סיכום מפגש TAUSEC האחרון

מפגשי Tausec נועדו להיות חלופה לא מסחרית לכנסי אבטחת המידע של התקופה האחרונה. בעוד שבאחרונים מלעיטים את באי הכנס במגוון מאוד מאוד רחב של חומרים שיווקיים, כמות התוכן הולכת וקטנה, עד לנקודה שבה אין טעם להגיע.

מנגד, TAUSEC נועד להיות נטול תוכן שיווקי. מפגשים שכל מטרתם היא להעביר מידע שימושי.

המפגש שהיה השבוע הכיל שני חלקים. הראשון היה הרצאה באמצעות וידאו של כריסטוף פישר, בנושא התקפות ה-Phishing, והשני הרצאה של אמיר בן יוסף מחברת מיטסי, בנושא Forensics. אודה ואתוודה שהיו לי ציפיות נמוכות מהחלק הראשון, ויותר גבוהות מהחלק השני. גם לא היה ברור לי מה ניתן לדבר כל כך הרבה על Phishing, וגם המדיה שבה תועבר ההרצאה, מסך וידאו, זה משהו שיכול להפוך גם מרצה לא רע לחוויה זוועתית.

מילה על Phishing. זוהי התקפת גניבת זהות, שבה התוקף מרים אתר אינטרנט שדומה לזה של בנק, ומנסה לשכנע את האנשים שמקבלים את המייל להכנס לאתר ולהכניס שם את פרטי ההזדהות שלהם. עם פרטים אילו התוקף נכנס לבנק האמיתי ומעביר כספים לחשבונו. בעוד שיש מגוון רחב של כשלים טכנולוגיים שההתקפות האילו נעזרות בהם, הכשל המרכזי הינו של המשתמש, שנותן את פרטיו לגוף חיצוני.

חזרה למפגש – החלק הראשון היה הפתעה גמורה לטובה. כריס דיבר ברור (על אף המבטא הגרמני), וניתן היה בצורה בכלל לא רעה לעקוב. עדיין אני חושב שאם הוא היה נוכח באולם עצמו ההרצאה היתה בסדרי גודל יותר טובה, אבל בהחלט זו היתה הרצאה שניתן היה להקשיב לה.

מפתיע אף יותר מאיכות ההעברה של חומר דרך וידאו היה תוכן ההרצאה. מסתבר שכריסטוף וחברתו הצליחו למנוע אחוז נכבד מהנזקים של התקפות גניבת הזהות הזו בגרמניה. המטרה המוצהרת שלהם היא לגרום לתוקפים לראות את גרמניה כמקום שלא כיף לתקוף. בעיקר התרשמתי מזה שהטכניקה הישנה של לפנות לספקי השירות שמארחים את האתר ולהוריד את האתר היא אפקטיבית כנגד סוג זה של התקפות.

התוקפים בהתקפות אילו נהיים יותר ויותר מתוחכמים. הדואר האלקטרוני נשלח ממקור אחד, האתר נמצא במקום שני, המידע שנאסף נשלח במייל לספק מייל חינמי (שהיה ישראלי בכמה מההתקפות שכריס הביא), והמידע נשלף מהספק באמצעות ספקים שונים ברחבי העולם. בקיצור, מדובר במקצוענים. התוקפים עצמם, למיטב הבנתינו, מחולקים לקבוצות. כריס זיהה לפחות שלוש קבוצות על פי רמת הגרמנית והאנגלית, כמו גם גורמים אחרים. אחת גרמנית, אחת רוסית ואחת סינית. בקיצור – היה מעניין.

כמו שהפתיע החלק הראשון לטובה, כך גם הפתיע החלק השני לרעה. מסתבר שאמיר פירש את כללי היסוד של Tausec בתור "אסור להגיד את שם המוצר". התוצאה היתה שהוא לקח מצגת שיווקית לחלוטין, והוציא ממנה את שם המוצר. אפילו את שם החברה הוא לא אמר. כמו שהוא ניסח את זה, "לדבר על אהבה בלי להזכיר סקס".

הבעיה היא שמצגת שיווקית לא מכילה חומר מעניין. החומר המעניין, לחם חוקו של Tausec, הוא טכנולוגי. בהתחלה זה היה, דווקא, לא רע. הוא דיבר קצת על הפריצה שהיתה לסניף הדואר בכרמל, ועל גניבת הכסף משם באמצעים אלקטרוניים. הוא גם דיבר על הבעיות שהיו בפני החוקרים והחברה שלו כשניסו לשלוף עדויות מהמחשב וה-iPaq של החשוד המרכזי.

אל תבינו אותי לא נכון. גם בחלק הזה היו בעיות. אמיר בנה את המצגות שלו עם PowerPoint XP. במילים אחרות, המצגות שלו הכילו מילים שהסתובבו על פני כל השקפים, גרפיקה ופירוטכניקה באמת מרשימה. מה שהן לא היו, אבל, זה קריאות. כאשר לוקח לכל שקף מעל 4 שניות לעלות, אבל המרצה מתעקב עליו פחות משניה, התוצאה היא שאף אחד לא מספיק לקרוא מה כתוב בשקף, ואנשים מתעצבנים מהזמן המת. אמיר גם האשים את המחשב החלש, אבל למיטב ראייתי, רוב הזמן בוזבז על פירוטכניקה שהוכנסה למצגת בכוונה תחילה.

אם זה לא מספיק, הוא טישטש את כל הפרטים המעניינים. כמה דוגמאות משעשעות:
– ארבעה צוותים ישבו על ה-iPaq בנסיון להבין מי מבקש מהם סיסמה. אחד הצוותים אפילו חיבר ICE (מערכת שמדמה את ה-CPU של המכונה בחומרה, וכך מאפשרת לבצע בדיקות ברמה נמוכה יותר מאשר מערכת ההפעלה). אחרי זמן שאמיר הציג כארוך, למישהו עלה הרעיון שאולי ה-iPaq מריץ לינוקס, ומשם פתאום הכל היה קל. מישהו בקהל נתן הערת ביניים של "הייתם בקונספציה", אבל אני לא חושב שהוא שמע. אני חייב להודות שככל שאני חושב על זה יותר, כך זה נראה לי יותר טיפשי. הוא גרם לזה להשמע כאילו הבן אדם שינה את החומרה של ה-iPaq, בעוד שכל מה שהוא עשה היה לשים שם מערכת הפעלה שיש לו יותר שליטה עליה.
– בשלב כלשהו אמיר אומר את המשפט "ולפרוץ PGP אנחנו יודעים". אחרי כמה שניות של הלם יחסי, החלטתי לשים נפשי בכפי ולשאול אם מדובר ב"לפרוץ" PGP כאשר יש את הסיסמה. התשובה שלו, "מה נראה לך", לא היתה החלטית כמו שאפשר היה לקוות. אחרי עוד קצת לחץ מהקהל הוא הסביר שלנחש את הסיסמה זה קל. בדיעבד הסתבר לי שהשאלה שלי באה על תקן של "המלך הוא ערום". כולם חשבו, אבל אף אחד לא העיז לשאול. אני דווקא מרוצה מתפקיד הילד המעצבן.

אם החלק הזה היה עוד יחסית סביר, אבל, החלק השני כבר היה מתחת לכל ביקורת. המצגת השניה, שבה לכל שקף לקח אפילו יותר זמן לעלות, וכתוצאה מכך אמיר נתן לו פחות משניה של זמן מסך כאשר כולו למעלה לפני שהעביר הלאה, היה מצגת שיווקית לחלוטין שממנה הוצא שם המוצר. התוצאה היתה כמו במשל הידוע – גם קיבלנו את המלקות, וגם גורשנו מהעיר. הוא דיבר רבות על מה המוצר יודע לעשות. הוא ספר את עשרות, מאות ואלפי הדרכים שאפשר לשמור תאריכים, למשל (אבל לא הכיר את הצורה שיוניקס שומר אותם – בתור שניות מאז חצות 1/1/1970(. הוא דיבר על טכנולוגיה מדהימה אותה הם פיתחו כדי לחפש כל כך הרבה צירופים בזמן סביר………

שאותה הם לא מפרסמים.

בקיצור, למארגני Tausec יש לי את ההצעה הבאה. בפעם הבאה, אנא, אפשרו למרצים להגיד את שם המוצר. תנו להם רק תנאי אחד קשיח. הם לא מדברים על מה המוצר עושה בלי שהם מדברים גם על איך המוצר עושה את זה, תוך דגש מסיבי על החלק השני. מי שעומד בתנאי הזה, אני חושב, מותר לו לפרסם את המוצר שלו. לא איכפת לי לראות מרצה נזרק החוצה באמצע הרצאה אם הוא לא עומד בתנאים.

ועוד נקודה למחשבה. כל מי שנראה לו קשה לחפש בזמן סביר כמות ארבע ספרתית של צירופים שונים בתוך קבצים מוזמן לקרוא על אוטומטים סופיים דטרמיניסטיים. זה בדיוק מה שהם עושים. אני פשוט רוצה שזה יפורסם, כדי שמיטסי לא יוכלו להוציא פטנט על רעיון כל כך טריוויאלי.

שחר

נ.ב.
אני לא יודע איך המוצר של מיטסי עושה את שהוא עושה. יכול להיות שיש להם רעיון אפילו יותר טוב. במקרה כזה, אין לי התנגדות עקרונית שיוציאו פטנט (למעט הבעיות הרגילות שלי עם פטנטים). אני רק רוצה לציין דרך אחת שאני מעוניין שלא תהפוך מנחלת הכלל לנחלתה של חברה כלשהי.

שחר

מאת

שחר שמש

מייסד ומנכ"ל "לינגנו ייעוץ קוד פתוח בע"מ" חבר ועד בעמותת "המקור" וסתם פעיל קוד פתוח ולינוקס

2 thoughts on “סיכום מפגש TAUSEC האחרון”

  1. אני יכול רק להסכים למה שאמרת.
    זה היה מעין נסיון פטטי להגיד "אנחנו טובים מכם, יודעים הכל ולא רוצים לשתף", דבר אשר נוגד לחלוטין את העקרונות של קהילה חופשית.
    לא ראיתי כל הבדל בין ההרצאה שהעביר מר "מנכל מיטסי" פה לבין הרצאות מסחריות אחרות שנכחתי בהן מלבד שהוא כביכול לא נתן את שם המוצר(רק שיווק את החברה…).

    מה שכן רציתי לגשת לדבר איתך בנוגע להרצאה שנתת, אבל אי אפשר להתקרב אל אדון שמש העסוק ;), כל הזמן סובבים סביבו אנשים… אתה צריך להקדיש גם לנו האנשים הקטנים קצת זמן איכות.

    1. וואו! זו ביקורת שלא שמעתי עדיין.

      מאוד השתדלתי שכל מי שראיתי שניגש אלי ידבר איתי. עם כל הכנות, אני לא רגיל אפילו לנסות לדאוג לזה באופן אקטיבי.

      אתה בכל מקרה מוזמן להרים טלפון. ניתן למצוא אותו תחת "פרטי התקשרות" באתר של לינגנו.

      שחר

סגור לתגובות.