אבטחת מידע ב"ראיה הוליסטית"

ביום יום, במקצועי האישי, אינני איש אבטחת מידע למרות שזהו תחום שאני מאוד מחבב (במסגרת עבודה זה כאב ראש בלתי נגמר, תודה – לא תודה) ולפעמים אני רואה פתרונות שלעניות דעתי לוקים בבעיות רציניות בהסתכלות הכללית על אבטחת מידע, ב"ראיה ההוליסטית" (מושג שלצערי "נכבש" בגוגל על ידי שרלטני הניו אייג'/מיסטיקה) הפתרונות שמוצעים לא מספקים, לא יספקו, והם אינם מסתכלים על אספקטים אחרים.

אחת מנקודות התורפה הידועות, הן שאנשי אבטחת מידע שונים תמיד חושבים על Windows כנקודות קצה. נכון, ב-Corporate הישראלי Windows בהחלט "שולט", אבל הוא בפירוש אינו היחיד. זה היה נכון פעם, בתחילת שנות ה-2000, אך מאז יש עוד פלטפורמות רבות שגם אם הן אינן בשימוש, הן שם, ליד משתמש הקצה.

אחד הטרנדטים שנכנסו לאחרונה לחברות רבות, הוא מנהג ה-BYOD (ר"ת של Bring Your Own Device) כך שהחברה לא צריכה לממן מכשירים סלולריים מצד אחד, אך היא יכולה להטמיע במכשירים אלו בצורה מאובטחת (כמה שניתן לקרוא לזה "מאובטחת") אפליקציות שונות שקשורות לתשתית החברה, החל ב-Mail, גלישה פנימית בשרתי החברה (Intranet), גישת VPN, גישה לקבצים בתוך הארגון וכו' וכו'.

לשם הפוסט, נניח תיאורתית שאני פורץ מטעם המתחרים של הארגון שלכם. ארגון מתחרה החליט שהוא מעוניין לדעת מה אתם מתכננים, זוממים, מה באמת המצב הפיננסי שלכם, מי הלקוחות שלכם וכו'. בשבילי, כפורץ כזה, ה-BYOD אומר IBMT (ר"ת I Bring My Tools).

בוא נסתכל על מצב המכשירים הסלולריים שיש כיום, ולא חשוב אם מדובר באייפון או במכשיר מבוסס אנדרואיד. מבחינת הקושי לפרוץ את המכשיר, יקח לי בין שניות ספורות למספר דקות. בשבילי, כפורץ, עדיף לי לפרוץ למכשיר של אחד (או יותר) מעובדי החברה. חושבים שעדכוני אבטחה יגנו על המכשיר מפריצה? תחשבו שוב. לא כולם מקבלים עדכוני אבטחה (המצב חמור ביותר בכל מכשירי סמסונג, שם אם בוצע root למכשיר – לא תקבל אפילו עדכון אחד יותר אי פעם, טמטום של סמסונג, ומה לעשות – מכשירים רבים שנמכרים שלא דרך היבואן הרשמי ובמחיר זול יותר מהיבואן הרשמי – נפרצים ע"י החנויות כדי לאפשר SIM זר), ואם אני פורץ מטעם המתחרה שלכם, יש מספיק תקציב לרכוש פריצות שלא נסגרו עדיין. הפריצה עצמה יכולה להתבצע במגוון דרכים – החל בפגישה עם הקורבן ועד לפריצה מרחוק (תלוי במכשיר ובפרמטרים אחרים).

מהרגע שהמכשיר פרוץ, אני "חוגג". אני root על המכשיר של הקורבן ויש לי גישה אל המכשיר מרחוק דרך ה-3G, ושום דבר לא חוסם אותי. חושבים שזה שסמסונג (לדוגמא) משתמשים ב-KNOX ימנע ממני משהו? לוקח 7 שניות לבטל את ה-KNOX (מנסיון – ביצעתי את זה על ה-Galaxy Note 4 שלי), ומהרגע שאני מתחבר למכשיר של הקורבן אני יכול להעלות למכשיר כל כלי שאני מעוניין, בין אם לסרוק את הרשת, לשנות MAC במכשיר, לנסות כלים שונים על כתובות שונות (הנה רמז: מתי עדכנתם לאחרונה את הקושחה של המדפסות הפשוטות שמחוברת ל-LAN ושיש לה גם WIFI?), ובמיוחד לעבוד על ה-WIFI שלכם ולגלות מה הדגם ומה החולשות שלו. אני לא לחוץ בזמן, אף אחד מאנשי ה-IT לא יכול לזהות אותי, בעל הטלפון שברוב מוחלט של המקרים לא יודע שאני "מתארח" על המכשיר שלו, וכל מה שאני צריך זה פשוט לחכות שאותו בעל מכשיר יגיע לעבודה ומשם אני אמשיך הלאה. אני כמובן לא אתחיל להריץ NMAP כי אני בטוח שכלי כלשהו בתשתית כבר יחסום אותי, אני אעבור למצב "ידני". רוב כלי ההגנה הולכים על תבניות (Patterns).

אני כבר מניח שחלק מהקוראים אולי יזלזלו בנקודה, יאמרו שה-WIFI בין כה פתוח רק לאורחים בלי שום תשתית. להזכיר לכם שבמכשיר הסלולרי יש לי גישה ל-MAIL ושאר דברים? ומה בדבר אפשרות שלי מהטלפון לפרוץ למחשבים אחרים בחברה? הם כמובן לא מתחברים למערכת "אורח" ולכן ההשקעה הראשונה שלי תהיה בפיצוח מערכת ה-WIFI שלכם ושוב.. מתי עדכנתם אותה לאחרונה? לא רק את השרת שנותן תקשורת ל-AP, אלא גם את ה-AP.

"ראיה הוליסטית" נכונה מצריכה יותר מאשר כלי כזה או אחר על מנת לחסום אותי. היא מצריכה דברים יותר עמוקים, כמו אבטחה הרבה יותר רצינית על מכשירי הסלולר לדוגמא. אם אני עשיתי root למכשיר סלולרי, המכשיר הזה לא אמור לקבל אפילו ביט אחד יותר מהחברה עד שהדבר יטופל. השרתים הפנימיים אמורים להיות סגורים לכניסה אלא אך ורק עם מפתחות + סיסמא ושינוי פורט כניסה (במקרה של SSH, אני בטוח של-Windows יש פתרון מקביל). עדכוני תוכנה לעולם אינם מספקים (טעות שהרבה ארגונים עושים) ויש להקשיח גם את השרתים הפנימיים שאף אחד מבחוץ לא מגיע אליהם, כי כשהם לא מוגנים, אני כפורץ תאורתי – "חוגג" עליכם. גם בעניין כתובות MAC – אפשר תמיד לזייף ולכן צריך לעבוד עם White List (לינוקסים – אפשר להתחיל עם זה, ול-Windows אפשר להתחיל עם זה).

נקודה נוספת שקשורה ל"ראיה הוליסטית" היא טעות שאנשי אבטחת מידע רבים עושים (ולעיתים, להגנתם אציין, ההחלטה מגיעה מלמעלה): הם מחליטים לחסום שרותים שונים. אין גישה מהבית, אין גישה ליוטיוב, אין גישה לפייסבוק, אין גישה ל-1001 שרותים שונים. למה? לא בא להם, הם בטוחים שזה חור אבטחה, הם בטוחים שאין צורך בכך – תהיה הסיבה אשר תהיה.

huawei-E2130-UltraStick-Wireless-3G-21Mbps-SD-modemללכת ב"ראש" הזה, תמיד יגרום למשתמשים מסויימים לחפש פתרונות עוקפים. חושבים לחסום Add Ons של כרום? אהלן וסהלן, עם כרומיום ניתן לעקוף את זה ב-2 דקות. חוסמים אפשרות של חיבור מהבית? תכירו את ה-UltraStick דגם E2131 של Huawei לדוגמא. קצת יקר (בסביבות 160$) אבל הוא נכנס לתוך כל כניסת קורא כרטיסי SD ואליו מכניסים NANO-SIM. עם זה כל מה שהמשתמש צריך לעשות זה להגדיר את פורט ההאזנה של תוכנת השליטה (ויש ערימות כאלו) לחיבור 3G ושלום על ישראל, הוא עקף את ה-Firewall שלכם. עכשיו לכו תחפשו את זה אם בכלל תדעו על כך.

כלומר לעקוף את אבטחת המידע תמיד אפשר, לא חשוב כמה איש אבטחת מידע הוא חכם, תמיד יהיה מישהו חכם ממנו.

לכן, החלטות כאלו חייבות הידברות ולהגיע לפתרונות. פוחדים מפריצה? סדרו פתרון שיתן גישה כלשהי לדסקטופ (גם למצבים שהעובד חולה/בחופשה, אם צריך. אין לי כח לספור כמה פעמים הייתי צריך להגיע ללקוחות כדי לסדר תקלה פעוטה רק כי איש אבטחת המידע חסם הכל, אבל בדרך גם השאיר פריצות בדברים אחרים שנושאת מטוסים היתה יכולה להיכנס דרכם!). בעיות רוחב פס בגלל יוטיוב/מוסיקה? תנתב את זה ל-ADSL, היום זה זול לאללה.

לסיכום: אני ממליץ לצאת מהראש של קופסאות/תוכנות/סקריפטים. אלו הם כלים ותכנון נכון ומתחשב יכול להוביל לאבטחת מידע טובה ורצינית. מומלץ לחשוב יותר על הראש של הפורץ מאשר לזרוק פה ושם פתרון והכי חשוב – להגיע להסכמות עם המשתמשים. אם תלכו רק לפי נוהלים שהוכתבו מראש, ו"ראש בראש" מול המשתמשים – תהיו בטוחים שתהיו חשופים.

כמה מילים על אחסון גיבוי בענן (חלק 1/2)

הערת עריכה
הטקסט במאמר זה מדבר אך ורק על אחסון גיבוי ולא על שרות גיבוי

cloud backup

לרבים מאיתנו יש כל מיני תכנים שנמצאים על שרתים שונים. לחלק יש אולי שרת קטן שמתארח כ-VPS אצל ספק כלשהו, לחלק אחר יש אתרים קטנים (בלוג, אולי אתר קידום עצמי), ואחד הדברים הכי חשובים שאנחנו צריכים לדברים אלו – הם גיבויים. אחרי הכל – שרתים נפרצים, חברות נופלות, דיסקים נדפקים ושאר צרות מתרחשות, והגיבוי – זה הדבר שיכול להציל אותנו.

יתרון גדול שיש בימים אלו לתחרות – הוא המחיר הנמוך שאתה יכול להשיג אחסון לגבות את התוכן שלך. גוגל, לדוגמא, מציעה תמורת 10$ לחודש – 1 טרהבייט אחסון (במסגרת Google Drive). גם מיקרוסופט, Dropbox ואחרים חתכו מחירים וניתן לראות טבלה מעודכנת כאן.

כל אותן חברות מציעות Client ידידותי למשתמש שברגע שאתה מתקין, הוא מיד מתחיל להעתיק את כל התמונות, מסמכים ומוסיקה שלך לענן ולבצע בעצם סינכרון. כך הן מנסות "לנעול" את המשתמש (במיוחד מיקרוסופט עם Windows 8 ו-OneDrive). עוד לא הגענו לשלב שבו שרות אחת חוסם שרות מתחרה על אותו מחשב, אבל אני לא אתפלא אם זה יצוץ "במקרה" בעתיד. (הערה: בשרות הזה אני בהחלט ממליץ להשתמש כדי לגבות דברים אישיים שלך כמו מסמכים, תמונות, מוסיקה, ותכנים אישיים שנמצאים ב-My Documents שלך. המאמר כלל אינו מכוון לאחסון גיבויים כאלו או בשיטה שאותם שרותים משתמשים).

בלינוקס המצב מעט שונה: ישנן אפליקציות להתחבר לכל אותם שרותי ענן, אך אותן אפליקציות (למעט מעטות מהן) אינן מנסות לסנכרן את הנתונים שלך אלא בסך הכל לתת לך "כונן" נוסף שאליו תוכל לזרוק קבצים ותיקיות.

הפתרונות הנ"ל נוחים, בתור התחלה, אולם כאשר הגיבוי שלך שוקל יותר מכמה מאות מגהבייט ונע לכיוון הג'יגהבייט פר גיבוי, חבילות החינם לא יעזרו הרבה (במיוחד שחברות מסויימות נותנות כמות גדולה של אחסון בחינם – אך רק לשנתיים. אחרי שנתיים – תשלם על כל האחסון).

מנסיוני, אני דווקא מציע לבצע גיבויים לא לאחסונים הללו, אלא לאחסון היותר "עסקי" – גיבוי בענן  בטכנולוגיה כמו S3 של אמזון או Cloud Storage של גוגל או Azure Block Blob Storage של מיקרוסופט (הם כולם אותה טכנולוגיה), וזאת ממספר סיבות:

  1. מבחינת מחירים – אינך משלם מחיר FIXED לאחסון שאתה לא משתמש ברובו אלא הינך משלם רק על מה שאתה משתמש בפועל.
  2. ישנם הרבה יותר כלים מקצועיים לגיבוי גם ב-Windows וגם ב-Linux/BSD לאחסונים אלו
  3. אתה יכול לאחסן עם אותו כלי גיבוי (לפחות בלינוקס) לשרותים שונים ולאזורים גיאוגרפיים שונים, אם לדוגמא אינך רוצה לאחסן באזור של הדוד סם
  4. באחסון כמו Cloud Storage של גוגל, ניתן לקבל קישור ישיר פשוט (שלא עובר דרך JS כדי להסתיר את המקור) של הקובץ. כך לדוגמא ניתן לשתף קישור של קובץ ISO וניתן אפילו לעשות Boot ב-IPMI עם קישור כזה (תאר לעצמך מצב שאתה צריך ISO דחוף עכשיו כדי להפעיל שרת…)
  5. אינך מוגבל בגודל האחסון, כך שסקריפט/אפליקציית גיבוי שלך לא יכשל לפתע רק כי נגמרה לך החבילה.
  6. זה זול. גוגל לדוגמא גובה 0.026$ פר ג'יגהבייט, אמזון גובה 0.030$ פר ג'יגהבייט, ושוב – התשלום באחסון הוא על הכמות שאתה מנצל.
  7. עלויות תעבורה – מכיוון שאנחנו מדברים על גיבויים, אין לנו עלות ממשית על תעבורה כי הכל יוצא מהשרת שלנו אל הענן ועל תעבורה נכנסת – לא משלמים.
  8. שרידות הרבה יותר גבוהה.

כפי שאתם שמים לב, אני מתייחס רק לאחסון גיבוי בענן שנמצא בחו"ל ולא בארץ והסיבה לכך פשוטה: מה שכאן מוצע בארץ הוא שרות שמבחינה טכנית הוא הרבה יותר נחות בהשוואה למה שמוצע בחו"ל. כאן בארץ שמים שרתים ודיסקים עם RAID או קופסת NETAPP, גובים מחירים מטורפים – וזה האחסון שתקבל. מה יקרה אם מחר נופלת התקשורת לאותו Data Center? יבטיחו לך שיש שרידות, אולם כמו שראינו רק לפני חודשים ספורים – הבטחות לחוד ומציאות לחוד. לעומת זאת, כל הטכנולוגיה של S3 מדברת על Multiple Data Center ועל כך שהחומר נמצא במספר מקומות במקביל, ולכן אינני ממליץ על האחסון ה"עסקי" של בזק או ספקים מקומיים אחרים.

בחלק הבא אסביר לגבי אסטרטגיה מומלצת לגבי אחסון גיבוי דרך מערכת לינוקס, מה מומלץ ומה לא.

כמה מילים על Apple Pay

לפני מספר ימים הכריזה אפל, כמקובל מדי שנה בספטמבר, על שורת החידושים שהיא מציגה ללקוחותיה. אני בהזדמנות אכתוב פוסט המתייחס למכשירי האייפון ולשעון. הפעם אני רוצה להתייחס למשהו קצת שונה, ל-Apple Pay. הנה הוידאו מההכרזה (החלק של ה-Apple Pay מסתיים בדקה 55:34).

ב-3 שנים האחרונות, חברות האשראי מנסות לדחוף את הצרכן להשתמש בפתרונות ללא-מגע (Contactless), וכרגיל, כשמדובר בבנקים ובחברות אשראי, כל הטעויות נעשות, כולל פה בישראל.

גוגל מנסה ב-3 שנים האחרונות לדחוף פתרון של תשלום עם הטלפון הסלולרי שלך. הפתרון מבוסס על Paypass (שבארץ חברת ישראכרטמייצגת אותו ובנק לאומי, בנק פועלים ומשתמשים בו), אבל הבעיה המרכזית היא שחברות הסלולר לא מעוניינות שהמשתמש יקבל חיים קלים ומאובטחים כמו שגוגל יודעת לבצע, ולכן מכשירים שנמכרו דרך ספקי סלולר כמו Verizon או AT&T נחסמו להתקנת Google Wallet, שהוא הפתרון שגוגל למכשירי NFC וגם לאייפון (כפתרון חלקי). חברות האשראי לא רצו לעבוד עם גוגל (למעט Master Card), כי גוגל רצתה שהמידע ללקוח יהיה שקוף עבורו, כך שהלקוח יקבל היסטוריית רכישה של מה הוא רכש, מתי, והיכן, כך שאם פתאום תראה בחיוב החודשי חיוב של 250$, תוכל לגשת ל-Google Wallet ולראות בדיוק את הפרטים המדוייקים ולא כמו המצב כיום שלעיתים שם העסק שונה לחלוטין מהשם שמופיע בחיוב ואתה מגרד בפדחתך כדי להיזכר מה היתה הרכישה.

בחודשים האחרונים גוגל מצאה פתרון חדש: כרטיס חיוב (Debit Card) של גוגל שאתה מקבל ואליו אתה מעביר כספים מכל כרטיס אשראי אחר או מחשבון הבנק שלך – ואיתם אתה רוכש מוצרים בכל חנות שיש לה Paypass כל עוד למכשירך יש NFC, ורכישות אוןליין יכולות להיות מבוצעות הן עם הכרטיס חיוב של גוגל או כרטיס האשראי הרגיל שלך. פתרון עקום קצת, אבל זה הפתרון שגוגל יכלה להגיע עם חברות האשראי.

iphone-4s-citi-life-mastercard-paypass-sticker-1בארץ, חברת ישראכרט העדיפה להתעלם מכך שלרוב המכשירים שמבוססים אנדרואיד כבר יש NFC והם הלכו על פתרון מדבקה. הסתכלו בבקשה על התמונה מימין – אתם הייתם מוכנים להדביק מדבקה של חברת אשראי על הטלפון שלכם (ולהסיר אותה אם המכשיר הולך לתיקון!)? אני מאמין שלא. גרוע מכך – לפתרון זה אין הגנה כלל וכלל בעת רכישת מוצר, כלומר אני יכול לגנוב למישהו את הטלפון עם המדבקה, להיכנס לחנות ולהשתמש ב-Paypass ללא צורך בשום סיסמא או קוד כלשהו!

אז כן, טים קוק צודק במה שהוא אומר.

אבל הוא שוכח חלק חשוב מאוד – וזה החלק של אפל.

טכנולוגיית NFC קיימת יותר מעשור. מכשירי נוקיה ישנים כמו ה-6131 הכילה רכיבי NFC וזה היה ב-2006. אדי קיו בוידאו מדבר על כל מיני הצפנות, Unique ID ועוד דברים והם קיימים זמן רב בשוק. אפל יכלו להכניס NFC עוד מאייפון 3, בדיוק כמו שסמסונג הכלילה NFC עוד מאז הגלקסי S3, גם LG וגם HTC, סוני, ואחרות הכלילו את הטכנולוגיה הזו במכשיר. גוגל הוסיפה תמיכה רשמית עוד מאז שיצא הסמסונג NEXUS S – וזה היה ב-2010!

אז אפל רק עכשיו מועילה בטובה להוסיף NFC וכמובן שזה יהיה זמין רק לאייפון 6/6 פלוס ורק ל-IOS-8 אחרי עדכון.

אז מה עם כל הטרראם שאפל מבטיחים בוידאו מבחינת הגנות? כן, הגנות יהיו בדיוק כמו שאפליקציית Google Wallet מגינה, אבל אפל משתמשת בדיוק בפרוטוקול 14443-4 שהוא חלק מ-תקן ISO 14443, במילים אחרות – זה עובד על Paypass, כמו גוגל, וזה עובד גם על Paywave של ויזה. בזמן שאפל מדברים על Secure Element חומרה שקיים באייפון 6, גוגל הוסיפו ב-Kitkat חלק שנקרא Host based Card Emulation, שמאפשר גם למכשירים ישנים שיש להם NFC – לעבוד גם עם Paywave וגם עם Paypass בשעה שמשתמשי אפל עם מכשירי 5/5S ומטה יאלצו .. להדביק מדבקות אם הם רוצים לשלם Contactless.

האם הצעד של אפל יקדם נמרצות אפשרות תשלום כזו? לא ממש, לפחות לא בזמן הקרוב עקב כמות מכשירים שתהיה קיימת בשוק. אם אפל היתה עובדת עם גוגל, אז המצב היה אחר, אבל כרגיל באפל, אם זה לא הומצא בקופרטינו – זה לא קיים.

דעה: על המורה, תמונות, אייפד והמון צביעות

ipad-erotic
(תמונת אילוסטרציה)

בימים האחרונים פורסמו מספר כתבות (כמו זו) על מורה מאשקלון שהגיעה לבית הספר עם האייפד שלה ובטעות השאירה אותו בכיתה לאחר שיצאה. התלמידים שראו את האייפד נכנסו, מצאו בו תמונות אירוטיות (או עירום) שלה והם הורידו את התמונות והפיצו אותם. ניתן היה לחשוב שהנהלת בית הספר תעניש את התלמידים, אך לא, היא באה בדרישה למורה להתפטר.

מבחינה טכנולוגית, אחת הבעיות הגדולות בכל מה שקשור לטאבלטים וסמארטפונים היא עניין הסנכרון. באנדרואיד בברירת המחדל אם אינך מפעיל את הגיבוי האוטומטי לגוגל+ או לשרות אחר, התמונות שלך נשארות במכשיר שבו הן צולמו (וכמובן, אם נעלם או ניזוק המכשיר – הלכו גם התמונות, אם לא ביצעת גיבוי). אם לדוגמא יש לך טאבלט אנדרואיד ומכשיר טלפון מבוסס אנדרואיד ועל הטאבלט אין את גוגל+, אף אחד לא יראה את התמונות שלך בטאבלט. באפל לעומת זאת, כשאתה מפעיל את פונקציית ה-Photo Stream, המערכת מייצרת אוטומטית עותקים של התמונות שמאוחסנות מקומית בכל הציודים שלך, כלומר אם צילמת תמונות באייפון (מה שקרה עם המורה), יראו אותם גם באייפד באופן אוטומטי.

בבלוג זה, רוב הקוראים הם אנשים טכניים שמבינים את עניין הסנכרון, אך מה לעשות ורוב האנשים שרוכשים את מוצרי אפל (ובמקרים רבים מכשירים מבוססי אנדרואיד) אינם מבינים את הטרמינולוגיה, הסיכונים, ההגדרות וכו'.

מבחינת התמונות – לכל אחד מאיתנו יש היכן שהוא תמונה או תוכן כלשהו שלא נרצה שאחרים יראו. בת זוג יכולה לשלוח תמונה סקסית שלה לבן זוגה לדוגמא ואין שום בעיה עם כך. במקרים רבים אחרים, אנשים המעוניינים להכיר בנות (או ההיפך) שולחים תמונות שהם די לא-צנועות שלהם בצ'אט של פייסבוק, בסקייפ או בכל תוכנת מסרים אחרת.

בינתיים התפרסמו להם מאמרי דעה, כמו זה של אייל סגל שכתב מאמר שהוא לעניות דעתי מלא בצביעות (שלא לדבר על אי הבנה בטכנולוגיה, כמו העניין ה"פעוט" שהתמונה צולמה בכלל באייפון שלה!) ולצערי רבים תומכים בדעתו מבלי להבין שמי שאשם כאן הם אותם תלמידים שחיטטו ללא רשות ופשוט גנבו את התמונות והפיצו אותם. הנהלת בית הספר צריכה להעניש אותם ולא את המורה שאינה בקיאה בטכנולוגיה. אני בספק אם היא מבינה את עניין הסינכרוניזציה ואם היא היתה מודעת לכך, בטוחני שהיא היתה מבטלת מיידית את האפשרות הזו. האם המורה חטאה בכך שהיא הצטלמה? לא, אלו תמונות פרטיות שלה והיא לא הפיצה אותם לציבור. מי שהפיץ – הם התלמידים והם צריכים להיענש.

אם יש משהו שחברות טכנולוגיה כמו אפל ואחרות צריכות לעשות, הן להפיק קטעי וידאו שיהיו נגישים דרך המכשירים כדי שיסבירו למשתמשים החדשים מה הם הפונקציות, מה מומלץ מבחינת אבטחת מידע, מה לא מומלץ ומהם הסיכונים. אני בספק אם זה יעשה (למרות שההשקעה בכך מאוד קטנה), ולכן אני ממליץ לכל אחד ואחת שרוכשים מכשיר והוא/היא אינו/ה איש/ה עם הבנה עמוקה בטכנולוגיה – לשבת עם מישהו טכנולוגי שמבין כדי ללמוד את המכשיר ובמיוחד את הגדרות האבטחה.