אפשר גם וגם

מיכאל האפרתי Michael Haephrati

לפני מספר חודשים נחשפה פעילות ה"האקר הסעודי" והיקפה, אשר התבטאה בין השאר בגנבת פרטי אזרחים ישראלים לרבות מספרי כרטיסי אשראי שלהם ומספרי תעודות זהות, וכן פרטי חשבונות מייל ואינטרנט שונים שהם מחזיקים (שם משתמש וסיסמה). פעילות ההאקר הסעודי וחבורתו לא נפסקה וניתן לקרוא עליה ולהתעדכן בבלוג הבא.

אחד הכשלים שנחשפים מהפרשה נוגע לעובדה שפרטי מידע רגישים כגון מספרי כרטיסי אשראי ותעודות זהות, נשמרים על ידי אתרים רבים, ויש בכך פירצה הקוראת לגנב.

ביום ראשון האחרון הודיע משרד המשפטים כי הוא בכוונתו לאסור על אתרי אינטרנט לאסוף מספרי זהות של משתמשים ללא הצדקה ממשית. משמעות הדבר היא שאתרים יעברו להשתמש במספר לקוח שהם ייצרו לכל לקוח ולקוח. מספר הלקוח ישמש כמזהה חד ערכי לכל אחד מלקוחות האתר באופן שיאפשר להבדיל בין לקוחות הנושאים, לדוגמה, את אותו שם, וכך משה כהן מתל אביב הנושא מספר לקוח X יזוהה כלקוח שונה ממשה כהן מתל אביב הנושא מספר…

View original post 428 מילים נוספות

מודעות פרסומת

5 תגובות ל-“אפשר גם וגם

  1. לא ינום ולא ישן מוחו החד של מיכאל האפרתי ששם לפניו לשמור על אזרחי העולם הקיברנטי.
    אשרי האיש שזכה להכירו ולא ישב במושב ליצים. 🙂
    לי אישית הקלות הבלתי מובנת שבישראל נותנים את מס' תעודת הזהות לכל דיכפין מבלי להבין כמה רוע אפשר לעשות עם המספר הזה, צורמת עד מאוד.
    בקנדה למשל, מודגש ומודגש לכל אזרח לשמור על ה
    SIN (SOCIAL INSURANCE NUMBER
    ואכן לא ידרשו לתת אותו על סתם מסמךי ואף יקפידו לשמור עליו.
    ואצלנו, חלם, כל כרטיס של מועדון לקוחות מוכר על ידי מספר הזיהוי של הלקוח ובמחשב של המועדון הכל מוזן לדאטה בייס שהתולעת האוקסמרית יודעת בקלות לפרוץ ולגנוב. איכסה!!!!
    תודה על עוד מאמר מאיר ומואר!!!

  2. מה הבעיה להכין rainbow table של כל קומבינציות המספרים מ 0 עד 99999999 ולהריץ מול הבסיס נתונים? לדעתי הפתרון חסר משמעות.

    • מדובר במנגנון hashing כדוגמת md5 שמייצר מחרוזת ייחודית וחד ערכית.
      לא משהו שניתן לפרוץ בלי לבצע brute force במשך שנים ! והכל תלוי בחוזק ההצפנה.
       

      • יש הבדל מ א ו ד גדול בזמן שלוקח לפענך מחרוזת hash בשימוש ב rainbow tables לבין brute force פרימיטיבי.

        יש הרבה מאמרים בנושא, אבל אני ממליץ להתחיל את הדיון מכאן:
        http://www.ethicalhacker.net/content/view/94/24/
        התשובה היא שלא – זה לא ייקח שנים.

        אגב, גם אם זה ייקח שנה, מספר ת.ז עדיין יהיה מידע רלוונטי. נקודה למחשבה.

  3. זה לא נכון כי הצפנה חד כיוונית עם מפתח חזק, ואלגוריתם שהוא וריאציה לא מוכרת העושה שימוש בפרמטרים לא ידועים שהם ספציפים לאתר, בשילוב עם מנגנוני הצפנה נוספים כגון עירבול והוספת ערכים זבליים (רנדומלים) לערך, padding וכיו"ב יכולה להבטיח עמידה בסטנדרטים המחמירים ביותר.

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s