על בנקים ישראליים, אבטחה וקידמה

כאן בישראל, כשזה מגיע למצב שרותי הבנקאות שלנו, אנחנו נמצאים במקום לא רע בהשוואה לשאר העולם (מבחינה מחשובית. מבחינה פקידותית – כבר יצא לי לשמוע רק לפני מספר שבועות בבנק כלשהו שהלכתי לישיבה שם – צעקות של פקידה אחת שצועקת ללקוחה אחת "תקווה, את חורגת ב-2000 שקל ובדיוק הגיע צ'ק שצריך להוריד לך 1000 שקל לבית ספר, אני מחזירה לך אותו!" – על פרטיות היא כנראה לא שמעה). פה בישראל אנחנו לא בקידמת הבמה. בחו"ל אתה יכול כבר ממזמן לשלם בסופר ובמקומות אחרים עם הטלפון והשעון החכם שלך, בישראל זה קיים בקושי. הפקדת צ'קים ע"י צילומם נכנסה לישראל רק לאחרונה בשעה שבחו"ל זה קיים כבר שנתיים ורק עכשיו בנקים שונים מתחילים להציע העברות כספים בין אנשים (לדוגמא, BitPay של בנק הפועלים ובנקים אחרים כבר עובדים על פתרונות מתחרים), הוצאת כספים מכספומט ללא צורך בכרטיס המגנטי ועוד ועוד.

כל מי שעובד בבנק או בחברה שעובדת עבור בנק יוכל לאמר לכם שבנקים הם דבר סופר-שמרן. כשבסטארטאפים מדברים ומשתמשים כיום ב-ServerLess Computing, בבנקים מסוימים תצטרכו להסביר (אם תדברו על כך) על מה אתם מדברים. יחד עם זאת, אציין כי יש בנק או שתיים שמתחילים "לשחק" עם טכנולוגיות כמו BlockChain ואחרים – שזה דבר מבורך.

בעבר היו לא מעט באבטחת המידע בענף הבנקאי אנשים שדי זלזלו בכל ענייני פריצה לבנק על מנת לגנוב כספים או לבצע פעולות שונות. אחרי הכל, לכל בנק יש מחלקת סייבר (או שהם משלמים לחברה חיצונית שתעשה זאת) ואם מישהו ינסה לעשות את הדברים מביתו, לבנק יהיו דרכים לזהות אותו (כך היתה המחשבה של לא מעט אנשים ששוחחתי איתם בעבר בנושא). כיום לשמחתי המצב שונה ובנקים מודעים לכך שבמדינות שונות (ויאטנם, הודו ומדינות אחרות) כבר נעשו פריצות ונגנבו מיליוני דולרים.

אבל עדיין – מחלקת סייבר בסופו של דבר היא מחלקה שעוזרת לך לשמור על הקיים. מחלקת הסייבר יכולה להמליץ לבנק או לחברת אשראי להתקין פתרון X כדי לבצע מיטיגציה לבעיה Y, וכך פתרון X שומר על המצב הקיים. הוא לא מקדם את הבנק מבחינה טכנולוגית לחשוב על מתודולוגיות אחרות וכלים אחרים על מנת לשפר יעילות. זה לא התפקיד של המחלקה הזו. אם מחר קובי ינסה לפרוץ לבנק ויצליח לעשות פעולות מסויימות, מחלקת הסייבר (יחד עם מחלקת אבטחת מידע) אחראית על למצוא את קובי ובשיתוף המשטרה – לעצור אותו על כך ולתקן נקודתית את הפירצה. זה התפקיד שלהם.

ועדיין – הבעיה המרכזית של בנקים מסויימים במדינה היא ה-Over שמרנות שיכולה במקרים רבים לחשוף את הבנק לכשלי אבטחה שנעוצים במדיניות עצמה. אני לא אציין שמות, אבל אתן דוגמא פשוטה: בנק גדול מאוד בישראל באתר שלו, לאחר כניסה למערכת, המשתמש מועבר דרך מערכת אחרת שרשמית כבר מתה שנתיים! או דוגמא נוספת שקשורה לכל הבנקים וחברות האשראי: כולם משתמשים ב-SMS כדי לבצע אותנטיקציה, אבל כמה מהבנקים מודעים לכך שמערכת Signal System Number 7 (או בקיצור: SS7) קיימת בה פירצה כבר מעל שנה והרבה חברות תקשורת עדיין לא ביצעו עדכונים לסתימת הפריצה? לא מדובר בפירצה זניחה, מדובר בפירצה שדרכה אפשר להאזין לשיחות טלפון, להאזין להודעות SMS ואף למצוא מיקום של משתמש, ובכל זאת – חברות טלקום רבות עדיין לא עדכנו את המערכות שלהם, והתוצאה: גנבים שהשתמשו בחור ב-SS7 כדי לעקוף Multi Factor Authentication של בנקים כדי לרוקן חשבונות בנק, ועדיין – הבנקים וחברות האשראי משתמשות בשיטה זו. יש תחליף לשיטה זו (שהוא בדרך גם יותר זול מ-SMS: פשוט משתמשים ב-Push Notification שאפל, גוגל וחברות אחרות מציעות שגם מועבר למשתמש בצורה מוצפנת).

שמרנות היא דבר טוב, כשלא צריך "להיסחף" לכל מיני טרנדים, אבל לפעמים חייבים להבין שטכנולוגיה במחשבים היא דבר שמתקדם. לא צריך לאמץ כל טכנולוגיה, אבל כדאי לפעמים לאמץ טכנולוגיות ומתודלוגיות חדשות שיכולות לעזור בתחזוקה ובפיתוח בבנק או בחברות האשראי. קחו לדוגמא עניין די מעצבן: אתה מגיע הביתה בלילה אחרי העבודה ואחרי שהרדמת את הילדים – לטפל בעניינים פיננסיים, אתה נכנס לאתר הבנק, רוצה לבצע Login ו… מופיעה לך הודעה ש"האתר בתחזוקה". חברות רבות בעבר היו עושות זאת (זוכרים את אפל שכל פעם שהיתה הכרזת מוצר, החנות האלקטרונית היתה מושבתת לתחזוקה ועדכון?) אבל כיום יש שיטות יותר טובות: לא צריך להשבית את כל האתר, אפשר לעבוד במתודולוגיית Blue Green Deployment ובשיטה זו קודם כל מצמצמים את ה-Downtime, מצמצמים מאוד סיכונים (אפשר לזוז קדימה ואחורה בהטמעה, בהתאם לדיווחים וללוגים) ובכך אפשר לשפר דברים בצורה הרבה יותר טובה ללא צורך בשינויים מאסיביים בתוכנית העבודה. לפחות ממה שאני שומע בנקים יותר ויותר מאמצים כיום את מתדולוגיות CI/CD שזה מעולה, אבל אני ממליץ לקחת את הדברים טיפה קדימה – ולהתחיל להשתתמש יותר ויותר בקונטיינרים. הרווח? הקמה מהירה יותר של סביבות פיתוח וטסטים, ובנוסף יש בונוס מעניין: לא צריך לחכות מספר חודשים להכניס עדכוני אבטחה (קריטיים ולא קריטיים) כשמשתמשים בקונטיינרים.

לסיכום: כפרילאנסר שנמצא בשוק הטכנולוגי מעל 20 שנה (זה לא קידום עצמי, בנקים לא ממש מתייחסים לפרילאנסרים, הם מתייחסים לחברות בלבד), ראיתי טכנולוגיות שונות שמאוד הלהיבו אבל הגיעו עם שק של בעיות. בשנים האחרונות דברים השתנו וישנם יותר ויותר פתרונות שגם מוסדות שמרניים יכולים להשתמש בהם (ובחלק לא קטן מהמקרים ללא תשלום גבוה על התוכנה) ובכך הם יכולים לא רק להתקדם טכנולוגית, אלא גם להתמודד עם סיכוני אבטחה שקיימים במערכות ותיקות/ישנות. פיתוח שרותים חדשים הוא דבר מעולה, אבל אפשר גם לפתח את ה-Backend ולחסוך זמן יקר, משאבים, וסיכונים שהיו קיימים בעבר וכיום ניתנים לפתרון מהיר ולעיתים מיידי ללא סיכון המערכת.

בהזדמנות זו אני שמח להודיע שפתחתי בפייסבוק קבוצה שמיועדת לפרסום לינקים לפרצות אבטחה מידע עם טלאי תיקון החורים. אתם מוזמנים בשמחה להצטרף.

המציאות והדמיון ב-Mr. Robot

הסידרה Mr. Robot היא אחת הסדרות הנצפות ביותר כיום על ידי אנשים טכניים, חובבי/מקצועני אבטחת מידע. אחת הסיבות לכך היא שבניגוד לסדרות אחרות שבהן מראים כל מיני סוגי גרפיקה מלהיבים שאין שום קשר בינם למציאות – בסידרה הזו מראים לא מעט דברים שהם מציאותיים לחלוטין: שימוש בלינוקס ככלי עיקרי, שימוש בציודים אמיתיים (Bluetooth, Raspberry Pi ועוד) והכי חשוב – לא מזלזלים באינטיליגנציה של הצופה הטכני (בהגבלות מסויימות. אחרי הכל, הם אינם יכולים לפרסם פריצות שלמות בלי לחטוף תביעות מכאן עד הודעה חדשה).

אזהרה
מכאן יהיו ספויילרים לגבי פרק ראשון בעונה 2. לא ראית? עצור, תשיג את הפרק, צפה ותחזור.

בפרק הראשון בעונה השניה רואים מספר דברים, ואני מעוניין להתעכב על 2 נקודות חשובות מבחינת אבטחת מידע.

מה רואים: היועצת המשפטית של הבנק מגיעה לביתה האולטרה-חכם (מה שנקרא Smart Home). האזעקה מצפצפת והיא מנטרלת אותה דרך המסך שצמוד לקיר (אנדרואיד). לאחר מכן היא מנסה לכבות דברים שנדלקו פתאום כמו המוסיקה והטלויזיה וזה מצליח לה בקושי. לאחר מכן היא נכנסת למקלחת ושם היא חוטפת מים רותחים תוך כדי המקלחת והיא נסה על נפשה, ולקינוח המזגן "מחליט" להקפיא את הבית והאזעקה פועלת נון סטופ בלי שניתן להפסיק אותה – עד שהיועצת מרימה ידיים והיא עוזבת את ביתה במונית לבית מלון.

המציאות: ישנן כיום לא מעט מערכות Smart Home בשוק החל מחברות כמו סמסונג ופיליפס ועד למערכות של חברות די חדשות בשוק. רובן המוחלט אינו כולל את מה שרואים בפרק, כך לדוגמא עניין המים החמים לא ממש אפשרי כי המשתמש קובע זאת עם ידית מכנית בעת שהוא מתקלח. אפשר לגרום לדוד חשמל להידלק לפני שהדיירים מגיעים, אבל לא עניין המקלחת. עניין השליטה בטלויזיה, אודיו, אזעקה אפשריים בהחלט אך מבחינת "הקפאת" הבית – להקפיא בית לוקח לפחות שעה למזגן רציני, לא דקות ספורות.

מסקנות שכדאי ללמוד: אלו שקונים בהתלהבות את ה-Smart Home עושים צעד לא חכם. נכון, זה מאוד מפתה לשלוט על הכל בצורה אוטומטית או עם שלט, אבל האבטחה במכשירים אלו היא מחפירה, עלובה, גרועה. במקרים רבים כל מה שצריך זה 5 דקות מול גוגל כדי לדעת איך לפרוץ פנימה ואיך לשנות דברים ב-Smart Home. אנליזה של המכשיר מבחינת קוד אסמבלי או סקריפטים פנימיים יכולה לגלות לא פעם שהסיסמא לשינוי דברים ב-Smart Home נמצאת כטקסט גלוי והחברה התקמצנה בהטמעת מעבד נורמלי כך שהמעבד החלש שהם הכניסו אינו יכול לעמוד בסשן HTTPS אפילו (הבדל של 3-4$!!). כדאי שידע כל רוכש מערכת כזו: הטמעת מערכת כזו בבית עושה את החיים לפורצים יותר קלה (טוב, תלוי אם הפורץ מבין משהו במחשבים. סביר להניח שאזהרה זו יותר מתאימה לחו"ל מאשר לארץ), ואגב – זה לא נגמר בבית, זה גם ברכבים (במיוחד רכבי היוקרה!) – יותר ויותר רכבים ממוחשבים נמצאים עם חורי אבטחה גדולים הואיל והיצרן שוב התקמצן בבדיקת חדירות אבטחה, בדיקת קוד וכו'. באינטרנט יש כל מיני קליפים שמראים מישהו שנמצא במרחק של כמה עשרות מטרים מרכב יוקרתי והפורץ עם לאפטופ מצליח לפתוח את הרכב, לנטרל את האזעקה ולהפעיל, וזה לא נעצר כאן – הנה דוגמא של 2 חברים שהצליחו לשלוט על רכב JEEP בזמן שהרכב נוסע ולבטל ברקסים, לשלוט על המוסיקה ועוד:

מה רואים: עובד במחלקת ה-IT בחטיבת הבנקים של E-Corp הינו חבר גם בקבוצת FSociety והוא מקבל מדארלין Disk On Key והוא כמובן מפעיל אותו באחד המסופים ולאחר דקות ספורות נראה מסך Ransomware הדורש שאחד המנהלים יפגש עם הקבוצה במקום ציבורי עם 5.9 מיליון דולר. ה-Ransomware משתלט על כל המסופים בכל סניפי הבנק ובדרך גם מוחק את בסיס הנתונים המרכזי של הבנק. מה קורה עם הכסף? את זה תראו בפרק 2 (שזמין לצפיה, אגב)

המציאות: תאורתית, עם מספיק תחכום, שוחד עובד – אפשר לבצע התקפת Ransomware אבל זה יהיה מקסימום ברמת סניף ולחוקרי הבטחון של הבנק והמשטרה לא תהיה הרבה עבודה כדי לתפוס את הגורם שביצע זאת: כל מה שצריך לעשות זה להשוות מתי קבצים החלו להשתנות ולהשוות מול הוידאו שצולם במצלמות הפרוסות בבנק לפי אותו זמן. אני מעריך שתוך יום העבריין יתפס.

מסקנות שכדאי ללמוד: אם יש משהו שגורמי הבטחון בבנקים מסרבים להבין זה שהזמנים השתנו. פה נגנבו 81 מיליון דולר דרך מערכת SWIFT, בבנק בבנגלדש כמעט הצליחו להרים מיליארד דולר (וזה נפל בסוף רק בגלל שגיאת כתיב, המשטרה מצאה שהבנק היה קמצן כרוני בכל מה שקשור לסוויצ'ים או חומת אש), וכאן הצליחו להרים דרך הניו יורק פד סכום של 100 מיליון דולר. בכלל, שנת 2016 נראית כרגע כשנה שבה קבוצות האקרים מאורגנות מעזות הרבה יותר ולפעמים הם מצליחים לגרוף מיליוני דולרים ולהשאיר לחוקרים אבק! לך תחפש שיתוף פעולה עם המשטרה הסינית לדוגמא (גם אם קבוצת הפורצים יעשו סלפי קבוצתי והחוקרים יקבלו תמונה – הסינים לעולם לא מסגירים סינים והם מוכנים "לשפוט" את העבריינים).

אם יש משהו אחד שהבנקים (במיוחד בישראל) צריכים – זה "שינוי דיסקט" בכל הקשור לנהלי אבטחה, להעיף נהלים כמו עדכוני אבטחה כל 6 חודשים והעדפה של השכרת אנשי אבטחה שיודעים לחשוב ממש "מחוץ לקופסא", ובדרך להתנתק מדברים כמו מערכות של מיקרוסופט. מה לעשות שאם לפורצים של פריצות Zero Day למערכות שונות, הסיכוי של הבנק להתגונן קטן באופן רציני. קחו דוגמא הכי פשוטה: גשו לכל כספומט, אל תכניסו כרטיס, ופשוט התבוננו במסך: אתם תראו אנימציות פרסום של הבנק. האנימציות רצות על Flash – ומה לעשות של-Flash יש יותר חורי אבטחה מגבינה צהובה! גם אם מערכות הכספומטים יקבלו עדכוני אבטחה (ואין זה משנה אם הן מריצות XP או Windows 7) – מהזמן שהפורצים יש בידם Zero Day ועד שיותקן עדכון אבטחה לאותם Zero Day יעברו לפחות 30-60 יום (מה לעשות שזה לא לינוקס שאפשר לשכור חברה שתסגור פרצות תוך יום או יומיים אם מדובר בקוד קרנל או קוד של חבילת קוד פתוח אחרת שבשימוש הבנק). המון זמן לפורצים. איך הפורצים יכנסו? הרי מערכות הכספומטים סגורים – יש את הגורם האנושי שקל לשחד אותו או בכלל להגיע למפתח שבאמצעות שוחד רציני יכול להכניס קוד זדוני (שמישהו במחלקת הבטחון יבדוק מתי נעשה ואם נעשה Code Auditing חיצוני לקוד של המפתחים בבנק) ומשם הדרך ל"חגיגות" קצרה וישנן עוד דרכים ושיטות שהמשותף להן הוא שברוב המקרים אינדיבידואל לא יכול לעשות זאת אולם קבוצות עם מימון יכולות בהחלט לבצע זאת.

הסידרה Mr. Robot מציגה לעיתים דברים מוגזמים (גרימת נזק לקלטות גיבוי בבניין שמראש נועד לאחסון דברים אלו? קלטת LTO מהישנות ועד החדשות יכולות לעמוד בעד 45 מעלות חום ו-80% לחות!) אבל היא גם מציגה עקרונית דברים שמאוד כדאי להתייחס אליהם: איך הפרטיות שלנו נעלמת, איך הפוסטים שאנו משתפים בהיסח הדעת ברשתות החברתיות יכולים להזיק לנו, וגם איך קל לדעת היום על אנשים הרבה יותר פרטים ולהפוך את חייהם לסיוט מתמשך ומה שהכי חשוב לכל אלו שאחראים על אבטחת מידע ומערכות במקומות שונים – אולי אינכם מאובטחים ממש כמו שחשבתם.

כמה מילים על הצעת "חוק הפייסבוק" של שקד וארדן

לפני מס' ימים התחילו להתפרסם כתבות על "חוק הפייסבוק" של ח"כ איילת שקד וח"כ גלעד ארדן. עו"ד יהונתן קלינגר כתב פוסט מאוד מעניין מבחינת משפטית ואני בהחלט ממליץ לקרוא את הפוסט. אני אכתוב על הפוסט מבחינה יותר טכנית.

ראשית, אציין שאין לי ציפיות מח"כ שקד או ארדן. ההבנה שלהם בפייסבוק בפרט או בגוגל ובאינטרנט בכלל – נראית שאינה גדולה והיא פחות או יותר כמעט כמו משתמשים רבים שאינם טכניים. מצד שני, עצוב לראות ש-2 החכ"ים לא ממש לקחו יעוץ מקצועי מהאנשים שכן מבינים בתחומים הנ"ל לפני שהם החליטו לשלוף את השפן הזה.

כלל מספר 1 לגבי האינטרנט הוא שה"אינטרנט זוכל הכל" (או "גוגל זוכר הכל" ליתר דיוק). כתבת פוסט בבלוג ומחקת? הוא עדיין שם. גוגל שומר עותק "מטמון" שנגיש לכל אחד. מעבר לכך, אם פוסט או טוויט הוא מעניין – אנשים יצלמו את החלק הזה (כולה לחיצה של ALT PRINT-SCREEN ולאחר מכן "גזירה" של הקטע הרלוונטי, 10 שניות של עבודה) ויפיצו הלאה, ולא צריך להתאמץ כדי להיזכר ברגעים מביכים. תשאלו את ג'ודי ניר מוזס, יאיר לפיד ועוד – שפרסמו דברים שהם מחקו אותם אך אנשים העלו צילומי קטעים של הטקסטים להנאת גולשים אחרים.

הצעת החוק הזו הגורסת שגוגל ופייסבוק ישתפו פעולה עם המדינה ושופט יוציא צווים לאתרים שמאוחסנים כאן בישראל או בחו"ל – היא בדיחה עצובה מבחינה טכנית מכמה סיבות:

  • גוגל – עם כל הכבוד, גם כשגוגל מוחקת, היא מוחקת אזורית ברוב הזמן, כלומר לגולש הישראלי שיגלוש ל-Google.co.il לא תהיה מוצגת התוצאה אולם אם הוא יגלוש לגוגל USA – סביר להניח שיראה את התוצאה. כך עשתה גוגל עם החלטת האיחוד האירופאי עם "הזכות להישכח" ואני לא בטוח שהפעם זה יהיה שונה.
  • פייסבוק – כן, פייסבוק יכול למחוק פוסטים, תמונות, תגובות וכו' -אבל אם מפרסם הטקסט או מישהו אחר שרוצה לפרסם את הטקסט – יכול להתחכם בקלות ולהעלות תמונה של הטקסט, ואז כל המערכת תצטרך לעבור את התהליך מחדש.
  • הסרת פרסום בחו"ל – זה לא יקרה. כל ספק שפרטיות הלקוחות שלו חשובה (ויש לא מעט כאלו) פשוט יזרוק לפח את הצו ויבקש צו משופט באותה מדינה ועכשיו נראה את המדינה רצה לשופט מקומי להוציא צו חד צדדי. אתרים רבים שאינם "מוצאים חן" בעיני המדינה (כולל אתרים המציינים מיקומי טילים גרעיניים ושאר אמצעי לוחמה עם מיקומים מדוייקים לדוגמא) עדיין נמצאים וכל מה שצריך הוא חיפוש פשוט בגוגל, אז כל הסעיף הזה הוא בדיחה עצובה במקרה הטוב.
  • השר גלעד ארדן מתלונן על תכנים מסיתים שמפרסם החמאס ותנועות אחרות – וגם כאן מדינת ישראל לא יכולה לעשות הרבה. אם  המדינה תרצה להחרים את השרתים שמארחים את האתרים היא תוכל, אבל החמאס יכול להעלות בדיוק את אותם אתרים בשרתים אחרים שלא נגישים לא לצה"ל וצווים ישראליים לא ממש מעניינים אותם. סתם דוגמא – חמאס מבקש לארח את אתריו בשרתים של חיזבאללה או בכל מדינה ערבית אחרת.

גם בלוגרים ישראליים יכולים לפרסם תכנים שצו בית משפט לא יכול להסיר אותם, ולא צריך להיות גאון גדול כדי לבצע זאת. מספיק לשאול כמה אנשים שמבינים בבניית אתר ובאחסונו, רכישת דומיינים, יצירת סאבדומיינים וכו' – כדי "לנטרל" אפשרות הסרה וגם אם יצליחו להסיר, כל מה שצריך זה 5$ כדי לארח את האתר באחד מאלפי חברות Hosting שישמחו לארח את האתר בחו"ל.

הצעת החוק הזו אינה יותר מהצעה פופוליסטית מבלי שחשבו על הדברים לעומק. אם עובד ציבור נעלב מפוסט שפורסם עליו או כל אדם או גוף מוצא את עצמו נפגע מתוכן שפורסם באתר או בבלוג, יתכבד וישיג צו מבית המשפט להסיר את הטקסט או לחלופין – שיתבע את הבלוגר המפרסם. מי שחושב שהמשטרה תוכל לעזור לו בקטע הזה – כדאי שיחשוב שוב. המשטרה לא יכולה להסיר טקסט כי אין לה גישה לשרת. היא יכולה לבקש מספק האירוח להסיר את האתר (בקשה שיכולה להיות מופלת בקלות בבית המשפט הואיל ויש הבדל ענק בין אתר המארח פוסטים רבים לבין פוסט ספציפי). המשטרה יכולה לבקש מגוגל ופייסבוק אבל גם אז אין שום בטחון שהם יסירו או כמה זמן יקח מהגשת התלונה עד להורדת הפוסט אם בכלל.

לסיכום: הצעת החוק הזו גורמת יותר נזק מתועלת. היא מראה שבסופו של יום ישראל אינה כזו "דמוקרטית" כפי שהיא מציגה את עצמה ועם החוק החדש פוסטים מוסרים על ימין ועל שמאל גם מבלי לקיים הליך מלא של תביעה מסודרת. היה אפשר לוותר בקלות על ההצעה ולהשאיר את הנוהל הקיים כיום של "נוהל הודעה והסרה".

איך יצרנים מכריחים אותך להחליף ציוד

אם יש משהו אחד שלא רבים מודעים אליו, הרי זו טכנולוגיית ההצפנה וההגנה של תכנים לשידור ברשת, מנגן DVD או Blu-Ray, מהאייפון או מאנדרואיד ושלל ציודים אחרים. בדרך כלל כשאתה צופה בתוכן כמו סרט או פרק בסידרה שמשודרת ברשת בצורה רשמית או בציודים מהסוג שהזכרתי לעיל – ישנה טכנולוגיית נז"ק (Digital Rights Management) שמיועדת בראש ובראשונה למנוע ממך לעשות דברים שתרצה אך מפיץ/יצרן התוכן לא תרצה שתעשה. הדוגמא הכי ידועה היא שאם יש לך לדוגמא iPad ואתה שוכר פרק או סרט, תוכל לצפות בו ב-iPad אך לא תוכל לחבר את ה-iPad לטלויזיה ולצפות בו, כי האולפנים אוסרים זאת. כמובן שאם תוריד את אותו תוכן בצורה פיראטית, תוכל לצפות בו היכן שתרצה ועם איזה מסך שתרצה.

hdcpהטריק האחרון שהוכנס בשנים האחרונות לציודים נקרא HDCP (ר"ת High Definition Content Protection) והוא פתרון בתצורת חומרה שנמצא בתוך הציוד שלך והוא מתקשר עם הצג/טלויזיה/מקרן שלך. כשאתה מנגן תוכן או משחק משחק ברזולוציה גבוהה (כמו FULL HD), מנגנון ה-HDCP בודק מול המסך שלך אם יש תמיכת HDCP. אין? תקבל את התמונה הבאה:

העניין הוא שמי שיקבל את התמונה הזו במקרים רבים – הם אנשים שאינם מעוניינים כלל וכלל לפרוץ את ההגנה. יש להם נניח מסך טלויזיה גדול שנמצא אצלהם יותר מ-5 שנים, או אולי פרוז'קטור שנקנה ממזמן במחיר מאוד יקר, או מסך מחשב שאין לו כניסת HDMI והמשתמש בסך הכל חיבור את המסך לציוד דרך חיבור מתאם בין HDMI ל-VGA או DVI.

האם יש לכך פתרון? במקרים כמו של סוני פלייסטיישן 4 לדוגמא, יש אפשרות לבטל זמנית את ה-HDCP, אבל ברוב הציודים – אין אפשרות לבטל ומה שיותר גרוע הוא שאין לך אפשרות לשדרג איזו קושחה בציוד שאתה צופה איתו. אחרי הכל, מתי ראית קושחה זמינה למסך הטלויזיה הישן שלך או לפרוז'קטור שלך?

אז מה יעשה אדם שיש לו ציוד ויש לו את הבעיה הזו? הפתרון נמצא אצל ידידנו הסיניים שמייצרים "מפצלים", אלו הם ציודים קטנים שנועדו בעצם לקבל כניסת HDMI ומיועדים להוציא את הוידאו ואודיו דרך יציאת HDMI או VGA או DVI. ה"סוד" הגדול ברכישת מתאם כזה הוא שהיית צריך לחפש את המילה "HDCP" בתיאור. אם היה מופיע בתיאור HDCP, אז אותו ציוד היה "מפשיט" את ה-HDCP בתוכו ופולט וידאו ללא הגנות. כך מצד אחד היה ניתן לצפות סוף סוף בתוכן ומצד שני פיראטים היו יכולים בנקל להתחבר לכל אתר שמזרים סרטים/פרקים בצורה רשמית על מנת להעביר אותם למחשב ובמקרים של פיראטים – אל אתרי טורנטים למיניהם.

לאחרונה החלו אתרים כמו אמזון פריים ונטפליקס לשדר חלק מהתכנים ברזולוציה של "4K" (או "UHD" למרות שזה לא רזולוציית הסטודיו), והאפליקציות שמשדרות את אותן תכנים מאותם אתרים לא היו מוכנות לעבוד עם כל מיני סטרימרים אלא אך ורק עם קבוצה מאוד מצומצמת של ציודים. שוב נרתמו חברות סיניות קטנות שהוציאו מפצלי HDMI חדשים עם תמיכת HDCP בגירסה 2.2 (שתומכת ב-4K) וכך שוב בעלי אותם אתרים (וכמובן האולפנים) ראו איך התכנים היוקרתיים שלהם שוב זמינים ברשת, ומי שיודע לקרוא את הפרטים לגבי הטורנט, יכול למצוא שאכן מדובר בגירסת 4K לפי הדוגמא הבאה:

sample

התוצאה? נכון לאתמול, אינטל וחברת Warner החליטו לתבוע יצרן סיני פופולרי המייצר ציודים כאלו. שלא אובן בצורה לא נכונה – אני מאמין שתביעה כזו במקום, אבל הבעיה המרכזית היא ששוב – הלקוחות נדפקים.

מדוע? כי ברוב המקרים אין אפשרות לצרכן אפשרות לעדכן קושחה בציוד שאיתו הוא צופה. יכול להיות שיהיה עדכון קושחה למסך הטלויזיה המאוד יקר שרכשת ב-10000+ שקל בשנה האחרונה, אולם אם נציץ ברשימה הזו מאתר ZAP על מסכים במחירים פחות מ-5000 שקל, הסיכוי לקבל עדכון קושחי הוא אפסי, בוודאי שלא עדכון אוטומטי, ומה שקורה הוא שחלק לא קטן מהמסכים מגיעים לדוגמא עם HDCP בגירסה 2.0 ואמזון/נטפליקס מחייבים HDCP 2.2, כך שהמקסימום רזולוציה שתקבל על המסך החדש שלך היא … FULL HD, כמו מסך שעולה 2000 ש"ח ומטה.

כך יוצא שוב, כמו תמיד, שהפיראטים יכולים למצוא פתרונות בנקל, אבל הצרכן ההגון שלא מחפש להוריד תכנים גנובים, כן מוכן לשלם על התכנים – שוב נדפק.

 

אבטחת מידע: התייחסות ל"פורץ", בדיקות וריגול תעשייתי

מכיוון שפוסט זה נכתב עבור פורום אבטחת מידע, אני רוצה להתחיל בנקודה ששותפים לה רבים (ורבות) כאן: כיצד הגעתם לתחום אבטחת מידע? חלק קטן הגיעו דרך קורסים בגלל ששמעו שבתחום מרוויחים לא רע, אולם חלק גדול מהמשתתפים החל את דרכו בתחום כ"פורץ" (Hacker) וליתר דיוק "מאתגר מערכות": ישנה מערכת X ואותו בחור מעוניין לדעת איך היא עובדת, מה החלקים השונים עושים, אם משנים כל מיני הגדרות ופרמטרים – מה קורה? כך לומדים, מתנסים ומתקדמים ובמיוחד – יודעים בדרך זו להגן על דברים. (יש כמובן חלק מהאנשים שלוקחים את זה לכיוון ה-Black Hat).

אתרים רבים בארץ, גדולים כקטנים, מוגנים בצורות שונות ע"י האנשים, המחלקות והטכנולוגיות השונות שקיימות. אתרים קטנים בד"כ יסמכו על חומת אש תוכנתית פשוטה ואולי שרות CDN ש"ימסך" חלק מההתקפות, בשעה שבאתרים גדולים בד"כ משקיעים יותר בתשתיות, פתרונות יקרים ומתוחכמים יותר ועוד, אולם לצערי אתרים רבים בארץ (כולל אתרים מסחריים) לוקים בחסר בכל מה שקשור לפרסום Section של אבטחת מידע. אינני מתכוון לפרסום כיצד האתר מוגן, אלא למי לפנות אם מוצאים פריצה. אתרים שונים, לדוגמא, מחביאים זאת אי שם במסמך הענק של תנאי השימוש ולך תעבור על ערימת סעיפים כדי לדעת איך בכלל ליצור קשר. באתרים אחרים יש איזה טופס למלא שדרכו אי אפשר לשלוח כמעט שום מידע טכני (כי הגדירו כמות קטנה של אותיות ב-FORM או שדף ה-FORM אפילו לא מצליח להיות מרונדר בצורה נורמלית בדפדפן עדכני).

ומה קורה שמצליחים לשלוח מידע על פריצה שקיימת? זה משתנה. בחלק מהמקרים אולי יתייחסו להתרעה ואולי אפילו יחזירו "תודה" במייל, בחלק מהמקרים זה יתגלגל אי שם לאיזה תומך שאין לו מושג ירוק מה עושים עם זה ולבסוף הוא יתעלם ולא יעביר הלאה, ובחלק מהמקרים (שאפשר למצוא אותם בפורומים בתפוז) חברות מעדיפות "לשסות" עו"ד בפונה ולאיים עליו בצורה מרומזת.

מכאן נעבור לנושא אחר שרבים מעדיפים לא לדבר עליו למרות שהוא חי ותוסס גם במדינתנו: ריגול עסקי.

חברה X שיש לה אחיזה רצינית בשוק מימים ימימה מתכוננת לקראת כניסת מתחרה חדש. חברת X תשמח "להציץ" בתוכניות השיווקיות של המתחרה, והם ימצאו את הדרך לרמוז למישהו בחברה שירמוז לחבר שלו שישיג את המידע. הכל ברמיזות וקריצות, ללא שום תיעוד ואם אותו "חבר" ישיג מידע – הכסף יועבר בצורה סיבובית. אם הדברים יסתבכו, תמיד יהיה אפשר להעיף מישהו בדרג הזוטר החוצה תוך הכחשה גורפת שחברה X ניסתה לרגל. חס ושלום! (וכמובן, אם זה יעבור דרך המחלקה המשפטית, מישהו כבר יוסיף איום מרומז לעיתונאי החטטן שאם משהו יפורסם, החברה "תעשה חושבים" בקשר לתקציבי הפרסום בעיתון שבו עובד אותו עיתונאי).

הבה נסתכל על אותו "חבר" שרוצה לפרוץ. איך הוא בעצם יעשה זאת? לא, סביר להניח שהוא לא יחפש פורטים פתוחים (זה בין כה סגור ע"י חומת האש), הוא לא יחפש להתקיף את השרת ב-DDOS (אנחנו בישראל, קל מאוד לנתק תקשורת של DDOS שמגיעה מחו"ל ועוד יותר קל לנתק נקודות שמשתתפות ב-DDOS ישראלי). הוא יחפש איך להשתמש בשרתים שלכם שפתוחים לציבור (אלו השרתים שנמצאים ב-DMZ) ובשרותים שרצים עליו – בין אם זה IIS או NGINX או Apache או כל שרת Web אחר. הוא יחפש לבדוק מה ה-Application Server שאתם משתמשים וינסה את חורי האבטחה הידועים לגבי אותם שרותים – על השרתים שלכם. הוא ינסה לבצע SQL Injection, ינסה לשחק עם פרמטרים ב-URL וינסה עוד שיטות רבות. אם הוא חכם, הוא כמובן לא יבצע זאת מהמחשב האישי שלו, אלא ישכור אצל אחד הספקים בארץ או בחו"ל VPS וינסה זאת משם, אולי הוא גם ישתמש בשרותי PROXY שונים כדי להחביא את כתובת ה-IP שלו. הוא מבחינתו רוצה להשיג מידע וכמה שיותר – כי בשבילו זה כסף. הוא ה-Black Hat הקלאסי.

נעזוב לרגע את אותו "חבר" ונסתכל על התשתית שלכם מבפנים. כמה חברות שוכרות שרותי Auditing לבצע בדיקת קוד מבחינת אבטחה? לא הרבה. הרוב סומכים על המתכנתים שלהם שיכתבו קוד מוגן. בוא ננסה לבצע תרגיל פשוט בחברתכם: יש לכם מספר חומות אש? בצעו login לחומת אש שלא נכנסתם אליה מספר חודשים. יש סיכוי לא רע שתמצאו חוק או 2 שיגרמו לכם להרים גבה. עתה, פנו לאיש היוניקס/לינוקס שלכם או לאנשי הסיסטם מיקרוסופט שלכם ובקשו שיכתבו סקריפט קטן שיחפש בלינוקס קבצים עם הרשאות 777 (או ב-Windows הרשאות Full Control ל-Everyone). יש מצב שהסקריפטים שלהם יפלטו רשימת תיקיות וקבצים כאלו. מדוע? כי בדיוק כמו החוקים המפתיעים שאולי גיליתם, לעיתים מפתחים או מטמיעים (גם אנשי סיסטם) מנסים לקצר תהליכים, לפתור במהירות. הבוס לוחץ, מחלקת השיווק לוחצת, כולם על הראש שלו אז הוא לא הגדיר הרשאות ספציפיות והוא שם Full Control/777 – העיקר שיעבוד. מה לגבי השלכות של אבטחת מידע? שאלה מצוינת. אותו דבר קורה עם חומות אש כשמישהו שם "ל-2 דקות" חוק שמאפשר כניסה מה-DMZ ל-LAN "להעתיק לרגע קובץ מאוד חשוב", והרגע הזה נמתח (כי ההעתקה בוצעה אבל מה שציפו לא קרה/לא עבד) ולבסוף שכחו להעיף את החוק הזה.

זה מה שבדיוק אותו "חבר" מחפש, וכשהוא ימצא – הוא בהחלט ישתמש גם ישתמש בכך לשאוב מידע, מה שבא – ברוך הבא.

נחזור לאותו בחור White Hat שמצא פירצה באתר שלכם. זוכרים את הריגול התעשייתי? אם אתם חברה מסחרית, סביר להניח שיש גם יש מי שיתעניין במידע שלא פרסמתם (כולל אלו שמעוניינים "לדפוק קופה" על מידע פנימי, מניות בבורסה וכו'). אם יהיה לכם באתר חלק שהוא קל לקריאה, מעוצב בצורה נוחה וקלה לשימוש – והכי חשוב: שהמידע יגיע ישירות לאדם הנכון/המחלקה הנכונה (ולא ל"תמיכה") – המידע הזה יהיה שווה עבורכם הרבה, ואפשר כאות תודה לתת לאותו White Hat איזו תשורה קטנה, אולי איזה שובר רכישה של כמה מאות שקלים כמתנה (החברה לא תיפול מזה). כך תקבלו גם מידע שיעזור לכם להגן בצורה יותר טובה על המידע שלכם מצד אחד, ומצד שני תכירו בחור שאולי יוכל לעזור לכם בעתיד (נניח לבדוק גירסה חדשה של אתר/מוצר). שתי הצדדים מרוצים, דבר מעולה, לא?

גוגל, פייסבוק, אמזון, אפל, HP, IBM וחברות רבות מוכנים לשלם אלפי דולרים תמורת גילויי פריצות אבטחה (יאהו קמצנים – כשמישהו לאחרונה העביר להם מידע על בעיית אבטחה – הם נתנו לו שובר .. של 18$!). אני מתקשה להאמין שחברות בארץ יאמצו את הרעיון אבל לדעתי משהו כמו שוברים דווקא יכול להצליח. אם מישהו נותן לכם מידע על בעיית אבטחה, אפשר לקחת את זה בצורה טובה ובונה. ההשקעה מצד החברה בבניית Section כזה היא השקעה קטנה, אבל בטווח הארוך היא שווה לחברה כספים רבים.

אבטחת מידע ב"ראיה הוליסטית"

ביום יום, במקצועי האישי, אינני איש אבטחת מידע למרות שזהו תחום שאני מאוד מחבב (במסגרת עבודה זה כאב ראש בלתי נגמר, תודה – לא תודה) ולפעמים אני רואה פתרונות שלעניות דעתי לוקים בבעיות רציניות בהסתכלות הכללית על אבטחת מידע, ב"ראיה ההוליסטית" (מושג שלצערי "נכבש" בגוגל על ידי שרלטני הניו אייג'/מיסטיקה) הפתרונות שמוצעים לא מספקים, לא יספקו, והם אינם מסתכלים על אספקטים אחרים.

אחת מנקודות התורפה הידועות, הן שאנשי אבטחת מידע שונים תמיד חושבים על Windows כנקודות קצה. נכון, ב-Corporate הישראלי Windows בהחלט "שולט", אבל הוא בפירוש אינו היחיד. זה היה נכון פעם, בתחילת שנות ה-2000, אך מאז יש עוד פלטפורמות רבות שגם אם הן אינן בשימוש, הן שם, ליד משתמש הקצה.

אחד הטרנדטים שנכנסו לאחרונה לחברות רבות, הוא מנהג ה-BYOD (ר"ת של Bring Your Own Device) כך שהחברה לא צריכה לממן מכשירים סלולריים מצד אחד, אך היא יכולה להטמיע במכשירים אלו בצורה מאובטחת (כמה שניתן לקרוא לזה "מאובטחת") אפליקציות שונות שקשורות לתשתית החברה, החל ב-Mail, גלישה פנימית בשרתי החברה (Intranet), גישת VPN, גישה לקבצים בתוך הארגון וכו' וכו'.

לשם הפוסט, נניח תיאורתית שאני פורץ מטעם המתחרים של הארגון שלכם. ארגון מתחרה החליט שהוא מעוניין לדעת מה אתם מתכננים, זוממים, מה באמת המצב הפיננסי שלכם, מי הלקוחות שלכם וכו'. בשבילי, כפורץ כזה, ה-BYOD אומר IBMT (ר"ת I Bring My Tools).

בוא נסתכל על מצב המכשירים הסלולריים שיש כיום, ולא חשוב אם מדובר באייפון או במכשיר מבוסס אנדרואיד. מבחינת הקושי לפרוץ את המכשיר, יקח לי בין שניות ספורות למספר דקות. בשבילי, כפורץ, עדיף לי לפרוץ למכשיר של אחד (או יותר) מעובדי החברה. חושבים שעדכוני אבטחה יגנו על המכשיר מפריצה? תחשבו שוב. לא כולם מקבלים עדכוני אבטחה (המצב חמור ביותר בכל מכשירי סמסונג, שם אם בוצע root למכשיר – לא תקבל אפילו עדכון אחד יותר אי פעם, טמטום של סמסונג, ומה לעשות – מכשירים רבים שנמכרים שלא דרך היבואן הרשמי ובמחיר זול יותר מהיבואן הרשמי – נפרצים ע"י החנויות כדי לאפשר SIM זר), ואם אני פורץ מטעם המתחרה שלכם, יש מספיק תקציב לרכוש פריצות שלא נסגרו עדיין. הפריצה עצמה יכולה להתבצע במגוון דרכים – החל בפגישה עם הקורבן ועד לפריצה מרחוק (תלוי במכשיר ובפרמטרים אחרים).

מהרגע שהמכשיר פרוץ, אני "חוגג". אני root על המכשיר של הקורבן ויש לי גישה אל המכשיר מרחוק דרך ה-3G, ושום דבר לא חוסם אותי. חושבים שזה שסמסונג (לדוגמא) משתמשים ב-KNOX ימנע ממני משהו? לוקח 7 שניות לבטל את ה-KNOX (מנסיון – ביצעתי את זה על ה-Galaxy Note 4 שלי), ומהרגע שאני מתחבר למכשיר של הקורבן אני יכול להעלות למכשיר כל כלי שאני מעוניין, בין אם לסרוק את הרשת, לשנות MAC במכשיר, לנסות כלים שונים על כתובות שונות (הנה רמז: מתי עדכנתם לאחרונה את הקושחה של המדפסות הפשוטות שמחוברת ל-LAN ושיש לה גם WIFI?), ובמיוחד לעבוד על ה-WIFI שלכם ולגלות מה הדגם ומה החולשות שלו. אני לא לחוץ בזמן, אף אחד מאנשי ה-IT לא יכול לזהות אותי, בעל הטלפון שברוב מוחלט של המקרים לא יודע שאני "מתארח" על המכשיר שלו, וכל מה שאני צריך זה פשוט לחכות שאותו בעל מכשיר יגיע לעבודה ומשם אני אמשיך הלאה. אני כמובן לא אתחיל להריץ NMAP כי אני בטוח שכלי כלשהו בתשתית כבר יחסום אותי, אני אעבור למצב "ידני". רוב כלי ההגנה הולכים על תבניות (Patterns).

אני כבר מניח שחלק מהקוראים אולי יזלזלו בנקודה, יאמרו שה-WIFI בין כה פתוח רק לאורחים בלי שום תשתית. להזכיר לכם שבמכשיר הסלולרי יש לי גישה ל-MAIL ושאר דברים? ומה בדבר אפשרות שלי מהטלפון לפרוץ למחשבים אחרים בחברה? הם כמובן לא מתחברים למערכת "אורח" ולכן ההשקעה הראשונה שלי תהיה בפיצוח מערכת ה-WIFI שלכם ושוב.. מתי עדכנתם אותה לאחרונה? לא רק את השרת שנותן תקשורת ל-AP, אלא גם את ה-AP.

"ראיה הוליסטית" נכונה מצריכה יותר מאשר כלי כזה או אחר על מנת לחסום אותי. היא מצריכה דברים יותר עמוקים, כמו אבטחה הרבה יותר רצינית על מכשירי הסלולר לדוגמא. אם אני עשיתי root למכשיר סלולרי, המכשיר הזה לא אמור לקבל אפילו ביט אחד יותר מהחברה עד שהדבר יטופל. השרתים הפנימיים אמורים להיות סגורים לכניסה אלא אך ורק עם מפתחות + סיסמא ושינוי פורט כניסה (במקרה של SSH, אני בטוח של-Windows יש פתרון מקביל). עדכוני תוכנה לעולם אינם מספקים (טעות שהרבה ארגונים עושים) ויש להקשיח גם את השרתים הפנימיים שאף אחד מבחוץ לא מגיע אליהם, כי כשהם לא מוגנים, אני כפורץ תאורתי – "חוגג" עליכם. גם בעניין כתובות MAC – אפשר תמיד לזייף ולכן צריך לעבוד עם White List (לינוקסים – אפשר להתחיל עם זה, ול-Windows אפשר להתחיל עם זה).

נקודה נוספת שקשורה ל"ראיה הוליסטית" היא טעות שאנשי אבטחת מידע רבים עושים (ולעיתים, להגנתם אציין, ההחלטה מגיעה מלמעלה): הם מחליטים לחסום שרותים שונים. אין גישה מהבית, אין גישה ליוטיוב, אין גישה לפייסבוק, אין גישה ל-1001 שרותים שונים. למה? לא בא להם, הם בטוחים שזה חור אבטחה, הם בטוחים שאין צורך בכך – תהיה הסיבה אשר תהיה.

huawei-E2130-UltraStick-Wireless-3G-21Mbps-SD-modemללכת ב"ראש" הזה, תמיד יגרום למשתמשים מסויימים לחפש פתרונות עוקפים. חושבים לחסום Add Ons של כרום? אהלן וסהלן, עם כרומיום ניתן לעקוף את זה ב-2 דקות. חוסמים אפשרות של חיבור מהבית? תכירו את ה-UltraStick דגם E2131 של Huawei לדוגמא. קצת יקר (בסביבות 160$) אבל הוא נכנס לתוך כל כניסת קורא כרטיסי SD ואליו מכניסים NANO-SIM. עם זה כל מה שהמשתמש צריך לעשות זה להגדיר את פורט ההאזנה של תוכנת השליטה (ויש ערימות כאלו) לחיבור 3G ושלום על ישראל, הוא עקף את ה-Firewall שלכם. עכשיו לכו תחפשו את זה אם בכלל תדעו על כך.

כלומר לעקוף את אבטחת המידע תמיד אפשר, לא חשוב כמה איש אבטחת מידע הוא חכם, תמיד יהיה מישהו חכם ממנו.

לכן, החלטות כאלו חייבות הידברות ולהגיע לפתרונות. פוחדים מפריצה? סדרו פתרון שיתן גישה כלשהי לדסקטופ (גם למצבים שהעובד חולה/בחופשה, אם צריך. אין לי כח לספור כמה פעמים הייתי צריך להגיע ללקוחות כדי לסדר תקלה פעוטה רק כי איש אבטחת המידע חסם הכל, אבל בדרך גם השאיר פריצות בדברים אחרים שנושאת מטוסים היתה יכולה להיכנס דרכם!). בעיות רוחב פס בגלל יוטיוב/מוסיקה? תנתב את זה ל-ADSL, היום זה זול לאללה.

לסיכום: אני ממליץ לצאת מהראש של קופסאות/תוכנות/סקריפטים. אלו הם כלים ותכנון נכון ומתחשב יכול להוביל לאבטחת מידע טובה ורצינית. מומלץ לחשוב יותר על הראש של הפורץ מאשר לזרוק פה ושם פתרון והכי חשוב – להגיע להסכמות עם המשתמשים. אם תלכו רק לפי נוהלים שהוכתבו מראש, ו"ראש בראש" מול המשתמשים – תהיו בטוחים שתהיו חשופים.

כמה מילים על אחסון גיבוי בענן (חלק 1/2)

הערת עריכה
הטקסט במאמר זה מדבר אך ורק על אחסון גיבוי ולא על שרות גיבוי

cloud backup

לרבים מאיתנו יש כל מיני תכנים שנמצאים על שרתים שונים. לחלק יש אולי שרת קטן שמתארח כ-VPS אצל ספק כלשהו, לחלק אחר יש אתרים קטנים (בלוג, אולי אתר קידום עצמי), ואחד הדברים הכי חשובים שאנחנו צריכים לדברים אלו – הם גיבויים. אחרי הכל – שרתים נפרצים, חברות נופלות, דיסקים נדפקים ושאר צרות מתרחשות, והגיבוי – זה הדבר שיכול להציל אותנו.

יתרון גדול שיש בימים אלו לתחרות – הוא המחיר הנמוך שאתה יכול להשיג אחסון לגבות את התוכן שלך. גוגל, לדוגמא, מציעה תמורת 10$ לחודש – 1 טרהבייט אחסון (במסגרת Google Drive). גם מיקרוסופט, Dropbox ואחרים חתכו מחירים וניתן לראות טבלה מעודכנת כאן.

כל אותן חברות מציעות Client ידידותי למשתמש שברגע שאתה מתקין, הוא מיד מתחיל להעתיק את כל התמונות, מסמכים ומוסיקה שלך לענן ולבצע בעצם סינכרון. כך הן מנסות "לנעול" את המשתמש (במיוחד מיקרוסופט עם Windows 8 ו-OneDrive). עוד לא הגענו לשלב שבו שרות אחת חוסם שרות מתחרה על אותו מחשב, אבל אני לא אתפלא אם זה יצוץ "במקרה" בעתיד. (הערה: בשרות הזה אני בהחלט ממליץ להשתמש כדי לגבות דברים אישיים שלך כמו מסמכים, תמונות, מוסיקה, ותכנים אישיים שנמצאים ב-My Documents שלך. המאמר כלל אינו מכוון לאחסון גיבויים כאלו או בשיטה שאותם שרותים משתמשים).

בלינוקס המצב מעט שונה: ישנן אפליקציות להתחבר לכל אותם שרותי ענן, אך אותן אפליקציות (למעט מעטות מהן) אינן מנסות לסנכרן את הנתונים שלך אלא בסך הכל לתת לך "כונן" נוסף שאליו תוכל לזרוק קבצים ותיקיות.

הפתרונות הנ"ל נוחים, בתור התחלה, אולם כאשר הגיבוי שלך שוקל יותר מכמה מאות מגהבייט ונע לכיוון הג'יגהבייט פר גיבוי, חבילות החינם לא יעזרו הרבה (במיוחד שחברות מסויימות נותנות כמות גדולה של אחסון בחינם – אך רק לשנתיים. אחרי שנתיים – תשלם על כל האחסון).

מנסיוני, אני דווקא מציע לבצע גיבויים לא לאחסונים הללו, אלא לאחסון היותר "עסקי" – גיבוי בענן  בטכנולוגיה כמו S3 של אמזון או Cloud Storage של גוגל או Azure Block Blob Storage של מיקרוסופט (הם כולם אותה טכנולוגיה), וזאת ממספר סיבות:

  1. מבחינת מחירים – אינך משלם מחיר FIXED לאחסון שאתה לא משתמש ברובו אלא הינך משלם רק על מה שאתה משתמש בפועל.
  2. ישנם הרבה יותר כלים מקצועיים לגיבוי גם ב-Windows וגם ב-Linux/BSD לאחסונים אלו
  3. אתה יכול לאחסן עם אותו כלי גיבוי (לפחות בלינוקס) לשרותים שונים ולאזורים גיאוגרפיים שונים, אם לדוגמא אינך רוצה לאחסן באזור של הדוד סם
  4. באחסון כמו Cloud Storage של גוגל, ניתן לקבל קישור ישיר פשוט (שלא עובר דרך JS כדי להסתיר את המקור) של הקובץ. כך לדוגמא ניתן לשתף קישור של קובץ ISO וניתן אפילו לעשות Boot ב-IPMI עם קישור כזה (תאר לעצמך מצב שאתה צריך ISO דחוף עכשיו כדי להפעיל שרת…)
  5. אינך מוגבל בגודל האחסון, כך שסקריפט/אפליקציית גיבוי שלך לא יכשל לפתע רק כי נגמרה לך החבילה.
  6. זה זול. גוגל לדוגמא גובה 0.026$ פר ג'יגהבייט, אמזון גובה 0.030$ פר ג'יגהבייט, ושוב – התשלום באחסון הוא על הכמות שאתה מנצל.
  7. עלויות תעבורה – מכיוון שאנחנו מדברים על גיבויים, אין לנו עלות ממשית על תעבורה כי הכל יוצא מהשרת שלנו אל הענן ועל תעבורה נכנסת – לא משלמים.
  8. שרידות הרבה יותר גבוהה.

כפי שאתם שמים לב, אני מתייחס רק לאחסון גיבוי בענן שנמצא בחו"ל ולא בארץ והסיבה לכך פשוטה: מה שכאן מוצע בארץ הוא שרות שמבחינה טכנית הוא הרבה יותר נחות בהשוואה למה שמוצע בחו"ל. כאן בארץ שמים שרתים ודיסקים עם RAID או קופסת NETAPP, גובים מחירים מטורפים – וזה האחסון שתקבל. מה יקרה אם מחר נופלת התקשורת לאותו Data Center? יבטיחו לך שיש שרידות, אולם כמו שראינו רק לפני חודשים ספורים – הבטחות לחוד ומציאות לחוד. לעומת זאת, כל הטכנולוגיה של S3 מדברת על Multiple Data Center ועל כך שהחומר נמצא במספר מקומות במקביל, ולכן אינני ממליץ על האחסון ה"עסקי" של בזק או ספקים מקומיים אחרים.

בחלק הבא אסביר לגבי אסטרטגיה מומלצת לגבי אחסון גיבוי דרך מערכת לינוקס, מה מומלץ ומה לא.

כמה מילים על Apple Pay

לפני מספר ימים הכריזה אפל, כמקובל מדי שנה בספטמבר, על שורת החידושים שהיא מציגה ללקוחותיה. אני בהזדמנות אכתוב פוסט המתייחס למכשירי האייפון ולשעון. הפעם אני רוצה להתייחס למשהו קצת שונה, ל-Apple Pay. הנה הוידאו מההכרזה (החלק של ה-Apple Pay מסתיים בדקה 55:34).

ב-3 שנים האחרונות, חברות האשראי מנסות לדחוף את הצרכן להשתמש בפתרונות ללא-מגע (Contactless), וכרגיל, כשמדובר בבנקים ובחברות אשראי, כל הטעויות נעשות, כולל פה בישראל.

גוגל מנסה ב-3 שנים האחרונות לדחוף פתרון של תשלום עם הטלפון הסלולרי שלך. הפתרון מבוסס על Paypass (שבארץ חברת ישראכרטמייצגת אותו ובנק לאומי, בנק פועלים ומשתמשים בו), אבל הבעיה המרכזית היא שחברות הסלולר לא מעוניינות שהמשתמש יקבל חיים קלים ומאובטחים כמו שגוגל יודעת לבצע, ולכן מכשירים שנמכרו דרך ספקי סלולר כמו Verizon או AT&T נחסמו להתקנת Google Wallet, שהוא הפתרון שגוגל למכשירי NFC וגם לאייפון (כפתרון חלקי). חברות האשראי לא רצו לעבוד עם גוגל (למעט Master Card), כי גוגל רצתה שהמידע ללקוח יהיה שקוף עבורו, כך שהלקוח יקבל היסטוריית רכישה של מה הוא רכש, מתי, והיכן, כך שאם פתאום תראה בחיוב החודשי חיוב של 250$, תוכל לגשת ל-Google Wallet ולראות בדיוק את הפרטים המדוייקים ולא כמו המצב כיום שלעיתים שם העסק שונה לחלוטין מהשם שמופיע בחיוב ואתה מגרד בפדחתך כדי להיזכר מה היתה הרכישה.

בחודשים האחרונים גוגל מצאה פתרון חדש: כרטיס חיוב (Debit Card) של גוגל שאתה מקבל ואליו אתה מעביר כספים מכל כרטיס אשראי אחר או מחשבון הבנק שלך – ואיתם אתה רוכש מוצרים בכל חנות שיש לה Paypass כל עוד למכשירך יש NFC, ורכישות אוןליין יכולות להיות מבוצעות הן עם הכרטיס חיוב של גוגל או כרטיס האשראי הרגיל שלך. פתרון עקום קצת, אבל זה הפתרון שגוגל יכלה להגיע עם חברות האשראי.

iphone-4s-citi-life-mastercard-paypass-sticker-1בארץ, חברת ישראכרט העדיפה להתעלם מכך שלרוב המכשירים שמבוססים אנדרואיד כבר יש NFC והם הלכו על פתרון מדבקה. הסתכלו בבקשה על התמונה מימין – אתם הייתם מוכנים להדביק מדבקה של חברת אשראי על הטלפון שלכם (ולהסיר אותה אם המכשיר הולך לתיקון!)? אני מאמין שלא. גרוע מכך – לפתרון זה אין הגנה כלל וכלל בעת רכישת מוצר, כלומר אני יכול לגנוב למישהו את הטלפון עם המדבקה, להיכנס לחנות ולהשתמש ב-Paypass ללא צורך בשום סיסמא או קוד כלשהו!

אז כן, טים קוק צודק במה שהוא אומר.

אבל הוא שוכח חלק חשוב מאוד – וזה החלק של אפל.

טכנולוגיית NFC קיימת יותר מעשור. מכשירי נוקיה ישנים כמו ה-6131 הכילה רכיבי NFC וזה היה ב-2006. אדי קיו בוידאו מדבר על כל מיני הצפנות, Unique ID ועוד דברים והם קיימים זמן רב בשוק. אפל יכלו להכניס NFC עוד מאייפון 3, בדיוק כמו שסמסונג הכלילה NFC עוד מאז הגלקסי S3, גם LG וגם HTC, סוני, ואחרות הכלילו את הטכנולוגיה הזו במכשיר. גוגל הוסיפה תמיכה רשמית עוד מאז שיצא הסמסונג NEXUS S – וזה היה ב-2010!

אז אפל רק עכשיו מועילה בטובה להוסיף NFC וכמובן שזה יהיה זמין רק לאייפון 6/6 פלוס ורק ל-IOS-8 אחרי עדכון.

אז מה עם כל הטרראם שאפל מבטיחים בוידאו מבחינת הגנות? כן, הגנות יהיו בדיוק כמו שאפליקציית Google Wallet מגינה, אבל אפל משתמשת בדיוק בפרוטוקול 14443-4 שהוא חלק מ-תקן ISO 14443, במילים אחרות – זה עובד על Paypass, כמו גוגל, וזה עובד גם על Paywave של ויזה. בזמן שאפל מדברים על Secure Element חומרה שקיים באייפון 6, גוגל הוסיפו ב-Kitkat חלק שנקרא Host based Card Emulation, שמאפשר גם למכשירים ישנים שיש להם NFC – לעבוד גם עם Paywave וגם עם Paypass בשעה שמשתמשי אפל עם מכשירי 5/5S ומטה יאלצו .. להדביק מדבקות אם הם רוצים לשלם Contactless.

האם הצעד של אפל יקדם נמרצות אפשרות תשלום כזו? לא ממש, לפחות לא בזמן הקרוב עקב כמות מכשירים שתהיה קיימת בשוק. אם אפל היתה עובדת עם גוגל, אז המצב היה אחר, אבל כרגיל באפל, אם זה לא הומצא בקופרטינו – זה לא קיים.

דעה: על המורה, תמונות, אייפד והמון צביעות

ipad-erotic
(תמונת אילוסטרציה)

בימים האחרונים פורסמו מספר כתבות (כמו זו) על מורה מאשקלון שהגיעה לבית הספר עם האייפד שלה ובטעות השאירה אותו בכיתה לאחר שיצאה. התלמידים שראו את האייפד נכנסו, מצאו בו תמונות אירוטיות (או עירום) שלה והם הורידו את התמונות והפיצו אותם. ניתן היה לחשוב שהנהלת בית הספר תעניש את התלמידים, אך לא, היא באה בדרישה למורה להתפטר.

מבחינה טכנולוגית, אחת הבעיות הגדולות בכל מה שקשור לטאבלטים וסמארטפונים היא עניין הסנכרון. באנדרואיד בברירת המחדל אם אינך מפעיל את הגיבוי האוטומטי לגוגל+ או לשרות אחר, התמונות שלך נשארות במכשיר שבו הן צולמו (וכמובן, אם נעלם או ניזוק המכשיר – הלכו גם התמונות, אם לא ביצעת גיבוי). אם לדוגמא יש לך טאבלט אנדרואיד ומכשיר טלפון מבוסס אנדרואיד ועל הטאבלט אין את גוגל+, אף אחד לא יראה את התמונות שלך בטאבלט. באפל לעומת זאת, כשאתה מפעיל את פונקציית ה-Photo Stream, המערכת מייצרת אוטומטית עותקים של התמונות שמאוחסנות מקומית בכל הציודים שלך, כלומר אם צילמת תמונות באייפון (מה שקרה עם המורה), יראו אותם גם באייפד באופן אוטומטי.

בבלוג זה, רוב הקוראים הם אנשים טכניים שמבינים את עניין הסנכרון, אך מה לעשות ורוב האנשים שרוכשים את מוצרי אפל (ובמקרים רבים מכשירים מבוססי אנדרואיד) אינם מבינים את הטרמינולוגיה, הסיכונים, ההגדרות וכו'.

מבחינת התמונות – לכל אחד מאיתנו יש היכן שהוא תמונה או תוכן כלשהו שלא נרצה שאחרים יראו. בת זוג יכולה לשלוח תמונה סקסית שלה לבן זוגה לדוגמא ואין שום בעיה עם כך. במקרים רבים אחרים, אנשים המעוניינים להכיר בנות (או ההיפך) שולחים תמונות שהם די לא-צנועות שלהם בצ'אט של פייסבוק, בסקייפ או בכל תוכנת מסרים אחרת.

בינתיים התפרסמו להם מאמרי דעה, כמו זה של אייל סגל שכתב מאמר שהוא לעניות דעתי מלא בצביעות (שלא לדבר על אי הבנה בטכנולוגיה, כמו העניין ה"פעוט" שהתמונה צולמה בכלל באייפון שלה!) ולצערי רבים תומכים בדעתו מבלי להבין שמי שאשם כאן הם אותם תלמידים שחיטטו ללא רשות ופשוט גנבו את התמונות והפיצו אותם. הנהלת בית הספר צריכה להעניש אותם ולא את המורה שאינה בקיאה בטכנולוגיה. אני בספק אם היא מבינה את עניין הסינכרוניזציה ואם היא היתה מודעת לכך, בטוחני שהיא היתה מבטלת מיידית את האפשרות הזו. האם המורה חטאה בכך שהיא הצטלמה? לא, אלו תמונות פרטיות שלה והיא לא הפיצה אותם לציבור. מי שהפיץ – הם התלמידים והם צריכים להיענש.

אם יש משהו שחברות טכנולוגיה כמו אפל ואחרות צריכות לעשות, הן להפיק קטעי וידאו שיהיו נגישים דרך המכשירים כדי שיסבירו למשתמשים החדשים מה הם הפונקציות, מה מומלץ מבחינת אבטחת מידע, מה לא מומלץ ומהם הסיכונים. אני בספק אם זה יעשה (למרות שההשקעה בכך מאוד קטנה), ולכן אני ממליץ לכל אחד ואחת שרוכשים מכשיר והוא/היא אינו/ה איש/ה עם הבנה עמוקה בטכנולוגיה – לשבת עם מישהו טכנולוגי שמבין כדי ללמוד את המכשיר ובמיוחד את הגדרות האבטחה.