התקשורת דאז, שולמית אלוני מדוע מתעלמים ממנו ומשיריו לא ממש עזרה.

בשנת תשנ"ד הוא הוציא קלטת נהדרת ושמה "שירי חס ושלום" ובה אוסף משיריו על אסון אוסלו והסביבה הקרובה ("מוישה והנמר","שיר העדר - עליו השלום","המנון בולעי הצפרדעים" ואחרים)... שירים שנמצאים בדיסק הראשון של הערכה החדשה, ולו מהסיבה שהם עדיין אקטואליים.

השירים עצמם חדים כתער, אמיתיים להחריד וכתובים (ברובם) במנגינה עליזה וקומית, שמעבירה היטב את המסר הטראגי והעגום. הלחנים והעיבודים בדיסק הזה מקצועיים למדיי, וניכר כי מי שערך אותם בהחלט מבין ושולט היטב ברזי המוסיקה.

 

אני ממליץ בחום. אם אתם אוהבים את הסגנון - רוצו לקנות
כ"א כסלו תשס"ו, 22/12/2005

משטרת ישראל נלחמת בפשע


"משטרת ישראל - 100 בשבילך", זו הקריאה המקדמת את פני הנכנסים לאתר האינטרנט של משטרת ישראל. אותה משטרה שהגישה בחודשים האחרונים למעלה מ-700 כתבי אישום נגד "פושעים" מסוכנים שכל פשעם היה מאבק בתוכנית הגזענית של שרון.

המאשימה: מדינת ישראל

הבוקר קיבלתי בפקס עותק מכתב אישום נגד קטין ששמו א. יליד 14/4/1988 שגר בגוש עציון. א., כמו עוד הרבה יהודים יקרים היה על הגג של בית הכנסת בכפר דרום. בכתב האישום נכתב כי ב-18.8.05, השתתף הפושע המסוכן, אוייב העם ב"התקהלות אסורה שהחלו לבצע בה את מטרתה בהפרת השלום כדי להטיל אימה על הציבור", כך כותב התובע המשטרתי הרועד מפחד, חמי מרקוס מהתביעה המשטרתית. מרקוס המפוחד ממשיך וכותב כי המתפרעים מתחו גדרות תיל סביב הגג, הצטיידו במוטות ברזל (שכמו שראינו כוונו אך ורק כלפי רכוש) וממשיך בתיאור חומרים מסוכנים כמו מיכלי צבע, שמן, שמן מנוע לא עלינו, תרסיסים מסוגים שונים, חול, סוכר, חלב ושאר חומרים מסוכנים, וכמובן חוזר על השקר הידוע של סודה קאוסטית. אותו תובע ממשיך ומתלונן שהנערים היקרים סירבו להתפזר בכוחות עצמם וליפול כצאן לטבח.

בהמשך ממשיך מרקוס וכותב את רשימת השוטרים שברחו רועדים מפחד כל עוד נפשם בם לבית חולים לאחר שהותקפו בידי הבריונים:

רס"ר אליאס ניסים, רסל אוחיון דוד, איטח שרון, רס"ר אליו אצ'נפה אשר, מפקח אשקר וסים, סמ"ר ביטון מרדכי, רס"ל בן חמו יעקב, רס"ל בן סימון איל, סמ"ר בן סימון ירון, סמ"ר גוזלן גיא, רס"ר דגן שרון ורס"ל דדון מקסים. ליד כל אחד מהם הוא הוסיף בסוגריים "שוטר שנפצע".

בהמשך כתב האישום מוסיף התובע המשטרתי כי "הנאשם גיבה בנוכחותו את מעשי האלימות" (כלומר - אין לנו הוכחה שעשית משהו, אבל גם אין הוכחה שלא) ומוסיף כי הבריון העבריין התיז קצף על כוחות הביטחון. אוי ואבוי.

 

כשקיבלתי את כתב האישום נכנסתי לאתר המשטרה באינטרנט. ציפיתי לראות ירידה חדה בכמות הפשיעות החמורות לאור מעצר הפושעים החמורים, אולם לא.

בשנת 2004 (למשל) היו 423 נסיונות לרצח ו-174 רציחות, 1364 תיקים פליליים על הימורים, 3903 תיקים על אונס וכו'.

באותו אתר גם אני רואה את טיפול המשטרה הרגוע והחינוכי כלפי נוער עבריין, אבל פה מדובר בצעירים אנסים, שודדים, סוחרי סמים או סתם גנבים, ולא צעירים פושעים שסתם היו על הגג בכפר דרום.

 

העובדות מדברות בעד עצמן. המשטרה רועדת מפחד, נשאלת השאלה רק ממי וממה: מא' וחבריו או שמא דווקא בכירי המשטרה חוששים לכיסואתיהם המרופדים ולמשכורתם השמנה, ועל כן מבצעים רדיפה פוליטית על עבירות זוטרות ?
י' כסלו תשס"ו, 11/12/2005

"קדימה - לכלא"


 
הבוקר שמעתי (כמה צפוי) על עוד נבל שערק מהליכוד למפלגת קדימה (לקו הירוק, ואחר כך לקו הכחול אי שם מערבה לתל אביב). והאמת? נהניתי.
נהניתי לראות את מופז שוב הוכיח כמה הוא צבוע ושקרן ושוב הוא מפקיר את ה(כהגדרתו) הבית שלו, לאחר שהפקיד את מדחת יוסוף הי"ד בקבר יוסף, והפקיר את עקורי גוש קטיף.
 
נהנתי לראות אותו מצטרף לאותה חבורה חסרת זהות וחסרת אופי המכונה קדימה
 
נהנתי.
 
 
אני אמנם לא נביא ולא מגלה עתידות, וגם לא רוצה/מתיימר להיות כזה אבל יש לי תחושה חזקה שמפלגת "קדימה" של אריאל שרון היא השיטה של היושב במרומים לסלק את כל המושחתים והבוגדים ולנקות את השלטון היהודי מהפושעים השונים.
המפלגה הנ"ל, הוקמה על ידי ראש הצבועים, אריאל שרון (מי שעושה מעשה זמרי ומבקש שכר כפנחס), נתגלתה עד מהרה ככר איסוף פורה ונוח לכל המושחתים והרשעים מכל הקשת הפוליטית. החל בשאול מופז, צחי הנגבי, רוני בראון, ציפי לבני, עמרי שרון (מורשע על פי הודאתו), שמעון פרס (זוכה פרס נוֹבֵל לשלום), חיים רמון, אהוד אולמרט ואחרים (וסליחה מרשות בתי הסוהר ופרקליטות המדינה אם פספסתי מישהו).
 
ה(ש|ס)קרים אמנם נותנים למפלגה הזו כמה עשרות מנדטים, אולם אלו אותם סקרים שלפיהם שמעון פרס היה מזמן ראש הממשלה וראש העבודה. ברור היום לכל יהודי, כך אני מקווה שבמדינת ישראל "מדבר סקר תרחק".
 

אני לא יודע מה איתכם - אבל אני פשוט נהנה לראות את כל המושחתים והגנבים באותה המפלגה. שיגנבו וירמו את עצמם ויעזבו אותנו במנוחה.
 
 
כ"ט חשון תשס"ו, 01/12/2005

קולות של חיות, ושאר מרעין בישין


הפעם, בניגוד להרגלי לכתוב על המצב במדינתנו, בחרתי לכתוב על נושא אחר. סטודנטים בהתהוות, סתם סטודנטים וגם סטודנטים לשעבר יוכלו בשמחה להזדהות איתו. אלו שלא - יחשבו פעמיים כנראה לפני שילכו ללמוד מקצוע מדוייק.

היום אני רוצה לכתוב על חומר מסוכן מאוד. חומר שגורם לתופעות ששוות מחקר בפני עצמו.

במבט ראשון הוא נראה חומר לימוד תמים (ואני מצטט: חשבון אינפיניטיסמלי מהווה בסיס לכל המדעים המדויקים. ללא אינפי, מושג האינטגרל והנגזרת לא היו קיימים שהן מרכיבים הכרחים בפיזיקה, הסתברות וסטטיסטיקה, וכמובן בתחום המתמטיקה), בפועל, מדוייק יותר לומר שמדובר בסם מסוכן.

מאז תחילת הסמסטר הראשון גיליתי תופעה שבתחילה נראית לי מוזרה: כמעט בכל ימות השבוע (להוציא שני וחמישי) בשעות הערב, חבריי לספסל הלימודים פשוט מתחילים להשתגע. החל מאנשים שמתחילים לעשות קולות, לקשקש בלי פשר או סתם לרקוד כמו ילדים בגן חובה.

מדובר כמובן באנשים רציניים, סטודנטים למקצועות נחשבים כמו הנדסת תוכנה (אני...), הנדסה רפואית, ניהול תעשייתי, ביו-אינפורמטיקה, הנדסת מחשבים ועוד.

בתחילה חשדתי כי מישהו הזריק חומר ממסטל (אלכוהול, חשיש, לא יודע מה) לתוך השתיה בארוחת צהריים בחדר אוכל, אולם לאחר שהתברר שהתופעה קיימת גם אצל כאלו שלא אוכלים בחדר האוכל - נותרתי עם סימן השאלה.

לקח לי עוד שבוע להבין שיש קשר ישיר בין שיעור "חשבון אינפיטיסימלי" בצהריים או שיעורי הבית במקצוע הזה, לחוסר השפיות המזעזע שמופיע בשעות הערב. מי שלמד בצהריים או בערב על כך ש-X או N שואף לאפס (ומה לעזאזל שואף/מסניף המרצה ?!), בערב נראה כמו אדם שברח מבית משוגעים. כך ניתן לראות סטודנטים יושבים מסביב לשולחן שעליו תרגילים באינפי, ומתחילים לחכות קולות של חיות (אלמלא הייתי מצלם בוידאו - איש לא היה מאמין לי !), לשיר שירים של ילדים בגן, לפלוט שטויות בלי קשר (ואחר כך להתנער "למדנו אינפי") וכיוצא בזה.

אדוני שר הבריאות - איפה הפסיכיאטר המחוזי ?
או שמא עדיף אולי לפנות לממונה על גן החיות התנ"כי, שיישמח לקבל לשורותיו כבשים, עיזים ופרות ?


עמוד: ראשון | 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

מאחורי המסך

מאת משה למפרט
בלוגו של צעיר חובש כיפה. כותב על נושאים מגוונים בין פוליטיקה לבין אינטרנט ונושאים טכנולוגיים.
הירשם ל RSS של הבלוג


תגובות, הערות, הערות ומעטפות נפץ ניתן להעביר בדואר אלקטרוני: moshel@a7.org
 

© כל הזכויות שמורות לישראל נשיונל ניוז.
צור קשר    פרסמו אצלנו   חדשות ערוץ 7   הפוך לדף הבית    Israel News
קישורים נבחרים: משכנתא בתי עץ דרושים ביטוח דירה דירות להשכרה פנסיה פרחים קידום אתרים ביטוח רכב משכנתא דירות למכירה פסנתרים השכרת רכב יבוא אישי ביטוח דרושים ביטוח רכב ביטוח בריאות קופות גמל דרושים ביטוח רכב הסרת שיער צימרים מסחר במט"ח משכנתא בניית אתרים תכשיטים ג'קוזי החזרי מס עבודה בחו"ל הסרת משקפיים בלייזר