על כספומטים, XP, וסיום חיי מערכת הפעלה

לאחרונה מפורסמים באינטרנט כל מיני מאמרים המפחידים את הציבור (והבנקים?) על כך שמכיוון שכספומטים רבים מריצים את Windows XP כמערכת הפעלה שלהם, ומכיוון שמיקרוסופט הפסיקו את התמיכה, אז הכספומטים יהיו חשופים לפריצות חדשות ויהיה תוהו ובוהו.

אמנם אינני עובד של בנק כלשהו, אך הח"מ מכיר מספיק מערכות כספומטים ומערכות אחרות וחדשות אלו הם לא יותר מטעות מפגרת של מי שכותב מאמרים כאלו.

מערכת ההפעלה שבכספומטים היא גירסה מיוחדת של XP שנקראת XP Embedded. בניגוד ל-XP רגיל, חלקים רבים ממערכת XP סטנדרטית פשוט לא מותקנים בכספומטרים. XP Embedded נותנת לאינטגרטור מאות אפשרויות להתקין רק חלקים קטנים מאוד מכל ה-XP, כך שפריצה שתעבוד על מכונת XP, יש סיכוי לא רע שהיא כלל לא תעבוד על XP Embedded כי אותם חלקים שהפריצה עובדת עליהם כלל לא מותקנים במערכת. ברוב כספומטים לדוגמא לא מותקן דפדפן או כל חלק אחר שמרנדר דף HTML ועוד חלקים רבים שקיימים ב-XP לא נמצאים שם.

מעבר לכך, מיקרוסופט מכרה את XP Embedded עם חוזה תמיכה ארוך מאוד. כמה ארוך? מערכת XP Embedded נתמכת עד 12/1/2016, כלומר יש כמעט שנתיים נוספות עד שהבנקים יצטרכו להחליף מערכות כספומטים. אגב, עם XP Embedded אין יותר את יום שלישי כיום שחרור טלאים. שם – אם יש טלאי אבטחה, הוא נשלח באותו יום. אך הוא כמובן מוטמע מתי שחברת התמיכה בכספומטים מחליטה. 

אז אפשר להרגיע עם כל הפאניקה. לבנקים יש עדיפות מאוד גבוהה בשמירה על מערכות כספומטים. אחרי הכל, זה המקור הכי קרוב לגנבים לגנוב שטרות. 

אגב, אחת השמועות מחברה ידועה מעובדי רד-האט היא שישנם כמה בנקים שמתעניינים דווקא בלהסב מערכות כספומטים מבוססות לינוקס כל עוד רד-האט תתן תמיכה מאוד ארוכה למערכת הפעלה. סביר להניח שאם זה יגיע לשלב חתימת חוזים, זה יפורסם. אני בספק גדול אם בנקים פה יכניסו כספומטים מבוססי לינוקס (אם כי כיום כמעט כל הבנקים מריצים או עוברים להריץ Linux כמערכת מרכזית ב-Back End או לינוקס כ-VM על מערכות zOS (מיינפריים).

כמה מילים על התקיפה המתוכננת ביום ראשון

אחת למספר שבועות, ארגון "אנונימוס" מוצא לו מטרה חדשה להתקיף. הסיבות שונות מתקיפה לתקיפה. חלק מהסיבות נראות לאנשים מסויימים מוצדקות. אישית אינני חושב ששום התקפה יכולה להיות מוצדקת. התקפות על אתרים כמובן שלא משנות מאומה מבחינת שינוי מדיניות של המותקף, אבל לך תסביר את זה לכמה אלפי משועממים.

ביום ראשון הקרוב (7/4) מתוכננת התקפה (שלמען האמת כבר החלה, כפי שניתן לראות כאן) על אתרים ישראלים. בפוסט זה אנסה לתת כמה שיותר מידע וטיפים בנידון.

בניגוד למה שרבים חושבים, התקפה של אנונימוס אינה רק התקפה מסוג DDoS אלא גם נסיונות פריצה או השחתה של אתרים. את החלק של DDoS בארץ סופגים ספקי האינטרנט הישראליים (שכבר החלו להיערך לכך מלפני שבועיים), וסביר להניח שאחד הדברים הראשונים שהם (הספקים) יעשו בחלק מהמקרים הוא חסימת התקשורת מחו"ל לישראל לשרתים מסויימים, כך שאם השרת (בין אם פיזי או וירטואלי) מותקף, ואתה מתארח אצל ספק קטן, אתה צריך להודיע לספק והוא יבקש מהספק הראשי (נטויז'ן/סלקום, 012/אורנג', 014/בזק-בינלאומי) לחסום זמנית תקשורת מחו"ל. לא נעים שגולשים מחו"ל לא יצליחו לגלוש לחלק מהאתרים, אבל אין הרבה ברירות.

הסוג השני של ההתקפה הוא כפי שציינתי, הם נסיונות פריצה או השחתה של אתרים. בחלק מהמקרים ינסו לתקוף אתר ספציפי, ובחלק מהמקרים סביר להניח שינסו לתקוף את השרת עצמו כך שאם יצליחו, כמעט כל האתרים באותו שרת יינזקו. 

רשימות של אתרים וכתובות IP המיועדים להיות מותקפים פורסמו באתרים כמו Pastebin ואחרים, אך כפי שציינתי לעיל, רשימה זו אינה רשימה מוחלטת, כלומר אם האתר שלך יושב על שרת שמארח אתר אחר שכן פורסם ברשימה, האתר שלך יהיה חשוף לנסיונות פריצה.

מה בוני אתרים ומתחזקי אתרים ושרתים יכולים לעשות? מספר דברים:

  1. גיבוי – צרו גיבוי מיידי ואל תסמכו על שרות הגיבוי של הספק שאתם נמצאים אצלו. ביום ההתקפה סביר להניח שידי הספק תהיינה מלאות (כבר יצא לי לשוחח עם כמה ספקים שהם אדישים לחלוטין למה שיקרה ביום א') ושחזור יכול לקחת זמן. "הפתעה" נוספת שיכולה לקרות היא גילוי שהספק מעוניין בתשלום עבור שחזור. לכן אני ממליץ להיכנס לפאנל ניהול של החשבון שלכם, ליצור גיבוי ולהוריד אותו אליכם כך שתוכלו לשחזר ביום א' אם יפרץ האתר/שרת שלכם.
  2. מעבר על הרשאות: אתרים שרצים על לינוקס, מומלץ להיכנס למנהל קבצים ולבדוק שההרשאות הן המינימום ההכרחי: 644 לקבצים, 755 לתיקיות (אפשר 701 לתיקיה אם אתם משתמשים ב-SuExec ודומיו). לא להשאיר תיקיות עם הרשאות כתיבה/קריאה/הרצה לכל העולם ואחותו (הרשאות 777). 
  3. עדכונים: עדכון גירסת האפליקציה/תוספים/עיצובים – ודאו כי יש ברשותכם גירסה אחרונה.
  4. עברו על ה-DB שלכם ווודאו כי אין משתמש בשם admin או User ID שהוא 1. כמו כן, הסתכלו ב-MD5 של הסיסמאות, ואם אותו מספר חוזר בכל המשתמשים, אז כנראה בעבר פרצו ל-DB שלכם, שנו את הסיסמאות. 
  5. בעלי שרתי VPS/שרתים פיזיים – התקינו חומת אש (בלינוקס: CSF מומלץ) פנימית, והגדירו אלו מדינות יהיו חסומות (רמז: השכנים שלנו ועוד כמה מדינות "חובבות" ישראל), כך תקטינו את הסיכוי שיפרצו אליכם.

הכי חשוב: להצטייד בסבלנות. אם האתר שלכם מותקף (ולא חשוב איזה סוג התקפה) הלקוחות יתקשרו עצבניים. אל תיקחו את זה אישית, הסבירו שמדובר בהתקפה כוללת.

לאחר יום א', מומלץ שוב לבדוק את ה-DB והקבצים לראות שלא החדירו לכם קבצים חדשים או לא שינו לכם את ה-DB.

טיפים להגנה על וורדפרס

וורדפרס היא אחת המערכות הכי פופולריות בעולם להקמת אתרים קטנים ובינוניים. כמעט כל בונה אתרים משתמש בה בהזדמנות כזו או אחרת לפני שהוא מתנסה במערכות אחרות. אחרי הכל, היא מאוד קלה לשימוש, לא מצריכה כל כך ידע טכני בכתיבת קוד (למעט כמובן המקרים אם אתה רוצה לשנות קוד בתוכנה/עיצוב/תוסף), ואפשר להרים איתה אתר שנראה טוב תוך דקות ספורות, ולאחר מכן להוסיף תוספים שונים, עיצובים, דפים, גרפיקה, תוכן וכו'.

מכיוון שוורדפרס מאוד פופולרית, היא גם מאוד פופולרית בנסיונות פריצה. כל יום מנסים לפרוץ לאלפי אתרים מבוססים וורדפרס. לא צריך להיות גאון כדי לפרוץ לוורדפרס, יש סקריפטים רבים שעושים זאת.

רבים נוטים לחשוב כי אם הם יתקינו את הגירסה האחרונה של וורדפרס, גירסה אחרונה של תוספים ועיצוב, הם יהיו מוגנים.

הלוואי וזה היה כך, אך צר לי לבעס אתכם/ן. זה לא מספיק.

וורדפרס, כעקרון, מותקן כמעט ללא הגנות, הנה חלק מהבעיות שלו:

  • המשתמש הראשי תמיד נקרא admin והוא עם user ID מספר 1, מה שמאוד מקל על סקריפטים לעשות SQL Injection ולשנות את סיסמת ה-Admin ו/או את כתובת המייל ואז אם הפורץ עושה שחזור סיסמא, מייל יגיע אליו ומשם הדרך קצרה מאוד להשתלטות על האתר שלכם, להפוך אותו לספאמר (דפים נסתרים וכו'), לשנות תכנים וכו'.
  • התיקיות עצמן הן Hard coded, תמיד התוכן/תוספים/עיצובים ישבו ב-wp-content, ושוב – סקריפטים משתמשים בזה כדי לפרוץ.
  • הרשאות קבצים פתוחות מדי. שוב, זה אחלה דבר לסקריפטים. מומלץ להסתכל בקישור הזה כדי לראות מה ההמלצות מבחינת הרשאות מומלצות.
  • קבצים חיוניים שאמורים לא להיראות – נראים גם נראים, כמו wp-config.php ועוד. נכון, הם לא מציגים שום דבר שמראים אותם בדפדפן, אבל גם במקרה זה סקריפטים יודעים להשתמש במידע.
  • גירסת הוורדפרס מוצגת, מה שמקל על סקריפטים לדעת היכן נקודות החולשה של האתר
  • המערכת אינה חוסמת נסיונות התחברות שגוים מרובים ל-wp-admin, מה שמאפשר לסקריפטים לרוץ חופשי ולנחש סיסמאות. נכון, זה אולי לא נשמע מזיק (אם כתבת סיסמא חזקה), אבל ראיתי לא מעט מקרים שדווקא עם זה חדרו לאתרים
  • סיסמאות מוגדרות הן חלשות ו-וורדפרס לא יודעת לאסור סיסמאות חלשות.

אלו, על קצה המזלג, בעיות שיש לוורדפרס.

לשמחת כולם, יש פתרון שיכול למנוע את רוב הבעיות שהצגתי והוא נקרא Better WP Security. זהו תוסף שיכול לתקן פאקים רבים של וורדפרס ולתת הגנה כלשהי. יחד עם זאת, התוסף הזה הוא לא פתרון של "שגר ושכח". יש בו מספר אופציות שאם תפעילו, האתר שלכם פשוט לא יעלה או יסגור אתכם בחוץ, לכן אם אתם רוצים להתקין אותו, צרו גיבוי של המערכת, וקראו מה כל אופציה עושה ותחליטו אם להפעיל אותה או לא. לדוגמא: אם יש לכם אתר קיים והחלטתם להפעיל את ההמלצה לשנות את ה-wp-content, תראו שכל האתר שלכם נשבר, כי התוסף לא משנה בתוך ה-DB את החלק של הכתובת לשם תיקיה חדשה. השינוי הזה לדוגמא מאוד מומלץ שמקימים אתר חדש.

עוד תוסף שכדאי לתת עליו את הדעת ה-BPS Security. התוסף הזה נותן חלק מפונקציות שלא קיים בתוסף לעיל, אבל גם לו יש כל מיני Issues, במיוחד אם יש לכם תוסף כמו WP Super Cache (תצטרכו ליצור את ה-Rules מחדש ב-יhtaccess ולפעמים תצטרכו לשנות דברים ידנית בקובץ הנ"ל).

עניין נוסף: במקרים רבים כשיש Defacement, אנשים פונים לספק, הוא משחזר ורבים חושבים שכך נגמר העניין. אז זהו, שלא. בחלק לא קטן מהמקרים ה-DB (ספציפית טבלת המשתמשים) במקרים רבים שונה ושחזור לדוגמא של מערכות WHM/CPANEL לא משחזר DB, כך שאם הפורץ שינה את אחת הסיסמאות או הוסיף את עצמו, אתם תמצאו שאתרכם יפרץ שוב, לעיתים לאחר כמה שעות. לכן, מומלץ לבדוק את טבלת ה-DB לאחר שחזור ולראות איזה משתמשים יש, והאם סיסמתם לא שונתה (יש סקריפטים שמשנים באופן גורף את כל הסיסמאות לדברים כמו admin123).

בהצלחה

שילוב טאבלטים בתוך חברות

חברות מטבען הן דבר שמרני שזז לאט, יש שיאמרו אפילו מאוד לאט. טרנדים שונים שצצו לפני שנה שנתיים לא נכנסים באופן רשמי לחברות מחר בבוקר אלא אולי עוד שנה, וגם זה לאחר בדיקות כדאיות שונות. אם לדוגמא אתם באים לראות הרצאות על תחומי IT מסורתיים מאנשים שהם סמנכל"ים, מנמ"רים, ראשי IT וכו', סביר להניח שהמציג יעלה לבמה ומולו יהיה המחשב שלו. ברוב הפעמים אתם תראו דגם מחשב שבתמונה משמאל, ה-Thinkpad האלמותי. בחלק קטן מהמקרים תראו מחשבים אחרים כמו Dell או HP או אולי אפילו איזה Macbook של אפל, אבל שוב, זה רק בחלק קטן מהמקרים.

קצת היסטוריה
ב-4 שנים האחרונות חלו 2 שינויים מהותיים בתחום הציודים האישיים שנכנסו ל-Corporate כאשר אחד מהם נכנס בצורה מאסיבית והשני יותר בטיפין. השינוי הראשון שהחל בערך ב-2009 הוא כניסת מכשירי הסלולר (הכוונה מכשיר סלולרי מטעם העבודה, לא מכשיר שהוא רכוש פרטי של העובד) החכמים עם מסך מגע שהחלו להחליף לאט לאט מכשירי טלפון סלולריים פשוטים ובשנתיים האחרונות מכשירי סמארטפון עם מקלדות פיזיות (כדוגמת ה-BlackBerry ומכשירי הנוקיה מסידרה C ו-E). כיום רוב החברות הכניסו או שהם בשלבים מתקדמים של הכנסת סמארטפונים כמו iPhone או סמארטפונים אחרים מבוססי Android וההחלפה הזו חלה גם בחברות ישראליות גדולות מאוד כמו חברת החשמל שתכניס השנה 10,000 מכשירי HTC או צה"ל שמכניס מכשירים מ-2 ה"מחנות". סביר להניח שגם יורוקום תנסה להיכנס חזק בשוק ה-Corporate עם מכשירי ה-Lumia 820,920 אך להם מחכה מאבק לא קטן.

השינוי השני שהחל בשנתיים-שלוש האחרונות הוא כניסתם של מכשירי טאבלט ל-Corporate. החדירה של טאבלטים החלה בד"כ מהדרגים העליונים ואנשי IT מכירים את הסיטואציה: המנכ"ל או אחד הסמנכל"ים רכש טאבלט חדש והוא רוצה שהמכשיר יחובר לתשתית של החברה כדי שהוא יוכל לעיין במיילים, לראות מסמכים וכו', וכיום המצב מגיע לכך שיותר ויותר חברות חושבות לרכוש טאבלטים בכמות גדולה, בין כתחליף ובין כתוספת – לעובדים מסויימים. עד לפני מספר שנים, היו טאבלטים מבוססי Windows בעיקר בחו"ל בסקטור ה-Vertical Market כאשר נציגים שהיו עם רכבים נוסעים ללקוחות, אותו מכשיר היה מריץ אפליקציה מיוחדת שמשרתת את הנציג. עם השנים המכשירים הללו הוחלפו במכשירי Pocket PC שאותם ניתן לראות גם כיום אצל נציגים בארץ של מובילי סחורות, טכנאי בזק ועוד. מיקרוסופט ניסתה יחד עם שותפות החומרה שלה להכניס את הטאבלטים לשוק, אולם השוק לא היה מעוניין בכך ממגוון סיבות: מכשירים כבדים, חיי סוללה קצרים, הכרח להשתמש ב-Stylus, וקושי עבודה עם המכשיר.

עד שאפל הגיעו.

אפל הפכה את הטאבלט למוצר נחשק עם GUI שמותאים לאצבעות, עם חיי סוללה רציניים (10 שעות), ובמשקל קל. אפל ב-2010 וב-2011 כבשו את שוק הטאבלטים, ושוב כולם ראו כיצד אפל מנצחת את מיקרוסופט, כאשר האחרונה נרדמה בשמירה, כמו שקרה לה בעשור האחרון גם עם האייפון.

באוקטובר 2011 גוגל שחררה את אנדרואיד 4.0 (ICS) ומכאן החלה התחרות לאפל. עד אותו תאריך היו טאבלטים עם אנדרואיד גירסאות ישנות יותר (עד אס היתה גירסה 3 היתה בעצם גירסה 2 + שפצורים שנתנו הרגשה שזו מערכת שנועדה לטלפון סלולרי אבל עם מסך יותר גדול, לא משהו ששווה להתלהב ממנו, במיוחד כשהמכשיר הדגל, הלו הוא מוטורולה XOOM עלה בגירסה הבסיסית שלו פי 1.5 מטאבלט של אפל – כ-800 דולר, הוא נחל כשלון חרוץ בשוק), אך מהרגע ששוחררה גירסה 4, יצרניות חומרה החלו לייצר במרץ טאבלטים מבוססי אנדרואיד כאשר כמעט כל יצרן מוכר הוציא מספר טאבלטים לשוק: ACER,ASUS,SAMSUNG,LENOVO,HTC ולאחרונה גם HP ועוד.

מיקרוסופט, כרגיל, הגיעו באיחור לשוק, עם ה-Surface שמבוסס על ARM וה-Surface Pro שמבוסס על אינטל. 2 הטאבלטים מריצים גירסת Windows 8 אולם ה-Surface לא יכול להריץ אפליקציות רגילות שרצות על PC מכיוון שמדובר במעבד על ארכיטקטורה שונה. כיום ה-Surface וטאבלטים אחרים מבוססי Windows 8 על מעבדי ARM קיימים כ-4 חודשים בשוק, אך עד כה הם נוחלים כשלון כה חרוץ, שחברת סמסונג, אחת היצרניות העיקריות של מכשירים כאלו, הודיעה לאחרונה שהיא מפסיקה לשווק אותו באירופה כי לקוחות פשוט לא רוכשים זאת. גרוע מכך, סמנכ"ל בכיר בסמסונג הכריז על Windows 8 כ"Windows Vista". מיקרוסופט מצידה מאשימה את יצרני החומרה במספרים הנמוכים שמכשירי טאבלט ומחשבים ניידים עם Windows 8 נמכרים.

האם טאבלטים יכנסו לשוק ה-Corporate? כן. יש להם יתרונות רבים, אך ראשית יש צורך לענות על מספר שאלות כדי לתכנן הטמעת טאבלטים ב-Corporate, ופוסט זה ינסה לענות על חלק מהשאלות והצרכים.

מהם יתרונות הטאבלט על מחשב נייד?

יתרונות הטאבלט על מחשב נייד הם:

  1. חיי סוללה כפולים בהשוואה לכל מחשב נייד ממוצע
  2. תחזוקה יותר קלה
  3. זמן לימוד קצר כדי להשתמש בטאבלט
  4. יכול להתחבר לתשתית החברה מרחוק
  5. קל משקל
  6. פתרון מתאים לחלק מהעובדים במקום המחשב הנייד שברשותם
  7. קלות התאוששות במידה וטאבלט אבד או נגנב 
  8. ניתן לשליטה מרחוק וניתן למחוק מרחוק מידע במידה והוא אבד או נגנב

מהם החסרונות של טאבלט?

  1. לא ניתן להריץ עליו אפליקציות שרצות על PC (למעט Surface Pro ולגביו אתייחס בהמשך הפוסט)
  2. בחלק מהמקרים לא ניתן להשתמש בפתרון ניהול מרכזי – על הטאבלטים (תלוי בסוג, שוב, אתייחס לכך בהמשך הפוסט)
  3. לא בנוי לעבודות כבדות (תכנות, גרפיקה וכו')
  4. כמות האחסון שניתן לאחסן פיזית על הטאבלט – די קטנה
  5. מערכות הפעלה "צעירות".
  6. יש צורך בתכנון מיוחד על מנת לאפשר לטאבלט להשתמש במשאבים שונים בחברה (הדפסה, השתתפות ברשתות שונות, ניתוב וכו')

תחרות בשוק
כפי שציינתי, כיום בשוק הטאבלטים יש תחרות עזה בשוק וברשותכם אחלק את השוק ל-3 לפי מערכות ההפעלה:

אפל (iOS) עם ה-iPad / iPad-Mini

אפל היו הראשונים בשוק הטאבלטים המודרניים ומערכת ההפעלה שלהם (כיום בגירסה 6.1.2) עובדת בצורה יציבה ומרשימה. 

יתרונות: לטאבלטים של אפל קיים שוק תוסס של תוספי חומרה ואפליקציות. מבחינת כמות אפליקציות, לאפל יש את הכמות הגדולה ביותר של אפליקציות (אם כי בניגוד לאנדרואיד לדוגמא, באפל רוב האפליקציות הן בתשלום) ורוב האפליקציות שקיימות ל-iPad גם רצות בצורה מיטבית על המכשיר, כאשר הן אינן סובלות ממחלת ה"מתיחה" (אפליקציה שנועדה לטלפון והיא "נמתחת" ע"י מערכת ההפעלה, והתוצאה לא נראית טוב). קיימים פתרונות תוכנה שונים לחיבור ל-VPN, ולהסתנכרנות ל-LDAP של החברה. קיימים פתרונות ניהול מרכזי, ומחיקה מרחוק. עקומת הלימוד היא מאוד קטנה ואם מישהו יודע להשתמש באייפון, הוא יודע להשתמש ב-iPad. יש נציגות רשמית בארץ לענייני תמיכה ושרות למכשירים (איידיגיטל).

חסרונות: אפל עובדים בשיטת "My Way or the high way". אינך יכול לשנות תפריטים ולהסיר אפליקציות שהגיעו עם המערכת, ואינך יכול לעשות root למכשיר בצורה רשמית (כדי לעשות קאסטומיזציה שתתאים לחברה). מבחינת אפליקציות, אין אפשרות לשייך אפליקציית צד ג' כדי שיפתחו סוגי מידע שונים (כך לדוגמא אם יש לך פתרון כמו CloudOn לצפיה/עריכה של מסמכי אופיס, לא תוכל לשייך את האפליקציה שתפתח מסמכי אופיס). אין תחרות מצד יצרנים שונים עם אותה מערכת הפעלה.

אנדרואיד (4.1. 4.2)

מערכת ההפעלה אנדרואיד (של גוגל) היא מערכת יציבה שתומכת במגוון גדול של חומרה וקיימים יצרנים רבים של טאבלטים מבוססי אנדרואיד. חברות כמו Asus (עם דגמי ה-Transformer), סמסונג (עם דגמי ה-TAB וה-NOTE 10.1), לנובו, ACER, HP ועוד מייצרים טאבלטים שמתאימים לשווקים שונים ולצרכים שונים כאשר כל חברה לעיתים מבדלת את עצמה (כמו סמסונג ולנובו), ואחרים פשוט מתקינים את מערכת ההפעלה ומוסיפים עליה מספר דברים קטנים, כך שמבחינת ה-Corporate יש מספיק חברות מוכרות שאפשר להוציא מיכרז לטאבלטים+תוספים, לחתום חוזה שרות לציוד ועוד.

יתרונות: מבחינת קאסטומיזציה, מהרגע שפותחים את הנעילה של הטאבלט (אפשר לפתוח ולא לאבד אחריות אם סוגרים זאת במסגרת חוזה רכישה רציני), ניתן לעשות קאסטומיזציה מכאן ועד להודעה חדשה באנדרואיד. ניתן להוסיף ולהסיר אפליקציות, שרותים, לנעול את המכשיר מבחינת התקנת אפליקציות שהחברה לא מרשה, לאפשר הצגה רק של דברים מסויימים. מבחינת חיבוריות, כל האפשרויות של התחברות נמצאות מהרגע הראשון ובד"כ אין צורך בתוכנות צד ג' להתחברות. בנוסף לכך, קיימות מגוון אפליקציות לריכוז וניהול טאבלטים מבוססי אנדרואיד המאפשרות נעילה מרחוק, מחיקה מרחוק, התחברות ל-Active Directory ועוד דברים רבים אחרים שמחלקת IT צריכה.

חסרונות: עדכונים. כשרוכשים את המכשירי NEXUS של גוגל, אתם תקבלו עדכונים מדי פעם. כשרוכשים מכשירים של יצרניות חומרה אחרות, לוקח חודשים עד שמקבלים עדכון. (רשמית זה יכול להוות אולי בעיה וחסרון, אך לאנדרואיד יש קהילה מאוד תוססת וחברים רבים בה משחררים עדכונים, טלאים ותוספות בחינם ואפשר לראות לפי התגובות האם העדכונים עובדים או לא. מעבר לכך, העדכונים הלא רשמיים ממשיכים גם כאשר היצרן כבר לא מייצר/לא נותן אחריות למוצר, וכך מכשיר בן שנתיים אפשר למצוא עבורו ROM שיתן יותר פונקציונאליות למכשיר ממה שהוא נרכש!). חסרון נוסף (שמתייחס ספציפית לישראל) הם שהיבואנים לא מכירים מי-יודע-מה אנדרואיד וכשיש שאלות טכניות על תוכנות/הגדרות, לא תמיד תמצאו מי שיענה (אפשר כמובן לפתור זאת בכך ששוכרים מישהו או חברה שיתן לכם שרות על תוכנה/הגדרות).

מיקרוסופט (Windows RT)

(הערה: אני בכוונה לא מתייחס ל-Windows 8 על X86 עם מכשיר Surface Pro הרגיל הואיל ומדובר במחשב לכל דבר ועניין, כך שאין לו קשר לפוסט זה)

מיקרוסופט שחררה באוקטובר 2012 את Windows RT שהוא Windows 8 גירסת HOME מקומפלת ל-ARM. כיום חלק מהיצרנים מייצרים טאבלטים מבוססי Windows RT, כאשר המגמה כרגע היא שחלק מהחברות "יורדות מהעץ" כדוגמת סמסונג, ו-HP אשר העדיפו כלל לא לייצר טאבלט כזה. 

Windows RT אינו תואם בינארית לשום דבר. מבחינת אפליקציות, לא ניתן להתקין שום אפליקציה במכשיר באופן עצמאי (במסגרת Mastering בחברה עצמה כ-Image מרכזי שיותקן על כל המכשירים) אלא אך ורק דרך החנות של מיקרוסופט. מערכת ההפעלה כוללת חלק מאופיס 2013 (גירסה קצוצת רגליים) ללא Outlook. לא ניתן "לשדך" בין מכשיר כזה לבין Active Directory ללא תשלום תוספת של 100$ לערך וכמות האפליקציות שקיימות לו כרגע היא מגוכחת. רוב האפליקציות הן לא יותר מאשר קישור לאתר מיוחד, כלומר Web Application. לא ניתן להתקין עליו כל כלי עבודה אחר שנמצא בחברה כי אין תאימות בינארית. בנוסף, הטאבלט סובל ממחלת ה"אמצע" – כאשר חלק מה-GUI בנוי לעבודה עם אצבעות וחלק אחר יגרום עצבים למשתמשים, במיוחד כאשר צריך להרחיב חלון במצב Desktop או כאשר יש לשנות הגדרות ואין לאותן הגדרות ממשק מגע נוח. 

Windows RT כפי שהינכם יכולים לנחש עד כה אינו מומלץ לשימוש במסגרת ה-Corporate ולמען האמת מיקרוסופט עשתה הכל על מנת שהוא לא יכנס ל-Corporate וזאת כדי להרוויח מגירסת ה-PRO של הטאבלט וגירסאות ה-PRO למערכת ההפעלה שלהם.

לאלו עובדים בחברה טאבלט יתאים?

טאבלט יכול להתאים בחברה לאנשים שעובדים עם המון מיילים ו-Web, כמו אנשי שיווק שנמצאים רוב הזמן בשטח. חיי הסוללה הארוכים, והמשקל הקל של הטאבלט יכולים להקל משמעותית על איש השיווק. דוגמאות נוספות הם טכנאי שטח (שוב, סוללה ומשקל), כמכשיר נוסף למנהלים, ושאר מקצועות שפחות צריכים להכין תוכן אלא יותר להציג תוכן ולעשות עריכות טקסט קלות, מענה למייל, גישה לקבצים מרחוק ועוד.

האם יש צורך בציוד נוסף?

כן. אם מחליטים לרכוש טאבלטים, מומלץ להוסיף את הדברים הבאים:

  1. מטען נוסף לכל מכשיר (מכירים את הצעקות "למי יש מטען לאייפון?" אז אתם יודעים על מה אני מדבר).
  2. מקלדת נוחה עם תושבת לטאבלט (שלא תהיה עם מקשים צפופים, שהטאבלט לא יעוף כשמחברים את המקלדת, שניתן יהיה להקליד גם כשהטאבלט+המקלדת נמצאים על הברכיים).
  3. חיבור ל-HDMI (חיבור ממיקרו ל-HDMI מלא) על מנת שאפשר לראות את התצוגה על מסך יותר גדול (בעת מצגת וכו'). מומלץ גם לרכוש מספר פלאגים לחיבור HDMI ל-VGA ול-DVI.
  4. כרטיס מיקרו SD (במקרים שלא מדובר על iPad) כך שהתכנים של העובד ישבו שם ולא יגמרו את האחסון הקטן של הטאבלט.
  5. לסגור חבילות DATA עם הספק הסלולרי המועדף על החברה.

האם יש צורך מבחינת ה-IT בהתאמות לתשתית ה-Corporate?

תלוי לאיזה מידע משתמש הטאבלט צריך לגשת. אם לדוגמא רק למייל והחברה נותנת שרותי OWA, אז הגדרה פשוטה בטאבלט תספיק.

אם לעומת זאת יש צורך להשתמש בחלק או רוב או כל השרותים שכל מחשב משתמש (קבצים, LDAP, הדפסה, Active Directory Authentication, Sharepoint, Lync וכו') והטאבלט ינוהל בניהול מרכזי, אז יש צורך בתכנון מקדים של הדברים ועדיף לשכור מישהו חיצוני שיעזור בהטמעה גם בצד הטאבלט וגם בצד ה-IT. מדובר בתהליך מורכב וחשוב להתייעץ ולהחליט לפני שרוכשים את הטאבלטים ובוחרים פלטפורמה של טאבלטים.

לסיכום: בניגוד לכל מיני אנשים שחושבים שטאבלטים הם צעצועים ותו לא, טאבלטים יכולים לסייע במקצועות שונים ולאנשים שונים בחברה, הן מבחינת הוזלת עלויות שונות (הדרכה, תחזוקה, ניהול), והן מבחינת החזרת השקעה (ROI). בטאבלטים מבוססי אנדרואיד אם אפליקציה אינה מגיבה, אפשר מרחוק למחוק את ה-User Data (שיכול "להישאב" לאחר מכן מהשרת) ומיד לחזור לעבודה הרגילה. קל יותר לקרוא טקסטים, מחלקת ה-IT יכולה לעקוב אחרי המכשיר בקלות, וניתן במקרים של גניבה/אבדה להשמיד מרחוק מידע סודי וחשוב. טאבלט שעובר הטמעה ונעילה בצורה נכונה, סביר להניח שגם לא יסבול מוירוסים/תולעים/בוטים ומכיוון שרוב האפליקציות שירוצו בו מבוססי ענן, כמות התקלות תהיה נמוכה.

גילוי נאות: הח"מ נותן כפרילאנסר שרותי יעוץ והטמעה לטאבלטים וסמארטפונים לחברות ועסוקים.

פריצה לעסק שלך .. עם ראוטר בלבד

לפני מספר ימים שחררה חברת Mandiant וידאו קליפ המראה איך הסינים פורצים לחברות מסחריות גדולות בארה"ב. קחו כמה דקות לצפות בקליפ הבא:

לאנשי אבטחה רציניים, וידאו כזה יכול לגרום להם להחוויר, להתעצבן וכו', אך לרבים מהאנשים דבר כזה לא ממש מזיז להם, וזה כולל גם אנשי סיסטם רבים, כפרילאנסר שמחפש עבודות ושחובב נושאי אבטחה ושאכפת לו, החלטתי לכתוב את הפוסט הזה.

בשביל הפוסט הזה נדמיין לעצמנו שעבדכם הנאמן החליט לעסוק במקצוע לא חוקי אך מניב רווחים גדולים מאוד: סחר במידע גנוב.

תשאלו אנשי סיסטם רבים, מנכל"ים, סמנכל"י IT ועוד, וכולם ישמחו לספר איך הם השקיעו ב"מילה האחרונה" בטכנולוגיה: חומות אש של סיסקו וצ'קפוינט וחברות ידועות אחרות, טכנולוגיות שיודעות לאבחן תקשורת חשודה, נסיונות פריצה מבחוץ ועוד. הם מרגישים מבחינתם מוגנים, אבל ההרגשה הזו היא כפי שאדגים כאן בתאוריה – אשליה. נכון, נסיונות פריצה רבים קורים מבחוץ והמערכות הנ"ל מגינות עליהן, אבל לא רבים חושבים על התמודדות נסיונות פריצה מבפנים.

אז החלטתי לסחור במידע גנוב. איך בדיוק אשיג את המידע הגנוב? להתחיל לנסות לפרוץ מבחוץ לא יתן לי יותר מדי חוץ מאשר כאב ראש רציני ותסכול. צריך לחשוב על דרך אחרת.

מהי הדרך האחרת? הדרך היא דרך .. קיבתם של העובדים. כמו שידוע, רבים מהעובדים יוצאים בשעות הצהרים לאכול ולוקחים איתם מחשבים ניידים. הם מגיעים למסעדות פופלריות, מזמינים לאכול ויושבים לאכול, ובד"כ לאחר 20-30 דקות משלמים וחוזרים למקום עבודתם. המידע הזה מסייע לי, משום שאני יכול לתכנן את הכניסה שלי בדיוק בנקודה הזו שהיא הנקודה החלשה: המחשבים הניידים שלהם.

כל מה שאני צריך לעשות זה להצטייד בראוטר סלולרי עם אות שידור חזק וחיבור לאינטרנט. אחרי שאמצא מהי המסעדה הפופולרית אכנס לשם, אזמין לי משהו לאכול ואפעיל את הנתב שלי. אני אזייף את את שם הראוטר שלי שיהיה כמו המקורי ואת המקורי אני אפיל (לא מסובך להפעיל ראוטר של מסעדה, במיוחד שאף אחד מהעובדים לא יודע לטפל בזה..), כך שכל הגולשים שיש להם WIFI פתוח יראו את הראוטר שלי ויתחברו אליו. כמובן, אין צורך בסיסמא כדי להתחבר ולקבל שרותי גלישה מהראוטר שלי..

מהרגע שבעל המחשב הנייד התחבר ל-WIFI שלי, הוא מקבל כתובת IP ומיד Redirect בדפדפן שלו לדף "הסכם גלישה" שלי. הדף נראה דף תמים עם הסכם שכולם גוללים למטה ולוחצים אישור.. רק שלאישור לוקח 3 שניות להופיע.

כאן הסקריפטים שלי מתחילים לעבוד, לאחר שהקורבן התחבר אליי..

שלב ראשון, נבדוק כמה הבחור (או מנהל ה-IT או הסיסטם) היו חכמים והעיפו לו את התוסף JAVA מהדפדפן. לא העיפו? מגניב, רוגלה מיוחדת שלי תותקן בסתר במחשב שלו (אל דאגה, הסקריפט יודע לזהות אם זה מחשב Windows או מק, יש גירסת רוגלה לכולם). אין לו JAVA? לא נורא, נבדוק על המחשב שלו מגוון פריצות חדשות (Zero-day, למה יש שוק שחור של פריצות כאלו?) עד שאצליח להיכנס. הוא לא ירגיש כלום, לי יש 20-30 דקות עד שהוא ילך.

מהרגע שאני בפנים, החגיגה מתחילה. אם הוא משתמש מק והוא משתמש במפתחות כדי להתחבר למכונות אחרות, אני אעתיק את המפתחות מתיקיית ssh., אעתיק את קובץ ה-known_hosts שלו, אחטט לו קצת בתיקיות מסמכים וכו', אעתיק גם את ה-Contacts שלו, כניסות VPN אוטומטיות ועוד. אני גם אעתיק את ה-MAC ADDRESS שלו כדי שאדע לזהות את המחשב שלו.

הקורבן סיים לאכול והלך? אחלה. ההעתקה הזו היתה החלק הראשון, ה"סיפתח". שהוא יפעיל את המחשב שלו במשרד, האפליקציה שלי תתחיל את החלק השני שלה, החלק היותר מעניין

בחלק היותר מעניין אני נמצא בתוך ה-LAN של העסק. בשלב הראשון אני רואה מה ה-MAPPING שיש, והאפליקציה שלי כבר תדע ליצור Tunnel בין המחשב הנ"ל למחשב שנמצא בעולם. האפליקציה תדע לשלוח לי רשימות קבצים, הודעות מייל ועוד. אני מתחיל לקבל מעין "מפה" של מי עובד ומה תפקידם. אם אני מתעניין בקבצים מסויימים, האפליקציה תדע לשלוח אליי אותם. בחלקים. מדוע בחלקים? כדי לא לגרום לחשדות של כל מיני תוכנות ניטור. במקביל האפליקציה תסרוק מחשבים קרובים וגם אותם היא תפרוץ ותשכפל את עצמה אליהם. עד שבסיסטם יתעוררו, לי יהיו מספיק קבצים ומידע כדי לסחור בו.

חושבים שכל מה שתיארתי כאן הוא דמיוני? תחשבו שוב. כל מה שתיארתי כאן ניתן לביצוע כיום

אז מה ניתן לעשות? ב-2 מילים: להגדיל ראש. להבין שפריצות זה לא רק פורץ משועמם מבחוץ שמנסה לפרוץ את ה-Firewall שלך אלא הרבה מעבר לכך. המחשבים הניידים, הטאבלטים והטלפונים הסלולריים כיום יכולים לשמש כדרך לפרוץ אל העסק שלך, לעשות פילטרינג מורכב יותר למייל שמגיע לא מאנשי הקשר הקבועים כדי למנוע מצבים שמגיעים קבצי מסמכים נגועים שיתנו לחגוג על המסמכים אצלכם, ובקיצור – הפריצות לא יגיעו רק מהאינטרנט, אלא גם מתוך ה-LAN שלך, ואם מישהו לא ידאג לדברים הללו, יהיה מי שינסה להיכנס ולגנוב מסמכים, קוד ודברים אחרים על מנת לסחור בהם ולהעביר אותם למתחרה שלכם או לכל גורם אחר.

על וירוסים ותולעים או: אמא’לה מצלמים אותי

אחת לזמן מה מופצים ברשתות החברתיות ובמיילים הודעות אזהרה על וירוסים ותולעים שונים עם התראה למשתמשים שלא לקבל מייל כזה או קובץ כזה או לבצע פעולה כזו וכזו, ואם הם לא ישמעו להוראות אלו – מרה תהיה אחריתם ומחשביהם האישיים יהפכו למפלצות טורפות דיסקים ונתונים חשובים.

אני מכיר את האזהרות האלו (גם אני מקבל אותם) ואני יכול לעיתים להבין את מי שכתב את האזהרה. מה שאני לא ממש מקבל, זה את השטויות שכותבים בתוך האזהרה, שטויות שמקורם בבורות במחשבים, ושטויות אלו יופצו החוצה בתפוצת נאטו (שתוכפל פי כמה וכמה תוך שעות ספורות עם התחלת שורת הנושא האלמותית :FW).

הנה אחת הדוגמות: אזהרה שפורסמה על וירוס שיודע להפעיל את המצלמה של המחשב מבלי להפעיל את נורת ה-LED כך שהצילום אינו מורגש ע”י המצולם, ואלו שמפעילים את הוירוס יסחטו אחר כך את המשתמש התמים.

מי שכתב את האזהרה הזו הוא אידיוט שלא מבין ב-Windows כלום. מדוע? הבה אסביר. ההסבר קצת טכני, אז מומלץ לעקוב אחר הדברים.

מערכת הפעלה כמו Windows היא מערכת שמורכבת ממספר “חלקים”. לא אכנס לכל החלקים, אך ישנו חלק אחד חשוב והוא החלק של דבר שנקרא “דרייבר” (התרגום בעברית גרוע). הדרייבר הוא בעצם “שדכן” בין הציוד (מצלמה במקרה שלנו) לבין ה-Windows, וכש-Windows צריך לבקש שרותים מהמצלמה, “לדבר” עם המצלמה כדי לקבל ולשלוח הגדרות, אז Windows מעביר את כל ה”דיבור” הזה הלוך ושוב דרך אותו דרייבר “שדכן”.

ישנם אלפי סוגים של מצלמות למחשבים, החל ממצלמות פשוטות שעולות כמה עשרות שקלים ועד מצלמות מורכבות ומסובכות שעולות מאות אלפי שקלים ומסוגלות לבצע דברים מורכבים, ולכל מצלמה יש דרייבר משלה, בחלק מהמקרים הדרייבר הוא אותו דרייבר ויכול לשמש מצלמות רבות.

עד כאן החלק של הדרייבר, עכשיו נגיע לחלק של הוירוס.

אם מחר אלך ואשלם למישהו לכתוב וירוס כמו שתיארתי לעיל, הוא לא יוכל לכתוב משהו שיצלם עם המצלמה שלכם ללא הפעלת ה-LED שבמצלמה. מדוע? כי Windows נותן למפתחים ממשק פיתוח (API) ואותו ממשק פשוט לא מאפשר זאת. הממשק פיתוח מאפשר לכותב האפליקציות להפעיל את המצלמה, להקליט וידאו, הוא מאפשר לשנות בהירות, פוקוס (תלוי במצלמה) ועוד, אבל כשמשהו קורה – אתם תראו את ה-LED במצלמה דולק.

האם אפשר לעקוף את הדלקת ה-LED? טכנית, אפשר לכתוב בוירוס שיכבה את ה-LED ע”י שינוי הדרייבר, אבל גם אז, הטריק יפעל רק בחלק קטן מהמצלמות, כלומר שום וירס לא יכול לכבות LED בכל המצלמות בגלל הדיירברים השונים, הצ’יפים השונים במצלמות ועוד.

במחשבי המק המצב מעט שונה: בגלל שאפל משתמשים במספר קטן של צ’יפים הנמצאים במקים שונים, אפשר לכתוב משהו ש”עוקף” את המערכת ויכול לכבות את ה-LED ותוכנות ריגול שונות במק משתמשות בטריקים הללו, אך יש מגוון רחב של תוכנות שיכול לגלות את אותן וירוסים במק ולנטרל אותן כליל.

לכן – אזהרה כאילו יצלמו אתכם מבלי להפעיל את ה-LED של המצלמה היא אזהרה מופרכת מיסודה שמקורה בחוסר הבנה במערכות הפעלה ובממשק פיתוח תוכנות ל-Windows.

כעקרון, כדי להימנע מוירוסים, תולעים ושאר נזקים, כל מה שצריך זה אנטי וירוס טוב והגיון בסיסי פשוט. אם לדוגמא אתה מתכתב עם מישהי בעברית ופתאום אתה מקבל מייל שהוא כביכול ממנה שכתוב באנגלית עם טקסט כמו check this out עם קובץ מצורף, כדאי לחשוד בכך ולשאול את השולח האם הוא באמת שלח. אם אתה משתמש ב-GMAIL וגוגל אומרים לך שיש חשד שהקובץ הוא וירוס אז אל תנסה להתחכם ולהוריד אותו בכל זאת, אל תנסה לבטל את האנטי וירוס שצורח “וירוס” על אותו קובץ – תוותר, זהו וירוס, מחוק את המייל והקובץ ואל תנסה להריץ.

כשאתה גולש באינטרנט, כדאי שתבחר דפדפן נורמלי כמו גוגל כרום או פיירפוקס. 2 הדפדפנים הנ”ל יודעים להתמודד עם כל מיני חוליים שונים והם מתעדכנים אוטומטית ברקע לגירסה החדשה ביותר ויודעים לחסום סכנות בצורה טובה. אינטרנט אקספלורר, למרות ההמלצות החמות של מיקרוסופט, עדיין קל לעקוף את המנגנונים שלו ולשתול כל מיני חולירות דרכו.

לסיכום: שימוש נכון, מעט הגיון, אנטי וירוס טוב, דפדפן מודרני – יגנו עליכם בצורה טובה נגד רוב הדברים. על שאר הדברים תוכלו לשאול חברים שמבינים בתחום.

ותפסיקו עם המחבואים מהמצלמה Smile

הפריצה והגניבה של כרטיסי האשראי: אנליזה שלי

מאז שכתבתי את הפוסט, קראתי עוד קצת כתבות, של עידו קינן ואחרים, ונראה כי המדיה "קנתה" את הסיפור של בעלי חברת בניית האתרים: אנחנו היינו מוגנים, חשבון ששיתפנו ולא היה באחריותנו לא היה מוגן ודרכו נפרץ האתר עם פרטי הכרטיסים.

אין חולק על כך שפורץ סעודי עשה את העבודה. אין חולק על כך שהכרטיסים נגנבו. אינני מכיר את אותם בוני אתרים, הם לא לקוחות של העסק שלי ולי אין מושג ירוק מה מותקן בשרת זולת הידיעה (דרך Netcraft) שהאתר רץ על Linux.

עם כל זאת, אני מאמין לאותם אנשים כמו שאני מאמין שעל כתפי הימנית יושבת כרגע פייה….

נתחיל בבסיס (המאמר הולך להיות עמוס במונחים טכנולוגיים אך אנסה לפשט כמה שאפשר): בעקרון מערכת Linux רגילה שפותחים משתמש חדש (שהוא אינו עם הרשאות root ואינו בעל הרשאות sudo – הרשאות המאפשרות בעצם לשנות את כל המערכת), אינו יכול לשנות מאומה זולת התיקיה שלו. אם לדוגמא יש לו הרשאה של גישה לבסיס נתונים, הוא יכול ליצור בסיס נתונים, לתת הרשאות בתוכו, ליצור משתמשים נוספים ובסיסי נתונים נוספים (לפי כל מיני מגבלות שמנהל השרת קובע). המשתמש יכול להתפרע עם ההרשאות – אבל רק עד הרמה של המשתמש שלו, כלומר אין לו אפשרות "לטפס" עם ההרשאות "כלפי מעלה" לכיוון הרשאות סיסטם.

כל זה כמובן מדובר על מערכת Linux שמותקנת ומעודכנת עם הטלאים האחרונים (yum update או apt-get update תלוי בהפצה) ועם הגדרות הקשחה נוספות. אותם בוני אתרים טענו שיש להם תקן PCI (אם הבנתי נכון) כך שאם באמת היה להם תקן PCI, מי שמימש אותו היה צריך להקשיח את המערכת.

נחזור אחורה בזמן לאותם רגעים שהפורץ הסעודי נכנס במערכת, וכאן הפואנטה העיקרית: אם המערכת היתה באמת מוקשחת ומוגנת, הפורץ היה מקסימום יכול לשבש/למחוק את אותם אתרים שמתארחים על אותו חשבון שדרכו הוא פורץ. לא צריך להיות גאון, מספיק שהאפליקציה המותקנת על אותו חשבון רעוע אינה מעודכנת, וניתן בדקות ספורות להיכנס ולעשות מה שרוצים אבל רק באותו חשבון, כלומר לא ניתן לשבש חשבונות אחרים, ולא ניתן לדעת מה קורה בחשבונות אחרים. אם כמובן החשבונות האחרים מותקנים עם אותה גירסת אפליקציה, אז אותו פורץ יכול גם לדפוק את החשבונות, אבל עדיין לא יהיו לו ההרשאות לראות את כל הקבצים ובסיסי הנתונים של כל המשתמשים.

נחזור לטענה של בוני האתרים: מהאתר שאינו שלהם ושהם אירחו – אותו פורץ סעודי נכנס לאתר שלהם וגנב משם את הפרטים.

כלומר כדי להיכנס לקבצים של חשבון אחר (בכל זאת, הפורץ צריך לדעת מה שם ה-DB, סיסמא וכו'), צריך לעשות אסקלציה של הרשאות.

ואיך עושים אסקלציה? משתמשים בפירצות ידועות במערכת ההפעלה, פרצות שנסגרו אבל עדיין לא עודכנו בשרת הנוכחי, כלומר כל מה שהפורץ היה צריך לעשות זה להריץ סקריפט או אפליקציה מול אותו שרת, ולראות איזה חור יהיה עדיין פתוח. כנראה שהוא מצא, משם המרחק לקבל הרשאות יותר גבוהות (ואפילו root) מאוד קצר. אחרי שהוא הצליח, הוא כנראה עשה משהו כמו mysqldump לקובץ, שם את הקובץ במקום זמין לו ושאב אותו ב-Download רגיל.

במילים אחרות: אם השרת היה באמת מוקשח עם עדכונים אחרונים, כל זה לא היה קורה.

חבל שהמדיה רצה לקנות את הסיפור שסיפרו לה במקום להתייעץ עם מישהו שבאמת מבין באבטחה..

האם ניתן לעשות משהו כדי למנוע? כן, לא מעט:

  • עדכונים, כל הזמן לעדכן את השרתים, גם גרסאות ישנות של לינוקס עדיין מוציאים להם עדכונים
  • אם יש לכם קוד שמטפל בכרטיסי אשראי, מומלץ להצפין את הקוד ולשמור קוד מקור במחשב אחר לחלוטין. ניתן להצפין קוד PHP עם ION Cube כך שגם אם מישהו פורץ, הוא לא יוכל להסתכל בקוד
  • להצפין את ה-DB. אפשר להשתמש בדרכים כמו שמופיעים כאן לדוגמא
  • שילוב של 2 הסעיפים: ההצפנה מבוצעת בקוד והתוצר המוצפן מוכנס ל-DB כאשר הקוד עצמו מוגן עם ION Cube

ויש עוד דרכים ושיטות אחרות שמומחי אבטחה יכולים להמליץ עליהן.

לסיכום: אני לא מאמין לאותו תירוץ שאותם בוני אתרים סיפרו לעיתונות ואני חושב שהסברתי בפוסט זה מדוע זה לא יתכן. אם מישהו "בונה" על תקן PCI שזה יתן לו אבטחה מקסימלית, הוא מוזמן להתעורר מהאשליה הזו. שום פתרון אבטחה אינו מועיל אם שוכחים לעדכן את השרתים בעדכוני אבטחה.

התרגיל האירני שנכשל

בימים האחרונים פורסמו בכל אתרי חדשות הטכנולוגיה הודעות על התעודות המזוייפות שיוצרו עבור הדומיינים Google.com ועוד כמה עשרות דומיינים פופולריים. רבים תהו עבור מה התעודות האלו נוצרו בעצם ומה בעצם הסיפור מאחורי זה.

הסיפור הולך כך:

בהולנד יש חברה DigiNotar שהיא חברה שמייצרת תעודות רשמיות הולנדיות עבור אתרים שונים, כולל חברות ועסקים הולנדיים (DigiNotar יוצרת תעודות SSL לרוב אתרי הממשל ההולנדי לדוגמא). מטבע הדברים, תעודות SSL צריכות להיות מיוצרות ע"י חברה שאבטחה בראש העדיפויות שלה, אולם כפי שגילו מספר חוקרים עצמאיים, DigiNotar מאוד מאוד רחוקה מאבטחה. כמה רחוקה? איראנים פרצו לאתר שלהם מספר פעמים ואף השאירו מספר הודעות Defacement בחלקים שונים של האתר, הודעות שנשארו עד היום בחלקים שונים של האתר, כלומר DigiNotar כלל לא טיפלו בנידון.

אז מה לאיראנים ולתעודות SSL מזוייפות? אירן הרי לא יכולה להשתמש בתעודות האלו מול כל העולם, מכיוון שהדפדפן פונה לכתובת האתר של גוגל (במקרה של Google.com ומבקש "לראות" את התעודה מגוגל, לא מהאיראנים).

התשובה פשוטה: האיראנים מאוד מעוניינים במידע על תושבים שונים, מידע על המייל, עם מי הם מתכתבים, מה הם מתכננים וכו'. אף אדם שפוי כמובן שלא יפתח חשבון מייל בתוך אירן מתוך ידיעה שה"אח הגדול" בהחלט מאזין ושומר עותקים של הכל, ולכן האיראנים פותחים חשבונות בגוגל, אבל כאן יש בעיה לשלטונות האיראנים: גוגל מאפשרת וממליצה בחום לעבוד ב-HTTPS, מה שלא מאפשר לשלטונות להאזין למייל, לרשת החברתית גוגל+ או לצ'אט. אין שום ציוד כיום שיכול להאזין באמצע בין דפדפן לשרת בתקשורת מוצפנת.

אז מה החליטו השלונות באיראן לעשות? צעד מתוחכם אבל מטומטם לחלוטין:

  • קודם כל הם שוב פורצים ל-DigiNotar ומזייפים מס' תעודות לדומיינים פופולריים.
  • מכיוון שאירן שולטת לחלוטין בתקשורת האינטרנט במדינה (כל הספקים הם בבעלות ממשלתית), הם יכולים לנתב תקשורת כרצונם לאיזה שרת מקומי, כך שכל מי שיכתוב gmail.com או google.com/mail יגיע בעצם לשרת המקומי
  • בשרת המקומי יש דף זהה לדף GMAIL בו המשתמש מתבקש להקיש שם משתמש וסיסמא.
  • לאחר שהוא מקיש, המשתמש מועבר לשרת ה-GMail האמיתי. לשלטונות יש את פרטי ההתחברות ל-GMAIL ולשאר השרותים של גוגל. מכאן הם כבר יכולים להשיג מידע רב על כל מיני "חשודים" פוטנציאליים.

אז היכן בעצם הטמטום? או, טוב ששאלתם:

  • הדפדפנים היום חכמים: הם יודעים לבדוק בבדיקה חיצונית היכן אמורה להיות התעודה ועוד הרבה פרטים לגבי התעודה, כך שגם אם תיצור תעודה אצל רשם כלשהו שהיא בעצם תעודה מזוייפת למקור, דפדפנים כמו Firefox וכרום, אותם דפדפנים יעלו על כך מיידית. הם יתנו אזהרה לכל המשתמשים שינסו להיכנס. כמה אנשים לא יחשדו אם פתאום צץ להם מסך אדום מפחיד במקום הגלישה הרגילה שהיתה להם עד כה? לא הרבה.
  • כל יצרני הדפדפנים פעלו במהירות: מיקרוסופט, גוגל, מוזילה, אופרה, אפל – כולם החליטו לעשות את הפעולה הכי לוגית: במקום לחפש איזה תעודות מזוייפות הוציאו לאיזה דומיינים, ובהתחשב בכך ש-DigiNotar די "שמה קצוץ" על כל עניין האבטחה, פסלו את כל התעודות של DigiNotar. אם התחום העיקרי ש-DigiNotar מרוויחה ממנו כסף, הם יכולים עתה לפשוט רגל. אף דפדפן לא תומך בתעודות שלהם יותר.
  • לאיראני חובב הגלישה שדי בטוח שהמדינה מחפשת את המידע שלו – תהיה עוד סיבה לבדוק ב-7 עיניים כל אזהרה.

לסיכום: מי שהגה באירן את התוכנית יצא מפגר ולא מבין בטכנולוגיה. זה כמובן לא אומר שהאיראנים לא ימשיכו לרגל אחר אזרחיהם עם מיטב הטכנולוגיה בחסות טכנולוגיה מערבית (יש סנקציות? תסמכו על האיראנים שימצאו מספיק מדינות לייבא את הציוד דרכם). אחרי הכל, השלטון הנוכחי בחסות המנהיגים הרוחנייםרוצה להשמיד איזו מדינה או שניים (בטווח הרחוק) ולקבל שליטה על כל אזור המפרץ הפרסי (בטווח הקרוב), ואם כל העם שלהם ירקב, זה לא יזיז להם.

בזק בינלאומי–זו ה"חווה" שלכם???

היום הייתי עם לקוח שביקש ממני להתקין עבור הלקוח שלו את השרת בחווה של בזק בינ"ל. ללקוח יש שרתים כבר שם כך שהוא אינו נמנה עם לקוחותיי. כל מה שהייתי צריך לעשות הוא להתקין לו את השרת עם Linux, להגדיר מס' דברים וזהו. לא אמור להיות סיפור..

עד שהגעתי לבזק בינלאומי ל-"Data Center" שלהם, החווה שאנשי המכירות שלהם מפארים ומהללים, ולאחר שביצעתי ללקוח את העבודה אני יכול לסכם את ההתרשמות שלי מהחווה של בזק בינלאומי במילה אחת:

א מ א ' ל ה !

ברשותכם, אפרט. אני מזהיר מראש: זה לא הולך להיות פוסט נימוסי.

  • מסרתי את מס' תעודת הזהות שלי יום לפני כן (אתמול) ללקוח כדי שיעביר אותו לבזק בינ"ל. האם מישהו בדק את תעודת הזהות שלי בכניסתי? שלילי. אף אחד לא שאל לשמי או בדק תעודת זהות שלי. מבחינת בזק בינלאומי במצב הנוכחי, כל דכפין יוכל להיכנס בלי שום בדיקה (יש מצלמה, כאילו שקשה לעבוד על המצלמה עם כובע בייסבול טיפוסי).
  • KVM – אני לא יודע מה הסיפור של בזק בינלאומי, אבל מה שיש להם כ"KVM" זה עגלה (פיזית) המכילה מסך, מקלדת ועכבר. יש 3 כאלו, וכשהגענו קיבלנו עגלה תקולה. עגלה נוספת היתה בשימוש ורק ברגע האחרון נמצאה עבורנו עגלה עם מסך תקין. אני מתפלא על בזק: האם כל כך קשה להתקין בארונות מתגים עם KVM Over IP?. אם היה מגיע לקוח נוסף, אגב, והוא היה צריך להתחבר ישירות לשרת, הוא היה נמצא בבעיה: תמתין עד שמישהו יסיים עם השרתים. זה מתאים לחברות שיש להם שורה של ארונות, לא חברה שמתיימרת להיות אחת החוות הגדולות בארץ.
  • הבאתי תקליטור של CentOS להתקין על השרת, וכמו תמיד, כונן ה-DVD לא ממש רצה לקרוא מהתקליטור. שאלתי את הטכנאים אם אפשר לצרוב תקליטור אחר או לקבל עותק של CentOS, אחרי הכל – מדובר במשהו שחברות רבות מתקינות בשרתיהם. לא היה אפשרי לצרוב ולא היה להם CentOS. בסוף במקרה נמצא כונן DVD עם חיבור USB.
  • מה עם טכנאים במקום? היו כמה שלא היו קשורים, היה בחור אחד שלא ידע מאומה, והיה עוד מישהו שנכנס ויצא כל הזמן. לשאלות על כתובות כמו Gateway Address ודברים כאלו לא היתה לו שום תשובה. זה הטכנאים שיש לבזק בינלאומי?
  • בכניסה לבזק בינלאומי עומדות 3 תחנות לשרות הלקוחות שרוצים להתחבר מרחוק. תחנה אחת לא עבדה, בשניה המסך תקול ובשלישית לא היה אפילו תוכנת Putty ולא היה ניתן להתקין מאומה. למזלי, הבאתי איתי מחשב נייד, אני לא יודע מה מישהו אחר היה עושה אם הוא היה מגיע ללא מחשב נייד.
  • בזמן שעבדתי על השרת איש לא השגיח. טיילתי בחווה (בזמן ההתקנה, לוקח זמן להתקין לינוקס), הסתכלתי בכל מיני דברים ואיש לא שאל למעשיי. אחד הדברים התמוהים ששמתי לב הם שארונות נעולים עם צילינדר שלוקח 30 שניות לפרוץ עם מפתח גנרי, אבל לשם מה לפרוץ? מספיק שמגיע לקוח שיש לו שרת ואין לו ארון משלו, והוא יכול לעשות כרצונו: לנתק דיסקים של אחרים, חיבורי רשת וכל שעולה על דעתו. אין שום השגחה על מעשיו.
  • נכנסתי לחוות שרתים יחד עם הלקוח, יצאתי לעשן סיגריה לבד, לחצתי על האינטרקום ונתנו לי כניסה בלי לשאול את שמי או מאיזה חברה אני, וזה קרה כמה פעמים. שום בדיקה, שום דבר.
  • נקודה טכנית קטנה: "חווה גדולה" זו לא. ראיתי מספיק חברות בארץ שיש להם ארונות שרתים והם הרבה יותר גדולים מהחווה של בזק בינלאומי. הופתעתי מאוד מכמה שהחווה קטנה.

בזק בינלאומי גובים מחירים מפולפלים. יותר מפי 2 מנטויז'ן, והיום כשהגעתי לא הבנתי על מה המחירים האלו. אבטחה גרועה, תחזוקה גרועה, אין עם מי לדבר, אז על מה בדיוק לשלם? אני חשבתי לפני שהגעתי להתרחב ולשים שרתים בבזק בינלאומי לטובת לקוחות שיש להם איזה אג'נדה נגן 013 נטויז'ן, אבל אחרי הביקור היום, אפילו דיסק קשיח אני לא אשאיר שם!

שלא תבינו אותי לא נכון: נתקלתי גם במקומות אחרים בתסמין כזה או אחרת אצל ספקיות מתחרות, אבל לפחות לכל מה שמגיע לצריבה, או תמיכה טכנית, קיבלתי שרות מעולה. כך לדוגמא, כשהייתי צריך סגמנט כתובות נוסף לטובת חומת אש, עברתי את כל התהליך הבירוקרטי אצל מנהל התיקים, אך לאחר מכן בשיחה עם החווה, הבחור שענה לי (לירן) הכיר את החומר על בוריו והיה כיף לשוחח עם מישהו שמבין אותך ויודע בדיוק מה אתה רוצה וצריך. בזה לא נתקלתי בבזק בינלאומי היום.

לקוחות רבים של חברות שונות שוכרים ארונות ואחסון לפי מחיר, אולם לדעתי כדאי מאוד לשים לב לנקודות שהעלתי, במיוחד אם אתה מארח ציוד מבלי שיהיה לך חצי ארון או ארון. אחרי הכל, אם אין השגחה, מה ימנע מטיפוס שלא מבין מאומה לשחק בציוד שלך?

חומר למחשבה.

פריצת אבטחה "מעניינת"

walla לפניכם תמונה. כפי שאתם יכולים לראות בתמונה, אתם רואים מסך עם Windows XP, וחלון מלא של אקספלורר ובתוכו רואים את אתר "וואלה" (אפשר ללחוץ על התמונה ולקבל גירסה מוגדלת של התמונה). מה בדיוק פרוץ פה? אה, הסיפור הולך כך..

הלכתי עם ידידתי הנחמדה לבנק דיסקונט לסניף שבו היא מנהלת את חשבון הבנק שלה והיא היתה צריכה מס' שרותים מהפקידים שיושבים בקידמת הסניף. לי לא היה מה לעשות. הסתובבתי קצת בלובי ואז ראיתי את המסוף של טלבנק דיסקונט. החלטתי קצת "לחטט", ולקח לי בערך 10 שניות (טוב, שורת ה-Address Bar היתה גלויה) לגלוש החוצה, לאתר של "וואלה". למי שעוד לא הבין, הצלחתי לגלוש החוצה במסוף שלא אמור לתת גלישה חופשית בלי שום בעיה מתוך המערכת הפנימית של בנק דיסקונט.

חקרתי קצת יותר לעומק את המחשב (בכל זאת, הפקידים היו עסוקים…). איזה פתרון אבטחה ה-XP מריץ? הופתעתי: Symantec Antivirus Corporate Edition, הגוויה הצפה הזו אמורה להגן על המחשב. ניחא.

אז אוקיי, אפשר לגלוש, לא ביג דיל, נכון? זהו, שזה כן. ברשותכם אעשה סוויץ' ואהיה איזה Black Hat Hacker (אני לא, אבל נניח). כל מה שאצטרך לעשות הוא פשוט לגלוש לאתר מסוים שפשוט "יסרוק" את האקספלורר לפריצות שלא נחסמו לאחרונה, ומי שלא יודע, מיקרוסופט אין לה רקורד זוהר בסגירת פריצות (שלא לדבר על פריצות שיש בפלאש) וימצא פריצה מסויימת. מהרגע שהוא מוצא, אני אתן לו להוריד קובץ Loader קטן ותמים שירוץ ושיוריד "בתשלומים" (כדי לעקוף מערכות פילטרים או פיירוולים) תוכנת Key Logger ולאחר ההורדה, ה-Loader ירכיב את החלקים ביחד, יכניס את ההפעלה ל-Registry של ה-XP (יש לא מעט דרכים לכך, תשאלו כל בחור עם תעודת MCSE) ופשוט ישב ברקע ויאזין להקלקות של הלקוחות  הבאים שבבטחון גמור יכניסו את מס' הזהות שלהם, סיסמא וגם קוד, ואחרי זה ה-Key Logger הנחמד ישלח את הפרטים החוצה אליי ותנחשו מה אני יכול לעשות עם הפרטים…

הבה נהיה יותר רשעים: אינני רוצה לגנוב כספים מלקוחות הבנק (למרות שרבים מהלקוחות חותמים על אישורים להעברת כספים דרך מערכת הטלבנק!), אני רק רוצה לעשות אנדרלמוסיה קטנה: תוכנת ה-Key Logger תוריד גם תוכנה אחרת, שתדע לפתוח חלון אקספלורר ב-Minimize (מה הלקוחות מבינים בחלונות minimized?) או חלון נסתר של אקספלורר, תזין את הפרטים שהיא לקחה מלקוח תמים מלפני שעה, ופשוט תעביר כספים (אחרי הכל, זה רק עניין של parsing, שליחת POST, אין שום captcha להגן) אל הלקוח שנכנס לפני 20 דקות. (אפשר להעביר עד 10000 ש"ח). הלקוח של לפני 40 דקות אם ירגיש בכך ויתלונן, כספו יוחזר רק אחרי המון ויכוחים, כי אין כאן פריצה קלאסית: הלקוח היה במסוף, ומבחינת המערכת הוא העביר מאותו מסוף ללקוח לפני 20 דקות את הכסף. תארו לכם את אותו טריק חוזר כמה עשרות פעמים במשך חודש, כפול מספר סניפים שאני "מתקין" את 2 התוכנות בביקור תמים באותם סניפים, ולבנק יש סיוט לא קטן.

את הסיוט הזה אפשר לגמור עוד היום, אם הבנק יעשה את הצעדים הבאים:

  • יעיף החוצה גלישה. המסוף אמור לתת את אתר הבנק? אז את אתר הבנק בלבד
  • ירד מאקספלורר: לאינטרנט אקספלורר לא חסרים פריצות גם כיום שמיקרוסופט עדיין לא טיפלה בהם.
  • אם הבנק רוצה לתת גלישה מוגבלת מאוד לאתרים חיצוניים, כדאי שהבנק ירד מ-XP ואקספלורר ויחפש פתרונות אחרים יותר מאובטחים ויותר נעולים (לא חסרות שיטות להריץ פקודות ב-XP גם אם מבטלים את כפתור ה"התחל"). לינוקס עם מנהל גרפי מינימלי (לא GNOME או KDE) ו-FireFox במצב Kiosk נעול לגמרי יציג את הדברים בצורה מצוינת.

ולבסוף, אשאיר אתכם עם תמיהה: אני בטוח שאני לא היחיד שגיליתי את עניין הגלישה החוצה ממסופי טלבנק. לי אין כמובן שום כוונה לנצל את אותו "גילוי" לרווח/רמייה של הבנק, אך אולי מישהו אחר ברחבי הארץ גילה זאת והתקין דברים מזיקים באותם מסופים?

אני נדהם שבנק גדול כמו בנק דיסקונט שכסף לא חסר לו, נכשל ברמת אבטחת מידע בצורה כזו מביכה.

מוגש כחומר למחשבה.

עדכון: שלחתי הודעה "דחופה" למחלקת אבטחת מידע של הבנק לפני שהתחלתי לכתוב את הטקסט (בסביבות 7 וחצי בערב) עם פרטיי המלאים וביקשתי שיחזרו בדחיפות. עד לרגע זה (20:54) איש לא חזר.