כשה-"Raspberry Pi" ינצח בקרב התודעה

אתמול נודע כי חיזבאללה שיגר 3 כתבמ"ים (או מלט"ים, או איך שתקראו לזה) לעבר אסדה שעדיין אינה פעילה. צה"ל פעל בנוהל שגרתי עם שילוב של חיל הים (לשם שינוי) – והוציא F16 שהוריד כתב"מ, וטיל "ברק" שנורה מ-אח"י אילת הוריד את ה-2 הנוספים..

לכאורה, צה"ל ניצח, אבל אפשר לאמר שזהו הנצחון הכי בזבזני שיש..

הלוחמה של חיבזאללה וחמאס בשנים האחרונות היא הרבה יותר פסיכולוגית/תודעתית, מאשר מלחמה של ממש. בשביל חיזבאללה, לשלוח 2-3 לוחמים עם דגל שיתלה למשך דקה או שתיים – זה הישג, כל עוד זה מוקלט (על מצלמת וידאו ביתית זולה, ובקרוב כנראה גם המצלמה תוחלף בטלפון סלולרי זול וישודר בשידור חי באינטרנט…) — זה בדיוק ההישג שהם – החיזבאללה רוצים, ואת זה הם ישדרו ב-LOOP. גם אם אותם לוחמים חוסלו מיידית ע" כוחות צה"ל, התודעה והאפקט הפסיכולוגי – הם מה שקובעים לגבי המשכיות הצעדים של כל אחד מהצדדים.

בצה"ל, אפשר לראות, עדיין שולטת המחשבה ש"הטנק ינצח", לאו דווקא בטנק הפיזי – אלא במגוון אמצעי הלחימה שצה"ל רוכש או מפתחים עבורו. טילים מדוייקים שיכולים לטוס ולהראות תמונה טובה בכל מזג האויר, ביום ובלילה, ומבחר כלים נוספים שהמכנה המשותף שלהם – מחיר גבוה מאוד (בדולרים). סוללת כיפת ברזל לדוגמא? 100 מיליון, וכל טיל (טמי"ר) – 50,000 דולר, לפי גלובס.

וכאן, הבעיה הגדולה של צה"ל, הקשורה לדעתי לעיתים לעקשנות, להחלטות מוטעות של דרג פיקודי כלשהו או כל גורם אחר שתוקע את הכל – אין שום מחשבה על פתרונות בקצה הנמוך, בקצה שאני מכנה ה-"Raspberry Pi" (ה-Pi הוא רק דוגמא למחיר זול, לא ציפיתי שבפועל מחר צה"ל ידחוף בכל טיל קטן איזה Pi Pico עם כרטיס מיקרו SD).

מה שלעניות דעתי צה"ל צריך להתעניין – הוא פתרונות המבוססים על COTS (כלומר Commercial off-the-shelf – חלקים שניתן לרכוש בשוק). כשמנסים להפיל מל"ט של חיבזאללה  – אין צורך בדרישות כמו "עבודה בכל מזג אוויר" (בכל זאת – אם יש ערפל, או חושך או תנאי ראיה גרועים, גם הצד השני לא יכול לראות כלום, אחרי הכל – לא מדובר במלט"ים של רפא"ל), צריך למצוא פתרון שיכול לשבת על מל"ט קטן ופשוט. לדוגמא: לירות תרסיס דבק פשוט על כנפי מל"ט אויב. עם ספריות פיתוח כמו OpenCV וארכיטקטורת NEON שנמצאת כמעט בכל מעבד ARM, הלוח הנוסף שיורכב למל"ט הישראלי יוכל למצוא את הזווית הנכונה ולרסס בעצמו (או לעשות כל פעילות אחרת שתיבחר) ללא צורך בכך שמישהו יכוון אותו במדויק מחדר בקרה, וישנם עוד מקרים רבים, בהם שילוב של AI שקיים במעבדים (גם מעבדים זולים!) יכול לעזור בהקמת פתרונות לחימה זולים ואמינים. בונוס: אפשר לקבל בחזרה את המל"ט הצהל"י ולהשתמש בו שוב ושוב.

השאלה היא – האם בצה"ל ירימו את הכפפה? בטוחני ששימוש ב-AI קיים כבר בצה"ל ובכלים שונים, השאלה אם יבינו בצה"ל שאפשר גם להשתמש ב-AI להוזיל בצורה משמעותית מאוד פתרונות שנועדו להילחם בכלים זולים כמו מלט"ים. הגיעו הזמן שמישהו בצה"ל יבין שבעלות שעה אחת של F16, אפשר לקנות 2 מכולות של מלט"ים מדגמים טובים של DJI לדוגמא (וזה לפני הנחת כמות), והגיע הזמן לפתרונות פרופורציונאליים.

כמה מילים על ביטול הדרישה מהבנקים לאחסון מידע ומערכות בארץ

בשבוע שעבר התבשרנו כי בנק ישראל החליט סוף סוף להשלים (חלקית) את הפער בין הנהלים של הבנק לבין המציאות בה בנקים מעוניינים לעבור סוף סוף לענן הציבורי, והוא אישר (תחת מגבלות שונות) אפשרות הקמת תשתית בעננים ציבוריים והעברת מידע פיננסי מישראל לענן הציבורי איתו הבנק יעבוד – גם אם המידע יאוחסן בחו"ל.

מטבע הדברים מספר אנשים כבר החלו להעלות חששות מסוימים וחלקם גם הפיץ מידע שגוי, ולכן החלטתי לכתוב את הפוסט הזה בהתבסס על היכרותי עם הגופים השונים.

נתחיל בהתחלה ובחלק החשוב שבו לבנקים לקח זמן להבין ולהכיר בכך שב"מלחמה" בין תשתיות On Prem לתשתיות ענן של ספקי ענן ציבורי רציניים (אהמ… לא ענני צעצוע) – ידם של ספקי העננים הציבוריים תהא על העליונה, גם אם נלך לפי מחירים ניתן לבנות אצל ספקי הענן הציבורי תשתית וירטואלית טובה שיכולה להתחרות ולנצח מחיר של תשתיות On Prem בכל אספקט של מחיר מול ביצועים, PPW ועוד.

כיום אפשר לאמר שכל הבנקים כבר החלו לעבוד ברצינות על קונטיינריזציה, על Scaling רוחבי ועל שימוש בתשתיות הענן הציבורי. כך לדוגמא, שרותי SAAS שבעבר לא הוכנסו ואילו עתה הם חלק אינטגרלי מתשתית הוירטואלית של הבנק בענן הציבורי. עתה הבנקים יוכלו בעצם לשכור שרותי PAAS/SAAS/IAAS מספק הענן לפי דרישות שונות וללא מגבלות ("אין כרגע שרתים נוספים, זה תקוע בחו'ל" – אמר לי יבואן גדול בארץ שניסיתי לסייע ביבוא 3 ספרות של שרתים אך לפני מספר חודשים) שקיימות פה בארץ.

מה לגבי אבטחת מידע? האם זה אומר שמחר בבוקר כל פרטי חשבון הבנק, היסטוריה פיננסית ושאר נתונים בנקאיים ישבו באיזה שהוא שרת של ספק ענן כלשהו בחו"ל? לעניות דעתי – דווקא לא.

מה שקורה, הוא שכל בנק צריך לפתח את המערכות שלו שירוצו בתשתיות בענן, וסביר להניח כקונטיינרים. ודברים אלו צריכים להיבחן בצורה נמרצת עם עומסים שונים, כולל מידע פיקטיבי, אך לפעמים גם צריך מידע אמיתי להריץ עם הבדיקות, ולכן לדעתי בנקים שונים יעבירו אולי Sample של מידע לשרתים בחו"ל, כך שבסופו של דבר מה שיהיה בשלב זה אצל ספקי הענן – זו תשתית בהקמה של הבנק, יחד עם מידע שנדגם מהמערכות האמיתיות (שסביר להניח שעבר איזה תהליך "סינתוז" לנקות ממנו פרטים קריטיים), וכך הבנק יקים לאט את התשתיות, הפלטפורמות והשרותים הנוספים שהבנק רוצה להריץ בהמשך הדרך.

מהרגע שספקי הענן הציבוריים הגדולים (אמזון, גוגל, אז'ור) יפעילו את חוות השרתים והתשתיות שהם מקימים בארץ, הבנקים יתחילו להעביר ולהקים את התשתית, כולל תשתית פרודקשן, על ה-Region הישראלי. יחד עם זאת, אין זה אומר שמחר הבנקים יעבירו את ה-Main Frame אל תשתיות הענן הציבורי (כדאי לזכור שכל הבנקים חתומים על חוזי שרות די קשוחים עם IBM שלמיטב ידיעתי – די אוסרים על העברת התשתית ל-AWS או לספקי ענן אחרים … זולת תשתיות IBM בענן, אבל גם אז – לא בטוח שהבנקים ירצו לעבור לזה), כך שבסופו של יום, תשתית ה-MF עדיין תהיה מוגנת כמו שהיא מוגנת היום בכל הבנקים, רק שמעתה הבנקים יצטרכו לעבוד קצת יותר קשה על אבטחת מידע.

תהיה נוספת שעולה במקומות שונים, היא החובה למסור מידע פיננסי לבתי משפט אמריקאיים, מכיוון שספקי הענן הציבורי הינם חברות אמריקאיות. למיטב ידיעתי, כל הבנקים קיבלו תשובות על כך ואני אזכיר רק אספקט טכני אחד: כל בנק יכול לעשות מה שהוא רוצה עם התשתית הוירטואליות שלו בענן, ואף אחד אינו מונע מהבנק להצפין כל ביט אפשרי גם מעל רמת ה-OS (כלומר – משהו יותר מאשר איזה ביט-לוקר), כך שמקרה הכי גרוע – לספק יש במקרה הטוב גישה ל-Block Device (ה-EBS) של ה-VM, לדוגמא, אך אין לו גישה לשמות משתמשים/סיסמאות או גישה למידע שמוצפן בתוך ה-VM מעבר לרמת ה-OS, כך שהוא מקבל בלוק ג'יבריש מבחינתו והוא אינו יכול להכריח את הלקוח לתת פרטי גישה. במילים אחרות: צו משפטי לא ממש יגרום למסירת נתונים שהבנק אינו חפץ למסור.

ולבסוף – עניין חסכון בכח אדם שהוזכר בכתבה. לי זה רק גורם לחייך: מעבר לענן כולל לימוד תשתיות ענן ציבוריות, לימוד Kubernetes/OpenShift ומערכות נוספות אחרות – מה שמצריך הגדלת כח האדם, ולא צמצום. במילים אחרות – סביר להניח שהבנקים לא יעברו מחר בבוקר בתשתיות ענן ל-Serverless, כך שאותם אנשי תשתיות בבנק – יצטרכו גם לתחזק את ה-VM שירוצו בענן הציבורי, בנוסף או במקום התשתיות שרצות On Prem, כך שאם החישוב שלי נכון – אין שום חסכון בכח אדם.

לסיכום: ברכותיי לבנקים שקיבלו את ההיתר ועתה יוכלו לעבור ולהקים את התשתיות בענן ציבורי. כולי תקווה שהבנקים ישכילו להקים תשתיות שהם Scalable רוחביות עם כמה ש-פחות תשתיות On Prem Legacy ישנות (תשתיות Active/Active או Active/Passive למיניהן??), ורק איחולי הצלחה לכל המשתתפים באותם פרויקטים.

ניתוח פריצה ל"אטרף" / Cyberserve

אין לי מוגש ירוק איך פרצו ל-Cyberserve, אולם מה שאני כן יודע – זה שהחברה קיבלה אזהרה ובקשה לטפל במערכות שלה ממערך הסייבר, וכמובן ש-Cyberserve ו/או מפעילי אתרים כלל לא ביצעו טיפולי אבטחה באתרים ו/או בתשתית. כתוצאה מכך – הכל דלף לרשת…

אבל כשבודקים את רוב מה שדלף, מתבררת שוב העובדה שהתוכן עצמו לא ממש שווה משהו. בלוג של "כאן", או אתר תלונות הציבור של "קווים" – כך ידע כל הכולם ואחותו שיהושיעו זרחוביץ הודיע לקווים כי האוטובוס שוב איחר! אויבי ישראל מתמוגגים מהמידע!

ואז מגיע התות בעוגת הקצפת – ה-DB של אתר הדייטים של הקהילה הלהט"בית "אטרף" – "נפרץ" והם גנבו את המידע, ובשביל להכניס אנשים ללחץ, הם שחררו דוגמית של 1000 רשומות בקובץ CSV.

מכיוון שהקבוצה הפורצת מחוברת לטלגרם (תחת הכינוי Black Shadow כמובן, לא צריך להיות גאון כדי לראות אם זו הקבוצה הנכונה, פשוט רואים כמה מנויים יש להם), והקבוצה נותנת להורדה את קבצי הדוגמית, הורדתי את הקובץ בכדי לבדוק האם כדברי העיתונות – עוד דקה כל הומו/לסבית שבארון צריכים לארוז את החתול או הכלב, לשכור עורך דין או לחפש חלון מהיכן לקפוץ ולאמר "ביי" לעולם….

אז בדקתי את הטבלה לעומק, לאורכה ולרוחבה, והגעתי למספר תובנות מעניינות שאני מעוניין לשתף עמכם:

  1. אני חושב שיש מקום למספר משתמשים בקהילה לפגוש עורכי דין ולהרים תביעה נגד אתר אטרף. לפחות לפי הטבלה, אין אפילו "המלחה" של הסיסמאות, כך שלו האתר היה עולה ברגעים אלו, היה לנו מופיע "שישו ושמחו". האתר יצטרך לכל הפחות לאפס את כל סיסמאות המשתמשים ולשלוח אימייל עם בקשת קביעת סיסמא חדשה, ואולי, אולי לדאוג לכך שהסיסמאות "יומלחו".
  2. כל מי שחושש שמיד כל עם ישראל ואחותו ידעו שהוא הומו או ההיא לסבית – יכול להירגע. הטבלה לא ממש מכילה פרטים ישירות מתעודת זהות. יש שורות של "שם כינוי", "שם חבר", ו"שם משתמש", ובהסתכלות על השמות, רבים בחרו לעצמם "שמות" שיותר מתאימים לסרטי פורנו ("אק חתיך"!, "morfios" – שמישהו ילמד את הבחור קצת אנגלית או משהו), כך שאם לא מכירים אותך, הסיכוי ש"תוצא מהארון" בכח – די קטן, אם כי יש מצב שאחרים שכן מכירים אותך – ידעו עליך, הואיל והטבלה מכילה מספרי טלפון וכתובות אימייל.
  3. פרטים קריטיים כמו מספר תעודת זהות, מספר כרטיס אשראי (כולל CVV ותוקף) אינם נמצאים בטבלה כך שאם קניתם דרך אטרף כרטיסים להופעות/אירועים – פרטיכם לא יופיעו בטבלה שפורסמה.
  4. אלו שנכנסו לפאניקה, שמא היוודע לבין/בת הזוג שהוא הומו/היא לסבית ולפיכך הקשר הולך להיות בטל מהר חיש קל ברבנות – התשובה לכך היא "לא". ברבנות עדיין יש מחשבה שכל משיכה מינית שאינה כמו של "סטרייט" ניתנת לכיבוי בשניות ספורות, ולכן הם לא יאשרו גירושים, אלא אם לבן/בת הזוג יש הוכחות על קיום מערכת יחסים מחוץ למערכת היחסים הרשמית.
  5. אני רוצה לציין כאן את מה שציינתי בבלוג זה בעבר הרחוק – אם את/ה מעוניינ/ת לצ'וטט עם מישהו/י, בין אם זה לצורך העברת זמן או לצורך חיפוש קשר כלשהו – אל תתן פרטי אמת, תרים כתובת אימייל פיקטיבית, ובקיצור – אל תעביר שום פרט אמיתי. המצב בארץ ימשיך להיות גרוע מבחינת אבטחת מידע, ואת זה אני יכול להבטיח.

לסיכום: מ-1 עד 10, הייתי נותן ציון של 4 לפריצה זו. לא רק שהם פרצו למשהו שהוא כמעט "דלת פתוחה", הם גנבו נתונים של אתרים שמופנים כלפי ציבור ללא מידע סודי. המידע של אטרף היה אמור להיות מוצפן (אם מישהו לא היה עצלן שם) ואני חושב שכדאי לתבוע את החברה על כך ועל הנזק הנפשי שהם גורמים למשתמשיהם, אבל חוץ מזה .. לא רואה עם הפריצה הזו חדשות מרעישות.

יש לך אתר? הוא מעודכן?

יצא לי בעבר לבדוק לשם סקרנות – אתרים של כל מיני ידוענים מקומיים. הבדיקה היתה די פשוטה, בדיקת גירסת וורדפרס ותוספים. אם הייתי מוצא כי גירסת הוורדפרס ו/או התוספים היו ישנים, הייתי שולח הודעה או אימייל לבעל האתר ומסביר בפשטות מה הוא צריך לעשות כדי לעדכן. אני הפסקתי עם הנוהג ברגע שאידיוט או שתיים החליטו לשסות בי עורכי דין – כי הרי עדיף להפחיד מישהו שרצה לעזור מאשר ללחוץ כמה קליקים לעדכון אתר…

יש כיום לא מעט ידוענים עם אתרים שניבנו עבורם ע"י כל מיני חברות בוני אתרים. הרבה משתמשים בוורדפרס, אחרים משתמשים במערכות CMS (כלומר: Content Management System) כמו דרופל ואחרות, בהתאם לעסק – בין אם זה קידום עצמי (וורדפרס מעולה לכך) או ביזנס (דרופל ואחרים גם טובים לכך).

הבעיה בדרך כלל היא שלא תמיד קיים הסכם בין בעל האתר לבין החברה שבנתה אותו. מה לעשות, לא כולם מוכנים לשלם סכום חודשי כלשהו לשם "תחזוקה" (אלא אם האתר מתארח על התשתית של החברה שבונה את האתרים), אך מצד שני – רוב הידוענים ועסקים שעבורם נבנו האתרים – אינם מבינים ממש ב"בפנוכו" של האתר.

עדכונים לאתרים הם דבר חשוב מאוד, גם אם התכנים באתר אינם משתנים, אינם מכילים תכנים סודיים או כל מידע פרטי או קנייני. הסיבה לכך קשורה במשאבים שעליהם האתר מאוחסן: השרת, כתובת ה-IP, דיסק, רשת, מעבד וכו'.

כדי להבין את הדברים, צריך לזכור כי יש לא מעט גורמים עבריינים שמחפשים להשתמש במשאבים האלו לצרכיהם. במקרים רבים משאבים אלו משומשים לדוגמא להקמת אתר מתחזה לבנק, פייפאל ואתרי מסחר פופולריים אחרים, כחלק ממתקפת פישינג. האתר של בעל האתר נשאר כמו שהוא, והעבריין פשוט מנצל את המקום הפנוי בדיסק וחורי אבטחה באתר – כדי להקים את האתר המתחזה. משם הדרך להפצת מיילים עם קישור לאתר המזויף שיושב על משאבי בעל האתר הרגיל – קצרה.

שימוש נוסף במשאבים אלו הוא "מקור תקיפה" – עבריין ש"השתלט" על משאבי אתר פרוץ, במקרים רבים יתקין כל מיני כלים וינסה לסרוק, לתקוף וכו' אתרים שונים כחלק מעבודה "לבד" או כחלק מרשת אתרים ומחשבים פרוצים כדי לתקוף מטרה מסויימת (DDoS וכו'). במקרים של התקפה בודדת, דווקא בעל האתר הלגטימי יכול להיות בצרות, הואיל והמשאבים שהפורץ משתמש ובכלל זה כתובת ה-IP – רשומים על שמו של בעל האתר ששוכר את המשאבים, ולך תסביר למשטרה או לגופים אחרים שלא אתה ניסית לפרוץ לאתר מאן דהוא.

לכן, חשוב לטפל בעניין זה בדחיפות, אם יש לך אתר ואינך מבין מאומה בקוד או בטכנולוגיה או בלינוקס או בתחזוקת האתר. אפשר לסגור עם חברת בוני האתרים חוזה שרות, אפשר לסגור עם אחרים שמוכרים שרות כזה, ובמקרה של וורדפרס ניתן גם לבצע את רוב העבודה באופן אוטומטי עם Jetpack (ההוראות כאן).

סקירה: סמארטקארד של רשות הדואר

אחת לזמן מה אני בודק מה מצב שוק כרטיסי ה-DEBIT בישראל ובחו"ל, ומדי פעם אני רוכש אחד ומנסה. הפעם החלטתי לבדוק את ה-"סמארטקארד" של רשות הדואר, כרטיס Debit הכולל בתוכו שלושה "ארנקים": שקל, יורו ו-ליש"ט.

תהליך הרכישה היה ארוך מעט ברשות הדואר. הפקידה vדפיסה שאלון ומספר מסמכים שעליהם הייתי צריך פשוט לחתום (אף אחד לא מבקש ממך לענות לשאלון). לאחר מכן הייתי צריך לכתוב באנגלית לפקידה את שמי, הכתובת שלי, כתובת האימייל שלי ומספר הטלפון, לשלם 45 שקל וסכום להפקדה (אי אפשר לרכוש את הכרטיס ללא הפקדה ראשונית, מינימום 100 שקילם). לאחר כל הטקסיאדה הזו אתה מקבל מעטפה ובתוכה מסמך, כרטיס Debit ומדבקה (שצריך להדביק אותה על חלק לבן בדף) הכוללת קוד סודי. עד כאן – הכל טוב.

בדיקת דף עמלות העלה כי העמלות, בהשוואה לכרטיסי Debit חיצוניים אינן גבוהות (אבל מישהו בהחלט עוד לא למד לעצב דף עם טבלה באתר הכרטיס בדואר). אפשר להטעין את הכרטיס בדואר אולם לפי העמלות, רשות הדואר מעדיפה שפשוט תבצעו העברה בנקאית, והם מוכנים להנמיך את העמלה בשתי עשיריות האחוז לשם כך. על מנת לדעת מה מספר החשבון הוירטואלי שאליו תעביר סכומים שיופקדו בכרטיס, עליך להיכנס לדף הזה, להקיש את המספר הסידורי של הכרטיס (המספר מופיע למטה משמאל בכרטיס ומתחיל ב-200), 4 ספרות, קוד שמופיע על המסך, לאשר הצהרה, ללחוץ "שלח" ואז תקבלו את מספר החשבון וסוג הארנק שאליו. שימו לב: בתחתית הפרטים אמור להופיע "מטבע ברירת המחדל". הרישום באותה שורה אינו נכון והוא לא משתנה. על מנת להפקיד לארנק מסוים בכרטיס, יש להיכנס לאתר הכרטיס ושם לבחור את הארנק שיהיה ברירת המחדל לתשלום. הכסף יופקד רק לאותו ארנק בהעברה בנקאית. אתם כמובן יכולים להמיר בין שקלים/יורו/ליש"ט – אבל יש עמלה על כך. אגב, אם רק רכשתם את הכרטיס זה עתה, היכנס ללינק לעיל ובחרו בהרשמה. אתם תצטרכו את זה.

מבחינת מגבלות, באתר הדואר יש סלט שלם. בחלק מהמקומות מופיעים סכומים ישנים וקטנים מאוד. נכון להרגע, הדף הזה מציג את המספרים הנכונים: אתה יכול להפקיד מקסימום 5000 יורו בכרטיס, 6000 שקל בהעברה בנקאית אחת, עד 45,000 יורו בשנה, עד 1000 יורו משיכת מזומנים ביום, ועד 1500 יורו ביצוע עסקות ביממה. הכרטיס שתקבלו בדרך כלל פעיל למשך 4 שנים (זה כתוב על הכרטיס), אם לא משתמשים בו במשך שנה אז יש עמלה של 12 שקלים.

אחת המגבלות שאינן מופיעות בתיעוד באתר הדואר הוא "סעיף מסעדות/תחנות דלק/בתי מלון" והנה סיפור שקרה לי הערב: הגעתי לפגישת עבודה אצל לקוח, והלקוח היה עסוק. ראיתי בחדר האוכל שיש מכונת שתיה שמקבלת כרטיסי אשראי. החלטתי להשתמש בכרטיס הסמארטקארד בקניה הראשונה כדי לרכוש בקבוק שתיה קטן. המחיר שהופיע במכונה: 6.5 שקלים. העברתי את הכרטיס, בחרתי את המשקה, קיבלתי אותו והלכתי להמתין שהלקוח יסיים התחייבויות קודמות.

מכיוון שהתקנתי את האפליקציה של הכרטיס על הסמארטפון שלי, החלטתי לבדוק אם רואים את העיסקה. אכן ראו, רק שבמקום לגבות 6.5 שקלים, גבו ממני 30.7 שקלים! איך לכל הרוחות גובים סכום כזה על בקבוק קולה זירו חצי ליטר? הרמתי טלפון לחברה (משום מה המספר הישראלי שלהם לא מופיע על הכרטיס אלא רק מספר שנראה כאילו זה בחו"ל) ואז הבנתי שהסכום נגבה ממני כ"בטחון". מדוע לכל הרוחות צריכים לגבות ממני כמעט פי 5 על "בטחון"? כי מכונות שתיה נופלות בסעיף של בתי מלון/תחנות דלק שבהם הספק גובה פי כמה וכמה, והכסף חוזר אליך לאחר מספר שבועות! מסקנה: רואה מכונת שתיה ואתה צמא? תעביר כרטיס ישראלי רגיל או שתלך לסופר לקנות שתיה!

אז למי מיועד הכרטיס הזה? כיום, חברת אמזון מתחרה בחברות האשראי הישראליות ומבקשת את העמלה הכי נמוכה שאתם רוכשים מוצרים ממנה (לא חשוב באיזה חנות של אמזון, האמריקאית או האחרות) ולכן מומלץ לשלם בשקלים וכרטיס כזה יכול להתאים. ככלל, אני ממליץ לא להשתמש בכרטיס שהבנק הנפיק לך (או כרטיס חיצוני שחברות אשראי ישראליות הנפיקו לך) מאחר וכיום יש יותר ויותר הונאות אשראי וגניבת מספרים (תראו מה קרה באירן). נכון, כרטיסים מבוטחים, אולם אם אינך עוקב בצורה קבועה, אתה עלול למצוא שבכרטיסך בוצעו מספר פעולות ולוקח זמן עד שמקבלים כספים בחזרה, ולכן עדיף לרכוש כרטיס כזה, להטעין בהעברה בנקאית סכום מסוים ועם זה להשתמש (יש גם כרטיס ויזה נטען דולרי של חברת Payoneer הישראלית. אגב, ל-Payoneer יש גם כרטיס שעובד בשקלים, אבל העמלות שהם גובים – מופרזות בטירוף לפי בדיקה שערכתי).

לסיכום: כרטיס הסמארטקארד של רשות הדואר בשיתוף חברת Mastercard הוא כרטיס די טוב שיכול לסייע בשליטה על הוצאות רכישה, יכול להפחית את הסיכון בגניבה, ועוזר בדברים כמו "חגיגה" על האובליגו שלך ואפשר להטעין את הכרטיס בקלות מכל חשבון בנק (גם אחרים יכולים להעביר אליך כסף אל הכרטיס דרך מספר חשבון הבנק הוירטואלי למיטב ידיעתי).

תכירו את IPFS

מי שקורא את הבלוגים שני עוד מהעשור הקודם, בוודאי קרא בעבר על כל המחקר מיסטיקה שלי (נקצר את המסקנות לשורה אחת: גם אם מחר העסק שלי קורס, הדבר האחרון שאפנה אליו לסיוע ויעוץ – הוא/היא מיסטיקן/ית). מדוע אני מזכיר זאת? כי במהלך אותו מחקר, כמות המכתבים, אימיילים וטלפונים עם איומים להסיר טקסטים (שלא כללו דברי נאצה או השפלה) – היתה ענקית, ולא מעט אנשים רצו שהטקסטים ימחקו (בסוף אני מחקתי, לא בגללם, אלא בגלל שאנשים לקחו את הדברים הפוך, בניגוד לכל הגיון).

בלא מעט מקרים יש צורך להוציא חומרים החוצה לציבור. זה יכול להיות על מאן דהוא שעושה דברים לא חוקיים, זה יכול להיות טקסט פוליטי שאינו נח לממשלה הנמצאת בשלטון (לא חשוב אם זה ימין או שמאל), זה יכול להיות על עוולות שחברות מסויימות מבצעות ומישהו מחליט "לאוורר" זאת בחוץ, ויש עוד 1001 סיבות.

עד היום, הגופים והאנשים שנלחמו ב"הדלפות" הללו – השתמשו בשיטות שונות כדי להעיף את התוכן: תביעות השתקה (SLAPP). קחו לדוגמא את ח"כ לשעבר חיים רמון שתבע את יו"ר תא הסטודנטיות "תל אביביות" באוניברסיטת ת"א, ויש עוד מאות מקרים כאלו. במקרים אחרים מוגשים תביעות להעיף פוסט (ברוב המקרים אותם תובעים רוצים להוריד את כל האתר) מאתרים מסויימים, וזה מגיע גם למקרים שבית המשפט מבקש מהספקים לחסום אתרים מסויימים מסיבות שונות והספקים חוסמים ברמת DNS (טוב נו, אף אחד לא שמע על 8.8.8.8 או על 1.1.1.1 כדי לעקוף זאת..). לא חשוב כמה התוכן הזה חשוב בחלק מהמקרים ברמת ידוע הציבור, תמיד יכולים להגיע בסופו של דבר לספק שמארח את האתר (אם זה בישראל לדוגמא) ואז תוך דקות ספורות האתר יורד. הספק לא מחפש צרות, והוא יעדיף להפסיד לקוח מאשר לריב עם בית המשפט.

עכשיו יש פתרון חדש שיתן כאב ראש לאלו שרוצים לתבוע ויקשה מאוד על הסרת תכנים.

לפתרון קוראים IPFS, והפתרון הזה שואב השראה הן מ-BitCoin והן מה-Bittorrent. אפשר לקרוא את הפרטים הטכניים ואיך להשתמש בזה כאן.

מבלי להיכנס יותר מדי לפרטים הטכניים, השיטה ב-IPFS היא בעצם שיטה שונה מכתיבת והעלאת תכנים לאתר רגיל. באתר רגיל אם לדוגמא הוא מבוסס WordPress כמו אתר זה לדוגמא, אני נכנס לעורך, כותב או מעלה את הטקסט, ומפרסם. מי שרוצה להגיע לטקסט, יצטרך או את שם הדומיין של האתר שלי או URL מלא כדי להגיע לפוסט הספציפי. מי שירצה להעיף את הפוסט או האתר, יצטרך לגלות למי שייך האתר ומשם הוא יחפש לנקוט בצעדים משפטיים על מנת להוריד את התוכן.

עם IPFS, הדברים שונים. אם לדוגמא מאן דהוא רוצה להעלות קובץ WORD או קובץ PDF או קובץ HTML (לא ניתן להשתמש ב-PHP או שפות אחרות ולא ניתן להעלות קבצים או תוכן דינמי) או תמונות. מהרגע שמשתמשים ב-Client להעלות תכנים, התוכנה יוצרת שורת טקסט שנקראת hash. ה-hash הזה מייצג בעצם היכן נמצא התוכן. ב-IPFS כל התוכן מבוזר בשיטת Peer to peer (כמו ביטורנט), כך שהורדה של מכונה שמאחסנת את התוכן לא תעזור מכיוון שהחומר נמצא במכונות אחרים שמארחים תוכן IPFS. הגולשים המעוניינים לגשת לתוכן, יכולים להשתמש באחד משרתי ה-Gateway כדי לקבל את התוכן. לדוגמא: אם נכנסים לכתובת https://ipfs.io/ipfs, יש להזין בסוף את ה-hash שקיבלנו (לדוגמא: https://ipfs.io/ipfs/Qmaisz6NMhDB51cCvNWa1GMS7LU1pAxdF4Ld6Ft9kZEP2a ) ואז נקבל את התוכן. אם מישהו ינסה דרך בית המשפט לחסום לדוגמא את הכתובת ipfs.io, אז לצערו של התובע יש עשרות Gateways ורק לאחרונה גם Cloudflare החליטה להיכנס לתחום ה-IPFS והם מציעים Gateway משלהם, כך שלהסיר תכנים זה כמעט בלתי אפשרי. כמובן ש-IPFS זה סיוט ענק ליצרני תכנים מסחריים (סרטים, סדרות, תוכנות מסחריות) אבל סביר להניח שהם ינסו לנקוט בשיטת ה"תבע את המוריד תכנים".

לסיכום: IPFS נותן דרך חדשה ונוספת לפרסם תכנים שלא כולם רוצים שיהיו מפורסמים ואלו שלא מעוניינים שהתכנים יפורסמו יצטרכו למצוא לעצמם דרכים להסרת התכנים. אם יש משהו שלמדנו מביטורנט – זה שפשוט אי אפשר להסיר תכנים. אפשר כמובן להעיף אתרים רגילים שמארחים קבצי BitTorrent, אבל למי שיש קישור Magnet, הוא לא צריך את קובץ ה-BitTorrent והוא יכול להוריד את התוכן. עכשיו ש-Cloudflare עם עשרות אלפי השרתים שיש להם נכנסו לקלחת, הסרת תוכן IPFS נהפכת לדבר כמעט בלתי אפשרי.

רוצים דוגמא? הנה תמונה שהעליתי ל-IPFS. לחצו על הלינק כאן.

תקלות בפלאפון ומה כולם יכולים ללמוד מכך

מישהו אתמול פתח בפורום IT בפייסבוק הודעה על התקלה הידועה בפלאפון והגבתי אליה. היו לא מעט אנשים שלא אהבו את התגובות שלי, חלקם האשימו אותי בשחצנות (מה הקשר לשחצנות? לא קרו לי תקלות כאלו? קרו), אי ידיעת המערכות של פלאפון ועוד כמה דברים, ובפוסט זה אני מעוניין ליישר את ההדורים.

אז קודם כל – אכן, אני לא מכיר אחד לאחד את המערכות הנוכחיות של פלאפון. בעבר, כשכל חברה סלולרית (פלאפון, סלקום, פרטנר, פלטל) הקימה את התשתית הראשונית, הציודים היו פחות או יותר אותו דבר (מחברות כמו נוקיה או אריקסון. כן – החברות הנ"ל מייצרות ציודים מאוד רציניים לתקשורת סלולרית, ללא קשר לפעילות עבר לייצור מכשירים סלולרים – אלו חברות שונות), תוכנות ה-SMS וה-Billing היו זהות (של אמדוקס) והיו כמובן מערכות אחרות יחודיות לכל חברה. פה ושם הייתי מתעדכן יותר על דברים משיחות עם כל מיני אנשים שעבדו שם, שיחות עם מנהלים בכל מיני כנסים וכו'. אני רוצה להדגיש: יש לי המון הערכה מבחינה טכנולוגית לחברות הסלולר בארץ ולאנשים העובדים שם, ולא הייתי לי שום כוונה לזלזל בהם (מצד שני, על החלק של ה-ISP של אותם ספקים .. יש לי לא מעט ביקורת אך לא לאנשים הטכניים, יותר לכיוון ההנהלה, במיוחד בכל מה שקשור לרוחבי פס).

פלאפון עדיין לא חשפה מה התקלה או התקלות שיש, והנקודה שלי היא: לא משנה מה התקלה. תקלות כאלו ורבות אחרות יכולות לקרות בכל חברה, גם כשלא מדובר בשום חברת תקשורת, לא חשוב מה גודל החברה, החל מסטארט-אפ ועד חברות ענק Multi National.

בכל חברה שיש שרתים, בין אם בענן או מקומית, יהיה צורך אחת לזמן מה לבצע שדרוג. זה יכול להיות שדרוג למערכת הפעלה, ל-VM, יכול להיות שדרוג לאפליקציה, ל-Appliance, למתג או לכל ציוד אחר. אין מה לעשות – באגים מתוקנים, פונקציונאליות נוספת, יש צורך בהרחבה, לא חסר סיבות וצרכים לשדרג.

וכאן מגיעה הבעיה שנמצאת אצל חברות רבות (שוב, לא מדבר ספציפית על פלאפון או על כל חברה אחרת): אין תכנון מספק ל-Roll Back. אני בערך 26 שנה בתחום, והיו לי מאות מקרים שבהם שדרוגים שברו מערכות פרודקשן, גם כשב-LAB הכל עבד פרפקט. מה לעשות, דברים כאלו מתרחשים גם כשעושים את כל המאמצים למנוע את התקלות.

בעבר הרחוק, אמצעי העזר שעמדו לרשותך היו קבצי TAR (בלינוקס, יוניקס) שהכנת לפני השדרוג (אם כמובן גיבית את הכל והתוכנה לא זורקת איזה קובץ so באיזה חור נידח והוא לא כלול בקובץ TAR) או גיבוי לקלטת. עם מערכות Solaris היה אפשר להשתמש ב-Veritas Volume Manager כדי ליצור Snapshot, בלינוקס בזמנו היה LVM אבל לא היה Snapshot וב-Windows (לפני שנות ה-2000) המצב לא היה טוב יותר.

עכשיו ב-2018 דברים השתנו. הרוב רץ על VM כיום אז אין בעיה ליצור Snapshot לכל המכונות המושפעות משדרוג ואם יש תקלה, אפשר לחזור אחורה. כל DB מאפשר לעשות dump שבמקרה הצורך ניתן לשחזרו, ובכל מערכת DR ניתן לעשות את הסינכרון הדו כיווני המתמשך כשעושים עבודת שדרוג.

כיום, גם מבחינת מערכות ההפעלה השדרוגים יותר נוחים. בתחום הלינוקס, כל מערכת ניהול חבילות מאפשרת שדרוג ושנמוך בקלות, וב-Windows אתה יכול לעשות Blacklist ל-KB מסויימים שה-QA של מיקרוסופט, כרגיל, עשה עבודה גרועה בבדיקת תאימות ושחררו זאת בכל זאת.

לכן, שדרוגים לא צריכים רק להיבדק רק על המכונה (או על רפליקציה של המכונה ב-LAB) אלא גם על המכונות שמושפעות מכך, ויש צורך לעשות גיבוי או snapshot לכל דבר שמושפע, כך שאם רכיב מסויים דופק דברים, צריך לעשות rollback לא רק לרכיב, אלא גם למכונות שהושפעו מכך (אם הושפעו). Snapshot, אני מעוניין להזכיר, שומר רק את ה-Delta (שינויים) בין המצב של המערכת לפני ה-Snapshot ולמצב הנוכחי, כך שלא מדובר במקום רב בדיסק, כך שאין צורך לחשוש לגבי מקום בדיסק בגלל Snapshot (כמובן שמומלץ כמה ימים אחרי השדרוג לבטל את ה-Snapshot ואם צריך לשחזר – להשתמש בגיבוי).

לסיכום: לא באתי לאמר שאנשי ה-IT בפלאפון אינם מבינים במה שהם עושים. בטוחני שהם בהחלט מבינים, אבל תקלות כאלו במערכות שונות יכולות לקרות בכל מקום, בכל עסק, בכל חברה. החוכמה היא לדאוג ל-rollback מלא להכל לפני שמריצים את פקודת השדרוג.

על המו"מ מול מיקרוסופט, וקוד פתוח בממשלה

בימים האחרונים נודע כי המשא ומתן בין ממשלת ישראל למיקרוסופט בעניין חידוש שנתי של הרשיונות – התפוצץ. בדה-מרקר כבר הוציאו כתבה שממשלת ישראל לא תחדש את את הרישוי ובמקום זה יבדקו מה ניתן לעשות עם רשיונות קיימים והיכן ניתן להשתמש בקוד פתוח.

אז מה קרה הפעם שהממשלה, שכמו שעון שוויצרי רוכשת את הרשיונות כל שנה החליטה לפוצץ את המו"מ הפעם? כמה דברים:

  • Windows Server 2016/2019 – מיקרוסופט מודעים היטב לכך שאינטל ו-AMD מוציאים שורת מעבדים שבכל דגם יש כמות מסויימת של ליבות ונימים (Threads). זה מתחיל ב-4 ליבות ו-8 נימים וגנמר (במקרה של אינטל) ב-28 ליבות ו-56 נימים או 32 ליבות ו-64 נימים (במקרה של AMD). עד גירסת Windows Server 2012R2, זה שיש לך מעבד עם 4 ליבות או 32 ליבות – לא ממש שינה ברשיון. הנה החלק הרלוונטי ב-License Datasheet של Windows Server 2012 – שימו לב לשורה האחרונה המתחילה ב-Note בסוגריים:

עם Windows Server 2016 – למיקרוסופט "נפתח התאבון". זה נחמד שבכל שרת שלך יש 2 ליבות, עכשיו בוא נספור כמה ליבות (לא נימים) יש לך בכל מעבד, כך שאם לדוגמא חושבים להתקין שרת Windows Server 2016 (להריץ אפליקציות "על הברזל", Hyper-V וכו') – אתה תשלם החל מפי-4 על Windows Server 2016 בהשוואה ל-Windows Server 2012R2 (פתאום כל אלו שהשוויצו כמה Hyper-V "יותר זול" רואים שעכשיו פתאום העיסקה על vSphere יותר זולה בהשוואה למחיר Windows Server 2016 ו-Hyper-V).

  • הבעיה המהותית השניה קשורה יותר ל-Office. מיקרוסופט עושה הכל כדי לדחוף את הלקוחות משתמשי אופיס שלה לענן כך שהם ישלמו תשלום חודשי או שנתי כמנוי. הסיכוי שהחשכ"ל והרגולטור וגופי אבטחת מידע יאשרו לעבוד בענן שווה בערך לסיכוי שלי להיות ראש ממשלת ישראל בקדנציה הקרובה. מיקרוסופט מצידה מעלה כבר באוקטובר הקרוב את מחירי אופיס (הרגילים, לא 365) ב-10% (וזה בארה"ב, באירופה וישראל המחיר יעלה יותר). כשקונים 20 רשיונות זה כואב טיפה, שאתה מדבר על מאות אלפי רשיונות – העצבים מתחילים לרתוח.

אז מה לגבי תחליפים מבוססי קוד פתוח?

כאחד שביקר בכמה וכמה גופים ממשלתיים, אני יכול לאמר שכיום יותר מתמיד, אין כמעט התנגדות לכלים מבוססי קוד פתוח. לא מעט שרתי לינוקס כבר רצים במשרדים ממשלתיים ותוכנות לביצוע CI/CD קיימים (אם כי הדבר שהכי קשה להכניס שם הם שרתים ל-GIT כמו Gitlab, Bitbucket וכו' – הם "מכורים" ל-TFS ולא רוצים לרדת מזה) – כך שכניסת כלים מבוססים קוד פתוח למשרדים ממשלתיים – בעיצומה (בצבא זה הרבה יותר חזק בפנים).

אבל כשזה מגיע לדסקטופ, האפשרות שכלים מבוססי קוד פתוח יכנסו למשרד של הפקידה רבקה ממס הכנסה או רויטל במשרד הבריאות – קלוש (טוב, למעט Web Application, וגם זה – רק אם זה רץ על אקספלורר!).

מדוע? הסיבה נורא פשוטה ונראה לי שרבים מאנשי לינוקס המקצועיים (גם אצל מפתחים בהפצות לינוקס שונות) מפספסים אותה: אלו שחושבים בראש של מהנדסים ומפתחים, חושבים על פונקציונאליות, API, סקריפטים וטרמינל, שזה מעולה – אבל מפספס לגמרי את אותם משתמשי קצה. קחו לדוגמא את אופיס, יש את LibreOffice – זה יכול להחליף? מבחינת פונקציונאליות, כן ברוב המקרים, אבל לא מבחינת ויזואליות. ל-LibreOffice יש ממשק שמזכיר את אופיס מלפני 11 שנה ואנשים רוצים ממשק שהם מכירים כיום, הם רוצים החלקת פונטים בדיוק כמו שיש להם ב-Windows (דבר ש-LibreOffice עדיין עושה בצורה די עקומה) ואלו שמעל אותן פקידות, אלו שמפתחים כל מיני כלים סביב ה-Office מחפשים את האינטגרציה בין האופיס ל-Access (ישמרנו האל!), למאקרו, לטפסים האוטומטיים וכו'. אנחנו מדברים על שנים על גבי שנים של עבודת אינטגרציה, ושום LibreOffice לא יכול להחליף את זה בלי חתיכת עבודה רצינית וכבדה מאוד.

נוסיף על כך את העניין שבמשרדים ממשלתיים הכל מתקדם לאט והם עדיין משתמשים ב-Windows 7, עם אקספלורר (כמו הבנקים), ונוכל להבין שפתרון קוד פתוח לדסקטופים לא הולך לקרות בקרוב מהסיבה הפשוטה שלמשרד האוצר יהיה הרבה יותר זול "לבלוע" את התוספת במחיר לרשיונות אופיס מאשר לממן פרויקט מבוסס LibreOffice או החלפת דפדפן ושכתוב מאסיבי של קוד עתיק או בכלל לינוקס על דסקטופ.

כך שלסיכום: לינוקס בשרתים? מקובל מאוד ברוב המקרים. לינוקס לצרכי דסקטופ? אין מצב. צר לי, זו המציאות.

על מצלמות אבטחה ופרצות

בשנים האחרונות יש טרנד מאוד אופנתי שנקרא "הבית החכם". מדובר בשוק פוטנציאלי ענק שכל חברה מנסה לתפוס בו איזו תפיסת רגל. המכשירים הכי ידועים שנמצאים כבר בבתים רבים הם ה"עוזרים הדיגיטליים", כמו Alexa של אמזון עם Google Home של גוגל שמאפשרים לך לא רק לשאול שאלות ולקבל תשובות, אלא גם לשלוט בציודים בבית. רוצים להדליק אור איך שאתם נכנסים הביתה? פקודה אחת והאורות דלוקים ואפשר לעשות דברים שונים.

אספקט אחר שתופס יותר ויותר מקום הם ה"עזרים הדיגיטליים" ששם נמצאים כל שאר הציודים לבית, החל מתוארה, מתגים חכמים שיכולים לשלוט על ציוד "טיפש", מזגנים ושאר ציודים שכוללים חיבור ל-WIFI והשימוש נעשה דרך אפליקציה יעודית בטלפון שלך ועד מערכות אזעקה מתוחכמות שמאפשרות לך לנטר מה קורה בבית ולבצע פעולות שונות.

ב-3 שנים האחרונות נכנסות גם המצלמות האבטחה החכמות הביתה. המצלמה לא דורשת מחשב אלא רק חיבור ל-WIFI, אפשר להגדיר אזורים "חמים" שאם בהם תהיה פעולה (כמו מישהו שנכנס הביתה והמצלמה מצלמת את אזור הכניסה לבית) – תקבל התראה, הוידאו עולה לענן ולא נשמר למחשב או ל-NAS בבית כך שגם אם פורץ חודר הביתה ומנסה להזיק למצלמה – רוב הסיכויים שעד שהוא יזיק – תמונתו עולה לענן וגם אם הוא ישבור את המצלמה לרסיסים – תמונתו תהיה קלה לשחזור.

יש כל מיני חברות שמייצרות מצלמות וחיישנים לצרכי אבטחה ביתית. אחת הדוגמאות שמפורסמת בחו"ל (אבל משום מה קשה למצוא אותה בארץ) הן המערכות של RING (אמזון רכשה אותם לפני זמן לא רב). אתה מקבל התראה אם מישהו נכנס לאזור המוגדר, אתה יכול לדבר דו-כיווני מהטלפון שלך לפורצים ואתה יכול גם להפעיל אזעקה.

אבל מי שנכנס לשוק ב-3 שנים האחרונות בצורה מאסיבית הן מצלמות האבטחה הסיניות. מבחינת חומרה במקרים רבים היא נותנת תוצאת וידאו בינונית פלוס. גם שיאומי נכנסה לשוק עם מצלמות כמו זו בתמונה משמאל (יש גם דגם מכני שהמצלמה מסתובבת) עם וידאו/תמונות באיכות מעולה, ממשק די קל לשימוש, ושמירה בענן של הוידאו והתמונות לשבוע בענן של שיאומי בחינם.

הבעיה המרכזית בכל אותן מצלמות סיניות זה שאולי החומרה הטובה ובחלק מהמקרים הממשק טוב, אבל מבחינת אבטחה – מדובר באסון. מי שיציץ לדוגמא בסקירות באמזון יוכל לקרוא סיפורים על איך אנשים גילו שיש להם צופים בלתי מוזמנים שמציצים להם הביתה ועדיין – רבים מתפתים ויתפתו למחיר (בכל זאת, סט של 4 מצלמות כמו המצלמה בתמונה כאן של שיאומי עולה 100$+מסים באמזון).

אז מה ניתן לעשות בנידון?

מי שקורא את הבלוגים שלי יודע שאני האחרון שימליץ לדוגמא לזרוק את הטלפון הסלולרי מקומה עשירית לאחר 2-3 שנות שימוש. בעזרת חבר שמבין טוב במחשבים ניתן (בטלפונים מבוססי אנדרואיד) להחליף מערכת הפעלה וכך לקבל את רוב הפונקציות החדשות במכשיר הישן שלכם ולהמשיך להשתמש בו עוד שנתיים שלוש ויותר בלי בעיה. אותו דבר ניתן לעשות עם המצלמות הללו (אגב, התמונה שמשודרת לענן של שיאומי מוצפנת, היא מוצפנת במכשיר ואז נשלחת).

במהלך הפוסטים הבאים אני אנסה מספר מצלמות ושינויי קושחה (לשמחתי כל המצלמות "החכמות" הנמכרות היום מבוססות לינוקס) ואפרסם זאת כאן על מנת שתוכלו לשפר את השימוש במכשיר ותוכלו להפעיל פונקציות נוספות. אחת המצלמות הראשונות שאני הולך לנסות עליה דברים תהיה כנראה אחת מהמצלמות של שיאומי.

על בנקים ישראליים, אבטחה וקידמה

כאן בישראל, כשזה מגיע למצב שרותי הבנקאות שלנו, אנחנו נמצאים במקום לא רע בהשוואה לשאר העולם (מבחינה מחשובית. מבחינה פקידותית – כבר יצא לי לשמוע רק לפני מספר שבועות בבנק כלשהו שהלכתי לישיבה שם – צעקות של פקידה אחת שצועקת ללקוחה אחת "תקווה, את חורגת ב-2000 שקל ובדיוק הגיע צ'ק שצריך להוריד לך 1000 שקל לבית ספר, אני מחזירה לך אותו!" – על פרטיות היא כנראה לא שמעה). פה בישראל אנחנו לא בקידמת הבמה. בחו"ל אתה יכול כבר ממזמן לשלם בסופר ובמקומות אחרים עם הטלפון והשעון החכם שלך, בישראל זה קיים בקושי. הפקדת צ'קים ע"י צילומם נכנסה לישראל רק לאחרונה בשעה שבחו"ל זה קיים כבר שנתיים ורק עכשיו בנקים שונים מתחילים להציע העברות כספים בין אנשים (לדוגמא, BitPay של בנק הפועלים ובנקים אחרים כבר עובדים על פתרונות מתחרים), הוצאת כספים מכספומט ללא צורך בכרטיס המגנטי ועוד ועוד.

כל מי שעובד בבנק או בחברה שעובדת עבור בנק יוכל לאמר לכם שבנקים הם דבר סופר-שמרן. כשבסטארטאפים מדברים ומשתמשים כיום ב-ServerLess Computing, בבנקים מסוימים תצטרכו להסביר (אם תדברו על כך) על מה אתם מדברים. יחד עם זאת, אציין כי יש בנק או שתיים שמתחילים "לשחק" עם טכנולוגיות כמו BlockChain ואחרים – שזה דבר מבורך.

בעבר היו לא מעט באבטחת המידע בענף הבנקאי אנשים שדי זלזלו בכל ענייני פריצה לבנק על מנת לגנוב כספים או לבצע פעולות שונות. אחרי הכל, לכל בנק יש מחלקת סייבר (או שהם משלמים לחברה חיצונית שתעשה זאת) ואם מישהו ינסה לעשות את הדברים מביתו, לבנק יהיו דרכים לזהות אותו (כך היתה המחשבה של לא מעט אנשים ששוחחתי איתם בעבר בנושא). כיום לשמחתי המצב שונה ובנקים מודעים לכך שבמדינות שונות (ויאטנם, הודו ומדינות אחרות) כבר נעשו פריצות ונגנבו מיליוני דולרים.

אבל עדיין – מחלקת סייבר בסופו של דבר היא מחלקה שעוזרת לך לשמור על הקיים. מחלקת הסייבר יכולה להמליץ לבנק או לחברת אשראי להתקין פתרון X כדי לבצע מיטיגציה לבעיה Y, וכך פתרון X שומר על המצב הקיים. הוא לא מקדם את הבנק מבחינה טכנולוגית לחשוב על מתודולוגיות אחרות וכלים אחרים על מנת לשפר יעילות. זה לא התפקיד של המחלקה הזו. אם מחר קובי ינסה לפרוץ לבנק ויצליח לעשות פעולות מסויימות, מחלקת הסייבר (יחד עם מחלקת אבטחת מידע) אחראית על למצוא את קובי ובשיתוף המשטרה – לעצור אותו על כך ולתקן נקודתית את הפירצה. זה התפקיד שלהם.

ועדיין – הבעיה המרכזית של בנקים מסויימים במדינה היא ה-Over שמרנות שיכולה במקרים רבים לחשוף את הבנק לכשלי אבטחה שנעוצים במדיניות עצמה. אני לא אציין שמות, אבל אתן דוגמא פשוטה: בנק גדול מאוד בישראל באתר שלו, לאחר כניסה למערכת, המשתמש מועבר דרך מערכת אחרת שרשמית כבר מתה שנתיים! או דוגמא נוספת שקשורה לכל הבנקים וחברות האשראי: כולם משתמשים ב-SMS כדי לבצע אותנטיקציה, אבל כמה מהבנקים מודעים לכך שמערכת Signal System Number 7 (או בקיצור: SS7) קיימת בה פירצה כבר מעל שנה והרבה חברות תקשורת עדיין לא ביצעו עדכונים לסתימת הפריצה? לא מדובר בפירצה זניחה, מדובר בפירצה שדרכה אפשר להאזין לשיחות טלפון, להאזין להודעות SMS ואף למצוא מיקום של משתמש, ובכל זאת – חברות טלקום רבות עדיין לא עדכנו את המערכות שלהם, והתוצאה: גנבים שהשתמשו בחור ב-SS7 כדי לעקוף Multi Factor Authentication של בנקים כדי לרוקן חשבונות בנק, ועדיין – הבנקים וחברות האשראי משתמשות בשיטה זו. יש תחליף לשיטה זו (שהוא בדרך גם יותר זול מ-SMS: פשוט משתמשים ב-Push Notification שאפל, גוגל וחברות אחרות מציעות שגם מועבר למשתמש בצורה מוצפנת).

שמרנות היא דבר טוב, כשלא צריך "להיסחף" לכל מיני טרנדים, אבל לפעמים חייבים להבין שטכנולוגיה במחשבים היא דבר שמתקדם. לא צריך לאמץ כל טכנולוגיה, אבל כדאי לפעמים לאמץ טכנולוגיות ומתודלוגיות חדשות שיכולות לעזור בתחזוקה ובפיתוח בבנק או בחברות האשראי. קחו לדוגמא עניין די מעצבן: אתה מגיע הביתה בלילה אחרי העבודה ואחרי שהרדמת את הילדים – לטפל בעניינים פיננסיים, אתה נכנס לאתר הבנק, רוצה לבצע Login ו… מופיעה לך הודעה ש"האתר בתחזוקה". חברות רבות בעבר היו עושות זאת (זוכרים את אפל שכל פעם שהיתה הכרזת מוצר, החנות האלקטרונית היתה מושבתת לתחזוקה ועדכון?) אבל כיום יש שיטות יותר טובות: לא צריך להשבית את כל האתר, אפשר לעבוד במתודולוגיית Blue Green Deployment ובשיטה זו קודם כל מצמצמים את ה-Downtime, מצמצמים מאוד סיכונים (אפשר לזוז קדימה ואחורה בהטמעה, בהתאם לדיווחים וללוגים) ובכך אפשר לשפר דברים בצורה הרבה יותר טובה ללא צורך בשינויים מאסיביים בתוכנית העבודה. לפחות ממה שאני שומע בנקים יותר ויותר מאמצים כיום את מתדולוגיות CI/CD שזה מעולה, אבל אני ממליץ לקחת את הדברים טיפה קדימה – ולהתחיל להשתתמש יותר ויותר בקונטיינרים. הרווח? הקמה מהירה יותר של סביבות פיתוח וטסטים, ובנוסף יש בונוס מעניין: לא צריך לחכות מספר חודשים להכניס עדכוני אבטחה (קריטיים ולא קריטיים) כשמשתמשים בקונטיינרים.

לסיכום: כפרילאנסר שנמצא בשוק הטכנולוגי מעל 20 שנה (זה לא קידום עצמי, בנקים לא ממש מתייחסים לפרילאנסרים, הם מתייחסים לחברות בלבד), ראיתי טכנולוגיות שונות שמאוד הלהיבו אבל הגיעו עם שק של בעיות. בשנים האחרונות דברים השתנו וישנם יותר ויותר פתרונות שגם מוסדות שמרניים יכולים להשתמש בהם (ובחלק לא קטן מהמקרים ללא תשלום גבוה על התוכנה) ובכך הם יכולים לא רק להתקדם טכנולוגית, אלא גם להתמודד עם סיכוני אבטחה שקיימים במערכות ותיקות/ישנות. פיתוח שרותים חדשים הוא דבר מעולה, אבל אפשר גם לפתח את ה-Backend ולחסוך זמן יקר, משאבים, וסיכונים שהיו קיימים בעבר וכיום ניתנים לפתרון מהיר ולעיתים מיידי ללא סיכון המערכת.

בהזדמנות זו אני שמח להודיע שפתחתי בפייסבוק קבוצה שמיועדת לפרסום לינקים לפרצות אבטחה מידע עם טלאי תיקון החורים. אתם מוזמנים בשמחה להצטרף.