איך יצרנים מכריחים אותך להחליף ציוד

אם יש משהו אחד שלא רבים מודעים אליו, הרי זו טכנולוגיית ההצפנה וההגנה של תכנים לשידור ברשת, מנגן DVD או Blu-Ray, מהאייפון או מאנדרואיד ושלל ציודים אחרים. בדרך כלל כשאתה צופה בתוכן כמו סרט או פרק בסידרה שמשודרת ברשת בצורה רשמית או בציודים מהסוג שהזכרתי לעיל – ישנה טכנולוגיית נז"ק (Digital Rights Management) שמיועדת בראש ובראשונה למנוע ממך לעשות דברים שתרצה אך מפיץ/יצרן התוכן לא תרצה שתעשה. הדוגמא הכי ידועה היא שאם יש לך לדוגמא iPad ואתה שוכר פרק או סרט, תוכל לצפות בו ב-iPad אך לא תוכל לחבר את ה-iPad לטלויזיה ולצפות בו, כי האולפנים אוסרים זאת. כמובן שאם תוריד את אותו תוכן בצורה פיראטית, תוכל לצפות בו היכן שתרצה ועם איזה מסך שתרצה.

hdcpהטריק האחרון שהוכנס בשנים האחרונות לציודים נקרא HDCP (ר"ת High Definition Content Protection) והוא פתרון בתצורת חומרה שנמצא בתוך הציוד שלך והוא מתקשר עם הצג/טלויזיה/מקרן שלך. כשאתה מנגן תוכן או משחק משחק ברזולוציה גבוהה (כמו FULL HD), מנגנון ה-HDCP בודק מול המסך שלך אם יש תמיכת HDCP. אין? תקבל את התמונה הבאה:

העניין הוא שמי שיקבל את התמונה הזו במקרים רבים – הם אנשים שאינם מעוניינים כלל וכלל לפרוץ את ההגנה. יש להם נניח מסך טלויזיה גדול שנמצא אצלהם יותר מ-5 שנים, או אולי פרוז'קטור שנקנה ממזמן במחיר מאוד יקר, או מסך מחשב שאין לו כניסת HDMI והמשתמש בסך הכל חיבור את המסך לציוד דרך חיבור מתאם בין HDMI ל-VGA או DVI.

האם יש לכך פתרון? במקרים כמו של סוני פלייסטיישן 4 לדוגמא, יש אפשרות לבטל זמנית את ה-HDCP, אבל ברוב הציודים – אין אפשרות לבטל ומה שיותר גרוע הוא שאין לך אפשרות לשדרג איזו קושחה בציוד שאתה צופה איתו. אחרי הכל, מתי ראית קושחה זמינה למסך הטלויזיה הישן שלך או לפרוז'קטור שלך?

אז מה יעשה אדם שיש לו ציוד ויש לו את הבעיה הזו? הפתרון נמצא אצל ידידנו הסיניים שמייצרים "מפצלים", אלו הם ציודים קטנים שנועדו בעצם לקבל כניסת HDMI ומיועדים להוציא את הוידאו ואודיו דרך יציאת HDMI או VGA או DVI. ה"סוד" הגדול ברכישת מתאם כזה הוא שהיית צריך לחפש את המילה "HDCP" בתיאור. אם היה מופיע בתיאור HDCP, אז אותו ציוד היה "מפשיט" את ה-HDCP בתוכו ופולט וידאו ללא הגנות. כך מצד אחד היה ניתן לצפות סוף סוף בתוכן ומצד שני פיראטים היו יכולים בנקל להתחבר לכל אתר שמזרים סרטים/פרקים בצורה רשמית על מנת להעביר אותם למחשב ובמקרים של פיראטים – אל אתרי טורנטים למיניהם.

לאחרונה החלו אתרים כמו אמזון פריים ונטפליקס לשדר חלק מהתכנים ברזולוציה של "4K" (או "UHD" למרות שזה לא רזולוציית הסטודיו), והאפליקציות שמשדרות את אותן תכנים מאותם אתרים לא היו מוכנות לעבוד עם כל מיני סטרימרים אלא אך ורק עם קבוצה מאוד מצומצמת של ציודים. שוב נרתמו חברות סיניות קטנות שהוציאו מפצלי HDMI חדשים עם תמיכת HDCP בגירסה 2.2 (שתומכת ב-4K) וכך שוב בעלי אותם אתרים (וכמובן האולפנים) ראו איך התכנים היוקרתיים שלהם שוב זמינים ברשת, ומי שיודע לקרוא את הפרטים לגבי הטורנט, יכול למצוא שאכן מדובר בגירסת 4K לפי הדוגמא הבאה:

sample

התוצאה? נכון לאתמול, אינטל וחברת Warner החליטו לתבוע יצרן סיני פופולרי המייצר ציודים כאלו. שלא אובן בצורה לא נכונה – אני מאמין שתביעה כזו במקום, אבל הבעיה המרכזית היא ששוב – הלקוחות נדפקים.

מדוע? כי ברוב המקרים אין אפשרות לצרכן אפשרות לעדכן קושחה בציוד שאיתו הוא צופה. יכול להיות שיהיה עדכון קושחה למסך הטלויזיה המאוד יקר שרכשת ב-10000+ שקל בשנה האחרונה, אולם אם נציץ ברשימה הזו מאתר ZAP על מסכים במחירים פחות מ-5000 שקל, הסיכוי לקבל עדכון קושחי הוא אפסי, בוודאי שלא עדכון אוטומטי, ומה שקורה הוא שחלק לא קטן מהמסכים מגיעים לדוגמא עם HDCP בגירסה 2.0 ואמזון/נטפליקס מחייבים HDCP 2.2, כך שהמקסימום רזולוציה שתקבל על המסך החדש שלך היא … FULL HD, כמו מסך שעולה 2000 ש"ח ומטה.

כך יוצא שוב, כמו תמיד, שהפיראטים יכולים למצוא פתרונות בנקל, אבל הצרכן ההגון שלא מחפש להוריד תכנים גנובים, כן מוכן לשלם על התכנים – שוב נדפק.

 

בקרוב: להתראות כרום OS, היי אנדרואיד

גוגל בשנים האחרונות מפתחת 2 מערכות הפעלה: אנדרואיד (טלויזיה, רכב, שעון, טאבלט/טלפון), וכן את כרום OS שיותר מיועד לכיתות לימוד ופה ושם לעסקים. אנדרואיד "כבש" את השוק בכל מה שקשור לטלפונים (תלוי כמובן היכן מסתכלים – אפל כובשת יותר בארה"ב, פחות בשאר העולם) אבל עדיין לא כבש את שוק הטאבלטים (והבה נודה: הוא די רחוק מכך ואפשר להאשים לא מעט בסיטואציה הזו את גוגל).

כרום OS זו "חיה" די מוזרה. זו מערכת הפעלה שבהחלט מתאימה למקומות סגורים (כמו מוסדות לימוד וכו') אבל יש כמה בעיות גדולות איתה:

  • גוגל לא מאפשרת לך לקנות ערימת כרומבוקים ולהטמיע אותם בעסק – מבלי שתממשק אותם לתשתית של גוגל עם מנוי חודשי פר מכונה/פר משתמש. אין לך שום אפשרות להוסיף תוסף כלשהו ולאפשר לבצע Login דרך Active Directory או כל שרת LDAP מקומי שיש בחברה והכל חייב לעבור דרך השרתים של גוגל.
  • האפליקציות לכרום OS חייבות להיות אפליקציות "ווביות". מפתחים כמובן יכולים להשתמש ב-pNacl כדי לכתוב את האפליקציות ולקבל מהירות טבעית, אבל האפליקציות האלו לא יכולים לרוץ בשום סביבה אחרת שאינה כרום, ומה לעשות שכרום עדיין לא נותן לך אפשרויות גישת חומרה מספקות בהשוואה למה שמקבלים לדוגמא באנדרואיד.
  • אי אפשר "להרחיב" את כרום OS (מעבר להתקנת אפליקציות ווביות מהחנות) ואין אפשרות אפילו להוסיף מקודדי וידאו או אפילו נגן אודיו/וידאו עצמאי (נסו לנגן על כרומבוק קובץ MKV ותקבלו וידאו ללא אודיו).

כפי שציינתי בנקודות לעיל, המגבלות האלו מקשות, במיוחד המגבלה הראשונה שלעניות דעתי מראה על כך שבגוגל לא חשבו לטווח הארוך על ה-Corporate עם כרום OS. אחרי הכל, למיקרוסופט אין שום בעיה עם זה שאני לא אחבר תחנות לשרת LDAP עצמאי דרך SAMBA ולא AD, ולמיקרוסופט אין שום בעיה שתחבר כל מכשיר שהוא לא מבוסס מערכת הפעלה מיקרוסופט לתשתית מיקרוסופט (רק שכמובן תצטרך לשלם על רשיון אבל אחרי התשלום אתה משתמש בתשתית שלך או בתשתית AZURE שלהם, לבחירתך).

מי שנכנס בשנתיים האחרונות לעובי הקורה הוא סונדר פיצ'אי והוא לא ממש אהב את הרעיון של 2 מערכות הפעלה נפרדות. אחרי הכל זה דורש השקעה ניכרת של 2 צוותים גדולים כדי לפתח הן את אנדרואיד והן את כרום. נוסיף לכך את העובדה שהמערכות לא "מדברות" ולא תואמות אחת לשניה (יש כרום לאנדרואיד, אבל זו גירסה מקוצצת לחלוטין בהשוואה לכרום בכרום OS או בלינוקס/מק/ווינדוז. אין לה אפילו ניהול זכרון משלה או תמיכה בתוספים וכו') – ולכן הבלאגן חוגג.

גוגל החלו לפני שנתיים (פחות או יותר) בעבודת Porting של אנדרואיד והכנסתו לתוך כרום, כך שיהיה מעין runtime שיריץ אנדרואיד (תוך שימוש ב-pNaCL) עם השרותים ואפליקציות אנדרואיד ירוצו על זה. העבודה הזו מתקדמת בעצלתיים ונכון לניסויים שערכתי לפני שבוע, המצב על הפרצוף. הרצתי לדוגמא אפליקציות RDP או אופיס לאנדרואיד על העבודה שגוגל עושים (תוך שימוש ב-ARC Welder של גוגל) והתוצאות מפתיעות באיטיותן, וה"ברזל" שאני מריץ את הטסטים עליו הוא די מכובד: מעבד i7, כרטיס גרפי GTX 760, עם 16 ג'יגהבייט זכרון ו-2 כונני SSD, והביצועים כאלו גרועים – שמעבד Tegra 4 שקיים לי ב-Slate 21 שלי עושה עבודה הרבה יותר טובה! (ובאותו SLATE יש רק 1 ג'יגהבייט של זכרון!).

גוגל כבר מזמן מודעים לעניין זה ולכן הם החליטו להפוך את הדברים (אם כי לתת לצוות שעושה Porting לאנדרואיד לכרום – להמשיך את עבודתו כרגע): הבה ניקח את אנדרואיד ונהפוך את מערכת ההפעלה ליותר "דסקטופית", כך שכרום יקבל בחזרה את היכולות הטבעיות שלו, קיצורי מקשים יתמכו בצורה יותר טובה ואפליקציות יפסיקו לסובב את עצמן למצב Portrait כי המפתח לא פיתח לגמרי מצב Landscape – ועוד שורה ארוכה של שיפורים ושינויים שיופיעו קרוב לוודאי בגירסת אנדרואיד 7.

אבל פרויקט כזה הוא פרויקט גדול, אתה לא יכול לבוא ולהנחית לעולם אנדרואיד כזה ולזרוק דורות של כרומבוקים שנמכרו ושותפויות שנבנו על כרום OS.

לפיכך גוגל הכריזה על מוצר חדש שנקרא PIXEL C:

יחודו של ה-PIXEL C הוא שהוא אינו חלק ממשפחת ה-NEXUS. הוא לא עוד מכשיר אנדרואיד והוא אינו עוד טאבלט מבוסס אנדרואיד. זהו המכשיר שיקבל את העדכונים מהפרויקט החדש עם השינויים שגוגל תכניס באנדרואיד ובכרום. בניגוד לכל עדכון אנדרואיד, המכשיר הזה מקבל עדכון כל 6 שבועות ולא פעם בשנה, ואגב – אם אתם רוצים לרכוש אותו, תצטרכו את המקלדת (למרות שגוגל מציגים אותה כאופציונאלית) כי הרבה שינויים יהיו קשורים להתנהגות אנדרואיד עם מקלדת (והמצב של אנדרואיד עם מקלדות כרגע הוא בכי רע, מנסיון!).

מה עם כל הכרומבוקים? ובכן, כרומבוק טיפוסי מכיל כיום 2 או 4 ג'י'גהבייט RAM ומעבד CELERON או i3 או ARM, וזה מספיק חזק כדי להריץ אנדרואיד, וזה העדכון שגוגל תפיץ (לא כרגע, זה יחל בשנה הבאה דרך Canary, כמה חודשים לאחר מכן Beta ובהתחלת 2017 ל-Stable) – וכך הכרומבוק יהפך ל"אנדרובוק" או כל שם שגוגל תבחר.

כמובן, כדי שכרומבוקים יריצו אנדרואיד בצורה טובה, יש צורך בשינויים עוד ברמת ה-BIOS (בכרומבוק אין BIOS, יש CoreBoot) וצוותי הפיתוח בגוגל הכניסו לאחרונה ספריה חדשה ל-Coreboot שנקרא CBGFX (הנה התחלת ה-change בקוד). הספריה הזו תהפוך את הכרומבוק לגרפי עוד מהפעלת כפתור ה-Power כך שניתן יהיה להציג מסך גרפי מיד בהפעלה (כמו בטלפונים ובטאבלטים כיום, ושונה מהמצב כיום בו כרומבוק עולה במצב טקסט חבוי, עובר למוד גרפי סטטי ולאחר שעולה ה-Xorg הוא נכנס למצב גרפי מלא).

שינויים נוספים שאנדרואיד יעבור יהיו קשורים ל-Sound (סוף סוף ניפטר מה-CRAS בכרומבוק!), התנהגות ותמיכה הרבה יותר טובה בעכבר, וסוף סוף נוכל להשתמש במסכי מגע לכרומבוקים שנמכרו עם מסך כזה, וכפי שציינתי לעיל – מכיוון שאנדרואיד לא צריך משאבי מעבד חזקים, למי שיהיה מעבדים כמו i5 או i3, הוא יקבל ביצועים מעולים. יתרון נוסף: סוף סוף אפשר יהיה לחבר מכשיר "אנדרובוק" כזה ל-AD, ולנהל אותם דרך המערכת הרגילה של ה-Corporate כמו שמנהלים מכשירי אנדרואיד ואייפונים.

שותפי החומרה של גוגל כבר מודעים לשינויים (אם כי אין להם גישה לקוד כרגע, גוגל לא נותנת לאף אחד גישה וכששותף רוצה למכור כרומבוק כיום עם מעבד חדש – גוגל עושים את העבודה ורק אחר כך היצרן יכול להוסיף את השטויות שלו, למעט קבצים חתומים שהשותף מעביר כדי לשלב לאחר עליית ה-Coreboot) וסביר להניח שב-2017 נראה ציודים חדשים שימכרו כך ול-Corporate ציודים עם חבילות ניהול מרכזיות וכו'.

הולך להיות בהחלט מעניין 🙂

כמה מילים על שדרוג Galaxy Note 4

אחד המכשירים שתפס חזק את שוק העסקים הישראלי (ואת שוק המשתמשים הסולידי, במיוחד גברים) הוא מכשיר ה-Galaxy Note 4 של סמסונג, והאמת – זהו אחד המכשירים המרשימים שסמסונג הוציאה, הן מבחינת איכות מסך, הן מבחינת סוללה, תמיכה בכרטיסי מיקרו SD וכו'. עד היום, רוב משתמשי ה-Note-4 די מרוצים ממנו. מאז כמובן סמסונג הוציאה את ה-Note-5 אך אישית אינני ממליץ לשדרג אליו הואיל והלקוח מקבל פחות: אין אפשרות להכניס כרטיס מיקרו SD, אין אפשרות להחליף סוללה והמכשיר נעול לחלוטין, מה גם שמבחינת שיפורים – אין ממש שיפורים רציניים בהשוואה ל-Note-4.

כמו תמיד אצל סמסונג ואצל לא מעט חברות – ה-Note-4 אינו מדבר על מכשיר יחיד, אלא לפחות בישראל – על 2 מכשירים. ישנו מכשיר ה-N910F (שהוא Note-4 המבוסס על מעבד של Qualcomm) ויש את ה-N910C (שמבוסס על מעבד אקסינוס מתוצרת סמסונג). ישנה כמובן תאימות בינארית מלאה מבחינת אפליקציות, אולם אין תאימות בכל מה שנוגע ל-ROM של המכשיר (קושחה שמיועדת ל-N910F פשוט "תתקע" מכשיר N910C).

כשזה מגיע לעדכוני קושחה – סמסונג אמנם מוציאה עדכונים, אולם לוקח להם לא מעט זמן להגיע. כך לדוגמא סמסונג הוציאה את אנדרואיד 5.0 עבור מכשירי Note-4 והעדכון הגיע גם למכשירים ישראלים, אבל העדכון האחרון שכולל אנדרואיד 5.1.1 ושורת עדכוני אבטחה – לא הגיע עדיין רשמית. לשמחתי באתר SamMobile ניתן למצוא בנקל את הקושחה. כאן נמצא העדכון הרשמי עבור N910F (לא חשוב אם המכשיר נקנה מהיבואן הרשמי או מאחת מחברות הסלולר, אולם כדאי לבדוק את הדברים אם הוא נקנה מחנות פרטית), וכאן נמצא העדכון הרשמי עבור מכשיר N910C. איך אתם יכולים לדעת מה המכשיר שלכם? הכנסו להגדרות, גללו עד הסוף עד ה"אודות" והסתכלו על "דגם מספר". SM-N910F הוא בעל מעבד קוואלקום, SM-N910C הוא בעל מעבד של סמסונג.

החלטתי לשדרג את המכשיר ללא איפוס, עם כל האפליקציות שיש לי (ויש לי לא מעט).

(שימו לב: עדכון מכשיר מצריך ידע בסיסי טכני טוב. אם אין לך את הידע, עדיף יהיה לשלם מספר שקלים לטכנאי טלפונים שיבצע לך את העבודה. שדרוג לא נכון עלול להשבית טוטאלית את המכשיר!)

לשם הורדת העדכון, מומלץ לשלם לאתר SamMobile את ה-7 יורו על מנת לקבל מהירות בהורדת העדכון הרשמי, וכמו כן כדאי להוריד את ODIN בגירסה האחרונה (3.10.7 נכון למועד כתיבת שורות אלו). לאחר ההורדה יש לכבות את הטלפון ולעבור למצב DOWNLOAD (לחיצה על כפתור הההפעלה, כפתור הנמכת הווליום והכפתור המרכזי במכשיר ביחד עד שמקבלים מסך שמראה Download Mode עם הלוגו של אנדרואיד), ואז יש להפעיל את תוכנת ODIN, לחבר את המכשיר ל-PC עד שרואים באחד המלבנים ב-ODIN כיתוב COM עם מספר (לדוגמא COM3). יש ללחוץ על כפתור ה-AP ולבחור את הקובץ שהורדנו, ובתפריט ה-Options יש להגדיר כפי שמופיע בדף ההורדה ב-SamMobile.

לאחר לחיצת ה-START המכשיר יתחיל לקבל מה-PC את כל קבצי העדכון. התהליך הוא ארוך, אל תעצרו אותו.

לאחר הזרמת הקבצים למכשירכם, הטלפון יפעל מחדש, כאן מומלץ ללכת להכין קפה או משהו כי התהליך עדכון הוא ארוך ולעיתים לא רואים שום דבר מיוחד בטלפון למעט נורת LED משמאל למעלה שמהבהבת. תנו למכשיר לעבוד.

Screenshot_2015-10-19-22-55-28לאחר מכן כשתוכלו להשתמש במכשיר, לפחות במחצית השעה לאחר העדכון הוא יהיה איטי מאוד וזאת מהסיבה שהמכשיר מבצע עדכונים רבים ברקע. יתכן שתקבלו שגיאה ששרותי גוגל לא יכולים לפעול עד שיהיה עדכון. אתם לא צריכים לבצע כלום, אלא רק להמתין ולוודא שיש למכשיר תקשורת אינטרנט (עדיף דרך WIFI, יש המון הורדות עדכונים). לאחר שחלפה לה בערך כמחצית השעה, הכנסו להגדרות, חשבונות ובחרו GOOGLE. אם יש לכם יותר מחשבון גוגל אחד, לחצו על Sign In & Security, בחרו את החשבון שלכם מהתפריט למעלה, ולחצו על Sign in to Google (משום מה הוא "שוכח" את ה-Token של חלק מהחשבונות גוגל בזמן העדכון).

לאחר כשעה בערך, מומלץ להפעיל את המכשיר מחדש. התוצאה תיראה במסך ה"אודות" בערך כמו בתמונה משמאל (לחצו על התמונה להגדלה).

מנסיוני אני יכול לאמר שלאחר שהמתנתי ונכנסתי לחשבונות מחדש, המכשיר חזר לעבוד בצורה מלאה וחלקה בדיוק כמו שהוא ניקנה ביום הראשון. העדכון לא מחק שום מספר טלפון, הודעה או תמונה. הכל עובד מאוד מהיר ומאוד מאוד חלק (אם כי ה-Root שביצעתי למכשיר – הלך, כולל ה-Recovery). גם עניין ה-3G/4G לא הצריך הגדרות מחדש והמכשיר מיד עבר ל-4G (אני בגולן טלקום).

אלו שמעולם לא ביצעו Root למכשיריהם יכולים להשתמש בתוכנת Samsung Kies הן לצרכי גיבוי המכשיר והן לצרכי השדרוג (כך שלא תצטרכו להוריד קובץ, להשתמש ב-ODIN והתוכנה תעשה הכל), אולם לא בטוח אם העדכון קיים כרגע או בעוד מספר שבועות. בכל מקרה, שוב, אם אין לכם את הידע הטכני – תנו למישהו שמבין על מנת שלא תצטרכו לחוות את חוויות המעבדות בארץ.

כמה מילים על הנתב החדש של גוגל

onhubגוגל הכריזה לפני מספר שבועות בהפתעה על נתב ביתי חדש שנקרא OnHub. כדרכה של גוגל ברוב הציודים, לא מדובר במכשיר שהיא מייצרת אלא אחרים מייצרים לפני תכנון שלה והיצרן יכול להוסיף פונקציונאליות, כך שהגירסה הנוכחית מיוצרת ע"י TP-LINK וחברות אחרות בקרוב יצאו עם מכשיר זהה (אם כי עם שינויים כנראה), חברות כמו ASUS ואחרות, שכבר משווקים קו נתבים ביתיים משלהם.

כנתב, המוצר שגוגל מתכננת ואחרים משווקים הוא די טוב ויכול לתת כיסוי שטחים נרחבים מאוד, לעיתים הרבה יותר מנתבים של יצרנים אחרים (במגבלות כמובן של קירות מסוגים שונים). הנתב של גוגל הוא הנתב הכי קל להגדרות: כל מה שאתה צריך לעשות זה להתקין אפליקציה בסמארטפון שלך (אנדרואיד או IOS), ופשוט לעקוב אחר ההוראות הפשוטות שמכשירך מציג, ותוך דקות ספורות תהיה מחובר לאינטרנט. ה-ONHUB, בניגוד לנתבים אחרים, בודק כל הזמן את הקישוריות האלחוטית ומנסה לשפר את הקליטה (בעזרת ה-13 אנטנות שיש בו). אפשר עם האפליקציה לבדוק ישירות מה המהירות שמגיעה לכל מכשיר ומה זה אומר (קבלת שידור ב-HD, ב-4K וכו'), כך שאם יש לך בית גדול של מספר קומות או דירת סטודיו ענקית – הנתב הזה בהחלט יכול לשפר דברים. הוא לא זול והוא נמכר במחיר של נתבים ביתיים בקצה העליון – $200, אבל מצד שני – הוא עושה את העבודה.

כמעט.

מדוע כמעט? בוא נראה את המפרט הטכני שלו שזמין כאן. נגלה פה כמה דברים מעניינים – הנתב הזה, בניגוד לנתבים אחרים, מכיל דברים רבים שלא קיימים בשום מקום ומה שיותר מוזר – הם עדיין אינם מופעלים, החל מ-Bluetooth, אנטנות Zigbee, רמקול די רציני בחלק העליון של הנתב, תמיכה בפרטוקולים שונים כולל Weave – הפרוטוקול החדש של גוגל לשליטה על IoT (מה שלא נמצא כלל אצל רובנו בבית) ועוד דברים. אם תחפש באפליקציה – לא תמצא הגדרות לציוד הנ"ל או הוראות כיצד להשתמש, ואם תנסה להתחבר לנתב דרך דפדפן, כל מה שתקבל זה דף שמפנה אותך לחנויות השונות כדי להתקין את האפליקציה. אין SSH ואין כלום. גם מבחינת חיבוריות הנתב די "קמצן" – חיבור LAN יחיד, חיבור למודם, וחיבור יחיד של USB 3 וזהו. בנתבים מתחרים יש לך לפחות 4 כניסות רשת ו-2 כניסות USB.

הדבר הנוסף המעניין בנתב זה הוא מה שיש מבחינת השבבים בתוכו. יש לו מעבד דו ליבתי של קוואלקום (IPQ8064) שקיים גם בנתבים ביתיים בקצה העליון, אך בניגוד אליהם יש במכשיר גם 1GB RAM ואחסון של 4GB שזה לא ממש קיים בהרבה נתבים אחרים (בד"כ יש רק חלקיק מזה), כלומר את הנתב הזה ניתן להרחיב ולהוסיף לו תכונות רבות שגוגל הכריזה כי בהמשך הדרך הם יוסיפו למכשירים.

ה-ONHUB כיום הוא מוצר שגוגל מנסה לדחוף על מנת שאנשים יוכלו בעתיד להשתמש בפרוטוקולים של גוגל כדי לתקשר עם המכשיר מול ציודים קטנים שונים וכנראה שרותים נוספים. יחד עם זאת, אם מנסים להשוות מבחינת ביצועים כמו מהירות העברת קבצים – נתבים בקצה העליון של ASUS או אחרים "עוקפים" את ה-ONHUB בקלות. אני מניח שגוגל בהמשך הדרך תשפר את הביצועים בצורה ניכרת דרך עדכון קושחה.

נחזור ל"כמעט" – השאלה מה אתה רוצה לעשות עם המכשיר. רוצה לחבר אליו את המכשירים שלך, אשתך, הילדים וחברים שלהם שמגיעים לבקר? ה-ONHUB יוכל לעשות בקלות תוך מתן חוויית גלישה מיטבית שמשופרת כל הזמן. מצד שני, אם אתה הטיפוס שמעביר כמה מאות קבצים בגודל מס' גיגהבייטים או כמה אלפי קבצים בינוניים ומצפה למהירות – הנתבים בקצה העליון כמו של ASUS יתנו לך פתרון יותר טוב באותו מחיר.

גוגל "בונה" על כך שמשתמשים יעדיפו להשתמש בשרותיה ומוצרים שהיא תומכת ובכך שהיא מוציאה (דרך יצרנים אחרים) מכשיר שנותן קליטה מעולה ללא צורך ב-5 מכשירי repeater שיהיו בבית כדי שתהיה קליטה טובה, היא מנסה לשכנע את הלקוחות הפוטנציאליים לרכוש את הנתב ולהנות משרותים עתידיים. בטוחני שתהיה תחרות יותר רצינית מבחינת יצרנים על תמחור (כרגע ב-TP-LINK ובחנות של גוגל אי אפשר להשיג את המכשיר – המלאי אזל ובאמזון ניתן למצוא רק מוכרים במחיר מופקע.

כיצד לגרום לשרותי גוגל לפעול מחוץ לארה"ב

לגוגל יש מספר שרותים נחמדים שזמינים לתושבי ארה"ב, כמו ערוצי מוסיקה בחינם, ספרות אלקטרונית במחירים כמו אמזון (ולעיתים בחינם), סרטים וסדרות במבצע.

כמעט בכל מקום שתקראו על השרותים הללו, תראו שיש צורך ב-VPN על מנת להשתמש בהם. זה נכון לגבי שרותים כמו אמזון וידאו, או נטפליקס, אבל לא עם גוגל.

בשביל לגרום לחשבון GMAIL שלכם לפעול עם כל השרותים של גוגל, תצטרכו 2 דברים: כתובת בחו"ל ומספר כרטיס אשראי ש"מוצמד" לאותה כתובת בחו"ל.

הבה נתחיל:

screenshot-wallet.google.com 2015-08-22 18-50-34גלשו לכתובת הבאה.

החלקים שמעניינים אותנו מסומנים במלבנים כפי שמופיעים בציור.

ראשית, נעדכן את הכתובת שלכם לכתובת אמריקאית (ואמריקאית בלבד). לחצו על ה-Address Book ולאחר מכן לחצו על קישור ה-Edit, וכעת נזין כתובת אמריקאית. אין לכם? הרשמו לשרות כמו Buy2USA או כל שרות שמציע משלוחים מחו"ל עם כתובת אמריקאית. במקרה של BUY2USA לאחר הרישום, לחצו על "החשבון שלי" משמאל ובחרו כתובת אמריקאית. אתם תקבלו את הכתובת האמריקאית של אותו עסק, הזינו את הכתובת (בד"כ תצטרכו להזין רק את השורה הראשונה של הכתובת וגוגל תמלא את השאר לבד, למעט מספר ה-Suite, הכניסו את השורה השניה מהכתובת של BUY2USA), ולאחר מכן לחצו על SAVE.

כעת, לחצו על Payment method, בחרו את הכרטיס שלכם, לחצו EDIT והכניסו את הכתובת האמריקאית ולחצו SAVE. אם זה לא עובד לכם, תצטרכו להשתמש בכרטיס חיוב נטען (שמוכרים בדואר) או פשוט להירשם לאתר Entropay ולאחר הרישום המערכת תיצור עבורכם כרטיס חיוב וירטואלי, אותו אתם יכולים להזין לגוגל, זה עובד (ככה אני רשום). בסיום יש ללחוץ SAVE.

אם הכל נקלט בהצלחה, גלשו לאתר Google Play

אם הכל עבד בצורה תקינה אתם תראו את החנות בצורה מעט שונה:

play

החיצים מראים את השרותים שלא ראיתם בעבר. לחצו לדוגמא על Music ותקבלו את שרותי הרדיו של גוגל (שימו לב, יכול להיות שתופיע הודעה בצהוב על שגיאה, סגרו את ה-TAB וכנסו מחדש או לחצו על CTRL F5 לרפרש).

בהצלחה

אבטחת מידע גרועה ב-UEFI

בכל מחשב מה-3 שנים האחרונות (לפחות) ישנו תחליף ל-BIOS שנקרא UEFI. ה-BIOS במחשב הוא דבר עתיק והיסטורי, כתוב באסמבלר וקשה להוסיף לו חלקים שטכנולוגיות חדשות צריכות ו-UEFI בא בעצם לתקן את המצב. עם UEFI למשתמש הקצה יש ממשק נוח עם עכבר, חלק מיצרני הלוחות מוסיפים גם ממשק לאנשים שלא מבינים שום דבר ב-BIOS ורק מעוניינים ב-Boot חד פעמי של DVD או USB חיצוני, ובקיצור -UEFI נוצר כדי להשלים פערים וגם לתת חיים קלים ליצרני הלוחות והן למערכות הפעלה ב"הכרה" ו"איפוס" טכנולוגיות חדשות שיוצאות כל תקופה (דוגמאות פשוטות: כניסת M.2 ל"מקלות" SSD, כניסת SATA Express ועוד) וכמו כן הוא גם יודע לתמוך אחורה בהרצה של ROM שונים מכרטיסי כמו SCSI, HBA, Network וכו'.

ה-UEFI גם תוכנן להיות כלי עזר למשתמשים המתקדמים ובמרבית הלוחות קיים גם EFI Shell, שהוא מעין Command Line פנימי לבצע פעולות שונות וישנה רשימה מכובדת של פקודות שהוא מכבד, וכן, אפשר לכתוב גם סקריפטים משלכם (רק תשמרו אותם עם סיומת nsh על מנת שתוכלו להריץ מ-EFI SHELL במכונות אחרות). משתמשי לינוקס עם קרנל 3.3.0 ומעלה מוזמנים להכיר את EFI Boot Stub שמאפשר להקים מערכת לינוקס מינימלית שתעלה ישירות מה-EFI (ולהרפתקנים מביניכם – אפשר להחליף את ה-EFI Shell שקיים ב-UEFI בגירסת לינוקס הזו, אם כי היא צריכה להיות קטנה וצריך להכיר את ה-UEFI טוב בשביל לא למצוא את עצמכם עם מחשב לא פעיל).

אבל יש משהו אחד מאוד גרוע ב-UEFI וזהו עניין האבטחת מידע. UEFI טכנית תומך בדברים שקשורים באבטחת מידע (כמו Boot רק של מערכות חתומות או עדכון UEFI רק של Image חתום), אבל מבחינת ה-UEFI עצמו – אין בתוכו מחשבה על אבטחת מידע.

קחו סיטואציה דמיונית מפחידה: אפשר לכתוב נוזקה שתרוץ על ה-EFI SHELL והיא תאוכסן על ה-NVRAM (הזכרון הלא-נדיף שעליו יושב ה-UEFI) ולא חשוב כמה פעמים תפרמט את הדיסק הקשיח שלך, הנוזקה תהיה בפנים ולך תגלה שהיא בכלל נמצאת ב-UEFI. אפשר גם להחליף קריאות ב-UEFI כך שאם מערכת ההפעלה תבקש לקרוא/לכתוב קובץ מסויים, הנוזקה תבצע X (אגב – ל-UEFI יש גם גישה לכרטיסי הרשת שלך, הן החוטי והן האלחוטי, תגידו תודה לאינטל עם ה-vPro) וזה ירוץ גם אם הדיסק שלך מוצפן כולו. תאר לך סיטואציה שהנוזקה מתוכנתת לעקוב אחרי קבצי PST במחשב שלך והיא משדרת אותם בחלקים למקום מרוחק. לא נעים.

האם אפשר לתקן את ה-UEFI שיהיה יותר מאובטח? בשביל זה יהיה צורך לשכתב חלקים ניכרים בו וכרגע .. לאף אחד לא בוער (תתפלאו, אפילו לא לאינטל, לפחות לפי ההתנהגות שלהם), מה גם שיש סיכוי שאם ישכתבו, יכול להיות שישברו תאימות ועוד לא לקחנו בחשבון שפורום UEFI (שמורכב מהרבה יצרני חומרה, מיקרוסופט, רד האט ועוד כמה חברות) עובד ל-א-ט. רק לפני כמה שבועות הם גמרו לשחרר כלי שיתן לך לשדרג UEFI בצורה יותר סטנדרטית וקצת יותר מאובטחת (דגש על "קצת").

גם גוגל עמדו בפני אותה בעיה שהם התחילו לשחרר את כרום OS. הם לא יכלו לסמוך על BIOS כי הוא ישן מדי ובנוסף כרום OS אינו תלוי מעבד (יש כרומבוקים גם מבוססי מעבדי אינטל וגם מבוססי ARM). את ה-UEFI הם בדקו והחליטו להתעלם ממנו והם לקחו פרויקט צעיר בקוד פתוח שנקרא CoreBoot.

פרויקט Coreboot התחיל את הכל מחדש בעצם. בבסיסו הוא מבצע דברים מועטים ועושה את זה בצורה מאוד מהירה (על מעבד סלרון הכי פשוט כל התהליך POST של Coreboot לוקח פחות מ-0.4 שניות לעבוד):

  • לוודא שה-Coreboot הוא אכן ה-image המקורי שמגיע מגוגל. במידה ולא – יש עותק גיבוי שמועלה מיידית ומוחלף.
  • לאפס את כל הציוד
  • להפעיל Boot ממערכת ההפעלה החתומה בלבד שנמצאת על ה-SSD או את ה-Recovery החתום שהמשתמש צורב על דיסק און קי

זהו, זה הכל. אין למשתמש שום אינטרקציה ושום אפשרות לשנות שום דבר ב-Coreboot שמגיע עם הכרומבוק (וגם אם מישהו יגנוב את ה-SSD של הכרומבוק, הוא לא יוכל לגשת למידע הואיל וכל המידע על ה-SSD מוצפן עם מפתח שיושב ב-Coreboot).

מבחינת PC – ה-Coreboot נשמע כמו מתכון לצרות: מה אם יש לי 2-3 דיסקים קשיחים ואני מעוניין לארגן מי מהם יעלה ראשון, שני וכו'? מה אם אני מעוניין לבצע OverClock, להפעיל או לכבות פונקציונאליות שונה במחשב? לזה יש בהחלט דרישה בעולם ה-PC. לכך ב-Coreboot יש חלק שנקרא Payload, זהו חלק ש"מתלבש" על ה-Coreboot ורץ מיד לאחר איפוס החומרה, ועם Payload מסוים, אפשר להציג למשתמש הוראות ללחוץ על מקש זה לקבל תפריט הגדרות, מקש אחר לקבל Boot menu וכו', כלומר מערכת ה-Coreboot הקטנה – אפשר להגדיל אותה (ואגב, היא לא כזו קטנה שהיא מגיעה עם מחשבי הכרומבוק, הואיל והיא מגיעה עם חלקים בינאריים סגורים של יצרניות החומרה, לכו תשכנעו את Qualcomm, Rockwell או אינטל עצמה – לפחות blob בינאריים שיש ב-Coreboot. הם לא מסכימים לכך, במיוחד לא את החלקים של ה-WIFI ו-HDMI/DisplayPort כי בקוד שלהם יש DRM).

אז כפי שניתן להבין, יש אלטרנטיבה ל-UEFI, רק מה – אי אפשר להחליף UEFI של לוח האם שלך ב-Coreboot (תנסה וסביר להניח שתמצא את לוח האם שלך די .. מת). עכשיו חסרה הדחיפה של אינטל לעבור ל-Coreboot ואמנם – אינטל שחררה לאחרונה קוד חדש ל-Coreboot שיתמוך בארכיטקטורה החדשה שלהם (Skylake) שתוכרז בערך בעוד שבועיים – ב-5 לאוגוסט. זה כמובן לא אומר שמיד יצאו לוחות עם Coreboot, סביר להניח שיקח שנה (אולי פחות) עד שנראה לוחות חדשים עם השבב של אינטל ועם Coreboot, אבל זהו בהחלט הצעד הנכון.

אז מה ניתן לעשות עם בעיות האבטחה של UEFI? מומלץ ראשית להפעיל סיסמא. ב-UEFI, בניגוד ל-BIOS, הוצאת הסוללה לא תשנה כלום (טוב, חוץ מהשעה/תאריך) הואיל והסיסמא מאוחסנת על ה-NVRAM והוא לא נמחק בגלל שאין סוללה. האם זו תהיה הגנה טובה? לא, אבל אין הרבה מה לעשות מעבר לכך. זכור שאפשר תמיד ליצור איזה USB BOOT מבוסס לינוקס וחתום עם Secure Boot ואז כל מה שצריך זה ללחוץ על מקש בהפעלת המחשב וניתן לגרום למחשב לעשות Boot מאותו USB ואז "לחגוג" על המחשב וגם להשתמש בתמיכת ה-EFI SHELL כדי לשתול נוזקות.

זה המחיר של אי חשיבה על אבטחה כשתכננו את ה-UEFI לצערנו.

כן השר דרעי, לך על הצעת חוק שוטף+30 לעסקים קטנים

יש לי חברים רבים שמבחינה פוליטית הם מהצד הימני של המפה (חלק ימין קיצוני) והם דוגלים בשוק החופשי, הקפיטליסטי, ומעדיפים כמובן שלא תהיה שום רגולוציה ו/או שום התערבות ממשלתית. תנו ל"יד הנעלמה" וכוחות השוק לעשות את שלהם.

האמת? גם אני מאמין בשוק חופשי, אני בהחלט מאמין בתחרות, אבל מה לעשות – אינני חי על אמונות של "היד הנעלמה" (כן, אני בהחלט מבין שזה מטפאורה), ואני חושב ששוק חופשי זה דבר חשוב מאין כמוהו ומונופלים הם אסון.

אבל כמו כל דבר בחיים, גם בתחרות ובשוק חופשי יש בעיות וחברות אוהבות שוב ושוב להדגים כוחניות וחוסר הגינות בסיסי שמצריך התערבות של הרגולטור. קחו לדוגמא את השוק הסלולרי – לפני שהיה פה את גולן טלקום/רמי לוי/הוט מובייל וכו' – היו 3 חברות שעשו את הכל כדי לאמלל את הלקוחות. רוצה מכשיר חדש ונוצץ? קח, תחתום פה, עכשיו תשלם אותו במשך 36 תשלומים ואם אי פעם תעז לחשוב על עזיבה, אתה תשלם את מחיר המכשיר שהיה בזמן ההשקה שלו, למרות שהיום הוא לא שווה יותר מכמה מאות שקלים בודדים. רוצה DATA? קח ג'יגה במחיר מופקע ועל כל מגה שתחרוג – נשחט אותך בכמה שקלים פר מגהבייט. בלי הרגולטור הן היו ממשיכות בתעלולים הללו ועד היום החברות הגדולות "בוכות" על התחרות ומאיימות לפטר אלפי עובדים. אז כן, תחרות שינתה את מצב הסלולר בארץ מהקצה לקצה, שוק חופשי זה טוב, אבל אם הרגולטור לא יפקח עין – החברות ישמחו למצוא טריקים "לכבול" לקוחות ותסמכו על המחלקות המשפטיות שימצאו טריקים מתחת לאדמה כדי לכבול את הלקוחות. כמובן ששוק חופשי בלי התערבות הרגולטור דורסת את החלשים והעניים, אבל לא ניכנס לזה כרגע.

אחת הנקודות שלא היה בה שום התערבות ממשלתית עד כה (למעט הצעת חוק של שלי יחימוביץ' שהתייחסה רק למשרדי ממשלה) – היא עניין התשלום בין עסקים. חברות רבות מעדיפות למרר את חייהם של עסקים יותר קטנים בשיטות תשלום של שוטף + נצח ובכך לגרום לעסק הקטן צרות עסקיות. אותן חברות גדולות יודעות שאם הן ינסו לבקש מהבנקים תנאי אשראי סופר נדיבים הם יקבלו אולי בהתחלה, אולם כיום הבנקים כבר יותר זהירים והם כבר מבקשים ערבונות, ערבים, בטחונות נזילים וכו' – או שתשכח מאשראי נוסף.

אישית, כבעל עסק קטן לתחומי לינוקס/וירטואליזציה/סטורג' – אני מוצא את עצמי לא פעם עומד בסיטואציה לא נעימה וזה לא רק אני אלא גם חברים פרילאנסרים נוספים: חברת X, חברה גדולה מעוניינת בשרותים מסויימים והם צריכים את זה "אתמול". הכל טוב ויפה, עד שמגיע עניין התשלום – זה כבר "סטנדרט" לשמוע חברות שאומרות ללא הנד עפעף שהם משלמים שוטף+90 וחברות התקשורת הגדולות (פרטנר, הוט) כבר "הפליגו" לשוטף+125. עסק שיש לו כמה עשרות פרילאנסרים יכול איכשהו "לשחק" עם ההכנסות – הלקוח הזה שילם ולקוח אחר פרע את החוב ולקוחות X ו-Y צריכים לשלם בחודש הבא, אז אפשר לשלם לפרילאנסרים, אבל מה יעשה עסק קטן שמורכב מפרילאנסר אחד או 2-3? אתת החברות הגדולות זה לא מעניין. מבחינתם אתה "קו האשראי". לא תסכים? אין בעיה, יהיו קופצים אחרים על ההזדמנות.

אז מדוע שאנחנו הפרילאנסרים נממן את החברות הגדולות? אחרי הכל, חברות התקשורת הגדולות מציגות בגאווה לבורסה איך ברבעון האחרון הם הרוויחו מיליארד ויותר שקלים. האם כזה קשה לאותן חברות תקשורת לשלם זמן קצר לאחר קבלת העבודה? כמעט בכל מקום בעולם התשלום מתבצע תוך ימים ספורים. בגרמניה לדוגמא שעשיתי פרויקט מרחוק, בקושי הספקתי לסיים אותו וכבר קיבלתי טלפון מנומס שמבקש חשבונית ופרטי בנק ועוד באותו יום הועבר התשלום. שם, אגב, בין עסקים ה"סטנדרט" הוא תשלום תוך .. 10 ימי עסקים. לא 30, לא 60, לא 90 ובטח לא 120+!

שר הכלכלה החדש, אריה דרעי (שאינני נמנה ממעריציו או מאמונותיו או דרכו הפוליטית) מגבש בימים אלו הצעת חוק שתחייב תשלום לעסקים קטנים במהירות ועד שוטף+30. בטוחני שנראה גדודי לוביסטים מכל מיני חברות גדולות ששוב יריצו את הריטואל של "התערבות בשוק החופשי", איומי פיטורים, קיצוצים ושאר איומים, אבל אני כולי תקווה שאריה דרעי יצליח לעמוד ולהפעיל את כל השפעתו הפוליטית על מנת שחוק זה יעבור. אני מאמין שהשמאל הפוליטי ישמח להצביע "בעד" (לא כולם, אלא אם ראשי המפלגות יתנו הנחיה להצביע "בעד") ואני מאמין שגם המפלגות הדתיות והחרדיות יצביעו בעד, כך שכולי תקווה שהצעת חוק זו תהפוך רשמית לחוק ואנחנו הפרילאנסרים והעסקים הקטנים – נפסיק להיות ה"בנק" של החברות הגדולות.

אבטחת מידע: התייחסות ל"פורץ", בדיקות וריגול תעשייתי

מכיוון שפוסט זה נכתב עבור פורום אבטחת מידע, אני רוצה להתחיל בנקודה ששותפים לה רבים (ורבות) כאן: כיצד הגעתם לתחום אבטחת מידע? חלק קטן הגיעו דרך קורסים בגלל ששמעו שבתחום מרוויחים לא רע, אולם חלק גדול מהמשתתפים החל את דרכו בתחום כ"פורץ" (Hacker) וליתר דיוק "מאתגר מערכות": ישנה מערכת X ואותו בחור מעוניין לדעת איך היא עובדת, מה החלקים השונים עושים, אם משנים כל מיני הגדרות ופרמטרים – מה קורה? כך לומדים, מתנסים ומתקדמים ובמיוחד – יודעים בדרך זו להגן על דברים. (יש כמובן חלק מהאנשים שלוקחים את זה לכיוון ה-Black Hat).

אתרים רבים בארץ, גדולים כקטנים, מוגנים בצורות שונות ע"י האנשים, המחלקות והטכנולוגיות השונות שקיימות. אתרים קטנים בד"כ יסמכו על חומת אש תוכנתית פשוטה ואולי שרות CDN ש"ימסך" חלק מההתקפות, בשעה שבאתרים גדולים בד"כ משקיעים יותר בתשתיות, פתרונות יקרים ומתוחכמים יותר ועוד, אולם לצערי אתרים רבים בארץ (כולל אתרים מסחריים) לוקים בחסר בכל מה שקשור לפרסום Section של אבטחת מידע. אינני מתכוון לפרסום כיצד האתר מוגן, אלא למי לפנות אם מוצאים פריצה. אתרים שונים, לדוגמא, מחביאים זאת אי שם במסמך הענק של תנאי השימוש ולך תעבור על ערימת סעיפים כדי לדעת איך בכלל ליצור קשר. באתרים אחרים יש איזה טופס למלא שדרכו אי אפשר לשלוח כמעט שום מידע טכני (כי הגדירו כמות קטנה של אותיות ב-FORM או שדף ה-FORM אפילו לא מצליח להיות מרונדר בצורה נורמלית בדפדפן עדכני).

ומה קורה שמצליחים לשלוח מידע על פריצה שקיימת? זה משתנה. בחלק מהמקרים אולי יתייחסו להתרעה ואולי אפילו יחזירו "תודה" במייל, בחלק מהמקרים זה יתגלגל אי שם לאיזה תומך שאין לו מושג ירוק מה עושים עם זה ולבסוף הוא יתעלם ולא יעביר הלאה, ובחלק מהמקרים (שאפשר למצוא אותם בפורומים בתפוז) חברות מעדיפות "לשסות" עו"ד בפונה ולאיים עליו בצורה מרומזת.

מכאן נעבור לנושא אחר שרבים מעדיפים לא לדבר עליו למרות שהוא חי ותוסס גם במדינתנו: ריגול עסקי.

חברה X שיש לה אחיזה רצינית בשוק מימים ימימה מתכוננת לקראת כניסת מתחרה חדש. חברת X תשמח "להציץ" בתוכניות השיווקיות של המתחרה, והם ימצאו את הדרך לרמוז למישהו בחברה שירמוז לחבר שלו שישיג את המידע. הכל ברמיזות וקריצות, ללא שום תיעוד ואם אותו "חבר" ישיג מידע – הכסף יועבר בצורה סיבובית. אם הדברים יסתבכו, תמיד יהיה אפשר להעיף מישהו בדרג הזוטר החוצה תוך הכחשה גורפת שחברה X ניסתה לרגל. חס ושלום! (וכמובן, אם זה יעבור דרך המחלקה המשפטית, מישהו כבר יוסיף איום מרומז לעיתונאי החטטן שאם משהו יפורסם, החברה "תעשה חושבים" בקשר לתקציבי הפרסום בעיתון שבו עובד אותו עיתונאי).

הבה נסתכל על אותו "חבר" שרוצה לפרוץ. איך הוא בעצם יעשה זאת? לא, סביר להניח שהוא לא יחפש פורטים פתוחים (זה בין כה סגור ע"י חומת האש), הוא לא יחפש להתקיף את השרת ב-DDOS (אנחנו בישראל, קל מאוד לנתק תקשורת של DDOS שמגיעה מחו"ל ועוד יותר קל לנתק נקודות שמשתתפות ב-DDOS ישראלי). הוא יחפש איך להשתמש בשרתים שלכם שפתוחים לציבור (אלו השרתים שנמצאים ב-DMZ) ובשרותים שרצים עליו – בין אם זה IIS או NGINX או Apache או כל שרת Web אחר. הוא יחפש לבדוק מה ה-Application Server שאתם משתמשים וינסה את חורי האבטחה הידועים לגבי אותם שרותים – על השרתים שלכם. הוא ינסה לבצע SQL Injection, ינסה לשחק עם פרמטרים ב-URL וינסה עוד שיטות רבות. אם הוא חכם, הוא כמובן לא יבצע זאת מהמחשב האישי שלו, אלא ישכור אצל אחד הספקים בארץ או בחו"ל VPS וינסה זאת משם, אולי הוא גם ישתמש בשרותי PROXY שונים כדי להחביא את כתובת ה-IP שלו. הוא מבחינתו רוצה להשיג מידע וכמה שיותר – כי בשבילו זה כסף. הוא ה-Black Hat הקלאסי.

נעזוב לרגע את אותו "חבר" ונסתכל על התשתית שלכם מבפנים. כמה חברות שוכרות שרותי Auditing לבצע בדיקת קוד מבחינת אבטחה? לא הרבה. הרוב סומכים על המתכנתים שלהם שיכתבו קוד מוגן. בוא ננסה לבצע תרגיל פשוט בחברתכם: יש לכם מספר חומות אש? בצעו login לחומת אש שלא נכנסתם אליה מספר חודשים. יש סיכוי לא רע שתמצאו חוק או 2 שיגרמו לכם להרים גבה. עתה, פנו לאיש היוניקס/לינוקס שלכם או לאנשי הסיסטם מיקרוסופט שלכם ובקשו שיכתבו סקריפט קטן שיחפש בלינוקס קבצים עם הרשאות 777 (או ב-Windows הרשאות Full Control ל-Everyone). יש מצב שהסקריפטים שלהם יפלטו רשימת תיקיות וקבצים כאלו. מדוע? כי בדיוק כמו החוקים המפתיעים שאולי גיליתם, לעיתים מפתחים או מטמיעים (גם אנשי סיסטם) מנסים לקצר תהליכים, לפתור במהירות. הבוס לוחץ, מחלקת השיווק לוחצת, כולם על הראש שלו אז הוא לא הגדיר הרשאות ספציפיות והוא שם Full Control/777 – העיקר שיעבוד. מה לגבי השלכות של אבטחת מידע? שאלה מצוינת. אותו דבר קורה עם חומות אש כשמישהו שם "ל-2 דקות" חוק שמאפשר כניסה מה-DMZ ל-LAN "להעתיק לרגע קובץ מאוד חשוב", והרגע הזה נמתח (כי ההעתקה בוצעה אבל מה שציפו לא קרה/לא עבד) ולבסוף שכחו להעיף את החוק הזה.

זה מה שבדיוק אותו "חבר" מחפש, וכשהוא ימצא – הוא בהחלט ישתמש גם ישתמש בכך לשאוב מידע, מה שבא – ברוך הבא.

נחזור לאותו בחור White Hat שמצא פירצה באתר שלכם. זוכרים את הריגול התעשייתי? אם אתם חברה מסחרית, סביר להניח שיש גם יש מי שיתעניין במידע שלא פרסמתם (כולל אלו שמעוניינים "לדפוק קופה" על מידע פנימי, מניות בבורסה וכו'). אם יהיה לכם באתר חלק שהוא קל לקריאה, מעוצב בצורה נוחה וקלה לשימוש – והכי חשוב: שהמידע יגיע ישירות לאדם הנכון/המחלקה הנכונה (ולא ל"תמיכה") – המידע הזה יהיה שווה עבורכם הרבה, ואפשר כאות תודה לתת לאותו White Hat איזו תשורה קטנה, אולי איזה שובר רכישה של כמה מאות שקלים כמתנה (החברה לא תיפול מזה). כך תקבלו גם מידע שיעזור לכם להגן בצורה יותר טובה על המידע שלכם מצד אחד, ומצד שני תכירו בחור שאולי יוכל לעזור לכם בעתיד (נניח לבדוק גירסה חדשה של אתר/מוצר). שתי הצדדים מרוצים, דבר מעולה, לא?

גוגל, פייסבוק, אמזון, אפל, HP, IBM וחברות רבות מוכנים לשלם אלפי דולרים תמורת גילויי פריצות אבטחה (יאהו קמצנים – כשמישהו לאחרונה העביר להם מידע על בעיית אבטחה – הם נתנו לו שובר .. של 18$!). אני מתקשה להאמין שחברות בארץ יאמצו את הרעיון אבל לדעתי משהו כמו שוברים דווקא יכול להצליח. אם מישהו נותן לכם מידע על בעיית אבטחה, אפשר לקחת את זה בצורה טובה ובונה. ההשקעה מצד החברה בבניית Section כזה היא השקעה קטנה, אבל בטווח הארוך היא שווה לחברה כספים רבים.

תרגיל אבטחת מידע – תשובות

בעקבות פוסט תרגיל שפרסמתי בפורום אבטחת מידע בפייסבוק – הנה התשובות לטריק כיצד תאורתית אני יכול לחדור.

התשובה כמובן קשורה לטלפון הסלולרי או לטאבלט שיש לכל מיני עובדים או מנהלים. אפשר לעשות זאת בכל מיני דרכים, החל במשלוח SMS זדוני, המשך במשלוח SMS "מפתה" (כל עוד הוא בעברית) שיפנה את הקורבן לשרת שלי עם STRING שאוכל לזהות שזהו הקורבן ו"אפתה" אותו להתקין אפליקציה (תתפלאו כמה זה קל לעשות "ריגשי" או "להלהיב" משתמשים להתקין – תבטיח לו Candy Crush Saga-2 עם עברית, תראה למשתמש תמונה של כלב עצוב ותבטיח שאם הוא יתקין את האפליקציה הבאה – ה"ארגון שלי" ישלח בשמו 50 שקלים והוא בסך הכל יצטרך לראות פרסומת אחת פעם בחודש – ויש עוד המון דרכים), ויש גם דרכים אחרות כמו לשבת במסעדה שבה ה"קורבן" אוכל ארוחת צהרים, להעיף למסעדה את ה-WIFI ולתת לכולם לגלוש דרך המכשיר שלי … ומשם תדמיינו לבד מה כבר אפשר לעשות.

כך שבסופו של דבר – פריצה למכשיר הסלולרי של העובד היא אינה עניין מורכב או מסובך מדי ובמקרה הכי גרוע יש "שוק שחור" שלם שאפשר תמורת כמה מאות (או אלפי) דולרים לרכוש פריצות שעדיין לא פורסמו ובוודאי שלא נחסמו, הן ל-iOS, הן לאנדרואיד והן ל-Windows Mobile/Phone (ואם ממש מתעקשים – גם ל-OS X ול-Windows).

ברגע שאני מחובר למכשיר של ה"קורבן" אני יכול להריץ כל כלי שארצה, יש לי ערוץ פתוח להעלות מה שאני רוצה, אני יכול להריץ מה שארצה, אני יכול לסרוק (כל עוד אני סורק בצורה חכמה כדי שלא אפול מיידית מכל מיני מערכת IPS/IDS) ואני יכול לעשות טריק יותר נבזי – והוא פשוט לחכות למכשירים אחרים שיעלו לאותו subnet של כתובות ולהזיק להם. שוב – הכל תלוי בפורץ ורצונותיו.

כעת, כשאני בפנים, ואני סורק בצורה חכמה, אני יכול לנסות לחדור לשרת ה-MAIL שלך, אני יכול לנסות עוד כל מיני דברים כולל חסימת קבלת המייל במכשיר של אותו "קורבן" ואם אותו "קורבן" הוא בעצם סמנכ"ל, הצעקות על אנשי האבטחה יגיעו גם יגיעו ובעקבותיהם גם תגיע תחרות "הורדת ידיים" – ואז נראה מה איש האבטחה יעשה כאשר מערכת ה-IPS/IDS טוענת שהמכשיר של הסמנכ"ל חשוד בפעילות לא חוקית, ומצד שני הסמנכ"ל דורש ש"יפתרו" את הבעיה (כמובן מבלי לפרמט את המכשיר שלו – תתפלאו לכמה אנשים אין גיבוי למכשיר. אגב, איך אתם בטיפול באנדרואיד? זה לא שאתם יכולים להפעיל ODIN ולזרוק IMAGE מבלי לסכן את עצמכם במריבה עם אותו סמנכ"ל שמכשירו נפרץ..).

זו כמובן רק ההתחלה. אם הפורץ חכם הוא ישכפל את הפריצה למכשירים נוספים שמתחברים לבדוק מייל (ומקבלים כתובת IP מה-SUBNET של ה-VPN המיוחד) ואז .. "שישו ושמחו".

אני מניח שיש לא מעט שיאמרו שהאשמה היא באנדרואיד (וזה חלקית נכון – אפשר בצורה יותר קשה לשכפל את אותה בעיה גם עם אייפונים וכו'). האמת שהאשמה נכונה חלקית – לצערי יצרניות לוקחות את הזמן עד שהן מתקינות עדכוני אבטחה (אנדרואיד 5.1.1 יצא לפני מספר ימים – רוב המכשירים לא יקבלו את העדכון למעט מכשירים מהשנה שנתיים האחרונות – וגם זה יקרה רק ביולי והלאה [תלוי כמה המכשיר חדש]). גוגל מצידה מוציאה עדכונים ואם יש לכם מכשירים מסידרת NEXUS אז אתם תקבלו את העדכונים די מהר. כשזה מגיע לעומת זאת למכשירי Windows Phone – פה אתם תהיו בבעיה כי מיקרוסופט בקושי מוציאה עדכונים (שלא לדבר על מכשירים עם גירסה 7 שלא מקבלים שום עדכון) כך שאם יש חור רציני – יקח זמן רב עד שהוא יסתם ותקבלו עדכון.

אז מה הפתרון לכך? אין הרבה ברירות זולת להוציא את השרותים החוצה, מחוץ לתשתית שלכם, בין אם תיקחו את הפתרון של אופיס 365 או הפתרון של גוגל, זה יכול לסייע בכך שלפורצים לא תהיה גישה לתשתית הפנימית (כמעט – אם אתם נותנים למשתמשים שרותי גלישה בחברה עם המכשירים הסלולריים שלהם עם IP שלא מופרד מהתשתית LAN הרגילה – אז אתם בבעיה ויש צורך דחוף להעביר את כל ה-WIFI ל-VLAN אחר [עדיף תשתית נפרדת ולא רק ברמת VLAN]), וכך כשהמשתמשים מקבלים את הדברים שהם צריכים מכתובות של שרתי ענן בחוץ, אתם פחות חשופים.

הקלטת שיחות במכשירי סמסונג גלקסי

בואו נדבר על הקלטת שיחות: לא כולם אוהבים שמקליטים את השיחות שלהם, במיוחד כשהם לא מודעים לכך, אבל היום המצב הוא שלפעמים זה המוצא היחיד שלך כשיש לך בעיה עם נותן שרותים כלשהו. קחו לדוגמא את חברות הסלולר, או חברות כמו יס, הוט, חברת חשמל, גז, עיריות וכו' – אתה יכול לסכם עם הנציג שאתה צודק והוא טועה והוא מבטיח לך זיכוי לדוגמא, ואחרי חודש שאתה בודק אם קיבלת זיכוי – אתה רואה שלא קיבלת כלום ובמקרים מסויימים תמשיך להיות מחויב.

רוב הגופים הנ"ל מקליטים בד"כ את כל השיחות (רק שהם מציינים ש"חלק מהשיחות מוקלטות"), אבל כשזה מגיע לשחזור השיחה, ברוב המקרים אף אחד לא ישחזר את השיחה ועד שלא יהיו צעקות מחדש – שום דבר לא יזוז ואתה תמשיך לשלם על שרות שאינך מקבל או חוב שהם חייבים לך והם לא משלמים.

אלו בדיוק המקרים שהלקוח כל כך מייחל לעצמו שהיתה לו הקלטת שיחה, כך הוא היה יכול להוכיח בקלות שעבדו עליו.

כשזה מגיע למכשירי גלקסי של סמסונג (בין אם סידרה S או Note), הפונקציה להקלטה שיחה כבר קיימת במכשיר. הבעיה שהפונקציה חבויה ולכן אינך יכול להשתמש בה להקלטה.

להלן הוראות ההפעלה:

אם יש לך root למכשיר: כנס דרך מנהל קבצים (עדיף root explorer או למשתמשים מתקדמים יותר – עם ADB) לתיקיה הבאה: system/csc/ וערוך את הקובץ others.xml והוסף את השורה הבאה:

<CscFeature_VoiceCall_ConfigRecording>RecordingAllowed</CscFeature_VoiceCall_ConfigRecording>

שמור, צא, הפעל את המכשיר מחדש.

אפשרות נוספת שלא מצריכה לערוך קובץ (אך כן מצריכה root) היא שימוש זמני באפליקציה קטנה שמפעילה את אפשרות ההקלטה החבויה. תוכל להוריד את האפליקציה כאן (אפשר גם ישירות מהמכשיר אם תגלוש לדף זה דרך המכשיר הסלולרי שלך), ואז יש להריץ את האפליקציה, להפעיל את האופציה, ולהפעיל את המכשיר מחדש. תוכלו להסיר את האפליקציה לאחר מכן (אלא אם אתם רוצים לכבות את אפשרות ההקלטה). שימו לב: בחלק מהמקרים, האפליקציה תרוץ רק כשמותקנת גירסת אנדרואיד 5 על המכשיר. במקרה והאפליקציה לא מצליחה לבצע זאת – תצטרכו להשתמש בשיטה לעיל.

כעת, בזמן השיחה, במקום כפתור להוספת איש שיחה נוסף, יופיע כפתור להקלטת השיחה. לחיצה עליו תקליט מאותה נקודה את השיחה (אבל לא את השיחות הבאות). כך זה יראה במכשירי גלקסי S5, ובמכשירי Note-2, Note-3, Note-4.

לשיטה הזו יש יתרון בכך שהקלטת השיחה נשמרת במכשיר עצמו, אולם הבעיה בכך שאם אבד המכשיר או מחקתם אותו, ההקלטות ימחקו, ולפעמים יש שיחות שהייתם רוצים לשמור.

לעיתים ישנה בעיה אחרת (שאינה טכנית): אתם כבר באמצע ויכוח עם הנציג, והוא בטעות כבר פלט שאתם צודקים ואז חזר בו ואתם לא הקלטתם את החלק הזה, או שהמכשיר שלכם מיועד לבצע שיחות עם לקוחות ואתם חייבים להקליט את כל השיחות (או שיחות ממספרים מסויימים קבועים) כדי לאשר הסכמים, או כל סיטואציה אחרת שמחייבת הקלטת שיחות (בישראל הקלטת שיחות מותרת כל עוד אחד מהצדדים מאשר אותה, כך שאם אתה הוא אחד מהצדדים, ההקלטה מותרת) – במקרה כזה אני ממליץ על אפליקציה שנקראת Automatic Call Recorder. בשימוש באפליקציה זו, בסיום השיחה תוכלו להחליט אם לשמור את ההקלטה או למחוק אותה והיא גם יכולה להקליט אוטומטית את כל השיחות או רק שיחות ממספרים מסויימים (או את כל השיחות למעט אלו שמגיעות ממספרים מסויימים). השיחות ישמרו במכשיר ואפשר לבחור אם הן ישמרו על האחסון הפנימי או החיצוני וניתן גם לשמור גיבוי אוטומטי של השיחות לחשבון הפרטי שלכם אצל ספקי ענן כמו Google, DropBox, OneDrive. האפליקציה רצה בגירסת Trial למספר ימים ועלות הגירסה המסחרית שלה הוא 5.5$ לערך.