January 2007 - Posts
קיבלתי לפני כשבועים עלון מעיריית רעננה, עם הזמנה לבוא לשמוע על "זהירות אינטרנט ?! סיכונים ופיתויים לילדים". רשמתי לי את זה ביומן וזימנתי למפגש את זוגתי שתחיה. אם אתה רוצה לדלג ישר לבשר, קפוץ 3 פיסקאות.
לתומי חשבתי שמדובר ביוזמה ברוכה של העיריה, אבל די מהר התברר לי שמדובר בארוע פוליטי, שיווקי, שנועד בעיקר להאדרה עצמית של השותפים לארוע, וגם לדחיפה שיווקית של קורס להורים על "איך לגלוש מבלי להיסחף" של מכון אדלר בשיתוף עם אגוד האינטרנט הישראלי.
כבוד ראש העיר נאם, סגנית ראש העיר קיבלה כבוד, צביה אלגלי, "יועצת לשימוש נכון באינטרנט באיגוד האינטרנט הישראלי" ברכה והזמינה אחריה את אסנת הראל, מנכלית מכון אדלר שהבטיחה שהכל בהתנדבות וללא תמורה (הא, הא) והזמינה את אמיר עציוני נשיא איגוד האינטרנט הישראלי, שנתן דברי פתיחה. אם זה נשמע לכם עד כאן ארוך ומשעמם, תאמינו לי בתור מי שהי שם שזה באמת היה ארוך ומשעמם ומיותר לחלוטין, רק תדמינו שאתם באים לסינימה סיטי ל developers academy וכל השעה הראשונה הולכת על נאומי תודה במקום הרצאה טכנית. הייתי על השלב של לקום ולצרוח בקול רם, שיפסיקו להתבסס בביצה של שביעות הרצון העצמית שלהם ויגמרו כבר עם זיבולי השכל וידברו סוף סוף לעניין (כשזוגתי שתחיה מחזיקה אותי בזנב בשארית כוחותיה). אבל שניה לפני שהצלחתי להשתחרר מהכבלים ולהתפרץ, החל סוף סוף החלק המקצועי של הערב.
החלק המקצועי היה בנוי מחמישה חלקים, הרצאה של צביה אלגלי על "סיור בסמטאות האפלות של הרשת", ראיון חי עם שני תיכוניסטים שסיפרו חוויות, הרצאה של פקד נועם רביד ממשטרת ישראל על "הצד האחר של המחשב: נקודת מבטו של החוק", הרצאה שיווקית של מיכאלה צמח ממכון אדלר על "חשיבות העבודה עם הורים: ידע ודיאלוג" או כמו שהיא ניסחה את זה בפתיח "מה צריך לעשות כדי שהילדים שלכם לא יגיעו לידיים של נועם" ולבסוף הרצאה שלא היתה כלולה בתכנית המקורית, אתי סמואל ממשרד החינוך על מה אנחנו עושים במשרד החינוך על מנת להכין את הילדים לעולם המפחיד של האינטרנט. היה אמור להיות גם פאנל שאלות ותשובות שבסופו של דבר היה מאד קצר ומצומצם ודמה יותר לדו שיח בין חרשים (דימוי מקובל אבל מאד לא נכון, כי רוב החרשים שיצא לי לפגוש כן יודעים לנהל דיאלוג).
עד כאן העובדות, תאור הסביבה ותנאי הפתיחה של המשחק, מכאן והלאה החלק היותר טכני של ניתוח כשלים בפרויקט וכמה פנינים שהצלחתי לדלות מתוך הארוע.
מי שסקרן לדעת מה אני עושה בהרצאה כזו בכלל, צריך לחזור אולי לתחם העיסוק העיקרי שלי, שהוא שחרור סתימות מפרויקטים. יש קשר הדוק בין ההרצאה הזו לבין החדרת תודעה של אבטחה בארגון, אצל המשתמשים, המנהלים, המפתחים ואפילו מומחי ה IT. אתה יושב על מושב של קולנוע, מסביבך אוכלוסיה שאמורה להיות אוכלוסית היעד, לפניך על הבמה מי שמתפקידם להעביר את המסר, ואתה צריך רק לשבת ולהקשיב ובאותו זמן להסתכל סביב ולראות איך אנשים מגיבים. זהו, כל העולם פרוש לפניך בסביבת סימולציה, רק תסתכל ותלמד ותפיק לקחים. זה לא יאומן כמה שאלות וכמה תובנות אתה יכול להפיק מארוע כזה, אם רק תהיה מוכן להקשיב לעולם ולפתוח את עצמך לחוויות חדשות (אני מתחיל להישמע כמו מטיף, איכסה, פיכסה, טפו טפו טפו).
קרוב ל 150 איש באו למרכז האומניות בערב של יום חמישי כדי לשמוע על הנושא וזאת לאחר מסע פרסום מאסיבי שכלל פליירים, שלטים ברחובות ודיווחים מוקדמים במקומונים. אני הגעתי לשם לאחר יום עבודה ארוך שכלל מעבר בין שלושה לקוחות, השתתפות בחלק של מפגש קבוצת משתמשים וארגון הבית להתמודדות עם הטראומה שההורים נעלמים לשעתיים מהבית. אני מניח שרוב האחרים שהגיעו לארוע (פרט לקבוצה קטנה של אוהדים ואינטרסנטים), לא היו עם סדר יום קל יותר.
שאלה: איך זה שלאחר שיווק מאסיבי כל כך, בנושא כל כך חשוב, הגיעו לארוע רק 150 איש. נכון, מצד אחד זו רק אוכלוסית רעננה, שזה 78,000 איש בערך, משהו גס כמו 15,000 בתי אבא (אבא אמא ובערך שלושה ילדים), אבל לרוב הבתים שם יש מחשב (אחד לפחות) ואם אין מחשב בבית יש אותו בבית הספר, במתנ"ס, במועדונית ובהמון נקודות גישה אחרות. הכמות היתה צריכה להיות הרבה יותר מ 0.2%.
אני מניח שליאור צורף וענת שני ידעו לענות על זה יותר טוב ממני, אין אצלהם ארוע של פחות מכמה אלפים. אל תגידו לי שזה לא אותו דבר, כמה מפתחים יש לנו בארץ, וכמה חברות שיש אצלהם מחלקת פיתוח פעילות בשוק ? בטח לא פקטור של 20 ממספר תושבי רעננה. כך שלמרות שזה לא אותו דבר, יש כאן מיתאם.
הבעיה היא איך אתה לוקח נושא כל כך מנהלי, משעמם, יורד לפרטים, מעורר רתיעה, מעורר דחיה, מפחיד ובעיתי כמו אבטחה, ומסביר ומטמיע אותו בארגון שלך. ולא סתם מטמיע אותו אלא בצורה שכולם יהיו מודעים למשמעויות שלו. מודעים מספיק, כדי שלא יעשו שטויות. מדובר פה על החדרת תודעת אבטחה ולא רק על אבטחה. כי לא משנה מה תעשה, בסופו של דבר מדובר באנשים. אנשים שעושים את מה שכתוב מבלי להבין את המניעים שמאחורי הדרישה. בסופו של דבר ידלגו ויקצרו ויעקפו ולא תקבל את מה שאתה רוצה. אבטחה כמו ניהול סיכונים אלה מטלות שאך אחד לא אוהב אבל שצריך לעשות אותם ואין ברירה.
הגישה של כפיה אינה בהכרח הדרך הנכונה. אני מכיר מנהל IT צעיר שכפה על המשתמשים שלו להשתמש בסיסמר של 14 אותיות גדולות קטנות, מספרים וסימנים מיוחדים וכיוון את המערכת כך שלא יוכלו לחזור על אותה סיסמא 31 פעמים לפחות ודרש בנוסף החלפת סיסמא כל שבוע. התוצאה המידית היתה שכל אחד רשם לו בגדול ליד המסך את הסיסמא הנוכחית וכל מה שהיית צריך לעשות כדי לפרוץ לארגון זה לעשות סיבוב במסדרונות ולרשום את הסיסמאות. כמו שנאמר יופי נחמה.
ואם מותר לי לצטט אגדה עירונית שאין לה שום קשר למציאות, על סניף בנק אחד, שהיה ידוע בשרות הרע שלו ללקוחות, ויום אחד השרות היה באמת מתחת לכל ביקורת ושהתחילו צעקות מהלקוחות הסתבר שזה בגלל שהמחשב לא עובד. הזעיקו את אחראי המחשוב של הסניף והוא הלך לבדוק בחדר השרתים המוגן מה קרה למחשב. הוא גילה שהדלת של החדר המוגן פתוחה והשרת הראשי של הסניף נעלם. לאחר בירור הסתבר ששעתים לפני כן הגיע מישהו עם רכב מסחרי קטן והסביר שהוא טכנאי מיזוג אויר שבא לתקן תקלה וביקש שיפתחו לו את הדלת של חדר השרתים. לא רק שפתחו לו ללא בירור, אלא גם השאירו אותו לבד. אין ספק שהוא היה טכנאי, כי הוא לא חתך כלום אלא ניתק יפה את כל החוטים (ובטח גם עשה Shout Down מסודר) והסתלק עם השרת הראשי, עם כל הסיסמאות, ה cretificates והפרוטוקולים המקשרים את הסניף למחשב הראשי של הבנק. אותו בנק (ומדובר כזכור לכם באגדה עירונית ללא קשר למציאות) קיבל כמה שבועות לפני כן הרצאה על בניית תשתית PKI בארגון והיה על סף הטמעה של מערכת אבטחה מהטובות ביותר שקימות שתחליף מערכת אבטחה טובה גם כן שהיתה קיימת אצלו. מה שאומר, ששוב חזרנו לאנשים.
ואם אתם רוצים דוגמא קרובה יותר אז בלוג התגובה של צביקה פאר מדגים את זה בצורה הטובה ביותר. גם המובאה הבאה מהבלוג של תמיר מדגישה את הנקודה שאם העובד לא מטמיע את התובנה והוא לא "קונה" את הדרישה, שום דבר לא יעזור. תודעת אבטחה יש לתכנן כחלק מהפרויקט וכחלק מהמטלות הארגוניות, יש למכור אותה בארגון, יש לבדוק באופן רציף את ההטמעה שלה ויש לוודא שהיא לא יורדת מסדר היום.
ספציפית לגבי הארוע הנ"ל, הוא דרש קצת יותר השקעה בשיווק. היה גם צורך לתת חיזוקים למשתתפים. אני מניח שאם היה מובטח 50% הנחה בארנונה לתושבים שיגיעו וימלאו נכונה את השאלון היו מגיעים הרבה יותר. אולי במקום 50% הנחה בארנונה (שזה כנראה קצת היסחפות), חבילת שוקולד מתנה היתה משיגה אפקט דומה.
שלא יובן מהבלוג הזה שהרצאות ארגוניות בשעות הערב הינם פתרון גרוע, הם אחד מסדרה של אמצעים. וכדאי אולי לציין שהשוה ערך הארגוני של 50% הנחה בארנונה, זה בדרך כלל חולצת T או תעודה יפה או הכרה בגמול השתלמות.
למי שסקרן לדעת מה עוד היה בערב הזה, ומה עוד למדתי ממנו על תהליכים ארגוניים לקויים, אל דאגה, אני עוד אחזור אליו, כי הוא דוגמא יפה לניתוח. אבל אני מעדיף לכתוב כמה בלוגים קצרים וממוקדים כל אחד לנושא אחד ולא להגיע למצב שהתינוק יטבע באמבטיה מרוב מים.
אני יושב במושב האחרון באולם שמלא בכמה מאות איש שטרחו ובאו לשרתון סיטי טאואר לשמוע את John Craddock מדבר על אבטחה מקצה לקצה. רוב הקהל הוא לא אוכלוסיה של מפתחים אלא אנשי IT וחבל, זו אחת הבעיות שאני מזהה בארגונים שאני עובד איתם, הפרדה בין עולם ה IT לעולם הפיתוח. מה שהרבה פעמים שוכחים מנהלי פרויקטי פיתוח, זה שאת היישום הם יפתחו לצורך העניין שנה או שנתיים, אבל אנשי ה IT שיתפעלו אותו בפועל על מחשבי הייצור, יצטרכו להפעיל ולתחזק אותו משך הרבה יותר שנים.
הארוע לא היה תיאורטי, לאורך על הארוע היו הדגמות מלאות שנועדו להדגים ולהטמיע את הנקודות החשובות החל מפריצה בסיסית דרך אקספלורר למשתמש רגיל, דרך התקנה של rootkit והתחברות מרחוק למחשב קורבן והיום עדיין לא נגמר.
אם אתה מספיק זריז אולי תוכל להגיע לחלק שאחרי ארוחת הצהריים, אם לא אז מיקרוסופט אמרה לי שהארוע כולו מוקלט (תודה לגישה חדשה על העבודה), והוא יהיה זמין באיזה שהוא שלב כולל מצגות והקלטות באתר. כך שאם יהיו לך בעתיד כמה שעות פנויות, כדאי להקדיש אותם להשתתפות וירטואלית בארוע.
וכן, אם זה חשוב למישהו, המרצה הקדיש כמה דקות טובות מההרצאה לנושא של עבודה ללא סמכויות אדמין, כולל לשאלה למה אסור להתחבר למחשב מרוחק כ Domain Admin, עם הדגמה צמודה, על מנת להראות כמה פשוט לפרוץ למערכת בדרך זו.
1. כל כמה זמן מיקרוסופט משנה את טכנולוגית הפיתוח שלה בצורה משמעותית ?
אני אתן רמז, Visual Studio.NET, Visual Studio 2003, Visual Studio 2005, ORCA ?
2. בעולם שבו טכנולוגית הפיתוח משתנה בצורה משמעותי כל שנתיים, כמה אחוז מזמנו צריך מפתח, ראש צוות או ארכיטקט יישום, להקדיש להכרות ולימוד עם הטכנולוגיות החדשות ?
אני שם כרגע בצד את הדיון על השאלה מה אתה מרויח מזה שאתה מעודכן ומשתמש בחידושים האחרונים (אני יכול להוכיח, שאתה מקבל מעל 30 אחוז שיפור, ביעילות ובתפוקה המקצועית שלך ושל הצוות שלך, וזה בחישוב שמרני !!! אבל זה לא הנושא שבו אני רוצה לדון כרגע)
אז בהנחה שאנחנו כן צריכים להיות מעודכנים בכל טכנולוגיות הפיתוח החדשות, תחשוב קצת, כמה אחוז מהזמן אתה צריך להקדיש על מנת להשאר מעודכן (כולל תרגול וזמן הטמעה). עצור את הקריאה ורשום לך בצד את המספר.
ועכשיו לשאלה המעניינת באמת.
3. כמה אחוז מזמן העבודה שלך במקום העבודה שלך מוקדש בפועל ללימוד טכנולוגיות חדשות ?
ואני לא מתכוון למה שאתה לומד בעצמך, ביוזמתך ובגלל מוטיבציה עצמית, בשעות מוזרות ועל חשבון עיסוקי הפנאי שלך (:-)). אני מתכוון לכמה זמן מוקדש לנושא הזה בתכנית העבודה הרשמית שלך ? כמה זמן מוקדש לזה ב GANT של הפרויקט שעליו אתה עובד כרגע ? כמה זמן רשום לך במטלות שאתה מקבל מההנהלה שלך, כזמן שצריך להיות מוקדש ללימוד טכנולוגיות עדכניות ?
בכל הפעמים שהצגתי את השאלה הזו, בסדנאות, בקורסים, בדיוני צוות, אצל מירב המגיבים, התשובה לשאלה השלישית היתה קרוב ל 0 אחוז וההפרש בין השאלה השניה לשלישית היה בדרך כלל מעל 20 אחוז.
מה שאומר שכולם יודעים את זה, זה רשום על הקיר בבירור, אבל למרות זאת, אף אחד לא קורא את הכתובת והמסקנה משום מה מודחקת (תמיד חסר זמן כדי לעשות את זה כמו שצריך, אז עדיף לבזבז הרבה יותר זמן, בלעשות את זה בניסוי וטעיה).
הנושא הזה מתקשר ישירות ל Rediness Management שהינו אחד מהדיסיפלינות של MSF. וכמובן, איך לא, ל Team Faundation Server. אבל יותר מכל הוא מתקשר למחקרים של The Standish Group על הסיבות לכשלון של פרויקטים.
הסיפור הבא הוא תקציר גרוע לקטע מהספר "לשחות עם הכרישים ולהשאר בחיים" של "הארווי מאקיי". שיצא לי לקרוא אותו לפני שנים רבות.
יום אחד אורגנה פגישה בין המנכל של קונצרן יפני ענק, לבין קבוצת מנכלים אמריקאים בכירים. אחד האמריקאים שאל את היפני מהו הטווח שאליו הם מתכננים קדימה. התשובה היתה 250 שנה. האמריקאי שאל (בתדהמה מוחלטת, המתאימה למי שאופק ההסתכלות שלו הוא הרבעון הקרוב), איך אתם עושים את זה, והתשובה היתה "בסבלנות".
למי שמעוניין, הספר תורגם לעברית בהוצאת מטר, ואני מאד נהנייתי ממנו. למי שזה חשוב, כדאי לציין שמשהו מהאמריקאיות של הספר אבד בתרגום, אז מי שרוצה ללמוד משהו על הרוח האמריקאית בעסקים, מבלי לאבד דבר, מוזמן לקרוא את המקור.
לא עברו 4 שעות מרגע שסימתי לכתוב את הבלוג שלי על "אבטחה בסיסית, על תעבוד בתור מנהל", שבו ציטטי וקישרתי כתבה היסטורית אחת שלי שהופיעה ב Ynet. וכבר מצאתי דואל בתיבת הדואר שלי עם תגובה בנוסח "מה בחור מבית טוב כמוך עושה ב Ynet". ניתן להתוכח על העובדה שאני בחור מבית טוב, אבל זה לא נושא שהייתי רוצה לפתח בבלוג ציבורי שגם הבנות שלי יכולות לקרוא. לגופו של עניין, מי שאשם בזה שכתבות שלי הופיעו ב Ynet, הוא בעיקר שוקי גלילי יבדל לחיים ארוכים ועיתון Net מגזין זכרו לברכה. היה לעתון הסכם עודפים עם Ynet, וכך מצאתי די בהפתעה שכתבות ששלחתי לעתון מתפרסמות (בחלקם) גם ב Ynet.
לזכותו של Ynet אני יכול לומר שיש לו ארכיון ארוך שנים וזכרון של פיל (נכון לרגע זה). מי שמעוניין מוזמן להציץ במבחר הכתבות שהתפרסמו שם. התקצירים נכתבו על ידי עורכי Ynet, ורוב הכתבות עברו עריכה על מנת להתאים אותם למדיה (בעיקר עידון רב של ההתבטאויות המקוריות שלי, מה שלא עזר בהרבה, כפי שתראו מתגובות הגולשים ובעיקר מתגובות הטרולים ברגע שהעזתי לגעת בציפור נפשם). במקרה של הכתבה על חיסול הטרור בתיבת הדואר, העורך באותה תקופה של Ynet, גל מור, הוסיף המלצה משלו לתכנת סינון דואר בכתבה שלא על דעתי (הדעה שלי היא שאף מסנן דואר לא שווה כלום בסופו של דבר). מה שגרם לי לצרוח עליו קשות, ולו לסנן אותי מכתיבת כתבות משך תקופה מסוימת.
מעניין לבדוק בפרספקטיבה של כמה שנים, כמה מהנושאים שהועלו בכתבות הללו (חלקם משנת 2004) עדיין רלונטיים לזמננו אנו.
מדריך: לבטל את סמכויות המנהל ב-Windows
ברירת המחדל של מערכת ההפעלה של מיקרוסופט היא לאפשר לכל משתמש לפעול תחת סמכויות מנהל. סמכויות כאלו פותחות כר נרחב לפריצות מרושעות למחשב. הגיע הזמן לעבור לחשבון משתמש מוגבל, שיספק הגנה טובה יותר
המחשב שלכם מקרטע? אולי נדבקתם ב-RootKit
מדובר בתוכנה שמשתלטת על המחשב, הופכת אותו לזומבי ומשתמשת בו לצרכיה. היא מעלימה עצמה מרוב אמצעי הבדיקה ולכן הופכת למסוכנת הרבה יותר. הנה הסבר וטיפים שיסייעו לכם לגלות אותה
מדריך: איך לקרוא את האזהרות של Windows?
לפעמים מערכת ההפעלה עושה כמיטב יכולתה כדי להזהיר אותנו מפני רעות חולות שמנסות להשתלט לנו על המחשב: היא מזהירה אותנו מפני יצרנים בלתי מוכרים ומפני תעודות בלתי כשרות, אבל אנחנו שוכחים להפעיל את המוח ולוחצים על "בצע" ללא היסוס. הקשיבו לנו: אל תבטחו באיש
מדריך: איך מוסיפים חתימה דיגיטלית?
חתימה דיגיטלית היא פתרון מצוין נגד דואר זבל ונגד וירוסים זדוניים שזוחלים לתיבת הדואר שלכם. איך מוסיפים אותה? זה לא כל כך מסובך כפי שנדמה. מדריך עשה זאת בעצמך
מדריך: חיסול הטרור בתיבת הדואר
השימוש בדואר האלקטרוני הוא הפופולרי ביותר באינטרנט, אך גם הכי חשוף לווירוסים והונאות. גד מאיר, בדרכו המיוחדת, מסביר איך להיזהר
איך משפרים את האבטחה של Windows?
אפשר להקטין בצורה משמעותית את הסיכוי שתותקפו דרך פירצה מוכרת. כל התהליך לא אורך יותר מדקת עבודה ובעזרתו תשפרו את רמת ההגנה שלכם בצורה משמעותית
אבטחות צריך לקיים
האמת היא, שאין דבר כזה מערכת הפעלה בטוחה. רוב האנשים מתקינים מערכת הפעלה כדי להשתמש במחשב שלהם ולא כדי להראות לכולם שיש להם מערכת הפעלה. האם ייתכן שאנשים בוחרים במערכות ההפעלה של מיקרוסופט בגלל שהן יותר פשוטות ונוחות להתקנה ולשימוש. גדי מאיר עונה לחסידי לינוקס
על ראש הגנב בוער הלינוקס
והוויכוח נמשך. גדי מאיר עונה לאורי שרף: לכל הלינוקסאים, במקום להשקיע את הזמן היקר שלכם בהתלהמות מיותרת ובמלחמת דתות עקרה, פשוט תעשו מוצר יותר טוב למשתמש הביתי. ואז אוכל לכתוב מאמר גם על תהליך עדכוני האבטחה בלינוקס למשתמש הביתי וגם יהיה מי שיקרא אותו
עשרת הדברות להתקנה בטוחה
נדבקתם בווירוס קטלני? חדר אליכם טרויני עצבני? האקרים מפשפשים לכם במחשב? קרוב לוודאי שהבעיה התחילה הרבה קודם, עם התקנת מערכת ההפעלה. בפעם הבאה עשו זאת נכון, ותראו איך הכל נראה אחרת
תהנו
המשפט הזה אינו מקורי שלי, רפאל לקוביצקי השתמש בו בהרצאה על נושא אבטחה שהוא נתן בזמנו בטק-אד באילת. והסיבה שנזכרתי בו היא שאחד הנושאים שעלו בהרצאה שלי על "תכנית הלוגו (שם דפוק)" שהעברתי בקבוצת המשתמשים של VB, משך כמו תמיד הרבה אש ותגובות סוערות. אני מדבר כמובן על הדרישה המופיעה במפרט התכנה של חלונות, הדרישה שהתכנה שאתה כותב, לא תדרוש הרשאות מנהל על מנת לתפקד (פרט כמובן לזמן ההתקנה). הדרישה הזו היא המימוש הבסיסי ביותר של עקרון ההרשאות הנדרשות הקטנות ביותר(בלע"ז Least Privilege). הדיון גלש מיד לשאלה האם המשתמש הארגוני בארגון שלכם רץ תחת סמכויות מנהל או כמשתמש רגיל, מיד עברנו לשאלה האם אתה רץ בבית כמשתמש מנהל או כמשתמש רגיל וכמובן הגענו לשאלת השאלות האם מפתח צריך הרשאות מנהל על מנת לפתח בכלל ועל מנת לעבוד עם Visual Studio בפרט.
למנהל המערכת יש כמה סמכויות שאין למשתמש רגיל, אחת מהם היא שהוא הגורם במחשב, שמגדיר מה זה תכנה בטוחה ומה זה תכנה לא בטוחה. כמה דוגמאות: לא ניתן להכניס Device Driver למחשב ללא אישור של המנהל, לא ניתן לאפשר לתכנה להגיע לאזורים המסוכנים בדיסק כמו תיקית ה Windows, תיקית Program Files ואזורים מסוכנים במחשב כמו השורש של הכונן, ששם נמצאים קבצי הטעינה של מערכת ההפעלה, מבלי הרשאת המנהל. כמו כן מוגנים באותה צורה האזורים ב Registry שמערכת ההפעלה משתמשת בהם.
למנהל המערכת יש בין השאר גם את הסמכות, לבקש ממערכת ההפעלה, שלא תטריד אותו בקטנות ולא תיידע אותו על התקנות של תוכנות במחשב. מנהל המערכת גם יכול לבקש שלא תיידע אותו על כתיבה לאזורים המסוכנים וגם שלא תטרח לעדכן אותו עם Device Driver לא חתום מתקין את עצמו במחשב.
אין פורץ מחשבים ברמה של כתה א ומעלה שלא יודע את הדברים האלה. לכן מי שרץ תחת הרשאת מנהל הוא טרף קל. ואל תנסו לבלבל אותי אם הרשאות מנהל על המחשב שלי בלבד, ושאין לי הרשאות מנהל ברמת ה Domain וכל שאר הזבל.
התרחיש הבסיסי ביותר (ויש עוד המון תרחישים, כולל איך לתקוף רשת שמנותקת לחלוטין מהאינטרנט) הוא שאתה גולש לאתר תקני וחוקי, שמישהו שם בו לצורך העניין פרסומת, שמפנה אותך לאתר של הפורץ. הפורץ הנ"ל מוודא שאתה רץ תחת סמכויות מנהל, מבקש ממערכת ההפעלה בנימוס שלא תטריד אותך בקטנות כמו דיווח על התקנת Device Driver לא חתום ובכלל שלא לבקש אישור על התקנות. ולפני שאתה מספיק להגיד רות סוף יש לך RootKit מותקן במחשב שלך. בשלב הבא הפורץ יוריד לך תולעת חכמה שמתקשרת אל האתר שלו כאילו היא אקספלורר (דרך Port 80 כמובן) ומבקשת הנחיות. התולעת מקבלת תכנית עבודה ומתחילה לסרוק את הארגון שלך לחפש חורים. התולעת הנ"ל תעשה את זה בשלב ראשון כמנהל מערכת לוקאלי על המחשב שלך ובהמשך היא כבר תמצא את החור המתאים בארגון על מנת לקבל הרשאות על ב Domain. והבעיה העיקרית היא שהיא תוקפת מבפנים, מתוך חומת האש ולא מבחוץ ולכן יש לה סיכוי הרבה יותר גבוה למצוא פרצה בהגנה הפנים ארגונית.
אם אתה עובד כמנהל באופן קבוע, רמת הסיכון גדלה בסדר גודל וזה דבר לא נכון מערכתית. כאינסטלטור של תהליכים, אני צריך להצביע על הבעיה ולקבל מכתב חתום ממנכ"ל הארגון וממועצת המנהלים שלו, שהסיכון המיותר הזה מקובל על כולם. בדרך כלל התוצאה המיידית לדרישה כזו, היא חסימה מוחלטת של הכניסה שלי לאותו ארגון וניתוק כל התקשורת איתי בשיטת "הרוג את השליח" הידועה.
אתה לא צריך סמכויות מנהל על מנת לגלוש באינטרנט ולא על מנת לקבל דואר אלקטרוני ולא כדי לפתח תכנה ולא כדי לעשות 99% ממה שאתה עושה כל יום במחשב. מה שאומר שברירת המחדל שלך צריכה להיות משתמש רגיל גם את אתה מנהל IT (ובעיקר אם אתה מנהל IT). לקטעים שאתה באמת צריך הרשאות מנהל, יש את Run As. ואם אתה לא עובד כך, אל תתפלא למצוא שכבר שנים מישהו מחטט לך בארגון באזורים הרגישים ביותר. ואני לא מדבר על תוכנות שמקצועיותן מוטלת בספק, כמו הסוס הטרויאני המפורסם כל כך, שאפילו לא טרח להסתיר את עצמו (למה להסתיר אם אף אחד לא בודק מה רץ אצלו).
בקיצור, אם אתה עובד כל הזמן כמנהל מערכת, תפסיק !, ואם זה קשה לך הגיע זמן שתתחיל תכנית גמילה.
כתבתי פעם כתבה על הנושא הזה ב Ynet לקהל יעד של משתמשים רגילים ואתם מוזמנים לעבור עליה. יש גם הרצאה שלי על הנושא בקבוצת המשתמשים של עמית מרלוב.
למי שסקרן לדעת (ולפחות אחד בקבוצה היה סקרן והקבוצה כולה עדה), אני עובד כבר שנים על מחשב העבודה הראשי שלי, כמשתמש רגיל, כולל פיתוח ב VS וכולל Production Time Debugging.