שלום עמוס גואטה,

אני תלמיד תיכון שעולה ליב' ולומד במקביל האקינג,ניהול רשתות ואבטחת מידע במכללת See-Security, ולמרות זאת לא קיבלתי זימון למבחנים של סייבר אז אבקש שתיקחו זאת לתשומת לבכם.

הבעיה שמצאתי באתר של עולים על מדים היא שהאתר שלכם לא מאובטח, כלומר הגלישה בו לא נעשית באמצעות HTTPS.

כאשר מזינים את תעודת הזהות והסיסמה המידע מועבר לשרתים שמאמתים את הנתונים באופן לא מוצפן, זאת אומרת שכל האקר יכול לשלוף את הפאקטים שמכילים את תעודת הזהות והסיסמה ולהתחבר לאתר.

אם הגלישה הייתה מתבצעת באמצעות פרוטוקול HTTPS לא היה ניתן להבין את תעודת הזהות והסיסמה מכיוון שפרטים אלו היו מוצפנים.

לדוגמא, אתרים שעוסקים במסחר בינלאומי באינטרנט מוכרחים להשתמש בHTTPS כדי שהפרטים של הקונה\הסוחר לא ייגנבו.

בקיוסק האישי רשום הכל על בן הנוער כולל מגוריו, בית הספר שבו הוא לומד ובן כמה הוא ולכן מסוכן להשאיר את המצב כמו שהוא עכשיו.

ניתן לעשות התקפה כזאת באמצעות שימוש בSSLstrip או SSLstrip2 - במילים אחרות: Man in the middle.

חשוב לציין שישנם דרכים יותר מורכבות ופחות ידועות לציבור כיצד לשלוף מידע כזה בקלות יתר אך עדיף לאבטח מידע זה ככל שיותר וככל שאפשר.

אני מקווה שמה שאמרתי עזר ומקווה מאוד שזה יקנה לי את הזימון למבחנים לסייבר.

תודה רבה,

מיכאל