שלושה גברים עומדים ומשתינים בבית שימוש בבניין משרדים מפואר בחברת היי-טק ידועה. הראשון מסיים וניגש לכיור, רוחץ את ידיו ביסודיות, מוציא מטלית נייר אחת ומנגב אותן ביסודיות ואז זורק לפח, מוציא עוד מטלית נייר אחת וממשיך לנגב ולאחר מכן עוד אחת ועוד אחת עד שהוא משוכנע שידיו יבשות לחלוטין ואפילו מתחת לציפורניים. לתמיהת שני חבריו הוא אומר, “אצלנו במיקרוסופט מלמדים אותנו להיות מאוד מאוד יסודיים ולשמור על הניקיון!”
השני מסיים וניגש לרחוץ את ידיו, הוא מוציא מטלית נייר אחת ומנגב את ידיו ביסודיות מרובה גם מתחת לציפורניים ומשתמש בכל ס”מ מרובע של המטלית עד שהוא מסיים וזורק אותה לפח. מסתכלים עליו חבריו ולתמיהתם הוא אומר: “אצלנו באינטל מלמדים אותנו לא רק להיות מאוד יסודיים ולשמור על הניקיון אלא גם יעילים וחסכניים עד כמה שאפשר!” שני חבריו מנידים ראשם בהתפעלות.
השלישי מסיים להשתין ויוצא מחדר השירותים. למבטי הבוז של שני הקודמים הוא מגיב: “אצלנו בלינוקס מלמדים אותנו לא להשתין על הידיים !!!
צחקתם?
אני לא. בפעם הראשונה ששמעתי את הבדיחה הזו היא סופרה על חיילות שונים של חיל הרגלים האמריקאי. כבר אז היא היתה יותר פוגעת מאשר מצחיקה. עצם העובדה שהבדיחה עברה מלוחמים לאנשי מחשבים מבלי שהשתנה בה כלום מעידה שזו בדיחה שאנשי קהילה מספרים לעצמם כדי לטפוח לעצמם על השכם. לא תודה. אני בכלל לא מדבר על זה שאף לינוקסאי שמכבד את עצמו לא היה אומר “אצלינו בלינוקס”.
מה שלא מונע מיותר ויותר מחברי לחשוב שהבדיחה הזו מצדיקה הפרה של בקשה מאוד ברורה שחזרתי וביקשתי מכל חברי – לא לשלוח לי בדיחות לאימייל. את הבדיחה הזו קיבלתי במהלך השנה וחצי האחרונות מכל מיני אנשים, שוב ושוב, כשכל אחד חושב שזו בדיחה מאוד מקורית, ואני בטח אהנה ממנה.
תעשו לי טובה, ואל תעשו לי טובות כאילו.
שחר
מה שהגיל (והכסף) עושה לגדולי החנונים
אנא הביטו בתמונה הבאה:
ואני שואל אתכם – זו תמונה של חנון? לצורך ההשוואה, יש ברשותי תמונה מוקדמת יותר:
וגם:
(למי שלא מזהה – מצד שמאל למטה).
שיחות טלפון בינלאומיות
יש לי זוג חברים שגרים באוסטרליה. אתמול, אחרי תקופה ארוכה שבה לא שמעתי מהם, ראיתי אותם אונליין. התחלנו לדבר, בהתחלה בהודעות במסנג’ר, ואחר כך ב-Skype. איכות הקול היתה סבירה ביותר, אבל ההשהיה היתה של בערך 5 שניות. לא ניתן לנהל כך שיחה.
מתוך זה שלא רציתי לדבר כך, הרמתי אליהם טלפון. הם מאוד שמחו, אבל אמרו שהם ייתקשרו אלי חזרה כי יש להם כרטיס חיוג שעובד ב-Voip, ולכן הוא הרבה יותר זול.
Voip, למי שלא יודע, זה “Voice over IP” – העברת קול דרך תשתית אינטרנטית. אין הבדל עקרוני בין מה ש-Skype עושה לבין כרטיס החיוג, למעט זה שבמקרה השני שנינו מדברים אל תוך מכשיר טלפון.
זוכרים את התקופה שבה להתקשר לחו”ל פירושו של דבר לצעוק, לשמוע הדים, ובכלל לקבל איכות שיחה דיי זוועתית? זה לא היה כל כך גרוע, אבל זה היה רע. העיוותים של הקול וההשהיה לא היו כאילו שניתן לשים עליהם את האצבע, אבל הם היו שם והיו חמורים. בהחלט היה קשה לנהל שיחה בצורה כזו.
באופן אישי, אני מעדיף לשלם את דמי החיבור הרגילים ולחכות קצת עם השימוש ב-Voip עד שהטכנולוגיה קצת יותר תבגיר. אני מעדיף לנהל שיחות יותר קצרות, אבל שממש ישמעו אותי במהלכן, מאשר שיחות בלי חשבון, אבל גם בלי תקשורת.
אולי זה רק אני
שחר
פסיקה ענישתית
יש לי וידוי קטן. אני תומך בפסיקה ענישתית. בשלב זה אתם אמורים להגיב ב”אוהבים אותך, שחר”.
זוכרים את מקרה מקדונלדס? אישה שקנתה קפה במקדונלדס to go שמה את הכוס בין רגליה בזמן שנהגה. בגלל סיבה לא ברורה, הכוס נפתחה והאשה נכוותה. היא תבעה את מקדונלדס וזכתה במליון דולר. אה, כן, זה קרה בארצות הברית. זו פסיקה ענישתית.
הרעיון הוא פשוט. אם מוכח בבית משפט שחברה פעלה בזדון, בית המשפט לא מסתפק בלהורות לה בתשלום הנזקים שקרו בפועל, אלא מוסיף לנזקים גם “punitive damages”, נזקים ענישתיים. בד”כ מדובר בפי שתיים או פי שלוש הנזקים בפועל. עכשיו, אני אהיה הראשון להודות שכמות התביעות שמוגשות בארצות הברית, כמו גם העדר התוכן והעילה שמאחוריהן, אינן משהו שאנחנו מעוניינים שייקרה גם בארץ. ארצות הברית היא מדינת עורכי הדין, ולא במובן הטוב של המילה.
אז אם כל כך רע, למה אני תומך בזה?
דבר ראשון, הרשו לי להבהיר – אני לא תומך בזה במתכונת שזה נהוג בארצות הברית. השיטה שם מעודדת תביעות סרק. לא טוב. מצד שני אני כן חושב שיש בעיה במערכת משפטית שמנסה רק להחזיר את המצב לקדמותו לפני העוול. זה לא מספיק כדי לדכא מעשי עוולה.
מה שהביא אותי לכתוב על הנושא היום היתה כתבה ב-ynet על עוד נסיון התחכמות של חברת ביטוח. מקרי הסיפור הספציפי הזה לא באמת מעניינים. בקצרה – חברת “הראל” ביטחה משפחה (אמא, אבא ושני בנים בני 4 ו- 7) ביטוח נסיעות, כולל ביטוח הוצאות ביטול נסיעה עקב מחלת קרוב משפחה. בהגדרת “קרוב משפחה” נכללו הורה, חתן או חותנת, ואפילו שותף לעסק. מי שלא נכלל היה סב. אבי אב המשפחה לקה בליבו, והראל טענה שרק חצי מהנוסעים מבוטחים (דהיינו – הילדים לא), ועל כן היא מחזירה רק חלק מהוצאות הביטול. בית המשפט לא קיבל את עמדתה וחייב אותה להחזיר את מלוא הסכום, כולל הוצאות משפט.
על פניו, נראה כאילו שיש פה נצחון של המערכת המשפטית. לפחות מבחינת חוקי מדינת ישראל, כמו גם מבנה מערכת השילטון, לא יכולים בני משפחת פז לקוות לשום דבר מעבר למה שהם קיבלו. אני טוען שמשפחת פז אולי קיבלה סעד מלא להוצאותיה (ואני בספק אם הפיצויים שנקבעו כללו את עוגמת הנפש, והזמן שלוקח להכין תביעה, או אפילו סתם לנסות להבין איך מכינים תביעה). מה שבטוח, אני, בתור לקוח של חברות ביטוח, לא קיבלתי את ההגנה שאני מצפה לקבל.
כדי להבין למה אני מתכוון, נסו להפוך את נקודת המבט שלכם שניה. במקום להסתכל על התביעה מנקודת המבט של התובעים, בואו נסתכל על התביעה מנקודת המבט של חברת הראל. בואו נשאל את עצמינו את השאלה הבאה. האם בפעם הבאה שעולה מקרה דומה, כדאי להראל לעשות את אותו התרגיל?
מסתבר שלבדוק את הנקודה הזו זה דבר פשוט מאוד. כל מה שצריך לעשות זה לכפול את הנזק/תועלת בהסתברות שהיא תִקְרֵה. אם אתם חושבים שזה מתוחכם מידי בשביל הראל, אנא זיכרו שהראל היא חברת ביטוח, וכך בדיוק היא מתמחרת את הפוליסות שלה. בואו ננסה לעשות את החישוב:
אופציה א’ – לשלם כמו שברור שמגיע. סביר להניח שבמקרה של משפחת פז אנחנו מדברים על כמה אלפי שקלים. בטח מדובר על בערך 15 אלף שקל.
אופציה ב’ – להתנער מהתשלום.
מקרה א’ – הלקוח מקלל אותך בטלפון ונכנע.
מקרה ב’ – הלקוח תובע אותך בבית משפט לתביעות קטנות ומפסיד
מקרה ג’ – הלקוח תובע אותך בבית משפט לתביעות קטנות, וזוכה בחלק מהסכום
מקרה ד’ – הלקוח תובע אותך בבית משפט לתביעות קטנות וזוכה במלוא הסכום
מקרה ה’ – ” ” ” ” ” ” ” וזוכה במלוא הסכום פלוס הוצאות משפט
מקרה ו’ – הלקוח תובע אותך בבית משפט שלום ומפסיד
וכן הלאה וכן הלאה.
אני חושב שנקל לראות שהמקרים הנ”ל מסודרים בסדר יורד של הסתברות.
בואו נודה על האמת. מקרה א’ מכסה 80% מהמקרים. מיקרים א’ עד ג’ מכסים מעל 98% מהמקרים האפשריים. מקרים א’ עד ה’ מכסים מעל 99% מהמקרים. עכשיו בואו נבין משהו חשוב. כל עוד לא הגענו למקרה ה’, חברת הביטוח לא באמת הוציאה יותר כסף מכמה שהיתה מוציאה אילו היתה בוחרת באופציה א’! שמעתם נכון. גם אם היא מפסידה במשפט והשופט מורה לה לשלם את רוב מה שהיתה חייבת, עדיין היא הרוויחה ביחס לאפשרות שבה היא משלמת את מלוא מה שברור לכל בר דעת שהיא חייבת מראש. במצב כזה, בכלל לא מפתיע שחברות הביטוח עושות תרגילים כאילו.
השאלה, לכן, היא לא “האם משפחת פז קיבלה את שהיה מגיע לה”, אלא “האם אני עומד לקבל את מה שמגיע לי”. התשובה, במבנה המשפטי הנוכחי, היא באופן ברור “לא”.
איך משנים את המאזן? למרבה הצער, אין הרבה שאנחנו יכולים לעשות לגבי ההסתברויות. למשל, אנחנו לא רוצים להגדיל את הסיכוי לזכות במשפט. מי שתובע בבית משפט, צריך שנטל ההוכחה יהיה עליו. אם לא נעשה את זה נתדרדר למצב שגרוע ממה שארצות הברית נמצאת בו היום. אז מה כן אפשר לעשות? אפשר להגדיל את הנזק למי שמפסיד במשפט.
במילים אחרות, אם היינו מוסיפים:
מקרה ה’ – הלקוח זוכה במשפט, ומקבל כפיצוי 10% ממניות חברת הראל.
והיינו אומרים שזה ייקרה בהסתברות של 0.1% (אחד פרומיל), כמות הפעמים שחברת ביטוח מבצעת הונאה כזו בלקוחותיה היתה יורדת פלאים. העונש, על אף שלא סביר, הוא מאוד מאוד חמור, והיה עושה את ההונאה הראשונית ללא כדאית.
עכשיו, חלילה לי מלטעון שלתת לשופט אופציה כזו זה דבר חכם. אני רק מנסה להראות שהשמת נטל גבוה מהנזק שנגרם בפועל היא דבר חשוב אם אנחנו רוצים לדכא עבירות דומות עתידיות. למעשה, זו הדרך היחידה למנוע את שיטת מצליח.
ועל כן אני תומך, גם אם מסויג, של איזושהי מערכת של ענישה באמצעות פיצוי.
שחר
באג בקומפילר של מיקרוסופט
למרות הקטגוריה הנבחרת, פה לא עבדתי על Wine, אלא ישירות על חלונות.
המהדר הוא Visual Studio 6 של מיקרוסופט, עם כל ערכות העדכון האחרונות.
הבעיה:
C:Documents and SettingssunSourcesdbconvertdbconvert.cpp(297) : fatal error C1001: INTERNAL COMPILER ERROR
(compiler file ‘.toil.c’, line 4328)
Please choose the Technical Support command on the Visual C++
Help menu, or open the Technical Support help file for more information
(compiler file ‘.toil.c’, line 4328)
Please choose the Technical Support command on the Visual C++
Help menu, or open the Technical Support help file for more information
כן, יש באג בקומפילר של מיקרוסופט. הוא אפילו נותן לי מספר שורה שבה קרה הבאג. לא עוזר לי בגרוש, אבל יש מספר שורה.
הפתרון – ליצור את השורות הבאות:
// Need to copy result to temporary storage to avoid compiler bug (ARGH!!)
_variant_t primarykey=GET(srcIndexes, PRIMARY_KEY);
if( primarykey ) {
_variant_t primarykey=GET(srcIndexes, PRIMARY_KEY);
if( primarykey ) {
במילים אחרות, אם אני מנסה לשים את הפקודה “GET” ישירות בתוך ה-if, זה לא עובד. אם אני משתמש במשתנה ביניים, זה כן.
גררר
באגים זה תמיד דבר מעצבן. באגים בקומפיילר זה דבר מעצבן כיפליים. למרבה המזל, שימוש מושכל ב-google יודע למצוא את הפתרונות לבעיות האילו.
שחר
אם זה לא היה כל כך מצחיק…..
מישהו שאני מכיר נוהג לומר “שום דבר אינו מבוזבז. לכל היותר הוא יכול לשמש בתור דוגמא רעה”. הנני מתכבד בזו להגיש לכם דוגמא רעה, חמה מהתנור, לגבי איך בונים מערכות firewall להדיוטות.
אני לא רואה סיבה להסתיר את שם הפיירוול. מדובר בתוכנה המשולבת פיירוול+אנטי וירוס של מקאפי. אני לא יודע איזו גרסה.
אני כן אסתיר מכם את שם המתלונן. חלקית זה נועד כדי להגן על התמימים, וחלקית בגלל שגם אני לא יודע איך קוראים לו. נקרא לו “יוסי”, כי זה השם שהמצאתי לו עוד בזמן השיחה.
סיפור שהיה כך היה. בערב ראש השנה אני מקבל טלפון לסלולרי שלי. הבחור בצידו השני של הקו שאל אותי אם אני קשור לחברת “פיאסקו. הסברתי לו שזו לא חברה, אבל שאני קשור. הוא אמר לי שהוא מקבל Port scan attack מהמחשב שלנו. אופס! הסברתי לו שדבר כזה הוא בד”כ אינדיקטיבי לזה שמישהו פרץ לנו למחשב, וביקשתי ממנו לשלוח לנו את הלוגים של ההתקפה. הוא ניתק, ואני התקשרתי למי שמתחזק את האתר שממנו לכאורה באה ההתקפה. נקרא לו “ערן”, כי זהו שמו. ערן ואני מסכמים שזה טיפה מוזר, אבל מסתכלים, כל אחד בנפרד, לנסות למצוא סימנים שמישהו פרץ לנו למחשב. לא מוצאים שום דבר. כאשר לא מקבלים את הלוגים מיוסי, אנחנו פשוט עוזבים את הנושא.
עכשיו, זה עשוי להראות מוזר. למה אנחנו מתעלמים מהתראה על פריצה אפשרית למחשב שאנחנו מתחזקים? התשובה תמונה בנסיון כואב מין העבר. מסתבר שקל מאוד לפרש לוגים בצורה לא נכונה. מכיוון שלא מצאנו פורץ בחיפושים ללא לוגים, סביר באותה מידה (אם לא יותר) להניח שאין פורץ ושיוסי קרא את הלוגים לא נכון, כמו להניח שיש פורץ ושהוא מצליח להתחבא. אל תבינו אותי לא נכון. זה לא שפורצים לא יודעים להתחבא. זה פשוט שאנשים לא יודעים לקרוא לוגים
. ברגע שזה המצב, אין לנו אלא לחסוך לעצמינו את הכמה ימים של התקנה של המערכת מחדש.
היום יוסי התקשר שוב. מטלפון חסוי, כמובן. מסתבר שאנחנו עדיין תוקפים אותו. הסברתי לו למה לא עשינו כלום בנידון. הסברתי לו גם למה, בהעדר מידע נוסף, אין לנו כוונה לעשות שום דבר נוסף בנידון. הוא, בתורו, הסביר לי שאין לו שום כוונה לחשוף שום דבר לגבי מי הוא, מאיזה IP הוא מגיע, באילו שעות זה קורה, או אפילו מה השם הפרטי שלו. זה בשלב הזה שהתחלתי לקרוא לו “יוסי”.
אמרתי לו שמבחינתי יש לו שתי אופציות. או להניח שאני קורבן פה בדיוק כמוהו ולשלוח לי את הלוגים, או להניח שאני הוא זה שתוקף אותו ולפנות למשטרה. נשמע היה כאילו הוא לא רוצה לעשות אף אחת מהאופציות. הוא בנתיים הסביר לי שהוא פנה למנהל של פורום ארץ הצבי, מישהו לא טכני שאינו קשור לפיאסקו (על אף שפיאסקו היא זו שמארחת את פורום ארץ הצבי), והוא נדהם לשמוע. דוגרי – משפטים כאילו לא מרשימים אותי. אני לא רואה איך זה שמישהו אחר נדהם לשמוע משהו זו סיבה שאני אדהם לשמוע משהו.
בשלב כלשהו הוא התחיל להקריא לי את הלוגים. למה זה כל כך שונה מלשלוח אותם, לא יודע. ככל שהוא ממשיך, דברים נשמעים לי מוזר. מספרי הפורטים שאותם סרקו הם לא מספרים הגיוניים לסריקת פורטים – אין שם בד”כ דברים מעניינים. חלק מהמספרים שייכים לפורטים האנונימיים – הפורטים שמשמשים את מי שלא איכפת לו אילו פורטים הוא מקבל.
לא נלאה אתכם בפרטים. תמצית הסיפור היא כזו. הפיירוול של מקאפי עושה את העבודה מאוד קלה למצוא את מי שאחראי על אתר (בהנחה שהוא לא מנסה להתחבא, כמובן). הוא גם נותן התראות מאוד בולטות על כל מיני התקפות שהוא מגלה. מה שהוא לא עושה טוב זה להבין מתי מדובר בהתקפה, ומתי בחוסר יכולת של הפיירוול עצמו. במקרה הזה, כנראה שפשוט הפיירוול לא עמד בכמות החיבורים הפתוחים ואיבד ספירה. בתגובה, הוא זיהה את המשך התיקשורת כאילו מדובר בהתקפה. המשתמש המסכן באמת חשב שאנחנו מתקיפים אותו.
מה לעשות? לא ברור. אני מניח שהלקח הכי חשוב למי שבונה פיירוולים הוא להכיר במגבלותיך, ןלהזהר על מה אתה מתריע, ואיך. זו לא חוכמה לקחת כל דבר שנראה טיפה לא תקין ולקרוא לזה התקפה. מה שמעניין זה להפריד את הדברים שהם באמת התקפה מאילו שהם סתם.
שחר
ציטוט
“זה כמו הקשר בין אם לבנה, או בין אוכל סיני למונוסודיום גלוטומט”.
לינוס טרובלדס
על החשיבות של שמירת סביבת עבודה פנויה
אתמול, בעודי מול המחשב, נפל תרסיס של ספרי אויר דחוס ממדף מעל המחשב. הושטתי את היד כדי לתפוס אותו, ואכן תפסתי אותו לפני שפגע במקלדת. למרבה הצער, בתהליך הוא פגע במסך הדק החדש שקניתי ממש לא מזמן.
הנזק הוא מזערי – סריטה שבקושי מרגישים בה. עדיין, מאוד מבאס.
שחר
בעיית ה-JPEG של מיקרוסופט
טוב, כמו שאני מזהיר לפעמים, יש בעיה – תריצו את העדכון. הפעם, אבל, הבעיה יותר מעצבנת.
דבר ראשון זאת בעיה שהמשתמש לא צריך לעשות כלום כדי להדבק בה. גם אם יש לכם פיירוול. במקרים מסויימים, גם אם יש לכם אנטי וירוס. כל מה שצריך לקרות זה שאתם תגלשו לאתר מסויים, ופתאום נדבקתם.
אבל, לא על זה רציתי לדבר איתכם. לפני שנתיים וחצי מיקרוסופט יצאה בהכרזה של “מיחשוב אמין”. הרעיון היה לשפר את התדמית הדיי זוועתית שהיתה להם בתחום אבטחת המידע. במסמך ארוך ומרשים שהוציא ביל גייטס הוא הסביר, שלב אחרי שלב, את כל מה שצריך לעשות כדי להשיג את המטרה הזו. לא היו שם דברים מהפכניים. להתמקד באבטחה במקום ביכולות חדשות, לדאוג לשמור על פרטיות המשתמשים ועוד ועוד (הטקסט המלא). וזאת בעצם הנקודה. לא היו שם דברים מהפכניים. הסיבה היחידה שהיוזמה הזו זכתה לכיסוי תקשורתי נרחב הינה שהיא באה ממקום שעד אותו זמן לא הראה סימנים של להבין את הדברים האילו.
מאז עברו שנתיים וחצי. קשה להגיד ששום דבר לא השתנה, אבל גם קשה להגיד שמיקרוסופט ראו את האור.
אחד מהדברים החשובים ביותר לחברה הוא להבין שבעיות אבטחת מידע הינן בעיות שתמיד יקרו בקוד. פשוט אין דרך להמנע מזה. אחרי שהבנו את זה, השאלה שצריכה להשאל היא “איך מקטינים את הנזקים”. אחד מהדברים החשובים ביותר לתת לשמתמשים הינם כלים לדעת היכן הם עומדים. הכלי הראשוני במטרה הזו הינה התראת הפגיעות – Vulnerability Advisory. התראה כזו צריכה, לכל הפחות להוציא את מי שקורא אותה עם מושג סביר לגבי האם הוא פגיע או לא. לפחות בנקודה הזו, על מיקרוסופט להשתפר עוד הרבה.
במאמר כועס יוצא טום ליסטון נגד התראה בשם MS04-028. מילא, הוא אומר, שלא ניתן להבין מהרשימות הארוכות שם האם אני פגיע או לא. מיקרוסופט הכינה כלי פשוט, שאמור להגיד לי את זה. רק תוריד אליך למחשב, תריץ, ותקבל את התשובה שאתה “אולי פגיע”. רגועים?
אני חייב להודות שכשאני קורא את ההתראה, אני יותר מוטרד. הנה כמה נקודות למחשבה:
– תחת “General Information”, יש מספר רכיבים חשובים. את הרכיבים האילו לא ניתן לקרוא בלי שיש לכם JavaScript דלוק במכונה. במקרה זה לא נכון לגבי ההתראה הזו, אבל אחד מהאמצעי עקיפת באג, ז”א “אם תעשה את זה הבאג לא יוכל לתקוף אותך גם אם אתה פגיע”, הוא “לבטל JavaScript”. במילים אחרות, אם אתה מודע לעניני אבטחה, מיקרוסופט מבטיחה שלא תוכל לגשת להתראות האבטחה שלהם. הגיוני לעוד מישהו?
– תחת Mitigating factors נהוג לכתוב את הגורמים שבגללם הבאג הזה אולי לא חמור כמו שהוא נשמע. הגורמים האילו בהתראות של מיקרוסופט הינם בד”כ כל כך לא רלוונטיים. בואו נסתכל עליהם פה:
התוקף מקבל רק את ההרשאות של המשתמש שהותקף. אם המשתמש לא Administrator, אז גם התוקף לא. ועל זה נאמר, “באמת תודה”. אני מודע לזה שהרבה מקוראי הבלוג הזה משתמשים בלינוקס, אבל מבין משתמשי החלונות, כמה אינם מתחברים בהרשאת מנהל? לא חשבתי. כולם מתחברים בהרשאת מנהל. זוהי ברירת המחדל של המערכת. אם לא תעשו את זה, חצי מהתוכנות שתנסו לא יעבדו. גם אם הגדלתם ראש, עדיין תמצאו שזה שהתוקף יכול לעשות כל מה שאתם יכולים לעשות לא יפריע לרוב הוירוסים, ולכל התוקפים, מלעשות מה שהם רוצים עם המחשב שלכם.
התוקף צריך לגרום לכם לפתוח את הקובץ. הא! אחרי שהסברנו באריכות לאנשים שעליהם להזהר מקבצים שנגמרים ב-exe, com, scr, dll, ocx, bat, btm, וכנראה עוד כמה הרחבות ששכחתי, עכשיו אנחנו אמורים להזהר מקבצי jpg??? כולם מעבירים תמונות. זה מה שיפה באינטרנט. אני מצטער – להגיד לי שאני צריך לא לפתוח תמונות של האחיין שלי מצרפת כדי לא להדביק את המחשב זה פשוט לא קביל.
בהתקפות web, התוקף ייצטרך לארח אתר שמכיל את הקובץ שמכיל את ההתקפה. אין לו שום דרך להפנות אנשים אל הקובץ. מה??? אני משוכנע שאני יכול לכתוב מייל שיגרום למעל 90% מהקוראים ללחוץ על לינק שנמצא במייל. למעשה, מספיק לטעון שיש שם “קסם אונליין”, או בדיחה, כדי שרוב האנשים יבדקו את זה. חוץ מזה, אני אפילו לא צריך את זה. אני יכול לשלוח לכם את הקובץ במייל. כל תוכנת דוא”ל מודרנית נתסה להציג אותו ברגע שפותחים את המייל.
חלונות XP, XP עם ערכת שידרוג 1, ו-Windows server 2003 הם היחידים שמכילים את הבעיה כברירת מחדל. אבל, הנה רשימה ענקית של תוכנות שמתקינות את הבעיה איתן. אני באמת צריך להסביר למה זו נקודה לא רלוונטית?
אז מה הבעיה שלי, בעצם? הבעיה היא שמי שקורא את ה-Mitigating factors האילו עלול, חלילה, להגיע למסקנה שהוא בסדר. האמת הכואבת היא שלבעיה הספציפית הזו אין mitigating factors. כל מי שפגיע, צריך להתעדכן בהקדם האפשרי.
ורק תעשו לעצמכם טובה אחת. אם אתם כבר רוצים לבדוק אם אתם פגיעים, אל תשתמשו בתוכנה של מיקרוסופט לבדוק את זה. נסו את התוכנה של סאנס. לא ניסיתי אותה, כך שאני לא יודע עד כמה היא טובה, אבל התגובות ששמעתי מראות שהיא הרבה יותר טובה.
שחר
מחשבות על חטיפת העיתונאי
עיתונאי ישראלי שעובד עבור CNN נחטף ברשות הפלסטינית. אם נוסיף לזה את העובדה שמדובר בערבי ישראלי, אנחנו מקבלים תופעה מאוד מדאיגה.
לא, אני לא מדבר פה על חופש העיתונות. אין פה שום דבר חדש בהקשר הזה. אם עיתונאי הולך לסקר במקום מסוכן, הוא עלול לא לחזור, בדיוק כמו כל אחד אחר.
מה שכן בד”כ היה קורה זה שעיתונאים היו מקבלים חסינות מפעילות עויינת. זה לא בגלל איזשהו כבוד למקצוע מצד אנשים שמכל בחינה אחרת הם טרוריסטים. זוהי מחשבה כלכלית פשוטה. תקוף עיתונאים, וקנית לך אוייב בדמות התקשורת. זה עלול לפגוע בבסיס שממנו אתה חי. אירגון טרור שתוקף עיתונאים, ככלל, יורק לבאר ממנה הוא שותה. זהו אינטרס כל כך חזק שאפילו עיתונאים ישראלים שאינם ערבים, ושמסקרים עבור רשתות שאינן זרות, בד”כ נהנים מהחסינות הזו.
וזה מה שכל כך מדאיג אותי. אם הטרור הפלסטיני הגיע לרמה שבה אפילו על האינטרסים שלו עצמו הוא לא יכול להגן יותר, אזי איך נפתור את הבעיות? משא ומתן מתקיים בין צדדים שרוצים לשפר את מצבם. אם אחד הצדדים לא מעוניין לשפר את מצבו, המשא ומתן לא יהיה אפקטיבי.
שחר