טיפים לאבטחת אתרים (חלק 2 מתוך 2)

בחלק זה (החלק השני) אני אדבר יותר על שרתים. חלק זה מיועד לאנשי סיסטם שמכירים מעט ענייני אבטחה וגם לאלו שמכירים טוב סיסטם אך אינם בקיאים בכל עניין אבטחה. שימו לב: מדובר על אבטחת שרתים שנמצאים מחוץ למשרדי החברה (Hosting, Co-Location, VPS וכו'). אלו המעוניינים במידע בסיסי עבור אבטחה כלקוח שיש לו שרת באחסון משותף, כדאי להסתכל בחלק הראשון, כאן.

כאשר חברות שוכרות שרתים אצל ספק אחסון, בארץ או בחו"ל, בין אם זה שרת וירטואלי או שרת אמיתי, או שחברת אחסון מאחסנת שרתים פרטיים שלכם, עניין האבטחה צריך לעמוד בראש סדר העדיפויות על מנת שיקרה כמה שפחות נזק ועל מנת שהשרתים ישארו מוגנים ופעילים ונותנים את השרות.

אתחיל מנקודה מעניינת שרבים מאנשי הסיסטם בחברות טועים בה: ההסתמכות על חומת האש של ספק האחסון. מדוע טועים? מכיוון שאין לכם כלקוחות שום שליטה או בקרה על חומת האש של ספק האחסון ותצטרכו לקחת את מילתו בנושא. אם חומת האש תיפול בין אם בצורה יזומה (תחזוקה לדוגמא) או בצורה מפתיעה (פריצה), במקרים רבים אתם לא תדעו על כך מהסיבה הפשוטה שספקי אחסון לא ששים לספר על כך ונדיר מאוד שחברות מוציאות הודעה מסודרת על כך. למען האמת, ב-20 שנה שאני נותן שרותי סיסטם, עוד לא יצא לי אפילו פעם אחת לקבל הודעה מספק אחסון שחומת האש שלו תהיה למטה או שחומת האש למטה מכל סיבה כלשהי. לכן, כששוכרים שרת או ששמים שרת אצל חברת אחסון, חובה להתקין חומת אש משלך, בין אם זה שרת וירטואלי או שרת פיזי. אם יש מס' שרתים אצל ספק האחסון, כדאי לדאוג לחומת אש אחת (לפחות) שתגן על השרתים. איזו חומת אש? פה כבר נכנסים שיקולים של עלות (האם לרכוש חומת אש כמו של צ'ק פוינט לדוגמא), שימוש במוצר מבוסס קוד פתוח (האם לבנות חומש אש על iptables של לינוקס, או להשתמש ב-pfsense מבוסס FreeBSD והאפשרויות רבות) וכו'. כל אחד ושיקוליו, אך חשוב לבנות חומת אש עם מינימום הכרחי של חוקים ולסגור את השאר. למהדרין כדאי להוסיף logging לחומת האש (לוג של תעבורה) ושהלוג ישלח יומית לאיש הסיסטם/אבטחה בחברה.

גישה לשרתים:

אם אלו שרתי לינוקס, מומלץ לשנות את פורט ה-SSH מ-22 לכל דבר אחר, ולא לאפשר כניסה ישירה של משתמש root מרחוק. כדאי להשתמש בתוכנת nmap על מנת לסרוק מקומית את השרת החדש ולבדוק ששרותים לא הכרחיים לא רצים. רבים לדוגמא לא מודעים שהתקנת ברירת מחדל של CentOS או RedHat מתקינה שרות X גרפי, שרות מדפסות CUPS, בלוטות' ושאר מרעין בישין שאותם מומלץ לבטל (ב-CentOS/RedHat לדוגמא, עצירת השרות מתבצעת עם פקודת service וביטול השרות מתבצע עם chkconfig) גם את המצב הגרפי מומלץ לבטל (אפשר לתקן זאת בקובץ etc/inittab/ בשורת ה-id לעבור מ-5 ל-3). יש לוודא כי אך ורק השרותים שאנו זקוקים להם רצים, וכך נחסוך בזבוז משאבים מיותר וסכנות אבטחה פוטנציאליות.

אם מדובר בשרת Windows וצריך שליטה על השרת ברמת RDP, כדאי להשתמש בהצפנה. המאמר כאן מ-Technet של מיקרוסופט מסביר כיצד לבצע זאת. אני הייתי ממליץ לשנות את הפורט של RDP מ-3389 לפורט אחר ואפשר לראות איך עושים זאת כאן.

נקודה שאולי כדאי לחשוב עליה היא VPN. ה-VPN בעצם מוסיף "שכבת הגנה" שחוסמת גישה לשרתים ויוצרת רשת פרטית וירטואלית. פעם זה היה דבר מאוד יקר, כיום יש פתרונות מבוססי קוד פתוח כמו OpenVPN שיחסית די קל להגדרה (ויש גם Client ל-Windows). שימוש ב-VPN לא רק שנותן אבטחה, אלא נותן את האפשרות לשלב את השרת ולעבוד עליו כאילו השרת נמצא ליידנו (מבחינת אינטגרציה).

הרשאות:

אחת מנקודות התורפה שפורצים רבים משתמשים בהם זו נקודת ההרשאות וסיסמאות. לעיתים עושים דברים מבלי לתכנן מקודם ואז יוצרים בשרתים משתמשים חדשים עם הרשאות יותר ממה שצריך, או שקובעים הרשאות ל-DB הרבה יותר ממה שצריך או שהסיסמאות קלות (יחסית) לפריצה: סיסמאות קצרות וצפויות ([email protected]#$, qwerasdfzxcv, 1q2w3e4r, ושאר סיסמאות צפויות). סיסמאות צריכות להיות מורכבות לפחות מ-8 אותיות ומספרים ועדיף גם סימנים. אפשר לכתוב סקריפט שיצור סיסמאות או שאפשר להשתמש בשרות הזה לדוגמא, על מנת לקבוע סיסמאות. במקרים כמו SSH מומלץ לחשוב לעבור משימוש בסיסמאות לשימוש במפתחות ולמהדרין אפשר להשתמש גם עם כרטיסים חכמים. חשוב גם להשתמש בסיסמאות מסובכות בכל הקשור ל-SQL, FTP וכו' ולצערי ראיתי מקרים שפרצו לאנשים בגלל סיסמאות צפויות.

מעקב:

הנה נקודה שהרבה אנשים שחדשים בתחום הסיסטם לא מבצעים: מעקב אחר השרתים. עם לינוקס החיים יותר קליים, יש דבר כמו logwatch המדווח לך מדי יום מה קרה ב-24 שעות בשרתים שלך. מעקב יותר רציני אפשר לעשות עם כלים כמו TripWire ואחרים המאפשרים ניטור לראות אם המערכת שונתה ומי שינה מה (מבחינת כתובת IP וכו'). סוג כלים נוסף שחשוב להכיר ולהשתמש בו הוא סוג ה-IDS (ר"ת: Intrusion Detection System), ובו אפשר למצוא כלים כמו Snort, Saint וכו'. אלו כלים המאפשרים לך לסרוק את השרתים שלך מבחינת פריצות ידועות ולראות האם השרתים שלך ניתנים לפריצה ומה כדאי לשנות/להקשיח. חשוב לזכור: מעקב רציף, "נסיונות פריצה" יזומים ע"י בעל השרת הם חלק מאוד חשוב שמאפשר להגן ביתר יעילות על השרת שלך ועל התוכן שברשותך ובכך לחסוך נזק ואובדן פרודקטיביות.

קוד:

לא חשוב כמה חומות אש יש, כמה הסיסמאות מעולות, וכמה מנטרים את השרתים, עדיין יש נקודה אחת מאוד חשובה שלצערי רבים מגלים אותה בדיעבד, והיא נקודת הקוד, אותו קוד של האפליקציה או הפלטפורמה שעליה רצות האפליקציות בשרת. זו אחת הנקודות הקריטיות שיש צורך בטיפול מתמיד בה: יש לבדוק שגירסת הפלטפורמה היא האחרונה, ו"להלביש" על הפלטפורמה טלאי אבטחה שיצאו, אם יצאו. יש לבדוק היטב את הקוד שרץ על הפלטפורמה, ואם צריך, לא להתבייש ליצור קשר עם צד ג' ולשכור אותם (תחת NDA) ע"מ לבדוק את הקוד מבחינת אבטחה ולסגור פרצות.

סיכום:

ישנם הרבה דברים שניתן לעשות ללא צורך במאמצים מיוחדים על מנת להגן על השרת שלכם ועל ההשקעה שלכם. סיסמאות, פורטים, חומות אש, אלו דברים שיכולים לעזור רבות באבטחת המידע. כדאי גם להשקיע בבדיקות תקופתיות של השרתים שנמצאים בחוץ והכי חשוב: לעקוב אחרי עדכונים עבור השרת, הפלטפורמה שאתם משתמשים והקוד שלכם.

רמת אביב מול חב"ד ה"מיסיונרים"

ב-YNET פורסם על ההפגנה שערכו תושבי רמת אביב מול בית חב"ד על … "פעיילותם המוגברת ועל המיסיונריות". האירוע עבר יחסית בשקט למעט אזרח חילוני אחד שלא התפאק ודפק לאטמה … לילד.  יש כתבת וידאו בלינק, אני ממליץ לצפות בו על מנת לראות בערך מה קרה שם (אולי יום אחד YNET יתנו אפשרות לעשות Embed. אולי..)

יש לי 2 מילים לאמר על המפגינים שם נגד החבדניק"ים: חתיכת צבועים!!

לו היה נוחת פה חייזר והיה רואה את הוידאו ושומע את המפגינים, הוא היה בטוח שחב"ד זה איזה ארגון טרור שמשתמש ברצועות התפילין כדי לכרוך אותם על אזרחים תמימים ולהכריח אותם להתפלל לאיזה אל בניגוד לרצונם של אותם אזרחים תוך ניצול כל דבר אפשרי כדי להמיר את חילוניותו של אותו אזרח/נער בדת.

מה לעשות שהמציאות היא אחרת לגמרי, וכאחד שהיה גר ועובד בחלקים שונים בתל אביב (צפון, מרכז, דרום), המציאות היא אחרת לחלוטין: החבדני"קים מציעים לעוברים ושבים להניח תפילין, ולפעמים מציעים בפתחי קניונים לנשים זוג נרות לשבת. אין שום תהליך כפיה, אין שום תהליך סחיטה, אין "רדיפות" אחרי אזרחים (יכול להיות שחבדני"ק הלך כמה צעדים אחר מישהו מסוים כי הוא לא היה בטוח שהוא שמע את ההצעה). מה יש? הצעה בלבד. רוצה? בבקשה. לא רוצה? יום טוב.

אם ניקח את דבריה של שרון בקר (דוברת עמותת "רמת אביב חופשית"), מדובר שם בדברים שהם לא פחות מ-שקר! חבדני"קים שצועקים בסופר "משיח הגיע"? הרי החבדני"קים נמצאים בשטח הפתוח, בכניסה לסופר ולא בתוך הסופר, כך שאולי שרון שמעה את זה ממישהו/י כרכילות, אבל זו רכילות שקרית. ניקח את דבריו של ניצן הורוביץ: החבדניק"ים מנסים "לשבש את מהלך החיים"? תמהני, כיצד הצעה פשוטה שאפשר מיד לסרב לה משבשת את רמת החיים של העוברים ושבים?

הצביעות מההפגנה הזו זועקת לשמיים! לו היתה שם פעילות מיסיונרית של כל גוף לא יהודי, אותם "מפגיני נגד" לא היו פוצים מילה אחת, ולא שזה לא קורה, זה בהחלט קורה, רק לפני שבועיים ראיתי זאת ברמת אביב: פעילות של סיינטולוגים יש? יש. פעילות של שקרני נצרות יש? יש. מישהו מהמפגינים פוצה פה? לא.

ראיתי מקרים רבים שחילונים שהלכו לעשות את הסידורים שלהם עצרו בדוכנים של חב"ד מיוזמתם וביקשו להניח תפילין מסיבות שלהם. ראיתי גם מקרים שנשים ביקשו את זוג הנרות לשבת מהמחלקות של חב"ד בכניסות לקניונים. מה לא ראיתי? "רדיפות" של חבדני"קים אחרי חילונים או נסיונות החזרה בתשובה "בכח". הם שם, שואלים אנשים ואם מישהו לא מעוניין, הם מאחלים לו יום טוב, אבל למפגינים כנראה עצם השאלה כבר נחשבת כנסיון החזרה בתשובה בכח.

מפגינים יקרים, אין כאן שום פעילות לא חוקית, אין כאן שום פעילות של נסיון החזרה בתשובה של איש. אין כאן השתלטות לא חוקית על מבנים וכל מה שיש הוא הצעה לעוברים ושבים ותו לא. רדו מעץ ה"מיסיונריות", כי נסיונות למיסיונריות מצד גורמים לא יהודים אחרים קיימת גם קיימת ברמת אביב, אך אתם שותקים ומגלים בכך את צביעותכם.

טיפים לאבטחת אתרים (חלק 1 מתוך 2)

(אני מפרסם כאן מאמר ב-2 חלקים: בחלק הראשון אני מתייחס לאבטחת מידע מבחינת Hosting לאלו שיש להם אתרים על שרתים משותפים (Shared). החלק השני מדבר על שרתים וירטואליים ופיזיים וזה גם החלק המיועד לאנשים היותר מקצועיים)

כיום, בעידן האינטרנט, אנשים רבים, ארגונים, חברות, עמותות וכו' רוצים ומעוניינים בייצוג באינטרנט. אתר שישקף את הפעילות של אותה חברה/עמותה/ארגון ויש גם אנשים רבים המעוניינים לשתף תחושות, תמונות, וידאו וכו' באינטרנט. לשם כך כמובן קיים האינטרנט ורבים מחפשים (ומוצאים) אנשים שיבנו עבורם את האתר שהם רוצים. הם מוצאים להם חברת אחסון אתרים (בחלק מהמקרים בונה האתר הוא גם זה שמאחסן את האתר, שזה בהתחלה נשמע מפתה, עד שמבינים שאם מחר יש לך סכסוך עסקי עם בונה האתר, האתר שלך הוא "בן ערובה", אם לא סגרת את העניין בחוזה ביניכם), וכך תוך זמן קצר (יחסית) יש להם אתר באינטרנט, כאשר מרבית האתרים הקטנים נמצאים על שרתים משותפים.

לצערי, אחד החלקים הכי קריטיים בבניית אתר נשכח אצל אנשים וחברות רבות והוא עניין אבטחת המידע. אנשים וחברות סבורים במקרים רבים כי מי שבונה את האתר הוא מי שיאבטח אותו וזו טעות רצינית. בוני אתרים רבים אינם מבינים כמעט כלום בכל הנוגע לאבטחת מידע, שהוא תחום לא קטן, מסובך להפליא לעיתים ומחייב עדכון ידע מתמיד מבחינת שפות תכנות, אפליקציות, מערכות הפעלה, טכנולוגיות וכו'.

כאשר בונה אתרים בונה אתר, המחשבה שלו (ברוב המקרים לפחות) היא לבנות ללקוח את מה שהלקוח מבקש. הלקוח מבקש דף כזה, גרפיקה כזו, בסיסי נתונים וכו', ובונה האתרים יושב ובונה (או מעתיק… מדהים כמה העתקות יש) את מה שהלקוח רוצה, כאשר עניין האבטחה לא תמיד נמצא בעדיפות הראשית(אם זה כתוצאה של חוסר ידע באבטחה או בגלל סיבות אחרות). הלקוח מאשר את האתר, האתר עולה לאוויר, בונה האתרים מוסיף שינויים שהלקוח מבקש וכולם מרוצים בסופו של דבר.

…עד שפורצים לאתר של הלקוח, וכשהלקוח רואה דברים כמו Defacement הוא לא ירגע כל כך מהר. סביר להניח שהוא יקח את הפריצה באופן אישי ואי אפשר לדעת מה אותו לקוח יחליט לעשות. נכון, במקרים רבים יש גיבוי ואפשר לשחזר ואין ממש נזק מבחינת תוכן, אבל בכל זאת, זה לא נעים. במקרים אחרים יש פריצות יותר חמורות כאשר מישהו מבחוץ קורא את כל בסיס הנתונים או משנה אותו, וגם אז המצב לא נעים, במיוחד אם יש נזק.

אז מה מומלץ לעשות? הפתרון פשוט אך לפעמים יקר: למצוא מישהו שמבין טוב באבטחת מידע כדי לסרוק את האתר שלך ולתת לך טיפים. אם האתר שלך נכתב "ידנית" ע"י בונה אתרים, אפשר למצוא אנשים ו/או חברות שיעשו עבורך "סריקה" על הקוד של האתר שלך, מה שנקרא בעגה המקצועית Code Audit. אם בונה האתר משתמש בפלטפורמת בניית/ניהול תוכן כמו Joomla/Drupal/WordPress או ניהול חנות וירטואלית עם אפליקציות כמו oSCommerce או Magneto לדוגמא, אז צריך לבדוק שגרסאות האפליקציה הם האחרונות, שהדטהבייס מוגדר להרשאות שצריך בלבד (ולא לתת לכל העולם ואחותו אפשרות יצירה/עריכה/שינוי/מחיקה/grant וכו', טעות שרבים עושים), שההרשאות בתוכנה נכונות וגם בקבצים עצמם. אלו דברים שחשוב מאוד שיבדקו, כי ברגע שהאתר של הלקוח באוויר, יהיו המון נסיונות פריצה.

נקודה נוספת וחשובה מאוד שבעלי אתרים לא מודעים אליה היא עניין העדכונים: זה שהאתר פועל כיום והוא יחסית מאובטח, זה טוב, אך פריצות חדשות מתגלות כמעט בכל יום, וחייבים לעדכן את הפלטפורמה של האתר ולבדוק כי דברים לא השתנו מרגע שפורסם שיש עדכון אבטחה לפלטפורמה שהלקוח משתמש בה עד העדכון. זו אחת הסיבות העיקריות מדוע אתרים רבים נפרצים: איש לא עידכן את הפלטפורמה, פורץ ניסה את הפירצה שפורסמה (הן תמיד מתפרסמות) והופס – יש לו גישה לאתר, מכאן והלאה הכל תלוי בפורץ ובתחכום שלו.

בעלי אתרים רבים (המאחסנים את האתר בשרתים משותפים) מצפים שחברת אחסון האתרים תגן עליהם במקרה של פריצה לאתר שלהם אולם חברות אחסון האתרים לא יכולות לאבטח. הן יכולות לאבטח את השרתים הפיזיים, אך חברות האחסון לא יקחו שום אחריות לאתר של הלקוח עצמו. זה לא שווה להם מבחינה כלכלית, ואין להם את המשאבים לבדוק מה כל לקוח מכניס לאתר שלו, איזה קוד וכו'. יש להם מערכות שיגנו במידה מסויימת אם האתר של הלקוח "משתולל" מבחינת צריכת משאבים, אך בכך מסתכמת בד"כ ה"הגנה" בשרתים משותפים.

לסיכום: אם אתה בעל אתר והאתר מאוד חשוב לך, בין אם האתר פרטי או מסחרי, כדאי לחשוב גם על עניין אבטחת מידע ועל כך שאחת לתקופה שאותו אחד שיתן לכם את אבטחת המידע יעדכן את הפלטפורמה ויבדוק שהכל תקין ומאובטח.

החלק הבא: על אבטחת שרתים.

המשט לעזה

נהרות של טקסט נשפכו על כל עניין המשט של ה"סיוע" לעזה. כל מי שהיה לו איזו ביקורת כלשהי כתב זאת, בעיתונות, בבלוגים, בטלויזיה, ברדיו ובכל מקום אחר, והשטויות שנאמרו….. אויש.

אתחיל בכל קטעי ההימנעות: מדהים איך כל בלוגר שכתב וכל פובליציסט נהיה מומחה לספינות. חלק המליצו לחורר את הספינות, חלק המליצו לירות לכיוון ירכתי הספינות והיאכטות, הכל בשביל לשבש את תנועתם או למנוע אותה. הרעיונות אולי טובים, אבל בהתחשב בכך שאם היו עושים זאת, למנהיגי המשט היתה טענה די פשוטה: "ישראל טוענת שאין סגר? הנה הם לא מאפשרים לנו אפילו להעביר ציוד הומניטרי לעזה", ולך תתווכח עם ההצהרה הזו.

מישהו אחר הציע לזרוק עליהם רשת לפני שהחיילים נוחתים. אחלה רעיון, רק שמדובר בקומה העליונה של הספינה, שהיא קומה מאוד צרה ורשת היתה גורמת להיסטריה של הפעילים, אחד היה דוחף את השני שדוחף את השלישי והופס – 30-40 פצועים חדשים לאוסף. זה היה נראה רע מאוד בוידאו ובעולם.

אחרים (כמו גדי טאוב) הציעו לתת להם להגיע, לבלוע את הרוק מבחינת גאווה ישראלית ולהראות לעולם שאין מצור. הבעיה ברעיון הזה שאם תתן לאחת להיכנס, השאר יגיעו במהירות וישתמשו בתקדים הזה כדי להכניס "סיוע הומניטרי" שתוך זמן קצר יכלול אמל"ח ואנחנו לא נוכל לבדוק את התכולה בכלל, והחמאס רק יחייך.

אין ספק שקרו כאן כמה פאקים, אבל יש 2 מרכזיים:

  1. מערך ההסברה של ישראל עדיין דומה למערך הסברה של רפובליקת בננות. מדוע ראש הממשלה שידע על המבצע לא ביטל את הנסיעה המתוכננת שלו? סביר להניח שהוא לא העריך נכונה את הסכנה ולא ידע על ההפתעה. שר ההסברה גם הוא היה עם ראש הממשלה בחו"ל ופשוט לא יצאו שום הודעות בזמן ההשתלטות החוצה לתקשורת, מה שגרם לכך ששעות יקרות בוזבזו על כך שרק לצד השני היה זמן מסך והיה אפשר בקלות לשטוף לאנשים את הראש ולהאשים את ישראל בהכל תוך התעלמות מכל המכות והסכינים שהחיילים חוטפים.
  2. משום מה הפיקוד העליון בלע את הלוקשים על "פעילות לא אלימה", למרות שהיו סימנים שהולך להיות מאוד חם: בשידור החי ראו את ראאד סלאח נואם למשתתפים. אני משער שהוא לא ממש נאם על הגיינה או על דברים דיומא, והוא ידוע כמסיט. האנשים שהיו מצולמים חלקם היו מוכרים לזרועות הבטחון והצביעות היתה ידועה לכולם, במיוחד כשהם סירבו להצעת אביו של גלעד שליט, ובכל זאת – כולם חשבו שזה הולך להיות פיקניק, אפילו רובי צבע הביאו, אך התוצאה ידועה..

אז כמובן שבימים אלו כל העולם ואחותו נגדנו ובראשם האו"ם וארגוני זכויות אדם ומדינות מערביות שמחליטות להתנהג בצביעות מופלאה. כשזה קורה באפריקה, המדינות מתעלמות. כשזה קורה כאן למרות שהצדק לצידנו, מעדיפים להתעלם מאותו צדק ומעדיפים להאשים אותנו בכל דבר, להחרים אותנו ולגרום לנו לכל נזק אפשרי. זה אמנם קורה כבר מהזמן של "עופרת יצוקה", אך לאחרונה גם מדינות שבעבר היו מוטות מובהקות לכיווננו (כמו ארה"ב), גם הן מגלות ביצועי צביעות מרשימים. הבית הלבן בהתחלה הבין את עמדתנו, אך רק עברו 24 שעות והופס, פליק פלאק לאחור והבית הלבן מצטרף לקריאה להקים ועדת חקירה בינלאומית.

בניגוד לאחרים (אהלן טל) שחושבים שאני תמיד רק מדגיש את השלילי, אני חושב שיש פה גם נקודות חיוביות: החמאס כבר הספיק בטעות לחשוף את האמת שהם לא כל כך רוצים להכניס את הציוד והאוכל שנתרם, כוחות הבטחון חושפים את הארגונים הלוחמים שהשתתפו במשט, ויש יותר ויותר עדויות שיכולות לעזור בכל ועדת חקירה שתקום כדי להוכיח את צדקת ישראל. יש גם ספינות אחרות בדרך ואת מה שעברנו במקרה הזה יהיה אפשר למנוע במקרים הבאים.

לעניות דעתי, ישראל תצטרך לעמוד על רגליה האחוריות ולא להתקפל לנוכח הלחץ הבינלאומי כמו ארה"ב שהחליטה להתקפל ברגע האחרון בנושאי פירוז הנשק הגרעיני. אם יש לנו ממצאים על מה שקרה, עדיף לשדר אותם שוב ושוב (ובהזדמנות זו אולי לתקצב את דובר צה"ל? ריבון העולמים איזו איכות וידאו גרועה יש בערוץ שלהם ביוטיוב!) ולחזור על מסרים אחידים בכל מקום אפשרי. אם צריך לגייס דוברים חיצוניים, אז לגייס ולא להשאיר את הזירה ריקה שוב! חייבים להראות את השקרים והצביעות לכולם ובמלחמת דעת הקהל הזה לא יהיה קל לנצח, אך לעניות דעתי אפשר יהיה לשפר רבות את מצבנו הנוכחי.