הסתיימה עוד סדנא בארצנו על פריצה והגנה של תשתיות חלונות, עם Paula Januszkiewicz האחת והיחידה. הסדנה הפעם הייתה סדנה סגורה, לקבוצה נבחרת של חוקרי ומומחי אבטחה, שדילגו מראש על הדברים הבסיסיים והתרכזו בנושאים המורכבים יותר. פאולה (כמו תמיד) התמודדה עם האתגר בהצלחה, נכנסה לכל עומק שנתבקשה והדגימה טכניקות מתקדמות, כשהמשתתפים מנסים כל דבר בעצמם, במעבדות הוירטואליות (שחסומות לגישה אל ומאת העולם החיצוני מסיבות מובנות). צילמתי את פאולה מסבירה למה מאמרים באינטרנט מסוכנים לקריאה, כשאני נזהר לא לתפוס בטעות בצילום פרצוף של מישהו מעשרים ומשהו המשתתפים בסדנא (מסיבות מובנות). פאולה מצידה התרשמה מאד מהרמה המקצועית של המשתתפים ובעיקר מרמת...
שוחחתי אתמול עם CTO בכיר בארגון גדול על הקורס הקרוב של פאולה בנושא Hacking and Hardening windows infrastructure ושאלתי אותו למה הוא לא שולח את אחראי האבטחה שלו לקורס. התשובה שלו הפתיעה אותי. לטענתו, הקורס הזה בכלל לא מעניין אותו, לא בגלל שאבטחת התשתית שלו אינה חשובה, אלא בגלל שהוא העביר את כל הנושא לקבלן חוץ ומשם והלאה זו בעיה של קבלן החוץ ולא שלו. לפני שאסביר למה הטיעון הזה לא נכון בבסיסו, בואו ונעקוב אחר הלוגיקה שמאחורי הטיעון הזה. אומר ה CTO (או ה CIO או ה CEO תלוי בגודל הארגון), אמנם אבטחה נמצאת ברשימת המטלות...
אני לא האקר, מצטער, אבל מסתבר שרשומת יומן הרשת שלי על הדרך שבה "פרצתי" למערכת המענה הקולי של American Airlines, משכה את עינו של עורך מדור הסייבר של Israel Defence והוא מצא לנכון לפרסם אותה במדור שלו. מסתבר גם שיש להם לוח של אירועים טכנולוגיים וההרצאה שלי על ETW ביום רביעי הקרוב מוזכרת שם, יופי.
ביצוע Hacking של מערכות מחשב היא תורה בפני עצמה, וכדי להגן על המערכת שלך בפני פריצות, אתה צריך ללמוד את דרכי הפעולה של ההאקרים, להכיר את הכלים שבהם הם משתמשים, ולהבין את ה"ראש" שלהם. אני לא האקר, ותחום האבטחה אינו תחום ראשי שלי, אבל כמי שעוסק באיתור בעיות במערכות מורכבות, נושא האבטחה אינו זר לי. מה שמעניין, זה שהבנת ה"ראש" של ההאקר, יכולה לעזור במקומות לא צפויים, כמו למשל באיתור מזוודה שהלכה לאיבוד. ורק להזכיר לכם שמי שרוצה ללמוד איך להגן על מערכת המיחשוב שלו בפני חדירות, המומחית העולמית מספר אחד בתחום החדירה...
נושא האבטחה של מערכות מחשב נמצא בחיתוליו בארץ לפחות מהניסיון שלי עם הלקוחות שלי. הבעיה היא בעיקר תודעתית ולא טכנית. בסולם המדידה הערוך בין לא מוגן בכלל לבין מערכות הגנה ברמת קושי גבוהה לחדירה, רובם נמצאים בקצה התחתון והפריץ של הסקאלה. העולם רץ קדימה והאבטחה נשארה מאחור. אני ממליץ לכל מפתח ואיש תשתיות להציץ בהקלטות שמתויגות Securuty ולצפות. באותו הקשר, אני מזכיר לכולם שפאולה מגיעה לארץ בסוף יולי להעביר סדנה שמיועדת בעיקר לאנשי IT וגם למפתחים, מנהלים וכאלה שרוצים ללמוד על עולם ההאקרים ובדיקות החדירה. לפאולה כמה הרצאות בכנס, סננו לפי שם מרצה ותצפו בה כדי להתרשם,...
נושא האבטחה הופך יותר ויותר חשוב לכולנו מיום ליום, אבל לרובנו אין בכלל מודעות לנושא. אנשים לא שמים לב כמה הנושא הזה קריטי, על אחת כמה וכמה לעשות עם זה משהו. אנחנו נוטים לקבל דברים רבים כמובנים מאליהם. ברור לנו שיש לנו חשמל בבית, אמנם לפעמים יש הפסקות חשמל אבל בדרך כלל זה בסדר. אותו דבר לגבי מים זורמים, ביוב, ושאר התשתיות כמו למשל האינטרנט. רובנו משתמשים בו כל הזמן בלי כמעט להיות מודעים לשימוש היומיומי הזה. הרבה מאתנו מחוברים לרשתות חברתיות, כמעט לכולנו יש כרטיס אשראי אחד לפחות, כשאנחנו רוצים מזומן אנחנו הולכים לכספומט, את מצב החשבון...
פאולה עוסקת בתחום של פריצה למערכות מחשב. זה תחום שה perception שלו בקהל הרחב שונה מאד מאיך שהוא נתפס על ידי מי שנמצא בתחום. אצל הקהל הרחב להיות האקר זה Cool. בסרטים זה בכלל מישהו חתיך כמו רוברט רדפורד בסניקרס או פאנקית החיה בשולי החברה כמו בנערה עם קעקוע של דרקון. מצד שני אצל הזכרים בעיקר, אם זה לא הגיבור הראשי, זה יהיה מישהו שמן, דחוי חברתית, עם משקפיים עבות, כאילו כדי לומר לנו, שרק מי שמנותק מהעולם יכול להיות מקצוען בתחום של חדירה למערכות מחשב. עד כאן החיים בסרט. ...
איתי מאור חוקר בחברת RSA Security הבטיח וקיים. בשישה צעדים קלים, אל מול עיני כל מי שהגיע להרצאה שנערכה ב Think-Next Academy, הדגים הסביר וביצע, הקמה של רשת של סוסים טרויאניים, ועוד נשאר לו זמן לתת לנו סיפורים ודוגמאות מהשטח. אז להלן על הלוח תרשים ארכיטקטוני מלא של המערכת, וששת הצעדים להקמה. חדי העיין יבחינו שיש בסוף צעד שביעי, של איך עושים כסף מהמערכת שהקמת. לא יאומן כמה שזה פשוט, הבעיה הכי קשה למי שמתחיל עם זה תהיה להכנס לרשת האינטרנט המחתרתית, וזה באמת לא מי יודע מה קשה. לאחר מכן אתה יכול לקבל הדרכה...
אני יודע שיש עוד המון ביננו שמשתמשים ב XP מסיבה זו או אחרת, לשמחתם הרבה של כל ההאקרים (ולא רק). אז להלן חדשה מרעישה. במכתב האחרון בנושא מדיניות תמיכה שקיבלתי ממיקרוסופט (אני מנוי על המון מכתבי חדשות של מיקרוסופט), היתה תזכורת ברורה לזה שמיקרוסופט תפסיק לתת תמיכה בתיקוני אבטחה לכל הגירסאות של XP ב 8/4/14. לעולם הרחב של כל אלה שבטוחים ש"לי זה לא יקרה" ההודעה הזו תחלוף מעל הראש, כמו כל האזהרות הקודמות. אבל למי שנמצא בסביבה ארגונית, ונושא הבטיחות והאבטחה של המידע הארגוני חשוב לו, זה אומר, למשל, שהחל מהתאריך הנ"ל, אתה לא עונה...
מה לא בסדר בתמונה הבאה ? לא ניחשתם ? הנה רמז ! לא עזר ? הנה רמז ממש ברור !!! למי שלא זיהה, להלן הבעיה. אם תלחצו על ה Alt ותפתחו את תפריט Tools ובתוכו את Folder Options תקבלו את התמונה הבאה שימו לב לזה ש Hide extensions for known file types מסומן ב V. אם תורידו את הסימון ותסתכלו עת אותה תיקיה תקבלו תמונה שונה והרבה...