אמא'לה, "מתקפת האקרים" !

מי שמכיר אותי בוודאי מודע לכך שאין לי הרבה אהבה לחברות אבטחת מידע. שלא תבינו אותי לא נכון, יש לי המון כבוד והערכה לאנשים מקצועיים שיודעים מתוך שינה להגדיר חוקים אופטימליים בחומות אש, שיודעים TCP/IP ממש טוב, שמכירים מערכות לינוקס לעומק, שמכירים לא רק את שלבי ה-OSI בעל פה אלא מה בדיוק הם עושים ובמיוחד – שמכירים הרבה טריקים. לצערי הרב, רבים כאלו אין, ומה שיש לנו היום זה כל מיני בוגרי קורסים של כל מיני "בתי ספר" שמלמדים שטויות במיץ עגבניות והעיקר גורפים כספים ומנפיקים תעודות שאפשר לנגב איתם אתם יודעים מה. רק לפני שבועיים הראה לי מישהו חוברת הדרכה שתלמידים מקבלים בקורס אבטחת מידע והקשר בין אבטחת מידע ממשית לחומר שכתוב בחוברת היה כמו הקשר ביני להטסת חלליות. 

אבל מה לעשות, השוק מחפש כל מיני כיסויים כדי שאם יפרצו יהיה אפשר להאשים את חברת אבטחת המידע, וחברת האבטחה שמחה לשלוח כל מיני אנשים (שלצערי, שוב, רובם פולטים שטויות בקצב!!!) שממליצים כל מיני דברים שלא ממש עוזרים בשורה התחתונה, אלא אולי עוזרים לכסות **** של מישהו. רבים מאותן חברות גם יודעים לגבות אלפי דולרים לחודש על משהו שאיש לינוקס טוב היה יכול ביום יומיים של עבודה לכתוב כמה סקריפטים שיודעים לנתח כל מיני דברים, להתחבר לכל מיני מאגרי נתונים על פריצות, לסרוק סביבות ולתת דוחו"ת, אבל היי – פראיירים, אתם יודעים, לא מתים..

היום התבשרנו שקבוצת אמן מזהירה כי "מתקפת האקרים" תתחולל ב-7/4. הודעה מאוד חשובה! כל כך חשובה שאם מישהו יריץ חיפוש פשוט של OPISRAEL ימצא די בקלות את הוידאו הבא  שבו עוד פעם קבוצת ילדים משועממים יריצו סקריפטים מוכנים (נראה לכם שהם יודעים לכתוב אשכרה את זה?), ושוב הם יעשו השחתת עמודי בית לאתרים שברובם המוחץ לא קיבלו מעולם שום אבטחה, או שספק האחסון המשותף שלהם שם קצוץ בכל מה שקשור על אבטחת מידע (אבל יבטיח ש"יש לנו פיירוול משוכלל!"). במילים אחרות, מה שקורה כל יום לערימות אתרים בארץ, יקרה שוב ב-7/4. חושבים שיהיה התקפת DDOS? אז יכול להיות שהילדים הללו ינסו ויראו מה שאתרים גדולים בארץ עושים – פשוט מנתקים תקשורת מחו"ל והופס, אין DDOS. נגמרה הבעיה. 

את כל מה שתיארתי כל איש אבטחת מידע רציני יודע, ואם הוא ממש מקצועי, אז ה-7/4 לא ממש יטריד אותו. אולי הוא יציץ מדי פעם לראות מה קורה עם הטראפיק והלוגים, כי אם הוא רציני, הוא יודע להגן והוא ממש לא צריך את זעקות השווא של "זאב זאב" מטעם קבוצת אמן. בסופו של דבר, כפי שציין ידידי הלל, כשתהיה באמת התקפת חדירה (שאותה בד"כ עושים חברות מקצוענים שבוודאי לא רצה להוציא וידאו יוטיוב על תאריך עתידי להתקפה!) – אף אחד לא יתייחס, כי כולם היו בפאניקה מההתרעה המפגרת שהוצאה, וכשבאמת יצטרכו שאנשים יקשיחו אבטחה, זה לא יבוצע. הרי כבר היינו בסרט הזה לפני חצי שנה, שנה, שנתיים וכו'.

בכלכליסט, כרגיל, החליטו לנסות גם לעשות "1+1" על חשבון ויזה כא"ל. מדוע? כי שוב, "האקרים" "פרצו" לאתר והפיצו את תוכן ה-DB. מה שהעיתונאי לא בודק או שלא יודע, זה שויזה, כמו חברות רבות אחרות בישראל, מוציאות לחברות בניית אתרים פרויקטים של בניית מיני אתר (mini site) שאין לו כל קשר תשתיתי בין המיני סייט לאתר הראשי. כך גם חברות פרסום עושות. 

אז בוא נסתכל על האתר שנפרץ – אתר cal-weekend יושב על כתובת IP שהיא 212.29.241.21 ששייכת לעסק שמאחסן ב-35 שקל אתר. כמובן שמדבר כזה אין מה לצפות ממש לאותה אבטחה שויזה כא"ל משתמשת בה לתשתית שלהם, כי זה אתר לתקופה קצרה לשם מבצע. שם לא היו ולא יהיו נתונים רגישים שמגיעים משרתי ויזה כא"ל. הכתובות של ויזה כא"ל, אגב, הם בכלל 3 קלאסים C (ויש להם כמובן עוד) כפי שניתן לראות כאן, כך שכפי שאתם רואים, אין שום קשר בין האתרים, אבל היי – אפשר לרמוז שויזה נפרצה, למרות שהיא לא!

לכן המלצתי היא פשוטה: מי שיש לו אתר שיושב באחסון אתרים ורוצה להימנע מפדיחות של Defacement, שיעבור ל-VPS או שיכתוב סקריפט שבודק את דפי הבית ואם משהו משתנה, שיחזיר העתק דף בחזרה ויחסום את הכתובת שממנה בוצע POST (זה ב-לוגים של ה-Virtualhost). כמובן שמומלץ כבר עכשיו לבדוק שהפלטפורמה שאתה משתמש היא הכי עדכנית, התוספים הם הכי עדכניים ושלא פתחת הרשאות 777 בתיקיות (רק כי היית עצלן להבין למה זה נותן לך Forbidden).

ובפעם ה-23407138947928374 – מי שרוצה ללמוד אבטחת מידע בצורה רצינית, עדיף שקודם כל ידע לעומק מערכת הפעלה כלשהי, TCP/IP באופן עמוק, והכי חשוב – מחשבה מחוץ לקופסא. 

זה לא "מחשוב ענן"

יוצא לי באחרונה לראות יותר ויותר חברות המציעות שרותים כמו VPS או שרתים יעודיים אשר משרבבים את המושג "מחשוב ענן" לתוך הפרסומים שלהם, בין אם זה ברושורים, פרסומות וידאו, אימיילים פרסומיים ועוד, ולצערי מדובר פה במשהו הגובל בהטעיית הצרכן/הלקוח הפוטנציאלי.

כדי להבין מהו מחשוב ענן נסתכל על משהו שיש לכולם בבתים: החשמל בביתכם. ברגע שמכשיר חשמלי שמחובר לשקע מתחיל לפעול, מונה החשמל שלכם מתחיל להסתובב ואתם תשלמו לחברת החשמל לפי קוט"ש שצרכתם ותו לא (בתוספת מסים כמובן). כיביתם את כל המכשירים? המונה מפסיק להסתובב והחיוב נפסק.

ניקח דוגמא אחרת מחברה מאוד מוכרת: Amazon ושרת ה-AWS. אמזון מציעה מחשבים וירטואלים, אחסון, איזון עומסים, CDN ושאר שרותים, כאשר כל השרותים מבוססים על עקרון פשוט: אתה משתמש בהם לפי שעה, ואתה מרים אותם בסקריפט פשוט. רוצה 2 טרה אחסון? עוד 40 מכונות וירטואליות גדולות? 20 בינוניות ו-50 קטנות? כמה שורות בסקריפט קטן ותוך רגעים ספורים אותם מוצרים שביקשת עומדים לרשותך. רוצה "להרוג" מכונות שהיית צריך בשביל עומס ולחזור למצב של 2 שרתים? מס' פקודות בסקריפט וכל מה שהיה מקודם "מת". צריך שרתים ומשאבים אחרים באירופה, אסיה, ארה"ב וכו'? כמה שורות ונגמר. לא צריך להתעסק ברכישת רשיונות, התקנות, איזה מעבדים יש בשרת וכל הקונפיגורציות למערכות הפעלה – הכל מוכן, הפעל והשתמש. הגביה תהיה פר שעה, ולפי צריכת הנתונים שהכנסת/הוצאת מהאחסון/שרתים וירטואליים. בסוף החודש (או בתאריך אחר) תחוייב בכרטיס האשראי וחוזר חלילה.

ספק גדול שמספק שרותי ענן מוריד ממך את הצורך לבדוק כמה רוחב פס יש לו (ג'יגות על ג'יגות ממספר ספקים), איזה פירמה של שרתים יש לו (בד"כ זה Custom לפי דרישות שלו), איזה סוג אחסון יש לו (שוב, ברוב המקרים מדובר במשהו שנבנה In House), איזה מעבדים יש (אמזון עובדים עם AMD לדוגמא), איזה וירטואליזציה הם משתמשים (שוב, אמזון משתמשים ב-Xen גירסה שלהם), והכל כבר נמצא עם רשיונות בצורה חוקית. אתה לא צריך לדאוג לכלום, רק תתקין את האפליקציות שלך, תקנפג אותם ותשתמש.

בוא נשווה את זה לכל ספק רגיל אחר, בין אם זה מהגדולים (012, נטויז'ן, בזק בינלאומי) ועד הבינוניים: רוצה עכשיו 50 שרתים וירטואליים ו-2 טרה? נראה אם בכלל יש להם במלאי דבר כזה. אין? תחכה, מנהל התיק שלך יפנה בקשה למחלקת הרכש, מחלקת הרכש תוציא בקשת הצעות מחיר למפיצים השונים (שבעוד  כמה ימים יחזירו תשובה למחלקת הרכש), אחרי שחוזרים ההצעות מחלקת הרכש תוסיף את הנתח שלה, תכפיל ב"דולרים" (4.1 שקל לדולר, זה השער שכל הספקים גובים, 012 גובים לפי מחיר של 4.12 שקל לדולר) ואז ישלחו לך את ההצעה באימייל ואם ההצעה תיראה בעיניך תצטרך להחתים את המנכ"ל/סמנכ"ל/איש-כספים, תמתין לפחות 14 ימי עסקים, תשרוף עוד שבוע-3 שבועות לכוונן את כל העסק – ו… יש לך את מה שרצית. עבר שבוע ואתה לא צריך את זה? לא נורא, תשלם לפחות מחיר חודש ואם קנו במיוחד עבורך ציוד, תשלם את מלוא ההתחייבות ואז נחשוב הלאה.

יש ספקים בארץ שהחליטו לעשות טריק ולהעתיק פחות או יותר את הממשק של VPS.Net, רק שהשרות של VPS.Net הוא יומי, וה"ענן" שלהם הוא די קטן (בהשוואה לאמזון ואחרים), והוא יותר מבוסס על שימוש יומי ותעבורה יומית/חודשית, בהשוואה לישראל שהדברים כאן הם אך ורק חודשיים, כך שמה שיש כיום בארץ לספקים גדולים ובינוניים הוא לא ענן ולא נעליים, ומי שמפרסם את עצמו כ"מחשוב ענן" הוא לא יותר מאשר זורה חול בעיניהם של לקוחותיו ולקוחות פוטנציאליים.

לעניות דעתי, מחשוב ענן הוא דבר פנטסטי מהסיבות שתיארתי לעיל. אם מישהו רוצה לרכוש לעצמו VPS בארה"ב או אירופה, אני הייתי ממליץ בהחלט לקחת את הפתרון של אמזון, לדוגמא, מהסיבה הפשוטה שזה הפתרון הכי מהיר, הכי זמין, והוא יחסית די קל לשימוש: נרשמים באמזון, בוחרים AMI, מקנפגים למכונה מה שצריך מבחינת אחסון וכו', ומתחילים להתקין את התוכנות שלך ולהשתמש. פעם ראשונה לוקח קצת זמן להתרגל לרעיון, אבל אח"כ זה הרבה יותר קל להתממשק ולהשתמש, ובל נשכח שהמחירים של אמזון תחרותיים בטירוף מול כל ספק אחר. יש להם גם שרותים כמו איזוני עומסים וגם אם תצטרך עכשיו הרגע עוד 100 שרתים בגלל שיש לך פרסום שמושך אליך מאות אלפי מבקרים יחודיים, לאמזון זה לא יזיז.

אז אם אתם באמת רוצים מחשוב ענן, תבדקו שהספק באמת נותן מחשוב ענן ולא VPS עם שם המכיל את המילה "ענן" ומחירים שמגיעים לעננים.

פינת הטישו: אריאנה מלמד, “סחיטה באיומים, בעזרת השם”

tissue החלטתי לפתוח פינה חדשה בבלוג שתיקרא “פינת הטישו”. בפינה החדשה ניקח התבכיינות של גורמים (כל פעם אחד) שמעוות את העובדות והמידע לצרכיו בכדי להתבכיין על כל מיני דברים, וננסה להביא את המידע האמיתי פה. אתה הקורא כמובן מוזמן לתת את דעתך ולהוסיף מה שתרצה להוסיף. אגב, תכירו, זו הלוגו של הפינה (מצד שמאל).

הפעם בפינה: מאמרה של אריאנה מלמד “סחיטה באיומים, בעזרת השם”.

אריאנה פותחת בכך ש”ל-50 אחוזים מן האוכלוסיה אין כל ייצוג בשורותיה”. היא כמובן מתכוונת למפלגת ש”ס. האם שכחה גב’ מלמד ש-ש”ס היא מפלגה שפונה לסקטור מסויים ולאו דווקא לאחרים? ש”ס אינה מנסה לרדוף אחרי קולות של בוחרי מר”צ, מפלגת העבודה, אינה מנסה לרדוף אחרי קולות הנשים פמיניסטיות ואחרים, אלא פשוט מתרכזת בקהל היעד שלה: ספרדים שומרי מסורת ודתיים, ואותם היא מנסה לשכנע להצביע עבורה. לש”ס יש גם פניה לציבור הערבי (אם כי בהשקעה הרבה יותר קטנה מהפניה הרגילה) הואיל וגם לבוחרי ש”ס וגם לערבים יש מכנה משותף והוא כמובן עניין הילודה (משפחות ברוכות ילדים).

כן, הרב עובדיה כינה מורים חילוניים כ”חמורים”, ואני חושב שהסיבה שהוא אמר מה שאמר, נובעת מחוסר הפנמה של הרב לגבי המדיה שהוא משתמש בה, ששם יש הבדל ענק בין לאמר מילות גנאי ב-ד’ אמות, לבין לאמר את אותם מילים מול מיקרופון פתוח, שידור חי בלווין ושידור חי באינטרנט בזמן שהדברים מוקלטים.

הפיסקה הבאה של גב’ מלמד מתחילה ב”ש"ס היא ארגון סקטוריאלי לוחמני ובכייני, שמצפצף בלי בושה על עקרונותיה של דמוקרטיה ייצוגית אמיתית..”. אתה לא יכול להיות את שניהם. או שאתה לוחמני או שאתה בכייני. ש”ס דווקא ממש לא בכיינית ואין להם שום בעיה להפיל קואליציה אם התנאים וההסכמים איתם מופרים, ואת האמת? הלוואי על כל המפלגות להיות כך! המפלגה מייצגת בוחרים שהובטחו להם דברים, וש”ס, בניגוד למפלגות אחרות מקיימת את ההבטחות, ובגלל זה אפילו ערבים מצביעים ש”ס. לגבי העניין של השוואת יהודים לעכברים, הייתי באמת ממליץ לגב’ מלמד לקפוץ לביקור באתר יד ושם ולראות את סרטי התעמולה הנאצית, שבהם בפירוש מדגישים שהיהודים מעבירי מחלות כמו עכברים. יכול להיות שח”כ מרגי לא דייק לגבי עניין העכברים, אבל זה באמת לחפש אותו בזוטות.

אריאנה כותבת: “אנשים שעל פי השקפתם בכלל לא ברור אם מותר להצביע למפלגה שאשה, אם כל הטומאות, עומדת בראשה. אנשים שנכונותם להשתלב בשוק העבודה הישראלי עומדת ביחס הפוך לרצונם לבזות, להכפיש וללעוג לציבור הגדול והחילוני שממסיו משלמים את משכורות רשתות החינוך החשוכות והבדלניות שלהם, שם הם מלמדים דור חדש מדוע וכיצד נשים, חילונים, עולים חדשים, ערבים וכל מי שאינו ש"סניק פסולים בעיניהם לגמרי”. כן, הם יכולים לדרוש מה שהם רוצים, וראש הממשלה הנבחר צריך להחליט אם לתת להם את התיק הזה או תיק אחר, כי זה שם המשחק: “הסכמים קואליציוניים” מאז ומתמיד. לגבי אשה, אולי תפתחי ספר תנ”ך? היו נביאות, והיו גם מנהיגות במורשת של העם היהודי ולש”ס אין שום בעיה אם אשה תהיה ראש ממשלה, אבל היי, צריך לקטול את ש”ס, גם אם צריך להמציא שקרים, נכון?

שוב השקר חוזר ש”הציבור החילוני משלם את משכורות רשתות החינוך”. הציבור משלם על הדברים האלו כמו שהציבור משלם על מיליון דברים אחרים, וש”ס היא אינה מפלגת יהדות התורה או כל מפלגה חרדית אחרת. דווקא בוחרי ש”ס עושים צבא ברובם, ועובדים למחייתם. אם מישהו ינסה לבדוק את התקציב הפנימי של ש”ס, הוא יראה שש”ס יותר מממנת כוללים מאשר ישיבות, ובכוללים לומדים בערב, כלומר זה לאנשים שעובדים ורוצים ללמוד לאחר העבודה שלהם, בדיוק כמו שיש תנועות נוער וצופים שממומנים ממשלתית.

היכן בדיוק נשים, חילונים, עולים חדשים וערבים פסולים בעיני ש”ס? ל-ש”ס אין איזו דעה אחידה אנטי חילונים/עולים/ערבים (על ערבים דיברתי מקודם), וש”ס היא לא BNP כפי שגב’ מלמד מנסה לצייר אותם. יש להם דעות שונות לגבי אותם סקטורים, כמו שלתמוכי מרצ יש דעות על דתיים/מסורתיים. האם לקרוא גם מרצ גזעניים?

במאי 1999 זעקו מאות מתומכיו של אהוד ברק “רק לא ש’ס”. שיזעקו, גם אני זועק “רק לא מרצ”, רק שלי אין שום דבר אישי נגד בוחרי מרצ, יש לי הרבה נגד מצע מפלגת מרצ. מה זה אומר? בוחרי העבודה לא רוצים לקבל מפלגה כזו ומה לעשות שלא חסרים אנשים ששינאת הדת מעבירה אותם על דעתם, אז? זה אומר שחייבים להתייחס לכמה מאות שצועקים? אפילו ברק בעצמו התעלם מהם, אז מה ה-ISSUE כאן?

מסע הסחטנות של נבחריה הוביל בסופו של דבר להתפוררות הממשלה, וספק אם יש מי שזוכר זאת בחיינו הפוליטיים רבי התהפוכות”, ושמפלגת העבודה מבקשת ומקבלת 2 מיליארד ש”ח? אה, זה הסכמים קואליציוניים! שוב דאבל סטנדרנט? לא נגמור עם הטמטום הזה בלקרוא לזה “סחטנות”?

אבל הדובדבן של הקצפת נשארה לסוף: “הצרה של התבטאויות כמו של ח"כ מרגי איננה העובדה שהיא מושמעת בלהט של ערב בחירות, אלא שהיא חלק ממשנה סדורה של ארגון שמטרתו הסופית – תסלחו לי על הביטוי – היא הקמת מדינת הלכה בישראל. אם תדחקו אותם לפינה, כל הח"כים של ש"ס יודו כי בעזרת השם, זה בדיוק מה שהם רואים בחז
ונם”
. כשקראתי את המשפט הזה, הרמתי חצי גבה. כשנזכרתי שמי שכתבה את הטקסט רמזה על עצמה שהיא עוברת איזה תהליך התקרבות ליהדות בעצמה, הרמתי את הגבה השניה.

ש”ס כולה יכולה לפנטז על מדינת הלכה. אין אפשרות כזו, חד וחלק. לפי איזה הלכה תלך המדינה? אשכנז? ספרד? איפה בדיוק סנהדרין? מה עם בית מקדש? כהנים? מה לגבי עוד 1001 דברים שנשארו בחזקת תיק”ו? כל הדברים האלו לא מאפשרים שום אפשרות הקמת מדינת הלכה, גם אם כל ש”ס יעשו שמיניות באויר, אין שום אפשרות להרים דבר כזה. גם הדבר שהיהדות מדברת עליו רבות (תהליך גאולה) אינו אומר שהמדינה תהפוך למדינת הלכה מתי שיהיה משיח, ומי שטוען שכן הוא מפנטז בלי שום דבר לגבות את דבריו.

לסיכום: אריאנה מלמד כתבה מאמר רצוף בטעויות ואי דיוקים, שלא לדבר על הגזמות ושקרים. מוטב כי גב’ מלמד תבדוק את הדברים לאשורם טרם כתיבת מאמרי דעה כאלו, במיוחד כשהדברים מפורסמים באתרים גדולים כמו YNET. דעה זה אחלה של דבר, אבל עדיף שהדעה תהיה מגובה בדברים ולא המצאות.