אידישע וועלט פארומס

די וואך איז געווען די אכצענטע Infosecurity Europe event, וואו כמעט אלע IT סעקיוריטי קאמפעניס קומען צוזאם און ווייזן זייערע נייע סעקיוריטי סיסטעמס פאר ביזנעסער און קאסטומערס, די איווענט איז אין לאנדאן און ברענגט ארויס די וויכטיגקייט פון פארשטיין IT סעקיוריטי און עס פראקטיצירן.

איז לאמיר פרעגן דעם עולם אפאר שאלות

איך בין רעדי

וואס רופסטו אפענע ווייפיי? ווען איך גיי אין א געשעפט (למשל מעיסיס) וואס שטעלט צו בחינם ווייפיי פאר די קליענטן, הייסט דאס אפענע ווייפיי?

צו איך ניץ אפענע ווייפיי'ס איז די תירוץ יא.
צו איך לאג אריין; ניין.
געהעקט בין איך ב"ה נישט געווארן.
מיינע פריוואטע געלטער אקאונטס האבן א באזונדערע פעסווארד פון מיין בלאגס און אימעיל פעסווארדס

מומחה; איך ניץ וויי פיי למשל פין די לייברערי , איז שייך איינער זאל זיך אריינהעקן צי מיר אזוי?
יא איך האב מיר שוין אריינגעלאגט צי מיין בענק אקוינט דורך ווייפיי, איז עס א פראבלעם?
איך מיין אז מיין אקוינט איז נאך נישט געהעקט געווארן ברוך השם.

איך האב געשריבן אז מיין אקאונט איז שוין געהעקט געווארן, אבער עס איז דערווייל ב"ה נאר געווען א נארישער טוויטער אקאונט, און כ'גלייב נישט אז ס'זאל האבן מיט מיין אריינלאגן איבער ווייפיי!

אגב: אז איינער זאל קענען זעהן מיין אינפארמעישן ברויך ער בפועל זיצן בשעת מעשה?! ונפקא מינה אויב ווייסעך אז דער אפיס איז ליידיג?!
אויכעט ווילעך וויסן צו דאס איז דווקא ביי א פאבליק נעטווארק? און וואס איז אויב א חבר גיבט מיר זיין פרייוועט נעטווארק פין, קען ער אויכעט מיטהאלטן אלע מיינע אקטיוועטעיטן?!

ווער בין איך? האט געשריבן:וואס רופסטו אפענע ווייפיי? ווען איך גיי אין א געשעפט (למשל מעיסיס) וואס שטעלט צו בחינם ווייפיי פאר די קליענטן, הייסט דאס אפענע ווייפיי?

יא, אין מעיסיס שרייבן זיי קלאר אז ס'איז נישט סעקיור (ליין די טערמס)

מייקראסאפט האט געשריבן:מומחה; איך ניץ וויי פיי למשל פין די לייברערי , איז שייך איינער זאל זיך אריינהעקן צי מיר אזוי?
יא איך האב מיר שוין אריינגעלאגט צי מיין בענק אקוינט דורך ווייפיי, איז עס א פראבלעם?

אריינהעקן צו דיר וועט יענער נישט טון, אבער זעהן וואס דו טוסט און די פעסווארדס וואס דו לייגסט אריין, דאס יא

קנאפער ידען האט געשריבן:אגב: אז איינער זאל קענען זעהן מיין אינפארמעישן ברויך ער בפועל זיצן בשעת מעשה?! ונפקא מינה אויב ווייסעך אז דער אפיס איז ליידיג?!
אויכעט ווילעך וויסן צו דאס איז דווקא ביי א פאבליק נעטווארק? און וואס איז אויב א חבר גיבט מיר זיין פרייוועט נעטווארק פין, קען ער אויכעט מיטהאלטן אלע מיינע אקטיוועטעיטן?!

מ'קען עס טון אפילו ווען דער אפיס איז ליידיג און געווענליך טוט דאס נישט א בעה"ב נאר א צווייטער וואס איז קאנעקטעד צו די זעלבע ווייפי, און ביי א פרייוועט נעטווארק (וואס איז סעקיורד דורך WPA2 - און מיט א גוטע פעסווארד) איז די אינפארמאציע וואס ווערט טרענסמיטעד ענקריפטעד און קיינער קען עס נישט ליינען

To make sure, אויב בינעך אריינגעלאגט צו א פרייוועט נעטווארק מיט א גוטע סעקיורעטי דאן קען אפילו א צווייטער וואס איז אריינגעלאגט מיטן פעסווארד אינעם זעלביגער נעטווארק שמעקן אינפארמעישן פון מיר?!

מומחה: אפשר לערענסטו אויס פארן עולם וויאזוי צו שמעקן פון א פאבליק נעטווארק! עס וואלט מיר געווען מורא'דיג אינטערעסאנט צוצופארן צו א פלאץ וואו די היימישע בחור'ימלעך שטייען פארשטעקט [איך ווייס פון אפאר אזעלכע] צו כאפן אן אפענעם ווייפיי און פארכאפן אלע זייערע אינפארמעישן!

פאר ווער ספארשטייט קין און הבל און / אדער דראט הייפיש און נאך קענען העלפען וד"ל

איך פארשטיי נישט! ווילסט מוחל זיין און מסביר זיין?!

קנאפער ידען האט געשריבן:To make sure, אויב בינעך אריינגעלאגט צו א פרייוועט נעטווארק מיט א גוטע סעקיורעטי דאן קען אפילו א צווייטער וואס איז אריינגעלאגט מיטן פעסווארד אינעם זעלביגער נעטווארק שמעקן אינפארמעישן פון מיר?!

ניין, די דאטא איז ענקריפטעד

קנאפער ידען האט געשריבן:מומחה: אפשר לערענסטו אויס פארן עולם וויאזוי צו שמעקן פון א פאבליק נעטווארק! עס וואלט מיר געווען מורא'דיג אינטערעסאנט צוצופארן צו א פלאץ וואו די היימישע בחור'ימלעך שטייען פארשטעקט [איך ווייס פון אפאר אזעלכע] צו כאפן אן אפענעם ווייפיי און פארכאפן אלע זייערע אינפארמעישן!

דאס איז נאר לעגאל ביי א פאבליק פלאץ ווי א לייברערי אדער א רעסטאראנט און נישט ביי א פריוואטער נעטווארק וואס איז אפן

משנה מקום האט געשריבן:פאר ווער ספארשטייט קין און הבל און / אדער דראט הייפיש און נאך קענען העלפען וד"ל

דאס איז פאר פעסווארד רעקאווערי און נישט נעטווארק sniffing

מומחה; איז עס א גרינגע זאך? כ'מיין, היינט ווי די גייסט האסטי פובליק ווייפיי, אין ווילסט מיר זאגן אז עס טיצעך טאקע א געהעקאכטס אין גרויסען? עניוועי איז דא א ווגע וויאזוי איך זאל מיר קאנעקטען צי פובליק ווייפיי אין נישט זיין באזארגט אז איינער גייט כאפן מיין פעסווארדס?
אפשר ביסטי אביסעל מער מסבור וויאזוי מען טיט עס, נישט פארשטאנען די רמז פין קין אין הבל...

רוב אנליין סערוויסעס, ווי בענק, אימעיל וכדומה, ניצן SSL וואס טוט ענקריפטן די דאטא פונעם סערווער ביז'ן קאמפיוטער. אלע נעטווארקס אינצווישן, אריינגערעכנט פובליק ווייפיי, קענען נישט ליינען די אינפארמאציע. סייסט וואס ניצן נישט SSL קען מען טאקע יא אפכאפן אינפארמאציע. (שוין אמאל געשריבן דעוועגן.)

איך ניץ ווייערשארק ווען נויטיג.

תרגום יונתן האט געשריבן:רוב אנליין סערוויסעס, ווי בענק, אימעיל וכדומה, ניצן SSL וואס טוט ענקריפטן די דאטא פונעם סערווער ביז'ן קאמפיוטער. אלע נעטווארקס אינצווישן, אריינגערעכנט פובליק ווייפיי, קענען נישט ליינען די אינפארמאציע. סייסט וואס ניצן נישט SSL קען מען טאקע יא אפכאפן אינפארמאציע. (שוין אמאל געשריבן דעוועגן.)

איך ניץ ווייערשארק ווען נויטיג.

פאר א MITM העלפט נישט קיין https

פארוואס נישט?

תרגום
ווי לאנג האלסטו דארף מיר נעמען אויסציליידיגן וויכיס באנק קאנטע?

כ'מיין וויכי'ס געלט ליגט אין האול-לייף...

תרגום יונתן האט געשריבן:רוב אנליין סערוויסעס, ווי בענק, אימעיל וכדומה, ניצן SSL וואס טוט ענקריפטן די דאטא פונעם סערווער ביז'ן קאמפיוטער. אלע נעטווארקס אינצווישן, אריינגערעכנט פובליק ווייפיי, קענען נישט ליינען די אינפארמאציע. סייסט וואס ניצן נישט SSL קען מען טאקע יא אפכאפן אינפארמאציע. (שוין אמאל געשריבן דעוועגן.)

איך ניץ ווייערשארק ווען נויטיג.

צוריק צום ענין, וויאזוי קען מען העקן איינער וואס איז אויף א אפענע ווייפיי קאנעקשאן

(הערה: איך וועל נישט אויסלערנען פונקליך וויאזוי דאס צו טון צוליב פארשטענדליכע סיבות)

איז לאמיר קודם מסביר זיין בערך וויאזוי א ווייפיי קאנעקשאן ארבעט און וואס איז די חילוק פון א אפענע קאנעקשאן און איינס מיט א פעסווארד.

ווען צוויי קאמפיוטערס קאנעקטן זיך דורך א נעטווארק טוען ביידע שיקן דאטא אהין און צוריק די דאטא ענטהאלט פעסווארדס, קוקיס און די HTML פון די וועב פעידזשעס וכדו'. די שטיקלעך דאטא הייסן packets

איז ווען איינער וויל זען אייער פעסווארד (און איר זענט אויך א אפענע ווייפיי קאנעקשאן) דארף ער נישט מער ווי שמעקן די דאטא וואס פארט פון אייער קאמפיוטער צו די סערווערס פון עני וועבסייט, און ער האט די פעסווארד! ס'איז אבער נישט אזוי לייכט ווי איר מיינט ווייל רוב וועבסייטס ווי עמעזאן, גוגל, טוויטער און אייער באנק נוצן א זאך וואס הייסט א SSL Certificate (מער וועגן דעם וועל איך אי"ה שרייבן א צווייט מאל) און דאס טוט ענקריפטן די דאטא וואס פארט הין און צוריק, די וועבסייטס וואס נוצן SSL וועלן האבן א גרינעם שלאס אין די בראוזער.

אזוי


אבער דא קומט א גרויסע אבער, אין אינטערנעט עקספלארער איז די גרינע Secure אייקאן גארנישט ווערד ווייל מ'קען מיט אפאר קליקס מאכן אז א סייט זאל זיין secure און די גרינע באר זאל ארויפקומען, די גוטע נייעס איז אבער, אז קראום און פייערפאקס זענען יא סעקיור און ווער עס קען זאל נוצן קראום אדער פייערפאקס.

איז ווען איר האט א ווייערד קאמעקשאן איז שווער פאר א צווייטער (וואס איז נישט אןיף אייער נעטווארק) צו זען די דאטא וואס פארט פון אייער קאמפיוטער צו די סערווערס, אבער אויף א ווייערלעס קאנעקשאן קען יעדער (וואס וויל) עס זעהן, דעריבער אויב איז די קאנעקשען סעקיורד מיט א פעסווארד קען א צווייטער נישט ליינען די דאטא (ער קען עס זעהן אבער נישט ליינען) ווייל עס איז ענקריפטעד, אבער אויב איז די קאנעקשאן אפן קען יעדער עס ליינען.

מומחה ישר כח אייך פארן מיטטיילן די אינפארמאציע
דא האסטו
לאמיך נאר צילייגן
רוב אירע ניצן די זעלבע פאסווארד פאר אייוועלט ווי פאר טשעיס
און אפילו דו ניצט קראום אבער אייוועלט האט נישט קיין שלאס און אז איך האב דיין אייוועלט פאסווארד האב איך דיין טשעיס פאסווארד

פאטאקי08 האט געשריבן:מומחה ישר כח אייך פארן מיטטיילן די אינפארמאציע
דא האסטו
לאמיך נאר צילייגן
רוב אירע ניצן די זעלבע פאסווארד פאר אייוועלט ווי פאר טשעיס
און אפילו דו ניצט קראום אבער אייוועלט האט נישט קיין שלאס און אז איך האב דיין אייוועלט פאסווארד האב איך דיין טשעיס פאסווארד

ווער ס'נוצט די זעלבע פעסווארד פון אייוועלט אויף טשעיס וועט מען חוסם זיין און די אנדערע זאלן שוין גיין צו https://www.grc.com/haystack.htm און טשעקן ווי שטארק זייער פעסווארד איז

די לינק איז פונקט גוט קעגן א ברוטפארס אטאקע
די לעצטע וועג וואס א העקער וועט נוצן די דערגיין א פעסווארד היינט צו טאגס
נישט אז צוליב דעם זאל מען נישט טשעקן די לינק
מען דארף דאס אויך אינזין האבן

אויב איז עס א טארגעטעד אטאקע וועט א העקער נישט נוצן ברוטפארס אבער אויב געלונגט אים צו כאפן א דאטאבעיס וועט ער יא נוצן ברוטפארס און דא קומט אריין די לענג פון א פעסווארד, און צו מען נוצט עס אויף מער ווי איין סייט

דאס דערמאנט מיר די קאמיק:

תרגום גוט גוט
אז מען רעדט שוין
עס לויפט יעצט א פארזעצונג אין די ק"י דזשורנאל, עס איז געלאפן אין דער בלאט פאר א צען יאר צוריק בערך די זעלבע מעשה
די גאנצע מעשה איז געבויעט אויף וואסערע פעסווארדס ער האט געניצט און וויאזוי...

איך זעה אז דער עולם האט מיר נישט פארשטאנען דעריבער וועל איך עס ערקלערן:

מומחה עצום האט געשריבן:צו זיין סעקיור איז גוט צו אינסטאלן HTTPS Everywhere (קראום און פייערפאקס) אזוי וועט איר באקומען די HTTPS סעקיור פעידזש אנשטאט די געווענטליכע HTTP וואס איז נישט סעקיור

דאס ארבעט נאר אויף סייטס וואס האבן ביידע, סיי די HTTP און HTTPS, דאן וועט ער פארלאנגען די HTTPS אנשטאט די רעגולער HTTP. עס מאכט נישט פון HTTP וואס איז נישט אזוי סעקיור צו HTTPS, די סייט מוז עס האבן

מומחה עצום האט געשריבן:ווי ס'ווערט אויסגעשמועסט דא