כמה מילים על הכרום בוק

אתחיל בטיפ קטן עבור מתכנתים שרוצים לכתוב משהו ולהרוויח ממנו כמה שקלים: נכון להרגע, ב-Web Store של גוגל אין שום תוכנת VPN Client וובית. הראשון שיכתוב אפליקציה וובית כזו שיודעת להתממשק למספר מימושים של VPN (כמו Open VPN / פורטיגייט / צ'ק-פוינט) יכול להרוויח כסף לא רע ממכירת האפליקציה דרך ה-Web Store, אז אם אתה לא מתכנת אבל מכיר מתכנת שמחפש לפתח משהו ולהרוויח עליו, תודיע לו על כך בבקשה.

נעבור עתה לעניין הכרום בוק (כרומבוק?) שגוגל הכריזה בכנס ה-Google I/O השבוע: סוף סוף אפשר לראות מחשבים ניידים (ואחד נייח) מבית סמסונג ואייסר מבוססי ChromeOS שגוגל קוראת להם ChromeBooks. הגירסה של סמסונג עולה 429$ כגירסת WIFI ו-499$ בגירסה עם WIFI ומודם 3G מובנה. אייסר הציגה מחירים קצת יותר שפוי: 349$ ל-WIFI ועדיין לא ידוע מה יהיה מחיר ה-3G.

מבחינת הברזלים עצמם: הם פחות או יותר כמו כל נטבוק, עם מספר שינויים: אין דיסק קשיח גדול (יש כונן פלאש בחיבור mSATA של 16 ג'יגה), אין BIOS סטנדרטי. המעבד הוא Atom N570 דו ליבתי, מסך 12.1 אינטש (במקרה של סמסונג), מצלמת 1 מגהפיקסל "HD" (אין לי מושג למה הם קוראים לזה כך). מבחינת המערכת, מרגע לחיצת כפתור ה-Power, היא עולה תוך 8 שניות ועם סוגרים את המסך ומפעילים מחדש, הוא פועל תוך 2 שניות.

מאז שגוגל הכריזה על ChromeOS ועד להכרזה על המחשבים הניידים עם שמות, מחירים ומפרטים, השתנו מספר דברים כאשר אחד הבולטים בהם היה תמיכה לקבצים מקומיים: מעתה תוכל לחבר מצלמה או דיסק קשיח ולהשתמש בקבצים מקומית. מבחינת ההדפסה, גוגל עשו שת"פ עם HP וכיום ההדפסה היא מימוש של Cloud Print.

מבחינת תמחור, המחיר הוא גבוה בהשוואה לכל נטבוק ממוצע, אבל זהו מוצר חדש וחברות נוטות לגבות מחירים די גבוהים על מוצר חדש (סמסונג לדעתי הגזימה במחיר), וכאן גוגל הכריזו על משהו חדש: אם אתה סטונדט, תוכל לשכור דרך גוגל כרום-בוק במחיר של 20$ לחודש (למשך 36 חודשים.. הממ, העתיקו מחברות הסלולר הישראליות?) ובמחיר זה תקבל גם תמיכה מלאה לחומרה ולתוכנה כולל שדרוגים. למי שכבר חושב לשלוף כרטיס אשראי ולהיכנס לחוזה כזה, מוטב לו שיחזיר את כרטיס האשראי לארנק: התוכנית לסטונדטים תהיה דרך מוסדות הלימוד האקדמאיים/מכללות וכו'. החבילה, אגב, אינה כוללת את Google Apps for Education, כך שאם המוסד לימודים ירצה בכך, הוא יכול להיות מנוי ולהוסיף את המחיר למנוי החודשי.

גם לעסקים גוגל דאגה ואותה עיסקה שיש לסטונדטים יש לעסקים (מינימום רכישה: 10 ברזלים) במחיר של 28$ ואם רוצים Google Apps for Business יש צורך לשלם עוד 50$ שנתי פר משתמש (או 4 דולר לערך חודשית). גם כאן יש תמיכה דרך גוגל כולל תמיכה, תיקון ושדרוג החומרה וכלים לניהול הכרום-בוקים.

עד כאן מה שגוגל (וסמסונג ואייסר) הכריזו. נעבור לעולם המעשי. האם יש סיכוי לכרום-בוקים להיכנס ולכבוש נתחים בשוק?

אתחיל בגוגל עצמה: גוגל חייבת תשתית רצינית לתמיכה, על מנת שלא לחזור על הפאשלה הקודמת עם מה שקרה לנקסוס-1 שרכשת מכשיר והתמיכה היתה הכי גרועה שאפשר. גוגל צריכים לבנות תשתית רצינית בינלאומית לתמיכה, וזה כולל נציגי תמיכה בטלפון, טיקטים ועוד. מבחינת תחזוקת ברזלים, גוגל תצטרך להגיע להסכמים עם היצרנים השונים בעניין החלפת חומרה, שדרוגים וכו', והעניין צריך להיות סגור אתמול, אחרת עסקים ומוסדות לא כל כך יסכימו ליפול בין הכסאות. אחד הדברים הנוספים שגוגל צריכה לעשות, זה לשכנע יצרני חומרה אחרים ליצור כרום-בוקים עם ChromeOS. עדיין לא הוכרזו כרום-בוקים מלנובו, דל, HP.

שוק הסטודנטים: כאן יש לגוגל סיכוי לא רע בכלל להיכנס, כל עוד גוגל תעמיד לרשות מוסדות הלימוד קו לתמיכה, סיוע, ותיקונים. אם גוגל תעשה כך, ישאר למוסד הלימודים עניין ההחלטה מאיזה יצרן לרכוש כרום-בוק. מבחינת התשתית, אותם מוסדות יצטרכו לעבור בקצב יותר מהיר לארכיטקטורת שרת-לקוח על מנת שסטודנטים יוכלו להשתמש בכרום-בוקים. יש צורך גם בשינויים נוספים כמו מעבר לשימוש ב-Terminal Services אם המוסד ממוקד טכנולוגיה של מיקרוסופט ובכך לאפשר לתלמידים להתחבר דרך RDP ולעשות את מה שהם רוצים. במקרים של שימוש ב-Linux, יהיה צורך בהקמת שרתים וירטואליים עבור תלמידים שיתחברו דרך SSH אל אותם מכונות וירטואליות, הואיל ואי אפשר במצב רגיל להריץ אפליקציות לינוקס על הכרום-בוק.

השוק העסקי: פה צפויה לגוגל משימה לא קלה בכלל. עסקים גדולים לא נוטים להכניס מחשבים של יצרנים אחרים לתוך החברות (כל מנהל IT יכול לספר בהרחבה מדוע הוא מעדיף דגם כזה של מחשב ולא דגם של חברות אחרות), וכמו שכתבתי למעלה, גוגל תצטרך ש-HP, DELL ולנובו ייצרו כרום-בוקים על מנת להכניס רגל כלשהי לאותם עסקים.

הדבר השני שלא קל לעשות זה מיגרציה מתחנות עבודה סטנדרטיות למצב שהכל רץ על השרתים והמשתמשים מתחברים דרך RDP (כולל VPN לעבודה מבחוץ). כאן צפויות מלחמות לא קטנות בין אנשים ומחלקות לגבי ויתור על המחשב הרגיל לטובת כרום-בוק "טיפש". מבחינה כספית, עלות תחזוקת כרום-בוק היא הרבה יותר זולה מתחזוקת מחשב שולחני רגיל: אין טלאים, אין אנטי וירוס, אין עוד הרבה דברים כך שמחלקת התמיכה תצטרך פחות לטפל במשתמשים ויותר לטפל בשרתים (מה שאומר קיצוץ עובדים במקרים מסויימים), מה שיגרום להנהלה לחייך מבחינת חסכון תקציבי.

תחרות: תהיו בטוחים שבמיקרוסופט יש את ChromeOS רץ על כמה מחשבים וכנראה שעם הקשרים שלהם הם כבר השיגו כמה כרום-בוקים לשם "לימוד". גוגל מנסה להיכנס לתחום שבו מיקרוסופט שולטת, ומיקרוסופט לא תעשה חיים קלים לגוגל ומיקרוסופט בהחלט תשלוף שיניים וציפורניים: אני די בטוח שתוך מספר חודשים מיקרוסופט יחד עם שותפיה המסורתיים (כל יצרני המחשבים) תוציא גירסה של נט-בוק עם Windows CE (כן, זה עדיין קיים) ואקספלורר משודרג עם עוד כמה דברים קטנים, וכמובן תמיכה ב-3G ו-WIFI. מיקרוסופט בהחלט בעד שתעבור לארכיטקטורה של Windows 2008 R2 (שרת) וגישה דרך RDP (לקוח, כל עוד תשלם רשיונות CAL פר מכונה כמובן), אך הם "ידחפו" את הפתרון שלהם מול הפתרון של גוגל: במקום ChromeBook תעבור עם ExplorerBook.

אני מאמין שהשינויים המהותיים האלו לא יקרו היום או מחר (הכרום-בוקים יצאו לשוק רק ב-15 ביוני, ומי שהשתתף בגוגל I/O מקבל אחד חינם במתנה) ומה שגוגל עושה הוא בעצם לדחוף את השוק לעבוד דרך הדפדפן אקסלוסיבית. זה לא יהיה קל, יהיו הרבה נגד המעבר, אבל אם זה יצליח לגוגל, היא תרוויח הרבה מהמעבר.

טיפים לאבטחת אתרים (חלק 2 מתוך 2)

בחלק זה (החלק השני) אני אדבר יותר על שרתים. חלק זה מיועד לאנשי סיסטם שמכירים מעט ענייני אבטחה וגם לאלו שמכירים טוב סיסטם אך אינם בקיאים בכל עניין אבטחה. שימו לב: מדובר על אבטחת שרתים שנמצאים מחוץ למשרדי החברה (Hosting, Co-Location, VPS וכו'). אלו המעוניינים במידע בסיסי עבור אבטחה כלקוח שיש לו שרת באחסון משותף, כדאי להסתכל בחלק הראשון, כאן.

כאשר חברות שוכרות שרתים אצל ספק אחסון, בארץ או בחו"ל, בין אם זה שרת וירטואלי או שרת אמיתי, או שחברת אחסון מאחסנת שרתים פרטיים שלכם, עניין האבטחה צריך לעמוד בראש סדר העדיפויות על מנת שיקרה כמה שפחות נזק ועל מנת שהשרתים ישארו מוגנים ופעילים ונותנים את השרות.

אתחיל מנקודה מעניינת שרבים מאנשי הסיסטם בחברות טועים בה: ההסתמכות על חומת האש של ספק האחסון. מדוע טועים? מכיוון שאין לכם כלקוחות שום שליטה או בקרה על חומת האש של ספק האחסון ותצטרכו לקחת את מילתו בנושא. אם חומת האש תיפול בין אם בצורה יזומה (תחזוקה לדוגמא) או בצורה מפתיעה (פריצה), במקרים רבים אתם לא תדעו על כך מהסיבה הפשוטה שספקי אחסון לא ששים לספר על כך ונדיר מאוד שחברות מוציאות הודעה מסודרת על כך. למען האמת, ב-20 שנה שאני נותן שרותי סיסטם, עוד לא יצא לי אפילו פעם אחת לקבל הודעה מספק אחסון שחומת האש שלו תהיה למטה או שחומת האש למטה מכל סיבה כלשהי. לכן, כששוכרים שרת או ששמים שרת אצל חברת אחסון, חובה להתקין חומת אש משלך, בין אם זה שרת וירטואלי או שרת פיזי. אם יש מס' שרתים אצל ספק האחסון, כדאי לדאוג לחומת אש אחת (לפחות) שתגן על השרתים. איזו חומת אש? פה כבר נכנסים שיקולים של עלות (האם לרכוש חומת אש כמו של צ'ק פוינט לדוגמא), שימוש במוצר מבוסס קוד פתוח (האם לבנות חומש אש על iptables של לינוקס, או להשתמש ב-pfsense מבוסס FreeBSD והאפשרויות רבות) וכו'. כל אחד ושיקוליו, אך חשוב לבנות חומת אש עם מינימום הכרחי של חוקים ולסגור את השאר. למהדרין כדאי להוסיף logging לחומת האש (לוג של תעבורה) ושהלוג ישלח יומית לאיש הסיסטם/אבטחה בחברה.

גישה לשרתים:

אם אלו שרתי לינוקס, מומלץ לשנות את פורט ה-SSH מ-22 לכל דבר אחר, ולא לאפשר כניסה ישירה של משתמש root מרחוק. כדאי להשתמש בתוכנת nmap על מנת לסרוק מקומית את השרת החדש ולבדוק ששרותים לא הכרחיים לא רצים. רבים לדוגמא לא מודעים שהתקנת ברירת מחדל של CentOS או RedHat מתקינה שרות X גרפי, שרות מדפסות CUPS, בלוטות' ושאר מרעין בישין שאותם מומלץ לבטל (ב-CentOS/RedHat לדוגמא, עצירת השרות מתבצעת עם פקודת service וביטול השרות מתבצע עם chkconfig) גם את המצב הגרפי מומלץ לבטל (אפשר לתקן זאת בקובץ etc/inittab/ בשורת ה-id לעבור מ-5 ל-3). יש לוודא כי אך ורק השרותים שאנו זקוקים להם רצים, וכך נחסוך בזבוז משאבים מיותר וסכנות אבטחה פוטנציאליות.

אם מדובר בשרת Windows וצריך שליטה על השרת ברמת RDP, כדאי להשתמש בהצפנה. המאמר כאן מ-Technet של מיקרוסופט מסביר כיצד לבצע זאת. אני הייתי ממליץ לשנות את הפורט של RDP מ-3389 לפורט אחר ואפשר לראות איך עושים זאת כאן.

נקודה שאולי כדאי לחשוב עליה היא VPN. ה-VPN בעצם מוסיף "שכבת הגנה" שחוסמת גישה לשרתים ויוצרת רשת פרטית וירטואלית. פעם זה היה דבר מאוד יקר, כיום יש פתרונות מבוססי קוד פתוח כמו OpenVPN שיחסית די קל להגדרה (ויש גם Client ל-Windows). שימוש ב-VPN לא רק שנותן אבטחה, אלא נותן את האפשרות לשלב את השרת ולעבוד עליו כאילו השרת נמצא ליידנו (מבחינת אינטגרציה).

הרשאות:

אחת מנקודות התורפה שפורצים רבים משתמשים בהם זו נקודת ההרשאות וסיסמאות. לעיתים עושים דברים מבלי לתכנן מקודם ואז יוצרים בשרתים משתמשים חדשים עם הרשאות יותר ממה שצריך, או שקובעים הרשאות ל-DB הרבה יותר ממה שצריך או שהסיסמאות קלות (יחסית) לפריצה: סיסמאות קצרות וצפויות ([email protected]#$, qwerasdfzxcv, 1q2w3e4r, ושאר סיסמאות צפויות). סיסמאות צריכות להיות מורכבות לפחות מ-8 אותיות ומספרים ועדיף גם סימנים. אפשר לכתוב סקריפט שיצור סיסמאות או שאפשר להשתמש בשרות הזה לדוגמא, על מנת לקבוע סיסמאות. במקרים כמו SSH מומלץ לחשוב לעבור משימוש בסיסמאות לשימוש במפתחות ולמהדרין אפשר להשתמש גם עם כרטיסים חכמים. חשוב גם להשתמש בסיסמאות מסובכות בכל הקשור ל-SQL, FTP וכו' ולצערי ראיתי מקרים שפרצו לאנשים בגלל סיסמאות צפויות.

מעקב:

הנה נקודה שהרבה אנשים שחדשים בתחום הסיסטם לא מבצעים: מעקב אחר השרתים. עם לינוקס החיים יותר קליים, יש דבר כמו logwatch המדווח לך מדי יום מה קרה ב-24 שעות בשרתים שלך. מעקב יותר רציני אפשר לעשות עם כלים כמו TripWire ואחרים המאפשרים ניטור לראות אם המערכת שונתה ומי שינה מה (מבחינת כתובת IP וכו'). סוג כלים נוסף שחשוב להכיר ולהשתמש בו הוא סוג ה-IDS (ר"ת: Intrusion Detection System), ובו אפשר למצוא כלים כמו Snort, Saint וכו'. אלו כלים המאפשרים לך לסרוק את השרתים שלך מבחינת פריצות ידועות ולראות האם השרתים שלך ניתנים לפריצה ומה כדאי לשנות/להקשיח. חשוב לזכור: מעקב רציף, "נסיונות פריצה" יזומים ע"י בעל השרת הם חלק מאוד חשוב שמאפשר להגן ביתר יעילות על השרת שלך ועל התוכן שברשותך ובכך לחסוך נזק ואובדן פרודקטיביות.

קוד:

לא חשוב כמה חומות אש יש, כמה הסיסמאות מעולות, וכמה מנטרים את השרתים, עדיין יש נקודה אחת מאוד חשובה שלצערי רבים מגלים אותה בדיעבד, והיא נקודת הקוד, אותו קוד של האפליקציה או הפלטפורמה שעליה רצות האפליקציות בשרת. זו אחת הנקודות הקריטיות שיש צורך בטיפול מתמיד בה: יש לבדוק שגירסת הפלטפורמה היא האחרונה, ו"להלביש" על הפלטפורמה טלאי אבטחה שיצאו, אם יצאו. יש לבדוק היטב את הקוד שרץ על הפלטפורמה, ואם צריך, לא להתבייש ליצור קשר עם צד ג' ולשכור אותם (תחת NDA) ע"מ לבדוק את הקוד מבחינת אבטחה ולסגור פרצות.

סיכום:

ישנם הרבה דברים שניתן לעשות ללא צורך במאמצים מיוחדים על מנת להגן על השרת שלכם ועל ההשקעה שלכם. סיסמאות, פורטים, חומות אש, אלו דברים שיכולים לעזור רבות באבטחת המידע. כדאי גם להשקיע בבדיקות תקופתיות של השרתים שנמצאים בחוץ והכי חשוב: לעקוב אחרי עדכונים עבור השרת, הפלטפורמה שאתם משתמשים והקוד שלכם.