אבטחת מידע רגיש נגד מדליפים

הרבה מילים נכתבו ויכתבו על ענת קם שהדליפה מסמכים מלשכת הרמטכל אלוף פקוד מרכז.
אני רוצה לכתוב קצת על ההיבט האבטחתי של הפרשה.
אני אהיה בוטה ואומר שלדעתי ברגע שסומכים על מישהו שיעבוד בסביבה בה יש מידע רגיש, אין אפשרות למנוע ממנו ב100% להדליף החוצה.
יש אין סוף דרכים שאדם עם גישה למידע יכול להדליף אותו, ונסיון ליצור סביבה הרמטית שממנה לא יכול לדלוף מידע הוא נסיון עקר שנועד להכשל.
אז מה כן אפשר לעשות?
סיווג בטחוני של העובדים במתקנים רגישים, ובדיקות ביטחון שוטפות כחלק מהשגרה.
מידור גם הוא חשוב מאוד כדי למנוע מאנשים גישה מיותרת למידע רגיש, כי כאמור ברגע שהם נחשפו למידע הרגיש הם יכולים להדליף אותו.
השאלה היא האם ענת קם היתה צריכה גישה למידע, והתשובה היא שזה לא ברור.
לכאורה אין ספק שפקידה לא צריכה גישה לכל המידע, אבל יתכן מאוד שהיא עצמה הקלידה חלקים ממנו או שהיא שלחה אותו לכל מני גורמים בהוראת אלוף הפיקוד, ואז בהגדרה היא צריכה גישה כלשהי.
אפשר לטעון מהיום ועד מחרתיים שהיא היתה צריכה להיות ממודרת, שהמסמכים היו צריכים להיות מוצפנים וכו' וכו', ואולי אפילו זה המצב לגבי רוב החומר הרגיש, אבל יש מקרים לגיטימיים שבהם פקידה בלשכת האלוף תחשף לחומרים רגישים.
ואם לא היא, אז מישהו אחר.
ומה אם אלוף הפיקוד בעצמו ידליף מידע?
"מה, אתה טיפש? ברור שהוא לא ידליף", אני שומע אותכם אומרים.
ואתם צודקים, אנחנו סומכים עליו שהוא לא ידליף, וזה העניין.
אלוף הפיקוד סומך על הפקידות שלו, אחרת הוא לא יכול היה לעבוד.
ענת קם הפרה את האמון שניתן בה, התקלה היא שהיא הגיעה למקום שהיא הגיעה אליו ולא שהיא הצליחה להדליף מידע משם.

Obummer

הבלוג הזה הוא לא פוליטי במיוחד, מדי פעם הזכרתי עניינים שנוגעים למדיניות הפנים של ישראל בדברים שקשורים לפרטיות, מאגרים ביומטרים וכדומה – אבל לא נראה לי שאי פעם ממש דיברתי על פוליטיקה בין לאומית.
אני אחרוג ממנהגי הפעם.
בגדול אני לא מאוד פוליטי, אבל הדעות שלי הן די במרכז. אני מבין שצריך להגיע להסכם שלום עם הפלסטינים, ואני גם מבין שמותר ורצוי להשתמש בכוח כדי להגן על אזרחי מדינת ישראל.
המשבר בין ארצות הברית לישראל מטריד, במיוחד לאור העובדה שאירן מתקרבת בעקביות לנשק גרעיני.
נראה כאילו אובמה החליט לכופף את הממשלה בארץ ולכפות עלינו הסכם עם הפלסטינים.
להמשיך לקרוא Obummer

כלכלת שוק שבוי

דמיינו כלכלה כזו:
חצי מהאנשים עושים מנוי בתשלום קבוע ומקבלים את כל מה שהם צריכים, והחצי השני משלם לפי הצורך.
מה יקרה למחירים במצב כזה?
הטענה שלי היא שהמחירים יעלו, כי החצי הראשון לא משלם ישירות על מה שהוא מקבל ולכן מנסה להצדיק את התשלום הקבוע על ידי צריכת יתר.
ספקי השירות בשוק כזה יכולים להעלות את המחירים, כי מי שמשלם את המחיר לא נמצא בעמדת מיקוח מולם, אלא מול אותו גורם שלו הוא משלם את המנוי בתשלום הקבוע.
כמובן, מחיר המנוי יעלה בהדרגה כדי לעמוד בהוצאות שהולכות וגדלות.
מצד שני, אותו חצי שמשלם לפי הצורך ולא משתתף בחגיגה סובל גם הוא מעליות המחירים, כי ברגע שחצי מהאוכלוסיה מסכימה (גם אם בעקיפין) לשלם מחיר מופרז עבור משהו, הם קובעים את המחיר המופרז כמחיר הנורמלי.
ברגע שחלק ניכר מהאוכלוסיה מאבד את עמדת המיקוח שלו, כל האוכלוסיה תסבול מעליית מחירים שבמצב רגיל כוחות השוק היו מסכלים.

הכלכלה ההיפותטית הזו היא לא כל כך היפוטתית:
הביטוח הרפואי של קופות החולים (משלים, מושלם וחברים) יוצר מצב שזו בדיוק הכלכלה של השרותים הרפואיים בארץ.
מחירי התרופות מאבדים קשר עם עלות הפקת התרופות, מחירי רפואת השיניים מאבדים קשר עם העלות האמיתית שלהם ומחירי הבדיקות הרפואיות עולים גם הם.
רופא מומחה מבוקש יכול לדרוש סכומי עתק, כאלו שרוב האוכלוסיה לא תסכים לשלם לעולם – אבל הביטוח ישלם אם יהיה עליו מספיק לחץ.
נוצר מצב שבו ככל שיש יותר מבוטחים, המחירים עולים, מה שגורם לחץ על מי שעוד לא מבוטח להצטרף לביטוח, מה שגורם לכך שהמחירים יעלו עוד.
מעיין לולאת היזון חוזר שבסופה כמעט כולם יהיה מבוטחים.

אפשר לראות מנגנונים דומים בעוד מקומות, אחד מהם הוא הקורסים למבחן פסיכומטרי:
המבחן עצמו זול למדי, אבל יש קורסים יקרים שמסוגלים לאמן את הנבחן לקראת המבחן כך שיוציא ציונים גבוהים יותר.
אין לי נתונים, אבל לדעתי כבר מזמן עברנו את הנקודה בה רוב הנבחנים לפסיכומטרי עוברים את אחד הקורסים האלו.
זה גורם למצב שבו מי שלא לוקח קורס נמצא בעמדת נחיתות, ולכן יותר ויותר אנשים לוקחים קורס, מה שמחריף את עמדת הנחיתות של מי שלא לוקח קורס וכן הלאה.
אפקטיבית מה שקורה זה שהמחיר של המבחן הפסיכומטרי עלה וכרגע הוא כולל קורס הכנה שהוא למעשה קורס חובה.
המרווחים הם כמובן אותם מכונים שמעבירים קורסים כאלו.

אני לא יודע אם יש מה לעשות נגד זה, אבל בתור התחלה צריך לזהות שזה מה שקורה.

אני אישית לא מבוטח כרגע בביטוח משלים, וכשעשיתי פסיכומטרי לא עשיתי את זה עם קורס.
אני מניח שבשלב מסויים אני אאלץ להצטרף לביטוח כי אני פרגמטי ואני לבד לא יכול לשנות את המערכת.
אבל אם רוב האוכלוסיה היתה מסרבת לביטוח המערכת היתה משתנה והמחירים היו יורדים.

דוח מהירות מוזמן

תיכוניסטים מתיכון במרילנד סידרו דוח"ות מהירות לאוייבים ולפעמים גם למורים בתיכון.
הסטודנטים צילמו את לוחית הרישוי של הקורבן, הדפיסו אותה עם מדפסת ליזר על נייר מבריק, הדביקו על הלוחית שלהם ונסעו במהירות ליד מצלמת מהירות חדשה.
הקורבנות קיבלו תוך כמה ימים דו"ח בדואר, כל התהליך הוא אוטומטי לגמרי ולא מעורבים אנשים בהפקת הדו"ח.
אפשר לראות פה חשיבה האקרית שמחלחלת לעולם האמיתי, וחושפת הטכניקות המקובלות במערומיהן.
אם ניקח כדוגמא את המערכת הספציפית הזו, ברור שהיא עובדת היטב בתנאים אידיאליים שבהם כולם משחקים לפי חוקי המשחק.
העניין הוא שאין למערכת שום הגנה ושום אפשרות טכנית להתגונן מפני רמאות פשוטה כמו זו.
לדעתי התלמידים האלו עושים מעשה טוב. אם הם יהפכו למטרד מספיק – אולי המשטרה באיזור תפסיק להשתמש בטכניקות שמטרתן היא סחיטת כסף ומיקסום רווחים – ורחמנה ליצלן, תתחיל לשים שוטרים איפה שבאמת צריך.
בקרוב אצלינו? מי מדפיס לוחית עם מספר מ-1 (מפקד המשטרה) ויוצא לסיבוב? 🙂

דרך סלאשדוט.

הקיטשיות של הכותרות בThe Marker שוגרה ב12%, העקביות שלהם דהתה ב28%

hatach

אז שימו לב, נאסד"ק עלה 2.9%.
מארוול קפצה 20%, סאנדיסק זינקה ב25%, מה שאומר שזינקה זה יותר מקפצה.
עד פה הכל טוב.
סיוה הוסיפה 20%, מעניין שהיא לא קפצה 20% אלא רק הוסיפה.
סרגון איבדה 2.9% אבל קומברס התכווצה ב2.4%.
כנראה שלאבד זה יותר גרוע מלהתכווץ.
טאואר לעומת זאת, נחלשה ב10%, שזה הרבה יותר גרוע מלאבד או להתכווץ, מסתבר.
המגזר הפרטי לעומת זאת, לא איבד  התכווץ או נחלש.. הוא חתך בחודש נובמבר. אם הוא היה עושה את זה בתוך יום למשל, אין ספק שהוא היה נחשב כמנסר.
זה לא צחוק, לחתוך זה זה כמו לנסר, רק יותר עדין ועל יותר זמן.
אבל זה נורא כואב עדיין.

אני כותב תוכנה בחמש דקות שמצליחה להחליף את הכתב היצירתי שהשפריץ את הכותרת הזו.

Legacy of Omlet

אז בואו נראה מה נשאר השאיר לנו הצדיק אולמרט:

חוק נתוני תקשורת, הרי הוא חוק האח הגדול – המשטרה תקבל גישה למאגר נתונים של כל שיחות הטלפון וכל האתרים שאתם גולשים אליהם, בלי צו שופט.
מה, אתם לא סומכים על המשטרה שתשמור על הנתונים שלכם מוגנים?
מה, חשבתם ששוטר ימכור את הנתונים בעבור כמה אלפי שקלים לבלשים פרטיים? אין סיכוי!

חוק סינון אתרים, הרי הוא חוק הצנזורשת, בו כל אדם יגלוש באינטרנט מצונזר אלא אם הודיע שהוא רוצה לקבל את הזואופיליה שלו לא מצונזרת.
ש"ס יגנו על הנפש שלכם מפני אתרי תועבה, כמו אתרי פורנו ואתרים שמלמדים דברים חשוכים כמו אבולוציה.

חוק מאגרי מידע ביומטריים, שאושר לאחרונה, מאפשר למדינה לאסוף נתונים ביומטריים על כל האזרחים, כולל טביעת אצבע ומי יודע, אולי גם דגימת DNA בהמשך. כדאי לקרוא את המאמר הזה.

פיספסתי משהו?

מדינת ישראל הפכה למעצמה של הפרת זכויות אדם בסיסיות, שנושאת את לפיד החושך לפני הדיקטטורות בעולם.

אולמרט, תתפטר!
אה, התפטרת כבר?

אולמרט, תעוף מפה לפני שתחרב את מעט הטוב שנשאר במדינה המשוקצת הזו.

איך לקבל חודשיים משכורת ממס הכנסה

נניח שאתם עובדים בהייטק, ומקבלים משכורת יפה. לשם הפשטות נניח 25000 ברוטו בחודש.
איך תוכלו לעקוץ את המערכת ולקבל יותר מחודשיים משכורת מתנה, ועוד לנוח על הדרך?
פשוט, להפסיק לעבוד אחרי חצי שנה, כלומר… ממש בערך עכשיו!
איך זה עובד?

לפי מחשבון הנטו של חילן טק, על 25000 ברוטו תקבלו בסביבות ה14200 נטו.
מכיוון שמס הכנסה מחושב בצורה שנתית, אם תעבדו רק חצי שנה זה כאילו עבדתם במשכורת של 12500 במשך שנה, והנטו של משכורת כזו הוא כ8800.
ההפרש בין סכומי הנטו הוא כ5400, מה שאומר שעל חצי שנה שילמתם מדי חודש 5400 שקלים יותר מדי למס הכנסה.
בסוף השנה תוכלו להגיש דוח ולקבל הכל חזרה.
5400*6=32400
או 2.2 משכורות נטו בקירוב (למי שמקבל 14200 נטו).

לפי מחשבון המס, על 25000 משלמים 6185 שקלים בחודש למס הכנסה, ועל 12500 משלמים 1653 (יש מיסים אחרים שאי אפשר לקבל חזרה).
ההפרש הוא 4532 שקלים לחודש, או כ27200 לחצי שנה – שזה קצת פחות משתי משכורות נטו.

די שווה, בשביל לשבת בבית חצי שנה, לא?

איזה יופי של מדינה יש לנו, שבה לא לעבוד יכול להיות משתלם?

דברים לשים אליהם לב לפני שרצים לעשות את זה:
1. כשמתפטרים מקבלים (אלא אם משהו ממש לא טוב קרה) פיצויי פיטורים של חודש משכורת לכל שנת עבודה. הפיצויים האלו יספרו לכם כהכנסות אז שימו לב.
2. השנה החגים יוצאים בובה, יודעי דבר טוענים ששמונה ימי חופש יספיקו כדי לצאת לחודש חופש (במשכורת מלאה כמובן) . אם תשבו בבית הכל ירד לטמיון.
3. אני לא רואה חשבון או עורך דין, לא לבוא אלי בטענות אם זה לא מצליח.

טענות, מענות ותלונות – בתגובות.

סקוייה

חברת סקויה, יצרנית מכונות הצבעה אלקטרויות שלחה מכתב איום מעורפל לפרופסור אפל ופרופסור פלטן מפרינסטון – שניהם מומחי אבטחה, בו החברה מאיימת לתבוע אם מדינת ניו ג'רסי תשלח לפרופסורים מכונת הצבעה אחת או יותר לבדיקת אבטחה.
החברה טוענת שבשליחה של המכונות, מדינת ניו ג'רסי תפר את תנאי הרשיון שלה, ושאם הם יפרסמו ממצאים על המכונות, קוד שלהן, או מידע על צורת העבודה שלהם החברה "תנקוט בצעדים".
לגמרי בכוונה, החברה לא מציינת אם בכוונתה לתבוע את הפרופסורים או את המדינה (זה יותר מפחיד ככה).
למרבה האירוניה, החברה יכולה להסתתר מאחורי הDMCA שהופך כל נסיון הנדסה לאחור ללא חוקי בארצות הברית.

השאלה שעולה מיד היא:
מה הם מסתירים?
קוד מחורבן? דלת אחורית? שחיתות?
האם הייתם מפקידים את הבחירות של המעצמה הגדולה בעולם בידי חברה שלא מוכנה שהקוד שלה יעבור ביקורת אבטחה על ידי מומחים?
אני לא.

דרך סלאשדוט.

עדכון:
בחיפוש אחר שם המכונה שמוזכר באימייל שנשלח (Sequoia Advantage voting machine), מצאתי שפרופסור אפל כבר שם את ידיו על אחת המכונות לפני שנה.
הוא קנה אותה ב82$, בלי שום בעיה.
הוא כותב שהחברה משקרת במפרטים שלה, לפחות לגבי המכונה הספציפית שברשותו, ושקל מאוד להחליף את הROM של המכונה.

הדרך לחניה רצופה כוונות טובות

הטוש מדווח על מהפכה בתעריפי החניה בחניונים שבבעלות העיריות:
החל מהשעה השניה, יחידות החניה יהיו חמש עשרה דקות במקום שעה, ובנוסף יעוגל זמן החניה, מה שבתאוריה יגרום לכך שאם תגיעו אחרי שעה ושש דקות תשלמו עבור שעה בלבד, ואם תגיעו אחרי שעה ושמונה דקות תשלמו עבור שעה ורבע בלבד.

בפועל מה שיקרה לדעתי זה שנראה שיטות תמחור חדשות, נוסח:
שעה ראשונה 20 שקלים, כל רבע שעה נוספת 20 שקלים.

חבילות בסיס

לפני יותר משלוש שנים התנתקתי מYES, ומאז הטלוויזיה שלי לא מחוברת לאף שידור למעט ערוץ האינטרנט.
(לא, גם לא ערוץ 2 או 10, ולא אפילו לא ערוץ 1).
לא חסר לי בכלל, אני רואה מה שאני רוצה מתי שאני רוצה, ובלי פרסומות. ובא שלום.
בכל אופן, לא על זה הפוסט.
הפוסט הוא על חבילות הבסיס של יס והוט, או ליתר דיוק על המחיר שלהן.

אני זוכר שכשעזבתי את יס, חבילת הבסיס עלתה בסביבות ה160 שקלים, ולפני שנתיים, כשכתבתי את הפוסט הזה היא כבר עלתה כמעט 200 שקלים.

כמה עולה היום חבילת הבסיס ביס ובהוט?
האם בכלל אפשר לקבל את חבילת הבסיס?
האם יש זליגת תכנים מחבילת הבסיס לחבילות הפרמיום?

שימו לב שחלק ניכר של ההוצאות של יס והוט הן בדולרים, כי הן קונות תכנים מרשתות זרות.
מישהו מדמיין בכלל שתהיה הורדת מחירים בגלל ירידת שער הדולר?