הפוסט הנצפה ביותר בשנת 2011

Posted by Michael Haephrati מיכאל האפרתי on December 31, 2011

כתבתי השנה באתרים רבים: Reader, XPlace, Code Project, Amiga.org, ישראבלוג, תפוז, Article Base, EFind, במה חדשה, מיקרוסופט ישראל, קפה דה מרקר, אנשים ומחשבים (פרסמתי מאמרים ישנים מהשנים 1992 ועד 1994), Authors, E-Mago (שלוש שאלות), וגם טרמינל, WikiHow, SlideShare, אקדמיק, וMaker.

תמה שנת 2011 ובדקתי בסטטיסטיקות, מה היה הפוסט שנצפה על ידי המספר הגדול ביותר של אנשים, בשנת 2011. אני זוכר את סוף השבוע שבו נכתב פוסט זה, שהחל מהתנסות אמיתית של דנה, בתי הגדולה, ובהמשך אמה, שהצטרפה אליה, בכתיבת מאמרים וטיפים בתשלום.

הקלות הבלתי נסבלת של פרסום מאמרים באינטרנט

שתי בנותי, נראו עסוקות בימים האחרונים, וכך התברר שהן מצאו עיסוק חדש: כתיבת מאמרים וטיפים בתשלום.

אתר חדש מציע 2 ש”ח לכל מאמר, ושתיהן החליטו להרים את הכפפה והן כותבות מאמרים על כל נושא שבעולם.

בהתחלה, עבדו על כל מאמר זמן רב. ריכזו חומר. אספו מקורות מידע. עשו הגהה ורק אז העלו, כאשר עוברות עליהן ועלינו ההורים, שעות מורטות עצבים: האם המאמר יאושר ויפורסם?

אולם לאט לאט התברר להן שגם ללא הגהה, וגם ללא אימות מקורות המידע, וריכוז החומר, המאמרים תמיד פורסמו.

אמנם בתחילה, מקבל כל מאמר סטטוס של “בבדיקה”, אולם לאחר מספר שעות, מגיע המייל המיוחל ובו האישור על פרסום.

ישבנו בשבת והמצאנו יישובים שאינם קיימים, תופעה פסיכיאטרית בשם “תרנגופוביה”, ועוד כיד הדמיון הטובה.

ומכאן היה זה אך טבעי שהקריטריונים ייבדקו לעומקם, על מנת לקבל מענה על השאלה: האם סדרת המאמרים על המושב הדמיוני “בן עז” או מאמר על פיסול באמצעות חטיף “אגוזי” או אם ללכת רחוק יותר, מאמר “מקצועי” על תופעת ה”תרנגופוביה”… האם כל אלה יפורסמו?

והתשובה החד משמעית: “כן”!

יוצרי האתר, ואולי יוצרי אתרים דומים נוספים, אינם כאן כדי להעשיר את עולמנו במידע מהימן ובדוק, או לתת לנו טיפים בנושאים כאלה ואחרים. האתרים נוצרו במטרה אחת ויחידה: להביא “HIT”ים, על מנת לקבל כמה שיותר כסף בגין שטחי הפרסום, ובמיוחד מודעות ממומנות המופיעות לצד כל מאמר כזה.

כדי להמחיש טענה זו, נסו לחפש את מושב בן עז, פרי מוחן של בנותיי, אשר הפך לבדיחה משפחתית. המושב חי וקיים בדפים רבים, רובם יובילו לאותם מאמרים שדנה ואמה כתבו ביממה האחרונה. ..

או למשל, אם לחזור לתופעת ה”תרנגופוביה”, ביצענו גם על מושג זה חיפוש בגוגל…

המאמרים עצמם (כפי שתראו בשתי דוגמאות מצורפות כאן), הם הוכחה חיה ונושמת לאותה קלות בלתי נסבלת של תופעת המאמרים והטיפים באינטרנט. למידע עצמו ולאותנטיות שלו ערך משני בלבד, שכן נוצרה סינרגיה בין בעלי האתרים, ספקי שטחי הפרסום והמשתמשים, וכך יוצא שאם חיפשתי “בן עז” או “תרנגופוביה”, מצאתי, פתחתי וקראתי, כל הצדדים יוצאים מורווחים. כולם חוץ מהגולש המסכן שבאמת רוצה ללמוד משהו חדש או לברר אודות דבר מה…

כפי שתראו מהרשימה הלקוחה מאזור ניהול המשתמש באתר, רוב המאמרים אושרו נכון לכתיבת שורות אלה:

כדי לבחון את הנושא לעומק, ובין השאר לבחון את אותו מודל עסקי מעורר שאלות, ובין השאר על מנת לבדוק האם ניתן לפרסם כל דבר ובלבד שניתן להציג לצידו מודעה ממומנת (עם דגש על כל דבר), הצעתי לבנותיי האהובות ללכת עם הפרוייקט צעד אחד קדימה, ולכתוב ביחד תוכנת מחשב קטנה שתייצר 350 מאמרים שונים בדקה וחצי. התוכנה כתובה בVBA שהיא שפת המאקרו של אופיס. אולם חשוב לזכור, שמות המאמרים ותוכנם ההזוי מדברים בעד עצמם בכל מקרה.

עכשיו, קצת הסבר טכני על שימוש בפקודות מאקרו ובשפת VBA באמצעות WORD.

כשפותחים את תוכנת Word, צריך להופיע tab בשם Developer.

במידה וזה אינו מופיע, יש לשנות את האפשרות הבאה:

ועכשיו נעבור לחלק הכיפי והוא התוכנה עצמה.

לוחצים על כפתור: Visual Basic ומופיע המסך הבא.

עכשיו אפשר להתחיל לכתוב את התוכנה עצמה. כתבתי משהו פשוט שמבוסס על שילוב משפטים שנוסחו מראש באמצעות בחירה של מספרים אקראיים על ידי המחשב.

וכך זה נמשך…

התוכנה נמשכת (242 שורות קוד בסך הכל), וכשלוחצים על RUN, ניתן לקבל מאמר אחד, או 350, והכל בתוך שניות.

בשלב הבא, יצרנו משתמש, כותב, בשם משה כחליל *. המטרה, לכתוב מאמרים הזויים ואוטומטיים ולראות עד כמה קל יהיה לגרום להם להתפרסם.

ועכשיו נעבור לתוצאות.

תיירות ומלאכת יד וגם כל מה בספקטרום שבינהם

מאת משה כחליל

אני גאה להציג את המאמר לתת למענה אחת ולתמיד בחיבור המיוחד שאני מוצא בין תיירות ומלאכת יד.

מעשה שהיה כך היה .נסעתי לכנס חשוב ששכחתי את שמו אולם לא אשכח את אחד הנואמים. הוא נאם בדיוק אחרי הנאום שלי והתברר לי מאוחר יותר, דרך אשתו, שהוא מתמחה בתיירות.

ועם זאת, הרי שלמרבה האירוניה, אני מומחה לא קטן (וגם לא גדול…) במה שנקרא מלאכת יד.

ואם שאלתם היכן כל זה קרה, אז התשובה היא: פקיסטן.

וכאן אפשר לספר שאכן כן. זה קורה. זה אפשרי. יש מקום להפגיש את התחומים מלאכת יד ותיירות!

חזרתי הביתה עייף אך מרוצה ובעודי הולך בשביל המוליך על ביתי, התהדהד במוחי הקודח המשפט:

“כישלון הוא רק הזדמנות להתחיל מחדש בדרך נבונה יותר”.

ועד הפעם הבאה, להשתמע, משה.

או…

פסיכיאטריה וקולנוע דברים ששאלתי את אמא

מאת משה כחליל

ישבתי וכתבתי את הדברים הבאים כדי לתת למענה אחת ולתמיד בשילוב יחיד במינו שבין פסיכיאטריה וקולנוע.

ברצוני לפתוח בכך שאספר סיפור אישי, אשר קרה לפני כשנה .נסעתי לכנס חשוב ששכחתי את שמו אולם לא אשכח את אחד הנואמים. הוא נאם בדיוק אחרי הנאום שלי והתברר לי מאוחר יותר, דרך אשתו, שהוא מתמחה בפסיכיאטריה.

עכשיו, שימו לב, אני לא מומחה גדול אבל רואה עצמי מבין דבר או שניים הקשור לקולנוע.

ולא שזה משנה אבל הכל מתרחש באנגולה.

ולא כאן הפואנטה אבל חברות בין אנשים תמיד נוצרת במצבים הכי פחות צפויים, ואולם לא מן הנמנע לבחון כאן גם את השאלה אין מחברים חלב ובשר, או לצורך העניין קולנוע ופסיכיאטריה!

חברים יקרים. קולגות. קוראים. מורי ורביי: זכרו תמיד את המשפט המפורסם

“נר קטן יכול להאיר חשכה גדולה. חשכה גדולה לא יכולה לכבות נר קטן”.

ועד הפעם הבאה, להשתמע, משה

לא צריך להיות מדען בNASA כדי לכתוב תוכנה כזו, אבל הרבה צחוקים היו אצלנו בבית בשבת, במיוחד אחרי שהחלו להגיע הודעות מייל ובהן האישור המיוחל.

והמייל אכן הגיע…

פרטי האתר אינם מפורסמים כאן על מנת לא להזיק לו חלילה, ובנוסף, הריני להצהיר כי ככל שמדובר במאמרים אלה, במידה ובנותיי תקבלנה שיק , לאחר שתצברנה סכום של 700 ש”ח (כמובטח באתר), השיק יוחזר לשולח.

בתוך כך, הרימה הילדה את הכפפה ושכללה את תוכנת הVBA והתוצאה כבר הרבה יותר משוכללת: מאמרים שונים ומגוונים והכל ללא מגע יד אדם…

ולסיום רק בשביל הקוריוז כמה מאמרים שגירסה 2 של התוכנה מייצרת…

מאמר מהגירסה הראשונה:

דת ואסטרולוגיה על הקשר בינהם

מאת משה כחליל

המאמר נכתב כדי לתת תשובות לשאלות מציקות בתחום שהוא למעשה משיק לתחומים דת ואסטרולוגיה.

ברצוני לפתוח בכך שאספר סיפור אישי, אשר קרה לפני כשנה .אשקר אם אומר לכם שלא הופתעתי לגלות במפגש פסגה בין אנשי מקצוע מן השורה הראשונה, אדם שלמד איתי בבית ספר יסודי ולא התבלט במיוחד ואו אז נודע לי שהוא מתמחה בדת.

עכשיו, שימו לב, אני לא מומחה גדול אבל רואה עצמי מבין דבר או שניים הקשור לאסטרולוגיה.

ולא שזה משנה אבל הכל מתרחש ביוון.

ולא כאן הפואנטה אבל חברות בין אנשים תמיד נוצרת במצבים הכי פחות צפויים, ואולם לא מן הנמנע לבחון כאן גם את השאלה אין מחברים חלב ובשר, או לצורך העניין אסטרולוגיה ודת!

חברים יקרים. קולגות. קוראים. מורי ורביי: זכרו תמיד את המשפט המפורסם

“אין הזדמנות טובה יותר לקבל עוד, מאשר בעת הבעת תודה על מה שיש לך כבר. הודיה פותחת דלתות של הזדמנות לרעיונות שנקרים בדרכך”.

ועד הפעם הבאה, להשתמע, משה

ועכשיו לגירסה המשופרת שבתי הגאונה כתבה:

המיתוס של סיזיפוס ופיזיקה -שטויות במיץ עגבניות?

מאת משה כחליל

הדברים המובאים כאן נועדו להסביר מידע חשוב מאין כמוהו במובן הפילוסופי של התחומים המיתוס של סיזיפוס ופיזיקה.

העובדות לא משקרות. ביום שישי שעבר .בחתונה של בתי לפני שנתיים, דיברתי עם איש הקייטרינג, שהתפלאתי לשמוע שבזמנו החופשי הוא מתמחה להמיתוס של סיזיפוס.

ובוודאי לא תופתעו אם אספר לכם שאני מתמחה בפיזיקה.

ויש חשיבות לעובדה שהדברים קרו בתאילנד.

זה היה מצחיק. מפתיע ומרגש. ואני יכול היום לומר שיש תחום חשוב ומחייב מחקר מעמיק והוא השילוב שבין פיזיקה והמיתוס של סיזיפוס!

קוראים יקרים, אי אפשר לסיים מאמר מהסוג הזה בלי לצטט משפט ישן-נושן שמלווה אותי כבר שנים:

“אם אתה רוצה את הקשת בענן, אתה צריך לסבול גם את הגשם”.

ועד הפעם הבאה, להשתמע, משה

לסיכום:

אם מתבוננים על תופעה זו, ועל מרכיביה, מתקבלת התחושה שאם קיימת “בועה” הרי שהפירסום באינטרנט, קידום אתרים במנועי חיפוש, והסינרגיה בין כל הנפשות המעורבות בתהליך הזה, יוצרים בועה חדשה שעתידה להתפוצץ. מדובר בבועת המידע חסר הערך הממשי המסתובב במרחבי האינטרנט.

“משה כחליל” הנו דמות בדיונית אשר אין כל קשר בינה לבין אדם אמיתי כלשהו.

האם המידע שלך מוגן

Posted by Michael Haephrati מיכאל האפרתי on December 11, 2011

פעמים רבות שמעתי אנשים מציינים שמידע כזה או אחר מאוכסן על מדיה מגנטית נפרדת והגישה אליה היא ממחשב שאינו מחובר לאינטרנט. נראה שקיימת קונספציה לפיה מידע כזה בטוח ומוגן.

במאמר זה אנסה לענות על השאלה, כיצד תוכנות ניטור אוספות מידע גם ממדיה חיצונית, לרבות ממחשבים שכלל אינם מחוברים לאינטרנט.

הכספת

במהלך פיתוח תוכנת Target Eye Monitoring System, חשבתי על הפיצ’ר הזה שיבטיח שני דברים: ניטור מידע בזמן שבו האוביקט אינו מחובר לאינטרנט, וניטור מידע ממדיה נשלפת כגון דיסק און קי, גם אם זו מוכנסת למחשב בזמן שאינו מחובר לאינטרנט. קראתי לפיצ’ר זה: הכספת.

פיצ’ר זה, אשר למעשה נכלל בגירסה 2004 של התוכנה, מאפשר שורה של תהליכים אשר הופכים את הבלתי אפשרי לאפשרי.

הקומפיילר

תהליך התקנת “רכיב” של תוכנת ניטור, מבוסס על בניית סיפור כיסוי. אם האובייקט הוא טרוריסט חובב כדורגל, יבנה המפעיל סיפור כיסוי שימשוך את הטרוריסט לפתוח את הקובץ במסווה של סרטון על כדורגל, ועוד כהנה וכהנה. תוכנת Target Eye Monitoring System לא כללה מרכיב של החדרה מרחוק וגם היום מרכיב זה אינו חלק מהתוכנה, וההתקנה הנה באחריות משתמש הקצה, על פי רוב, רשות אכיפת חוק או סוכנות ביון כזו או אחרת. מי שמעורה בתחום יודע שהסיכוי לקבל מאפ”י (אגף הפיקוח על הייצוא במשרד הביטחון), היתרי ייצוא בטחוני למוצר הכולל מנגנון התקנה מרחוק נמוך אם לא אפסי. עם זאת, ניתן ליצור רכיב מותאם למשימה, והדבר נעשה באמצעות כלי הקרוי “הקומפיילר”.

מסך הקומפיילר של טרגט איי בגירסת 2004

הערה כללית: תוכנת ניטור טובה יודעת להתקין את עצמה במספר מקומות, רצוי נסתרים, וליצור מספר תסריטי הפעלה חליפיים אשר מגבים זה את זה. תסריטים אלה כוללים גם מצב בו המחשב המנוטר אינו מחובר לאינטרנט, או שמחשב אחר מחובר לאינטרנט.

ניטור מידע ממחשב שאינו מחובר לאינטרנט

המנגנון הראשון הוא מנגנון ניטור בזמן שמחשב אינו מחובר לאינטרנט. מנגנון זה מבצע את אותן פעולות במצב ההפעלה הרגיל, אלא שבמקום לשדר את המידע לשרת מרוחק, נשמר המידע באופן מוצפן ונסתר במחשב המנוטר, מתוך מטרה לשדר את כל המידע שנאסף בהזדמנות הראשונה. מנגנון כזה צריך לקחת בחשבון מצב שבו נפח המידע יגדל מעבר לגודל מסויים ואז, בדומה למצלמת אבטחה, למחוק את הישן לטובת החדש.

ניטור מידע ממדיה נשלפת (Disk on key)

מנגנון נוסף, מזהה הכנסת דיסק און קי, וכאשר זה מוכנס, נאסף המידע שמאוכסן עליו, וגם אם המחשב אליו הוכנסה המדיה אינו מחובר לאינטרנט, נאסף המידע ומוסתר כחלק מהמנגנון הראשון. במהלך תהליך זה, ניתן להעביר מידע גם בכיוון ההפוך, קרי: להתקין תוכנה נסתרת המופעלת אוטומטית ( autorun) בדיסק און קי עצמו, עם עותק של הרכיב שמותקן במחשב אליו הוא הוכנס.

ניטור ממידע ממחשב שלעולם לא מחובר לאינטרנט

עכשיו, נניח שאותו דיסק און קי מוכנס לקודש הקודשים, מחשב נוסף אשר לעולם לא מתחבר לאינרנט. עם הכנסת הדיסק און קי, תותקן תוכנת הניטור במחשב זה, ותאסוף מידע אשר יישמר באופן נסתר ויאסף, זאת לאור העובדה שהוא לא מחובר לאינטרנט.

כאן ניתן להוסיף מנגנון נוסף (רביעי) אשר עם הכנסת דיסק און קי, לא רק מעתיקה אליו את הרכיב (בautorun), אלא שאם קיים מידע נסתר שנאסף בשל היות המחשב מנותק מהאינטרנט, הרי שמידע זה יועתק באופן נסתר לדיסק און קי, על מנת שאם תוכנס מדיה זו למחשב אחר, המידע יתווסף למידע נסתר שנאסף המחשב החדש, והראשון מבין שני המחשבים שיתחבר לאינטרנט – המידע ששמור בו (שתמיד יהיה עדכני לשני המחשבים + הדיסק און קי עצמו) ישודר לאינטרנט.

אז תחברו אחד ועוד אחד, ותראו עד כמה פשוט לנטר מחשב שלעולם לא היה מחובר לאינטרנט ולעולם לא יהיה מחובר…

אז איך בכל זאת להגן על המידע

להלן מספר פתרונות אשר יבטיחו מניעת זליגת מידע:

הצפנת דיסק

על מנת להבטיח שמידע לא יזלוג ממחשב (בין אם הוא מחובר או לא מחובר לאינטרנט), מומלץ להשתמש בהצפנת דיסק, כדוגמת BitLocker. הצפנה כזו תהפוך קבצים גם אם יזלגו החוצה לבלתי קריאים. על מנת לבצע פעולה זו באמצעות כלי מערכת ההפעלה Windows, יש להשתמש בגירסת Ultimate הכוללת פיצ’ר זה. אמנם בשנת 2009 פורסם כי חוקרים מחברת המחקר פראונהופר הגרמנית טוענים כי פיתחו דרכים לפריצת הצפנה זו (שידועה בחוזקתה עד כי גם גופי אכיפת חוק אינם מסוגלים לפתוח הצפנה של קבצים שהוצפנו על מחשב אחד ללא המחשב עצמו), אולם למעשה, אין מדובר בפריצת ההצפנה עצמה אלא סוג של סימולציה המחייבת נוכחות פיסית וחיבור התקן USB למחשב המוצפן מה שאומר שהשילוב של Bit Locker ורב בריח אמור לספק את ההגנה והשקט הנפשי…

נטרול מנגנון AutoRun למדיה חיצונית

הכוונה היא למנוע הפעלה אוטומטית של כל מדיה, לרבות DVD ותקליטורים, וכמובן Disk on key.

מפעילים את כלי הניהול: Gpedit.msc

כלי הניהול של Windows

עוברים לComputer Configuration

משם מרחיבים לAdministrative Templates

ואז Windows Components

ולחיצה על Autoplay Policies.

ואז בחירה בEnabled, ובחירה בAll drives באופציה Turn off Autoplay.

לאחר מכן יש לבצע אתחול של המחשב.

המסקנה

המסקנה המתבקשת היא ששום מידע אינו מוגן ב100%, וטריקים של בידוד מחשב מרשת האינטרנט בוודאי שאינם עובדים, כל עוד למחשב המבודד אינטראקציה כלשהי עם העולם. ברור שמחשב ששמור בכספת ועליו מידע יקר ערך, יישמר כל עוד אין כל אינטראקציה עם מחשב זה, אולם כשם שעובד בית חולים שגר בבית סטרילי, מביא איתו הביתה את המחלות, כך גם קיימת סכנה לשלמות מידע השמור במחשב “סטרילי” כל עוד זה בא במגע כזה או אחר, ישיר או עקיף, עם מדיה או התקנים חיצוניים.

* הקלק כאן למידע נוסף על טרגט איי

הגנה על מסמכים עם סיסמה – האמנם?

Posted by Michael Haephrati מיכאל האפרתי on December 11, 2011

כל המוצרים בסדרת Office, לדוגמה מעבד התמלילים Word, מאפשרים הוספת סיסמה למסמך. מדובר באמצעי מצויין למניעת קריאת מסמך באם יגיע בטעות לאדם זר.

נשאלת השאלה, עד כמה יעילה הגנת ססמה כזו. התשובה היא: לא במיוחד, ועל כך במאמר הבא:

סיסמאות בשחר ההיסטוריה (של אופיס)

בגרסאות ישנות של Office, הגנת הסיסמה הייתה מגוכחת עד כדי כך שניתן בתהליך שנמשך כשתי שניות לחשוף ולהציג את הסיסמה של מסמך מגירסאות אופיס 97 או אופיס 2000, או לחליפין, להסיר את הגנת הסיסמה במחי יד. כיצד זה מתבצע? פשוט מאד. הסיסמה נמצאת מוצפנת בהצפנה פשוטה ביותר וזהה לכל המסמכים ולכל המשתמשים, אשר מאוכסנת בגוף מסמך האופיס. מספיק לפתוח את המסמך שלא באמצעות תוכנת אופיס, אלא באמצעות תוכנת עריכה טקסטואלית, ולאתר אותה (בגירסאות 97 ו-2000, מיקום הסיסמה זהה בכל מסמך). ההצפנה כל כך פשוטה שגם מי שלא מכיר את אלגוריתם ההצפנה (שנמצא באינטרנט כמובן), מספיק להצפין מסמך בסיסמה ידועה מראש (נניח 1234) ולראות מה הערך המוצפן במסמך, ודרך זה לעשות את הפעולה ההפוכה של לאתר את הסיסמה בה הוצפן המסמך, דרך הגירסה המוצפנת של הסיסמה. עד כאן, ההצפנה של גירסאות אופיס הישנות.

חידושי אופיס 2003

בגירסאות מתקדמות יותר, כמו אופיס 2003, ניתן להגן על מסמך בסיסמה, וקיימת הצפנה חזקה ובלתי ניתנת לפריצה, אלא שגם כאן ישנה בעיה. משתמש הקצה אמור לבחור את חוזק ההצפנה כאשר ברירת המחדל היא אותה הצפנה חלשה של הגירסאות הקודמות. כך שאם לא ידעת שניתן להגן על מסמך בהצפנה חזקה, סביר להניח שהמסמך שלך מוגן בהצפנה חלשה. חלשה מאד, אפילו.

המצב כיום

בגירסאות החדשות של אופיס, הגנת הסיסמה בלתי ניתנת לפיצוח, קרי: לא ניתן באמצעים סבירים לפצח את ההצפנה שמשמשת לאכסן את הסיסמה שנבחרה ולחשוף אותה. אולם גם בכך אין סוף פסוק. ניתן לאתר סיסמה מבלי לפצח את ההצפנה לה היא משמשת. כדי לפשט את ההסבר, אם הסיסמה שבחרת היא בת 4 תווים, וסיסמה זו משמשת להצפנה החזקה בעולם, תוך שימוש בכל אמצעי אבטחת המידע האפשריים, עדיין מספיק לנחש 10000 קומבינציות, ולבטח אחת מהן תקלע למטרה. 10000 קומבינציות זה משהו שמחשב ממוצע עושה בשניות בודדות.

בית תוכנה שכל התמחותו, כלים לפריצת סיסמאות מסמכים

מאז שנת 1990 פועלת ברוסיה חברה בשם CrackPassword. המוצרים שלהם ניתנים להורדה בחינם, וכשמדובר בסיסמאות מורכבות, יש לרכוש בכמה עשרות דולרים את הגירסה המסחרית.

התהליך של ניסוי כל הקומבינציות נקרא Brute Force. בשונה מאתר אינטרנט או שרת, שם (כך לפחות במצב תקין) השרת אמור לחסום מספר של נסיונות להכניס סיסמה שגויה, מה שהופך תהליך זה ללא פרקטי, שכן עיקרו – הפעלה אוטומטית ולא הקלדה של מאות אלפי ומיליוני סיסמאות על ידי בן אנוש, הרי שכשמדובר בתוכנה המותקנת במחשב מקומי, אין כיום מנגנון שימנע מקראקר לנסות את כל הקומבינציות, ואחרי שעות או חודשים לאתר את הסיסמה. תוכנת Word לא תנעל את עצמה tאו תחסום את הפורץ אחרי X נסיונות…

כיצד יוצרים סיסמה חזקה

נשאלת השאלה מתי סיסמה הופכת להיות חזקה מספיק כדי שלא ניתן יהיה לפצח אותה (כשכאמור, פיצוח סיסמה כלל לא מצריך פיצוח אלגוריתם ההצפנה בו השתמשו בסיסמה זו). הכל תלוי במהירות המעבד, ובמספר המעבדים במחשב. תוכנה לפיצוח סיסמאות, יכולה לבדוק כ-40,000 סיסמאות אפשריות בשניה! בלי להכנס לחישובים מתמטיים, ניתן לקבוע שסיסמה המורכבת מספרות בלבד, תאותר במהירות בזק, בעוד שסיסמה שמורכבת משילוב של אותיות, סימנים מיוחדים, ספרות ואותיות בעברית (כלומר שילוב של אנגלית + עברית) עשויה להיות בלתי ניתנת לאיתור בזמן ומשאבים סבירים, כל עוד הסיסמה ארוכה דיה (25 תווים ומעלה).

המוצר של CrackPassword ניתן להורדה בלינק הבא:

http://www.elcomsoft.com/download/aopr_setup_en.msi

מדובר בתוכנה אמינה ביותר שאני מכיר עוד משנת 2000, ומאז רק הלכה והשתכללה משנה לשנה. אם מצאתם מסמך ישן שכבר הספקתם לשכוח באיזה סיסמה הגנתם עליו, ולמעשה לא רק מסמך אלא כל קובץ מוגן סיסמה, לרבות ZIP, גליון אקסל, בסיס נתונים, מצגת וחשבון מייל, וכד’.

הטכניקה לשחזור סיסמה לחשבון מייל או אתר אינטרנט כלשהו הנה שונה. כאמור, שיטת הbrute force לא תעבוד במקרה הזה, ומצד שני, מידע מסוג זה נשמר במחשב וניתן לשליפה בקלות.

כיצד נשמר במחשב מידע על סיסמאות שהוקלדו

המידע על סיסמאות ושמות משתמש שהוקלדו בBrowser או בתוכנות שנות (למשל Outlook), נשמר דרך קבע במחשב שלכם. המידע נשמר באזור שנקרא Protected Storage, ובעזרת כלים רבים (חינמיים) לשליפת מידע זה, ניתן למצוא את פרטי כל האתרים שביקשו שם משתמש וסיסמה, לרבות חשבונות מייל, וכולל אווטלוק וכלי תוכנה אחרים, ולא רק אתרי אינטרנט, כאשר המידע כולל בדרך כלל שם משתמש, סיסמה ואת שם האפליקציה או האתר. לדוגמה, אם תוכנת המייל שלכם היא אווטלוק או Outlook Express ניתן לאתר את המידע על כל חשבון מייל, לרבות פרטי שרת מייל וסיסמה. חלק גדול מכלים אלה נחסם על ידי אנטי וירוסים, זאת על מנת למנוע שימוש זדוני בכלים אלה, על אף שאם שכחתם סיסמה, תוכלו בדרך זו לגלות אותה על בהנחה שהסיסמה נקבעה על המחשב ממנו אתם מנסים לשחזר.

לחיפוש כלי לצפיה בסיסמאות השמורות במחשב שלכם, חפשו בגוגל: Protected storage viewer

כיצד להגן על מידע זה

הדרך היעילה (ועם זאת הכי פחות נוחה) להגן על המידע ולמנוע גילוי שלו הנה לא לסמן לעולם “שמור סיסמה לפעמים הבאות” או בקשה דומה, לא בקשה באתר ולא בקשה בתוכנה מקומית כגון Outlook. אליה וקוץ בה, אם מותקן במחשב כלי ניטור או רוגלה הכולל מרכיב של key logger, הרי שכל הקלדה כזו תוקלט.

לכן יש להניח כי סיסמת כניסה לאתר או לחשבון מייל אינה מידע שניתן להגן עליו, וכדי להיות מוגנים בכל זאת, הפתרון הוא באמצעות הצפנת המיילים עצמם.

מוצר זול ויעיל הנו certificate שמצורף אוטומטית לכל הודעת מייל שאתם שולחים.

ניתן לרכוש בלינק הבא:

http://www.comodo.com/e-commerce/email-certificates/email-privacy.php

וכמובן שכל אלה לא יעילים אם לא מגינים על המחשב בפני נוזקות ורוגלות, וההמלצה שלי היא על Kaspersky בתור הכלי האולטימטיבי (Firewall וכמובן אנטי וירוס).

והכי חשוב: לא להשתמש באותה סיסמה לשתי מטרות. לא למחזר את אותן סיסמאות (או את אותה סיסמה) לפייסבוק, ולג’י מייל, ובטח שלא להפוך את הקוד הסודי בכספומט או בתא הקולי לסיסמת המייל או תוכנה / מסמך אחרים. סיסמה טובה צריכה להיות ארוכה, מגוונת (שילוב של ספרות, אותיות וסימנים מיוחדים), ואקראית. המושג “אקראי” הוא מטעה, שכן כבר הוכח ששום דבר כמעט אינו אקראי, ביחוד כשמדובר בתוכנת מחשב, אולם זה כבר נושא לכתבה אחרת. רק עצה: השתמשו בתו מיוחד כחלק מהסיסמה. מספר הסימנים בשיטת הקידוד הנפוצה 255. כל הסימנים שבאים לפני תו הרווח (ערך 32) אינם קריאים, כך שנותרים אלה שבין 32 ל255. אלה כוללים תווים בעברית (או בשפה אחרת), לטינית (אותיות קטנות + גדולות), ספרות וסימנים מיוחדים. בחרו תו פחות נפוץ.

אם תבדקו תוכנה לשיחזור סיסמאות, האופציות שמופעלות כברירת מחדל הן אלה:

כלומר, תווים בעברית יכללו בחיפוש רק אם תבחרו Custom Character Set.

אולם אם תתבוננו במספר הסימנים המיוחדים שקיימים במטריצת הקידוד הסטנדרטית, בוודאי תמצאו תווים עוד יותר איזוטריים.

בחרו לפחות אחד כזה, כמובן כל עוד התוכנה או האתר מתירים זאת.

לצורך הבדיקה, שמרתי מסמך (בו נערך מאמר זה) מוגן בסיסמה הבאה “©”. למרות שמדובר בסיסמה בת תו אחד, תגלו שרוב הכלים לא יגלו סיסמה זו ולא מספקים ממשק שיאפשר לכם לאתר סיסמה זו אלא אם ידעתם מראש באיזה תווים מיוחדים ייעשה שימוש.

לקריאה נוספת: כיצד לדעת אם חשבון הGmail שלך נפרץ.