Kobi Magnezi » Security

Homomorphy encryption, process without disclosure

admin — Tue, 30 Jun 2009 14:52:07 +0000

הצפנה מידע בצורה אסימטרית אינה נושא חדש. אלגוריתמים המבוססים על הצפנה באמצעות מפתח ציבורי ופרטי מאפשרים כיום לגלוש בבטחה באתרי בנקאות ולהעביר מידע מוצפן ברשת.

היום נתקלתי בידיעה המעניינת הזו – העוסקת בבעיה של עיבוד מידע מוצפן מבלי לחשוף אותו:
”חוקר של יבמ פיתח טכנולוגיה חדשה המאפשרת לטפל במידע מוצפן מבלי לחשוף את מהות תוכנו”

ברור שזו בעיה מורכבת יותר – כיצד להעביר לגורם שלישי מידע סודי על מנת שהוא יוכל לבצע עליו עיבוד כלשהו ולהחזיר לנו בתמורה תשובה לעיבוד שהם ביצעו וכל זאת בלי לספק להם את המפתחות שיאפשרו להם לצפות בתוכן הסודי או להבין את משמעותו – מסובך.

קריאת הידיעה, הזכירה לי נושא אחר דומה רעיונית – הקשור לעולם של ראיה ממוחשבת. המאמר הזה של שי אבידן ומשה בוטמן הנקרא Blind Vision עוסק בבעיית העברת מידע ויזואלי (וידאו / תמונות) בצורה מוצפנת לגורם צד ג’ על מנת שהוא יבצע עיבוד מסויים – פה הבעיה קשה יותר, אנחנו לא רק רוצים לא לחשוף את הקלט אלא לא מעוניינים לחשוף את האלגוריתם וצורת פעולתו.

ההצפנה המוצעת בעבודה של IBM היא הצפנה הומומורפית, מה שיכול בהחלט להיות בסיס לפתרונות בעולם “מחשוב העננים” בו הכל הופך להיות שירותי וכולם יכולים להיות צרכני שירות אז בעיית השינוע של מידע רגיש ממקום למקום הופכת להיות קריטית יותר.

Kobi Magnezi, קובי מגנזי

Conficker worm – Internet virus 1st April 2009

admin — Wed, 01 Apr 2009 22:21:57 +0000

השמועות על הוירוס שיתקוף בראשון לאפריל 2009 מילאו את הרשת בשבועות האחרונים. האמת שהייתי סקפטי (או לפחות רציתי להיות….) מסתבר שהוירוס אכן הדביק מספר לא מובטל של מחשבים בעולם וגם בישראל.

לא ברור עדיין מה טיב הוירוס, הקוד שלו לפי האנליזה תוכנן לסרוק אחר אתרי אינטרנט ולחפש הוראות הפעלה עבורו, לפיהן הוא עתיד לפעול.
אחת האפשרויות שעלתה כחשד הוא ביצוע Denial Of Service לרשת האינטרנט העולמית באמצעות הצפה של בקשות ממקומות שונים בעולם לשרתים רבים – בעצם הפיכת כל מחשב נגוע לזומבי (רובוט) שיתקוף לפי הוראה מרחוק.

מי שרוצה להיות בטוח שהוירוס לא ביקר אותו (יעדי התקיפה הם XP, Vista) – מוזמן להשתמש בכלי שפירסמה חברת סימנטק באתר שלה, בדף הוירוס.

בתקווה שהכל יעבור בשלום!

קובי מגנזי, Kobi Magnezi

How to increase your Feedburner reader counter

admin — Tue, 18 Nov 2008 19:06:50 +0000

מה קורה כשרוסי וגרמני מנסים לבצע מניפולציה על Feedburner?
הם זוכים לפירסום ב- TechCrunch !

שימו לב לוידאו הבא בו הם מתארים איך הצליחו להגדיל את כמות הקוראים בבלוג שלהם שנספרים על ידי FeedBurner בין לילה…

קובי מגנזי, Kobi Magnezi

Yahoo, Microsoft, Google and IBM to support OpenID

admin — Mon, 11 Feb 2008 11:00:49 +0000

מערכת OpenID נועדה להקל על המשתמשים בניהול הזהות שלהם באינטרנט, ביצירת פרוטוקול אחיד וסטנדרטי שיאפשר למשתמש להחזיק שם וסיסמא אחידים למגוון אתרים ויתן לו את חופש בחירת ספק הזהות שלו (בתשלום או חינם).

לא הספקנו להתאושש מכך שחברת Yahoo הודיעה בסוף ינואר שהיא תתמוך בגרסא 2.0 של OpenID וכבר הפתעה נעימה עוד יותר…

שיתוף פעולה שנראה בלתי אפשרי – יאהו, מייקרוסופט, יבמ וגוגל – שילוב שאסור להגיד בנשימה אחת בדרך כלל – ארבעת הענקים האלה ישתפו פעולה בהקמת הפדרציה לתקנון של ה- OpenID.

ברור שהאינטרסים מקדשים את המטרה – כל זמן שאת המשתמשים זה יקדם קדימה אז למה להתלונן. מה שבטוח הולך להיות מעניין.

קובי מגנזי, Kobi Magnezi.

אתר המרכז לטכנולוגיה חינוכית נפרץ

admin — Sun, 10 Feb 2008 21:21:25 +0000

בסוף השבוע ראיתי כתבה בחמש עם רפי רשף אודות אתרי מט”ח – מרכז טכנולוגי חינוכחי שמפתח אתרים למשרד החינוך.

הכתבה דיברה על כך שאתר המיועד לבני נוער למציאת מידע חינוכי נפרץ ובמקום התכנים החינוכיים נשתלו תכני זימה.

כתבה מעניינת – מביא אותה לפניכם:

זה רק אני או שגם אתם מרגישים שאבטחת מידע זה נושא חם לצערנו בזמן האחרון?!

קובי מגנזי, Kobi Magnezi

פרצת XSS נמצאה באתרים שהוגדרו כ"בטוחים"

admin — Thu, 07 Feb 2008 07:00:16 +0000

לא נעים בכלל אבל חברת האבטחה McAfee שמפעילה שירות בשם ScanAlert שמאפשר לסרוק אתרי אינטרנט ולאשר שהם נקיים ובטוחים מפני תקיפות XSS, פספסה בכמה מהבדיקות או יותר נכון 62 בדיקות (או אתרים)…

אז מה זה בכלל XSS – ראשי תיבות של Cross Site Scripting עוד פרצה מעצבנת למדיי בגלל פשטותה והקלות שבה ניתן לנצלה לרעה.
אתרי אינטרנט שמאפשרים קבלת קלט מהמתשמש ב- POST או GET ועושים שימוש בלתי מבוקר בקלט זה על ידי הצגתו חזרה ללקוח – אתם שואלים מה יכול להזיק בלהציג חזרה משהו שהלקוח כתב – לא מזיק הרבה אלא אם כן Hacker עושה שימוש לרעה ב”תכונה” הזו – קחו למשל לינק שהאקר שולח לכם במייל לאתר מהימן שאתם מכירים ואליו שותל קוד זדוני (שרשור ל- URL) שחוזר אליכם כחלק מהדף המיהמן וגורם לצרות מסוגים שונים אצלכם במחשב – נשמע שטותי?! נכון אבל פרצה נפוצה וקשה.

* דוגמא לקוד זדוני שרץ תחת אתר מהימן אלמוני בשם Google…

אז כמו שהקדמתי וסיפרתי, שני מדענים שחוקרים את הנושא גילו ש-62 אתרים שסומנו על ידי תוכנית האבטחה של McAffe כבטוחים מ- XSS נפלו במלכות XSS שהופעלה על ידם במהלך הבדיקה. כמובן שכתגובה נסמר שאין שום ראיות שהאתר נחתם כבטוח במהלך גילוי הפרצה – אבל אל לנו להקל ראש – פרצות XSS צריכות להמנע עוד במהלך הקידוד של האתר ולא על ידי סקירה בדיעבד.

קובי מגנזי, Kobi Magnezi.

HotSpot Shield – להתחבר לרשת אלחוטית ציבורית בבטחה

admin — Wed, 06 Feb 2008 18:35:12 +0000

נתקלתי אתמול בכתבה מעניינת בוואלה ששווה להביא לידיעתכם,
תוכנה שמוסיפה נדבך אבטחה נוסף למחשב שלכם בחיבור לרשתות אלחוטיות לא מוגנות (רשתות חופשיות כמו בבתי קפה) ותורמת לאנונימיות הגלישה.

התוכנה מייצרת מעין חיץ וירטואלי (כמו רשת נפרדת) בין המחשב שלכם לרשת האלחוטית עצמה כך שלמזיקים אין גישה ישירה כביכול לכרטיס הרשת הוירטואלי שלכם.

זה דבר אחד מאוד נחמד, אבל… דבר אחר שתפס את תשומת ליבי במיוחד הוא השימוש בשרת Proxy אמריקאי שבו עושה התוכנה שימוש ובחינם! משמעות הדבר הוא אנונימיות מוחלטת בה גלישה של המשתמש כאילו מובצעת מתוך ארה”ב והמשמעות הנובעת כדרך אגב מבחינתכם היא גישה לכל אתר שחושף עצמו לשימוש אך ורק בתוך ארה”ב כמו למשל אתר הבטא Hulu שנותן שירותי טלוויזיה חינם באינטרנט (ומשדר סדרות כמו Heroes בחינם) אך מוגבל אך ורק לארה”ב.

כמובן שזהו טובה שנובעת כדרך אגב והדבר העיקרי הוא נדבך האבטחה הכפול שתוכלו לקבל מהתוכנה ושקט נפשי בגלישה ברשתות אלחוטיות ציבוריות.

קובי מגנזי, Kobi Magnezi

פרטיות באינטרנט זה דבר חשוב

admin — Fri, 01 Feb 2008 11:36:34 +0000

אחת התוכניות הטובות שרצות כרגע – לא לפני הילדים, המשודרת בערוץ 10, הגדילה לעשות בהסברה על למה פרטיות באינטרנט זה דבר כל כך חשוב, למי שפספס את המערכון הקצר אני מצרף אותו פה – אחד המצחיקים:

ולסיום קישור לתוכנת חינם טובה שמטפלת בשמירה על פרטיות הגולש בשם CCleaner.

שבת שלום וסופ”ש נעים!

קובי מגנזי, Kobi Magnezi

Phishers steal Bank Leumi client passwords

admin — Sun, 27 Jan 2008 01:39:47 +0000

אבטחת מידע שוב בכותרות…

לא משנה כמה נגן על האתר שלנו וכמה נשקיע מאמצים כבירים בתשתיות חומרה ותוכנה להגנה שלו, לפעמים הדברים הפשוטים הם אלו שיכולים להכות באבטחת האתר.

בעיית ה”דיוג” (phishing) היא בדיוק בעיה מהסוג הזה שאותה ניצלו אלמונים כדי לגנוב סיסמאות של לקוחות בנק לאומי – הניצול היה של תמימותם של המשתמשים שנפלו קורבן והובלו לאתר בעל חזות זהה לאתר המקורי, לא שמו לב לכתובת האתר ולחתימה הדיגיטלית שלו ופשוט נתנו את סיסמתם ביד זרים.

לפני שנתיים כבר נכשל ניסיון של בנק אחר לגלגל אשמה לניצול זהות אינטרנט של לקוח לאחריותו אבל פסק הדין קבע ששני הצדדים אשמים – אחד הנדרש להסביר יותר והשני נדרש להיות יותר זהיר למעשיו.

אין ברירה חברים – פקחו עיניים והסבו את תשומת לב לקוחותיכם
אם פעם היו מזהירים את הילדים לא לקחת סוכריות מזרים היום צריכים להזהיר את כולנו לא להתפתות ללחוץ על לינקים לא מוכרים ולהזין סיסמאות לאתרים שלא וידאנו (באחריותנו) שהינם מהימנים.

קובי מגנזי, Kobi Magnezi.

Secured frames in your web pages

admin — Mon, 21 Jan 2008 09:06:26 +0000

השימוש המוגבר ב- AJAX וב- mashup מחזיר חזרה את הכבוד האבוד של frames לדפי האינטרנט.
אם בעבר שימוש ב- frames וחס וחלילה שלא נזכיר IFrame היו נחשבים כדבר שגוי היום כדי להיות אתר מתקדם זה פשוט Must – ראו לדוגמא את אפליקציות פייסבוק כמעט כולן מוצגות למסך בתוך IFrame.

השימוש ב- Frame פנימי באתר שלכם מעלה סוגייה חשובה של אבטחה – בעצם אתר כלשהו מארח בחלקתו אתר אחר – שטח זה הוא ללא שליטת האתר המארח אבל בהחלט עלול לפגוע בתדמיתו אם ינוצל למטרות זדוניות. קחו לדוגמא אפשרות שבה אתר מהימן מארח אפליקציה חיצונית ב- Frame שנפלה קורבן להתקפת האקרים וכעת מכילה קוד זדוני – משתמשי האתר המהימן נופלים קורבן לקוד זה.

חשוב במקרה הזה לנצל את יכולות ה- Zones של הדפדפן.
החלוקה לאזורי ביטחון מאפשרת למשתמשים להגדיר אילו אתרים משתייכים לאילו אזורים ומהן ההרשאות שהם מוכנים לתת לאזורים אלו.

כדי לשמור על בטחון ואמינות המשתמשים שלנו במידה ואנחנו משאפים (עושים mashup) עם אפליקציה אחרת – מארחים אותה באתר שלנו – רצוי להגדיר את אזור הארוח ב- Zone שהוא restricted או רמת אבטחה אחרת שאנחנו מוכנים להעניק לאתר תלוי ברמת הבטחון שיש לנו לגביו.

ההגדרה היא פשוטה – נניח שאנחנו רוצים לארח את האתר www.badsite.com:

הפרמטר security יגביל את יכולות האתר כשהוא פועל בשטחנו כך למשל Javascript לא יתאפשר בתוך האתר (אלא אם כן המשתמש בעצמו שינה את הגדרות ברירת המחדל של האבטחה בדפדפן)

שמרו על בטחון ותדמית האתר שלכם.

קובי מגנזי, Kobi Magnezi