אבטחת מידע

By -

 אבטחת מידע

אז למה חשוב להגן על מידע ?
כיוון שלכולם יש סודות, חברות, ממשלות, ואנשים פרטיים.
כדי לעזור לנו, חכמינו נתנו להם סימנים: CIA


Confidentiality

נתחיל ב Confidentiality סודיות, אז מה זה סודיות ?
אנחנו רוצים שהתכנים שלנו יהיו סודיים ולא יהיו נגישים לאנשים אחרים.
אחד הנושאים העיקריים בסודיות הוא: הצפנה.


הצפנה זה לקחת מידע ולהפוך אותו לכזה שגם אם מישהו מגיע אליו הוא לא יוכל להבין מה יש שם, למשל ההצפנה המפורסמת של יוליוס קיסר, ה ״cypher text״,שזה צופן היסט.

                                   




דוגמה: ״WR EH RU QRW WR EH״ שזה בעצם צופן היסט (של 3 אותיות) למשפט ״to be or not to be״, בעצם לוקחים את האותיות ה - a-z ומסיטים כל אות 3 צעדים קדימה למשל האות A הופגת להיות C והאות B הופכת להיות האות D וכך הלאה..




בימינו כמובן שההצפנה הקיסרית היא לא חזקה מספיק, ואנחנו משתמשים בטכנולוגיות מתוחכמות יותר..
כיצד ? באמצעות 2 סוגי הצפנה, הצפנה סימטרית והצפנה א-סימטרית.
לפני שנצלול למהי הצפנה סימטרית וא-סימטרית ניתן דוגמא קטנה לאיך כל אחד מאיתנו מצפין ביום יום שלו..
כאשר אנחנו יוצאים מן דלת הבית שלנו אנחנו מצפינים אותו באמצעות מפתח, וכשאנו חוזרים לבית אנחנו ״מפענחים״ אותו עם אותו המפתח.


כך גם עובדת ההצפנה עם מידע מוצפן באמצעות הצפנה סימטרית, אנחנו לוקחים מפתח ונועלים אותו, לתהליך הזה אנחנו קוראים ״encryption״ ובאמצעות אותו המפתח בדיוק אנחנו מפענחים את המידע, ולתהליך הזה אנחנו קוראים ״decryption״.









אלגוריתם מוכר ודי ישן להצפנה סימטרית הוא DES ובגלל שהוא מפוצח מאוד, שידרגו אותו עם 3DES ואז AES ועוד רבים וטובים.

מתי מתחילות הבעיות ? כאשר אנחנו לא נמצאים אחד ליד השני... ואנחנו מתקשרים דרך רשת האינטרנט הציבורית, איך נוכל להעביר את המפתח אחד לשני, הרי מישהו באמצע יכול לתפוס אותו..
לשם כך המציאו חכמינו, את ההצפנה הא-סימטרית שמשתמשת בזוג מפתחות (Key Pair).
כל מידע שאני מצפין באמצעות המפתח האדום (Private Key) ניתן לפענוח רק באמצעות המפתח הכחול (Public Key)



וזה עובד באופן הבא:
קודם כל תכירו 2 דמויות פקטיביות, בוב ואליס.

בוב מייצר לעצמו זוג מפתחות, את המפתח הציבורי שלו הוא שולח לאליס, ועכשיו לאליס יש את העותק של המפתח הציבורי שלו.
אליס לוקחת את המידע שלה ומצפינה אותו באמצעות המפתח הציבורי של בוב, ושולחת את המידע אל בוב, ועכשיו בוב יפענח את המידע שאליס שלחה לו אך ורק עם המפתח הפרטי שלו שלאף אחד אין עותק ממנו.

עכשיו גם אם מישהו יתפוס בדרך את המפתח הציבורי שהשתמשנו בו כדי להצפין את המידע, הוא לא יוכל להשתמש בו שוב כדי לחלץ את המידע, שהרי כאמור ניתן לחלץ אך ורק באמצעות המפתח הפרטי שנמצא רק אצל בוב.

אם צד שלישי מאזין, כל מה שהוא מקבל זה את ההודעה המוצפנת ואת המפתח הציבורי, המפתח הפרטי נשאר אך ורק בצד המקבל. הצד השלישי, המאזין, לא יכול לעשות דבר.
אלגוריתמים נפוצים בהצפנה א-סימטרית הינם למשל: RSA, DSA, DH וכו׳..

בדרך כלל משתמשים בהצפנה אסימטרית על מנת להעביר מפתח של הצפנה סימטרית... כדי שהשרת יוכל להצפין והלקוח לפתוח את הצפנה.





ככה נראה מפתח:



ככה נראית הודעה מוצפנת:



SSH Keys

מאוד מציק וגם לא מאובטח לעבוד עם שם משתמש וסיסמה.

קודם כל, צריך לזכור את שם המשתמש והסיסמה כל הזמן.

שנית, בגלל שאנחנו מעבירים את שם המשתמש והסיסמה, כל KeyLogger יכול להאזין להקלדה ולקחת את שם המשתמש והסיסמה שלנו.

לכן הדרך הטובה ביותר היא לעבוד עם SSH keys.

מה זה ?

מדובר במנגנון שיוצר שני מפתחות – מפתח פרטי ומפתח פומבי ששניהם מתואמים ותלויים זה בזה.

את המפתח הפומבי אתה נותן לאתר כלשהו והוא ישמור אותו במסד הנתונים שלו. כשאתה מעוניין להזדהות מולו, הוא יקח את המפתח הציבורי שלך ששמור אצלו וישתמש בו על מנת להצפין מילה מסוימת. את הגיבוב הוא שולח לך. עם המפתח הפרטי אתה יכול לפענח את הגיבוב ולשלוח את המילה המפוענח. במידה והמילה הזו זהה למילה שהוא שלח אליך – הוא יודע שיש לך מפתח פרטי שתואם למפתח הציבורי והאותנטיקציה עברה בהצלחה.




דוגמה לשיחה מאובטחת ברשת האינטרנט:







Integrity

נמשיך ב Integrity אמינות, מהי אמינות ?
אמינות פירושה שלמות המידע, כלומר שיש לי מידע שהעברתי אותו ואני רוצה לוודא שמה ששלחתי הוא באמת מה שהגיע ליעד, ושמישהו בדרך לא תפס את המידע ושינה אותו.

לדוגמה:
בואו נאמר שיש לבוב מידע והוא רוצה לשלוח אותו לאליס דרך הרשת הציבורית (internet), עכשיו אליס צריכה לוודא שהמידע שהגיע אליה זה בדיוק המידע שבוב רצה לשלוח לה ושלא קרה למידע הזה משהו בדרך.

אז איך זה קורה ? באמצעות hashing, וזה קורה בצורה הבאה:


Hashing


דמיינו שיש לנו מכונת כביסה מיוחדת, ולתוך המכונה הזו אנחנו מכניסים מידע כלשהוא, ומה שיקרה אחרי שהמכונה תעבד את המידע היא תתן לי מספר כלשהוא, המספר הזה נגזר מתוך המידע שהוכנס למכונה, כל מידע שאכניס למכונה יתן לי מספר אחר.

המכונה נקראת hasing algoritem (הדגם כאן של המכונה הוא MD5, יש גם דגמים מסוג SHA-256 ועוד ועוד..) והכנסתי לו קובץ מידע מסויים עם בשם ״michael״, המספר שאקבל הוא 20722010705ad7641c2b2c86bdc255ba זה מספר שמיוצג באמצעות ספרות hexdecimel הגודל שלו הוא 128 ביט, בכל פעם שאכניס את אותו קובץ המידע אני אקבל את אותו המספר.



האשינג הוא חד כיווני.. אם אני אכניס למכונה את המספר: ״20722010705ad7641c2b2c86bdc255ba״
אני לא אקבל את הקובץ ״michael״ כיוון שבתוך המספר הזה לא באמת קיים קובץ המידע michael, אלא מתבצעת כאן פעולה מתמטית שמתוכה נגזרה איזושהיא תוצאה, אבל התוצאה לא מכילה את המידע עצמו..
האשינג ניתן לבצע על כל מידע דיגיטלי שיש לנו... קבצים מכל הסוגים וכו...

שימוש בהאשינג:
בוב יודע להכין חורשת סבזי (מאכל פרסי)



והוא רוצה להעלות את המתכון שלו לאתר שלו כדי שאליס תוכל לגשת לאתר ולהוריד את המתכון שלו, אז בוב כותב אתר אינטרנט ומעלה לשם את המתכון המיוחד שלו, כמובן שכדי לגשת למתכון צריך להתחבר עם שם מזהה וסיסמה, לאחר שאליס הקישה את שם המשתמש והסיסמה, ועכשיו היא רוצה להוריד את קובץ המתכון, איך היא תהיה בטוחה שעד שהמתכון הגיע אליה מישהו לא שינה אותו בדרך ?
הפתרון לכך הוא שבוב הוסיף באתר את מספר ה hashing של הקובץ ״622CC5EECACA59AD2BA9F79B6CAC7E97״
והוא מוודא שזה המספר בלבד שמתקבל אם נעביר את הקובץ במכונת ההאשינג שלנו.

זאת אומרת שאם מישהו בדרך שינה את המתכון שלו, כאשר אליס תעביר את הקובץ במכונת ההאשינג שלה היא תקבל מספר אחר וכך תבין שהמתכון שונה בדרך.

מתכון אמיתי למי שהתגרה ובא לו חורשת סבזי...:
Location: Israel

Comments

Post a Comment

Popular posts from this blog

Selenium - locators

By -
Image
Selenium Locators are used for identifying the web elements on the web page. T o access the HTML elements from a web page locators are used. In Selenium, we can use locators to perform actions on text boxes, checkboxes, links, radio buttons, list boxes, and other web elements. Locators help us in identifying the objects. This tutorial explains different types of locators, how, when, and ideal Strategies to use these locators. Example of web browser methods: Find Element by: There are two private methods that might be useful for locating page elements: find_element find_elements Example usage: from selenium.webdriver.common.by import By driver . find_element ( By . XPATH , '//button[text()="Some text"]' ) driver . find_elements ( By . XPATH , '//button' ) These are the attributes available for  By  class: ID = "id" XPATH = "xpath" LINK_TEXT = "link text" PARTIAL_LINK_TEXT = "partial link text" NAME ...
Read more

Selenium Webdriver Manager

By -
Image
The simple way to connect the Webdriver is like that: 1 from selenium import webdriver 2 3 driver = webdriver.Chrome(<path_of_driver>) Const: We need to put all paths and their relative path. If the webdriver or the browser version change/update, we need to manually download him and replace it with the old one. A better way is to put the driver in venv folder, in that way the webdriver is available in all projects without writing the relative path. so... what is the easiest way to figure it out ? Meet webdriver manager, an alternative way to work with webdriver, It pulls the latest version from the central repository automatically. you just need to do two simple steps: Webdriver Manager The main idea of  webdriver_manager i s to simplify the management of binary drivers for different browsers. Instead of: Downloading binary chrome driver. Unzip it somewhere on your PC. Set path to this driver. Every time when there is a new version of the browser, we should repeat all tho...
Read more
By -
Image
A framework (based on python) that makes it easy to write small tests, yet scales to support complex functional testing for applications and libraries. Why do we need Pytest ? why selenium is not enough ? Selenium performs an action in the browser. But how we'll create a test to assert our case ? How we’ll run test suite (a bunch of test cases ) ? That's right... we need PyTest... Build our code structure (Fixtures) Create Test Suites Test Runners Provide Assertions Let's not waste time and start coding… Create Folder My_tests Create python file test_utils 1 def twice(x): 2 return x * 2 3 4 5 def thrice(x): 6 return x * 3   Code conventions: Files start (or end) with: test_ Methods start with: test_ Class starts with: Test_ Install PyTest: Install: pip install -U pytest Verify correct version: pytest --version How to tun PyTest ? Note : When you run  pytest , by default, it will look for tests in all directories and files below the current directory. We would...
Read more

Selenium - brief

By -
Image
Selenium is an umbrella project (Open-Source) for a range of tools and libraries that enable and support the automation of web browsers. Selenium Modules: Selenium - IDE Selenium - RC Selenium - Webdriver Selenium - Grid Appium*   Selenium IDE The first project in selenium (2004), a t first, was only a firefox plugin for record tests. Records in 2004 were trash... if we would record 500 tests and something in my core application was a change, you should record from the beginning... Selenium RC (the second project, 2006) called Selenium 1 Now we could code our tests (with several languages) support with several browsers How ? They create Selenium RC Server (RC = Remote Control), the server translates the code from all those languages to the only language that the browsers know… JavaScript... Const: The biggest const was performance.. a normal test for example 30 steps, could take 20 min !   Selenium Webdriver (2009) called Selenium 2 Now to every browser will be his driver to ...
Read more

Page Object Model, what is it ?

By -
Image
Page Object Model (POM)   is a Design Pattern that has become popular in test automation for enhancing test maintenance and reducing code duplication. Benefits of using page object pattern : Creating a reusable code that can be shared across multiple test cases. Reducing the amount of duplicated code Duplicate browser action. Duplicate page action. Duplicate element action. If the user interfaces changes, the fix needs changes in only one place. Starting a UI Automation in Selenium WebDriver is NOT a tough task. We just need to: Find elements Perform operations on it Verify the result Example of a simple test ( without implementation of POM) As you can see... all we are doing here is finding elements and filling values for those elements. This is a small script, script maintenance looks easy now, but with time, the test suite will grow and we'll add more and more lines to your code... and things become tough. The main problem with script maintenance is if 10 different scripts ar...
Read more

תבניות עיצוב - מפעל

By -
Image
תבניות עיצוב  ״ הי-יו ג׳ורד ת׳יודע מה חזק ?    קוד שמתכנת לממשק ולא למימוש זה חזק ! ״ אנחנו רוצים שהקוד שלנו יהיה גנרי ומאפשר התפתחות עתידית, כדי שאם נרצה להוסיף אובייקטים שונים, לא נצטרך לשנות את הקוד שלנו בכמה מקומות. אנחנו גם רוצים ששינוי ברכיב אחד לא ישפיע על רכיב אחר, כי אנחנו לא אוהבים כפל קוד ולהתחיל לחפש ב- 10 מקומות איפה צריך לשנות/להוסיף את מה שאנחנו רוצים, וכתיבה בצורה הזו היא אבן יסוד בתכנות מונחה עצמים. אנחנו לא רוצים גם להמציא את הגלגל, אין שום צורך, אבותינו וחכמינו זצ״ל כבר חשבו על בעיות נפוצות וגם חשבו על דרכים לפתור אותם. אם אני רוצה ליצור מכונית, יש כבר אנשים שחשבו על ה״תבנית״, מנוע, 4 גלגלים, הגה ועוד... לא צריך להמציא כל פעם את הגלגל מחדש... תרתי משמע :) נכון שזה לא פותר לנו את העיצוב של כל המבנה, אבל זה אומר שאני לא צריך להמציא כל דבר קטן. לפתרונות כאלה קוראים ״תבניות עיצוב״. בתמונה: התנ״ך של תבניות העיצוב:  Design Patterns(1994)   ניתן עוד דוגמה להמחשה, אנחנו פותחים סטארט-אפ וכותבים אפליקציה לניהול לוגיסטי. האפליקציה שלנו בהתחלה יכולה להתמו...
Read more

Security Informtion

By -
Image
First of all, we should ask ourselves why is it important to protect information ? Well... we all have secrets... companies, governments and individuals... To help us, our "sages" gave them acronyms, CIA. Confidentiality One of the main issues in confidentiality is: encryption . Encryption is taking information and making it such that even if someone reaches it, he will not be able to understand what is there. For example, in the old and famous encryption of Julius Caesar, the " Caesar cipher ", this algorithm deflects letters, (for example here, a 3 letter offset) the letter A becomes C, and the letter B becomes D, and so on... ZH KDYH WR NLOO MXOLXV FDHVDU which is actually = We have to kill Julius Caesar   Modern encryption types: Today we are using more sophisticated encryption technologies… Symmetric encryption Asymmetric encryption   Example from everyday life : The home door, we encrypt it with a key, and when we return home we decrypt with ...
Read more