יום ראשון, מאי 10, 2009

הכוח לבלוגים - מישהוא באמת מופתע

זוכרים שבזמן האחרון אני כותב הרבה על מערכות התוכן באקדמיה ?
בן אם זה על העובדה שהקוד בדר"כ לא עובד (מערכת ה HighLearn משל"ס וראשים) לבין פרצות אבטחה בסיסיות שמאפשרות אגירה של כל המידע על הסטודנטים.

היום הייתי בשיחה עם מחלקת תוכנה ומנהלת הIT בארגון בנושא (לאחר שהפוסט שלי הגיע לחברת ראשים ו המוסד).

הם די הופתעו מהעובדה שניתן באמצעות האזנה פשוטה של מה שנשלח ע"ג רשת הLAN לאסוף סיסמאות ושמות משתמשים ,
על העובדה שבהרבה מקומות LDAP (או הידוע יותר כ Active Directory ) הוא לא יותר מאפשר פירצת אבטחה (מאפשרת לשלוף את כל שמות המשתמשים בארגון).
ועוד יותר מכמות החורים שקיימת במערכת.

החלק המעניין היה כאשר הם "הופתעו" שאנשים דיווחו להם על באגים.
אבל החלק שאותי הכעיס בכל העסק זה חוסר הידע הבסיסי שהוצג בן עם בשימוש במושגים כמו האקרים לתאר Script Kiddie , חוסר ההבנה הבסיסי בתוכנה ופרוטוקולים מאנשים שזהוא מקצועם .
וכמו בן עם הרצון להדביק כאילו מה שעשיתי היה לא בסדר (דאגתי להבהיר שמה שאני עשיתי הוא רק לקרוא את הדפים שנשלחו אלי).

לא יודע אבל עצם העובדה ש(כביכול) מנכל החברה בחר להגיב (לדברי משתתפי השיחה) יכול להצביע על משהוא.
אכשיו נשאלת השאלה האם אתם הסטודנטים שמתמשים במערכות מחשוב אקדמיות כמו ראשים או HighLearn תציפו את הבעיה יותר למעלה (עצם זה שהם לא משתמשים בSSL מאפשר צבירה של הנתונים שלכם).

העלתי נושא שמקומות כמו טכניון משתמשים בmoodle ואז הועלתה נקודה שהטיכניון (כביכול) לא מרוצה ומחפש תחליף (בגלל הוצאות פיתוח על מפתחים).
אני באמת לא יודע אבל לדעתי כאשר מקום משתמש במוצר קוד פתוח ומאפשר שליחת תיקוני באגים ופאטצים זה רק יתרון ,

נשאלת השאלה מי מהמוסדות בארץ משתמש במבערכת ההילרן (לאחר שכבר דנו במערכת ראשים) נלקח מאתר בריטניקה :
אוניברסיטת בן גוריון
אוניברסיטת בר אילן
אוניברסיטה העברית
אוניברסיטת חיפה
אוניברסיטת תל אביב
בית הספר הגבוה לטכנולוגיה (בג"ט)
המכון הטכנולוגי חולון
המכללה האקדמית כנרת בעמק הירדן
המכללה האקדמית להנדסה בת"א
המכללה האקדמית להנדסה סמי שמעון
המסלול האקדמי - המכללה למנהל
מטח - אלפא התיכון הווירטואלימיט"ל\ מחב"א
מכון מופ"ת
מכללת אחווה
מכללת דרבי
מכללת הגליל המערבי
מכללת נתניה
סמינר הקיבוצים
קמפוס לאומי למורים
I Teach You
בית ספר רמות חפר
בית ספר ברנר

*** נערך בשביל להסביר טוב יותר ***

מעט מאוד מוסדות מגנות על עצמן ע"י שימוש ב אבטחה בסיסית , כמו אבטחה של הנתוניםושימוש בסיסי ב SSL או בצורה מוצפנת אבל צריך לזכור כי כל המערכת חייבית להיות מאובטחת (כי חלק גדול מהנתונים נשלחים וניתנים לתפיסה כי למרות שחלק מהעמוד יהיה מוצפן (הLogin) יהיו נתונים שישלחו ברשת וניתן יהיה לטפוס אותם ברשת ע"י האזנה.

גם במידה והLogin נשלח בצורה מוצפנת אבל שאר הדף איננו מוצפן נתונים שמגעים בצורה לא מוצפנת יכולים להאגר , בן עם דרך מערכות הסיפרייה , בין עם מערכות הניהול של העובדים ובן אם אצל הגולשים עצמם.

חשוב לזכור שאין בעיה ספציפית בתוכנה מסויימת אלה זה אוסף של דברים שמאפשר את הבעיה , לדוגמה ע"פ הידוע לי מערכת כמו משל"ס שהיא מוצפנת בדר"כ מחזיקה נתונים אישיים שניתן יהיה להגיע אליהם לאחר שקיבלת את שם המשתמש והסיסמה בדרכים אחרות.

חשוב לזכור שגם שימוש ב SSL לא תמיד יפתור את הבעיה עם המפתחים טעו ושולחים מידע בצורה בלתי מוצפנת.
תיאור טוב ניתן למצוא במאמר על התקפות SSL.

אדם לא מאמין ינסה להגיד כי האזנה צריכה להתבצע ע"ג הרשת (צריכים להיות חברים ברשת) ורשתות Wi-Fi (בארגון) או רשתות LAN אינן פרוסות כל כך.
חשוב לזכור שהיום באמצעים מאוד פשוטים ניתן להגיע לטווחים של 1 ק"מ בתוך העיר ברשתות Wi-Fi (מחייב LOS) .
ולא צריך להיות גאון גדול בשביל להתחבר לרשת Ethernet עם כבל ומחשב נייד נכון ?

בשיחה העלתי נקודה שחשוב לזכור ה"צורך הוא אבי ההמצאה" :

כל עוד המערכות לא עובדות (מערכת שלא ניתן להשתמש בה בדפדפן פירפוקס , קונקי ו ספארי איננה מערכת עובדת) יגרמו שאנשים יכתבו קוד בשביל לעבוד איתם.
אני באמת לא מאמין שמישהוא עדיין מאמין במוסדות שיתקנו את הבעיות (אני אישית ויתרתי אני לא מאמין שלאנשים אכפת) , אלא שאנשים ישברו את הראש , יקראו את הקוד וילמדו את הפרוטוקולים רק בשביל להגיע לנקודה שהם יוכלו להשתמש במוצרים שעליהם שילמו.

התוצאה תיהיה הסברים מפורטים , קוד חופשי (או סתם קוד פתוח) שכל אדם מהישוב (שגם איננו מתכנת יוכל להשתמש).
הרי הנה אני פירסמתי מספר Perl Modules ועוד מישהו פירסם מימוש ב C# ויש אנשים שאפילו כתבו ב JS ,
הכול בשביל שבסופו של דבר יוכלו להשתמש במערכות האקדמיה.
לא סתם דברים כמו BSD , לינוקס , תוכנה חופשית צמחו מהאקדמיה הדברים נעשו בגלל צורך של אנשים.

לאחר כל אלה צריך לזכור שיש כאלה שהם Black Hat או סתם ילדי סקריפטים משועממים ,
אתם באמת חושבים שאנשים אלו לא ישתמשו בידע שלהם (שבדר"כ עולה על הידע של אנשי ה IT ) לטובתם האישית ?

זאת היתה הסיבה (יותר נכון התגובה של דותן) שהסכמתי לבוא לשיחה ולהעלות את נושא האבטחה הלקוייה (ושימוש במוצרים שלא עובדים ).

רון העלה נקודה כי ביולי 2009 תיצא מערכת חדשה (מכלול 3 ? ) נשאלת השאלה האם תכתב נכון ? האם היא באמת תעבוד לפי הסטנדרט.
האם היא תעבוד או שהיא גם תוגבל לשימוש בדפדפן כלשהוא על מערכת הפעלה מאוד מסויימת.
בנוסף מה באמת מבטיח שהחברות יעברו להשתמש במערכת החדשה ?

לאחר כניסה לאתר החברה הדבר אפילו מפחיד יותר ע"פ הפירסום המערכת יכולה אפילו לבצע פעולות בנקאיות (יכול להיות שאני לא מבין נכון ) :

תחום זה כולל:

· הגדרת תקנוני תשלומים לפי בית ספר

o שיטות חיוב

o תנאי תשלום

· ניהול הוראות קבע מול מס"ב

· עסקאות אשראי מקוונות

· קופות והפקדות

· כרטיסי נבחן וחסימות

· שוברים ממוגנטים

· ממשק למערכת הנהלת חשבונות


הבעיה היא שאם שוב פעם יעבדו בצורה בלתי מאובטחת הרי שכבר יהיה ניתן לחייב כל סטודנט בסכום כלשהוא ,
ומי באמת בודק חיוב על שקל למוסדות ? הבעיה היא כבר לא תיהיה במערכת אלה באנשים שמתמשים בה (התקנה ואחזקה לא ראויה ).

8 תגובות:

  1. אני עבדתי פעם (עד לפני כ-4 שנים) במוסד אקדמי בישראל.
    מה שאתה כותב כל-כך לא מפתיע אותי!
    אולי יש מקצוענים פה ושם אך תחום ה- IT באקדמיה מלא בחובבנות, ויותר מכך - בחוסר מודעות לתקנים, קוד פתוח וכדומה. הולכים על הפתרון הקל.

    דוגמא - ראה את ההנחיות שמופיעות
    כאן - אליהן מגיעים דרך "בדיקת מערכת".

    הכל מכוון ל- IE. כאילו אין דפדפן אחר.

    שאלתי בזמנו איש IT במוסד כזה (איש באמת מאוד חביב) על תאימות לתקני Web במקום ל- IE בלבד - והוא לא הבין כל כך מה אני רוצה ממנו.

    המשך לפרסם ולזעוק. האקדמיות ממומנות מכספי המסים של כולנו.

    השבמחק
  2. לא רק שהם מומנות מכספי המיסים הם גם גובים כסף מהסטודנטים.

    האמת כשהתחלתי לדבר על סטדנרטים הם התחילו להתחמק בתואנות מצחיקות מה לעשות עבודה חאפרית ...

    השבמחק
  3. ההזדהות לכל מערכות התוכן המרכזיות באוניברסיטת תל אביב מוגנת ב SSL, ללא יוצא
    מן הכלל. רצוי לבצע מחקר מעמיק יותר, כל אחד יכול לכתוב בבלוג שלו מה שהוא רוצה, אבל היה נחמד אם זה היה נכון.
    ספציפית לגבי המוצר של בריטאניקה, אז למרות שנראה שהדף מגיע למשתמש בפרוטוקול http, הרי שה POST של ההזדהות מבוצע ב SSL.
    בנוסף, אוניברסיטת תל אביב מפעילה גם moodle, שתופס תאוצה, ומהווה אלטרנטיבה למוצר הכבד ולא תומך תקנים פתוחים של חברת בריטאניקה.

    השבמחק
  4. אריאל , הזדהות בעוד היא נשלחה בSSL זה אומר כי רק המידע הזה העובר בצורה מוצפנת.

    מקבל את תיעונך ואני אוסיף מי לא רק שולח רק את ההזדהות.

    תקן אותי אם אני טועה ובאמת אני אתנצל אם הדבר לא נכון , אבל האם עצם שליחת המידע בחזרה בצורה שהיא ל HTTPS תוקף פוטנציאלי יוכל לראות או לא את כל המידע.

    האם תוכל לפרט על נושא המודול ?

    השבמחק
  5. מה שאני מנסה להגיד שלדוגמה דף כמו עריכת פרטים שמכיל את שם המשתמש חוזר לא בצורה מוצפנת , הסיסמה יש עוד מספר נקודות שיכולים להטפס.

    בשילפה מהשרוול דפים של סיפריה באתר האוניברסיטה לא מבצעים הזדהות ב SSL לדוגמה :

    http://tavor.tau.ac.il/F/?func=bor-info&local_base=aaclb&con_lng=HEB

    וקטע הקוד הרלוונטי -

    form method="post" name="form1" action="http://tavor.tau.ac.il:80/F/ECE3RXYKH5SUAE11D5DRK8MVRJ9I577YC7U3Q4SX4QI56FCE2M-22568"
    id="browseListForm" class="form formNarrow alignLeft"


    מרבית האנשים ישתמשו באותה הסיסמה לכל השירותים ולאחר שכבר קיבלת את שם המשתמש מספר הזהות וסיסמה נראה לי שניתן לבצע כל דבר במערכת.

    השבמחק
  6. בוריס, מערכת הלמידה של האוניברסיטה איננה כוללת פרטי הזדהות, מכיוון שההזדהות היא חיצונית למערכת, קרי LDAP
    ארגוני.

    לגבי המערכת של הספריות, זו מערכת סגורה של חברת xlibris, כידוע, אבל,
    הססמאות במערכת זו אינם הססמא האוניברסיטאית בשום פנים. בכל מקרה, ציבור הסטודנטים עובד יותר ויותר דרך הפורטל הארגוני, אשר מבצע SSO עבורו,
    https://mytau.tau.ac.il

    תודה על הערותיך.

    השבמחק
  7. אך, שכחתי גם לציין שכל הנושא המדובר, קרי פרטי כרטיסי אשראי, ועוד דברים אחרים שאתה מציין כלל לא נמצאים במערכת זו באוניברסיטת תל אביב.

    השבמחק
  8. אריאל למה נראה לי שיש פה עירבוב של שלושה נושאים שונים ?

    שים לב שאני כתבתי מספר פוסטים :
    הפוסט הזה.
    נושא מערכת מכלול 2000.
    אפשרות של גניבת אשראי במערכות לא מוגנות.

    נושא כרטיסי האשראי לא נידן פה , לא אמרתי שבהיילרן יש נושא של כרטיסי אשראי.

    שים לב שאתה מגיב ספציפית לפוסט שדן בהתייחסות של מוסד מסויים לנקודות תורפה.
    בפוסט אני מציג שורה של אתרים שמשתמשים במערכת ההילרן וזהו.

    כפי שכבר אמרתי כאשר יש עירבוב של מידע מוצפן ולא מוצפן המידע שחוזר בחזרה ללקוח נראה לכל.

    אבל פה אנחנו מדברים גם על מערכת סל"ע.

    כמו כן שים לב שהתייחסתי לנושא ה SSL שזה רק משהוא קטן ומדובר על משהוא מערכתי.

    ע"פ הקרות שלי עם מערכת ההילרן והמשל"ס (אינני יודע אם הוא מותקן או לא אצלכם) כל אחד מהם מכיל נתונים כאשר הנתונים היותר חשובים ימצאו במערכות כמו משל"ס (או שוות ערך לכך).

    מערכת ההילרן מכילה (בשליפה) נתונים על הסטודנט (שם פרטי , משפחה , משתמש , זהות ).

    ייתכן ויש עוד אבל אני ממש לא זוכר.

    השבמחק