למה אסור לך לרוץ כ Administrator על המחשב שלך

יום רביעי, אוגוסט 31, 2016

החיים נורא קלים כשאתה מנהל מערכת (Administrator) על המחשב שלך. ועוד יותר קלים אם אתה מוריד את ה UAC לאפס. אתה יכול לעשות מה שאתה רוצה, אף פעם לא יופיע לך מסך שחור כזה ששואל אם אתה מאשר כל מיני פעולות, החיים סבבה. הבעיה היא שהחיים סבבה לא רק לך אלא גם לכל האקר מתחיל. לא סתם מיקרוסופט הגדירה שני סוגי משתמשים, משתמש רגיל ומשתמש שהוא מנהל מערכת. משתמש רגיל חסום מלבצע המון פעולות שמסכנות את מנגנוני ההגנה של המחשב בעוד שמנהל מערכת יכול לעשות מה שהוא רוצה. מילות המפתח כאן הם permissions ו priviladges ששתיהן מתורגמות משום...
אין תגובות

למה כל איש IT צריך ללמוד Hacking

יום חמישי, אוגוסט 11, 2016

עולם המיחשוב ניתן לחלוקה בהרבה דרכים וצורות. החלוקה לאלה שמערכות המיחשוב שלהם נפרצו מול אלה שעדיין לא יודעים שמערכות המחשב שלהם נפרצו היא לאו דווקא החלוקה הטובה ביותר. חלוקה טובה יותר היא החלוקה לאלה שיש להם מודעות טובה לאבטחה של מערכות מיחשוב מול אלה שחושבים שיש להם מודעות טובה לאבטחה של מערכות מיחשוב. המאבק מול הפורצים למיניהם הוא מראש אסימטרי. לפורץ יש יתרון מובנה על המגן כי לפורץ מספיקה נקודת חולשה אחת בעוד שהמגן צריך להגן על כל הגיזרה. תוסיפו לזה שהפורץ יכול להתמחות ולהתעדכן כל הזמן בשיטות פריצה חדשות בעוד שהמגן בדרך כלל כל כך עסוק במילוי טפסים...
אין תגובות

למה זה כל כך חשוב למי שאחראי על אבטחה של תשתיות מחשב ללכלך את הידיים ב Hacking

יום רביעי, פברואר 17, 2016

שוחחתי אתמול עם CTO בכיר בארגון גדול על הקורס הקרוב של פאולה בנושא Hacking and Hardening windows infrastructure ושאלתי אותו למה הוא לא שולח את אחראי האבטחה שלו לקורס. התשובה שלו הפתיעה אותי. לטענתו, הקורס הזה בכלל לא מעניין אותו, לא בגלל שאבטחת התשתית שלו אינה חשובה, אלא בגלל שהוא העביר את כל הנושא לקבלן חוץ ומשם והלאה זו בעיה של קבלן החוץ ולא שלו. לפני שאסביר למה הטיעון הזה לא נכון בבסיסו, בואו ונעקוב אחר הלוגיקה שמאחורי הטיעון הזה. אומר ה CTO (או ה CIO או ה CEO תלוי בגודל הארגון), אמנם אבטחה נמצאת ברשימת המטלות...
אין תגובות

על Hacking ו Hardening ועל Paula Januszkiewicz

יום חמישי, ספטמבר 17, 2015

העולם של פריצה והגנה של מערכות מחשב עבר הרבה התפתחויות בשנים האחרונות. ניתן לומר שאת המהפכה התעשייתית כבר עברנו ואנחנו כבר בעידן שבו הפשיעה הדיגיטלית והחדירה לפרטיות הגיעו לממדים כאלה שהביטחון האישי של כולנו בסכנה והחקיקה, ושאר הגופים שאמורים להגן עלינו, נמצאים שנות דור מאחור. בתקופה כזו של המערב הפרוע, מי שאין לו מודעות בסיסית ומי שלא נוקט את אמצעי ההגנה הבסיסיים ביותר, הופך, בעל כורחו, לשותף לדבר עבירה או לקורבן. הגנה מתחילה במודעות. עד שאתה לא רואה בעיניים, עד כמה זה קל לחדור למערכת לא מוגנת ובכמה סדרי גודל זה נהיה קשה יותר ברגע שאתה נוקט באמצעי ההגנה הבסיסיים,...
אין תגובות