שיחה ההאקר Emad
11 באוגוסט 2012 – 21:50 | 31 תגובות

קבוצת ההאקרים הפועלת תחת שמו של אימעד מורניה, RememberEmad, ופרסמה כי פרצה לשרתי חברת ההוסטינג WebGate, פרסמה היום קובץ נוסף ובו כ-500 פרטים נוספים ובהם שמות משתמש וסיסמאות של אתרים שאוחסנו ב-WebGate. נראה כי העימות בן קבוצת …

המשך קריאה »
geek

חנון זה מגניב. תרבות החיים האינטרנטית-טכנולוגית-גאדג'טית. הדברים שמבדילים את הנערים מהגברים.

הרשת

סיפורים מהרשת, בעיקר זו הישראלית. מה קורה, מי קורה ולמה קורה.

וורדפרס

בעיקר תבניות מתורגמות לעברית ולפעמים דברים שקשורים לבלוגים ובלוגרים.

מערכות ניהול תוכן

על מערכות ניהול תוכן באינטרנט, בעיקר חינמיות ובעיקר בעברית. כלים לבניית אתרים, פורומים, גלריות ועוד.

פלטפורמות חברתיות

על רשתות חברתיות, כלים לבניית רשתות ופלטפורמות חברתיות וכל מה מכונה web 2.0

ראשי » geek, הסיפור המרכזי

פרצות טכנולוגיות ופרצות אנושיות ב-SoulSeek

מאת הזומבקי בתאריך 29 בינואר 2008 – 23:584 תגובות

 הקדמת העורך (זה אני ארז מדבר אליכם): הזומבקי לא יתלונן יותר שאני שוחט את ההלשנות שלו. מעכשיו, אם יש לו מה להגיד, הוא יכול לכתוב את זה בעצמו כאן בבלוג. פוסט ראשון שלו. ברוך הבא.

אני לא האקר, אבל אני מוצא עניין בפרצות אבטחה טכנולוגיות, ועוד יותר מכך בפרצות אבטחה אנושיות. לכן, היה לי מענין כפליים כאשר עליתי במקרה על פרצת אבטחה ב- SoulSeek, שמשלבת את שני הסוגים.
אז על מה מדובר?

SoulSeek היא תוכנת שיתוף קבצים, שנוצרה על ידי בחור ישראלי בשם ניר ארבל, אבל מרכזה דווקא בשבדיה. לתוכנה יש מיליוני משתמשים ברחבי העולם. היא מיועדת לשיתוף מוזיקה, אבל מאפשרת שיתוף סוגי קבצים רבים נוספים.

פרצה טכנולוגית 1
השימוש בתוכנה מחייב רישום (חינמי) של שם משתמש וסיסמה. הפרטים האלה, כמו שאר ההגדרות של התוכנה, שמורים בקבצים עם סיומת cfg בספריית ההתקנה. למשל, שם המשתמש והסיסמה שמורים בקובץ שנקרא login.cfg.
פרטים אלו אינם מוצפנים – פתיחה של הקובץ באמצעות ה-notepad מאפשרת לראות את הפרטים האלה בבירור.

פרצה טכנולוגית 2
התוכנה מאפשרת שיתוף של כל התיקיות במחשב עם משתמשים נוספים בתוכנה. אותם קבצי ההגדרות שמורים,  בספרייה רגילה, וכך למעשה התוכנה מאפשרת שיתוף שלהם. אמנם, קיימת הגבלה מסוימת על החיפוש אחריהם, אבל ניתן לעקוף אותה בקלות.

פרצה אנושית 1
אין שום סיבה לשתף את ספריית ההתקנה של התוכנה. אבל אם יש לתוכנה מיליוני משתמשים, בטוח שיש כמה שעשו את השטות הזאת.
עכשיו, כל מה שנותר הוא לחפש את המילה cfg, ולמצוא את אותם משתמשים. כעת, ניתן להוריד את קובץ ה-login, ושם המשתמש וסיסמתו בידיכם.

תוצאות חיפוש - קבצי cfg

פרצה אנושית 2
אבל מה אפשר לעשות עם שם המשתמש והסיסמה, חוץ מלהתחזות לאותם משתמשים ב-soulseek, והרי הרישום הוא ממילא בחינם?
כאן באה לידי ביטוי הפרצה האנושית השניה. רבים משתמשים באותו שם משתמש ואותה סיסמה באתרים שונים. מה שנותר הוא להתמקד במשתמשים בעלי שם ייחודי יחסית. אחרי השגת פרטיהם, אפשר לחפש את שם המשתמש שלהם בגוגל, ולמצוא למשל באיזה אתר הם מחזיקים חשבון אימייל.
יש הרי סיכוי טוב שהם משתמשים באותה סיסמה גם עבור האימייל שלהם, והופ – אנחנו בפנים, ומכאן אין גבול בכל מה שנוגע לחדירה לפרטיות של אותו קורבן…

אז מי אשם?
כמו בכל ריב זוגי (כמעט), שני הצדדים אשמים, כי שניהם היו יכולים למנוע אותו. אבל אם הייתי צריך לבחור את האשם העיקרי, אין ספק שזאת SoulSeek. יש מגוון גדול של דרכים שבהם התוכנה הייתה יכולה למנוע את המצב הזה. אמנם בהחלט קיימת רשלנות תורמת של המשתמשים, אבל תוכנה טובה צריכה לצמצם את אפשרויות התרומה של רשלנות המשתמשים עד למינימום.

קרא פוסטים נוספים בנושא זה:

שתף את הפוסט בטוויטר

4 תגובות »

הוסף תגובה!

עליך להיות מחובר כדי להוסיף תגובה.

123 queries in 0.179 seconds.