תיקון טקסט בעברית שנכתב במקלדת אנגלית

רחמים

סטקסנט הוא לא סתם וירוס, הוא באמת ניצל כח ליגיטימי שניתן לו:

לתולעת חתימה דיגיטלית שנגנבה משני מפיצים של חתימה דיגיטלית, צעד שאיפשר לתולעת שלא להתגלות במשך תקופה ארוכה.

בספטמבר 2010 זכתה התולעת לפרסום עולמי כאשר באמצעי התקשורת פורסמה השערה שהתולעת נוצרה והופצה על ידי גוף ממשלתי, כצעד של לוחמה קיברנטית שנועד לחבל במתקני הגרעין של איראן. בין המדינות ששמן נקשר ליצירת התולעת: ישראל, ארצות הברית ומדינות אירופיות. ביולי 2013 אישר אדוארד סנודן, מנהל מערכות מידע לשעבר בארגון הביון האמריקאי NSA, כי ה-NSA וישראל כתבו ביחד את סטקסנט.

תולעת זו לעולם לא הייתה מתגלית אם לא הייתה עושה נזקים אלא רק אוספת סיסמאות.

בערל

@רחמים אמר בתיקון טקסט בעברית שנכתב במקלדת אנגלית:

אם אתה מכיר את המתכנת וסומך עליו אז הכל בסדר. אם לא אז לא כדאי.

בתכלס, כיוצר תוכנות ותיק איך אתה מצליח לשכנע את לקוחותיך באמינות התוכנות שלך?
אתה קובע פגישת היכרות עם כל לקוח?

ומה אתה ממליץ למשתמש הפשוט לבדוק לפני הורדת תוכנה פופולרית?

או שבכלל לא מומלץ להוריד ועדיף לעשות הכל באופן ידני...

תודה.

רחמים

@בערל שאלת שתי שאלות מאוד חשובות.

1. אין צורך לשכנע, כמו שאתה רואה אף אחד פה לא השתכנע מדברי, וכולם בטוחים שאם לא שמעו אז כנראה שאין.
   חוץ מזה, גם מי שמשוכנע בצדקת דברי ישתמש בתוכנות שלי בלי חשש, כי הוא פשוט יכול להכיר אותי ממש בקלות, אני עושה הכל בשקיפות. בכל הפורומים יש לי אותו ניק ואותו סמל. והניק שלי הוא ממש כשמי האמיתי. גם המייל שלי מכיל את השם שלי וגם שם האתר שלי. אני פועל בצורה מוצהרת ושקופה ללא שום אנונימיות. הטלפון והמייל שלי מפורסמים באתר שלי. וכל זה ביחד חושף בפני המשתמשים תמונה של מתכנת אמין שבא לעזור להם ולא שליח של המוסד או הק.ג.ב ...

2. לגבי המלצות:

ההמלצות הקריטיות

המלצות קריטיות שאין אפשר לוותר עליהן

• להשתמש רק בתוכנות של מפרסם מאומת - דהיינו שיש לתוכנה חתימה דיגיטלית, או יותר טוב מזה - שאתה מכיר את המתכנת.
• להשתמש רק בתוכנות ללא קראקים ופא'צים ופריצות למינהם.

המלצות חמות

אם כבר יש את ההמלצות הקריטיות אז אלו המלצות חמות אך לא קריטיות:

• להעדיף תוכנות קוד פתוח, ועדיף לקמפל לבד מקוד המקור.
• אם לא קוד פתוח אז עדיף תוכנות בדוטנט שאפשר לראות ב dnspy.
• עדיף תוכנה ניידת שלא צריכה הרשאות מנהל.
• אם לא קוד פתוח אז עדיף תוכנות בתשלום מאשר תוכנה חינמית
• עדיף תוכנות שלא עובדות כל הזמן ברקע, או שיש לה סרביס.
• עדיף תוכנות שלא עולות בעליה של המחשב
• עדיף בלי עדכונים אוטומטיים
• עדיף להפעיל רק במחשב וירטואלי יעודי למטרה זו.

dovid

@רחמים זה לא כח לגיטימי. תעודה גנובה זה פירצה כמו כל פריצה אחרת.
כי האנטי וירוסים השונים נוטים להקל ראש בתוכנות עם תעודה, ובצדק.
כח לגיטימי זה שתקבל תעודה כמו מלך. ותעשה עם זה נזקים.
אתה טוען שזה שלא שמענו זה לא אומר כלום, והבנתי את זה מהרגע הראשון.

yossiz

@רחמים אמר בתיקון טקסט בעברית שנכתב במקלדת אנגלית:

סטקסנט למשל תולעת מאוד מעניינת. בטח אלפי כאלה מסתובות בלי להתגלות רק אוספות סיסמאות.

אתה מגזים.
סטקסנט היתה בשורה של ממש בעולם ה-malware ומסוג שמשערים שרק nation-state actor יש לו את המשאבים לייצר את זה.
להגיד שאלפים כאלה מסתובבים הוא נגד השכל.
(אגב, למה יוצא לי לכתוב לך כל כך הרבה פעמים בפורום את המילים "אתה מגזים"... ?)

yossiz

@רחמים אמר בתיקון טקסט בעברית שנכתב במקלדת אנגלית:

תולעת זו לעולם לא הייתה מתגלית אם לא הייתה עושה נזקים אלא רק אוספת סיסמאות.

https://eugene.kaspersky.com/2011/11/02/the-man-who-found-stuxnet-sergey-ulasen-in-the-spotlight/

היא לא התגלתה בגלל הנזקים אלא בגלל טעות שגרם לה להקריס את ווינדוס מפעם לפעם,
בהתחלה לא ידעו שהיא קשורה כלל למכשירים תעשיתיים
אם הוירוס היתה כתובה בצורה שאין לה רכיבי קרנל (ולכן יש לה פחות סיכוי להקריס את המערכת) היא היתה מתגלית הרבה יותר מהר כי אי אפשר היה להסתירה.

בכל מקרה הסיפור ההוא לא קשור כלל לנושא, שם מדובר בוירוס - לא בתוכנה לגיטימית.

רחמים

יש חברות טכנולוגיה שמפתחות רוגלות עבור ממשלות שרוצות להלחם בטרור ופשע ולצורך מעקב ממלכתי כנגד אנטי-פעילי משטר, עיתונאים ומנהיגים פוליטיים ממדינות יריבות, ראה כאן.

שווה לפתח רוגלות זה המון כסף:

ההכנסות השנתיות היו בסביבות 40 מיליון דולר בשנת 2013 ו -150 מיליון דולר בשנת 2015. ביוני 2017 הוצעה החברה למכירה תמורת מיליארד דולר.

מקור

nigun

@dovid
תאזין לפודקאסט הזה.
ובקיצור הוא מראיין שם חוקר אבטחה, שמצא שבתוך SDK של חברה פרסום סינית, היה קוד זדוני שאפשר בין בשאר להריץ מדלת אחורית כל קוד, על כל המכשיר (כגון לגנוב את הClippboard) ועוד.
ה-SDK בסך הכל הותקן בכ-1500 אפליקציות iOS ו-2000 אפליקציות Android אבל בפועל היה לו בסך הכל יותר ממיליארד הורדות - בחודש. (כי זה היה בהרבה אפליקציות פופולריות).
וכאן מדובר בקוד שהושתל בזדון ע"י החברה ולא בטעות, וזה עבר את כל הבדיקות של אפל.

אחד הדברים שהם עשו בשביל שיהיה קשה לעלות עליהם, הם לא הפעילו את הקוד הזדוני על מכשירי אייפון פרוצים,
כנראה בגלל שלרוב חוקרי אבטחה פורצים את המכשיר שלהם.
זה יכול להיות אולי גם פתרון למישהו שעושה את זה על תוכנת דסקטופ שהוא יכול לבדוק האם מותקן תוכנות וכלים שמצויים בידי חוקרי אבטחה.

נ.ב. נראה שזה נפוץ בחברות סיניות עיין:
https://www.tgspot.co.il/transsion-phones-are-cheap-until-they-start-stealing-money/
https://www.tgspot.co.il/10-million-android-devices-reportedly-infected-with-chinese-malware/
https://www.gadgety.co.il/262909/gionee-malware-court/

nigun

@רחמים אמר בתיקון טקסט בעברית שנכתב במקלדת אנגלית:

להשתמש רק בתוכנות של מפרסם מאומת - דהיינו שיש לתוכנה חתימה דיגיטלית, או יותר טוב מזה - שאתה מכיר את המתכנת.

בכמה מקרים אתה מכיר את המתכנת?
גם אם אני מתקין את תוכנה שלך, אין לי שום ביטוח
מה לעשות שאני לא מכיר אותך באופן אישי, אולי אתה סוכן של ממשלה זרה?

רחמים

@nigun אמר בתיקון טקסט בעברית שנכתב במקלדת אנגלית:

גם אם אני מתקין את תוכנה שלך, אין לי שום ביטוח
מה לעשות שאני לא מכיר אותך באופן אישי, אולי אתה סוכן של ממשלה זרה?

על חתימה דיגיטאלית של מפרסם מאומת אתה סומך?

dovid

@רחמים אמר בתיקון טקסט בעברית שנכתב במקלדת אנגלית:

על חתימה דיגיטאלית של מפרסם מאומת אתה סומך?

חתימה דיגיטלית לא עושה כלום חוץ מלקשור באופן מובהק בין התוכנה לחברה או למתכנת רשמי מוכר.
מעבר לזה זה זהה לכל תוכנה.

dovid

@nigun תודה, אכן מקרה מובהק (למרות שמדובר בקוד ולא בתוכנה).
גם אני נזכר שיש לי בבית נטסטיק מסין שההתקנה מזוהה כוירוס חמור ביותר בכל האנטיוירוסים (העליתי לוירוסטוטל),
אבל לא היה לזה ממש שם חוץ מ"חברת מדבקה".

nigun

@dovid
מה זה משנה אם זה קוד סגור שמשמש מתכנתים (הוא מספר שם שהוא היה צריך לעשות הנדוס לאחור)
או קוד סגור שמשמש את הלקוחות באופן ישיר.
(לכאורה הראשון יותר גרוע כי אין ללקוח קצה איך להתמגן).

dovid

@nigun לא יודע הבדל, ציינתי עובדה.