בכדי לשנות סיסמה יש למחוק את האתר

הקמתם אתר אצל ספק מסויים והתחשק לכם להחליף את הסיסמה שלכם. מה עושים? פשוט, מוחקים את האתר ונרשמים מחדש עם סיסמה חדשה.

נשמע הגיוני? עבור אנשי מיזם "עסקים בישראל צומחים ברשת" זה נראה סביר. במסגרת בדיקת השרות שלהם גיליתי שהם שומרים את סיסמאות המשתמשים באופן הניתן לאיחזור ולכן רציתי לשנות את הסיסמה שלי. מכיון שלא מצאתי היכן עושים זאת בממשק המשתמש פניתי לנציג השרות בשאלה פשוטה:

אלעד: אני מבקש לשאול כיצד אני יכול לשנות את הסיסמה שבחרתי בעת הרישום?

קבלתי תשובה מאד מעניינת:

לורי: אוקיי אפשר לשנות סיסמה רק אם אמחוק את האתר וזה אומר שתתחיל את הרישום מההתחלה

לורי: לצערי זו כרגע הדרך לשנות את הסיסמה

גם אני מצטער 🙁

קללת ה- c99madshell

חשבון האיחסון של אחד הבלוגים היותר ותיקים שאני מנהל נפרץ לאחרונה. הפריצה לחשבון לא היתה דרך הבלוג עצמו אלא דרך מערכת פורומים לא מעודכנת שהזנחתי. האינדיקציה הראשונה שקבלתי היתה מספק האיחסון שכתב לי כי כנראה החשבון נפרץ ושימש לשליחת דואר זבל.

During an investigation into server load and possible spam related issues on our server it has been brought to our attention that an account within your control has been sending out unsolicited email messages (SPAM). It is our belief that this incident may not have been intentional. The account in question may actually be victim to one or more compromised third party web scripts (forum, blog, guest book, content management system). An attacker can take advantage of known security weaknesses in your software and use it for other purposes (spamming) without your knowledge.

פחות מיממה לאחר מכן קבלתי גם מייל מאלוהי הגוגל שגילה כי האתר שלי משמש לפישינג. הסתבר שהחשבון שלי הפך ללא פחות מאשר "לסניף" של בנק Chase.

We recently discovered that some pages on your site look like a possible phishing attack, in which users are encouraged to give up sensitive information such as login credentials or banking information. We have removed the suspicious URLs from Google.com search results and have begun showing a warning page to users who visit these URLs in certain browsers that receive anti-phishing data from Google.

לאחר ניטרול הפורום ומחיקת הדפים ותתי-המתחמים שנוצרו על-ידי הפורץ ניסיתי להבין מאיפה הוא נכנס. השורה התחתונה היא שאני לא בטוח אך במערכת הפורומים הלא מעודכנת היו פרצות אבטחה מדווחות. ניסיתי להבין כיצד פעל הפורץ לאחר שכבר נכנס. התשובה לכך הגיעה לאחר מספר ימים כאשר גיליתי כי הגיעו לאתר שלי מבקרים (בעיקר מניגריה) אשר חיפשו מחרוזות הכוללת את מילת החיפוש c99madshell. בחיפוש קצר בגוגל תמצאו מידע רב בנושא.

מחרוזת חיפוש ספציפית גרמה לי להזיע: c99madshell perms. פשוט תכנסו לאחת מתוצאות החיפוש הראשונות ותראו איך אתם נכנסים לשרת של מישהו ולמעשה יכולים לעשות בו כרצונכם. זוועה בהתגלמותה.

מסקנה שכבר כלנו מכירים: לעולם לא להשאיר מערכות לא מעודכנות!

הסיסמה שלי היא מקום

השבוע  ננעלתי מחוץ לאחת ממערכות התשתיות  המאובטחות  שאינן סבלניות כלפי משתמשים המתקשים להזדהות. בקיצור, שכחתי את הסיסמה שלי. המקרה כמובן החזיר אותי לשאלה שכמעט כל אחת מתחבט בה: מדיניות סיסמאות ואופן שמירתן. אבל לא על זה אני רוצה לדבר.

במקרה נתקלתי בדיווח המתאר רעיון של ביל צ'אזוויק (האיש שאולי המציא את האבטחה באינטרנט) שאומר שמקום יכול להיות סיסמה. איך זה יעבוד? כאשר תרצו להכנס לאתר או שרות כלשהו תוצג לפניכם מפה (תחשבו לדוגמה על מערכת כמו גוגל מפות) ותתבקשו להתמקד ולהקליק על מקום כלשהו אותו אתם זוכרים. נגיד, אתר העבודות באימון המילואים שלי ברמת הגולן:

הסיסמה היא מקום

הסיסמה היא מקום

נקודת הציון של המקום בנויה מכעשר ספרות של קו הרוחב ועשר ספרות של קו האורך, סך הכל כעשרים תווים אשר בעזרתם ניתן לבנות סיסמה טובה.

רק על תבחרו את הבית שלכם 🙂