SecProf Professional Cybersecurity Blog. Founded by pros on a bold mission to "Inspire and educate," SecProf delivers actionable intel that empowers professionals, businesses, and curious minds alike. Whether you're combating malicious code, building hybrid SOCs, or decoding hacker legends like Kevin Mitnick, join us to stay ahead in the cyber game – because knowledge is your strongest shield.
(Jeong - 정), (Jō - 情), (Ninjō - 人情), (Khiimori - ᠬᠢᠶᠢᠮᠣᠷᠢ)
מערכת המסרים המיידיים טוויטר היא מערכת חברתית הגוררת לצורך שימוש בה פתיחת חשבון לכל משתמש.
לעיתים אני מוצא אנשים חוששים על מידע שפורסם בחשבון ומעוניינים במחיקתו, אתן לזה את הפתרון.
אם אין ברצונכם למחוק טוויטים אלא את כל החשבון, גם זאת ניתן לעשות ע"י הפעולות הבאות.
היכנס לחשבון שלךבדף www.twitter.com עם שם המשתמש והסיסמה שהגדרתה.
אתר את התפריט "settings" המצוי בפינה הימנית העליונה של דף האתר בו אתה נמצא. זוהי האפשרות הרביעית משמאל.
לחץ על האפשרות 'Deactivate my account'(בטל את החשבון שלי) המופיע כקישור בתחתית הדף של 'ניהול החשבון'.
לאחר הלחיצה על הקישור תועבר לדף אחר (בלחיצה על התמונה בדף זה תוכל לראות את הדף המדובר),
המבקש ממך לאשר את המחיקה. לחץ על הכפתור בתחתית הדף "Okay, Fine Deactivate My Account".
לאחר מכן תועבר לדף הראשי וחשבונך ימחק.
חשוב: מידע שנשאר בחשבון טוויטר יהיה נגיש תמיד לאלו שעוקבים אחריכים בטוויטר ולכן כחלק מהליך אבטחת מידע, חשבון שאין בו שימוש, עדיף שיימחק. בהצלחה!
טכנולוגיה חדשה שתעזור לחוקרים או למחפשי מידע תוצע לכל דורש כבר בשנים הקרובות.
הטכנולוגיה שהוצגה ע"י בוגרי הMIT , זכתה לשם "החוש השישי".
הטכנולוגיה שהוצגה באתר TED, נראית כאילו נלקחה מתוך הספר "דו"ח מיוחד Minority Report שהוצג בסרט תחת אותו שם של סטיבן ספילברג בשנת 2002 בכיכובו של טום קרוז.
טכנולוגיה זו הינה טכנולוגיה הנלבשת על הגוף ומאפשרת בעזרת מצלמה ומקרן זעירים וחיישני אצבעות לבצע כמו מתוך הולוגרמה חיפושי מידע מתוך רשת הענן ולסנן להגדיל והוציא מידע תוך זיהוי בזמן אמת של פרצוף, דמות , מסמך או מוצר.
הטכנולוגיה (אם תהיה זמינה לכל) תיצור אפשרות למידה מעמיקה של הסביבה המציאותית שלנו וגם תהפוך לכלי של הפרת פרטיות באופן בוטה.
השיקול כמו תמיד הוא של הציבור, דוגמא להפרות פרטיות שהפכו לנחלת הכלל היא באתר FaceBook שהיום אין חוקר נחשב שלא מכיר את רזי ליקוט המידע מכלי זה.
הכלים עדיין מצויים בשלבים אחרונים של פיתוח, תוצר זה רק מראה מהן מגמות ההתפתחות הבאות בעולם הוירטואלי הנכנס לתוך העולם המציאותי שלנו, וכן זה נראה מעניין.
לחצו על הוידאו לצפיה.
השבוע הודיע בכיר בחברת יוניברסל 'פרנסיס קלינג' למערכת ה-BBC את ההודעה הבאה: the world largest music company has admitted that piracy cannot be stopped. תופעת הפיראטיות על יצירות כדוגמת מוסיקה וסרטים החלה לצבור תנופה משנת 1999 למעשה החלה עוד מרשית ימי האינטרנט המסחרי, זוהי בעיה סבוכה שחלק מהעוסקים בדבר טוענים כי החלטה בנושא זה תהלך איימים על קיום האינטרנט ככלי פתוח לכל. השיתוף החל לצבור תנופה בעיקר כאשר חברות גדולות חשבו שעצם יצירת הרתעה כנגד מספר מקרים בודדים, יצליחו ליצור פחד אצל משתפי הקבצים ולהפסיק את פעולות השיתוף, דבר שלא קרה. מעבר לכך, הנושא עלה לסדר היום ומוחות קרימינלים בינלאומיים החלו לנצל את נושא הפיראטיות לטובת עשיית רווחים, כיום ניתן להבין כי בתחום המוסיקה והסרטים קיימים מספר אתרים מסגנון "עוקץ ניגרי" בהם נרשמים אנשים כביכול לקבל חומר צפיה או שמיעה אכותי, ומשלמים דמי מינוי שאח"כ מתבררים כהונאה. החלק השני הוא בניצול גורמים מסחרים ומדינות לזרוע בתוך קבצי המוסיקה והסרטים קבצי backdoor ואו קבצים מזיקים לתעשיית האנטי וירוס, הבעיה העיקרית עימה צריכים להתמודד חוקרים היא בדרכי ההפצה המנצלים רשתות שיתוף לכלי הפצה של בוטנטים ו- Spywere . וזאת צריכה להיות הדאגה העיקרית של אנשים המורידים ומשתפים קבצים, כל עוד לא יבוצע חינוך שיעזור בהבנת הבעיה כך ימשכו להם ההפצות הפיראטיות מבלי להיפסק.
PCI DSS - תקן אבטחת מידע על מאגרי כרטיסי אשראי שהוקם על ידי חברות האשראי הבנלאומיות - מתי הוחלט ליצור את התקן המחייב את כל חברות סליקת האשראי הבנלאומיות, האם התקן משפיע על חברות מקומיות. מה מידת ההתמעה של התקן בקרב חברות מקומיות כיום.
טרנד חדש בפייסבוק בניית עצי משפחה.
הטרנד החדש למעשה משמש כווידג'ט שניתן להוסיפו ל-FACBOOK, הקלות המהממת בבנית עץ משפחה יכולה בהחלט לסחוף רבים לשימוש בכלי זה וניתן אף להיתחבר אליו דרך חשבון הפייסבוק.
בדף הרישום לאתר geni.com מפעילת השירות מופיע באנגלית הסבר הנוגע לפרטיות המידע.
"Geni is private and secure. Only the people in your family can see your tree", אכן המידע אמור להישמר אך ברגע שהוא פורסם באמצעות הפייסבוק, המידע שפרסמתם נגיש לכל.
בכניסה שביצעתי לדף של משתמש בפייסבוק שאינו נמנה על חבריי ובו פירסם את העץ המשפחתי שלו ניתן היה לצפות במידע שהוכנס פנימה.
אגב מי שינסה לבדוק מיהי החברה העומדת מאחורי האתר יגלה לתדהמתו כי המידע חסוי ואין מידע מפורט לגבי מחזיק הדומיין.
אנא בדקו את עצמכם לפני שאתם משתפים מידע עם אחרים, הרי אחת ממגמות הפשיעה הנמצאת בעליה מתמדת היא גניבת זהות - ראו הוזהרתם!!!
הצפנה
כדי ליצור חיץ בין הקבצים המצויים במחשב לבין מידת החשיפה שהם יכולים לקבל עם אנשים שאין להם צורך בנגיעה במידע זה. יש צורך להצפין את המידע.
אין צורך לשבור את הראש בהבנה של סוג ההצפנה שיש להצפין ובאיזה אלגוריטם כדאי יותר להצפין מידע, ישנן פתרונות העוזרות לך גם ללא הבנה הבסיסית הזו, בכל דרך אחרת לא מוממלץ להצפין מידע. יש מערכות שהנן מקצעויות הדורשות ידע מקדים ויש אלו הנחשבות פשוטות ונוחות להפעלה, לא תמצאו פה יותר ממקבץ מומלץ.
TrueCrypt - תוכנת הצפנה חינמית (ניתן לתרום) זהו כלי מצוין להסתרת מידע מעיני אחרים, התוכנה עושה שימוש במספר אלגוריתמים להצפנה רבי עוצמה. עושה שימוש ב"containers" קבצים במערכת ההפעלה המתפקדים ככונן רשת והופכים לכונן לוגי להכנסת מידע פנימה, קבצים, תמונות, סרטונים, וכד'. מומלץ!
להגדרה ראשונית יש להתייעץ עם מומחה או בעל ניסיון מקצועי לבל תבצעו הצפנה שלא תוכלו אח"כ לפענחה
בכל מערכת הפעלה של מיקרוסופט, מצויה מערכת גיבוי מידע - מומלץ לשימוש.
ישנן מערכות נוספות התורמות לנו את היכולת כמעט בחינם או בחינם ומאפשרים לנו לשמור מידע בבחירה על המחשב שלנו, מחשב ברשת או בגיבוי ענן על פני שרתים באינטרנט. ברוב מערכות הגיבוי תמצאו היום את המושג של גיבוי דלתות (דלתה) והכוונה היא להעתקת קבצים שהשתנו מהגיבוי הקודם בלבד ו/או חדשים שנוצרו, על מנת לחסוך זמן ובעיקר משאבי מערכת שבד"כ חסרים לנו.ברובם ניתן אף לשחזר מעבר לקבצים עצמם גם גרסאות קודמות של המסמך שגובו.
להלן המערכות:
Clonezilla - על מנת לגבות את הקבצים שלכם באופן מקומי או ב- Portable Devices אמצעי אחסון חיצוניים או ברשת מומלץ!.
אם יכולתי ברגע זה לשוחח על נושא זה אתכם, הייתי מרשה לעצמי לדבר כ- 4 שעות, ועדיין לא לומר את כל הידוע לי בנושא זה.
האנונימיות ברשת חדלה מלהתקיים ובזכות רשתות שיתוף ומערכות טוויטר וכד' גודל הנוער בצל העדר חומות ליצירת אנונימיות ודחיפת ה'אני' למרכז התמונה ברשת. הדבר מסוכן! יש לפעול בדרכים מסויימות כדי להימנע מהסכנות הצפויות - אם ברצונכם לשמוע יותר, צרו עימי קשר באמצעות תגובה לפרסום זה.
הנני ממליץ לצפות בסרטון זה, בו מציג חוקר פרטי העוסק בעבירות מחשב בשם סטיב רמבמ את כל הסכנות התמונות בתפיסה ליברלית זו. לחצו על קישור זה לסרט - צפייה מהנה!
כמה פעמים ניתקלתם בסיטואציה בה ביצעתם משהו מביש שבאותו רגע הייתם מאוד גאים במעשה ואח"כ התביישתם ורציתם שאף אחד לא יזכור זאת?
אל תענו.
ברור לגמרי שלכולנו קוראים מקרים כאלו וחשוב שלא ישאר מהם איזשהו מידע על מה שקרה.
צילום או כל דבר אחר שעלול להיות מופץ ברשת האינטרנט, אינו נעלם ובעזרת הסורקים הרבים המצויים באינטרנט, עקב כך - לא נעלם מעיניהם של סקרנים רבים אחרים, כמו הבחור שהגעתם אליו לראיון עבודה, השכן ועוד אחרים שתתקלו בחיים.
אם כבר העלתם מידע על עצמכם יש צורך לעשות כן בחוכמה, הדבר נכון גם לנוער וגם לבוגרים כאחד.
יש דרך למנוע מעצמנו את הבושה בעתיד - צריך רק להקשיב וליישם.
עליית מדרגה בלחימה בפירטיות באינטרנט הוביל לניצחונה של Fapav בתביעה כנגד חברת טלקומוניקציה.
רומא - איטליה מגבירה את המאמצים בלחימה כנגד אנטיפיראטיות אשר הובילה לפסק דין ראשון כנגד ספקית אינטרנט כענקית Telcomבאיטליה בשם Telcom Italia,
אך לא הצילחו להשיג פריצת דרך שתוביל למידע על הגולשים שעשו שימוש בצינורות ספקית התקשורת.
פסק דין זה ייאלץ ספקי אינטרנט לפעול בצורה יותר פרו-אקטיבית כנגד פירטים ברשת.
בתביעה שהוגשה ע"י ארגון Fapav האיטלקי קבעו אלו כי הספקית אחראית ל-2.2 מיליון הורדות לא חוקיות בין ספט' 2008 ומרץ 2009.
ב- Fapav העלו טענות בהן ראיות לפשיעה נרחבת שבה טלקום איטליה שימשה כצינור העיקרי לפעולות אלו.
עוד נקבע כי בעוד טלקום איטליה לא נושאת באחריות פלילית, טלקום איטליה חייבת לשתף פעולה עם המשטרה האיטלקית וגופי האכיפה בתחום התקשורת.
הנזק הכלכלי הנגרם לשוק התעשיה הקולנועית באיטליה גדול יותר מ-700 מיליון דולר בשנה, על פי Fapav.
עולם הפשע המאורגן מאופיין ע"י מספר גורמים שהגדירו ממשלות בעולם, אחד מהם הוא:
התארגנות של 2 ויותר אנשים לפעול במטרה להונות, לאיים או לסחוט כספים.
אך מה קורה לגוף שמנסה לפעול תחת מסווה חוקי של חברת תוכנה המייסעת כנגד פשעי הונאה כדוגמת "אינובייטיב מרקטינג", המידע הגיע לרשויות החוק לאחר פניות של משתמשים שהשתמשו בשרותים המכוונים של החברה והבינו כי הונו אותם.
זאת תוכלו לקרוא בכתבה (ב-theMarkerIT) בעקבות סיקור המשפט של חברת אינובייטיב מרקטינג שנסגרה לפני כשנה ומיקומה הגאוגרפי היה בקייב.
שניי האקרים שחררו אפליקציה סגורה שנועדה לסכל את ה- Microsoft Toolkit הידוע בכינויו COFEE על התקן USB, ומשמש סוכנויות אכיפת חוק בינלאומיות ומקומיות לבחון כוננים קשיחים של חשודים אחר מידע מרשיע במהלך הפשיטה בשטח או במעבדה.
הכלי של שני האקרים זכה לכינוי 'נטול קפאין' Dacaf, על שם מקביל לערכת ה-toolkit של מיקרוסופט שזכה לשם 'Cofee'.
הכלי נועד לנטרל את התוכנה שמשתמשים בה גורמי חוק וסוכני אכיפת חוק, לפני שהם מביאים את המחשב למעבדה לזיהוי פלילי שלהם. למעשה הכלי מונע שימוש של המערכת על המחשב תוך נעילת התקני ה- USB's. בכך נמנע מהסוכן לסרוק אחר קבצים ולאסוף מידע על הפעולות המבוצעות על המחשב שנבדק כגון שם המשתמש, היכן גלש באינטרנט ומהם הקבצים שהוריד.
לדברי האקרים, ה- Decaf מוחק קבצים זמניים ותהליכים הקשורים לחיפוש של כלי ה- COFEE, מוחק את כל הלוגים שבשימוש ה- COFEE, משבית התקני USB וכל זאת, כדי למנוע את אותן עקבות זיהוי פליליות על המחשב החשוד.
אותם האקרים מוסרים כי בגרסאות הבאות של הכלי ייתאפשר לבעלי מחשבים לבצע את אותן הפעולות כולל נעילת המחשב בחיבור מרחוק, בזמן שהם מזהים שהמחשב נפל לידיי אוכפיי החוק.
ה- Decaf שוחרר להורדה באינטרנט, אך לעומת זאת, הם נמנעו מלשחרר את קוד המקור של התוכנית.
להזכירכם, ללא קוד המקור של האפליקציה לא ניתן לבדוק אם התוכנית מכילה תוכניות זדוניות העלולות לפגוע במחשב שעליו ה- Decaf מותקן, ובזאת לאפשר לתוקפים להשתלט על המחשב מרחוק.
האקרים המפתחים טוענים מצידם "אנחנו רק שני מפתחים שתומכים בזרימה חופשית ומשוחררת של מידע ופרטיות באינטרנט".
פורסם לראשונה ב-Cnet news ע"י Elinor Mills.
בחשיפה דובר על סוג של spywere שניתן להטעינו במכשיר בלקברי בדרכים רבות: שליחת אפליקציה בדוא"ל, או קישור לאתר באינטרנט המתקין את התוכנה הזדונית ברקע. האפליקציה המזיקה חושפת גישת Backdoor באמצעות מנגנון ה-SMS של המכשיר. באמצעות שליחת פקודות ב-SMS למכשיר, ניתן לקבל שליטה כמעט מלאה על מערכות במכשיר ולקבל אינפורמציה כדוגמת: הודעות טקסט, לוג של כל שיחות הטלפון, ניטור הודעות נכנסות, contacs מתיבת המייל, איתור בזמן אמת של מיקום מחזיק הבלקברי, וכן לתפעל ע"פ פקודה הקלטה קולית מהכשיר למשך 5 שנ' בכל פעם.
האפליקציה נכתבה ע"י מומחה האבטחה Tyler Shields חוקר בכיר ב Veracode Research Lab שנתן את השם לפרצה בשם: TXSBBSpy. עם זאת, של טרנד מיקרו מאוגוסט האחרון עולה כי רק 23 אחוז מבעלי הטלפונים החכמים משתמשים בתוכנות אבטחה במכשיר שלהם, רבים אחרים טוענים כי, אינם מודעים לסיכוני אבטחה במכשירים החכמים, או לא חושבים שהסיכונים רציניים, חלקם כיצד מתמודדים עם סיכונים אלו.
לכ מי שחש שייכות לקבוצות אלו אני ממליץ - צפו בהדגמה.
כפי שתארתיבפוסט קודם על תגובות הגולשים בהשקת הבאזז והאכזבה מעצם הטמעת גוגל באזז בתוך מערכת ג'ימייל ודריסת הפרטיות, מסתמן ע"פ ידיעה שהתפרסמה היום ב-ThemarkerIT, כי גוגל שוקלת לאפשר לגולשים להשתמש בשירות החדש בנפרד מחשבון הדוא"ל Gmail.
'חוק האח הגדול' מוכר יותר כ'חוק נתוני תקשורת' התשס"ח 2007 שנכנס לתוקפו ביוני 2008, הינו חוק מורכב עם המון נקודות קשות של שיפוט, חקיקה ופרטיות המידע. החוק מאפשר לגופי חקירה ביטחוניים וממשלתיים לפעול באופן המאפשר גילוי מידע ותקשורת לדוגמא: נתוני מיקום של מנוי, נתוני מנוי (מטלפונים ועד חיבורי רשת ונתוני דוא"ל) ונתוני תעבורה.
הבעיה בחוק
כפי שמובן לכל, הבעיה היא באפשרות של מתן כוח אדיר, תוך דריסה של זכות האדם לפרטיות, בשם הבטחון, תזרים המזומנים הממשלתי והפשיעה הגוברת. והאפשרות של מתן לגיטימציה בלתי מוגבלת לקבוצת אנשים רחבה, לפעול באופן פולשני מבלי לקבל ביקורת פרטנית על כל פעולה ומתן לגיטימציה גורפת גם לפעילויות שאינן מוסברות או דורשות ביקורת. קחו לדוגמא את סעיף 4 ו-6 לחוק, מקרים דחופים אינן דורשים צו, אלא קבלת אישור של בכיר דרגה מוסמך, מבלי לדווח וללא בקרה שיפוטית. סוגיה זו כבר נשמעת גם בשכנתינו הקרובה 'ארצות הברית'.
סוכני ה-FBI שקרו ואספו מידע פרטי שלא ע"פ דין
בינואר 2010 לפני פחות מחודש, התבשרנו כי סוכנים פדרלים עשו שימוש במידע ואספו רשומות של נתוני תקשורת תוך שימוש בסמכויות מיוחדות, כפי שמתיר להם באופן אפור, החוק הפדרלי. כדי לאסוף את המידע המציאו הסוכנים חשדות שלא היו, והפעילו פרוצדורה הידועה בארה"ב כטופס 2703(d) המאפשר שימוש בנתוני מידע ואיסופו במקרים דחופים די דומה לחוק נתוני תקשורת בישראל סעיפים 4 ו-6. מידע נוסף תוכלו לקרוא באתר National Whistleblowers Center.
הממשל האמריקאי נאמן למי?
בעקבות הפרשיה של סוכנים פדרלים שעשו שימוש ציני בחוק, קם משרד המשפטים להגן על תהליך ציתות למידע ללא צו משפטי. בדיון שנערך בבית המשפט הפדרלי העליון בפילדלפיה טען ביום שישי האחרון עו"ד מטעם המשרד, 'כי אין שום בעיה חוקתית עם החזקה של רשומות של טלפונים סלולרים ודבר מיקומם המדויק של אנשים המחזיקים בטלפונים סלולרים'. עוד הוסיף הנציג 'הממשלה אינה נדרשת לשימוש בצו כאשר היא משתמשת במכשיר מעקב'.
זהו הדיון הראשון שעוסק בימים אלו בית המשפט לערעורים הפדרלי המדבר על ביצוע מעקב מיקום (איכון) ללא צו משפטי פדרלי של מנוי סלולרי, זוהי סוגיה שהשופטים בדיון מאמינים כי היא קריטית בעיקר תחת ההגדרה של שימוש ביטחוני ע"י הממשל ומנגד השאלה, האם לאמריקנים יש ציפייה סבירה לקבלת פרטיות בכל הנוגע לטלפונים סלולריים מבלי חשש - על הסגרת מקום הימצאם בכל רגע נתון.
טוען אחד השופטים בדיון כי נתוני המיקום יכולים לגלות אם אנשים השתתפו במחאה פוליטית, או בפגישה מחתרתית, או בפגישה פוליטית, וכי ממשלות יכולות לנצל לרעה מידע זה.
צריך לזכור כי לפני כמה שנים, מעקב על טלפונים היה חומר בידי מפיקי מותחנים כמו "אויב המדינה" או "Die Hard". וכיום משטרים בעולם כבר מבצעים איכון ללא שום סוגיה משפטית נשאלת והכול בשם קיום הסדר במדינה. בזכות כך מתאפשר להם לצתת לאלפי טלפונים ניידים בשנה, כאשר חוקי היסוד המשפטי אינן ברורים בארה"ב, ומנגד עומדים להם חוקים פדרלים בנושאי פרטיות המידע שנכתבו לפני שנות דור והם אינם חד משמעיים במקרה הטוב.
עתירות והתנגדות לחוק
ובכן כמו בישראל, גם ממשל אובהמה קם להגן על המצב הקיים, ופוסח עקב כך על ביקורת ציבורית נוקבת לדריסת רגל זו בפרטיות של כל אזרח במדינה שזכאי לחופש ולפרטיות במדינתו שלו.
סוגיה זו נדונה בימים אלו בבימ"ש עליון בארה"ב וכמו שכנינו גם אצלינו הוגשה עתירה מיד לאחר יישום החוק ביוני 2008 ע"י האגודה לזכויות האזרח, בספטמבר 2008 החליטה גם המועצה לעיתונות להצטרף לעתירה. בדצמבר 2008 הוגשה עתירה נוספת נגד החוק ע"י לשכת עוה"ד.
האח הגדול 1984
החזון הפסימיסטי של ג'ורג' אורוול - האח הגדול, הופך אט אט למציאות חיינו, האם לא כדאי ליישם גבולות והגבלות לשם הגנה על פרטיותינו? האם חוק נתוני המידע הוא חוק טוטליטרי או רק בעל מאפיינים טוטליטרים ?
האם זהו עתידנו?
נסו את Buzz לטפונים סלולארים הכולל מידע על מיקומך בזמן אמת.
מגזין WiErD יצא לבדוק מה מטריד אותך בגוגל באז, המגזין בוחר לתת אפשרות לגולשים להאיר את אשר על ליבם בנושא זה, מתוך התגובות עולה, כי עצם הביצוע (הוספת כפתור ב-inbox וחיבור אוטומטי לחברים) ללא בדיקה או ביצוע סקר בקרב המשתמשים בשירות, גוגל הפר את מדיניות הפרטיות והפך לשירות המטריד את המשתמשים בו. חלקם אף מציינים כי אי יכולת הבחירה והדריסה המאפשרת באופן בלתי מתחשב לקבל טוויטים מיידיים של אנשים מתוך ה-contacts, מהווה חדירה של הודעות ספאם לתוך הג'ימייל.
אז למה אתה לא כותב על זה שום דבר? למה אף אחד לא אומר לנו את זה?
אני מציג כאן רק שתיים מתוך מס' שאלות שהופנו אליי במסגרת הרצאה שהעברתי.
אתם בטח טועים במה מדובר?
פשוט מאוד בוטנט.
לחלק הוא מוכר יותר כזומבי, חלק אחר יראה בו סוס טרויאני הפותח Backdoor במחשבים שלנו ומאפשר השתלטות מרחוק. זה לא משנה כיצד נקרא לו, משנה המשמעות של הפעולות שניתן לבצע בעזרתו.
הסברתי בהרצאה כי המון קבצים שנמצאים ברשתות השיתוף מכילים בתוכם בוטנטים, והורים שנוטים להסכים עם ילדיהם להורדות של קבצים פופלרים כדוגמת סרטים למחשבם הפרטי בעצם חושפים עצמם לבעיה, העובדה היא כי מאותו רגע והלך המחשב שלכם יהפוך לחלק ממתקפות אינטרנטיות השולחות ספאם או לקחת חלק במתקפות DDos כנגד אתרים ורשתות cybernet. כמו גם לכלי שרת של העברת מידע פרטי הנוגע לשמות משתמש סיסמה וכן פרטי כרטיסי האשראי שאנו משתמשים. תחשבו שכל זה נגרם בגלל סרט אחד או שיר אחד שרצינו להוריד.
את ההרצאה סיימתי במשפט: השימוש ברשתות השיתוף עלול לחשוף אתכם מול פשיעה מאורגנת מסוכנת וכן את ילדיכם.
וזהו - גם על זה כתבתי.
קראתי את דבריו של עו"ד עמרי כבירי שפורסמו ב- YNet בשקיקה, בכתבה טוען העו"ד שביצע את ההגנה בפרשיית "הפריצה לאתר המוסד" כי תחום עבירות המחשב בעולם החקירות נחשב כתחום איזוטרי ואינו ראוי לקבל את קדמת הבמה, זאת מכיוון שבתיק הספציפי עליו הוא מבסס את הכתבה נפסק כי הבחור שביצע את הפריצה לאתר המוסד עשה זאת בתמימות תוך שהוא מנסה לבדוק את רמת האבטחה של האתר, תחת תירוץ של הגנת המידע, לאחר שהלקוח שלו העלה לאתר את קורות חייו בניסיון להתקבל לשרות המוסד.
שמחתי לקרוא כי עו"ד כבירי מחזק את הדברים אותם אני מעלה שוב ושוב והוא חוסר ניסיון או העדר רמה מתאימה של אנשים העוסקים בתחום של חוקרי מחשב שאינם ראויים להיקרא כאלו או להיקרא חוקרים כלל. אין זה שונה בין גזירת ראיה מתוך מכלול ראיות, כפי שציין כבירי. גם בעולם הפיזי אין להגיש חלק מראיה בגלל הרצון למקד את השופט בדבר הראיה הנקודית ובכך להעלים חלק נכבד מהמידע שהוביל לראיה. כמו גם לנסות ולבדוק רק חלק מזירת הפשע.
אני אסביר את כוונותיי, בראיות דיגיטליות ע"פ מטודולוגיות כמו Nist ודומיו יש להעביר את מכלול הנתונים בו הופיעה הראיה, אם זאת, ניתן להעביר בנוסף תמונה ממקודת של שורות הקוד הבעיתיות או חלקי קבצי הלוג אך רק עם כל הלוגים או קבצי הקוד מצויים בתיק. והלוא כל אדיוט יודע זאת.
בנוסף, חקירת זירת פשע במציאות דורשת המון משאבים וציוד הזמינים בקרב הרשויות, אך בתחום "איזוטרי" כתחום חקירות המחשב לרוב לא נמצא ציוד זה, ולעיתים כ"א נמצא עייף וחסר עניין בבדיקה המקיפה. זירת אירוע חייבת להיבדק לפרטים, לזהות כל אפליקציה ולבנות תבניות התנהגות של המשתמש. וכן נתונים חשובים אחרים, אך עדיין חשוב לבסס ראיה כראיה חותכת ולא כראיה נסיבתית, כדוגמת מציאת תוכנה לסריקת פורטים שכל אדיוט יכול להורידה באינטנרט.
על כן חוקר מחשב מקצועי ידע לגשת לאירוע כזה מנקודת ראיה מקצועית, לבצע את כל כיווני החקירה הרצויים גם אם זה אינו לשביעות רצון לקוחותיו, כי הלוא הגרוע מכל הוא לגרום ללקוחותיך להאמין כי יש על מה לבסס תיק כשהתיק אינו מבוסס והחקירה לא פסלה את כל האפשרויות האחרות.
הערה: הכותב הינו מומחה לבתי משפט, כותב חוות דעת מומחה.
הרשות למשפט, טכנולוגיה ומידע של משרד המשפטים הוציאה נייר עמדה בנושא תקנות אבטחת מידע להגנת פרטיות.
מדובר בהצעה לשינוי דרמטי ברגולציה של אבטחת מידע, וראש הרשות מר יורם הכהן פונה לאנשי מקצוע בתחום לקרוא ולהגיב למסך כי התגובת חשובות להם מאוד.
לפיכך אני מצרף קישור למסמך ומבקש ליצור כאן דיון בנושא אם עולות סוגיות לא ברורות תוך כדי קריאה.
ע"פ כתבה שהתפרסמה באתר דהמרקרIT, עולה כי הסטארטאפ שהקים אהרון זאבי פרקש, עומד להחליף בשנים הקרובות את השומרים במגדלי היוקרה, כמו כן מי שירצה להתהדר בחבילת היוקרה הזו מומלץ כי יתקין גדרות, חומות, ושערים, כדי שהמערכת תוכל למנוע מאנשים שאינם מורשים להיכנס למתחם בו מותקנת המערכת. הוצאה שנשמעת כדאית ולא מזיקה למתחמי יוקרה, מתחמים בהם אנשים רגילים להתבדלות וניקור מהסביבה.
למי שמעוניין בפרטים הטכנים אני ממליץ לקרוא את הכתבה, לשאר אספר שאנשים מוכנים למכור את עצמם לדעת רק כדי שמישהו יאמר להם שהם מוגנים.
כדי לקבל את חגורות הביטחון שעליהם מדבר זאבי פרקש, הכוללות: טכנולוגיה ביומטרית לזיהוי תמונה, קול ודפוסי התנהגות צריך האדם לוותר על פרטיותו ולהעניק לשולטים במערכת את הדגימות האישיות שלו, שלא לדבר על כך שהמידע אינו מפורסם באיזה קנאות הוא נשמר, יש מרכיב נוסף שהוא בנוי ממכונה השומרת על הדייר.
מכונות וכשל מערכתי
מכונות ידועות ברגעי הכשל שלהם ואינם יודעות לספק הגנה בת 100% של בטחון שוטף, אחד מהם נבנה מעצם דפוס ההתנהגות של האדם, פורץ פוטנציאלי צריך לזהות התנהגות חסרת סובלנות אצל הדייר שאליו הוא רוצה לפרוץ, ולוודא כי הוא אינו נוהג ע"פ תבניות קבועות כדי לעקוף בעיה זו המצוטטת מהכתבה: "את הדיירים לא מעניין שזו מערכת ממוחשבת. הם רוצים אמינות ואיכות. מערכת שתזהה אותם בוודאות ותאפשר להם להיכנס במהירות. אף אחד לא יסבול זיהוי לא נכון או לחכות שתיים-שלוש דקות בכניסה לביתו", ומה הפתרון המוצע: "מה קורה כשהמערכת לא יודעת לזהות את האדם שניצב ממול? אז מגיע תורו של המוקדן האנושי", כלומר, אין המערכת מסוגלת לתת פתרון מלא, חיבורים מהן אלו מנוצלים באופן תדיר על ידי גורמים עויינים, שלא לדבר על ניסיון לחדירה למערכת לגניבת המידע, או לנסות לשחד פעיל במערכת העובד בשכר נמוך ולהראות לו את הפוטנציאל בהעברת מידע ובקבלת תשלום על כך. אינני פוסל את העניין, אך תבניות ביומטריות לא צריכות להעשות בשימוש כה מבוזר, מה גם שהמידע מאוד רגיש, שאל לא לאדם לשחק עימו.
גם אם לא תחושו שנושא זה קשור לעולם אבטחת המידע, עליי לציין שאכן כן הוא.
רשות הפטנטים וסימני המסחר במשרד המשפטים מעוניינת לבדוק האם יש מקום לבחינה מחודשת של מדיניותה באשר לבחינות בקשות פטנטים בתחום התוכנה והחומרה.
עמדה שקראתי בנושא זה מאדם המייצג את קהילת הקוד הפתוח בארץ ואחד ממורי נבכי עולם הלינוקס מוכשר ביותר מר דורון אופק, אשר חבר בעמותת המקור המדברת על הפרדה בין רישום פטנטים בעולם החומרה לבין פטנטים בעולם התוכנה. הפרדת מעמדות
בעוד שעולם החומרה מלא בשינויים המחייבים רישום פטנטים כדי להגן על זמן הפיתוח של החברות וזמן חיי המוצר אשר מתקצר בעוד אני כותב מילים אלה, עולם התוכנה אינו חייב לכבול עצמו בפטנטים וזאת משום שבעשותו כן לפעמים נגרם מצב בו נוצר מונופול על הפוגע בקידמה ובזכות הציבור.
אם תרצו לקרוא את דעתו של דורון, או לעיין בהסברים המתארים לעומק ניתוח של דעה זו של עמותת מקור.
הניסוח הוא של אדם נוסף שיש להעריך על פועלו, עו"ד יהונתן קלינגר להלן את המסמך, שווה קריאה.
מערכת המסרים המיידיים טוויטר היא מערכת חברתית הגוררת לצורך שימוש בה פתיחת חשבון לכל משתמש.
