סקירה קצרה: געגוע בין השורות

יצא לי לקרוא לאחרונה את הטור הזה ב-YNET על "רווקת השבוע" של הטור, אלמוג בר, ואחד הדברים המעניינים שקראתי שם – זה שאלמוג סופרת.

נו, סופרת צעירה, יש את הספרים בגירסה דיגיטלית – אני שמח לעודד יצירה ישראלית, אז רכשתי את הספר האחרון בשמו המעניין "געגוע בין השורות", והנה כמה דברים שחשבתי על הספר לאחר שקראתי אותו.

  • אם מישהו חושב שהספר הוא בעצם "ספר פתוח" על הסופרת, כדאי שינמיך ציפיות כבר מעכשיו. ניתוח קליל של הטקסט בספר מראה שיש סיפורים מהצד הגברי, סיפורים מהצד הנשי, ולא מעט סיפורים ויראליים. אני לא חושב שזה דבר רע, אבל חשוב לזכור שזו אסופת סיפורים, לא בדיוק "יומני היקר".
  • מי שראה את הסידרה "היהודים באים" בוודאי נתקל במושג "עם של קקות", ואני מתכוון לגברים שבחבורה. יש לא מעט גברים שמתנהגים כמו בבונים, שאוהבים ללכת על דברים בעייתיים (להיות עם מישהי, אבל חס ושלום עם טייטל של "בקשר"), שאוהבים לשלוח הודעות דביליות וחסרות טאקט (מישהי שבורת לב מפרידה, ואז האינפנטיל שולח לך הודעה של "מתגעגע") ועוד – ובנות צריכות לקחת זאת בחשבון
  • אבל גם בצד הנשי יש צורך לקחת בחשבון שרגש ושכל אלו 2 דברים שלא תמיד (אם בכלל) הולכים ביחד. אני יכול להמר שבכ-90% ממערכות היחסים שהסתיימו – היו סימנים מוקדמים לכך שהקשר הולך להיות בעייתי במקרה הטוב, או להסתיים במקרה הפחות נעים. אם בן הזוג אינו מתנהג כתמול שלשום, וגם אם הוא מכחיש זאת – כדאי לבדוק את הדברים לעומק, אם הקשר חשוב לך.
  • לפעמים כשאני קורא ספרים, אני מנסה לחשוב על איזו שאלה (או יותר) הייתי שואל את הסופר. במקרה הזה הייתי רוצה לשמוע מאלמוג – אלו לקחים היא הפיקה ממערכות היחסים הקודמות? מה באמת היא מחפשת כיום מבחינת קשר, והאם היא הפעם כן תשים לב לסימנים כשיופיעו (אם יופיעו) עננים אפורים מעל קשר מתהווה?

לסיכום: סיפורים נחמדים. הרבה אי אפשר ללמוד מהם (אוקיי, יש סיפורים שבא לצרוח על המספר, ובמקרים אחרים לתהות מה עובר עליו/ה), ואני חושב שבהחלט שווה להשקיע בספר הדיגיטלי 35 שקל.

פוסט תגובה על המלצות מערך הסייבר (שירביט)

זזמערך הסייבר הלאומי, הגוף שאמור לרכז את כל עניין אבטחת המידע הממשלתית – פירסם מאמר ובו המלצות לציבור הישראלי בעקבות הפריצה לחברת שירביט.

מי שקורא את הבלוג הזה, יודע שאני לא ממש מחבב את מערך הסייבר ובמיוחד לא את המלצותיו שנראות כאילו הועתקו מהמלצות שפורסמו לפני יותר מעשור, מבלי להתחשב כלל בטכנולוגיות חדשות ובנהלים/המלצות חדשות שפורסמו מאז, ולכן החלטתי לטובת הציבור לעבור על ההמלצות שפורסמו, להגיב עליהם ולפרסם מספר נקודות נוספות עבור אלו שמחפשים לקבל אבטחה קצת יותר רצינית לגבי חשבונותיהם וכו'.

  1. סעיפים 1-3 – ההמלצה הראשונה של מערך הסייבר היא "ההמלצה למי שיודע שצילום תעודת הזהות שלו זלג היא ההמלצה למי שיודע שצילום תעודת הזהות שלו זלג היא להנפיק תעודת זהות חדשה חכמה". כפי הנראה במערך הנכבד שכחו שפרטי זהות כבר דלפו ממזמן עוד מאירוע של דליפת פנקס הבוחרים בגלל הליכוד (וכמובן שאף אחד לא נענש על כך, כנראה שרשות הגנת הפרטיות אינה אקטיבית), כך ששם פרטי, שם משפחה, תאריך לידה ומספר זהות של רוב (אם לא כל) האזרחים – כבר בחוץ. בממשלה, אגב, עדיין לא נתנו את הדעת על כך למרות שעברו 10 חודשים מאז האירוע.
    לגבי הנפקת תעודת זהות חלופית – יש לי 2 הערות:

    1. עדיין לא ידוע מה קורה לגבי טביעות האצבע והמאגר הביומטרי. בפעם האחרונה ששמענו על כך – הגיבוי שלו יושב לו בבזק בינלאומי, כך שכשמספרים לכם שהמאגר "מאובטח" – אני לא ממליץ להאמין לסיפורים הנ"ל.
    2. יש אחד, אולי שמעתם עליו – מבקר המדינה, ויש לו כמה מילים לאמר על התעודת זהות החכמה. ציטוט חלקי: ""התעודה לא מגשימה את תכליתה בנוגע לחיזוק תהליך האימות וההזדהות, ויש למשטרה אחוזי כישלון גבוהים בשימוש בה"". אפילו המשטרה, חסידה לא קטנה של התעודה, מציינת כי ישנם אחוזי כשלון גבוהים.אז תסלחו לי, ההמלצה הזו אינה רצינית. אינני חושב שפיתוח (עתידי) של אפליקציה כזו יעזור הרבה במובן הזה, ויקח זמן רב עד שמשרדי ממשלה, בנקים וגופים אחרים יאמצו את עניין האותנטיקציה העתידית החדשה. כבר היינו בסרט הזה בעבר. לא צריך ללכת רחוק – אתר GOV.IL לדוגמא – עדיין משתמש בעניין תאריך הנפקת תעודת זהות וההוראות לא להשתמש בתאריך ההנפקה כבר נמסרו בשנה שעברה. מישהו עשה עם זה משהו? לא.

שאר ההמלצות:

  • לא ללחוץ על לינק אלא להעתיק אותו ידנית. המלצה לא ממש חכמה!. אם פורץ מאן דהוא שולח לינק למשתמש תמים לכתובת http://1.2.3.4/CrackYourPC.html והלינק לדוגמא נחסם על ידי תוכנת המיילים (כמו Outlook), העתקה של הלינק באופן ידני לדפדפן תפעיל אותו ולכן לא מומלץ להעתיק לינקים באופן ידני.
  • "אין לתת פרטים לגורם המחייג אליכם גם אם יש לו מידע שכביכול קיים בחברה כיוון וייתכן שמדובר במתחזה" – ובפעם המי יודע כמה: הן המשתמש הפרטי והן הארגון צריכים לצאת מתוך הנחה שפרטים ימסרו.
  • סיסמאות ארוכות/מורכבות – אולי כותב המאמר לא השתמש בדפדפן מעודכן זמן רב, אולם כל הדפדפנים המודרניים, כמו Firefox, Chrome, Edge כבר כוללים מנגנון הן ליצירת והן לשמירת סיסמאות מורכבות. עדיף לוותר על ה"יצירתיות" של סיסמאות מורכבות על ידי משתמשים.
  • עניין אמצעי אימות נוסף – אכתוב עליו בהמשך פוסט זה.
  • בדיקת חיובי אשראי: אתם מוזמנים לשוחח עם כל נציגת חברת אשראי שתשמח לספר לכם שרוב הישראלים מתקשים לגבי חיובי אשראי רק כשיש חיובים מבהילים ב-2/10/15 לחודש, עד אז, מי שגנב כסף מהכרטיס – כבר מזמן העביר את הסכום למקום מבטחים (אם כי חברת האשראי תחזיר את הכסף, לאחר תהליך מייגע).
    בעניין זה, אם כבר, לדעתי נחוצה התערבות מצד הרגולטור לחייב את הבנקים וחברות האשראי לשלוח כברירת מחדל (Opt Out) הודעות SMS/פוש על כל חיוב מעל 100 שקלים, גם אם הם נעשו בשקלים ובישראל.

בעניין אמצעי אימות נוסף: לא מעט אתרים מאפשרים אמצעי אימות נוסף כמו משלוח OTP דרך SMS, אולם דרך זו היא בעייתית הואיל ומסננים שונים (תוכנת True Caller לדוגמא) מעבירים הודעות כאלו ל-SPAM והלקוח שאינו מבין בטכנולוגיה סתם יתעצבן שאינו מקבל הודעות. בנוסף -בלא מעט מקרים ישנה בעיה עם מערכת העברת ה-SMS ולמשתמש כלל לא מגיעה ההודעה עם המספר, ולעניות דעתי – זהו פתרון די בעייתי שיש להעדיפו רק כאפשרות אחרונה.

פתרונות יותר טובים אך לא מסובכים יכולים להיות:

  • ברמה ההתחלתית (במקומות שאין מידע מסווג/אישי/פיננסי) – שימוש ב-TOTP כאשר המשתמש יתקין אפליקציית Authenticator (לגוגל, למיקרוסופט יש כאלו, ויש את Authy שמאפשר גישה הן מהטלפון והן מהדפדפן) ויזין את המספר כשהאפליקציה מבקשת זאת.
  • למקומות בהם יש צורך באבטחת תקשורת יותר גבוהה, שימוש במתודות שונות המכוסות תחת FIDO2 Alliance ושימוש במפתחות פיזיים כמו Yubikey המשתמשים ב-Challenge & Response ללא / בתוספת שימוש בסיסמאות בהקשה ידנית. כיום יש מפתחות שניתן להפעיל דרך NFC או חיבור USB באותו Dongle ובנוסף, חברת Yubico שחררה את אפליקציית Yubico Authenticator לכל מערכות ההפעלה לדסקטופ, כך שניתן להשתמש ב-TOTP עם הגנה נוספת של ה-Yubikey.

ארגונים, לדעתי, צריכים להגדיר את הדברים כבר "אתמול", אבל גם במערכת הפיננסית צריכים להכניס דברים כאלו לשימוש והם עדיין לא הוכנסו. כלקוח של בנק לאומי ובנק דיסקונט, אני עדיין יכול להיכנס לחשבונותיי ולעשות פעולות באמצעות סיסמא בהתחברות מבלי לבצע כל הזדהות נוספת במכשיר סלולרי או כל ציוד אחר וזהו דבר די חמור שלדעתי יש לטפל בו בדחיפות. למשתמשים הפרטיים, לעומת זאת – אני ממליץ לכל הפחות להתקין אפליקציות Authentication ולהגדיר איתה MFA לשרותים השונים ואם הבטחון חשוב לכם, לרכוש את המפתח הזה, וכך – גם אם פרטיך דלפו, הפורץ לא יוכל להשתמש בהם לביצוע פעולות.