האקינג – Hacking

• האקינג הוא שימוש במערכות מחשב בדרכים יצירתיות כדי להשיג תוצאות טובות יותר מאלו שאליהן התכוון מתכנן המערכת המקורי.
• כיום מתייחס המונח האקינג להשגת גישה לאזורים חסומים של מערכות מחשוב, השגת מידע חסוי, שינויים בתפקוד מערכות ופריצת תוכנות.
• תהליך ההאקינג כולל איסוף מידע יסודי על המערכת. האיסוף מתחיל במקורות הגלויים: תיעוד למשתמש קצה ותיעוד למתכנת. אם מדובר בהאקינג של מערכת בה הקוד המקור זמין,
• ההאקינג כולל את קריאתו, לימודו וביצוע שינויים בו. במערכות שהקוד שלהן אינו זמין, ההאקינג עשוי לכלול הנדסה לאחור לשפת אסמבלר וקריאת קוד זה.
• תרבות ההאקינג מבוססת על מעמד קהילתי המושג על ידי הצגת יכולת לבצע משימות או פריצות מסובכות.
• האקרים משיגים מעמד כזה באמצעות כתיבת תוכנה חופשית, בדיקה ותיקון של באגים בתוכנה חופשית והפצת מידע אודות פרצות אבטחה באתרים או תוכנות.
• לעומתם קראקרים כותבים ומפרסמים תוכנות המיועדות לאפשר למשתמשים בהם לשנות התנהגות של מערכות ועל ידי כך חדירה, פריצה וגרימת נזקים למיניהם.

למידע נוסף על קורס האקינג של HackerU

מושגים

• האקר כובע לבן (Hacker) - האקר שבודק חורי אבטחה באתרים תוכנות ועוד, מאבטח מדווח עליהם במקום לפרוץ דרכם הוא עושה זאת מתוך סקרנות או בשביל ליצור מודעות.
• האקר כובע שחור (Cracker) – האקר שמטרתו היא לפרוץ למחשבים להרוס אותם, הוא עושה זאת כדי להרוויח כסף או להנאתו האישית.
•  האקר כובע אפור (Ethical Hacker) – האקר שהוא בעצם שילוב של האקר כובע לבן והאקר כובע שחור מה שאומר שהוא פורץ ולאחר מכן מאבטח.
• וירוס – תוכנה המכילה קוד זדוני, הפוגע בתוכנות אחרות שעל המחשב, במערכת ההפעלה ואפילו בחומרה של המחשב עצמו.
• תולעת – תוכנה המכילה קוד זדוני אשר בנוסף לנזק מפיצה את עצמה דרך האינטרנט למחשבים אחרים (השיטה הכי נפוצה – דרך דואר אלקטרוני).
• סוס טרויאני – השם נלקח מסיפור ישן על הסוס מעץ שקיבלו הרומאים. במהלך הלילה יצאו מתוך הסוס חיילים טרויאניים והרסו את העיר. סוס טרויאני במובן מחשבים הינו וירוס/תולעת המוסווה בתור תוכנה שנראית תמימה – כגון שומר מסך או משחק. בעת הפעלה, הסוס הטרויאני מאפשר לפורץ לשלוט באופן מלא על המחשב שלכם מרחוק.
• אקספלוייט – תוכנה או כלי פריצה, המאפשרים לפורץ לבצע באופן מרוחק פקודות על המחשב שלכם דרך חור באבטחת המערכת.
• (DoS (Denial of Service - ניסיון שיבוש חיבור לרשת על ידי שליחת מידע שגוי מהמחשב התוקף למחשב הנתקף. בדומה ל-DoS,אך עי מספר מחשבים יחדיו. בדרך כלל מחשבים המבצעים את ה- DDoS  יהיו בשליטת הפורץ(זומבי).
• ספייוור (תוכנת ריגול) – אלו לא וירוסים. גם לא תולעים. אלו רכיבים של תוכנות שונות, שמטרתם העיקרית היא לאסוף מידע אודות הרגלי המשתמש במחשב ובאינטרנט. המידע נשלח באופן בלתי נראה למשתמש למפעילי אותם הרכיבים, והמפעילים יודעים להתאים את הפרסומות באתרים שונים דווקא לטעמו של המשתמש. לדוגמה, משתמש שמבקר באתרי כלכלה עלול להיות מוצף בפרסומות וחלונות קופצים בנושא הכלכלה, אפילו לפעמים שלא מחובר לאינטרנט.
• פישינג - ניסיון לגניבת מידע רגיש על ידי התחזות ברשת האינטרנט. המידע עשוי להיות, בין היתר, שמות משתמש וסיסמאות או פרטים פיננסיים. פישינג מתבצע באמצעות התחזות לגורם לגיטימי המעוניין לקבל את המידע. לרוב שולח הגורם המתחזה הודעת מסרים מידיים או דואר אלקטרוני בשם אתר אינטרנט מוכר, בה מתבקש המשתמש ללחוץ על קישור. לאחר לחיצה על הקישור מגיע המשתמש לאתר מזויף בו הוא מתבקש להכניס את הפרטים אותם מבקש המתחזה לגנוב.
• האקטיביזם - הוא השימוש בטכנולוגיות לחבלה במחשבים לשם הבעת עמדות פוליטיות והשגת מטרות פוליטיות. רוב הטכנולוגיות האלו לקוחות מתחום ההאקינג הרגיל. דוגמאות לחבלות פוליטיות: פריצה לאתר שמזוהה עם צד בסכסוך פוליטי, שינוי תכנים באתר, הצפת אתר עד כדי השבתתו, מחיקת מידע מאתר, הפצת וירוסים.
• הזרקת SQL - שיטה לניצול פרצת אבטחה בתוכנית מחשב כאשר מתבצעת פניה אל מסד הנתונים. השם נובע מכך שהמשתמש מכניס קוד  SQL לשדה קלט אליו אמורים היו להיכנס נתונים תמימים. באופן זה יכול משתמש זדוני לחרוג לחלוטין מן התבנית המקורית של השאילתה, ולגרום לה לבצע פעולה שונה מזו שיועדה לה במקור. הזרקת  SQL הינה מקרה פרטי של קבוצה רחבה של פרצות אבטחה הנקראות הזרקות קוד, שמתרחשות כאשר תוכנה כלשהי יוצרת קוד בזמן ריצה על־פי הקלט  ובלי לבדוק את תוכן הקלט תחילה.
• (XSS (Cross-site scripting - היא קטגוריה של פרצות אבטחה הנמצאות לרוב באתרי אינטרנט המאפשרים הכנסת תוכן על ידי משתמשים. ניצול של פרצות אלו מאפשר הזרקת קוד זדוני אל אתר אינטרנט על ידי משתמש. כאשר משתמש תמים נכנס לאתר האינטרנט הפרוץ, מחשבו של המשתמש התמים מתייחס לקוד הזדוני כאל קוד לגיטימי של האתר הפרוץ, ומריץ את הקוד הזה. מכיוון שהקוד הזדוני נחשב לקוד לגיטמי של האתר הפרוץ, הוא יכול לקבל כל מידע הרלוונטי לאתר זה, כגון הרשאות כניסה של המשתמש לאתר. במקרים קיצוניים, למשל כאשר האתר נמצא ברשימת האתרים שהמשתמש התמים סומך עליהם, ניתן גם לנצל את הפרצה להרצת קוד זדוני בהרשאות של המשתמש עצמו.
• הנדסה הפוכה - הוא תהליך של גילוי עקרונות טכנולוגיים והנדסיים של מוצר דרך ניתוח המבנה שלו ואופן פעולתו. לרוב, תהליך זה כולל פירוק המוצר למרכיבים ולנתח באופן פרטני את דרך פעולתם של המרכיבים. לרוב, תהליך ההנדסה ההפוכה מבוצע מתוך כוונה להרכיב מוצר חדש הפועל בצורה דומה מבלי להעתיק למעשה את המקור.

הנדסה סוציאלית – Social Engineering

הנדסה סוציאלית הינו מושג המגדיר רמאות, הונאה, או כל טריק אחר, שבעזרתו ניתן לגרום לקורבן למסור מרצון את המידע האישי למישהו אחר. לדוגמה, אתם יכולים לקבל מידע שגוי, כמו למשל שיחת טלפון ממישהו שטוען להיות טכנאי כבלים, וכתוצאה מכך למסור פרטים, כמו למשל הכתובת שלכם. אתם עלולים לקבל מידע כוזב בהודעת דואל, טלפון, אתר אינטרנט או צ'אט, ובכך למסור פרטים אישיים.

דוגמאות של הנדסה סוציאלית כתבתי בתחילת המאמר. בדוגמה הראשונה, למשל, המשתמשת מסרה את כל האינפורמציה האישית הרגישה שלה, כולל שם, כתובת, מספר כרטיס האשראי ועוד. הגנב מייד החל להשתמש במידע הזה – ובכך יצר מצב של גניבת זהות.

הנדסה סוציאלית מבוססת בעיקר על הרצון שלנו כבני אדם תרבותיים לעזור, לאלו שזקוקים לעזרה. או למשל, הפחד מסמכות. אנחנו בדרך כלל נענה לבקשה של מי שאנחנו חושבים שהוא הבוס. המרמה האנושית היא זו שמאפשרת את מרב המחדלים והגניבות.

דוגמה להנדסה סוציאלית

דוגמה להנדסה סוציאלית להלן דוגמה של הנדסה סוציאלית: דנה מעוניינת לדעת כתובת של אדם מסוים, אבל מה שידוע לה, זה רק מספר הטלפון. מכיוון שאי אפשר לקבל את הכתובת דרך 144, דנה מנסה משהו אחר. היא יודעת שלכתובת הזו מגיע שירות ישרא-גז, לכן היא מתקשרת לשם:

פקיד: ישרא-גז שלום
דנה: שלום. אני הבת של מר דוד כהן. אבא שלי עבר לגור לא מזמן בבית אבות, והייתי רוצה לברר אם הוא שינה את הכתובת אצלכם. שיהיה בריא, אבל, אתה יודע... הזמן עושה את שלו, לכן הייתי רוצה לוודא שהוא לא שכח...
פקיד: בוודאי... מה מספר הטלפון?
דנה: 03-7766550, דוד כהן.
פקיד: כן, אני רואה שהכתובת היא רח' ויצמן 46. האם זו הכתובת של הבית אבות?
דנה: כן. תודה רבה לך. להתראות.

זוהי דוגמה מצוינת לאופן שבו ניתן לקבל אינפורמציה בקלות. מה שראינו כאן בדוגמה הינו גורם הטיב האנושי – מעין רצון פנימי לעזור לאחרים. בליבו של הפקיד,
כנראה דמיין את הסיטואציה, ריחם על הבחורה ועל אביה הזקן, ושמח לעזור

צלילת פחי הזבל – Dumpster Diving

• צלילת פחי הזבל זהו מצב שבו מישהו ממש עובר על הזבל שאתם זורקים, בניסיון למצוא פריטים או אינפורמציה שימושיים עליכם. זבל של אחד הינו האוצר של האחר, אומר משפט מפורסם אחד. הזבל שלכם מכיל המון אינפורמציה שימושית, כמו קבלות ישנות, תדפיסים מהבנק, חשבונות טלפון (גז, ארנונה, חשמל), צ'קים ישנים ועוד.
• נבירה בזבל אינו פשע, אלא אם כן הוא מתקיים בשטח פרטי. למשל, הפח הגדול מחוץ לבניין שבו אתם גרים אינו רכוש פרטי, אבל הפח שעומד בחצר הבית הוא כן. החוק לא יכול להגן עליכם ממישהו שנובר בזבל, אלא אם כן, למשל, על הפח רשום שטח פרטי או רכוש פרטי.
• בכדי לדאוג שמי שנובר בזבל לא יימצא שום דבר העלול להוות פוטנציאל לגניבת זהות, יש לדאוג תמיד לגרוס, לקרוע, או לשרוף את המידע הרגיש, הנל. מידע שקשה לשחזר יגרום לפושע חוסר רצון לנסות ולשחזר את המידע.

גלישת כתפיים – Shoulder Surfing

גלישת כתפיים הוא בדיוק מה שאנשים עושים כשהם מסתכלים על מה שאתם עושים מעבר לכתף שלכם. לדוגמא, כשאתם מכניסים את הקוד האישי בכספומט ומישהו צופה, או למשל מקישים את מספר הבזק-כארד (כרטיס המאפשר להתקשר מכל טלפון ציבורי, על חשבון הכרטיס שמשלמים בסוף חודש) בטלפון ציבורי, ומישהו צופה. אם אתם משתמשים באינטרנט ציבורי (ספריה, אינטרנט קפה), מישהו שיושב לידכם עלול להסתכל לאן אתם גולשים, מה הכינוי שלכם בצ'אט, או מה הסיסמא שאתם מקלידים.

אתם לא יכולים לדעת המי שרואה את הקוד הסודי שלכם לא ישתמש בו. לעולם אל תחשבו שהם לא! גולשים מנוסים מפתחים יכולת לזכור מספרים מהר ככל שאתם מקלידים אותם, לזכור סיסמאות ארוכות ומסובכות, מספרי כרטיסי אשראי וכד'. במקרים נדירים, עלולה להיות מצלמה נסתרת במקום, או תוכנה אשר מקליטה את כל המקשים שאתם לוחצים עליהם.

כתבות בנושא

• האקרים פרצו לאתר מפלגת ישראל ביתנו
• מאת: מערכת וואלה! חדשות
• יום שבת, 5 ביוני 2010, 18:42
• תגיות: ישראל ביתנו
• מפלגת ישראל ביתנו דיווחה היום (שבת) כי אתר האינטרנט שלה נפרץ על ידי האקרים פרו-פלסטינים וכי בדף הבית של האתר הוצגו סיסמאות וסמלים של ארגוני חמאס, חיזבאללה והג'יהאד האיסלמי. הפריצה לאתר תוקנה, וכעת הוא פועל במתכונתו הרגילה.
• https://news.walla.co.il/break/1683034
• האקרים פרצו לאתר  MSN ישראל וקראו לשחרור פלסטין 
• בשקופית שהועלתה במקום האתר הופיעה תמונתו של ילד עטוף בדגל הרשות הפלסטינית כשהכיתוב עליה אומר אתם לא לבד. לאחר שעה קלה הורדה השקופית ופורסמה הודעת תקלה לגולשים
•  אתר  MSN ישראל נפל הלילה (שישי) כאשר האקרים השתלטו עליו והעלו במקומו שקופית שבה קראו לשחרור פלסטין.
•  פרסום 
• בהודעה לגולשים שעלתה במקום האתר עצמו נכתב - אתם חושבים שיום יבוא ותשתלטו על העולם? זה מצחיק את כל העולם. רק תכעיסו יותר את המוסלמים ותמתינו לראות מה יעלה בגורלכם.
• עוד בשקופית מופיעה תמונתו של ילד עטוף בדגל הרשות הפלסטינית כשהכיתוב עליה אומר אתם לא לבד. על השקופית חתומה קבוצה בשם Pakbugs שהוסיפה בשורה בתחתית המסך מטורקיה באהבה.
•  לאחר שעה קלה שבה הופיעה המסר הוא הורד ופורסמה הודעת תקלה לגולשים.

ישנן פרשות מוכרות:

• האנאלייזר – ישראלי אשר בשנת 1998 פרץ לפנטגון, בשנת 2008 שוב גנב 1.8 מילון דולר מחברה קנדית ושוב נתפס.
• פרשת הסוס הטרוייאני – פרשה בה היו מעורבים חברות רבות אשר ריגלו בעזרת סוס טרוייאני לחברות אחרות.
• http://www.ynet.co.il/home/0,7340,L-3439,00.html
• הפריצה לאתר משרד האוצר הירדני – בשנת 2005 פרצו והשחיטו האקרים ישראלים את אתר משרד האוצר הירדני.
• לסיכום - בכל יום נפרצים אתרים ומחשבים וחלק מהם אפילו לא יודעים על כך.
• חלקים מהמצגת נלקחו מהאתר Wikipedia.co.il
• המושגים נלקחו מהמאמר של יגאל טבצ'ניק – אשר נכתב באתר Fresh.co.il