כה אמרה המומחית הידועה לאבטחת מידע, לוחמת סייבר וטרור גרעיני – סמדר שיר. .
כנראה שאני טעיתי בהערכתי הראשונית את פרשת גניבת כרטיסי האשראי על ידי ההאקר הסעודי, כי אם הגברת שיר בכבודה ובעצמה נכנסה לעובי הקורה בעניין חמור זה, אז כנראה שהנזק שייגרם בעניין זה יהיה לבסוף הרבה יותר גדול ממה שהערכתי בהתחלה.
טור הדעה של הגברת שיר מופיע כרגע באנגלית בלבד. נקווה שבימים הקרובים הוא יתורגם לעברית ויהיה זמין ברשת, לטובת כלל תושבי ישראל קוראי העברית, ובהתאמה נוסיף לכאן קישור מתאים.
אין לי באמת רצון או צורך להתייחס לפרשיה של היום, או יותר נכון להגיד היומית, אבל אני חייב לשתף אתכם בקטע הכי מצחיק שראיתי בנושא.
אתר ONE, שהיה מעורב שלא מרצונו בפרשה, מסביר את הצד שלו, ואת עיני צדה שם הפסקה הבאה:
"
האקרים הצליחו לחדור לאחת מחוות השרתים של האתר במהלך משחק העונה בין מ.ס. אשדוד ובין עירוני קריית שמונה, במהלך הפריצה הצליחו ההאקרים להפנות למספר דקות חלק מגולשי האתר לדף הפרסום שלהם.
"
חסרי לב. חיכו שכולם (חוץ מאלו שגולשים ב-ONE במקביל לצפייה במשחק, כמובן) יכססו ציפורניים מול המשחק שחיכינו לו זה 2000 שנות גלות (והסתיים בתיקו אפס) ואז הם היכו. כשאף אחד לא שם לב.
ערמומיים האויבים האלו. תדאגו שהפיירוול שלכם יישן עם עין אחת פקוחה (ושלא יראה משחקי כדורגל).
אוקיי, קוראים יקרים, אני שמח לבשר לכם שהתחלתי עבודה חדשה. כרגע אני לא כותב כאן את שם החברה. אתם יודעים, תנו לי זמן להיכנס לעניינים.
עדכון מה-19/1/2011 – החלטתי שזה טפשי. החברה היא F5 Networks, שרכשה בשנת 2004 את MagniFire הישראלית, ומאז, בנוסף לסניף מכירות ישראלי, יש לה כאן מחלקת פיתוח של מוצר WAF (Web Application Firewall) בשם ASM או בשמו המלא Application Security Manager, שהוא כמובן ההמשך למוצר של MagniFire.
אני מבטיח שבכל מקרה שלדעתי יש סיכוי לניגוד עניינים בכתיבה שלי – אני אציין זאת.
בכל מקרה, כרגיל, אני כותב כאן רק את דעתי האישית ולא מייצג את דעת או מדיניות החברה בה אני עובד.
המון תודה לכל מי שסייעו לי בתקופת האבטלה – ניסו למצוא לי עבודה, עודדו ובעיקר היו איתי. תודה לכם!
אגב, את העבודה הזו מצאתי דרך ניוזלטר מקצועי שהייתי מנוי עליו ולא דרך חברת השמה או מיקור חוץ – ללמדכם על חשיבות הצורך לשמור על קשר עם מקורות ידע ועדכון מקצועיים, שלעיתים כוללים גם אפשרות לשינויים בקריירה.
נשארתי בתחום אבטחת המידע רק ששיניתי עיסוק וכעת אני עובד במרכז פיתוח ישראלי של יצרן מחו"ל, שמפתח מוצרי תקשורת ואבטחת מידע, ותפקידי הוא להיות האיש הטכני הבכיר של מוצר אבטחת מידע, האדם המקשר בין הפיתוח לבין התמיכה, המכירות הטכניות (Presale), ההדרכה, התיעוד ועוד, ובנוסף אני אחראי להכניס שיפורים בנושאי פונקציונליות, שימושיות ועוד.
בשבילי זה שינוי משמעותי כי לראשונה אני עובד עבור חברה מחו"ל, שיש לה סניפים ברחבי העולם, שהרבה מהעבודה הוא מול אנשים שונים מהעולם, בפעם הראשונה עבודה מול פיתוח, בפעם הראשונה אצל Vendor, ובפעם הראשונה שהמנהל הישיר שלי הוא לא-ישראלי. הרבה מהעבודה שלי היא עצמאית ויש עלי הרבה אחריות להתנהל בעיקר לבד מול הרבה גורמים, בארץ ובחו"ל, להיות צומת של ידע ושינוי.
זה אתגר גדול ואמרו לי שייקח לי חודשים לא מעטים להיכנס לעניינים, כי זה מוצר גדול וחברה גדולה, אבל מאמינים בי ובשבילי זה גורם המוטיבציה מספר אחד.
מן הסתם, בהתאמה, יש סיכוי גבוה שקצב העדכון של הבלוג הזה יפחת (מה גם שגם כך אני סבור שהוא שקצב העדכון לא מספיק, לבטח לא כמו שהייתי רוצה. יש לי המון טיוטות והרבה דברים לעדכן שלא הספקתי), אבל אשתדל לעשות כמיטב יכולתי בכדי לשמר ולפתח את ההשקעה שלי בבלוג הזה, למעני ולמענכם.
ולסיום, אני רוצה לאחל לכולנו שנה אזרחית טובה, שנת בריאות ואושר, ובכדי שגם נחייך, מצורפת הרצאה של האקר בשם zoz, מכנס Defcon. הרצאה שבה הוא מספר כיצד הוא החזיר לעצמו את המקינטוש שלו שנגנב ממנו (פלוס סיפור קטן בהתחלה). מצחיק ומאלף. סוג של שיעור בנחישות ופורנסיק, וכמובן גם קצת מזל. שנה טובה!
ג'סטין ביבר (Justin Bieber) הוא זמר נעורים בן 16, שזוכה לפופולריות גבוהה בקרב הדור הצעיר.
לאחרונה פרץ לחשבון הטוויטר של חבר של מר ביבר הצעיר נער בשם Kevin Kristopik שמצא כך את הטלפון של הכוכב הצעיר ואפילו התגאה פומבית (בטוויטר שלו, כמובן) בכך שביצע את הפריצה והשיג את המספר של האליל. לא ברור מה הוא עשה עם המספר הזה.
בכל מקרה, ביבר ידידנו לא פראייר ומבין היטב את כוחו ברשת (יש לו 4.6 מיליון עוקבים בטוויטר). הנקמה הגיע בדמות הודעת טוויטר קצרה (וזמנית, היא כבר נמחקה) הקוראת לעוקבים להתקשר אליו למספר טלפון סלולרי או לשלוח אליו SMS. הטלפון היה כמובן של ההאקר… מה שכמובן גרם להאקר להטרדה סלולרית המונית שאילצה אותו להחליף מספר (מסכן מי שיקבל את המספר הזה מחברת הטלפונים…).
ואני אומר – כבוד מר ביבר הצעיר! בהחלט מנה אחת אפיים.
- רבים מן הסתם יראו בו חיזוק לטענות כנגד מיקור חוץ, אבל לדעתי זה היה יכול לקרות גם אם זה היה עובד ישיר של היצרן. נכון שהסיכוי היה נמוך יותר, אבל עדיין קיים.
- אחרים, מן הסתם מארה"ב, יכניסו לנושא נימה גזעית בתוספת לאנטי-מיקור-חוץ, מסוג של "תראו מה קורה כאשר לוקחים עבודה מאמריקאים ומעבירים אותה למדינת עולם שלישי".
כאילו שארה"ב היא מדינה של מלאכים ושם זה לא היה יכול לקרות. פחחח.
- אנשים, בייחוד עם אוריינות מחשובית נמוכה, לא מבינים את המשמעויות וההשלכות האפשריות של מה שהם עושים. את שילוב המרחק-זמן האפסי שבו אפשר להגיע מ-"פרטי" ל-"גלובלי". וזה כמובן מאוד עצוב במקרים מסוימים.
- לזכותה של גב' פיצ'גרלד נאמר שהיה לה האומץ (או שוב הטמטום?) כבר לעשות מזה סיפור חדשותי, שמן הסתם "העניק" לה ולמקרה פרסום עולמי. אם כמה אנשים ילמדו מכך לקח ובכך יימנעו משטויות – כבר הרווחנו.
- לדעתי צריך לשקול להקים בכל מדינה מנגנון של מעין "משמר אזרחי" דיגיטלי (כי ממילא למשטרה משאבים מוגבלים והיא מטפלת רק במקרים חמורים (או כאלו שיש להם פוטנציאל תקשורתי…), משא"ז אליו אנשים יוכלו לפנות במקרים כאלו ופחות חמורים כמובן, ושם יהיו מתנדבים בעלי ידע, אכפתיות ודיסקרטיות – שיעזרו לאנשים שזקוקים לעזרה ממוחשבת ולא יודעים מה לעשות ולמי לפנות.
- אין הגנה מפני טמטום.
ובכדי שנסיים עם חיוך, מצורף שיר רלוונטי למקרה שלנו – It's a small world של דיסני:
it's a world of laughter, a world or tears
its a world of hopes, its a world of fear
theres so much that we share
that its time we're aware
its a small world after all
CHORUS:
its a small world after all
its a small world after all
its a small world after all
its a small, small world
There is just one moon and one golden sun
And a smile means friendship to everyone.
Though the mountains divide
And the oceans are wide
It's a small small world
לצערי נאלצתי לאחרונה להשתמש באתר הפעולות של "ביטוח לאומי", שנועד לנעזרים בביטוח לאומי. "לצערי" זה בעיקר בשל הנסיבות, האתר עצמו דווקא סביר, לבטח יחסית למה שמצפים מביטוח לאומי.
בכל מקרה, שמתי לב לתופעה מוזרה, אך קבועה – אתר הפעולות אינו עובד בשישי-שבת. אתר שומר שבת. די מרגיז. נדמה לי שאתרים של גופי שלטון אחרים, לבטח כאלו ששמחים לקבל כסף מהציבור, פתוחים יופי בשבת, רק תביאו געלט.
מחיפוש קל ברשת עולה שזו בעיהמאודעתיקה. התעצבנתי והחלטתי לפנות למבקר המדינה בנושא (טרם בוצע, יבוצע בקרוב אני מקווה). אתר מבקר המדינה מבקש כחלק מהפניה אליו, לקבל פירוט של ניסיונות הבירור שנעשו מול המוסד עליו מתלוננים, ולכן פניתי לפניות הציבור של ביטוח לאומי ולהלן התכתובת:
28/6/2010 – אני פונה לביטוח לאומי דרך טופס באתר שלהם עם השאלה הבאה:
"
שלום, מדוע אתר הפעולות האישיות שלכם באינטרנט סגור בשבתות? תודה.
"
4/7/2010 – התקבלה במייל תשובתה של מנהלת מוקד דימונה (נדמה לי שזה מוקד השירות הטלפוני הארצי שלהם):
"
שלום רב,
הביטוח הלאומי מעמיד לרשותכם מגוון אפשרויות לביצוע פעולות באתר , לשם כך הוקמו מספר שירותים לשירותכם , נוסף על מוקד השירות הארצי המטפל בכל הנושאים . על מנת לחסוך לכם זמן יקר .
ניתן לפנות לסניף שלך באמצעות האתר בטופס מאובטח , לשלוח פניות אישיות וכלליות בנושאים שונים הדפסת אישורים ,אתר אישי וכן קיים אתר תשלומים בו ניתן לדווח על חובותיכם ולשלמם האתר פועל בכל ימות השבוע, 24 שעות ביממה, וסגור מכניסת שבתות וחגים ועד צאתם. גם ערוצי תשלום נוספים פועלים המתכונת זו וזאת מאחר וקיים תהליך קליטת תשלום אשר צריך לבצע.
אי לכך ובהתאם לזאת אין אתר התשלומים פעיל בשבתות וחגים , כל שאר האפשרויות באתר האינטרנט פועלות בכל ימות השנה 24 שעות .
"
יענו תגיד תודה שבמהלך השבוע הרגיל אתה מקבל שירות.
עוד באותו היום השבתי להם (אני יעיל! חוץ מבשבתות…):
"
שלום,
תודה על התשובה, אולם לא הבנתי מה הסיבה לסגירת האתר המדובר בשבתות (האתר למבוטח, שם ניתן למשל להנפיק אישורים).
זה שבמהלך השבוע האתר פעיל ויש גם בשאר השבוע דרכי התקשרות נוספות עם בט"ל – לא מסביר מדוע האתר סגור בשבתות.
מדוע שהאתר לא יהיה פתוח גם בשישי-שבת, שהוא הזמן השבועי הפנוי יותר לאזרחים להשתמש באתר?
"
ב-6/7/2010 קיבלתי תשובה ממי שעל פי שמה המלא היא כנראה מנהלת אגף שירות הלקוחות בביטוח לאומי (אסקלציה במיטבה):
"
איתן שלום רב,
האתר האישי סגור בשבת מאחר והוא מחובר ב- online למערכות הליבה של הביטוח הלאומי.
מאחר ומערכות הליבה סגורות בשבתות לא ניתן לספק מידע באתר האישי. מערכות הליבה סגורות מאז ומתמיד בסופי שבוע הן בשל אבטחת מידע והן מאחר ולא ניתן להעסיק תורני שבת לתחזוקת המערכות הללו בסופי שבוע (בכ"ז אנחנו לא חדר מיון או משטרה).
"
קראתי את התשובה הזו ובדקתי את כתובת שולח המייל, לוודא שזה לא מייל שאפרים קישון שלח אלי, אבל אז נזכרתי שהוא מת, אבל ממשיך לחיות בביטוח לאומי.
אחרי התשובה הזו כבר לא המשכתי את ההתכתבות. באמת שאין טעם.
חיפשתי בכתובים של המקצוע ולא מצאתי טקטיקת הגנה של אבטחת מידע שמציעה להשבית מערכות בשבתות וחגים כדרך למנוע מאנשי זדון לפגוע בכל אשר דורש הגנה.
זה מזכיר לי את הבדיחה על ההוא שפחד שירצחו אותו ולכן התאבד.
אני משער שמרבית הסיכויים הם שאיש מפתח של המערכת הוא שומר שבת או שוועד העובדים לא אישר עבודה בשבת כי לא נמצא סעיף תקציבי לממן את התשלום בעד התורנות או סיבה פקידותית/שלטונית מגוחכת כזו או אחרת.
אבל יפה שמשתמשים באבטחת מידע כסיבה לאי-מתן שירות, משהו כמו "ביטחון לאומי" - שאחרי שאומרים אותו כסיבה כולם עומדים דום ומצדיעים בלי לשאול יותר מדי שאלות. פלא שאח"כ לא אוהבים אותנו?!
ולסיום האקרים יקרים, לבטח שמתם לב שהאתר מחובר ONLINE למערכות הליבה של הביטוח הלאומי. אז בבקשה לנסות רק באמצע השבוע. בשבתות ובחגים אין לכם סיכוי – בזמנים אלו עובדת ההגנה האולטימטיבית, זו המוכרת בשם "אלוהים ישמור".
אפשר. הנה בדיחה טובה שקיבלתי בעבודה (כבר המשפט הראשון הוא (בד"כ) בדיחה, אבל זה רק אני, שוביניסט…):
A woman was helping her husband set up his computer, and at the appropriate point in the process, the computer advised him that he would now need to enter a password. Something he will use to log on.
The husband was in a rather amorous mood and figured he would try for the shock effect to bring this to his wife's attention. So, when the computer asked him to enter his password, He made it plainly obvious to his wife what he was entering, by stating each letter out loud as he typed:
P….E…N…I…S
His wife fell off her chair laughing when the computer replied:
ברוח "אקספרס של חצות" הפושה לאחרונה בים וברשת, הותקף גם מקום עבודתי לרוב לאחרונה.
אחד ההתקפות היתה מהכתובת 78.181.209.84.
לא היה לה תרגום אחורי של DNS, אז הלכתי על Whois Lookup של IP.
התשובה שקיבלתי היתה כנה למדי.
