בעיית אבטחה חמורה בסייר הקבצים בחלונות 7 (ובויסטה, וב XP ובכלל)

6 בפברואר 2010

תגיות: , ,
תגובה אחת

מה לא בסדר בתמונה הבאה ?

picture01

לא ניחשתם ? הנה רמז !

 picture02

לא עזר ? הנה רמז ממש ברור !!!

 picture03

למי שלא זיהה, להלן הבעיה. אם תלחצו על ה Alt ותפתחו את תפריט Tools ובתוכו את Folder Options תקבלו את התמונה הבאה

 picture04

שימו לב לזה ש Hide extensions for known file types מסומן ב V. אם תורידו את הסימון ותסתכלו עת אותה תיקיה תקבלו תמונה שונה והרבה יותר מעניינת.

picture05

שימו לב שהקובץ gtrr.jpg הוא למעשה קובץ exe ושהקובץ thisiswrong.bmp הוא למעשה קובץ Batch.

אחד מהעקרונות החשובים של אבטחה, היא למנוע מהמשתמש לטעות בגלל חוסר תשומת לב. המון טכניקות פריצה וחדירה מתבססות על זה שהמשתמש עושה דבר אחד, ובפועל, בגלל חוסר תשומת לב לפרטים הקטנים, מה שמתבצע זה בעצם משהו אחר. משתמש לא עירני, שנתקל בהודעת דואר שאליה מוצמד verybeautifulwoman.jpg.exe (ולמען ה Politically correct גם משתמשת שנתקלת ב verybeautifullman.jpg.exe), צריכים להיות מודעים בבירור, לכך שהסיומת של הקובץ היא בעצם exe, ולא להיות מוטעים, כתוצאה מחוסר תשומת לב, לחשוב שהסיומת היא jpg.

הבעיה היא שברירת המחדל (כבר שנים) של התקנת מערכות ההפעלה של חלונות, היא שה Hide extensions for known file types מסומנת. זו לטעמי בעיית אבטחה קשה, כי זה נוגד את העיקרון של Sacure by default לגבי מערכת ההפעלה.

מי שמחפש את ההיסטוריה של הדברים, יגיע באיזה שהוא שלב, לזה שבמקינטושים אין חיה כזו של File type, וסוג הקובץ מוסתר בתוך רשומת הקובץ בתיקיה, ולא כחלק משם הקובץ. המטרה הראשונית של המנגנון היתה כמובן לעשות את החיים למשתמש קלים יותר ולהסתיר ממנו מידע טכני. אבל בעולם העוין של היום, נוחיות המשתמש הינה במקום שני, ובטיחות המשתמש עברה למקום ראשון.

דרך אגב, היו גם טעויות היסטוריות של אבטחה שתוקנו משך השנים. יהיו מביניכם אלה שיזכרו, שברירת המחדל של קובץ חדש היתה Everyone full control, שזב אסון מבחינת אבטחה. ואילו היום, ברירת המחדל היא סגורה יותר.

דבר ראשון שאני עושה אחרי התקנה של מערכת הפעלה חדשה (ואני עושה המון התקנות כאלה במכונות הוירטואליות שלי), זה ללכת ל Folder Options (ב Control Panel או דרך תפריט Tool), ולשנות את ברירת המחדל, לזו שלא מסתירה סיומות לסוגי קבצים ידועים. אני מקווה שבחלונות 8, יהיה מישהו במיקרוסופט, שיהפוך את הבחירה שלי לברירת המחדל, ומה שאולי יותר טוב, יבטל לחלוטין את האפשרות לעשות את הבחירה המסוכנת הזו.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

תגובה אחת

  1. Shlomo7 בפברואר 2010 ב 0:12

    אני גם עושה את זה דבר ראשון, אבל מטעמי נוחות.

    אני לא מצליח להבין למה אם הסיומת מוסתרת זה אומר שאני לא יכול לשנות את סוג הקובץ (מ – txt ל – html למשל)

    הגב