מחשב לא מעודכן שווה מחשב פרוץ

יום שלישי, ספטמבר 6, 2016

לדאוג שהמחשב שלך יהיה מעודכן כל הזמן, לא אמור להיות משהו קשה מדי. מכוונים את המערכת לעדכון אוטומטי והמחשב מעדכן את עצמו לבד, בדרך כלל בלילה שאתה ישן. נכון, אם השארת משהו פתוח על המחשב, יכול להיות שתקום בבוקר ותגלה שהמחשב עשה איתחול מחדש. אבל זה חוסר נוחיות זניח (כפי שיהיה ברור מיד), יחסית לנזק הצפוי, אם לא תעשה את זה. אבל אם אתה מנהל IT ויש לך כמה עשרות, מאות או אלפי מחשבים לנהל. הסיוט הכי גדול שלך, זה לקום בבוקר, ולגלות שכל המחשבים שלך עברו עדכון אוטומטי בלילה, וכתוצאה מזה, כל היישומים הארגוניים הפסיקו פתאום לעבוד,...
אין תגובות

למה אסור לך לרוץ כ Administrator על המחשב שלך

יום רביעי, אוגוסט 31, 2016

החיים נורא קלים כשאתה מנהל מערכת (Administrator) על המחשב שלך. ועוד יותר קלים אם אתה מוריד את ה UAC לאפס. אתה יכול לעשות מה שאתה רוצה, אף פעם לא יופיע לך מסך שחור כזה ששואל אם אתה מאשר כל מיני פעולות, החיים סבבה. הבעיה היא שהחיים סבבה לא רק לך אלא גם לכל האקר מתחיל. לא סתם מיקרוסופט הגדירה שני סוגי משתמשים, משתמש רגיל ומשתמש שהוא מנהל מערכת. משתמש רגיל חסום מלבצע המון פעולות שמסכנות את מנגנוני ההגנה של המחשב בעוד שמנהל מערכת יכול לעשות מה שהוא רוצה. מילות המפתח כאן הם permissions ו priviladges ששתיהן מתורגמות משום...
אין תגובות

למה כל איש IT צריך ללמוד Hacking

יום חמישי, אוגוסט 11, 2016

עולם המיחשוב ניתן לחלוקה בהרבה דרכים וצורות. החלוקה לאלה שמערכות המיחשוב שלהם נפרצו מול אלה שעדיין לא יודעים שמערכות המחשב שלהם נפרצו היא לאו דווקא החלוקה הטובה ביותר. חלוקה טובה יותר היא החלוקה לאלה שיש להם מודעות טובה לאבטחה של מערכות מיחשוב מול אלה שחושבים שיש להם מודעות טובה לאבטחה של מערכות מיחשוב. המאבק מול הפורצים למיניהם הוא מראש אסימטרי. לפורץ יש יתרון מובנה על המגן כי לפורץ מספיקה נקודת חולשה אחת בעוד שהמגן צריך להגן על כל הגיזרה. תוסיפו לזה שהפורץ יכול להתמחות ולהתעדכן כל הזמן בשיטות פריצה חדשות בעוד שהמגן בדרך כלל כל כך עסוק במילוי טפסים...
אין תגובות

חוויות מסדנת Hacking and Protecting Windows Infrastructure עם Paula Januszkiewicz

יום רביעי, יוני 1, 2016

הסתיימה עוד סדנא בארצנו על פריצה והגנה של תשתיות חלונות, עם Paula Januszkiewicz האחת והיחידה. הסדנה הפעם הייתה סדנה סגורה, לקבוצה נבחרת של חוקרי ומומחי אבטחה, שדילגו מראש על הדברים הבסיסיים והתרכזו בנושאים המורכבים יותר. פאולה (כמו תמיד) התמודדה עם האתגר בהצלחה, נכנסה לכל עומק שנתבקשה והדגימה טכניקות מתקדמות, כשהמשתתפים מנסים כל דבר בעצמם, במעבדות הוירטואליות (שחסומות לגישה אל ומאת העולם החיצוני מסיבות מובנות). צילמתי את פאולה מסבירה למה מאמרים באינטרנט מסוכנים לקריאה, כשאני נזהר לא לתפוס בטעות בצילום פרצוף של מישהו מעשרים ומשהו המשתתפים בסדנא (מסיבות מובנות).    פאולה מצידה התרשמה מאד מהרמה המקצועית של המשתתפים ובעיקר מרמת...
אין תגובות

למה זה כל כך חשוב למי שאחראי על אבטחה של תשתיות מחשב ללכלך את הידיים ב Hacking

יום רביעי, פברואר 17, 2016

שוחחתי אתמול עם CTO בכיר בארגון גדול על הקורס הקרוב של פאולה בנושא Hacking and Hardening windows infrastructure ושאלתי אותו למה הוא לא שולח את אחראי האבטחה שלו לקורס. התשובה שלו הפתיעה אותי. לטענתו, הקורס הזה בכלל לא מעניין אותו, לא בגלל שאבטחת התשתית שלו אינה חשובה, אלא בגלל שהוא העביר את כל הנושא לקבלן חוץ ומשם והלאה זו בעיה של קבלן החוץ ולא שלו. לפני שאסביר למה הטיעון הזה לא נכון בבסיסו, בואו ונעקוב אחר הלוגיקה שמאחורי הטיעון הזה. אומר ה CTO (או ה CIO או ה CEO תלוי בגודל הארגון), אמנם אבטחה נמצאת ברשימת המטלות...
אין תגובות

למה עשינו פרסומת באנשים ומחשבים

יום שלישי, ינואר 19, 2016

לפני כמה ימים נתקלתי שוב בלקוח שלא מכיר אותי ואת חברת ידאג בע"מ (שהוקמה למי שלא זוכר כבר בשנת 1983). לאחר שהתאוששתי מהפגיעה הקשה באגו עשיתי ניתוח לוגי של Root Cause Analysys וגיליתי בעיה אמיתית שהחליקה לי מתחת למכ"מ. לשוק העבודה, לארגונים וללקוחות שלנו נכנס דור חדש ש (בלי לפגוע באף אחד) עוד לא נולד כאשר הקמנו את החברה. דווקא בתחומים שאני עוסק הניסיון המצטבר הוא הדבר החשוב ביותר ואלה שאולי יותר מכולם צריכים את הניסיון שלנו פשוט לא יודעים על קיומנו. אז החלטנו לעשות קצת פרסומת דרך אנשים ומחשבים. בחרנו לפרסם את הקורס הקרוב של פאולה...

על Hacking ו Hardening ועל Paula Januszkiewicz

יום חמישי, ספטמבר 17, 2015

העולם של פריצה והגנה של מערכות מחשב עבר הרבה התפתחויות בשנים האחרונות. ניתן לומר שאת המהפכה התעשייתית כבר עברנו ואנחנו כבר בעידן שבו הפשיעה הדיגיטלית והחדירה לפרטיות הגיעו לממדים כאלה שהביטחון האישי של כולנו בסכנה והחקיקה, ושאר הגופים שאמורים להגן עלינו, נמצאים שנות דור מאחור. בתקופה כזו של המערב הפרוע, מי שאין לו מודעות בסיסית ומי שלא נוקט את אמצעי ההגנה הבסיסיים ביותר, הופך, בעל כורחו, לשותף לדבר עבירה או לקורבן. הגנה מתחילה במודעות. עד שאתה לא רואה בעיניים, עד כמה זה קל לחדור למערכת לא מוגנת ובכמה סדרי גודל זה נהיה קשה יותר ברגע שאתה נוקט באמצעי ההגנה הבסיסיים,...
אין תגובות

על Hacking, פריצת מערכות ועל Paula Januszkiewicz

יום שני, אפריל 15, 2013

פאולה עוסקת בתחום של פריצה למערכות מחשב. זה תחום שה perception שלו בקהל הרחב שונה מאד מאיך שהוא נתפס על ידי מי שנמצא בתחום. אצל הקהל הרחב להיות האקר זה Cool. בסרטים זה בכלל מישהו חתיך כמו רוברט רדפורד בסניקרס או פאנקית החיה בשולי החברה כמו בנערה עם קעקוע של דרקון. מצד שני אצל הזכרים בעיקר, אם זה לא הגיבור הראשי, זה יהיה מישהו שמן, דחוי חברתית, עם משקפיים עבות, כאילו כדי לומר לנו, שרק מי שמנותק מהעולם יכול להיות מקצוען בתחום של חדירה למערכות מחשב. עד כאן החיים בסרט. ...