ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

 
 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
אורח · ·
 

הודעה פורסם: 21/05/2020 - 15:06
נושא ההודעה: נושא בחדשות: פריצות איראניות לאתרים בארץ

רואה פרסומים על פריצה לאתרים מצד האיראנים, ומנסה לקבל מושג איך זה נעשה,
וכיצד ניתן להמנע ככל האפשר. אשמח להסברים, לינקים וטיפים להגנה אפקטיבית..
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 21/05/2020 - 15:25
נושא ההודעה:

לא כל כך בטוח איראנים, דווקא נראה יותר טורקים ועזתים, פרצו לחברת אחסון אתרים ושם לכל האתרים המאוחסנים בה.
הדרך הכי טובה להתגונן היא ניתוק המחשב מהרשת, עדיף גם מחשמל.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
ל עדיף גם מחשמלאורח · ·
 

הודעה פורסם: 21/05/2020 - 16:22
נושא ההודעה:

Smile Laughing Applause
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
לא רציניאורח · ·
 

הודעה פורסם: 21/05/2020 - 18:30
נושא ההודעה: Re: נושא בחדשות: פריצות איראניות לאתרים בארץ

Anonymous :
רואה פרסומים על פריצה לאתרים מצד האיראנים, ומנסה לקבל מושג איך זה נעשה,
וכיצד ניתן להמנע ככל האפשר. אשמח להסברים, לינקים וטיפים להגנה אפקטיבית..

אתה רציני? סבור שנתחיל מהשאלה על מה אתה רוצה להגן. תסביר על מה אתה רוצה להגן.
לא מאמין שיפרסמו את הפרטים הטכניים המהותיים של הפריצה היום. אז האם עדיף לאחסן בחברה שאין לה הסטורית פריצות, או בחברה עם הסטורית פריצות?
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 22/05/2020 - 09:45
נושא ההודעה:

ציטוט:
אתה רציני? סבור שנתחיל מהשאלה על מה אתה רוצה להגן. תסביר על מה אתה רוצה להגן.

כן, רציני לגמרי.. לא מהתחום ומנסה להבין קצת.. ואכן המידע כאן מעט עזר. חברה מאחסנת כל כך לא מוגנת.. מטריד..

יש לי בסהכ אתר אישי בבית על PI ורציתי אולי ללמוד משהו על הגנה..
דרך אגב, האתר שלי "מותקף" לא מעט מכל מיני מדינות "ידידותיות" - חושבים שהוא אסטרטגי משום מה Laughing רואה לפעמים אלפי כניסות מ IP חשודים..

אבל מה שמעניין יותר אחד כמוני לא מקצועי זו שלוות הנפש שאירועים כאלו מתקבלים.
שהרי אם היית אומר למישהו לפני תחילת האינטרנט, שמערכת דיגיטלית שהכל בה - חומרה ותוכנה - מוגדר בשני מצבים של '1' '0', והכל יהיה פרוץ לכל דיכפין - ופחות מדבר על מערכות צבאיות מתוחכמות, אלא על האקרים שתוקפים אתרים אזרחיים רגילים - הוא היה אומר שאין מצב.

וזה לא נאמר מתוך מבט תמים, אלא דווקא מתוך אי קבלת המצב כמובן מאליו, "אין מה לעשות", אלא חושב שדרושה בחינה מחדש (מצד אקדמיה וחברות מובילות) של כל תשתיות הרשת, פרוטוקולים ועוד, כדי לבחון האם לא הגיע הזמן לשינוי תפיסה שיתאים לזמנינו
.
וכאמור: כל זאת מהדיוט בתחום - אבל לפעמים מי שלא מעורב בכל ביט יכול להאיר פינה חשוכה. לפעמים..
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 22/05/2020 - 12:06
נושא ההודעה:

ציטוט:
לבחון האם לא הגיע הזמן לשינוי תפיסה שיתאים לזמנינו

קודם כל כבר מאוחר מדי. כל העולם ואחותו כבר מזמן מפוזרים על פני הרשת. הכל נפרץ, הכל פריץ ומי שמתימר לקשקש על אבטחת מידע, הוא גם אידיוט וגם נוכל. Smile

אתה יודע מה הרוסים של פוטין עושים?
את המסמכים הכי מסווגים שלהם הם מדפיסים עם מכונות כתיבה "פרימיטיביות" ומעביר את הנייר פיזית ממשרד למשרד עם שליח חמוש בצבא האדום.
נראה אותך פורץ דבר כזה. Image
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 22/05/2020 - 12:42
נושא ההודעה:

ציטוט:
קודם כל כבר מאוחר מדי.

תראה.. הרי ברור ששינוי כזה יבוא מתישהו, וככל שיתארך הזמן עלות הנזקים והשינוי גדלים "מעריכית".. Wink אז יפה שעה אחת קודם, לא!
מכיוון שהרשת מתפקדת כעת באופן שונה לחלוטין מהמטרה ראשונית שלה (העברת מיילים, אם אני לא טועה), אז במקום שיהיה תהליך נורמלי של אבולוציה, כאן נדרשת רבולוציה שתתאים את הרשת לצרכים העכשויים והעתידיים.

באיזשהו שלב לא תהיה ברירה, לדעתי. המצב רק הולך ומחמיר, ויגיע הזמן שמדינות יקרסו לתוך עצמן. אם זה יקרה במדינות מובילות (כפי שקורה כרגע עם הקורונה בארהב), אז תהיה התגיסות כוללת לטובת העניין.

לסיכום: ממבט מקרו נראה כאילו הגולם קם על יוצרו, ואנחנו עומדים חסרי אונים, כאילו מדובר בכח עליון, שמתנהל עצמונית וחסר שליטה..
סליחה על הפואטיות הקלה אבל זה קורה לי כשאני מריח את השבת נכנסת.. Smile
שבת שלום
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 22/05/2020 - 14:45
נושא ההודעה: הכל פתוח

Anonymous :
ציטוט:
אתה רציני? סבור שנתחיל מהשאלה על מה אתה רוצה להגן. תסביר על מה אתה רוצה להגן.

כן, רציני לגמרי.. לא מהתחום ומנסה להבין קצת.. ואכן המידע כאן מעט עזר. חברה מאחסנת כל כך לא מוגנת.. מטריד..

לא יודע האם זו החברה המאחסנת. אולי פרצו רק לכמה אתרים שהיא מאחסנת, בגלל שלאתרים עצמם היו בעיות.
Anonymous :

יש לי בסהכ אתר אישי בבית על PI ורציתי אולי ללמוד משהו על הגנה..
דרך אגב, האתר שלי "מותקף" לא מעט מכל מיני מדינות "ידידותיות" - חושבים שהוא אסטרטגי משום מה Laughing רואה לפעמים אלפי כניסות מ IP חשודים..

או שהוא עושה רושם של פחות מוגן. אם לא ניתן לפגוע במחנות צבא ינסו לפגוע במקומות אזרחים. ואם לא ניתן ממש לפגוע, גם בלון בוער שנופל בשטח פתוח וגורם מעט נזק מספיק טוב. לכל הענין יש הרבה סיבות.
Anonymous :

אבל מה שמעניין יותר אחד כמוני לא מקצועי זו שלוות הנפש שאירועים כאלו מתקבלים.
שהרי אם היית אומר למישהו לפני תחילת האינטרנט, שמערכת דיגיטלית שהכל בה - חומרה ותוכנה - מוגדר בשני מצבים של '1' '0', והכל יהיה פרוץ לכל דיכפין - ופחות מדבר על מערכות צבאיות מתוחכמות, אלא על האקרים שתוקפים אתרים אזרחיים רגילים - הוא היה אומר שאין מצב.
אפשר לדון בלי סוף מי הם התוקפים ומה היכולת, והמטרות, שלהם.
Anonymous :

וזה לא נאמר מתוך מבט תמים, אלא דווקא מתוך אי קבלת המצב כמובן מאליו, "אין מה לעשות", אלא חושב שדרושה בחינה מחדש (מצד אקדמיה וחברות מובילות) של כל תשתיות הרשת, פרוטוקולים ועוד, כדי לבחון האם לא הגיע הזמן לשינוי תפיסה שיתאים לזמנינו
.
וכאמור: כל זאת מהדיוט בתחום - אבל לפעמים מי שלא מעורב בכל ביט יכול להאיר פינה חשוכה. לפעמים..

בודאי שעושים. גם המותקפים, אך גם המתקיפים. אפשר להניח, למשל, שמדינת ישראל, ורבים אחרים, נמצאים משני צידי המתרס.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
משה אורחאורח · ·
 

הודעה פורסם: 22/05/2020 - 22:39
נושא ההודעה: Re: נושא בחדשות: פריצות איראניות לאתרים בארץ

Anonymous :
רואה פרסומים על פריצה לאתרים מצד האיראנים, ומנסה לקבל מושג איך זה נעשה,
וכיצד ניתן להמנע ככל האפשר. אשמח להסברים, לינקים וטיפים להגנה אפקטיבית..


האתרים היו מאוחסנים כולם בחברת האחסון uPress, המאפשרת אחסון אתר מבוסס WordPress. החולשה הייתה בתוסף ספציפי שלא קיבל עדכון אבטחה קריטי, והפורצים ניצלו את החולשה בצורה רוחבית.

לגבי הגנה על אתר שלך באופן כללי, חשוב להבין איך הוא כתוב ומהן הטכנולוגיות שהוא משלב. הבעייה ב-WordPress היא שאתה משתמש בקוד מוכן שמישהו אחר כתב ולכן אתה תלוי בהבנה של הכותב עצמו בבעיות אבטחה.
הייתי ממליץ לך ללמוד בצד DB על Prepared Statements וכיצד הן מונעות SQL Injection (הזרקת SQL של התוקף אל תוך שאילתא קיימת).
בצד ה-FRONT כדאי ללמוד כיצד להמנע מפרצת XSS (הזרקה של JS של התוקף אל תוך דף HTML קיים) וכן כיצד להמנע מפרצת CSRF (באתר של התוקף הוא שותל IFRAME נסתר עם SOURCE של האתר שלך, ואם המשתמש אימת את עצמו באתר שלך אז התוקף יכול להפנות ב-IFRAME אל API של מחיקת מידע למשל).

אלה הדברים העיקריים בהנחה שאתה כותב את הקוד שלך בעצמך..
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 23/05/2020 - 23:50
נושא ההודעה:

כשהתחלתי התלבטתי עם איזו תוכנה CMS לעבוד, ובסוף הלכתי על Drupal. אמנם פחות ידידותית, דורשת קצת יותר עקומת לימוד ומעורבות ועבודה עם פקודות טרמינל ו PHP, אבל לפי מה שקראתי היא אמורה להיות יותר מאובטחת מוורדפרס, לדוגמא. מקווה שזה אכן נכון.

מהניסיון שצברתי איתה אני מתרשם שמצד אחד יש לה יכולות תכנון אתר מרשימות - אתה יכול לעשות מה שבא לך בקלות יחסית, יש מודולים (המקבילים של פלאגינים בוורדפרס) עם הרבה פיצ'רים, והמערכת עובדת חלק ועם זמן תגובה מהיר.
החסרון שמעבר לדרישה האמורה למעורבות, בזמן האחרון העדכונים הפכו למסובכים יותר, ולעיתים המערכת נתקעת לאחר עדכון.. אני מעדכן אותה עם composer והיא הולכת לעבור לגרסה מג'ורית 9 ומקווה שהעדכונים ישתפרו.. באופן כללי נראה שאכן רמת האבטחה טובה ויש הרבה עדכונים.

לגבי אפשרויות הפריצה השונות שצוינו כאן, כמו: הזרקת SQL של התוקף אל תוך שאילתא קיימת ועוד, ראיתי שיש התיחסויות לכך במדריכים השונים ברשת עם הצעות שונות. אני מתכוון להכנס קצת יותר לתחום ויתכן שאעזר במידע שצויין כאן לצורך הגנה נוספת.

תודה על המידע - עוזר לי להבנת הנושא!
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
הצגת הודעות מלפני:     
מעבר אל:  
כל הזמנים הם GMT + 2 שעות
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
PNphpBB2 © 2003-2004 

תוכן הדיון

  1. אורח
  2. אורח
  3. אורח [ל עדיף גם מחשמל]
  4. אורח [לא רציני]
  5. אורח
  6. אורח
  7. אורח
  8. אורח
  9. אורח [משה אורח]
  10. אורח