פרצות טכנולוגיות ופרצות אנושיות ב-SoulSeek
הקדמת העורך (זה אני ארז מדבר אליכם): הזומבקי לא יתלונן יותר שאני שוחט את ההלשנות שלו. מעכשיו, אם יש לו מה להגיד, הוא יכול לכתוב את זה בעצמו כאן בבלוג. פוסט ראשון שלו. ברוך הבא.
אני לא האקר, אבל אני מוצא עניין בפרצות אבטחה טכנולוגיות, ועוד יותר מכך בפרצות אבטחה אנושיות. לכן, היה לי מענין כפליים כאשר עליתי במקרה על פרצת אבטחה ב- SoulSeek, שמשלבת את שני הסוגים.
אז על מה מדובר?
SoulSeek היא תוכנת שיתוף קבצים, שנוצרה על ידי בחור ישראלי בשם ניר ארבל, אבל מרכזה דווקא בשבדיה. לתוכנה יש מיליוני משתמשים ברחבי העולם. היא מיועדת לשיתוף מוזיקה, אבל מאפשרת שיתוף סוגי קבצים רבים נוספים.
פרצה טכנולוגית 1
השימוש בתוכנה מחייב רישום (חינמי) של שם משתמש וסיסמה. הפרטים האלה, כמו שאר ההגדרות של התוכנה, שמורים בקבצים עם סיומת cfg בספריית ההתקנה. למשל, שם המשתמש והסיסמה שמורים בקובץ שנקרא login.cfg.
פרטים אלו אינם מוצפנים – פתיחה של הקובץ באמצעות ה-notepad מאפשרת לראות את הפרטים האלה בבירור.
פרצה טכנולוגית 2
התוכנה מאפשרת שיתוף של כל התיקיות במחשב עם משתמשים נוספים בתוכנה. אותם קבצי ההגדרות שמורים, בספרייה רגילה, וכך למעשה התוכנה מאפשרת שיתוף שלהם. אמנם, קיימת הגבלה מסוימת על החיפוש אחריהם, אבל ניתן לעקוף אותה בקלות.
פרצה אנושית 1
אין שום סיבה לשתף את ספריית ההתקנה של התוכנה. אבל אם יש לתוכנה מיליוני משתמשים, בטוח שיש כמה שעשו את השטות הזאת.
עכשיו, כל מה שנותר הוא לחפש את המילה cfg, ולמצוא את אותם משתמשים. כעת, ניתן להוריד את קובץ ה-login, ושם המשתמש וסיסמתו בידיכם.
פרצה אנושית 2
אבל מה אפשר לעשות עם שם המשתמש והסיסמה, חוץ מלהתחזות לאותם משתמשים ב-soulseek, והרי הרישום הוא ממילא בחינם?
כאן באה לידי ביטוי הפרצה האנושית השניה. רבים משתמשים באותו שם משתמש ואותה סיסמה באתרים שונים. מה שנותר הוא להתמקד במשתמשים בעלי שם ייחודי יחסית. אחרי השגת פרטיהם, אפשר לחפש את שם המשתמש שלהם בגוגל, ולמצוא למשל באיזה אתר הם מחזיקים חשבון אימייל.
יש הרי סיכוי טוב שהם משתמשים באותה סיסמה גם עבור האימייל שלהם, והופ – אנחנו בפנים, ומכאן אין גבול בכל מה שנוגע לחדירה לפרטיות של אותו קורבן…
אז מי אשם?
כמו בכל ריב זוגי (כמעט), שני הצדדים אשמים, כי שניהם היו יכולים למנוע אותו. אבל אם הייתי צריך לבחור את האשם העיקרי, אין ספק שזאת SoulSeek. יש מגוון גדול של דרכים שבהם התוכנה הייתה יכולה למנוע את המצב הזה. אמנם בהחלט קיימת רשלנות תורמת של המשתמשים, אבל תוכנה טובה צריכה לצמצם את אפשרויות התרומה של רשלנות המשתמשים עד למינימום.
מזל שאני לא משתמש בזה
ואבסורד מאוד עד כמה זה נגיש לפריצה ולא דורש התחכמות בנושא
יופי של כתבה ראשונה… מובנת ולעניין. אצלי, SoulSeek זאת היסטוריה… היתה תוכנת השיתוף המועדפת עלי לפני 6 שנים…
כתבה ראשונה?? יפה לך, שכנעת אותי !
אני לא אגע ב soulseek .
ואם כבר עסקת בנושא, האם אפשר להגדיר משהו אחרת ולהתגבר על הפרצות??
That alone wwas an egregious oversight on thheir own part, since cbdededebacg