חפש מאמרים:
שלום אורח
22.11.2024
 
   
מאמרים בקטגוריות של:

   
 

האם מסמך מוגן סיסמה אכן מוגן

מאת: מיכאל האפרתיאבטחת מידע27/12/20111634 צפיות שתף בטוויטר |   שתף בפייסבוק

כל המוצרים בסדרת Office, לדוגמה מעבד התמלילים Word, מאפשרים הוספת סיסמה למסמך. מדובר באמצעי מצויין למניעת קריאת מסמך באם יגיע בטעות לאדם זר.

נשאלת השאלה, עד כמה יעילה הגנת ססמה כזו. התשובה היא: לא במיוחד, ועל כך במאמר הבא:

סיסמאות בשחר ההיסטוריה (של אופיס)

בגרסאות ישנות של Office, הגנת הסיסמה הייתה מגוכחת עד כדי כך שניתן בתהליך שנמשך כשתי שניות לחשוף ולהציג את הסיסמה של מסמך מגירסאות אופיס 97 או אופיס 2000, או לחליפין, להסיר את הגנת הסיסמה במחי יד. כיצד זה מתבצע? פשוט מאד. הסיסמה נמצאת מוצפנת בהצפנה פשוטה ביותר וזהה לכל המסמכים ולכל המשתמשים, אשר מאוכסנת בגוף מסמך האופיס. מספיק לפתוח את המסמך שלא באמצעות תוכנת אופיס, אלא באמצעות תוכנת עריכה טקסטואלית, ולאתר אותה (בגירסאות 97 ו-2000, מיקום הסיסמה זהה בכל מסמך). ההצפנה כל כך פשוטה שגם מי שלא מכיר את אלגוריתם ההצפנה (שנמצא באינטרנט כמובן), מספיק להצפין מסמך בסיסמה ידועה מראש (נניח 1234) ולראות מה הערך המוצפן במסמך, ודרך זה לעשות את הפעולה ההפוכה של לאתר את הסיסמה בה הוצפן המסמך, דרך הגירסה המוצפנת של הסיסמה. עד כאן, ההצפנה של גירסאות אופיס הישנות.

חידושי אופיס 2003

בגירסאות מתקדמות יותר, כמו אופיס 2003, ניתן להגן על מסמך בסיסמה, וקיימת הצפנה חזקה ובלתי ניתנת לפריצה, אלא שגם כאן ישנה בעיה. משתמש הקצה אמור לבחור את חוזק ההצפנה כאשר ברירת המחדל היא אותה הצפנה חלשה של הגירסאות הקודמות. כך שאם לא ידעת שניתן להגן על מסמך בהצפנה חזקה, סביר להניח שהמסמך שלך מוגן בהצפנה חלשה. חלשה מאד, אפילו.

המצב כיום

בגירסאות החדשות של אופיס, הגנת הסיסמה בלתי ניתנת לפיצוח, קרי: לא ניתן באמצעים סבירים לפצח את ההצפנה שמשמשת לאכסן את הסיסמה שנבחרה ולחשוף אותה. אולם גם בכך אין סוף פסוק. ניתן לאתר סיסמה מבלי לפצח את ההצפנה לה היא משמשת. כדי לפשט את ההסבר, אם הסיסמה שבחרת היא בת 4 תווים, וסיסמה זו משמשת להצפנה החזקה בעולם, תוך שימוש בכל אמצעי אבטחת המידע האפשריים, עדיין מספיק לנחש 10000 קומבינציות, ולבטח אחת מהן תקלע למטרה. 10000 קומבינציות זה משהו שמחשב ממוצע עושה בשניות בודדות.

בית תוכנה שכל התמחותו, כלים לפריצת סיסמאות מסמכים

מאז שנת 1990 פועלת ברוסיה חברה בשם CrackPassword. המוצרים שלהם ניתנים להורדה בחינם, וכשמדובר בסיסמאות מורכבות, יש לרכוש בכמה עשרות דולרים את הגירסה המסחרית.

התהליך של ניסוי כל הקומבינציות נקרא Brute Force. בשונה מאתר אינטרנט או שרת, שם (כך לפחות במצב תקין) השרת אמור לחסום מספר של נסיונות להכניס סיסמה שגויה, מה שהופך תהליך זה ללא פרקטי, שכן עיקרו – הפעלה אוטומטית ולא הקלדה של מאות אלפי ומיליוני סיסמאות על ידי בן אנוש, הרי שכשמדובר בתוכנה המותקנת במחשב מקומי, אין כיום מנגנון שימנע מקראקר לנסות את כל הקומבינציות, ואחרי שעות או חודשים לאתר את הסיסמה. תוכנת Word לא תנעל את עצמה tאו תחסום את הפורץ אחרי X נסיונות...

כיצד יוצרים סיסמה חזקה

נשאלת השאלה מתי סיסמה הופכת להיות חזקה מספיק כדי שלא ניתן יהיה לפצח אותה (כשכאמור, פיצוח סיסמה כלל לא מצריך פיצוח אלגוריתם ההצפנה בו השתמשו בסיסמה זו). הכל תלוי במהירות המעבד, ובמספר המעבדים במחשב. תוכנה לפיצוח סיסמאות, יכולה לבדוק כ-40,000 סיסמאות אפשריות בשניה! בלי להכנס לחישובים מתמטיים, ניתן לקבוע שסיסמה המורכבת מספרות בלבד, תאותר במהירות בזק, בעוד שסיסמה שמורכבת משילוב של אותיות, סימנים מיוחדים, ספרות ואותיות בעברית (כלומר שילוב של אנגלית + עברית) עשויה להיות בלתי ניתנת לאיתור בזמן ומשאבים סבירים, כל עוד הסיסמה ארוכה דיה  (25 תווים ומעלה).

המוצר של CrackPassword ניתן להורדה בלינק הבא:

http://www.elcomsoft.com/download/aopr_setup_en.msi

מדובר בתוכנה אמינה ביותר שאני מכיר עוד משנת 2000, ומאז רק הלכה והשתכללה משנה לשנה. אם מצאתם מסמך ישן שכבר הספקתם לשכוח באיזה סיסמה הגנתם עליו, ולמעשה לא רק מסמך אלא כל קובץ מוגן סיסמה, לרבות ZIP, גליון אקסל, בסיס נתונים, מצגת וחשבון מייל, וכד'.

הטכניקה לשחזור סיסמה לחשבון מייל או אתר אינטרנט כלשהו הנה שונה. כאמור, שיטת הbrute force לא תעבוד במקרה הזה, ומצד שני, מידע מסוג זה נשמר במחשב וניתן לשליפה בקלות.

כיצד נשמר במחשב מידע על סיסמאות שהוקלדו

המידע על סיסמאות ושמות משתמש שהוקלדו בBrowser או בתוכנות שנות (למשל Outlook), נשמר דרך קבע במחשב שלכם. המידע נשמר באזור שנקרא Protected Storage, ובעזרת כלים רבים (חינמיים) לשליפת מידע זה, ניתן למצוא את פרטי כל האתרים שביקשו שם משתמש וסיסמה, לרבות חשבונות מייל, וכולל אווטלוק וכלי תוכנה אחרים, ולא רק אתרי אינטרנט, כאשר המידע כולל בדרך כלל שם משתמש, סיסמה ואת שם האפליקציה או האתר. לדוגמה, אם תוכנת המייל שלכם היא אווטלוק או Outlook Express ניתן לאתר את המידע על כל חשבון מייל, לרבות פרטי שרת מייל וסיסמה. חלק גדול מכלים אלה נחסם על ידי אנטי וירוסים, זאת על מנת למנוע שימוש זדוני בכלים אלה, על אף שאם שכחתם סיסמה, תוכלו בדרך זו לגלות אותה על בהנחה שהסיסמה נקבעה על המחשב ממנו אתם מנסים לשחזר.

לחיפוש כלי לצפיה בסיסמאות השמורות במחשב שלכם, חפשו בגוגל: Protected storage viewer

כיצד להגן על מידע זה

הדרך היעילה (ועם זאת הכי פחות נוחה) להגן על המידע ולמנוע גילוי שלו הנה לא לסמן לעולם "שמור סיסמה לפעמים הבאות" או בקשה דומה, לא בקשה באתר ולא בקשה בתוכנה מקומית כגון Outlook.  אליה וקוץ בה, אם מותקן במחשב כלי ניטור או רוגלה הכולל מרכיב של key logger, הרי שכל הקלדה כזו תוקלט.

לכן יש להניח כי סיסמת כניסה לאתר או לחשבון מייל אינה מידע שניתן להגן עליו, וכדי להיות מוגנים בכל זאת, הפתרון הוא באמצעות הצפנת המיילים עצמם.

מוצר זול ויעיל הנו certificate שמצורף אוטומטית לכל הודעת מייל שאתם שולחים.

ניתן לרכוש בלינק הבא:

http://www.comodo.com/e-commerce/email-certificates/email-privacy.php

וכמובן שכל אלה לא יעילים אם לא מגינים על המחשב בפני נוזקות ורוגלות, וההמלצה שלי היא על Kaspersky בתור הכלי האולטימטיבי (Firewall וכמובן אנטי וירוס).

והכי חשוב: לא להשתמש באותה סיסמה לשתי מטרות. לא למחזר את אותן סיסמאות (או את אותה סיסמה) לפייסבוק, ולג'י מייל, ובטח שלא להפוך את הקוד הסודי בכספומט או בתא הקולי לסיסמת המייל או תוכנה / מסמך אחרים. סיסמה טובה צריכה להיות ארוכה, מגוונת (שילוב של ספרות, אותיות וסימנים מיוחדים), ואקראית. המושג "אקראי" הוא מטעה, שכן כבר הוכח ששום דבר כמעט אינו אקראי, ביחוד כשמדובר בתוכנת מחשב, אולם זה כבר נושא לכתבה אחרת. רק עצה: השתמשו בתו מיוחד כחלק מהסיסמה. מספר הסימנים בשיטת הקידוד הנפוצה 255. כל הסימנים שבאים לפני תו הרווח (ערך 32) אינם קריאים, כך שנותרים אלה שבין 32 ל255. אלה כוללים תווים בעברית (או בשפה אחרת), לטינית (אותיות קטנות + גדולות), ספרות וסימנים מיוחדים. בחרו תו פחות נפוץ.

אם תבדקו תוכנה לשיחזור סיסמאות, האופציות שמופעלות כברירת מחדל הן אלה:

כלומר, תווים בעברית יכללו בחיפוש רק אם תבחרו Custom Character Set.

אולם אם תתבוננו במספר הסימנים המיוחדים שקיימים במטריצת הקידוד הסטנדרטית, בוודאי תמצאו תווים עוד יותר איזוטריים.

בחרו לפחות אחד כזה, כמובן כל עוד התוכנה או האתר מתירים זאת.

לצורך הבדיקה, שמרתי מסמך (בו נערך מאמר זה) מוגן בסיסמה הבאה "©". למרות שמדובר בסיסמה בת תו אחד, תגלו שרוב הכלים לא יגלו סיסמה זו ולא מספקים ממשק שיאפשר לכם לאתר סיסמה זו אלא אם ידעתם מראש באיזה תווים מיוחדים ייעשה שימוש.

לקריאה נוספת:  כיצד לדעת אם חשבון הGmail שלך נפרץ.

 





 
     
     
     
   
 
אודות כותב המאמר:

מיכאל האפרתי נולד בשנת 1964 בירושלים. בנו של פרופ' יוסף האפרתי , מי שהיה ראש החוג לספרות עברית באוניברסיטת תל אביב, ונהרג במלחמת יום כיפור בשנת 1974, ורות ריבה האפרתי, פסיכולוגית קלינית במקצועה. נכדו של ממציא הסטריאו, פרופ' ליאו שאודיניסקי. יזם וממציא, ומוסיקאי (קלידן ומלחין).

מיכאל היה ילד מחונן, למד לקרוא ולכתוב עברית ואנגלית כבר בגיל בגיל 5. כילד, זכה בתחרות ציור במקום ה-3 במדינה, פיסל, ניגן בפסנתר, למד תופים, ואהב להוציא עיתונים כיתתיים שהודפסו במכונת שכפול.  היה חבר בלהקת רקדני הסטפס של מאיר אלוני, ולפני הצבא סיים בהצטיינות קורס מורי יוגה בקיבוץ ברור חיל. בצבא שירת ביחידה מובחרת מסווגת אשר נטלה חלק מכמה מהמבצעים הנועזים והבלתי נתפסים (חורף 1984 ... ) אשר עד היום לא פורסמו, ובהמשך עבר ליחידת החילוץ של חיל האוויר 669 שם שירת גם במילואים. במסגרת השירות הצבאי זכה לשתי תעודות הצטיינות.

ביום השחרור מצה"ל הספיק להגיע לאולפן הקלטות ולהקליט מוסיקה שהלחין ביחד עם תומר קרמן להצגת ילדים חדשה. במקביל ללימודיו, עבד כפסנתרן במרכז ביכורי העיתים, וכמורה בבית ספר לאומנויות בתל אביב. בנוסף, לימד פסנתר, והקים להקה שהופיעה במועדוני ג'אז. שם הלהקה: Happy Family.

בתום שנת הלימודים הראשונה, יצא בשליחות ההסתדרות הציונית להדריך ילדים בארה"ב. הוא שילב לימודי מוסיקה ועיסוק במחשבים ופיתוח תוכנה. הוא עבד עם האמן יעקב אגם, בפיתוח תוכנות המשלבות מוסיקה, אמנות ומחשבים. בין השאר השתתף בפיתוח Video Wall לחברת אלביט, תכנות מזרקה בפריס, פיתוח תוכנה המשמיעה מוסיקה מקורית שנוצרת על ידי ניתוח ציור שהאמן מצייר. מיכאל היה משתמש פעיל בקרב מחשבי האמיגה שהיו מחשבי המולטימדיה והצבע הראשונים בעולם. הוא עבד בתדיראן מחשבים ביחד עם אורן פלי, שיצר את סרט האימה המצליח ביותר שנוצר בתקציב ביתי. באותה תקופה אורן עבד על תוכנת ציור בשם Photon Paint ומיכאל הקים חברה בשם HarmonySoft ופיתח מעבד תמלילים בשם "רשומון" שזכה לפרסום רב ועד היום ניתן להוריד אותו באתר:http://aminet.net/search?query=rashumon (וגם http://harmonysoft.wordpress.com).

הוא המציא פלאג הגנה למחשבי אמיגה, בשםAmiga HASP שנמכר לחברת אלאדין. הוא כתב באופן קבוע טור חודשי במגאזין "אנשים ומחשבים" ופרסם כ-35 כתבות. הוא ערך את פינת המחשב בתוכנית "זהו זה", ואף כתב מוסיקה פינת המחשב בהגשת סמס הררי, אשר נוגנה בשידור חי על ידי מחשב... בין השאר ביצע את אחת ההקלטות הדיגיטליות הראשונות עבור להקת משינה. בהמשך, עבד בחברת Amdocs, שם ניהל פרוייקטים עבור משרד התיירות בניו זילנד.

הוא עבד בארה"ב בחברת Apple, לאחר החזרה לארץ, עבד בחברת TIS כמנהל פרוייקטים. הוא ניהל את פרוייקט מחשוב מערכת סליקת כרטיסי האשראי בקפריסין (מול חברת JCC),  וכן עסק בפיתוח מערכות מחשב לניתוח מספרי כלי רכב מתצלומים, עבור משטרת ישראל (במסגרת פיילוט), ופיתוח מערכות דירוג אשראי (במסגרת חברת Target Scoring).

בשנת 2000 כשכבר היה בתפקיד סמנכ"ל חברת Target Scoring, ופיתוח את תוכנת TargetView, החליט לחזור להיות יזם.  הוא התפטר מהעבודה והקים סטרטאפ ומיזם בשם טרגט איי. שפיתח מערכת ניטור מחשבים בשם Target Eye שהיא תוכנת הניטור הראשונה בעולם. במקביל הקים וניהל בשנים 2001 ועד 2004 מיזם נוסף בשם Target Data, ביחד עם רות האפרתי, ופיתח את מערכת Data Tune לטיוב נתונים. פרוייקטי טיוב נתונים באמצעות מערכת זו, נמכרו בהצלחה לחברת בזקכל, מיקרוסופט ישראל, מכון התקנים, מכון היצוא, עלית, דאל הנדסה ואנשים ומחשבים.

בשנת 2006, במקביל להמשך פיתוח תוכנת Target Eye, פיתח עבור חברת manpower מערכת מיון מועמדים מהמגזר החרדי, ובשנת 2007 שימש כמנכ"ל חברת Interwallet .

כיום, בד בבד עם גידול שתי בנותיו, דנה ואמה, ביחד עם רות, כתיבת סיפורים קצרים, הלחנת מוסיקה (למגירה), והתמכרות לריצה למרחקים ארוכים, הוא ממשיך בפיתוח תוכנת Target Eye, ומוצרי ביון וניטור מחשבים מרוחקים, וכן מעורב במיזמים נוספים. בנוסף הוא מייעץ לחברות, גופים ממלכתיים ולאנשים פרטים, וכן כותב מאמרים בנושאי ניטור מחשבים וטלפונים סלולריים, פתרונות אבטחת מידע, הגנה בפני רוגלות, וירוסים ונוזקות וכן התמודדות מול איומים במרחב הקיברנטי.

 
     
   
 

מאמרים נוספים מאת מיכאל האפרתי

מאת: מיכאל האפרתיאבטחת מידע12/01/121794 צפיות
ב-5.12 לא התעצלתי ושלחתי מכתב תלונה. שלחתי עותק למחלקת ה-PR של החברה וגם לכתובת abuse@mail.ru. בכל נושא של הטרדה, חשד לעבירה או לשימוש לא חוקי / תקין, ניתן וצריך לפנות לabuse@ של ספק השירות.

מאת: מיכאל האפרתיתוכנה30/12/111367 צפיות
כלי ניטור וריגול שהתגלה באירן ולפי מקורות זרים פותח על ידי שירותי הביון הישראלים (בשיתוף עם ארה"ב) מתגלה כבעל מורכבות שלא נראתה כדוגמתה עד כה.

מאת: מיכאל האפרתיטיולים בחו"ל30/12/111383 צפיות
צפונית לז'נבה יש כפרים ציוריים ומקסימים. טיילנו שם בזמן שהתאכסנו במלון דרכים (סיפור בפני עצמו).

מאת: מיכאל האפרתימחשבים וטכנולגיה - כללי27/12/111449 צפיות
במהלך השנים 1992 ועד 1994 כתבתי טור קבוע ב"אנשים ומחשבים", והנה מספר כתבות. אשמח לקבל חומרים נוספים מהתקופה למי שיש לו. הייתה למשל כתבה של ניסו כהן, ז"ל, אשר צילם ותיעד את הטייס סמס הררי (וחבר יקר שלי), ואותי מנהלים קרבות אוויר בסימולטור טיסה מבוסס מחשב אמיגה. הכתבה נדדה בין מגזינים שונים ומוספים של עיתונים יומיים כגון מעריב. כמובן שיש את הכתבות על מעבד התמלילים "רשומון" אשר ידע להקריא את הטקסט הנכתב (פורסם עליו בידיעות, מעריב, ועיתון "חדשות" למי שזוכר).

מאמרים נוספים בנושא אבטחת מידע

מאת: אלעד סאעת אבטחת מידע31/07/161955 צפיות
במאמר הבא נסביר קצת על אבטחת מידע אישי ופרטי שלך ברשת. כיצד נגן על פרטיותינו באמצעות מספר צעדים פשוטים.

מאת: ליאור מזוראבטחת מידע14/02/161813 צפיות
תפקיד מנהל אבטחת מידע (CISO) שונה מארגון לארגון ואופי התפקיד משתנה בהתאם לסוג הארגון, גודלו, תחום עיסוקו, הרגולציה שאליה כפוף ומאפייני הנהלתו. אך יותר מכל משפיע מנהל אבטחת מידע עצמו על התפקיד אותו הוא ממלא. כישוריו האישיים, יכולותיו המקצועיות והניהוליות ואופן התנהלותו בארגון בונים את תפקיד מנהל אבטחת מידע בארגון ואת מידת השפעתו על התהליכים, על העובדים ועל ההנהלה.

מאת: יוני שוורץ אבטחת מידע02/07/152436 צפיות
תגי קרבה פועלים בטכנולוגיית RFID. זו טכנולוגיה ותיקה יחסית לזיהוי באמצעות תדרי רדיו, אך בשנים האחרונות היא חוזרת למרכז הבמה. הסיבה העיקרית לכך היא מידת ההתאמה של הטכנולוגיה לשימוש בתוך כרטיסי עובד. בנוסף, בעזרת הטכנולוגיה ניתן לאתר פריטים ולזהות חפצים בצורה אלחוטית וללא צורך בשדה ראייה או מגע ישיר

מאת: ליאור מזוראבטחת מידע14/03/1511853 צפיות
עובדים בארגון מתוקף תפקידם נחשפים למידע מסווג כגון: מידע רפואי, מידע מסווג אישי ומידע עסקי ארגוני, נתוני כרטיסי אשראי, תשלומי לקוחות ועוד. בין אם ניתן להם אישור לגשת למידע או שמדובר בגישה לא מורשית, הדבר עלול להוות בסיס להוצאת המידע מתוך מערכות הארגון השונות למקורות שאינם מורשים. לחלופין, עובד עלול להעתיק תוכן מסמך מסווג למסמך אחר מבלי להיות מודע לכך שהתוכן מסווג ולהוצאת המידע מחוץ לארגון ביודעין או בעקיפין.

מאת: אלכסייאבטחת מידע18/01/153389 צפיות
מה זה אבטחת מידע? מי אחראי על אבטחת מידע? ATTGM Consulting חברת אבטחת מידע. www.attgm.com

מאת: אלכסייאבטחת מידע18/01/153346 צפיות
טיפים ליצירת סיסמאות חזקות, להגברת מודעות אבטחת מידע ומניעת זליגת מידע אישי ורגיש. ATTGM Consulting www.attgm.com חברת אבטחת מידע

מאת: ליאור מזוראבטחת מידע19/07/143763 צפיות
לוחמת סייבר היא פעולה מלחמתית, הננקטת על ידי מדינה, ארגון טרור וכדומה, על מנת לחדור ולהסב נזק למערכת המחשוב של היריב או למערכות אחרות המסתמכות עליה. לאור הלחימה באזור הדרום במבצע "צוק איתן", בימים האחרונים מתקיימות מתקפות סייבר על ארגונים וחברות שונות במדינת ישראל. בין המתקפות ניתן לראות מתקפות כגון: DOS (Denial Of Service), Defacement (השחתת אתרים) ופישינג (דיוג).

 
 
 

כל הזכויות שמורות © 2008 ACADEMICS
השימוש באתר בכפוף ל תנאי השימוש  ומדיניות הפרטיות. התכנים באתר מופצים תחת רשיון קראייטיב קומונס - ייחוס-איסור יצירות נגזרות 3.0 Unported

christian louboutin replica