אבטחה – עמוד 8 – אסכולת הכורסא

5 באוגוסט 20095 באוגוסט 2009

הצפנת מפתח ציבורי, גרסת משרד הפנים

רשם הגורמים המאשרים במשרד המשפטים מבקש המלצות לשיטות הצפנה. אני חייב לציין שענין החתימות הדיגיטאליות חמק קצת מעיני כשעברתי לאחרונה על חוק המאגר הביומטרי. אצלי בראש היתה הפרדה בין החתימה הדיגיטאלית האישית שדוחף פרויקט "תהיל"ה", לבין תעודת (גניבת) הזהות של שטרית. היום עברתי שוב על הצעת החוק העדכנית שבידי (לצערי הנוסח הסופי להצבעה עדיין לא היה ברשת כשבדקתי לאחרונה), ואני רואה שבגוף החוק לא מצוין כלום על היות הכרטיס אמצעי לחתימה אלקטרונית עד לכמה שורות קטנות בסעיפיו האחרונים של החוק שמציינים אילו סעיפים הוא משנה או מתייחס אליהם בחוקים אחרים, כגון חוק מרשם התושבים וחוק חתימה דיגיטלית.

בקיצור בין השורות אפשר להבין במעומעם שמדובר באמת במפתח סודי שכל אזרח יקבל בתוך תעודה הזהות המתחכמת.

מפתח סודי שיוגרל ויונפק לנו ע"י מכונות הממשלה ונוכל להשתמש בו בכל מני מקומות עם תוכנות סגורות בתוך קופסאות שחורות.

למעשה זו הנקודה שצריך לשים זוג מרכאות כפולות ומכופלות מסביב למילה סודי, הנה כך: ""סודי"". אולי אפילו עדיף """סודי""" כי אף פעם אי אפשר להיות יותר מדי בטוח שהסרקאזם עבר כראוי לקוראים.

אם מישהו באמת חושב שמפתח ההצפנה הזה מגן עליכם או מזהה אתכם, אני מציע שלא תתפתו לחשוב בכיוון. כל התקשורת שתרצו להצפין בעזרתו תהיה גלויה למישהו מתישהוא, וחתימות שייוצרו בעזרתו לא יהיו בהכרח שלכם. יופי נחמה…

עוד מידע על בדיחת החתימה הדיגיטלית אצל דורון בבלוג. סיסמת אישרור החתימה? 5-8 ספרות (כדי שזה יעבוד בקיוסקים ממשלתיים אני מתאר לי).

4 באוגוסט 2009

כנס על חוק המאגר הביומטרי

עוד אין לי פרטים אבל בשבוע הבא איל"א מארגנים פאנל (או למעשה כנס של חצי יום) עם השר מיקי איתן, דורון אופק, אבנר פינצ'וק ואחרים מול שר הפנים והתחבולה לשעבר שטרית, ואחרים. המנחה הוא כנראה יעקב עמידרור והמקום הוא הבינתחומי. אני מקווה שגם סוציולוגים ומומחי אבטחה פיסית יגיעו למקום ויוכלו לתת קצת אור על כמה סכנה נשקפת לציבור אם ידלפו תמונות ביומטריות וטביעות האצבע.

אם הכנס יהיה פתוח לקהל, אעדכן עוד, כרגע המידע החלקי הזה נמסר ע"י דורון אופק. לצערי נראה שכמה מהיועצים המומחים והגדולים של שטרית לא יופיעו, אני מקווה ששטרית יסתדר לבד, כי הוא הרי יותר משפטן מהיועמ"ש ויותר מומחה הצפנות מפורפסור ביהם, אני מת לשמוע איך יתגלגל הענין.

בחדשות אחרות – טמקא פתחו פורטל קטן לענייני חוק המאגר. סחתיקה.

21 ביולי 200927 ביולי 2009

מי מופיע באגרון ומי לא?

שרון כתבה על כך שיש אנשים שהיא לא הצליחה למצוא באגרון (שהיה לרגע מקוון בווב).

ואולי יש לו קשרים בממשלה והוא ביקש להמחק מהמאגר?

כיוון שהדליפה רב פעמית, היה לי חבר ((שתחביב איסוף ה"אגרונים" שלו הוא רק אחת מהסיבות להתרחקותי ממנו)), שהראה לי יום אחד איך משפחות שלמות נמחקות פתאום החל משנה מסוימת מהאגרון. חיפשתם את הבן של משה? אין? חפשו את האבא. גם נעלם? פתאום ברשומה של הדוד רשום שיש לו אח ששמו "משה" אבל אין לו מספר זהות והוא לא מופיע באגרון החל משנה מסוימת, גם לא אישתו וילדיו. הממ…

כיון שאני לא מאמין שיש לנו בארץ תוכנית הגנת עדים, אני חושב שיש פרצה בטחונית חדשה בבלגן הזה. הקהל מוזמן לנחש מה זה אומר על עיסוקיהם של המשפחות המועלמות, והקהל גם מוזמן לנחש מה מסיקים מזה אויבינו היקרים שבוודאי אוספים את כל החומר מזה מאימיול וצוחקים כל הדרך אל בנק המטרות.

21 בדצמבר 2008

טוויטר איננו OpenID

פוסט תגובה לניב קלדרון שמנסה לטעון שטוויטר הופך לספק אופן-ID דה-פאקטו. הטיעון מתבסס על זה שקמו כבר כמה עשרות אתרים שבמקום לדרוש ממך פתיחת יוזר חדש מבקשים ממך רק את היוזר והסיסמא של טוויטר ושלום על ישראל. אני רוצה לציין כאן שזו לא רק טעות לחשוב ככה, זו גם טעות מסוכנת.

1. מסירת הסיסמא של הטוויטר שלך לגורמים צד-ג' (במיוחד שירות חדש שצץ ועוד אין עליו הרבה ביקורות) אומר שאתה נותן לעוד מישהו (חברה או רמאי "phishing") סיסמא לשליטה בשמך ותדמיתך בטוויטר. הוא יוכל לשנות לך את הסיסמא ותשאר נעול מחוץ לחשבונך. לא בדקתי כמה קל לבקש איפוס סיסמא ואם ניתן גם להחליף לך את כתובת הדואר בלי לקבל קוקי אישור מהמייל הקודם, אבל עדיין, אותו תוקף (או סתם בעל שירות שלא עבר QA) יכול למרר לך את החיים. גם ככה מספיק מסוכן היום כשהרבה דפדפנים מוסרים את הסיסמא בשבילך בקלות רבה מדי. זכרו שאתר שמחזיק את סיסמת חשבון הטוויטר שלכם מחזיק גם את פרטי ההתכתבויות הפרטיות שלכם, ואם אתם לא זהירים וממחזרים סיסמאות (ומי ביננו לא עושה את זה?), הוא גם יודע עכשיו את הסיסמא שלכם לעוד מקומות.

2. שירות OpenID אינו דורש ממך לתת את סיסמתך לאתרים אחרים, הוא גם לא מגלה עליך פרטים אישיים שלא תרצה, הוא רק מזהה אותך בצורה אחידה לכמה אתרים, האתרים הרחוקים יודעים שזה אתה ולא מישהוא אחר כי הם רואים שהURL שנתת מכיל שרת OID שסומך על סיסמתך, וזה צריך להספיק.

3. שירות שרוצה לזהות אותך באופן חח"ע וגם להשתמש בחלקים מהשירות הראשי יכול היה לקבל מפתח חלקי ומיוחד, כך למשל קורה לי עם פליקר. יש לי כבר שלוש תוכנות שונות שמשתמשות בAPI הזה. למשל uploadr, מבקש רק שם משתמש, מתחבר לפליקר ומבקש זכויות מסוימות (לדוגמא פתיחת SET חדש והעלאת תמונות, אבל לא מחיקה שלהן). פליקר שולח לו מפתח (קוקי שכזה) וכשאכנס בדפדפן לפליקר המערכת תספר לי שהתקבלה בקשה לחיבור עם זכויות מופחתות, מאיזה IP ושם התוכנית, ואם אני ביקשתי את זה אני יכול לאשר. זו הדרך האלגנטית והנכונה לעשות דברים. עד שטוויטר לא מציע את זה, אני לא אכניס את הסיסמא שלו לאתרים צד ג'. אולי אסמוך על גוגל בשביל "חבר לחבר" אבל גם בזה אינני בטוח…

14 ביוני 2008

סין. מה המשיכה?

יש לי חבר שאולי ירצה להשאיר את שמו מחוץ לפוסט הזה, אז נגיד ששמו א'.
הוא התאהב במדינה ובבחורה מקומית, ועוקר עכשיו לשם, לעבוד קצת ולהקים עסק. המזרח הרחוק זה ה"אמריקה" של אמצע המאה שעברה, הוא מספר לי. המקום שאליו טסים נהגי מוניות בת ימיים והופכים לבעלי מפעלים ויצואנים מצטיינים. אני עדיין תמה כמה בקלות יתקבל שם אדם זר, שלא דובר את השפה והתרבות המקומיים, אצל ממשלה ששמחה על משקיעים ויזמים חו"לניקיים, אבל לא ממש נותנת לך גישה בלתי מוגבלת לעולם. לפני כחודש הוא בדיוק חזר משם, אחרי שמכל מקום הוא העלה אלי לשרת את עשרות הגיגות של התמונות שהוא צילם. "באמת מרשים שבכלל היתה לך גישה החוצה לרשת" אמרתי לו. "הייתי בטוח שיחסמו לך גישה להמון אתרים ולפורטים כמו SSH" – אתם מבינים, לשרת שלי אני לא מאפשר גישה בפרוטוקולים בלתי מוצפנים כמו FTP…

"איזה! התחבר כמו גדול, קצב העלאה מטורף, גם המהירויות של אימיול בתוך סין נהדרות… רק באמת כל פעם שהתחברתי לשרת שלך על winSCP הוא עצר שוב ושוב לשאול אם לשמור את המפתח של השרת. איך מפסיקים את זה?"

פירוש ללא-בקיאים – חומת האש הסינית עושה מעשה "מאזין באמצע" לשיחות SSH ואני מניח שזה אומר שכל המידע שלך שעובר למעשה שקוף להם. כמובן שרצתי ושיניתי את כל הסיסימיות על השרת ליתר בטחון, למרות שלא ראיתי שום פעילות חשודה עליו בינתיים, אבל קחו את הענין לתשומת לבכן.

לסיכום, מישהו יכול להבין מה האטראקציה הגדולה במעבר לחיות ולעבוד במדינה טוטאליטארית?

26 באפריל 2008

מפתחי וורדפרס מציגים – איך להפחיד אנשים בזול

אף אחד לא מושלם, בכל אפליקציה מתגלים חורים. כשאנשי תוכנה דרשו שמיקרוסופט יפסיקו לפרסם שאת ויסטה לא ניתן לפרוץ כי הם מטעים את הציבור, מיקרוסופט ליגלגה ופחות מחודש אחרי כן התגלו כבר שתי פרצות חמורות. זה בסדר להודות שאין סיכוי שאתה מושלם. בניגוד לאבולוציה שקוראת על פני דורות רבים ומאפשרת הרבה יותר מקרי מוות מאשר שינויים גנטיים, בתוכנה המצב הפוך, המון שינויים בקוד קורים עוד לפני שהמוצר הוכיח את עצמו בשוק. במערכת כזו של תכנון תבוני חייבים להיות כשלים…

לפני שבועות ספורים יצאה לה וורדפרס 2.5 לעולם, והיה לכולם ברור שיהיו כאבי גדילה כי ההבדלים היו מהפכניים מספיק כדי לקרוא לה 3.0 בעיני רבים. ברור היה שמייד אחרי הסיבוב יבואו תיקונים (הנה אחד שהציק לי במיוחד), והנה הלילה הוכרזה הגרסא החדשה ושעות ספורות אח"כ גם זו העברית של רי"ה. הבעיה היא לא כמות השינויים (למעלה מ70 באגים נסגרו) אלא העובדה שההודעה דוחקת באנשים למהר ולשדרג כי "יש חורי אבטחה". המוח שלי יש רץ ומפחד מחור XSS כמו זה שפעם הפיל לי את השרת, אבל ההודעה לא מפרטת. רק סקירה דקדקנית של רשימת הבאגים שנסגרו תגלה בסוף שהבעיה היא שמשתמשים שנרשמו אצלך בבלוג כמשתמשים פשוטים יכולים לבצע כמה פעולות יותר מדי. ביננו, כמה מאיתנו בכלל מאפשרים למשתמשים הרשמה בבלוג אם אין סיבה מיוחדת? במילים אחרות החורים האלו לא משפיעים על רב המשתמשים, נדמה לי שאי-הפעלת רישום משתמשים זו אפילו ברירת המחדל של 2.5+

אז בקיצור, לכו לשדרג, אבל אל תרוצו 🙂

בינתיים, הובטחו לנו שיפורי מהירויות פנטאסטיים, אבל אני לא מרגיש אותם כי השרת שלי כבד לאחרונה. כבר שבועיים ששרת MySQL כורע תחת העומס. שיפצרתי לו הרבה מהפראמטרים כדי שיעבוד יותר מול הזכרון ופחות מול הדיסק, הוספתי אינדקסים בעדינות איפה שנראה שהם דרושים ושיפור המצב בטבלאות שונות, אבל נראה שיש אפליקציות שפשוט מתנהגות מולו בצורות מאוד לא אחראיות (PHPnuke) ואחרות בצורות קצת בזבזניות (פלאגים מסוג FireStats, Popularity contest), וזה מאיט בין השאר את קליקי ואת הבלוגים של חנית ושלי בין השאר, למרות שאכלן הביצועים הגדול הוא D-Spot על השרתית הזו. עם הגולשות הסליחה, אנחנו עדיין בודקים מה אפשר לעשות.

אם אפשר היה לעשות החלפת Drop in לפוסטגרסיקוול אולי הייתי כבר עושה גם את זה בתור ניסוי. לא מעט אנשים אמרו לי שהוא מטפל בימינו בנתונים במהירות ויעילות של מייסיקוול, ונכון לכרגע הוא לא מראה סימנים של איומים לסגירת הקוד בניגוד לאחיו המפורסם יותר. חבל שהרוב המוחץ של אפליקציות LAMP הנפוצות לא יודעות לעבוד איתו, אבל אולי בקרוב זה ישתנה…