BinaryVision

בפוסט הזה אני אדבר על אסימון תוכנה אשר יהיה מבוסס על מפתח משותף. המטרה של אסימון תוכנה (או אסימון זהות) היא להוסיף שכבה נוספת של אבטחה (אמצעי זיהוי) אל מנגנון הזיהוי של המשתמש. הדוגמה תהיה קונקרטית לכניסה לשרת באמצעות SSH, לאחר הזדהות ראשונית (בעזרת סיסמא או בעזרת מפתח א-סמטרי) עם הכניסה למערכת יופעל מנגון זיהוי נוסף – אסימון תוכנה.

(המשך לקרוא…)

מנהלי שרתים רבים עושים שימוש ב-SSL בכדי להגן על מערכות כניסה (למנוע ממידע שעובר בין השרת והלקוח לזלוג), אך אין הם לרוב עושים שימוש במנגון הקיים בכדי לזהות את הלקוח עצמו, הם מסתמכים שאם הלקוח יודע את השם משתמש והסיסמה, אז הוא כנראה מי שהוא טוען שהוא. במקרה הזה, תפקיד התעודה הוא כפול, הזדהות של השרת בפני הלקוח (אני זה מי שאני טוען להיות), ומניעת האזנה של צד שלישי לדו שיח המתקיים בין השרת והלקוח (המידע שאני שולח לא שונה בדרך). אך אם השרת היה דורש מהלקוח תעודה (אתה זה מי שאתה טעון להיות), התפקיד היה משולש וגם זהות הלקוח הייתה מאוששת באותו תהליך. מנגנון זה אינו תחליף לשימוש בשם משתמש וסיסמה, אלא אמור לשמש רק כמנגון סינון ראשוני לבעלי הגישה למערכת כניסה.(המשך לקרוא…)

עם השתכללות הטלפונים הניידים, התחליפיות בינם לבין מחשבים ניידים תגבר, זו דעתי בכל מקרה. היו מקרים שבהם היה בידי טלפון הנייד בלבד והייתי צריך לגשת לשרת בכדי לבדוק את מצבו, השימוש בקונסול דרך טלפון נייד הוא לא הכי נוח, בעיקר כאשר יש בידי טלפון נייד שהוא לא מהכי משוכללים, אולי בטלפונים ניידים חדשים יותר המצב שונה. עניין נוסף שהייתי צריך לטפל בו זה עניין ההרשאות והאבטחה של השרת, אני לא מעוניין שמהטלפון הנייד תהיה גישה בלתי מוגבלת לשרת.

השרת שלי מבוסס CentOS ויש לי טלפון נייד מבוסס סימביאן, הקלינט SSH שלי הוא PuTTY שהומר לסימביאן ואני עושה שימוש בהזדהות על-ידי מפתחות א-סמטרים (אני לא אכסה איך יוצרים מפתחות כאלה, איך מגדירים את השימוש שלהם בשרת ואיך ממירים מהסטדנרט של OpenSSH לסטדנדרט של PuTTY או PPK). ההתחברות לשרת קלילה, אך ברגע שאני מגיע לקונסול אני מגלה קושי לשלוח פקודות לשרת, כמו כן אני מעדיף שהמשתמש יהיה מוגבל בפקודות שהוא יכול להריץ. העניין הופך להיות מורכב כי יש פקודות שאני כן מעוניין שהוא יהיה מסוגל להריץ – אך הן דורשות הרשאות מנהל מערכת.

(המשך לקרוא…)

ככל שאתר הופך להיות פופלרי יותר, המשאבים הנדרשים מהשרת שמארח אותו עולים, ככל שיש יותר מבקרים השרת נאלץ לנצל יותר רוחב פס, להריץ יותר תהליכים ולבצע יותר קריאות לכונן קשיח. כל אלו יובילו בסופו של דבר לניצול מלא של השרת והוא לא יוכל לשרת מעבר לכמות מסויימת של מבקרים. הפתרון הפשוט הוא רכישה של שרת בעל מפרט טוב יותר (מהירות כונן, כמות זכרון, חיבור מהיר יותר…), אבל לאתרים קטנים שמתחילים לגדול זה לא תמיד אפשרי מבחינה כלכלית.

הפתרון שיוצג כאן מבוסס על CDN – Content Delivery Network, הוא יהיה ממוקד ברעיון של Reverse Proxy ופחות ברעיון של ביזור המידע, למרות שמידע סטטי מטבעו עם הגישה אליו הוא ישמר על שרתי CDN שונים ובכך יהפוך להיות מבוזר. הפתרונות כולם בחינם, אך דורשים דרכי יישום שונים ועליהם נעבור.

(המשך לקרוא…)

אני רוצה לעשות בדיקה מהירה על מהירויות הגלישה על IPv6 אחרי שראיתי כמה נתונים מפתיעים.
בבקשה תגיבו עם הממוצע של ה ping ים הבאים (ושם הספקית/תוכנית
ping -n 10 maia.nix.co.il
ping -6 -n 10 v6.maia.nix.co.il
אין צורך להדביק הכל, רק את ה Avg של שני המקרים. משתמשי לינוקס תשתמשו ב ping6 במקום.

חלק א' היה דיון מקדים, ניסתי להראות את החשיבות ואת החיוניות של אנונמיות ברשת האינטרנט אשר משרתת את חופש הביטוי באופן אשר מגן על אומר הדברים, וכך למעשה מונעת את עריצות השלטון כנגד ביטויים אשר אינו מעוניין שישמעו במרחב הציבורי. אנונימיות היא כנראה הכוח אשר מונע מדמוקרטיה פלורליסטית מלהפוך לדמוקרטיה טוטאליטרית (עריצות הרוב). בחלק ב', אדון באופן סצפיצי ברשתות נסתרות, אשר מוכרות גם בכינוי Deepnet, הדיון יהיה בעל גוון טכנולוגי וטכני במהותו.(המשך לקרוא…)

תכינו את הציוד צלילה, היום אנחנו הולכים לרדת לעומק הרשת. מה אם היו אומרים לכם כי הרשת היא כמו קרחון באוקיינוס, ויש חלק נכבד ממנה אשר נמצא מתחת לפני המים ורק עם ידע מסויים ניתן לגשת אל החלקים הללו. זה הוא ה-Deepnet או בשמות אחרים שהוא גם מוכר בהם Deep web, Invisible Web, Hidden Web, Undernet ו-Darknet.

אתרי Deepnet הם גם אתרים שלא נמצאים באינקדס חיפוש כלשהו, משמע שצריך ידע מקדים עליהם בכדי לגשת אליהם, ניתן לגשת אליהם רק באופן ישיר, לפעמים יש גם צורך בסיסמאות ו/או מפתחות – אני לא אדון באתרים כאלה, למרות שהם גם בעלי עניין משל עצמם. במאמר זה, אדון אך ורק באתרים הנמצאים ברשתות כמו Tor, I2P ו-Freenet ואנתח כיצד הם פועלים.

(המשך לקרוא…)

אני רוצה לציין הישג מרשים של iDigital (מפיצי Apple בארץ) עם חברות הסלולר: תוכניות גלישה ב iPad הן במחיר סביר לגמרי ועם תנאים שלפחות מרחוק, נראים הגיוניים.
בפלאפון: 45 ש"ח לחודש, MicroSIM חינם בלי התחייבות. 1gb תעבורה "מהירה" ואחרי זה בקצב נמוך בלי תשלום על חריגה.
בסלקום: 69 ש"ח לחודש, MicroSIM חינם בלי התחייבות. 2gb תעבורה "מהירה" חודש מתנה (לא סגור על חריגה).
בלי קשר ל iPad, בסלקום הבנתי שיש להם חבילה "לא מוגבלת" של "אינטרנט מהיר" 380kbps הורדה (בערך 25 קילובייט לשניה) בעשרים ומשהו שקל.
באורנג': תמצצו לימון.

לקחתי את הזה של פלאפון, לא להיבהל אין לי iPad. את הכרטיס מקבלים בתבנית פלסטיק בגודל כרטיס ביקור, עכשיו כל מה שצריך זה כרטיס SIM רגיל, טוש, סלוטייפ ומספריים. גוזרים את הכרטיס לגודל רגיל (צריך שהחיבורים ישארו באותו מקום יחסי). אפשר גם להזמין בדולר פלסטיק מוכן מ DealExtreme.

הפכתי נוקיה ישנה ל spot בקישור Bluetooth (אין לה WiFi). סקייפ עובד בסדר גמור על המכשיר עצמו, וגם הלפטופ מתפקד כשהוא מקושר. אפשר גם להזמין ב 40 דולר מ eBay נטסטיק/מודם USB.

אם תוסיפו לסיפור תוכנת SIP כמו sipme אפשר לדבר לסלולר 300 דקות במשהו כמו 80 שקל (לא כולל מכשיר כמובן).

המחיר של לקנות MicroSIM יוצא זול בערך פי 3, גם עם קונים מודם בחוץ – זול פי 2 ובלי התחייבות.

בפוסט האחרון דיברתי על אמצעי אלחוטי ("שן כחולה") כאסימון זהות, כאשר הסתמכנו על מנגנון ההצפנה המובנה של הפרוטוקול כמנגנון ההגנה המונע זיוף. בפוסט הזה אציג אסימון זהות אשר מבוסס על התקן אשר מתחבר פיזית אל המחשב, גם כאן נבחן את היתרונות והחסרונות של השיטה ונציג דרך יישום יעילה (בלינוקס). אני ממליץ לעבור לפחות על החלק הראשון של הפוסט הקודם בשביל להכיר את היתרונות והחסרונות של שימוש באסימון זהות באופן כללי.

בעוד שניתן למצוא אמצעיים יעודיים למטרה זו, שמציעים רמת אבטחה משתנה ממוצר למוצר ודרכי התמשקקות שונות (חיבורים יעודיים), אנחנו נעשה שימוש בחיבור הזמין כמעט בכל מחשב, חיבור USB, ושימוש במחלקת Mass Storage Device (מעתה MSD), ניתן לעשות שימוש במחלקות אחרות¹, אך לרוב הן מסובכות יותר, מצריכות ציפייה יחודית מהמערכת ואקטיביות מסויימת של ההתקן עצמו².

בחרתי לעשות שימוש ב-MSD בעיקר בזכות הפשטות והזמינות. היכולת ליצור מחיצה מוצפנת, תהפוך את גניבת המפתח הנמצא במחיצה זו למעט יותר מורכבת. אני אזהיר מראש ואציין כי יש לזכור שהמפתח הוא סטטי ולמרות שהוא מוצפן, שעתוק מושלם של ההתקן³ יאפשר להתקן המשועתק להכניס את האוחז בו למערכת שלכם. החסרון הבולט ב-MSD שהדו-שיח במחלקה (בין ההתקן למחשב) אינו מוצפן, לכן אנחנו נאלצים להשתמש בשיטות אשר אך ורק יערימו קשיים אך לא יגנו באופן מוחלט על ההתקן⁴.(המשך לקרוא…)

אסימון זהות¹ הוא אמצעי טכני לזיהוי משתמשים, התקנים אלו אמורים להקל על תהליך ההזדהות עבור משתמשי הקצה בפני המערכת שאליה הם רוצים לגשת. בפוסט זה אני אדגים איך לעשות זאת בלינוקס², אך לפני כן אשאל את השאלות הבאות, מה הם היתרונות והחסרונות של השיטה, והאם שימוש בשן כחולה בטוח מספיק בכדי לתת לה את היכולת להכניס מישהו למערכת שלך.

אסימון זהות הוא אחד השיטות להזדהות בפני המערכת, השיטה שרובנו משתמשים בה בכדי להזדהות הינה הזדהות על בסיס ידיעה (אני יודע את הסיסמה למערכת). חלקנו משתמשים באופן אחר להזדהות בפני המערכת, הזדהות על-ידי מוטיבים יחודיים לנו (טביעת אצבע, תווי פנים). אסימון זהות הינה דרך להזדהות בפני המערכת על-ידי אמצעי יחודי שיש בידנו.

(המשך לקרוא…)