מנהלת הביטוח הלאומי למדה שהשבת רווחית

כן, אני יודע שהפוסט הזה לא בדיוק עוסק באבטחת מידע, אבל כבר התחלתי את הטיפול בנושא בבלוג הזה, עם קשר קטן לאבטחת מידע, אז נעדכן אתכם כבר באכסניה זו. בכל אופן, רובכם (לפחות לפי הסטטיסטיקות של האתר) תושבי ישראל (את נושא הנאמנות נברר בהזדמנות אחרת), אז זה אמור קצת לעניין אתכם.

בתחילת אוגוסט השנה סיפרתי לכם על הבירור שערכתי מול ביטוח לאומי ומדוע אתר הפעולות שלו סגור בשבת, והם טענו שזה בגלל היבטי אבטחת מידע…

והנה, מה אני רואה באתר "כלכליסט" בשבוע שעבר? בבקשה, שני ציטוטים:
"
"לא נקבעה מדיניות בממשלה לגבי נושא פעילות האתרים בשבת. אני קיבלתי החלטה לפתוח את האתר בשבת שהיה סגור עד כה. לתדהמתי, בשבת הראשונה נכנסו 750 איש וגבינו 3 מיליון שקל". כך אמרה היום (ג') מנכ"לית הביטוח הלאומי אסתר דומינסיני, בפאנל ששמו "איך שיפרה הטכנולוגיה את השירות לאזרח ולאן הולכים מכאן?" במסגרת כנס "כלכליסט" וסיסקו ששמו "שמים את השירות לאזרח במרכז".
"
והשני:
"
אסתר דומינסיני דיברה על החזון של ביטוח לאומי מבחינה טכנולוגית ואמרה: “בחזון שלנו, כל אזרח בישראל יושב מול המחשב ומנהל את ענייניו מול הביטוח הלאומי ורק במקרים חריגים מגיע לסניף. השימוש במערכות המחשוב הוא חכם. אנחנו גובים יותר ממיליארד שקל בשנה באמצעות האינטרנט. והגידול ממשיך".
"
נו יהודים? מצווה לקבל כסף כל השבוע, גם בשבת, כך למדה מנהלת הביטוח הלאומי.

כמובן שחיכיתי לשבת, כאילו חזרתי בתשובה חיכיתי. ומה רבה אכזבתי כאשר שוב אתר הפעולות היה לא פעיל… אז שוב פניתי אל הגברות המכובדות עימן התכתבתי במייל בפעם הקודמת, ולהלן תקציר חליפת המכתבים, שהתקיימה משבת (אני, חס וחלילה הן) ועד היום:

אני לביטוח לאומי:
"
שלום, ראיתי באתר "כלכליסט", בקישור http://www.calcalist.co.il/local/articles/0,7340,L-3421011,00.html  ידיעה מה-19/10/10, בה רשום שמנכ"לית הביטוח הלאומי החליטה על פתיחת אתר הפעולות של ביטוח לאומי בשבת ושאף הוא כבר נפתח בפועל, אולם כאשר ניסיתי היום, שבת, 23/10/10, להיכנס לאתר הפעולות, הוא שוב היה סגור עם הודעת התחזוקה הרגילה.
אז לא הבנתי, האתר נפתח או לא?
תודה.
"

תשובת ביטוח לאומי אלי:
"
איתן שלום,
מה שנפתח בשבת הוא אתר התשלומים שבעבר לא פעל בשבתות.
מה שטרם נפתח הוא האתר האישי וגם "הפעולות"שבאתר האישי. עובדים על זה ובקרוב גם הוא ייפתח. ההבדל ביניהם הוא גדול מאד ולכן עם אתר התשלומים יכולנו להפעיל מיידית.
"
כך למדתי, שחוץ מאתר הפעולות האישיות, זה שסגור בשבת, יש גם אתר תשלומים שנועד, כמובן, אך ורק לביצוע תשלומים לביטוח הלאומי, והוא זה שכנראה נפתח כעת בשבתות. מהרו ושלמו (אבל רק עם IE, כן?).

אז הבנתי את טעותי, וכך השבתי לביטוח לאומי:
"
אני מאוד שמח שהחלטתם לפתוח גם בשבתות, ולמעשה באופן רציף, את האתר האישי, כולל ה"פעולות".
בכך אתם מסייעים לכולם, גם לנו האזרחים וגם לכם, וזה שירות מצוין! כל הכבוד לכם.

למה יש בעיה/מורכבות בפתיחה שלו בשבתות, הרי ניתן להשאיר אותו פתוח כמו באמצע השבוע, מבלי לגעת בדבר. לא?
וכמובן, יש מועד משוער לפתיחת אתר הפעולות?

תודה!
"
וביטוח לאומי השיב לי:
"
איתן שלום,
מדובר ב- 2 סביבות עבודה שונות לחלוטין.

אתר התשלומים – פועל משנת 2001 על סביבה חיצונית למחשבי הב.ל.  באתר התשלומים אין הזדהות , פעולת התשלום נעשתה בסביבה חיצונית למערכות הב.ל.  והעדכון של מערכות הב.ל. נעשה מידי לילה. זאת הסיבה באתר התשלומים אין מידע אישי, אין מידע על יתרה ואין מידע על מצב התיק.  – אתר זה היה סגור בשבת מסיבות מינהלתיות והיה קל מאד להפעיל אותו שוב בשבת.

לעומת זאת האתר האישי – זהו אתר חדש מלפני כשנתיים.  הוא ברמת אבטחה מאד גבוהה (ולכן  יש חובת הזדהות)  והוא עובד מול הסביבה הפנימית.  מאחר ומערכות הליבה של המוסד היו מאז ומתמיד סגורות בשבת, הרי האתר האישי סגור בשבת משום שכל מערכות המחשב של הב.ל. סגורות בשבת.    זאת הסיבה שאנו זקוקים ליותר זמן עד להפעלותו גם בשבת.   זה יקח זמן אך עובדים על זה. מקוה שתוך כחודשיים הוא יפתח בשבת.    ויתכן שלא כל הפעולות יהיו זמינות בסופי שבוע.  פעולת תשלומים ופעולת אחזור מידע כנראה בוודאות שכן.
"

יפה יהודים, בעוד חודשיים, אי"ה, גם אתר הפעולות יהיה זמין, בצורה כזו או אחרת.
אני בטוח שלא בגללי ביטוח לאומי החליטו לאחרונה לפתוח את האתרים האלו בשבת (אפילו לא הספקתי לפנות למבקר המדינה בנושא, כמו שרציתי), אבל אם היה לי חלק זעיר בהחלטה זו, דייני.
ובא לציון גואל, ובתשלומי הביטוח הלאומי ננוחם, ואמרו אמן.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

משרות אבטחת מידע מעניינות – 25/10/2010

והפעם משרה אחת בירושלים הקדושה:

Security specialist (המשרה משויכת במקור ל"פיקארו יעוץ והשמה", אך לא מצאתי באתר שלהם את המשרה הזו)

"
מיקום: ירושלים.
סוג: משרה מלאה.

תיאור:
לחברת SU באזור י-ם דרוש/ה Security specialist לצורך בחינת מערכות חדשות והכנסן לשימוש. התוויית Security Aspect של פתרון שאלות בתחום Security ףהבאה לתקינה של תחום אבט"מ.
דרישות:
בעל הסמכה ב-CCIP / או הסמכה אחרת בתחום אבטחת מידע-חובה.
ניסיון בתחום ה-Cloud Computing.
מועמדים אשר הינם בעלי אוטוריטה טכנולוגית וחולמים להיות CTO.
ידע חזק באבט"מ.
חזק בתחום ה-Linux.
"

בהצלחה למועמדים!

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

ראש רמו"ט יענה לשאלות גולשים בפורום מחשבים ב-YNET

מחר, יום ראשון, 24/10/2010, בשעה 15:00, יענה ראש רמו"ט (הרשות למשפט טכנולוגיה ומידע במשרד המשפטים), עו"ד יורם הכהן, לשאלות גולשים בדיון מיוחד בפורום המחשבים של YNET.
זאת מתוך הודעה באתר רמו"ט.

ניסיתי כעת להוסיף הודעה חדשה לפורום אך היא לא מופיעה, כך שאחת מהשתיים, או שההודעה עברה לאישור מנהלי הפורום ותופיע (בתקווה…) בהמשך (או רק מחר ב-15:00) או שניתן להעלות הודעות רק ממחר ב-15:00.

בכל מקרה, זו ההזדמנות שלכם לשאול ישירות גורם ממשלתי מוסמך ומשפיע את כל מה שמטריד אתכם בנושאי פרטיות. זה מימוש יפה של דמוקרטיה, אז נצלו את ההזדמנות הזו.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

מישהו מכיר תקן אבטחת מידע בשם SQR?

נתקלתי באתר של סלקום במעין באנר שטוען "האתר עומד בתקני האבטחה SSL ו-SQR, תקני האבטחה המתקדמים ביותר לרכישה באמצעות האינטרנט.", ובמקום אחר באתר – "רכישה מאובטחת תקן SSL SQR".

(המסגרות האדומות בצילומי המסך המצורפים הן תוספת שלי להדגשת החלק הרלוונטי בתמונה)

מאחר ואני לא מכיר תקן אבטחת מידע בשם SQR חיפשתי קצת ברשת ומצאתי רק ש-SQR זו שפת תכנות ליצירת דו"חות ושיש חברה בלגית בשם SQR Technologies שמפתחת מוצרי הצפנה מבוססי חומרה למרכזי נתונים, על בסיס הצפנה קוואנטית, שלפי הרשום באתר החברה היא תחליף ל-SSL ולא בנוסף או במקביל ל-SSL (מה גם שלא מוכר לי שימוש נרחב של הצפנה קוואנטית ברשת האינטרנט, אבל אני מן הסתם לא יודע הכל).

יכול להיות שסלקום סתם מחרטטים ראשי תיבות בכדי לתת ללקוחות הרגשת ביטחון חמימה ונעימה?!

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

מפגש קהילת מפתחי Security בנושאים: Fuzz Testing & SQL Injection Anywhere

בפוסט זה אני רוצה לספר לכם על מפגש של קהילת מפתחי אבטחת מידע (במסגרתה מתקיימים מדי פעם מפגשים דומים במשרדי "מיקרוסופט" בישראל). נראה לי שתוכן המפגש הפעם הוא כללי למדי ולא נראה שנועד לקדם מוצר זה או אחר (מקסימום ההתייחסות ל-MS הוא בראיה של הזרקת SQL במסגרת סביבת Net.) כך שנראה לי שהוא יכול להתאים לכל מי שרוצה להעשיר קצת ידע בנושאי המפגש, שהוא, כמובן, בחינם.
המידע אודות מפגש זה הגיע דרך רשימת הדיוור של Owasp Israel.

"
מפגש קהילת מפתחי Security בנושאים: Fuzz Testing & SQL Injection Anywhere

מזהה אירוע: 1032467489

יום שלישי 02 נובמבר 2010 17:45 – יום שלישי 02 נובמבר 2010 20:15 (GMT+02:00)

משרדי מיקרוסופט
אולם דקל
הפנינה 2 (צומת רעננה מרכז)
רעננה ישראל

מבט כולל על אירוע

לקראת Tech-Ed שיתקיים בסוף חודש נובמבר, פותחים את החודש עם מפגש שיכלול שתי הרצאות בנושאי Security, הראשונה תעסוק בשיטת בדיקות תוכנה הנקראת Fuzzing. וההרצאה השנייה תעסוק סביב נושא SQL injection.

הרצאה ראשונה – Fuzzing

בדיקות מסוג FUZZING מאפשרות גילוי שגיאות נסתרות שבדרך כלל לא היו מתגלות בשיטות בדיקה אחרות. לנושא זה קשר הדוק לבדיקות אבטחת מידע שכן סוגי הבעיות שניתנות למצוא בעזרת Fuzz Testing הן Buffer Overflow (רלוונטי יותר לקוד legacy אך גם ל-Interop), זליגת זיכרון, קריסה ועוד. במהלך ההרצאה נציג את השיטות והכלים השונים בביצוע הבדיקה.

הנושאים העיקריים בהם נדון בהרצאה ראשונה כוללים:

חלק א' – Fuzzing

• What is fuzzing?

• Dumb & Smart fuzzing

• Fuzzing targets

• Fuzzing strategies

• How to catch the bugs

• Fuzzing with code coverage

• Tools & Statistics

אודות המרצה: יבגני ברויטמן

הינו יועץ אבטחת מידע אפליקטיבי ומנהל תחום הפיתוח בחברת Q.rity. ליבגני 8 שנות ניסיון בתחומי פיתוח תכנה הנוגעים לאבטחת מידע. בין השאר הוא מתמחה בכתיבת Fuzzers ייעודיים. פרטים נוספים: http://il.linkedin.com/in/ivgenib


הרצאה שנייה- SQL Injection Anywhere

ההרצאה תציג טכניקת ניצול SQL Injection חדשה שמאפשרת לנצל פרצות שנחשבו עד כה לבלתי נצילות. בנוסף יוצגו דרכי התמודדות נגד SQL Injection בסביבת .NET.

חלק ב'-SQL Injection

• SQL Injection Brief

• Binary SQL Injection Brief

• The Problem

• The Solution – New SQL Injection Technique!

Exceptions

• Summary and Questions

אודות המרצה: גיל כהן

מומחה אבטחת מידע מזה מספר שנים, מועסק בחברת Q.rity כיועץ אבטחת מידע, בעל ניסיון רב בפיתוח ב-.NET , ובביצוע בדיקות Penetration Tests.
סדר יום:

17:45-18:00 – התכנסות

18:00-19:00 – חלק א' (Fuzzing), עלפי רשימת הנושאים.

19:00-19:10 – הפסקה וכיבוד קל

19:10-20:10 – חלק ב' (SQL Injection), עלפי רשימת הנושאים.

20:15 – סיום משוער
נשמח מאוד לראותכם.

ירון חקון, מנהל הקבוצה yaron@qrity.com
"

תלמדו ותהנו!
.

מפגש קהילת מפתחי Security בנושאים: Fuzz Testing & SQL Injection Anywhere

מזהה אירוע: 1032467489

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...