Date : 8/3/2015 9:17:15 PM
From : "Michael Moshayev"
To : "Amos.gueta"
Subject : Re: פנייה בנושא אבטחה באתר עולים על מדים

בדקתי את הבעיה במחשבים שונים ובדפדפנים שונים וזה הראה שבגוגל כרום אין https מסיבה כלשהי, אך באינטרנט אקספלורר יש https.
אני חושב שעדיין שווה לבדוק את העניין כי אינטרנט אקספלורר לא כופה https על שום אתר וניתן לגנוב פרטי הזדהות של בן אדם בכל אתר יש בו טופס התחברות בין אם יש https או אין https (במידה והמשתמש משתמש בinternet explorer).
דוגמא טובה לכך היא שניתן לגנוב פרטי הזדהות על ידי שימוש בSSLstrip ו-SSLstrip2 כאשר משתמש מנסה להיכנס לדף הפייסבוק שלו אם הוא משתמש בInternet Explorer (למרות השימוש בhttps של פייסבוק).
הנה סרטון מעולה ביוטיוב שמלמד כיצד ניתן לעשות זאת: https://www.youtube.com/watch?v=LnbLRX83dzU
ועוד אחד של אותו הבחור שמסביר כיצד לעשות את הsniffing במיוחד על פיירפוקס וכרום: https://www.youtube.com/watch?v=9RPCSVcCv1w

אני יותר מאשמח להיות טועה בעניין הזה כי אז אני אדע שיש לי מה ללמוד ושפרטי הגיוס שלי לא חשופים לאף אחד :). 
מצטער אם בזבזתי זמן כלשהו שלך או של מישהו אחר, אך לפי דעתי העניין דורש בדיקה כי ייתכן שה-Certificate של האתר שלכם דורשת חידוש.
בנוסף, זה שזה מעביר אותי לדף שאומר לי שאני מועבר לדף מאובטח לא באמת אומר שהדף שאני מועבר אליו מאובטח.
תודה רבה והמשך שבוע מעולה :). 





2015-08-03 19:00 GMT+03:00 Amos.gueta <Amos.gueta@mail.gov.il>:

שלום מיכאל תודה על התשובה,
אך לצערי אתה טועה אתר עולים על מדים כן עושה שימוש בפרוטוקול https
למעשה לא ניתן לגשת לאתר כלל בhttp בלבד
תנסה אפילו להיכנס לאתר בכתובת:
www.aka.idf.il/main/giyus/

ותראה שאתה מועבר אוטומטית לאותה הכתובת עם בhttps.

אם אתה חושב שאתה עדיין צודק אשמח אם תשלח לי תמונת מסך ותראה לי שהצלחת לפנות לאתר עולים על מדים ללא https

בכל הקשור למיונים לצבא אתה תצטרך לפנות למוקד של מיטב ולא לתמיכה באתר היות ואנחנו לא עוסקים במיונים,

תודה ושיהיה לך יום טוב.

בתאריך 3 באוג׳ 2015 4:17 אחה״צ,‏ Michael Moshayev <michaelol203@gmail.com> כתב:

שלום עמוס גואטה,
אני תלמיד תיכון שעולה ליב' ולומד במקביל האקינג,ניהול רשתות ואבטחת מידע במכללת See-Security, ולמרות זאת לא קיבלתי זימון למבחנים של סייבר אז אבקש שתיקחו זאת לתשומת לבכם.
הבעיה שמצאתי באתר של עולים על מדים היא שהאתר שלכם לא מאובטח, כלומר הגלישה בו לא נעשית באמצעות HTTPS.
כאשר מזינים את תעודת הזהות והסיסמה המידע מועבר לשרתים שמאמתים את הנתונים באופן לא מוצפן, זאת אומרת שכל האקר יכול לשלוף את הפאקטים שמכילים את תעודת הזהות והסיסמה ולהתחבר לאתר.
אם הגלישה הייתה מתבצעת באמצעות פרוטוקול HTTPS לא היה ניתן להבין את תעודת הזהות והסיסמה מכיוון שפרטים אלו היו מוצפנים.
לדוגמא, אתרים שעוסקים במסחר בינלאומי באינטרנט מוכרחים להשתמש בHTTPS כדי שהפרטים של הקונה\הסוחר לא ייגנבו.
בקיוסק האישי רשום הכל על בן הנוער כולל מגוריו, בית הספר שבו הוא לומד ובן כמה הוא ולכן מסוכן להשאיר את המצב כמו שהוא עכשיו.
ניתן לעשות התקפה כזאת באמצעות שימוש בSSLstrip או SSLstrip2 - במילים אחרות: Man in the middle.
חשוב לציין שישנם דרכים יותר מורכבות ופחות ידועות לציבור כיצד לשלוף מידע כזה בקלות יתר אך עדיף לאבטח מידע זה ככל שיותר וככל שאפשר.
אני מקווה שמה שאמרתי עזר ומקווה מאוד שזה יקנה לי את הזימון למבחנים לסייבר.

תודה רבה,
מיכאל


2015-08-02 15:55 GMT+03:00 Amos.gueta <Amos.gueta@mail.gov.il>:
שלום מיכאל מושייב,
אני אחראי על אתר עולים על מדים,
הפנו אותי אליך כי אמרו לי שמצאת איזושהי בעיית אבטחה באתר עולים על מדים.

אשמח אם תתאר לי בפירוט מה מצאת,
תודה.