כן השר דרעי, לך על הצעת חוק שוטף+30 לעסקים קטנים

יש לי חברים רבים שמבחינה פוליטית הם מהצד הימני של המפה (חלק ימין קיצוני) והם דוגלים בשוק החופשי, הקפיטליסטי, ומעדיפים כמובן שלא תהיה שום רגולוציה ו/או שום התערבות ממשלתית. תנו ל"יד הנעלמה" וכוחות השוק לעשות את שלהם.

האמת? גם אני מאמין בשוק חופשי, אני בהחלט מאמין בתחרות, אבל מה לעשות – אינני חי על אמונות של "היד הנעלמה" (כן, אני בהחלט מבין שזה מטפאורה), ואני חושב ששוק חופשי זה דבר חשוב מאין כמוהו ומונופלים הם אסון.

אבל כמו כל דבר בחיים, גם בתחרות ובשוק חופשי יש בעיות וחברות אוהבות שוב ושוב להדגים כוחניות וחוסר הגינות בסיסי שמצריך התערבות של הרגולטור. קחו לדוגמא את השוק הסלולרי – לפני שהיה פה את גולן טלקום/רמי לוי/הוט מובייל וכו' – היו 3 חברות שעשו את הכל כדי לאמלל את הלקוחות. רוצה מכשיר חדש ונוצץ? קח, תחתום פה, עכשיו תשלם אותו במשך 36 תשלומים ואם אי פעם תעז לחשוב על עזיבה, אתה תשלם את מחיר המכשיר שהיה בזמן ההשקה שלו, למרות שהיום הוא לא שווה יותר מכמה מאות שקלים בודדים. רוצה DATA? קח ג'יגה במחיר מופקע ועל כל מגה שתחרוג – נשחט אותך בכמה שקלים פר מגהבייט. בלי הרגולטור הן היו ממשיכות בתעלולים הללו ועד היום החברות הגדולות "בוכות" על התחרות ומאיימות לפטר אלפי עובדים. אז כן, תחרות שינתה את מצב הסלולר בארץ מהקצה לקצה, שוק חופשי זה טוב, אבל אם הרגולטור לא יפקח עין – החברות ישמחו למצוא טריקים "לכבול" לקוחות ותסמכו על המחלקות המשפטיות שימצאו טריקים מתחת לאדמה כדי לכבול את הלקוחות. כמובן ששוק חופשי בלי התערבות הרגולטור דורסת את החלשים והעניים, אבל לא ניכנס לזה כרגע.

אחת הנקודות שלא היה בה שום התערבות ממשלתית עד כה (למעט הצעת חוק של שלי יחימוביץ' שהתייחסה רק למשרדי ממשלה) – היא עניין התשלום בין עסקים. חברות רבות מעדיפות למרר את חייהם של עסקים יותר קטנים בשיטות תשלום של שוטף + נצח ובכך לגרום לעסק הקטן צרות עסקיות. אותן חברות גדולות יודעות שאם הן ינסו לבקש מהבנקים תנאי אשראי סופר נדיבים הם יקבלו אולי בהתחלה, אולם כיום הבנקים כבר יותר זהירים והם כבר מבקשים ערבונות, ערבים, בטחונות נזילים וכו' – או שתשכח מאשראי נוסף.

אישית, כבעל עסק קטן לתחומי לינוקס/וירטואליזציה/סטורג' – אני מוצא את עצמי לא פעם עומד בסיטואציה לא נעימה וזה לא רק אני אלא גם חברים פרילאנסרים נוספים: חברת X, חברה גדולה מעוניינת בשרותים מסויימים והם צריכים את זה "אתמול". הכל טוב ויפה, עד שמגיע עניין התשלום – זה כבר "סטנדרט" לשמוע חברות שאומרות ללא הנד עפעף שהם משלמים שוטף+90 וחברות התקשורת הגדולות (פרטנר, הוט) כבר "הפליגו" לשוטף+125. עסק שיש לו כמה עשרות פרילאנסרים יכול איכשהו "לשחק" עם ההכנסות – הלקוח הזה שילם ולקוח אחר פרע את החוב ולקוחות X ו-Y צריכים לשלם בחודש הבא, אז אפשר לשלם לפרילאנסרים, אבל מה יעשה עסק קטן שמורכב מפרילאנסר אחד או 2-3? אתת החברות הגדולות זה לא מעניין. מבחינתם אתה "קו האשראי". לא תסכים? אין בעיה, יהיו קופצים אחרים על ההזדמנות.

אז מדוע שאנחנו הפרילאנסרים נממן את החברות הגדולות? אחרי הכל, חברות התקשורת הגדולות מציגות בגאווה לבורסה איך ברבעון האחרון הם הרוויחו מיליארד ויותר שקלים. האם כזה קשה לאותן חברות תקשורת לשלם זמן קצר לאחר קבלת העבודה? כמעט בכל מקום בעולם התשלום מתבצע תוך ימים ספורים. בגרמניה לדוגמא שעשיתי פרויקט מרחוק, בקושי הספקתי לסיים אותו וכבר קיבלתי טלפון מנומס שמבקש חשבונית ופרטי בנק ועוד באותו יום הועבר התשלום. שם, אגב, בין עסקים ה"סטנדרט" הוא תשלום תוך .. 10 ימי עסקים. לא 30, לא 60, לא 90 ובטח לא 120+!

שר הכלכלה החדש, אריה דרעי (שאינני נמנה ממעריציו או מאמונותיו או דרכו הפוליטית) מגבש בימים אלו הצעת חוק שתחייב תשלום לעסקים קטנים במהירות ועד שוטף+30. בטוחני שנראה גדודי לוביסטים מכל מיני חברות גדולות ששוב יריצו את הריטואל של "התערבות בשוק החופשי", איומי פיטורים, קיצוצים ושאר איומים, אבל אני כולי תקווה שאריה דרעי יצליח לעמוד ולהפעיל את כל השפעתו הפוליטית על מנת שחוק זה יעבור. אני מאמין שהשמאל הפוליטי ישמח להצביע "בעד" (לא כולם, אלא אם ראשי המפלגות יתנו הנחיה להצביע "בעד") ואני מאמין שגם המפלגות הדתיות והחרדיות יצביעו בעד, כך שכולי תקווה שהצעת חוק זו תהפוך רשמית לחוק ואנחנו הפרילאנסרים והעסקים הקטנים – נפסיק להיות ה"בנק" של החברות הגדולות.

אבטחת מידע: התייחסות ל"פורץ", בדיקות וריגול תעשייתי

מכיוון שפוסט זה נכתב עבור פורום אבטחת מידע, אני רוצה להתחיל בנקודה ששותפים לה רבים (ורבות) כאן: כיצד הגעתם לתחום אבטחת מידע? חלק קטן הגיעו דרך קורסים בגלל ששמעו שבתחום מרוויחים לא רע, אולם חלק גדול מהמשתתפים החל את דרכו בתחום כ"פורץ" (Hacker) וליתר דיוק "מאתגר מערכות": ישנה מערכת X ואותו בחור מעוניין לדעת איך היא עובדת, מה החלקים השונים עושים, אם משנים כל מיני הגדרות ופרמטרים – מה קורה? כך לומדים, מתנסים ומתקדמים ובמיוחד – יודעים בדרך זו להגן על דברים. (יש כמובן חלק מהאנשים שלוקחים את זה לכיוון ה-Black Hat).

אתרים רבים בארץ, גדולים כקטנים, מוגנים בצורות שונות ע"י האנשים, המחלקות והטכנולוגיות השונות שקיימות. אתרים קטנים בד"כ יסמכו על חומת אש תוכנתית פשוטה ואולי שרות CDN ש"ימסך" חלק מההתקפות, בשעה שבאתרים גדולים בד"כ משקיעים יותר בתשתיות, פתרונות יקרים ומתוחכמים יותר ועוד, אולם לצערי אתרים רבים בארץ (כולל אתרים מסחריים) לוקים בחסר בכל מה שקשור לפרסום Section של אבטחת מידע. אינני מתכוון לפרסום כיצד האתר מוגן, אלא למי לפנות אם מוצאים פריצה. אתרים שונים, לדוגמא, מחביאים זאת אי שם במסמך הענק של תנאי השימוש ולך תעבור על ערימת סעיפים כדי לדעת איך בכלל ליצור קשר. באתרים אחרים יש איזה טופס למלא שדרכו אי אפשר לשלוח כמעט שום מידע טכני (כי הגדירו כמות קטנה של אותיות ב-FORM או שדף ה-FORM אפילו לא מצליח להיות מרונדר בצורה נורמלית בדפדפן עדכני).

ומה קורה שמצליחים לשלוח מידע על פריצה שקיימת? זה משתנה. בחלק מהמקרים אולי יתייחסו להתרעה ואולי אפילו יחזירו "תודה" במייל, בחלק מהמקרים זה יתגלגל אי שם לאיזה תומך שאין לו מושג ירוק מה עושים עם זה ולבסוף הוא יתעלם ולא יעביר הלאה, ובחלק מהמקרים (שאפשר למצוא אותם בפורומים בתפוז) חברות מעדיפות "לשסות" עו"ד בפונה ולאיים עליו בצורה מרומזת.

מכאן נעבור לנושא אחר שרבים מעדיפים לא לדבר עליו למרות שהוא חי ותוסס גם במדינתנו: ריגול עסקי.

חברה X שיש לה אחיזה רצינית בשוק מימים ימימה מתכוננת לקראת כניסת מתחרה חדש. חברת X תשמח "להציץ" בתוכניות השיווקיות של המתחרה, והם ימצאו את הדרך לרמוז למישהו בחברה שירמוז לחבר שלו שישיג את המידע. הכל ברמיזות וקריצות, ללא שום תיעוד ואם אותו "חבר" ישיג מידע – הכסף יועבר בצורה סיבובית. אם הדברים יסתבכו, תמיד יהיה אפשר להעיף מישהו בדרג הזוטר החוצה תוך הכחשה גורפת שחברה X ניסתה לרגל. חס ושלום! (וכמובן, אם זה יעבור דרך המחלקה המשפטית, מישהו כבר יוסיף איום מרומז לעיתונאי החטטן שאם משהו יפורסם, החברה "תעשה חושבים" בקשר לתקציבי הפרסום בעיתון שבו עובד אותו עיתונאי).

הבה נסתכל על אותו "חבר" שרוצה לפרוץ. איך הוא בעצם יעשה זאת? לא, סביר להניח שהוא לא יחפש פורטים פתוחים (זה בין כה סגור ע"י חומת האש), הוא לא יחפש להתקיף את השרת ב-DDOS (אנחנו בישראל, קל מאוד לנתק תקשורת של DDOS שמגיעה מחו"ל ועוד יותר קל לנתק נקודות שמשתתפות ב-DDOS ישראלי). הוא יחפש איך להשתמש בשרתים שלכם שפתוחים לציבור (אלו השרתים שנמצאים ב-DMZ) ובשרותים שרצים עליו – בין אם זה IIS או NGINX או Apache או כל שרת Web אחר. הוא יחפש לבדוק מה ה-Application Server שאתם משתמשים וינסה את חורי האבטחה הידועים לגבי אותם שרותים – על השרתים שלכם. הוא ינסה לבצע SQL Injection, ינסה לשחק עם פרמטרים ב-URL וינסה עוד שיטות רבות. אם הוא חכם, הוא כמובן לא יבצע זאת מהמחשב האישי שלו, אלא ישכור אצל אחד הספקים בארץ או בחו"ל VPS וינסה זאת משם, אולי הוא גם ישתמש בשרותי PROXY שונים כדי להחביא את כתובת ה-IP שלו. הוא מבחינתו רוצה להשיג מידע וכמה שיותר – כי בשבילו זה כסף. הוא ה-Black Hat הקלאסי.

נעזוב לרגע את אותו "חבר" ונסתכל על התשתית שלכם מבפנים. כמה חברות שוכרות שרותי Auditing לבצע בדיקת קוד מבחינת אבטחה? לא הרבה. הרוב סומכים על המתכנתים שלהם שיכתבו קוד מוגן. בוא ננסה לבצע תרגיל פשוט בחברתכם: יש לכם מספר חומות אש? בצעו login לחומת אש שלא נכנסתם אליה מספר חודשים. יש סיכוי לא רע שתמצאו חוק או 2 שיגרמו לכם להרים גבה. עתה, פנו לאיש היוניקס/לינוקס שלכם או לאנשי הסיסטם מיקרוסופט שלכם ובקשו שיכתבו סקריפט קטן שיחפש בלינוקס קבצים עם הרשאות 777 (או ב-Windows הרשאות Full Control ל-Everyone). יש מצב שהסקריפטים שלהם יפלטו רשימת תיקיות וקבצים כאלו. מדוע? כי בדיוק כמו החוקים המפתיעים שאולי גיליתם, לעיתים מפתחים או מטמיעים (גם אנשי סיסטם) מנסים לקצר תהליכים, לפתור במהירות. הבוס לוחץ, מחלקת השיווק לוחצת, כולם על הראש שלו אז הוא לא הגדיר הרשאות ספציפיות והוא שם Full Control/777 – העיקר שיעבוד. מה לגבי השלכות של אבטחת מידע? שאלה מצוינת. אותו דבר קורה עם חומות אש כשמישהו שם "ל-2 דקות" חוק שמאפשר כניסה מה-DMZ ל-LAN "להעתיק לרגע קובץ מאוד חשוב", והרגע הזה נמתח (כי ההעתקה בוצעה אבל מה שציפו לא קרה/לא עבד) ולבסוף שכחו להעיף את החוק הזה.

זה מה שבדיוק אותו "חבר" מחפש, וכשהוא ימצא – הוא בהחלט ישתמש גם ישתמש בכך לשאוב מידע, מה שבא – ברוך הבא.

נחזור לאותו בחור White Hat שמצא פירצה באתר שלכם. זוכרים את הריגול התעשייתי? אם אתם חברה מסחרית, סביר להניח שיש גם יש מי שיתעניין במידע שלא פרסמתם (כולל אלו שמעוניינים "לדפוק קופה" על מידע פנימי, מניות בבורסה וכו'). אם יהיה לכם באתר חלק שהוא קל לקריאה, מעוצב בצורה נוחה וקלה לשימוש – והכי חשוב: שהמידע יגיע ישירות לאדם הנכון/המחלקה הנכונה (ולא ל"תמיכה") – המידע הזה יהיה שווה עבורכם הרבה, ואפשר כאות תודה לתת לאותו White Hat איזו תשורה קטנה, אולי איזה שובר רכישה של כמה מאות שקלים כמתנה (החברה לא תיפול מזה). כך תקבלו גם מידע שיעזור לכם להגן בצורה יותר טובה על המידע שלכם מצד אחד, ומצד שני תכירו בחור שאולי יוכל לעזור לכם בעתיד (נניח לבדוק גירסה חדשה של אתר/מוצר). שתי הצדדים מרוצים, דבר מעולה, לא?

גוגל, פייסבוק, אמזון, אפל, HP, IBM וחברות רבות מוכנים לשלם אלפי דולרים תמורת גילויי פריצות אבטחה (יאהו קמצנים – כשמישהו לאחרונה העביר להם מידע על בעיית אבטחה – הם נתנו לו שובר .. של 18$!). אני מתקשה להאמין שחברות בארץ יאמצו את הרעיון אבל לדעתי משהו כמו שוברים דווקא יכול להצליח. אם מישהו נותן לכם מידע על בעיית אבטחה, אפשר לקחת את זה בצורה טובה ובונה. ההשקעה מצד החברה בבניית Section כזה היא השקעה קטנה, אבל בטווח הארוך היא שווה לחברה כספים רבים.

תרגיל אבטחת מידע – תשובות

בעקבות פוסט תרגיל שפרסמתי בפורום אבטחת מידע בפייסבוק – הנה התשובות לטריק כיצד תאורתית אני יכול לחדור.

התשובה כמובן קשורה לטלפון הסלולרי או לטאבלט שיש לכל מיני עובדים או מנהלים. אפשר לעשות זאת בכל מיני דרכים, החל במשלוח SMS זדוני, המשך במשלוח SMS "מפתה" (כל עוד הוא בעברית) שיפנה את הקורבן לשרת שלי עם STRING שאוכל לזהות שזהו הקורבן ו"אפתה" אותו להתקין אפליקציה (תתפלאו כמה זה קל לעשות "ריגשי" או "להלהיב" משתמשים להתקין – תבטיח לו Candy Crush Saga-2 עם עברית, תראה למשתמש תמונה של כלב עצוב ותבטיח שאם הוא יתקין את האפליקציה הבאה – ה"ארגון שלי" ישלח בשמו 50 שקלים והוא בסך הכל יצטרך לראות פרסומת אחת פעם בחודש – ויש עוד המון דרכים), ויש גם דרכים אחרות כמו לשבת במסעדה שבה ה"קורבן" אוכל ארוחת צהרים, להעיף למסעדה את ה-WIFI ולתת לכולם לגלוש דרך המכשיר שלי … ומשם תדמיינו לבד מה כבר אפשר לעשות.

כך שבסופו של דבר – פריצה למכשיר הסלולרי של העובד היא אינה עניין מורכב או מסובך מדי ובמקרה הכי גרוע יש "שוק שחור" שלם שאפשר תמורת כמה מאות (או אלפי) דולרים לרכוש פריצות שעדיין לא פורסמו ובוודאי שלא נחסמו, הן ל-iOS, הן לאנדרואיד והן ל-Windows Mobile/Phone (ואם ממש מתעקשים – גם ל-OS X ול-Windows).

ברגע שאני מחובר למכשיר של ה"קורבן" אני יכול להריץ כל כלי שארצה, יש לי ערוץ פתוח להעלות מה שאני רוצה, אני יכול להריץ מה שארצה, אני יכול לסרוק (כל עוד אני סורק בצורה חכמה כדי שלא אפול מיידית מכל מיני מערכת IPS/IDS) ואני יכול לעשות טריק יותר נבזי – והוא פשוט לחכות למכשירים אחרים שיעלו לאותו subnet של כתובות ולהזיק להם. שוב – הכל תלוי בפורץ ורצונותיו.

כעת, כשאני בפנים, ואני סורק בצורה חכמה, אני יכול לנסות לחדור לשרת ה-MAIL שלך, אני יכול לנסות עוד כל מיני דברים כולל חסימת קבלת המייל במכשיר של אותו "קורבן" ואם אותו "קורבן" הוא בעצם סמנכ"ל, הצעקות על אנשי האבטחה יגיעו גם יגיעו ובעקבותיהם גם תגיע תחרות "הורדת ידיים" – ואז נראה מה איש האבטחה יעשה כאשר מערכת ה-IPS/IDS טוענת שהמכשיר של הסמנכ"ל חשוד בפעילות לא חוקית, ומצד שני הסמנכ"ל דורש ש"יפתרו" את הבעיה (כמובן מבלי לפרמט את המכשיר שלו – תתפלאו לכמה אנשים אין גיבוי למכשיר. אגב, איך אתם בטיפול באנדרואיד? זה לא שאתם יכולים להפעיל ODIN ולזרוק IMAGE מבלי לסכן את עצמכם במריבה עם אותו סמנכ"ל שמכשירו נפרץ..).

זו כמובן רק ההתחלה. אם הפורץ חכם הוא ישכפל את הפריצה למכשירים נוספים שמתחברים לבדוק מייל (ומקבלים כתובת IP מה-SUBNET של ה-VPN המיוחד) ואז .. "שישו ושמחו".

אני מניח שיש לא מעט שיאמרו שהאשמה היא באנדרואיד (וזה חלקית נכון – אפשר בצורה יותר קשה לשכפל את אותה בעיה גם עם אייפונים וכו'). האמת שהאשמה נכונה חלקית – לצערי יצרניות לוקחות את הזמן עד שהן מתקינות עדכוני אבטחה (אנדרואיד 5.1.1 יצא לפני מספר ימים – רוב המכשירים לא יקבלו את העדכון למעט מכשירים מהשנה שנתיים האחרונות – וגם זה יקרה רק ביולי והלאה [תלוי כמה המכשיר חדש]). גוגל מצידה מוציאה עדכונים ואם יש לכם מכשירים מסידרת NEXUS אז אתם תקבלו את העדכונים די מהר. כשזה מגיע לעומת זאת למכשירי Windows Phone – פה אתם תהיו בבעיה כי מיקרוסופט בקושי מוציאה עדכונים (שלא לדבר על מכשירים עם גירסה 7 שלא מקבלים שום עדכון) כך שאם יש חור רציני – יקח זמן רב עד שהוא יסתם ותקבלו עדכון.

אז מה הפתרון לכך? אין הרבה ברירות זולת להוציא את השרותים החוצה, מחוץ לתשתית שלכם, בין אם תיקחו את הפתרון של אופיס 365 או הפתרון של גוגל, זה יכול לסייע בכך שלפורצים לא תהיה גישה לתשתית הפנימית (כמעט – אם אתם נותנים למשתמשים שרותי גלישה בחברה עם המכשירים הסלולריים שלהם עם IP שלא מופרד מהתשתית LAN הרגילה – אז אתם בבעיה ויש צורך דחוף להעביר את כל ה-WIFI ל-VLAN אחר [עדיף תשתית נפרדת ולא רק ברמת VLAN]), וכך כשהמשתמשים מקבלים את הדברים שהם צריכים מכתובות של שרתי ענן בחוץ, אתם פחות חשופים.