ה-NSA והמפגש עם האירוניה

מי שנמצא בתחום אבטחת מידע ועוקב אחרי החדשות, יזכור בוודאי את הסיפור שהיה לפני כשנתיים עם חברת Huawei וחברת ZTE הסיניות. מדובר ב-2 חברות סיניות גדולות שרצו למכור בארה”ב ציוד תקשורת בכל הרמות – החל מהרמה הביתית (מודמים DSL וכבלים) ועד לרמה של נתבי תקשורת לסיבים, מתגים חכמים וכו’ – וכל זאת במחיר זול משמעותית ממחיר מהציוד שמיוצר ע”י חברות אמריקאיות.

מכיוון שחברות אמריקאיות לא אהבו את הרעיון, הם שכרו לוביסטים והחלו לפמפם כל מיני חששות. אחרי הכל, אם הממשל הסיני משקיע כספים באותן חברות תקשורת גדולות, מה מונע מהממשל לבקש מהיצרניות ליצור “דלתות אחוריות” כך שהממשל הסיני בעת רצון יוכל להאזין לתקשורת היוצאת והנכנסת? לא עזרו כל נסיונות ההסברה של נציגי אותן חברות סיניות שהסבירו שוב ושוב שכל בקשה כזו מהממשל הסיני משולה להתאבדות פיננסית, ואם יש משהו אחד שהממשל הסיני לא אוהב – זה לראות את כספו יורד לטמיון. הסנאט בארה”ב בראשות הסנטור מייק רוג’רס הקימו ועדה ש”חקרה” את הנושא והם הוציאו דו”ח מיוחד, אתם יכולים לקרוא אותו כאן (זה קובץ PDF)..

בסופו של דבר אותן חברות סיניות החליטו שהם יתמקדו בשוק הפרטי ולא יכנסו לשוק הארגוני ושוק ה-Telco.

אבל, אתם יודעים, החיים – מלאים באירוניה.

תודות לאדוארד סנואדן (שהוא הכאב ראש הכי גדול שהיה עד כה לסוכנות ביון כלשהי) בשיתוף דר ספיגל והניו יורק טיימס – היום נחשף מסמך שבהחלט גרם לכמה אנשים גבה. מתברר שבזמן שהסנאט האשים את Huawei ו-ZTE בכל מיני האשמות, ה-NSA כבר פרץ לשרתים של Huawei, ניטר שיחות בין בכירים וכבר הגיע לשלב שהם (ה-NSA) רצו להתקין על אותן נתבים ש-Huawei תמכור – דלתות אחוריות כך שה-NSA יוכל להאזין ישירות ללקוחות ש-Huawei מוכרת להן ציוד, כלומר בזמן שהאמריקאים מאשימים את אותן חברות, ה-NSA בדיוק עושה הפוך.

אני משער שכבר היום הסינים יתחילו לבצע Auditing ברמת הביט לכל קובץ שקיים וציודים יוחלפו במהירות. הלכה הפריצה של ה-NSA.

לפחות בשנתיים שלוש האחרונות מפמפמים לנו כמה הסינים הם הנבלות שמתקיפים התקפות סייבר את ארה”ב ושאר מדינות. זה כנראה נכון, אבל ה-NSA עוקף את הסינים בכל מובן אפשרי. הסינים מסוגלים ליזום התקפות סייבר, אבל רק לאחרונה דווח של-NSA יש יכולת חדשה מעניינת: את היכולת להקליט שיחות של מדינה שלמה!! לא מדובר על איזה Meta Data, אלא הקלטה קולית של כל השיחות!

ל-NSA אין גבולות. פעם הם היו עושים את הדברים תחת כסות של “פעילות לחיסול הטרור”, אבל כפי שההדלפות מראות, ה-NSA ממזמן כבר שכח את עניין הטרור והוא עסוק בלהאזין ולחפש איך לפרוץ לכל מיני מדינות גם כשאין שום קשר לטרור. פעם האשימו את הסינים בפריצה ובריגול מסחרי, ומתברר עתה שהאמריקאים מקדימים בהרבה את הסינים ועושים זאת בצורה הרבה יותר גדולה.

ועוד משהו אחד שלא כך כך קשור: שר הבטחון שלנו, האיש והפה-שלא-נסגר – בוגי יעלון הצליח בשבוע האחרון שוב להעליב את האמריקאים ושוב לזלזל בהם. חבל ששר הבטחון שוכח שחלק מהפרוייקטים שיחידה 8200 מקבלת מהדוד סם – הוא DATA לעשות עליו כל מיני פעולות וללמוד איך אפשר להוציא ממנו נתונים משמעותיים (ה-NSA לא יכול לעשות את זה על אזרחים אמריקאיים, אז הם נותנים לישראלים, לבריטים ועוד 3 מדינות – לעשות את העבודה הזו. עקיפה של הקונגרס).

על כספומטים, XP, וסיום חיי מערכת הפעלה

לאחרונה מפורסמים באינטרנט כל מיני מאמרים המפחידים את הציבור (והבנקים?) על כך שמכיוון שכספומטים רבים מריצים את Windows XP כמערכת הפעלה שלהם, ומכיוון שמיקרוסופט הפסיקו את התמיכה, אז הכספומטים יהיו חשופים לפריצות חדשות ויהיה תוהו ובוהו.

אמנם אינני עובד של בנק כלשהו, אך הח"מ מכיר מספיק מערכות כספומטים ומערכות אחרות וחדשות אלו הם לא יותר מטעות מפגרת של מי שכותב מאמרים כאלו.

מערכת ההפעלה שבכספומטים היא גירסה מיוחדת של XP שנקראת XP Embedded. בניגוד ל-XP רגיל, חלקים רבים ממערכת XP סטנדרטית פשוט לא מותקנים בכספומטרים. XP Embedded נותנת לאינטגרטור מאות אפשרויות להתקין רק חלקים קטנים מאוד מכל ה-XP, כך שפריצה שתעבוד על מכונת XP, יש סיכוי לא רע שהיא כלל לא תעבוד על XP Embedded כי אותם חלקים שהפריצה עובדת עליהם כלל לא מותקנים במערכת. ברוב כספומטים לדוגמא לא מותקן דפדפן או כל חלק אחר שמרנדר דף HTML ועוד חלקים רבים שקיימים ב-XP לא נמצאים שם.

מעבר לכך, מיקרוסופט מכרה את XP Embedded עם חוזה תמיכה ארוך מאוד. כמה ארוך? מערכת XP Embedded נתמכת עד 12/1/2016, כלומר יש כמעט שנתיים נוספות עד שהבנקים יצטרכו להחליף מערכות כספומטים. אגב, עם XP Embedded אין יותר את יום שלישי כיום שחרור טלאים. שם – אם יש טלאי אבטחה, הוא נשלח באותו יום. אך הוא כמובן מוטמע מתי שחברת התמיכה בכספומטים מחליטה. 

אז אפשר להרגיע עם כל הפאניקה. לבנקים יש עדיפות מאוד גבוהה בשמירה על מערכות כספומטים. אחרי הכל, זה המקור הכי קרוב לגנבים לגנוב שטרות. 

אגב, אחת השמועות מחברה ידועה מעובדי רד-האט היא שישנם כמה בנקים שמתעניינים דווקא בלהסב מערכות כספומטים מבוססות לינוקס כל עוד רד-האט תתן תמיכה מאוד ארוכה למערכת הפעלה. סביר להניח שאם זה יגיע לשלב חתימת חוזים, זה יפורסם. אני בספק גדול אם בנקים פה יכניסו כספומטים מבוססי לינוקס (אם כי כיום כמעט כל הבנקים מריצים או עוברים להריץ Linux כמערכת מרכזית ב-Back End או לינוקס כ-VM על מערכות zOS (מיינפריים).

אמא'לה, "מתקפת האקרים" !

מי שמכיר אותי בוודאי מודע לכך שאין לי הרבה אהבה לחברות אבטחת מידע. שלא תבינו אותי לא נכון, יש לי המון כבוד והערכה לאנשים מקצועיים שיודעים מתוך שינה להגדיר חוקים אופטימליים בחומות אש, שיודעים TCP/IP ממש טוב, שמכירים מערכות לינוקס לעומק, שמכירים לא רק את שלבי ה-OSI בעל פה אלא מה בדיוק הם עושים ובמיוחד – שמכירים הרבה טריקים. לצערי הרב, רבים כאלו אין, ומה שיש לנו היום זה כל מיני בוגרי קורסים של כל מיני "בתי ספר" שמלמדים שטויות במיץ עגבניות והעיקר גורפים כספים ומנפיקים תעודות שאפשר לנגב איתם אתם יודעים מה. רק לפני שבועיים הראה לי מישהו חוברת הדרכה שתלמידים מקבלים בקורס אבטחת מידע והקשר בין אבטחת מידע ממשית לחומר שכתוב בחוברת היה כמו הקשר ביני להטסת חלליות. 

אבל מה לעשות, השוק מחפש כל מיני כיסויים כדי שאם יפרצו יהיה אפשר להאשים את חברת אבטחת המידע, וחברת האבטחה שמחה לשלוח כל מיני אנשים (שלצערי, שוב, רובם פולטים שטויות בקצב!!!) שממליצים כל מיני דברים שלא ממש עוזרים בשורה התחתונה, אלא אולי עוזרים לכסות **** של מישהו. רבים מאותן חברות גם יודעים לגבות אלפי דולרים לחודש על משהו שאיש לינוקס טוב היה יכול ביום יומיים של עבודה לכתוב כמה סקריפטים שיודעים לנתח כל מיני דברים, להתחבר לכל מיני מאגרי נתונים על פריצות, לסרוק סביבות ולתת דוחו"ת, אבל היי – פראיירים, אתם יודעים, לא מתים..

היום התבשרנו שקבוצת אמן מזהירה כי "מתקפת האקרים" תתחולל ב-7/4. הודעה מאוד חשובה! כל כך חשובה שאם מישהו יריץ חיפוש פשוט של OPISRAEL ימצא די בקלות את הוידאו הבא  שבו עוד פעם קבוצת ילדים משועממים יריצו סקריפטים מוכנים (נראה לכם שהם יודעים לכתוב אשכרה את זה?), ושוב הם יעשו השחתת עמודי בית לאתרים שברובם המוחץ לא קיבלו מעולם שום אבטחה, או שספק האחסון המשותף שלהם שם קצוץ בכל מה שקשור על אבטחת מידע (אבל יבטיח ש"יש לנו פיירוול משוכלל!"). במילים אחרות, מה שקורה כל יום לערימות אתרים בארץ, יקרה שוב ב-7/4. חושבים שיהיה התקפת DDOS? אז יכול להיות שהילדים הללו ינסו ויראו מה שאתרים גדולים בארץ עושים – פשוט מנתקים תקשורת מחו"ל והופס, אין DDOS. נגמרה הבעיה. 

את כל מה שתיארתי כל איש אבטחת מידע רציני יודע, ואם הוא ממש מקצועי, אז ה-7/4 לא ממש יטריד אותו. אולי הוא יציץ מדי פעם לראות מה קורה עם הטראפיק והלוגים, כי אם הוא רציני, הוא יודע להגן והוא ממש לא צריך את זעקות השווא של "זאב זאב" מטעם קבוצת אמן. בסופו של דבר, כפי שציין ידידי הלל, כשתהיה באמת התקפת חדירה (שאותה בד"כ עושים חברות מקצוענים שבוודאי לא רצה להוציא וידאו יוטיוב על תאריך עתידי להתקפה!) – אף אחד לא יתייחס, כי כולם היו בפאניקה מההתרעה המפגרת שהוצאה, וכשבאמת יצטרכו שאנשים יקשיחו אבטחה, זה לא יבוצע. הרי כבר היינו בסרט הזה לפני חצי שנה, שנה, שנתיים וכו'.

בכלכליסט, כרגיל, החליטו לנסות גם לעשות "1+1" על חשבון ויזה כא"ל. מדוע? כי שוב, "האקרים" "פרצו" לאתר והפיצו את תוכן ה-DB. מה שהעיתונאי לא בודק או שלא יודע, זה שויזה, כמו חברות רבות אחרות בישראל, מוציאות לחברות בניית אתרים פרויקטים של בניית מיני אתר (mini site) שאין לו כל קשר תשתיתי בין המיני סייט לאתר הראשי. כך גם חברות פרסום עושות. 

אז בוא נסתכל על האתר שנפרץ – אתר cal-weekend יושב על כתובת IP שהיא 212.29.241.21 ששייכת לעסק שמאחסן ב-35 שקל אתר. כמובן שמדבר כזה אין מה לצפות ממש לאותה אבטחה שויזה כא"ל משתמשת בה לתשתית שלהם, כי זה אתר לתקופה קצרה לשם מבצע. שם לא היו ולא יהיו נתונים רגישים שמגיעים משרתי ויזה כא"ל. הכתובות של ויזה כא"ל, אגב, הם בכלל 3 קלאסים C (ויש להם כמובן עוד) כפי שניתן לראות כאן, כך שכפי שאתם רואים, אין שום קשר בין האתרים, אבל היי – אפשר לרמוז שויזה נפרצה, למרות שהיא לא!

לכן המלצתי היא פשוטה: מי שיש לו אתר שיושב באחסון אתרים ורוצה להימנע מפדיחות של Defacement, שיעבור ל-VPS או שיכתוב סקריפט שבודק את דפי הבית ואם משהו משתנה, שיחזיר העתק דף בחזרה ויחסום את הכתובת שממנה בוצע POST (זה ב-לוגים של ה-Virtualhost). כמובן שמומלץ כבר עכשיו לבדוק שהפלטפורמה שאתה משתמש היא הכי עדכנית, התוספים הם הכי עדכניים ושלא פתחת הרשאות 777 בתיקיות (רק כי היית עצלן להבין למה זה נותן לך Forbidden).

ובפעם ה-23407138947928374 – מי שרוצה ללמוד אבטחת מידע בצורה רצינית, עדיף שקודם כל ידע לעומק מערכת הפעלה כלשהי, TCP/IP באופן עמוק, והכי חשוב – מחשבה מחוץ לקופסא. 

כמה מילים על הצפנת סיסמאות ב-DB

עדכון לפוסט: התווספו שיטות נוספות מומלצות, תודה למגיבים בטוקבקים.

ביום ה' האחרון נודע כי אתר "תפוז" נפרץ, ובסיס הנתונים שהכיל את פרטי המשתמשים (כמו אימייל, סיסמאות וכו') נפרץ. פריצה זו מצטרפת לשורת פריצות באתרים שונים, ויש אתרים הרבה יותר גדולים שנפרצים ופרטי המשתמשים מופצים לכל עבר (ומי שעושה מזה הכי הרבה הם הספאמרים כמובן, עוד כמה מיליוני רשימות לדחוף להם ויאגרה מזוייפת, ועוד כל מיני שקרים).

הבעיה העיקרית בד"כ של אותם אתרים, זה שאותם מתכנתים באותה חברה, נמצאים תחת אשליה שאם יש את הקופסאות XYZ שנותנים כל מיני סוגים של "חומות אש", אז הם מוגנים ואפשר לשים פס גדול על כל עניין של אבטחת מידע, המלחת סיסמאות וכו'. בד"כ אני קורא לזה במובן הכי פשוט מתכנתים עצלנים.

אבל זה לא קורה רק אצל אתרים גדולים, זה קורה גם באתרים בינוניים וקטנים, כאלו שלא תשמעו עליהם או כאלו שאולי תשתמשו בהם ולא תדעו שהפרטים שלכם חשופים. זוכרים את "הפורץ הסעודי"? (כן, הוא כבר מת), זה שפרץ לאתרים שונים ופירסם מספרי כרטיסי אשראי, מה שהכניס את חברות האשראי בארץ לסרטים ובמיוחד את לקוחותיהם? אז כן, הבעיה גם שם.

והיא קשורה בד"כ לעצלנות נטו או לתחושה של "הכל בסדר" בגלל הבטחות שניתנות ע"י ספקי אחסון שונים ש"הכל מוגן". כמובן שאין חיה כזו

אז לטובת המפתחים שמכירים חלקית את נושא ההמלחה והצפנה, ולטובת אלו שלא מכירים, הנה שיעור מזורז. אני מדבר בפוסט זה על MySQL אבל זה רלוונטי לכל אפליקציית בסיס נתונים.

באופן עקרוני, תוכנת בסיסי נתונים (אני פשוט אקרא לזה DB בפוסט זה) יודעות לאחסן סיסמאות בצורה מוצפנת, אבל ההצפנה עצמה מאוד קלה לפריצה. כך לדוגמא כשמשתמשים בפונקציית Password ב-MySQL כדי להכניס משתתמשים לטבלת משתמשים ב-MySQL כבר עושים את הטעות הראשונה. כפי ש-MySQL כותבים בעצמם, זה לא מיועד לניהול משתמשים עבור האפליקציה שלך, אלא עבור התחברות והתממשקות ל-MySQL. 

כשרוצים להוסיף משתמשים לאפליקציה שלך, צריכים לבצע מספר שלבים:

השלב הראשון לאחר קבלת פרטי המשתמש, הוא "להמליח" את הסיסמא ומומלץ גם את כתובת האימייל. ב"המלחה" הכוונה להוסיף מספר תווים רנדומלי לפני, או אחרי, או באמצע הקלט שקיבלת, כך שאם הסיסמא שהזנתי היא hello123 אז לאחר ההמלחה היא תהיה hello123#O2j!d%425  (כאשר אחרי ה-3 יהיו ג'יבריש של אותיות רנדומליות שהמערכת תחשב מחדש בכל פעם שמישהו נרשם. אפשר לשפר ולהוסיף ג'יבריש בגדלים שונים [אנחנו פה לאמלל את חיי הפורץ או לא?], ואפשר לשים את הג’יבריש לפני הסיסמא האמיתית [כל עוד היא בגודל קבוע, כדי שתוכלו אחר כך לוודא שהסיסמא תקינה] או באמצע, הכל תלוי בכישורי התכנות של המפתח.

עכשיו, לפני שאנחנו מכניסים את הסיסמא עם הג'יבריש, אנחנו נצפין את הסיסמא עם הג'יבריש יחד. יש כל מיני סוגי הצפנות, אני ממליץ ללכת על AES-256 (חובבי PHP – יש כאן דוגמא). בשיטת הצפנה זו, ישנו מפתח שלכם, ואיתו אתם מצפינים. ההצפנה מומלץ שתיעשה דרך האפליקציה שלכם והמפתח שלא ישב בקוד עצמו אלא במקום םאחר מחוץ לתיקיות הקוד עם הרשאות מצומצמות מאוד. מדוע AES-256? כי זו הצפנה חזקה מאוד מצד אחד, ומצד שני היא לא מכבידה על שרת האפליקציות (כל שרת עם מעבד Xeon מסידרה 5XXX או מעבד i5 ומעלה או כל מעבד של AMD מה-3 שנים האחרונות כולל קידוד ופתיחת AES על הסיליקון עצמו)

אחרי שהצפננו על שרת האפליקציה את הסיסמא המומלחת, אז נוכל לכתוב את הפלט לתוך ה-DB. כך גם נעשה בצורה הפוכה כשמשתמש יתחבר למערכת ונוודא שסיסמתו נכונה. 

נקודה חשובה: אם אתם עובדים דרך command line בהתממשקות ל-DB שלכם, תוודא שכשאתם יוצאים, למחוק את קובץ ההיסטוריה. אני מכיר לפחות מקרה אחד שמתכנת הצפין את הכל, אבל שכח שהמפתח שלו היה גם בקובץ היסטוריה ומי שפרץ תפס שהמפתח שם וכל ההצפנה לא ממש עזרה (בגלל זה אני ממליץ לעשות הצפנות רק בקוד שלכם, לא ישירות על ה-DB).

שיטה נוספת היא שיטת ה-Hashing – בשיטה זו אלגוריתם (כמו SHA256) מקבל טקסט כלשהו (כמו סיסמא) והוא פולט מחרוזת שנראית כמו ג'יבריש. הסיסמא עצמה לא נשמרת בשום מקום ולא נכתבת לדיסק הקשיח של השרת. מה שכן נכתב ל-DB הוא הפלט, או כפי שהוא נקרא – ה-Hash. כך כשהמשתמש מנסה להתחבר ומקיש סיסמא, הסיסמא שהוא מקיש גם עוברת את אותו תהליך ואם ה-Hash שנוצר מהסיסמא שהמשתמש זה עתה הקיש שווה ל-Hash שנמצא ב-DB, אז הסיסמא היא נכונה והמשתמש יוכל להיכנס. חשוב לציין – גם כאן ישנם אתרים רבים שמאפשרים לכל מיני פורצים להוריד טבלאות Hash מוכנות, כך שהפורץ יוכל עם GPU חזק וטבלאות – לנסות לפרוץ את ה-DB אחרי שהוא העתיק אותו ולכן חובה להוסיף לאחר הסיסמא ג'יבריש רנדומלי באורך קבוע (נניח 10-20 סימנים שמיוצרים ע"י פונקציית RAND) ולקזז את האורך הזה בקלט הסיסמא שנקלטת מהמשתמש, ואז להריץ פונקציית Hash לפי האלגוריתם שבחרתם. תוכלו לקבל פרטים נוספים ודוגמאות קוד בשפות שונות כאן. שיטה זו היא מעולה לאתרים מסויימים אך ישנם חברות שרוצות דווקא לשמור את הסיסמא עצמה, כך ששיטה זו לא תתאים להן ולכן חשוב לבדוק מה הלקוח רוצה.

אפשרית שלישית נוספת היא לוותר על עניין ההזדהות ה"עצמית" (כלומר שהאתר שלך שיזהה את המשתמש), והישענות על שרתים כמו של גוגל או פייסבוק או טוויטר וחברות אחרות, כך כשהמשתמש ירצה להיכנס, הוא יזין לתוך חלק מיוחד באתר (חלק שלא מגיע מהאתר שלכם אלא מאתר אותה חברה שבחרתם) את שם המשתמש והסיסמא שלו, והאותנטיקציה של אותה חברה תחזיר לכם אישור אם המשתמש והסיסמא נכונים וכן את פרטי המשתמש (שם פרטי, כתובת מייל וכו'). בשיטה הזו אין לכם צורך באחזקת סיסמאות (זולת סיסמאות התחברות ל-DB ולניהול המערכת), אך החסרון העיקרי של שיטה זו הוא שבאתרים רבים אנשים מעוניינים להגיב שלא בשמם/כינוי שלהם אלא להגיב בצורה אנונימית, וכאן אתם צריכים להחליט אם להכריח משתמש להתחבר עם הפייסבוק/טוויטר/גוגל שלו או לתת לו גם אפשרות להירשם דרך המערכת שלכם על מנת להגיב.

חשוב לזכור משהו אחד: רוב הפורצים למערכות אינם מתכנתים עם נסיון עשיר. הם Script kiddies שמשתמשים בסקריפטים מוכנים שהורידו או שהם "שיפצו" פה ושם איזה סקריפט שהורידו. הם ידעו איך להיכנס לשרת ה-DB שלכם ואולי אפילו להיכנס לשרתי אפליקציה שלכם, אבל בחיטוט ולימוד הקוד הם לא מי יודע מה, מה עוד שהם רוצים להתנתק כמה שיותר מהר כדי לא להיתפס. פה בדיוק החלק שאתם יכולים לאמלל אותם בכך שאתם יכולים להצפין קוד פרודקשן, או להצפין / לג'ברש את הקוד שקורא למפתח עצמו ושלל טריקים נוספים שבא לכם, כך שגם אם פורץ יעתיק את ה-DB, הוא לא יוכל לעשות איתו כלום (חוץ מאשר אולי לראות דברים שהוא לא היה אמור לראות מבחינת תוכן).

כל עניין הצפנת סיסמאות, שמות משתמשים וכתובות מייל אינו מורכב כל כך ליישום. הכל תלוי באיזה DB ובאיזו שפה אתם מתכנתים, לפיכך מומלץ להקדיש לכך כמה שעות פעם אחתוליישם הצפנה רצינית בקוד ובמפתחות כדי שאם לכם יפרצו, לא תצטרכו לעמוד מול כל העולם ואחותו עם פדיחה רצינית וצורך לענות לעיתונאים איך אתם כל כך חסרי אחריות. במקרה של תפוז, לדוגמא, המזל הגדול של תפוז זה שרוב המשתמשים הם עם שמות משתמשים בעברית והפורץ לא ידע בכלל מה זה UTF-8, אז אי אפשר להשתמש ברשימות שהופצו כדי להיכנס למערכת של תפוז (אבל אפשר להספים את המשתמשים…)

הפרכת מיתוסים לגבי ביטקוין וכמה מילים על לייטקוין

ביטקויןביטקוין נמצא בכותרות לאחרונה הרבה יותר מבעבר, במיוחד לאחר ששווי המטבע בדולרים חצי את ה-1000$ (מאז הוא עלה ל-1200 וירד לפני דקות ספורות ל-800 אך עלה לפני דקות ספורות ל-900 פלוס) ומכיוון שביטקוין הוא דבר שונה לחלוטין ממה שאנו מכירים בחיי היום יום, צצים כל מיני גורמים עם האשמות כאלו מופרכות, שאני תוהה מה הם בדיוק עישנו. לפיכך החלטתי לענות לחלק מהטענות ובחלק השני של הפוסט להתייחס ל"כוכב הבא" שלאט לאט צובר יותר כותרות ורוכשים כמו גם כורים – ה-LTC.

להלן חלק מה"האשמות" שנזרקו על ביטקוין ומתחתן הסבר שלי:

ביטקוין זו בועה

נו שיט שרלוק! כן, ביטקוין זה בסופו של דבר בועה, אם משווים אותה למטבעות אחרים כמו דולר, ין, שקל ואחרים. אין מאחוריה שום סחורות או זהב לגבות את הערך שלה, והערך שלה נקבע בסופו של דבר נטו על ידי המוכרים והקונים או כפי שאנחנו מכירים אותו "כוחות השוק". אנשים מפחדים ומוכרים? ערך הביטקוין נופל. אנשים מתלהבים? ערך הביטקוין מזנק וזה הדבר היחיד שמשחק תפקיד במחירי הביטקוין. אז כן, הוא "בועה", אבל בועה שונה מאחרים מכך שכולם (או לפחות אלו שטרחו פה ושם לקרוא קצת) יודעים שזהו אינו מטבע סטנדרטי. חבר טוב שלי טוען שזה מימוש חלק מפנטזיית הליברטאניזם ואני נוטה להסכים איתו.

הפעילות הכי גבוהה שעושים איתו היא דברים לא חוקיים

רכישת ומכירת סמים, נשק, ודברים לא חוקיים, עד להופעת הביטקוין איך נעשתה? במטבעות רגילים. האם גם אותם יש לפסול בטענה המגוכחת הזו?

הסיבה שגורמים רבים משתמשים לפעילות לא חוקית בביטקוין, היא אשליית האנונימיות. אני בכוונה מדגיש אשליה כי בסופו של דבר "ספר החשבונות" של הביטקוין פתוח לכולם ואם כוחות השיטור באותה מדינה תופסים סוחר סמים שחשוד במכירת סמים בביטקוין, הם יכולים למצוא במחשב שלו תחת אלו חשבונות הועברו מטבעות וכמה וכל מה שנותר לעשות הוא לבדוק מול אותו ספר חשבונות ציבורי אם היתה העברה ואושרה. נכון, קשה מאוד לדעת מי הצד השני שקיבל, אבל החוק שמרשיע בסחר בסמים בכל מדינה מתייחס לאקט המכירה, בין אם מכרת לי, לאחר או לחייזר עם אנטנות – הסוחר יורשע.

אף אחד לא מקבל אותו כאמצעי תשלום

בכל יום מתווספים עסקים נוספים שתומכים בביטקוין (לדוגמא: רק לאחרונה יצרנית קונסולת המשחקים OUYA החלה למכור גם בביטקוין משחקים וקונסולות). אין עדיין רשתות גדולות שמוכרות בביטקוין ואין עדיין חברות אשראי שתומכות במטבע זה, אבל תהיו בטוחים שגם חברות האשראי, וגם חברות גדולות בוחנות בשבע עיניים את המטבע. רק לפני מספר חודשים התראיין מנכ"ל EBAY וחלק מחמאות לביטקוין וציין שבחברה האחות של EBAY (ב-Paypal) בודקים את האפשרות לתמוך במטבעות ביטקוין. ישנם גם שמועות שגם חברות מסחריות גדולות בארה"ב בודקים בשקט אפשרות לשלב ביטקוין כאמצעי תשלום ומספיק שחברה כמו Paypal תשלב את הביטקוין כאמצעי תשלום כדי לגרום לאפקט אדיר של שימוש במטבע. צריך לזכור: ביטקוין נהיה פופולרי רק בשנתיים האחרונות (במיוחד השנה), כך שצריך לתת לזה זמן כדי לראות שילוב שלו במסחר רגיל.

ביטקוין הוא הונאת פונזי

הנה אחת הטענות החביבות עליי. ביטקוין? רמאות אחת גדולה! בד"כ אלו שטוענים זאת לא מבינים כלום בביטקוין. הסיבה לכך פשוטה: אם אני נוכל ואני מוכר לך תרמית כלשהי, אני מקבל ממך את הכסף בסופו של דבר במטבע קשיח (Fiat). גם אם יש למישהו כמה מאות אלפי ביטקוינים, הוא יסבול ממחיר נמוך כמו כולם, או יחייך במחיר גבוה כמו כל מי שיש לו מטבעות, כך שבין הממציא של המטבע הוירטואלי למשתמש שקנה זה עתה מספר מטבעות – אין הבדל. אף אחד לא יכול לווסת את הביטקוין, אין אפשרות לעשות מניפולציות על המטבע (בניגוד למטבעות קשיחים אחרים), וכמות המטבעות שיהיו זמינים תהיה תמיד מקסימום 21 מיליון ולא מטבע אחד יותר. 

ביטקוין נגנב הרבה יותר ממטבעות אחרים, הוא פרוץ!

לא נכון! כל יום מתרחשים בעולם שודים שנגנבים בהם אלפי, עשרות אלפי או מאות אלפי דולרים ומטבעות אחרים. נעשו בעבר שודים על זהב, יהלומים וכו'. בביטקוין לעומת זאת, הגניבות והפריצות קורות אצל אנשים שפרצו למחשבים שלהם או חברות שעשו עבודה גרועה באבטחת מידע. גם באון ליין נגנבים היום מספרי כרטיסי אשראי על ימין ועל שמאל, אך אין זה אומר שהמטבע "פרוץ". אדרבא, כל פרוטוקולי הביטקויין נבדקו ונבדקים ע"י עשרות מומחי אבטחה בעולם ועד כה לא נמצא חור אבטחה אחד בפרטוקול (נמצאו חורים באחת מתוכנות הארנק האלקטרוני אולם הפירצה נחסמה תוך יום). 

אין לביטקוין ערך יציב

אכן, אין לו ערך יציב, כי הוא מושפע ישירות מהקונים והמוכרים. המטבע יכול לעלות עכשיו ל-2000 ובעוד שעה ליפול כמו כדור ברזל ל-10 דולר. ברוך הבא לעולם של דינמיות 24 שעות ביממה 🙂

אי אפשר להתייחס אליו כהשקעה רצינית וכתוכנית חסכון

לא מדויק. הכל תלוי בסכום שרוכשים איתו מטבעות ואיזה יחס אתה נותן להשקעה. כמובן שאם תשבור קופת גמל כדי לרכוש איתה ביטקוינים במחיר הנוכחי אתה תסבול מהתקף לב מהדינמיות שערך המטבע קופץ. המלצה שלי? אם אתה רוצה מטבעות, תמתין שירד הערך לדו ספרתי ואז תרכוש בסכום קטן (נניח 1000 דולר). מכאן הכל תלוי כמה אתה רוצה להשתתף במשחק וכמה סבלנות יש לך. 

ומכאן ל-LTC

לייטקוין הוא המטבע הוירטואלי הנוסף שהומצא רק לאחרונה בעקבות הצלחת הביטקוין. גם הוא מבוסס על פרוטוקול פתוח, והכללים שחלים על ביטקוין (אנונימי, פתוח, העברות בין עמית לעמית) חלים גם עליו. כריית הלייטקוין נבנתה מחדש בשונה מהביטקוין והותאמה לרוץ על מחשבי דסקטופ רגילים עם כרטיסים גרפיים של מחשב ביתי. בניגוד לביטקוין ששם יהיו 21 מיליון מטבעות, בלייטקוין המספר הוכפל פי 4 והוא יהיה 84 מיליון. זמן העברת הכספים בין עמית לעמית קוצר (כיום בביטקוין זה יכול לקחת כמה דקות אבל יכול גם לקחת 3 ימים) וההעברה לוקחת בממוצע כ-2.5 דקות. 

לייטקוין כרגע נהנה מהפופולריות של ביטקוין וגם שם השוק משתולל. רק לפני שבוע מטבע אחד היה שווה 12 דולר והיום נכון לרגע זה הוא נע בסביבות 32 דולר. ניתן לרכוש אותו דרך אתר BTC-E ודרך אתרים נוספים. אתם יכולים לכרות אותו עם מחשבים שלכם אך עקב הפופולריות שהוא סוחף בשבועות האחרונים, יקחו כמה ימים (ומספר כרטיסי מסך לעבודה במקביל יחד עם לינוקס) כדי שתקבלו מטבע או 2. במקרה של LTC המדיה עדיין לא הסתערה על המטבע הצעיר מאוד, והוא מתאים למי שחושב להשקיע במטבע צעיר לטווח ארוך מראש (למרות שגם כאן המטבע יעלה ויצנח כמו הביטקוין), כך שאם אתם מצטערים שלא רכשתם ביטקוין לפני 3-4 שנים או לפני מספר חודשים (שביטקוין היה שווה 14$), זו יכולה להיות הזדמנות מעניינת.

השדרוג ל-4.3 והטריקים של סמסונג

בחודשים האחרונים בסמסונג החלו לקחת ברצינות את עניין שדרוגי הקושחה למכשירים שלהם. בעבר לקח להם שנים עד שהם שדרגו מגירסת אנדרואיד 2.3 לגירסה 4 (חס ושלום לגירסה האחרונה!), אך כעת המצב משתפר לאיטו וגירסת אנדרואיד 4.3 תעשה במהלך השבועות הקרובים את דרכה לבעלי מכשירי גלקסי S3, S4 ו-Note-2. אנדרואיד 4.4 יגיע במהלך חודשי ינואר-אפריל למכשירים השונים כאשר החדשים יקבלו זאת כבר בינואר.

אך סמסונג, כחברה ששולטת בשוק האנדרואיד, החלה בשנה האחרונה להתנהג כמו שאפל מתנהגת (במובן השלילי) ללקוחותיה. בעבר היו לה קשרים מצויינים עם מפתחים והיא היתה משתתפת פעילה בפורומי XDA שונים על מכשירים שונים ואילו כיום הם בקושי טורחים להגיב או לשחרר תיעוד או קוד לדברים שלהם (למעט דברים שנכנסים לקרנל), והח"מ כמו אחרים יצא לו לטעום מהדייסה הזו.

החלטתי לשדרג ל-Note-2 שלי לגירסה 4.3 הרשמית של סמסונג, וכמו תמיד – כשלא קוראים מספיק דברים לעומק, חוטפים.

גירסה 4.3 הרשמית שיוצאת למכשירי הגלקסי שזכאים לשדרוג, כוללת כמה דברים. יש שיפורים משמעותיים בביצועים (כולל תמיכה ב-TRIM), ועניין האבטחה קיבל תפנית של 180 מעלות בכך שסמסונג החליטו לאמץ בחום את טכנולוגיות ה-SELinux עד הסוף. מה זה אומר? למשתמש שלא מחפש לבצע Root למכשירו, הוא יהנה מהגנה יותר רצינית אם תוכנה תנסה לגרום נזק לאחד מחלקי התוכנה האחרים (הודעה תקפוץ ותבקש להתעדכן ב-KNOX). לאלו שרוצים Root ו-Recovery, התוכנה תבצע את החיים יותר קשים. לא ברמה של בלתי אפשרית, אבל מי שינסה להתקין Recovery סתם כך לאחר Root יקבל הודעה שהמערכת מסרבת לכך.

אבל זה עוד כלום לעומת טריק די נבזי שסמסונג עשתה.

במהלך השדרוג, סמסונג מחליפה את ה-Boot Loader לגירסה סופר נעולה. מה זה אומר? כמה דברים:

  1. שדרגת לגירסה 4.3 הרשמית? תשכח מלחזור אחורה. אין שום אפשרות (כרגע) לחזור לגירסאות אנדרואיד אחרות קודמות, כולל Custom ROM שמבוססים על 4.2 ומטה.
  2. סמסונג השתמשו בטריק מיוחד כדי לגרום למכשיר לכתוב ביט מסויים באזור שאמור להיות לקריאה בלבד, והם הוסיפו דגל שנקרא Void Warrenty. הווה אומר – שיחקת את המכשיר שלך ועשית לו Root ואתה רוצה לחזור למצב של ללא Root? שכח מזה, המערכת מעדכנת אוטומטית את הביט הזה ואם מחר תביא את מכשירך למעבדה, כל מה שהטכנאי יצטרך לעשות הוא לעבור למצב Download Mode ולהסתכל על השורה של ה-Warranty. כתוב שם 1? שיחקת עם המכשיר, ביי ביי אחריות!
  3. אחד השינויים שסמסונג החליטו לעשות, זה לשנות את כל החלק שמאחסן את המספר הסידורי של המכשיר שלך, ה-MAC Adress של המכשיר ועוד ובקיצור – החלק של ה-EFS. זהו חלק שגם שאתה עושה WIPE למכשיר, הוא נשאר וכולל את כל הדברים היחודיים למכשיר שלך, בלעדיו, מכשירך הוא לא יותר מאשר פלסטיק נחמד ויקר ולא שימושי. סמסונג החליטו לשדרג אותו לגירסה 2 שכמובן לא תואמת לאחור. מה זה אומר? שוב, כל נסיון שנמוך (כן, גם עם ODIN), גם כשיצליח, לא יאפשר לך להתחבר ל-WIFI, לקבל/להוציא שיחות או כל דבר שקשור לתקשורת. מדוע סמסונג החליטו על כך (וכמובן שלא הודיעו לאף אחד)? שאלה מצויינת. מספר ה-IMEI שלך יתחיל ב-0049, הווה אומר – מספר מת. נכון ש"כיף"?

אחד הדברים הכי מוזרים שקרו לי לאחר השדרוג, הוא שמכשירי לא מסוגל להתחבר לגולן טלקום. ה-IMEI שלי מוצג נכון, אני רואה את רשת גולן טלקום ואחרות, אך אינני רואה את סלקום, אך ב-About devices אני רואה שהמכשיר כביכול מחובר לרשת ה"בלתי נראית" הזו של סלקום. כל נסיון חיוג נותן לי הודעה מעצבנת של "Not Registered to Network". החלפתי תוכנת מודם, החלפתי גירסת אנדרואיד, ביצעתי כל דבר אפשרי ולשווא, כרגע ה-Note-2 שלי לא מקבל/מוציא שיחות ומי שמחליף אותו בתפקיד הזה כרגע הוא ה.. Nokia 100 שלי. הידעתם שהנוקיה 100 יודע לאמר את השעה בעברית בקול כמו של ראומה וייצמן? 🙂

אגב, אם מדברים על גולן טלקום, גיליתי משהו מעניין: כשאתם מפעילים את המכשיר שלכם, הוא קודם כל מתחבר למרכזיה של סלקום, וברגע שהמכשיר רואה שאפשר לעבור ל-3G או HSPA ומעלה, הוא "מתנייד" לגולן טלקום. במכשיר שלכם כשאתם במצב 2G (בהפעלת המכשיר והתחברות), אתם תראו שאתם בסלקום למרות ששם המפעיל באותיות גדולות יהיה GOLAN T.

המסקנה שלי מהשדרוג: סמסונג נהיו נבלות. עניין ה-Warranty הוא די דבילי. המשתמש הסופי ברוב המקרים לא יודע בכלל להגיע ל-Download Mode כדי לראות שמישהו כבר "עבד" על המכשיר שלו (אם הוא קונה אותו עכשיו), ומבחינת תוכנה, תמיד אפשר עם ODIN להחזיר מצב להתחלה (טוב, לא לאחר השדרוג ל-4.3). מערכת KNOX היא רעיון מעניין, אבל הפתרון צריך לבוא ברמה של סריקת מה שנכנס מבחינת APK הן כ-Sideload והן כ-Download. חסימה של הרבה דברים אחרים אינה ערובה להגנה.

האם אני ממליץ למשתמשים סופיים שלא ביצעו Root להתקין את השדרוג הרשמי? בזהירות. שינוי ה-EFS שבוצע, נועד כנראה לטפל בעניין מכירת מכשירים מחוץ לארצות מקור (ושינוי CSC אגב, לא עוזר, המכשיר שלי מתעקש שהוא EUR למרות שניסיתי לשנות אותו ל-ILO), ואם המכשיר שלכם לא נרכש מהיבואן סאני אלקטרוניקה, יכול להיות שגם אתם תגיעו למצב כמוני. לכן, אם מופיעה לכם הודעת שדרוג, בקשו ממי שמכר לכם שהוא יבצע את השדרוג ולא אתם. אם תהיה בעיה, הוא יצטרך לשבור את הראש, לא אתם ואתם לא תשלמו מחיר על תיקון.

אני מבחינתי הולך לבדוק מחר עם SIM של אחרים אם המכשיר מתחבר לרשתות אחרות. אם לא, אתן אותו לצערי לתיקון (בתשלום כמובן) ולאחר מכן אותו לאבא שלי (שרוצה מכשיר עם אותיות גדולות…). לאן אני עובר? לגוגל, לנקסוס 5. שם לפחות לא מסתכלים עליי כקרימינל ומאפשרים לי לשדרג את ה-Firmware מתוך תפריט ההגדרות גם אם עשיתי Root למכשיר (זה מה שקרה לי עם הנקסוס 7 שלי).

על שקרים, פראנויה, מחשבים וריגול סיני

ID-100101196בשנתיים האחרונות התפרסמו הרבה מאמרים וחדשות לגבי כל מיני חברות היי-טק שחשודות בכך שמוצריהן מכילים כל מיני "דלתות אחוריות" המאפשרות לכל מיני גורמים לחדור אל המערכות החשובות של הלקוחות, אותם לקוחות שרכשו בכספים רבים מערכות תקשורת ועוד.

לפני כשנה היה הסיפור על 2 חברות הענק הסיניות ZTE ו-Huawei שרצו למכור ציוד תקשורת לארגונים ממשלתיים ולחברות תקשורת ממשלתיות, אך הפוליטיקאים בוושינגטון החליטו לפתוח בציד מכשפות תוך האשמות שאותן חברות מחפשות בעצם לרגל מתוך המערכות של הלקוחות. ההאשמה המרכזית? מכיוון שבהנהלות של ZTE ו-Huawei יושבים אנשים שהם בכירים במפלגה השלטת בסין, הממשל הסיני (שגם מושקע כספית באותן חברות, אגב) ילחץ על אותן חברות להתחיל לרגל. כל נסיונות 2 החברות הסיניות להסביר לנציגי הוועדת שרותי בטחון כי הוראה כזו מצד הממשל תהיה התאבדות של אותן חברות, ובסופו של דבר אותה ועדה המליצה כי גופים ממשלתיים לא ירכשו מאותן חברות ציוד תקשורת, מחשבים וכו'.

thinkpad w530מ-ZTE ו-Huawei נעבור לחברת ענק סינית אחרת שכולם מכירים: Lenovo. דו"ח חדש שפורסם באוסטרליה מגלה כי ארגונים רבים לא מוכנים להשתמש במחשבי לנובו אם התוכן שמוכנס במחשב הוא תחת הגדרה של "סודי", "סודי ביותר" ומעלה בשל החשד ש… ניחשתם נכון, שהממשל הסיני מחפש לחדור דרך המחשבים הללו אל אותם ארגונים ו"לשתות" את המידע הסודי. לנובו, שגם כך נחקרת ע"י האמריקאים על אותו חשד, טוענת כי היא בודקת את הנושא.

אז מה יש לנו כאן בעצם? גופי בטחון שחושדים בחברות ענק סיניות שמוצריהן יאפשרו לממשל הסיני לחדור, להעתיק ולרגל אחר סוכנויות הביון וגופים אחרים.

האם יש בעצם "בשר" לחשדות האלו? האם יש בהם ממש או שהפראנויה כאן תופסת גבהים חדשים?

בוא נתחיל עם עניין הריגול. האם הסינים באמת מרגלים אחרי האמריקאים? התשובה הפשוטה היא בהחלט. הסינים מרגלים כבר שנים רבות אחרי האמריקאים והם מנסים לפרוץ כל דבר שאפשרי לפרוץ, ובדרך גם להעתיק, לגנוב, איך שתרצו לקרוא לזה. זה לא שמדינות אחרות לא עושות את אותו דבר, גם האמריקאים בהחלט מרגלים אחרי הסינים וגם הרוסים מרגלים אחרי הסינים והאמריקאים והאירופאים מרגלים אחרי המדינות הנ"ל ומדינות אחרות וגם אנחנו בקלחת הזו. ההבדל הגדול? הסינים פיתחו את זה לדרגת אמנות. קחו לדוגמא את המאמר הזה, בו מתאר חוקר האבטחה קייל ווילהולט איך צבא הפורצים הסיני ניסה לפרוץ למערכות מים (המערכות הן היו מערכות דמה) ושימו לב מה קייל מציין – לא מדובר בנסיון פריצה של איזה ילד משועמם, הפורצים הסינים ידעו בדיוק לאיזו מערכת הם נכנסים ומה הם צריכים לעשות מבחינת שימוש בחורי אבטחה וכו', כלומר אותו צבא פורצים סיני עובד במספר "שכבות" של איסוף מידע, מחקר לגבי אותו מידע וכו' וכו'.

מהריגול נחזור למחשבים של לנובו. האם באמת יש בהם איזו "דלת אחורית" שדרכה הממשל הסיני יוכל לחדור ו"לשתות" את המידע הסודי במחשבים? אני מאמין שלא מסיבה פשוטה אחת: המחשבים הללו הם בסופו של דבר כמו של המתחרים. לנובו לא מייצרים את כל חלקי המחשב, הם מייצרים את המעטפת, הלוח וחלק קטן מאוד מהשבבים (במיוחד את ה-TPM שמיוצר עדיין ע"י IBM). שאר השבבים נרכשים ע"י לנובו מספקים חיצוניים אחרים בדיוק כמו שהמתחרים רוכשים. אני יכול להבין שעניין אחסון חומרים סודיים וכו' הוא דבר בעייתי על מחשבים, אבל זה כבר לא קשור ללנובו. מה שמחשב PC מתוצרת חברה X נותן לך, גם מחשב מתחרה יכול לתת לך.

טכנית, ניתן כמובן לשלב "דלתות אחוריות" בתוך הדרייברים ואולי באפליקציות שמגיעות איתו, כמו שניתן לשלב "דלתות אחוריות" גם במתגים, נתבים וכו'. לא צריך להיות גאון כדי לבצע זאת, אך גם לא צריך להיות גאון כדי להציע משהו פשוט כדי לסיים את החשדות בין אותם ארגוני בטחון וחברות לבין אותם יצרניות – ניתן להקים גוף עצמאי לחלוטין שיקבל את קוד המקור מהיצרן, יעבור עליו ויבדוק אם יש דלתות אחוריות, יקמפל את הקוד, יחתום עליו והיצרנים יצטרכו להתקין אך ורק את אותו קוד חתום. כל תיקון ועדכון יעבור דרך אותו גוף שיוציא טלאים חתומים עם מפתחות מוצפנים – ואותו גוף יעביר את הקבצים לאותם לקוחות. 

לפני מספר שנים האשימו גופי ממשל כמו רוסיה ומדינות אחרות את מיקרוסופט בכך שקוד ה-Windows שלה כולל דלתות אחרות סודיות ואותן ממשלות איימו להפסיק לרכוש את מוצרי מיקרוסופט. מיקרוסופט נעמדה על הרגליים האחוריות ונלחמה בהאשמות הללו. אחד מהצעדים שמיקרוסופט נקטה – היא שלחה לגופי הבטחון של ממשלות רבות את קוד המקור של Windows כדי שיוכלו לראות בעצמם שאין שום קוד לדלת אחורית, והפרשה הסתיימה. נחזור ל-2013 ולמדליף הסדרתי סנאודן שגילה לעולם משהו פשוט: ה-NSA לדוגמא, לא ממש צריך את הדלתות האחוריות במערכת ההפעלה של מיקרוסופט. הוא מגיש למיקרוסופט צו שחתום ע"י שופט שקשור ל-FISA ומיקרוסופט אפילו לא מערערת. להיפך – מיקרוסופט פיתחה כלים כדי של-NSA וגופים אחרים יהיה קל לשלוף כל דבר שקשור אליה. משתמש ב-Outlook.com? סקייפ? אולי XBOX או שלל שרותים נוספים? מיקרוסופט תשמח לתת כל מידע על איזה אזרח שה-NSA תרצה בלי למצמץ. ה-NSA לעומת זאת לקח את זה הרבה יותר קדימה – כל חברת תקשורת חויבה להקים חדר במרכז התקשורת (של אותה חברה) ול-NSA תהיה גישה תוך 30 דקות מרגע בקשת ההאזנה ומנהלי החברה אפילו לא יכולים לדעת על כך. כך ה-NSA יכולים בקלות לצוטט לכל תקשורת נכנסת ויוצאת מארה"ב. 

אז מה יש לנו כאן בסופו של דבר? ריגול קיים בכל מקום בין מדינות, אויבות או ידידות. ה-NSA ושאר גורמים כבר ממזמן מאזינים בלי שום בעיה לאזרחי ארה"ב (מצריך צו אבל השופט משמש כחותמת גומי בין כה), וכמובן לשאר תושבי העולם תוך שיתוף ארגוני ביון אחרים במקרים מסויימים (ובמקרים אחרים – מתחת לאף של אותם ארגוני ביון). הסינים ממזמן מרגלים והם לא צריכים את גישת המתגים ונתבים של Huawei או ZTE, הם יודעים לנצל פרצות אחרות. האמריקאים לא סומכים על החברות הנ"ל, אבל אם תסתכלו על תוכנית הצנזורה של ממשלת בריטניה, החברה שתשלוט בתקשורת האינטרנט שיוצאת ונכנסת כדי לממש צנזורה ("פורנוגרפיית ילדים"… כן, בוודאי…) היא … Huawei! אותה חברה שהאמריקאים חושדים בה, הבריטים נותנים לה את השאלטר הראשי לתקשורת האינטרנט בבריטניה. 

ניתן לסגור פרצות רבות שימנעו מגורמים כמו הסינים לחדור ובעתיד להרוס תשתית, אולם לשם כך יש צורך בהסברה ובדברים יותר אקטיביים כדי לבדוק שהפריצות לא קיימות, ואת זה רבים לא עושים. לאו דווקא מתוך עצלנות, אלא יותר מבורות. "יש לי Firewall, הוא בטח מגן עליי מכל בעיה ופריצה" – את המשפט הזה שמעתי פעמים רבות מאנשים שאמורים היו להבין ש-Firewall לא יכול לחסום את רוב הפריצות הידועות כיום. הבעיה היא לא במתגים או נתבים של החברות הסיניות והם לא המחשבים של לנובו, הבעיה היא בצורת ההגנה (אם נעשית הגנה רצינית בכלל), ההשגחה והכי חשוב – האכפתיות (לתשומת לב משרד האוצר: השכרת אנשים דרך חברות "גולגלות" שטוענים שהם "מומחי אבטחה" בשעה שחתול רחוב מבין יותר מהם – זו לא דרך להגן על התשתיות!). עד שארגונים וחברות לא יקחו את הדברים ברצינות וישקיעו באנשים ובהגנות רציניות – הם יהיו פתוחים לריגול של הסינים ושלל גורמים אחרים. 

השטות של המאגר הביומטרי

כל העולם ואחותו שכותבים באיזה בלוג או בעיתונות כבר כתבו על הסכנות במאגר הביומטרי אולם נראה כי חלק לא קטן מהאנשים עדיין לא מבין על מה המהומה, אז רציתי להדגים משהו קטן.

לשם הדוגמא, נניח ואני פורץ לבנק, נניח בנק דיסקונט ואני מצליח עם טריקים שונים “להעלים” סכום של 100,000 שקל. מתי הבנק ירגיש בכך? תלוי מתי אני פורץ. בלילה לדוגמא, השרתים של הבנק מריצים סקריפטים שונים שמזכים חשבונות (העברות, הפקדות וכו’) ומחייבים חשבונות. (אם יש לכם מספר תנועות ביום, כנסו לחשבונכם בסביבות 8 בערב, תסתכלו על התנועות, ולאחר מכן כנסו בסביבות 10, חצות ו-2 בלילה, אתם תראו תנועות שונות).

אז נניח שהבנק ירגיש בגניבה תוך שעות ספורות. מה הבנק יעשה? צוות אבטחת המידע של הבנק יגש מיד לעבודה, יבדוק כתובות IP, יודיע למשטרה, יראה האם מעורבים שרתים נוספים בגניבה וכו’, כלומר הבנק מהרגע שמבחין בגניבה – פועל מיד להשבת הכספים ומעצר הגונב וגם מטפל בפירצת האבטחה וכו’. זה לא רק בבנק דיסקונט, זה בכל בנק.

מהבנק נעבור למגזר הממשלתי. החלטתי לגנוב מסמך או תיקיית מסמכים שאני מעוניין בה ואין לי רשות לגשת אליה. טריקים פה, טריקים שם והופס – התיקיית קבצים היא אצלי.

למעט גופים בטחוניים מובהקים (שב”כ, מוסד, שב”ס, חלקים ממשרד הבטחון) – בשאר הגופים אבטחת מידע היא בדיחה עצובה ותו לא. במקרים רבים פתרונות האבטחה הן קופסאות מאוד יקרות שנרכשו והביאו צד ג’ שיגדיר אותם (כמובן שצד ג’ לא לימד את האחראים לעומק מה הקופסא עושה, מה התכונות ואיך להגדיר. השתגעתם?). אז כן, אם אנסה לפרוץ מבחוץ ע”י סריקה של כל מיני פורטים, בוודאי שלא אגיע רחוק, לעומת זאת, אם אמצא איזו עובדת או עובד שנמצאים במצוקת מזומנים (או עובד ממורמר על מקום עבודתו), אתן להם חבילת מרשרשים ואיזה Disk on Key קטנטן והוראה “פשוט תריצי את התוכנה שננמצאת על הדיסק און קי”, סיכויי לשאוב את המידע גדולים בהרבה.

לאחר שקיבלתי את המידע הגנוב, מה הסיכוי שיתפסו אותי? קלוש. מדוע? כי רמת האבטחת מידע היא נמוכה, ובמקרים רבים אין מעקב אחר תעבורת קבצים, או שהגדרות האבטחה הן חלשות ומי שמנהל את המערכת הולך By the book ופשוט מתקין רק עדכוני אבטחה. אם אשתמש באיזה Zero Day Attack, הסיכוי שלי לקבל את אותו מידע תוך עקיפת מנגנוני האבטחה הוא גבוה, והסיכוי להיתפס – נמוך.

מכאן נעבור למאגר הביומטרי.

במדינות רבות בעולם, עניין הטמעת מנגנונים ביומטריים הוא דבר שנכנס בהרבה מערכות ציבוריות ופרטיות, רק שבניגוד לישראל, אין לממשלה שם מאגר מרכזי יחיד עם טביעות האצבע. שם, הן שמורות על הכרטיס ותו לא (למעט במקרים של חברות שמאחסנות את הטביעות בשרתים שלהם). אם יש לך לדוגמא מחשב נייד עם סורק אצבע, אז סריקת טביעת האצבע שלך נמצאת מוצפנת במחשב שלך, אבל היא לא נמצאת בשרתים של מיקרוסופט.

מאגר כזה הוא החלום הרטוב של גורמים פליליים, משרדי חקירות ובלשים פרטיים. האפשרות להפליל אותך גדלה שבעתיים מהמצב הנוכחי. קחו סתם דוגמא תיאורתית: ישבתם במסעדה, אכלתם, עזבתם את המקום ולאחר שעה אירע שם רצח והרוצח ברח. טביעות האצבעות שלכם תימצאנה במהירה ואתם תקבלו טלפון מהמשטרה או שוטר קשוח בדלתכם, כי המשטרה תשתמש במאגר כדי להגיע אליכם ולתשאל אתכם מה עשיתם במקום, מתי היית ואם יש לך הוכחות/אליבי. אין לך? ברכותיי, אתה חשוד. מכיר עו”ד טוב?

נחזור למסעדה – נניח שהרוצח רוצה להפליל אתכם. לא צריך להיות פרופסור כדי לדעת איך להעתיק טביעות אצבע שכבר השארתם במקום. יש מספיק אתרים ומדריכים ברשת לשם כך. כל מה שהרוצח צריך לעשות, זה להעתיק את טביעת האצבע שלך ממקום אחד, ולהדביק אותה בזירת הרצח במקום מחשיד, נניח על השולחן בו ישב האדם שנרצח. לא היית במקום? חובת ההוכחה היא עליך או שתכיר את אבו כביר מבפנים.

המדינה כבר עתה לא יודעת להגן אפילו על הפיילוט! עוד לפני שנאספה אפילו טביעת אצבע אחת, מחדלי האבטחה כבר חוגגים ונראה שמי שמקימי המאגר ובמיוחד החלק שאחראי על הנפקת התעודות פשוט לא מבינים באבטחה! אז כל הבטחותיו של שר הפנים הנכבד הן הבטחות ריקות שהמאגר לא יפרץ/יועתק.

מומחי אבטחה בעלי שם עולמי כבר התריעו עוד לפני שנה ושנתיים שמאגר כזה יפרץ ויועתק, אולם ח”כ שטרית ואחרים העדיפו להתעלם, ועכשיו גם השר סער מעדיף להתעלם. כשגורמים פליליים יגנבו את המאגר ויתחילו להשתמש בזה, לא תהיה אפשרות לחזור לאחור ועד שתתגלה הפריצה אותם גורמים יחגגו.

כמה שנים הסתובב המאגר “אגרון” בשוק? עוד מ-2003. מתי המשטרה עצרה בתכל’ס חשודים? ב-2011! אנחנו באמת צריכים סיבוב שני של זה?

היכן, היכן השכל שם???

דעה: DRM – כן או לא ומתי?

אנחנו נמצאים היום בשנת 2013 ועדיין יש לנו בעיה מהותית בכל הקשור לזכויות קניין רוחני מכל מיני כיוונים. מהצד של יצרן התוכן, חברות רבות עדיין מתייחסות לצרכן הסופי כגנב פוטנציאלי, כאשר מדי פעם מעלים כל מיני נציגי מדיה הצעות דרקוניות כדי להעניש גנבים פוטנציאליים וגם סתם כאלו שהורידו איזה קובץ מבלי לדעת שיש עליו זכויות יוצרים. רק לפני מספר ימים הציע בכיר בחברת מדיה ידועה להתקין בתוך מחשבים חדשים תוכנה בתוך מערכת ההפעלה שתסרוק אחת למספר ימים את המחשב ואם היא תמצא קובץ גנוב, היא תנעל למשתמש את המחשב עד שהוא יצור קשר, ישלם קנס ורק אז יפתח לו המחשב, ממש Ransomware בפעולה. ההצעה הזו כמובן לא זכתה לתמיכה אבל אפשר ללמוד מזה מה קברניטי האולפנים, MPAA, RIAA ושאר חולירות רוצים להכניס לנו.

המצב כיום מבחינת תמיכת DRM בחומרה ובתוכנה עדיין גרוע. אם מחר לדוגמא ארצה ליצור ולמכור תוכן מוגן, אצטרך מספר מערכות הגנה כי מערכת אחת שרצה על מערכת הפעלה אחת לא מדברת עם מערכת אחרת. כך לדוגמא ה-DRM של אפל לא מדבר עם DRM של גוגל וה-DRM של מיקרוסופט לא מדבר עם כלום חוץ ממערכות הפעלה של מיקרוסופט. (יש חריגים כמובן, ה-DRM של מיקרוסופט מיושם ע”י Netflix במערכות הפעלה אחרות בנגן של Netflix אולם לא ניתן להשתמש בו במערכות עצמן עבור ניגון קבצים ומדיה "זרה" של חברות תוכן אחרות).

ישנו נסיון של מיקרוסופט וגוגל להכניס סביבת DRM פתוחה (הכוונה הקוד של המערכת יהיה פתוח כחלק מהקוד של הדפדפן כרום, אבל ההגנות עצמן יהיו בעצם BLOB סגור), אך יש לכך מתנגדים רבים.

לעניות דעתי, יש מקום ל-DRM במקום מסוים, ובמקום אחר ה-DRM רק מזיק ורק דופק את הלקוח. להלן 2 הסיטואציות העיקריות:

  • ניגון תוכן מיידי/תוכן מושכר לזמן קצר: אם שכרת פרק מסידרה או סרט, יש צורך ב-DRM אחרת בעל הזכויות פשוט לא ימכור לך אותו. במקרים כאלו יש הגיון ל-DRM. כיום אם תרכוש סידרה או סרט דרך Google Play (אם אתה תושב ארה”ב כמובן), הסרט ינוגן דרך יוטיוב, כי יוטיוב כבר משלבת DRM די חזק בנגן שלה. היתרון הגדול בנגן של יוטיוב הוא שהוא רץ על כל מערכות ההפעלה, ואין צורך בתוספים שונים כדי לנגן מדיה מוגנת שנקנתה מגוגל. במקרים כאלו גם אם המוכר (גוגל לדוגמא) פושט רגל, הלקוח לא ניזוק כי הקובץ היה מושכר מראש לזמן קצר. סיטואציה זו, אגב, לא קיימת כיום.
  • סרטים/פרקים לרכישה קבועה: פה דווקא ה-DRM רק מזיק לצרכן. בכל פעם שאתה מנגן את התוכן שרכשת, הנגן מבקש מהשרת לבדוק אם הקובץ חוקי וקנוי על ידך, ובמידה ולא – הוא לא ינגן. מה קורה אם מוכר התוכן נרכש ע”י חברה אחרת או פושט רגל? תשאלו לקוחות שרכשו סרטים ומדיה סגורה המופעלת ע”י ה-DRM של מיקרוסופט (PlayForSure, זכור למישהו?) – הם פשוט מצאו את עצמם עם קובץ שאי אפשר להריץ אותו והכסף הלך.

חברות המדיה הגדולות יודעות ומודעות לכך שהגנות DRM נפרצות על ימין ועל שמאל. ב-Netflix לדוגמא, הם חוו פיראטיות תוך 24 שעות מאז ששוחררה הסידרה House of cards והפרקים הופיעו באתרי הטורנט השונים, ולמרות זאת חברות המדיה דורשות מצד חברות השכרת המדיה DRM חזק או ש-No deal. חברות התוכנה לעומת זאת מנסות לשמור על חופשיות כלשהי בדרגות שונות. מיקרוסופט לדוגמא היא הגרועה ביניהם: קובץ שרכשת/שכרת במחשב אחד, לא יכול להתנגן במחשב שני אלא אם חברת ההשכרה ממש התעקשה מול מיקרוסופט (כמו מה שקרה עם Netflix, רק שבמקרה דנן מדובר על Streaming). אפל קצת יותר גמישה ומאפשרת לך לנגן את המדיה שרכשת על 5 ציודים שונים (של אפל או על Windows Desktop, לא על מכשירים מבוססי אנדרואיד או כל מערכת הפעלה אחרת). גוגל היא הכי “ליברלית” ואתה יכול לנגן Stream או קובץ שרכשת על 10 ציודים שונים (כולל אייפון, אייפד, מכשירי אנדרואיד, מק, לינוקס ו-Windows). נקודה אירונית: כשאתה קונה סרט, או פרק בסידרה ב-iTunes, אינך יכול לצפות בו דרך חיבור HDMI מהאייפון או האייפד כי אפל ביטלו אפשרות כזו. אם לעומת זאת תוריד את אותו קובץ כטורנט, תוכל לצפות בו בלי שום בעיה באייפון/אייפד או בטלויזיה שמחוברת לציודים אלו.

אני בספק אם נראה בעתיד מצב בו חברות יוותרו על DRM טוטאלית. יש ויתור מסוים בקבצי אודיו הן אצל אפל והן אצל גוגל (הקבצים שאתה קונה מקודדים ב-AAC ללא DRM אולם פרטיך מקודדים בתוך הקובץ כך שאם תפיץ, הם ידעו שהקובץ הגיע ממך), אבל ויתור זה עדיין לא הגיע לעולם הוידאו, שם ה-MPAA מכתיב מה יהיה ואיך. יחד עם זאת, אם נגזר עלינו לחיות עם תוכן מוגן, עדיף שעניין ההגנה יהיה מסודר כסטנדרט ולא יהיה קנייני של חברה זו או אחרת ויפעל על ציוד אחד ולא על אחר.

התקפות – הסיוט של אחסון משותף

בכל הארץ פורסם שביום א' תהיה התקפה מאסיבית על אתרים. מבחינת אחסון משותף שאני מתחזק (ליתר דיוק: תחזקתי, הלילה "התפטרתי" מהתפקיד) לא היה נזק משמעותי. אתר מסויים שדווקא הופיע ברשימה נשאר חי ותקין, 2 אחרים באותו אתר נפלו.

אבל היום – היתה ה-התקפה. לאתר שלי, לדוגמא, עשו Defacement פעמיים, ועוד פעמיים מחקו לגמרי את ה-DB. חושבים ששחזורים פותרים תקלות? תחשבו שוב. גיליתי סקריפטים שיודעים בקלות לעקוף כל SuEXEC ודומיו, שיודעים להראות לפורץ את קובץ configuration.php או wp-config.php  כטקסט פשוט וגם סקריפט שנקרא xmlpc.php (הוא מטעה אנשים שחושבים שזה קובץ xmlrpc.php) שהוא Database Killer. שילוב של הנתונים מהסקריפט הראשון פלוס ה-xmlpc.php יבטיח לפורץ שתוך דקה אין DB לגמרי! עוד "חוויות" היו אתרים שחודשים רבים לא עודכנו וחורי אבטחה יש שם כמו גבינה שוויצרית, ומשם הפורץ לא עושה רק Defacement אלא גם מכניס את כל שלל הסקריפטים שלו ב-3-5 עותקים, שיהיה. 

אז מה המסקנות שלי שיכולות לסייע לכם? הנה כמה מהן:

  1. לפני שאתם רצים לטלפון לבקש שישחזרו לכם, כנסו לפאנל והורידו העתק של קובץ Access Log אל המחשב שלכם. אחרי שאתם מבקשים שישחזרו לכם, תתחילו לנתח את הקובץ וחפשו שורות POST. אם הפריצה מקומית לאתר שלכם, חפשו שורות POST שדרכם הפורץ מעלה את הסקריפטים שלו. בד"כ זה המקום שאתם תגלו איך הפורץ העלה את הסקריפטים שלו ומשם אתם יכולים להבין איזה תוסף יש לו בעית אבטחה. אם אתם יכולים, תתקנו את הבעיה במקום לבקש שחזור, כי אם הפורץ "יושב עליכם" ובודק שוב את הפריצה, שחזור יחזיר את הקבצים הבעיייתיים. 
  2. אם יש שרות שלמדתי להעריך אתמול והיום, זה CloudFlare. הם נותנים שרות CDN בחינם וגם יודעים לבדוק מי מנסה לחטט לכם באתר. החבילה הבסיסית החינמית לא מגינה באופן מספק, אבל יש שם אפשרויות נוספות בתשלום שיכולים לתת מענה זה או אחר. ה-DNS שלהם מצוין ואם ראיתם שהאתר הזה עולה מהר, זה בגלל שגם אתר זה משתמש בתשתית שלהם.
  3. אם יש לכם ידע כלשהו בלינוקס, ויש לכם כסף ל-VPS, תעבירו את האתרים שלכם ל-VPS ועדיף בלי פאנל. אני יכול לאמר היום מנסיון ש-CPANEL/WHM לא עוזר נגד הפריצות בכלום. רוב העבודה שהיום עשיתי קשורה בסקריפטים ב-Shell (עם המון AWK).
  4. נקודה חשובה: ספק אחסון אתרים אינו קוסם. הוא ברוב המקרים לא ינתח מדוע נפרץ האתר שלכם ואתם תצטרכו להחליט מה לעשות בנידון.

כשאני מסכם את היום, אני מגיע למסקנה שאחסון משותף הוא אולי זול, אבל יש מחיר מאוד גבוה ל"זול" הזה. האם אני אמליץ מחר לבעל עסק שיש לו אתר קטן לאחסן באחסון משותף? כן. האם אני בעתיד יחשוב להציע אחסון משותף בזול? לא, זה לא שווה מבחינה כספית את הזמן ומאמץ כשקורות תקלות מרובות עקב פריצות המוניות.