תיקון טקסט בעברית שנכתב במקלדת אנגלית
-
מנטור אישי למתכנתים (ולא רק) – להתקדם לשלב הבא!
בכל נושא אפשר ליצור קשר dovid@tchumim.com
-
@רמי-פרי אמר בתיקון טקסט בעברית שנכתב במקלדת אנגלית:
ואם החשש שאתם מעלים היה נכון כבר היה נכתב על זה רבות.
אלו דברים שיכולים לא להתגלות לעולם. הוירוס פשוט מעתיק סיסמאות ומביא אותן להאקרים, הם עושים איתן מה שעושים, וההסתברות שאף אחד לא ידע מזה ב50 שנה הקרובות.
-
@dovid אמר בתיקון טקסט בעברית שנכתב במקלדת אנגלית:
איזה תוכנה עשתה את זה ומתי? תוכל לציין אסמכתא כל שהיא לסיפור הזה?
ההאקרים שפרצו לשירביט לקחו המון נתונים, וביקשו כופר, אם הם לא היו מבקשים כופר אלא מוכרים את הנתונים לאירן למשל, יתכן שבמשך שנים רבות לא היה יודע אף אחד על גניבת המידע הזו.
-
@רחמים על החלק הטכני נתווכח עשרה ימים ללא הכרעה (כי דעתי היא שההתכנות הטכנית מוגבלת למסגרת התיאוריה ולא ממש אפשרית מעשית).
אבל אתה מודה בפה מלא שלא שמעת מעולם כזה סיפור, רק שאתה אומר שאין סיבה שנשמע עליהם, הם קורים אולי באין מפריע.
אז למי שחושש שיידע שלא ידוע שקרה מעולם כזה מקרה, של תוכנה עם יוצר ידוע שניצל אותה לגניבת סיסמאות למשל.מה שכן ידוע זה תוכנות בהם היה חור/פירצה.
זה אומר שאם אתה נועל את הבית ונותן את המפתח לעובד ניקיון, אתה לא רק צריך לחשוד בעובד נקיון אלא לבקש ממנו לזכור לנעול אחרי שהוא יוצא. קרה וקורה כל הזמן שלתכונה יש פונקציה שלא מתוכננת הכי בטוח והיא פתח לפעולות במחשב. הפונקציה בעצם ניתנת לניצול ע"י גורמים שחוקרים ומצאים את הפרצה, ודרכה מצליחים להעביר/לקחת/להזיק משהו.
בתוכנה מסוג זה, ועם וותק כזה, זה חשש לא סביר בכלל. -
@dovid אמר בתיקון טקסט בעברית שנכתב במקלדת אנגלית:
אבל אתה מודה בפה מלא שלא שמעת מעולם כזה סיפור
ממש לא!
כל האקר שפורץ ודורש כופר מוכיח שטכנית הדבר אפשרי, זה שהוא מתגלה זו הבחירה שלו, כי הוא רוצה לדרוש כופר, אך באותה מידה הוא יכול ליצור תוכנה לגיטימית ושימושית וחינמית, ולהעתיק בגניבה את כל אותם נתונים, ובסוף לא לדרוש כופר, ואחר כך למכור את המידע למדינות כמו אירן, וסין, ורוסיה [ובעצם מי לא...] שאוהבים לרגל אחרי כל דבר, ולקבל הרבה יותר כסף ממה שהיה מקבל אם היה מתגלה, וכך הוא גם מרוויח יותר וגם לא מתגלה וממשיך לעוד קורבנות.
על כל סיפור של כופר אני מאמין שיש מאה סיפורים שההאקר בחר לא להתגלות. -
-
-
-
@רחמים אמר בתיקון טקסט בעברית שנכתב במקלדת אנגלית:
@dovid אמר בתיקון טקסט בעברית שנכתב במקלדת אנגלית:
אבל אתה מודה בפה מלא שלא שמעת מעולם כזה סיפור
ממש לא!
אתה כן.
כל האקרים שפרצו, לא ידוע לך שהם פרצו עם תוכנה שהם עשו בעצמם, וודאי שלא ידוע לך איזה תוכנה ואם היא מוכרת.
אתה משער שכמו שהם עשו אז גם תוכנות מוכרות עושות והם נזהרות לא להיתפס.
זה עדיין השערה שלך, ולא ידוע לך אפילו על מקרה אחד ששם זה ודאי קרה. -
-
סטקסנט הוא לא סתם וירוס, הוא באמת ניצל כח ליגיטימי שניתן לו:
לתולעת חתימה דיגיטלית שנגנבה משני מפיצים של חתימה דיגיטלית, צעד שאיפשר לתולעת שלא להתגלות במשך תקופה ארוכה.
בספטמבר 2010 זכתה התולעת לפרסום עולמי כאשר באמצעי התקשורת פורסמה השערה שהתולעת נוצרה והופצה על ידי גוף ממשלתי, כצעד של לוחמה קיברנטית שנועד לחבל במתקני הגרעין של איראן. בין המדינות ששמן נקשר ליצירת התולעת: ישראל, ארצות הברית ומדינות אירופיות. ביולי 2013 אישר אדוארד סנודן, מנהל מערכות מידע לשעבר בארגון הביון האמריקאי NSA, כי ה-NSA וישראל כתבו ביחד את סטקסנט.
תולעת זו לעולם לא הייתה מתגלית אם לא הייתה עושה נזקים אלא רק אוספת סיסמאות.
-
@רחמים אמר בתיקון טקסט בעברית שנכתב במקלדת אנגלית:
אם אתה מכיר את המתכנת וסומך עליו אז הכל בסדר. אם לא אז לא כדאי.
בתכלס, כיוצר תוכנות ותיק איך אתה מצליח לשכנע את לקוחותיך באמינות התוכנות שלך?
אתה קובע פגישת היכרות עם כל לקוח?ומה אתה ממליץ למשתמש הפשוט לבדוק לפני הורדת תוכנה פופולרית?
או שבכלל לא מומלץ להוריד ועדיף לעשות הכל באופן ידני...
תודה.
-
@בערל שאלת שתי שאלות מאוד חשובות.
-
אין צורך לשכנע, כמו שאתה רואה אף אחד פה לא השתכנע מדברי, וכולם בטוחים שאם לא שמעו אז כנראה שאין.
חוץ מזה, גם מי שמשוכנע בצדקת דברי ישתמש בתוכנות שלי בלי חשש, כי הוא פשוט יכול להכיר אותי ממש בקלות, אני עושה הכל בשקיפות. בכל הפורומים יש לי אותו ניק ואותו סמל. והניק שלי הוא ממש כשמי האמיתי. גם המייל שלי מכיל את השם שלי וגם שם האתר שלי. אני פועל בצורה מוצהרת ושקופה ללא שום אנונימיות. הטלפון והמייל שלי מפורסמים באתר שלי. וכל זה ביחד חושף בפני המשתמשים תמונה של מתכנת אמין שבא לעזור להם ולא שליח של המוסד או הק.ג.ב ... -
לגבי המלצות:
ההמלצות הקריטיות
המלצות קריטיות שאין אפשר לוותר עליהן
- להשתמש רק בתוכנות של מפרסם מאומת - דהיינו שיש לתוכנה חתימה דיגיטלית, או יותר טוב מזה - שאתה מכיר את המתכנת.
- להשתמש רק בתוכנות ללא קראקים ופא'צים ופריצות למינהם.
המלצות חמות
אם כבר יש את ההמלצות הקריטיות אז אלו המלצות חמות אך לא קריטיות:
- להעדיף תוכנות קוד פתוח, ועדיף לקמפל לבד מקוד המקור.
- אם לא קוד פתוח אז עדיף תוכנות בדוטנט שאפשר לראות ב dnspy.
- עדיף תוכנה ניידת שלא צריכה הרשאות מנהל.
- אם לא קוד פתוח אז עדיף תוכנות בתשלום מאשר תוכנה חינמית
- עדיף תוכנות שלא עובדות כל הזמן ברקע, או שיש לה סרביס.
- עדיף תוכנות שלא עולות בעליה של המחשב
- עדיף בלי עדכונים אוטומטיים
- עדיף להפעיל רק במחשב וירטואלי יעודי למטרה זו.
-
-
@רחמים זה לא כח לגיטימי. תעודה גנובה זה פירצה כמו כל פריצה אחרת.
כי האנטי וירוסים השונים נוטים להקל ראש בתוכנות עם תעודה, ובצדק.
כח לגיטימי זה שתקבל תעודה כמו מלך. ותעשה עם זה נזקים.
אתה טוען שזה שלא שמענו זה לא אומר כלום, והבנתי את זה מהרגע הראשון.מנטור אישי למתכנתים (ולא רק) – להתקדם לשלב הבא!
בכל נושא אפשר ליצור קשר dovid@tchumim.com
-
@רחמים אמר בתיקון טקסט בעברית שנכתב במקלדת אנגלית:
סטקסנט למשל תולעת מאוד מעניינת. בטח אלפי כאלה מסתובות בלי להתגלות רק אוספות סיסמאות.
אתה מגזים.
סטקסנט היתה בשורה של ממש בעולם ה-malware ומסוג שמשערים שרק nation-state actor יש לו את המשאבים לייצר את זה.
להגיד שאלפים כאלה מסתובבים הוא נגד השכל.
(אגב, למה יוצא לי לכתוב לך כל כך הרבה פעמים בפורום את המילים "אתה מגזים"...
?) -
@רחמים אמר בתיקון טקסט בעברית שנכתב במקלדת אנגלית:
תולעת זו לעולם לא הייתה מתגלית אם לא הייתה עושה נזקים אלא רק אוספת סיסמאות.
https://eugene.kaspersky.com/2011/11/02/the-man-who-found-stuxnet-sergey-ulasen-in-the-spotlight/
היא לא התגלתה בגלל הנזקים אלא בגלל טעות שגרם לה להקריס את ווינדוס מפעם לפעם,
בהתחלה לא ידעו שהיא קשורה כלל למכשירים תעשיתיים
אם הוירוס היתה כתובה בצורה שאין לה רכיבי קרנל (ולכן יש לה פחות סיכוי להקריס את המערכת) היא היתה מתגלית הרבה יותר מהר כי אי אפשר היה להסתירה.בכל מקרה הסיפור ההוא לא קשור כלל לנושא, שם מדובר בוירוס - לא בתוכנה לגיטימית.
