פריצה למאגר הנתונים של Equifax

[Fellowship]

את האזרחים.

נכון שיש לובי ונכון שככל שהאינטרסים גדולים יותר אז גם הלובי גדול וחזק יותר,
אמנם זה קצת נאיבי, אבל הייתי מצפה מהממשלה (כל ממשלה) להצליח להתעלות מעל הלוביסטים ופשוט לעשות את הדבר הנכון.

 

[randomwinds]

וזה אוטוטו יקרה

עד סוף המאה הזו ואם לא זו - הבאה

פבליק קי נשמע רעיון טוב, ואם גם הבנתי אותו, מצריך שאחזיק במחשב גם מפתח פרטי מוגן סיסמה כך שאתר הבנק ידע שהוא מתקשר איתי ... או כל מי שגנב לי את המחשב...

 

[John the Savage]

כן, המפתח הפרטי צריך להיות מוגן בסיסמה

כך שמי שגונב לך את המחשב או הסמארטפון לא יוכל להשתמש בו אלא אם הוא יודע את הסיסמה. את המפתח הפרטי כשהוא מוצפן-סיסמה אפשר גם לגבות למקרה שמשהו קורה למחשב. הבעיה היחידה היא במידה ושוכחים את הסיסמה הפרטית (ואז צריך לעבור את התהליך מחדש).

הקטע ההכי מסובך כאן זה לא המנגנון הטכני אלא האופרציה של וידוא הזהות של האדם לפני שמוסיפים את המפתח הציבורי שלו למאגר. הרעיון הוא שקודם כל האדם צריך להוכיח את זהותו באמצעים שונים שקשה יותר לזייף. לאחר הוא מקבל סיסמה ראשונית, ואז מייצר מפתח פרטי וציבורי ושולח את המפתח הציבורי.

ניסיתי לחשוב מה הייתי צריך לעשות אם הייתי רוצה להקים סטארטאפ שמספק את השירות הזה. ומה שהרתיע אותי היה כל האופרציה שמסביב. הקטע הטכני זה סיפור פשוט.

 

[randomwinds]

טביעת אצבע

סיסמה שוכחים, ולשמור אותה בענן זה לא פתרון אידאלי

בתנאי כמובן שלא ניתן יהיה לשחזר את טביעת האצבע מכוס הקפה שהשלחתי לפח. אולי זה, וגם כרטיס חכם עם ציפ

נרשמים באתר שמבקש מה שכל בנק אינטרנטי מבקש היום - תעודה מזהה, SSN (או IP PIN שאני צריך לזכור לעשות) והוכחת כתובת. בנוסף, טביעת/ות אצבע/ות

זוג המפתחות ישמר בענן. את הפרטי ניתן לפתוח רק עם טביעת אצבע וכרטיס חכם

 

[John the Savage]

עם טביעת אצבע יש שתי בעיות

קודם כל, כפי שכתבת בעצמך, די קל לזייף טביעות אצבע. ושנית, הצפנה על בסיס טביעת אצבע זה דבר בעייתי. אני חושב שיש כמה פיתוחים בעניין, אבל לא בטוח עד כמה הם אמינים.

כרטיס חכם זה פיתרון יותר טוב, אבל זה דורש השקעה מאסיבית בחומרה.

 

[Ani15]

מנצל"שת לשאלת אבטחת מידע בווטסאפ

מישהו (לא בטוח כמה אמין) הודיע לי בבטחון מוחלט שמסרים שמועברים בווטסאפ מאובטחים ברמת 8200, כלומר שאפשר להעביר בהם סודות צבאיים, והעובדה שהם מאוחסנים בשרתי ווטסאפ על הרשת לנצח לא משנה את זה. טענתו היתה שאם אני צריכה להעביר את סיסמת חשבון הבנק למישהו עדיף לעשות את זה בהודעת ווטסאפ כתובה מאשר בשיחת טלפון שעשויה להיות מוקלטת. הכצעקתה?
(מכיוון שאני בספק גדול אם מישהו ינסה להקליט את השיחות שלי - אני נורא משעממת - לא בטוח שזה נכון עבורי, ובסוף גם לא הייתי צריכה להעביר את הסיסמא הזו, אבל מאוד מעניין אותי מה רמת האבטחה של מסרי ווטסאפ כתובים)
סימוכין לכאן ולכאן יתקבלו בברכה (להעביר לגאון).

 

[John the Savage]

ההצפנה בווטסאפ היא די טובה

יש להם הצפנה "מקצה לקצה", כלומר כשאת מדברת עם מישהו שגם לו יש גירסה עדכנית של ווטסאפ, המסרים מוצפנים בעזרת מפתח שרק שניכם חולקים ביניכם. כך שגם אם מישהו פורץ לשרת של ווטסאפ הם לא יכולים לפענח את המסרים.

מה שכן, לא הייתי אומר שאפשר להעביר בהם סודות צבאיים. דבר ראשון, בגלל שהמכשיר שלך ושל הצד השני בעצמם לא מאובטחים ואפשר בקלות להשתיל באחד מהם או בשניהם רוגלה שתחשוף את המסרים הלא מוצפנים וגם את המפתחות. ואפילו בלי רוגלה, במידה ויש לך גיבוי לטלפון בענן (דרך גוגל דרייב או איי-קלאוד וכו'), גם שם יש את המסרים הלא-מוצפנים.

והמאמר הזה מדבר על חור (לפחות תיאורטי) באבטחה של ווטסאפ:
https://www.theguardian.com/technology/2017/jan/13/whatsapp-design-feature-encrypted-messages

 

[Ani15]

סליחה על הניג'וס

ונניח שהווטסאפ שלי לא הכי מעודכן בעולם? (האייפון 5 הפסיק להתמודד עם אפגריידים בהצלחה)

 

[Boston Guy]

אז באיזשהוא שלב הוא יפסיק לעבוד.

כבר היתה פאזה כזו, בוואטסאפ - לפני כשנה וחצי. במעבר "דור" (גירסא מז'ורית) - האפליקציה הישנה סירבה להיפתח ודרשה שתשדרג אותה.

 

[randomwinds]

תודה ! ותהייה

גם האתר https://www.equifax.com וגם ההשתפחות הדומעת של הCEO ביוטיוב https://www.youtube.com/watch?v=bh1gzJFVFLc מכילים קישור ל http://www.equifaxsecurity2017.com שמדוגל כ Phishing ע"י האנטיוירוס שאני משתמש בו - Bitdefender