חדשות לגבי בעיות האבטחה של ישראבלוג

מסתבר שאין כמו חוסר שינה כדי לצוץ עם רעיונות, גם אם קצת מטורפים.

היום בבוקר עלתה בדעתי דרך שאפשר לעקוף את ההגנות שיש לישראבלוג כרגע כנגד עוד תולעת מהסוג שתקפה אותו לפני שלושה שבועות (כתבתי על זה לפני יומיים).

כתבתי ליריב אימייל שמסביר את ההתקפה החדשה. להזכירכם, בפעם שעברה הוא פשוט טען שזה בלתי אפשרי. הפעם הוא כתב את התגובה הבאה:
אני בתהליך של העברת הקלט דרך מסננים שימנעו כל תג ו-attribute שאינם מורשים.

אלו חדשות מצויינות. זהו פתרון שיכול, אם ממומש כמו שצריך, לפתור אחת ולתמיד את הבעיות. כמובן שייתכן שיהיו בעיות מימוש בפתרון, אבל ברגע שהגישה נכונה, יהיה יחסית קל לפתור את הבעיות שיצוצו.

כמובן שאני אמרתי את זה כבר בינואר של שנה שעברה (לפני שנה ושליש), וחבל שיריב היה צריך שמישהו יכתוב תולעת לפני שהוא לוקח את נושא האבטחה בצורה רצינית.

כדי לעקוב אחרי הנהלים המקובלים, ומכיוון שעל פי הערכותיו של יריב ייקח בין חודש לחודשיים ליישם את הפתרון הזה, אני דוחה את הפירסום של הדרך לכתוב תולעת שתעבוד על ישראבלוג כפי שהוא כרגע. אני אפרסם את הדרך עוד חודש, או כאשר הפתרון ימומש, המוקדם מבינהם.

כן ביקשתי במפורש מיריב שייתן קרדיט כאשר הוא מפרסם. צר לי שאני דואג לא רק לישראבלוג אלא גם לביתי. באופן אישי אני חושב שהרווחתי את זה ביושר. אתם מוזמנים לחוות את דעתכם החולקת בתגובות

שחר

מאת

שחר שמש

מייסד–שותף וחבר ועד בתנועה לזכויות דיגיטליות מייסד שותף בעמותת „המקור”. פעיל קוד פתוח. מפתח שפת התכנות Practical

23 תגובות בנושא “חדשות לגבי בעיות האבטחה של ישראבלוג”

    1. אין לי שום כוונה לכתוב תולעת. רק להגיד "אם תעשו 1 2 3 אז תהיה לכם תולעת עובדת".

      בכל מקרה, תמיד קחי בחשבון את הנקודות הבאות:
      1. אני לא בן האדם החכם היחידי, בהחלט יכול להיות שמישהו אחר גם יעלה על זה, בין אם אני אפרסם ובין אם לאו.
      2. אם זה לא יקרה תוך חודש, אני קצת בספק אם זה יקרה בכלל ללא תמריץ. כמו שכבר כתבו פה, זה לא מדע גרעיני.

      לגבי מה לעשות, זה מאוד פשוט, גם אם לא נוח:
      אל תכנסי למערכת אלא אם את צריכה לעשות בה משהו (לעדכן בבלוג שלך, לבדוק סטטיסטיקות וכו’).
      אם נכנסת, תעשי את מה שאת צריכה, ואז תלחצי על "יציאה".

      ברמת העקרון ההתקפה יכולה להיות בבלוג של אנשים אחרים או אצלך בתגובות. יהיה קשה קצת להתמודד עם המגבלה על אורך התגובה, אבל לא בלתי אפשרי.

      צר לי שאני כל כך משרה פרנויה, אבל המצב לא טוב. לא ברור, ואפילו לא בהכרח סביר, שמישהו יחליט לנצל את זה.

      אלו החסרונות של שימוש במערכת לא מאובטחת.

      שחר

      1. כלומר, כל עוד אני לא מזדהה ונכנסת לבלוג שלי – הכל בסדר?
        או שהכוונה לא להתקרב לישראבלוג בכלל?
         
        בעעעההה.
        🙁
         
        מקווה שיריב יסתדר עם זה.

  1. א. ברור שמגיע לך קרדיט, אתה לא צריך להתנצל על זה.
    ב. כל הכבוד לך על ההשקעה!
    ג. זה ממש מעצבן שכל פעם צריך להירשם מחדש כדי להוסיף פוסטים!

  2. שחר, אני בהחלט חושב שמגיע לך קרדיט (אם לא יותר).
    העצות שלך שוות הרבה כסף בעולם האמיתי (בהנחה שיריב היה לוקח מישהו שזה עיסוקו על מנת לייעץ לו).
    אם יריב יממש אותן, זה גם ימנע נזק פוטנציאלי לתדמית של ישראבלוג, וכמובן, נזק ממשי למשתמשים.
    ישר כוח.

  3. אין ספק שמגיע לך קרדיט.
    כמו כן – אין ספק שבארץ משום מה אין מודעות לעניין.
    לא מבין את זה.
    אתה עושה ליריב שירות בחינם, מתריע על בעייה אמיתית והוא אפילו לא מודה בזה.
    ממש בת יענה.
    כאילו שאם הוא לא יודה, זה לא ייקרה.
    המינימום זה לתת קרדיט (ואולי גם לבקש עזרה).

    1. לתת קרדיט זה מקובל. אני חושב שחלק מהעניין זה התגובה שלו להצעה שלי לדחות את הפרסום:
      לפי הנהוג בעולם האבטחה? אפשר לחשוב שאני מיקרוסופט. אני בן אדם אחד ואני עושה פה את הפיתוח, התמיכה, הנהלת החשבונות, הפיתוח העסקי והכל.

      מה שגורם לי להניח שהוא לא מתכוון לתת קרדיט, לא.

      בכל מקרה, לגבי לבקש עזרה, זה לא מקובל להניח. כמובן שאם הוא יבקש עזרה, אני אעזור (בתשלום), אבל להרגיש "חייב" לכל פוץ שמחליט להראות לך שגיאת אבטחה גם לשכור את שירותיו זו מטלה לא הגיונית. הסיבה היחידה שהצעתי את שירותי זה בגלל הטענה שלו שהוא לא יכול.

      וכן, בהחלט יכול להיות שיריב בעצם רוצה שישרא יהיה רק אתר לבלוגים של פאקצות!1!!

      שחר

      1. אני מתייחס לזה שהוא אמר שהוא לא יכול.
        אם יש מישהו אחר שכן יכול – כדאי לפנות אליו.
        ברור שאותו אדם יכול וגם צריך לקבל שכר על מעשיו.

        אני לא מבין רק את הקטע של ההתנצלות שלך.
        הרי אף אחד לא חי כאן מעבודה לשם שמיים.
        אתה יכול וצריך לקבל קרדיט על זה – מה שאתה עושה שווה כסף.

        ולגבי הפקצות – הרגת אותי 🙂

  4. לתת קרדיט זה מקובל, ולפחות במקרה אחד שבו הצעתי לו הצעה לשיפור (דרך להגדלה של מספר התגובות לפוסט מעל 100) הוא אכן נתן לי קרדיט גם מבלי שביקשתי.

    אתה טיפה נותן יותר מדי קרדיט ליכולת התכנון של "האקרים" או למידת המוטיבציה שלהם לפרוץ לבלוגים של פקאצות או לבלוגים של שכמותנו. אין פה כסף, רק הררי מלים שחשובות בעיקר לכותביהן.

    אם באמת היית עומד מול חברה מסחרית גדולה (ונכון שאתה משלם עבור הפלטפורמה), שהיתה מסרבת לתקן את הטעון תיקון, אז מילא. אבל יריב הודיע שהוא עובד על זה.

    אתה כמובן רשאי לפרסם (כאן או בכל מקום אחר, מכיוון שלפרסם כאן איך ניתן לפרוץ את המערכת הוא בכל מקרה צעד בעייתי מבחינת תנאי השימוש) פרצות, אבל מה שסביר להניח שיקרה הוא שברגע שתפרסם את השיטה תוך חודש (ויש סיכוי סביר שבחודש הקרוב השינוי לא יתרחש עדיין) יריב יעבור לעסוק בלחסום את הפרצה החדשה ספציפית, ולהוסיף עוד טלאי על המערכת הקיימת.

    אבל שמע, לפעמים לחץ על המערכת מניב תוצאות, אנחנו לא באמת יודעים מי מתכנן לעשות מה ולמה. רק צריך לנהוג בדברים האלו בזהירות הראויה.
    1. אני לא חושב שאני מפר תנאי שימוש בזה שאני מפרסם כאן. תנאי השימוש אוסרים עלי לתקוף את המערכת, לא לפרסם טקסט, ולא משנה מהו תוכנו.

      וכן, אני לקוח משלם. יש משפט מאוד ידוע מימי ראשית האינטרנט: "http://www.unc.edu/depts/jomc/academics/dri/idog.html">באינטרנט, אף אחד לא יודע שאתה כלב". כמו שמישהו אמר פעם, אתה יכול להיות ילד מובטל שמנהל אתר מהמרתף של אמא שלו, אבל חשוב שהאתר לא יראה כאילו הוא מנוהל ע"י ילד מובטל שעובד מהמרתף של אמא שלו, וכאן אני חושש שיריב נכשל.

      לגבי הפירצה – אני לא יכול להגיד שום דבר בבטחון, אבל אני לא חושב שהפרצה הזו תבגר ע"י עוד תיקון מקומי. זו לא פירצה חדשה, כמו שזו דרך חדשה לנצל את הפרצות הקיימות שיריב כבר הודיע שהוא לא מתכוון לסגור (למעט באמצעות השינוי היסודי).

      אני לא יודע בוודאות אם זה המייל שלי שגרם לו להחליט שהגיע הזמן לסגור את הבעיה, אבל אני יודע שלפני שלושה ימים שלחתי לו מייל שעליו התשובה היתה "אין בעיה", ואתמול שלחתי אליו מייל שעליו התשובה היתה "בסדר, אני אפתור את זה".

      שחר

      1. יש הבדל בין לתאר מה ניתן לעשות לבין להדריך איך בדיוק כל אחד יכול לפרוץ לבלוגים. ואני חושב שדי ברור לכולם שניתן, ראינו כבר הדגמה, והפגנת יכולות הצבת סקריפטים מרשימות.

        העניין הוא שניתן למצוא דרכים חדשות לפרוץ למערכת שמתירה הכל "חוץ מ…", אבל מעטים הם אלו שמסוגלים לכך, וברור שאתה ביניהם. מצד שני, לך אין אינטרס ממשי לפרוץ, ולילדים פה אין את היכולת. מרגע שמישהו מצא פירצה אחת, והיא נחסמה, יקח לו המון זמן למצוא דרך חדשה.

        מה שאתה מתכוון לעשות זה בעצם לחבר את היכולת שלך למצוא פרצות עם האינטרס שלהם לנצל אותן כדי לפרוץ לבלוגים. זה לא רעיון טוב.
      2. בשוק המנעולים לדלתות, כל מנעול+מפתח מציין מה כמות הקומבינציות האפשריות. במנעולים פשוטים זה 1 ל 50,000. כלומר יש סיכוי של 1 ל 50000 שהמפתח שלך יפתח גם את המנעול של השכן שלך אם יש לכם אותו סוג מנעול. אבל הסיכוי לשימוש בנתון הזה לפריצה הוא מועט, כי גם אם המפתח שלך יתאים, רוב הסיכויים הם שאתה לא גנב.

        אבל אם תפרסם איכשהו מפה של כל המנעולים החופפים בארץ, זה כבר יהיה הרבה יותר קל לגנבים לבצע שרשראות גניבות. בעיה.

        לדעתי, בתור לקוח משלם אתה צריך להתריע על הפירצה אם גילית אותה, אבל לא בפומבי, כי אתה עלול להנזק בעצמך, וכי זה נוגד את האינטרס שלך בעצם. אם הפרצה לא תתוקן, אתה רשאי לדרוש החזר או לעזוב, ופיצוי אם נפגעת מכך שמישהו אחר ניצל את הפרצה שהתרעת נגדה. אבל אם תפרסם הוראות איך לפרוץ, תיאורטית יש עילה להוסיף אותך לתביעה של מישהו אחר.

        יכול להיות שאני טועה בגישה שלי. אבל זה פשוט מה שנראה לי נכון במקרה הזה. עד עכשיו פעלת בנושא ללא דופי ומעל ומעבר. בטוח שמגיע לך קרדיט ברגע שהנושא יפתר. חבל לי שעניין הפרסום מסיט את תשומת הלב מהבאג אל הפרוצדורה.
  5. שחר שלום,
    עברתי גם אני קצת על האופציות בישראבלוג, ומצאתי מספר דברים העלולים להוות בעיית האבטחה, כולם ללא יוצא מהכלל באמצעות פרצות XSS והחדרת script זדוני.
     
    ההצעה שלי ליריב,  היא במקביל לפעולות שהוא נוקט, לפנות ליועץ אבטחת מידע חיצוני, שיגיע עם "ראש פתוח" ויוכל לאתר את הבעיות  בצרה יותר טובה.
     
    שחר.

  6. איזה חולקת. מה פתאום.
    גם כל מה שקראתי (קצת) לאחור, נשמע נכון ומדויק.
    יש לי פוסט במצב צבירה של טיוטא, שצועק מכיוון העוול שנגרם ליוזביליות ולממשק. אתה הרבה יותר מנומס ממני.
    🙂

סגור לתגובות.