יום רביעי, כ"ז בסיון התש"ע, 9 ביוני 2010, 19:13
באגף התקשוב פיתחו מערכת חדשה שתחסום את האפשרות להעתיק מסמכים רגישים. גם ההרשאות לקריאת מסמכים סודיים לפקל"שיות יצטמצמו. "מקרה ענת קם היווה עבורנו זרז".

http://dover.idf.il/IDF/News_Channe.../2010/22/02.htm


חבל שרק עכשיו הם התעוררו, אם אנשים היו מפקחים באופן שוטף על הכללים ועל הב"מ.
לא היינו מגיעים למקרים כמו ענת קם ווענונו. -_-

(אני יודע שהכתבה מאתמול, אבל רק עכשיו ראיתי אותה).

אני יודע שחברה גדולה ורצינית (הכי גדולה והכי רצינית בתחום) הציעה לגורמי ביטחון מידע כבר לפני מספר שנים פתרונות מדף שיש בהם מערכת הרשאות מאוד חזקה (יכולה להיות לבן אדם הרשאה רק לקרוא ולא להדפיס, רק לקרוא ולא להעתיק וכו').
גורם צבאי בכיר מאוד האמון על הנושא התלהב מיכולות המערכת אבל החליט בסוף שצה"ל לא יצטייד בה.
כל זה, כאמור, לפני מספר שנים.

פתרונות:
1. כפתור צילום מסך
2. צילום מסך פיזית
3. העתקה ידנית

מי שרוצה לרגל באמת לא צריך טובות.

יהיה משהו, כי יש משהו

תמיד אפשר, וגם תמיד יהיה איזה מישהו שיהיה אחראי על המערכות האלה וכיצד אפשר להבטיח שהוא לא יעשה שטויות ?

אי אפשר לאטום בצורה הרמטית את המערכות, אבל כן אפשר לעשות את היכולת להעתיק והדליף הרבה פחות טריוויאלית. אני לא יודע מה המצב הנוכחי בצבא, אבל אני זוכר שכשאני השתחררתי עדיין היה אפשר פשוט לחבר דיסק-און-קי לשקע USB ולהעתיק מה שבא לך.

הרי חלק מהסיפור של ענת קם, הוא קלות הדעת שבה ביצעה את המעשה. היא "ישבה" על הררים של חומרים מסווגים והיא פשוט אגרה אותם מבלי לדעת אפילו מה תוכנם או חשיבותם, פשוט כי זה היה כל-כך קל ואלי "אקזוטי". אני בטוח שאם מעשה גניבת המסמכים היה קצת יותר מורכב אולי לא הייתה עושה כך. הרי הרבה מאלה שיצא להם להיחשף לחומרים מסווגים מאוד או אפילו סתם דברים "מעניינים" מכירים את הצורך "לנצור" אותם איתך. כמו שהרבה נהגו לאסוף ערימות של ציוד צבאי ושמרו אותו גם אחרי השחרור פשוט כי יכלו או כי התחשק.

כך שגם הגברת הקושי להוציא מסמכים במידה מועטה, תשפר את הבטיחות במידה רבה.

בצבא אי אפשר כבר שנים לחבר USB ולהעתיק מה שבא לך... ואני לא אכנס לפרטים טכניים למרות שקראתי על זה בחוברת בלמ"סית להפליא.

מתנות שחרור לחייל - קייס מעוצב לטלפון עם מיתוג יחידה טייסת ללוחם המשתחרר שי לחיילת לקראת שחרור

צילום נחמיה גרשוני Nehemia Greshuni Photography NGPhoto.biz

נו, באמת. אולי אי אפשר "לחבר USB ולהעתיק מה שבא לך", אבל אפשר לחבר USB, ללחוץ על 2 וחצי כפתורים, ואז להעתיק מה שבא לך...

איך בדיוק?

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

זה די פשוט האמת... כל מה שצריך זה לעמוד מאחורי כתפו של איש המחשוב בזמן שהוא עושה את זה, לזכור את הדרך ואת היוזר והסיסמה שלו. בזמנו זכרתי את כל הסיסמאות של כל אנשי המחשוב אצלנו רק בגלל הסיבה הזאת.

"תשקר‭,"‬ הוא אומר. "אל תספר את כל הסיפור. הישראלים, בעיקר העמותות שפועלות בקרב המסתננים פה, אוהבים שמשקרים להם‭."

ומה הקשר למה שפסטן הצהיר בנוגע ל-USB?

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

כי אם אתה רואה איך הוא מנטרל את זה, גם אתה יודע איך לעשות זאת. אחרי שאתה משיג גישה ליוזר שלו זה באמת תהליך קצר.

"תשקר‭,"‬ הוא אומר. "אל תספר את כל הסיפור. הישראלים, בעיקר העמותות שפועלות בקרב המסתננים פה, אוהבים שמשקרים להם‭."

אל תשכח שהמערכת מנוטרת, למרות שהוא כביכול ניטרל את "אזעקת הUSB".
המערכת עדיין מנוטרת והיא רושמת מי נכנס ומאיפה ומה הוא הוריד/העלה.

אז, ברגע שזה יוודע תתחיל חקירה ואז יפלו על אותו איש מחשוב מסכן.
בגלל שמישהו החליט להתחזות לאותו איש מחשוב, ולעשות כל העולה על רוחו במחשב.

לא מדוייק.. אבל כבר דיברתי יותר מדי.

"תשקר‭,"‬ הוא אומר. "אל תספר את כל הסיפור. הישראלים, בעיקר העמותות שפועלות בקרב המסתננים פה, אוהבים שמשקרים להם‭."

לא נכון בעליל.
גם אנשי מחשוב לא יכולים להכניס USB כאוות נפשם..

אני מדבר איתך על משהו שעובדתית קרה, איך אתה יכול להגיד לי שזה לא נכון? הם יכלו להכניס דיסק און קי ולהוריד ממנו חומר ולבטל את ההקשחה של ה-CD כך שניתן יהיה לצרוב חומר למחשב ולהעתיק חומר מדיסק למחשב. בנוסף הם ידעו איך לבטל את הרישום בלוג של המחשב.

כל אלו דברים שקרו, להגיד שהם לא נכונים?

"תשקר‭,"‬ הוא אומר. "אל תספר את כל הסיפור. הישראלים, בעיקר העמותות שפועלות בקרב המסתננים פה, אוהבים שמשקרים להם‭."

זה נכון בארגון בו אין היררכיה ברורה להרשאות של אדמיניסטרטורים.

בארגון סביר יש הירררכיה וגם אנשי הסיסטם לא יכולים לעשות כל מה שבא להם.

אני לא יודע במה הצבא משתמש היום, כשאני השתחררתי מהסדיר יצא ווינדוס 95 לשוק. אבל במערכות מייקרוסופט לדוגמא, בייחוד בשרתים מסדרת 2008 ומעלה, יש אפשרות לנעול גישת USB לא ברמת ההתקן אלא ברמת הדרייבר כלומר דרייבר USB יכנס לעבודה רק אם משתמש מורשה ברמת ה-GPO יכניס אותו.
יתרה מכך, ניתן לנעול גישה גורפת להתקני USB ולאפשר גישה רק להתקנים ספציפייםם עם GUID מסויים, ככה שגם אם יש לך משתמש וסיסמא אבל אין לך את ההתקן הנכון, לא תוכל לעשות כלום.

קרא פה:
http://technet.microsoft.com/en-us/...rouppolicy.aspx

ופה:
http://technet.microsoft.com/en-us/library/cc731387(WS.10).aspx

וגם פה
http://www.windowsecurity.com/artic...2008-Part3.html

קרדיטים: אתרי מייקרוסופט וסיקיוריטיפרו

ברור לך שאין לי מושג על מה אתה מדבר, כן? אני לא איש מחשבים, רק בחור שזכר דרך פעולה מסויימת ויוזר עם סיסמה.

"תשקר‭,"‬ הוא אומר. "אל תספר את כל הסיפור. הישראלים, בעיקר העמותות שפועלות בקרב המסתננים פה, אוהבים שמשקרים להם‭."

מנתקים את כבל הרשת, מחברים CD חיצוני/USB ועושים ממנו בוט, מגבים את הסיסמות
הקיימות, מרסטים את סיסמת האדמין הלוקאלי למה-שבא-לך, אונסים את המחשב כמה
שרוצים, מוחקים את כל הלוגים (מחוברים כאדמין לוקאלי, זוכר?), מחזירים את הסיסמות
הישנות ומכבים את המחשב. עכשיו מחברים את כבל הרשת בחזרה.

אני מאמין שה-USB חסום גם בזמן ה-BOOT... לפחות הייתי רוצה להאמין כך...
ניתן לחסום אותו ברמת ה-BIOS (או בכלל לעקר אותו מלוח האם?) ואת ה-BIOS לחסום בסיסמא. אמנם ניתן לאפס את הסיסמא ע"י הוצאת סוללת הגיבוי למשך 5 דקות, אבל אז נשאלת השאלה עד לאיזה מרחק תלך בכדי להגיע לאן שאתה רוצה להגיע, והאם יש לך את הידע הטכני לעשות זאת. בכל מקרה הוצאת סוללת הגיבוי מצריכה קצת יותר עבודה מאשר כמה לחיצות על המקלדת...

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

בעולם שבו החיבורים של המקלדות, העכברים, המדפסות והתקנים אחרים משתמשים ב-USB, אתה לא חוסם אותו הרמטית.

מתנות שחרור לחייל - קייס מעוצב לטלפון עם מיתוג יחידה טייסת ללוחם המשתחרר שי לחיילת לקראת שחרור

צילום נחמיה גרשוני Nehemia Greshuni Photography NGPhoto.biz

למיטב ידיעתי כל לוח אם כיום עדיין מגיע עם חיבורי PS/2 (החיבורים העגולים הקטנים, בצבע סגול וירוק) למקלדת ועכבר (וגם כמובן ניתן לדרוש שבכל מחשב צה"לי יהיה כזה חיבור), או לפחות לאחד מהם.
אם כבוד הקצין שמשתמש במחשב כ"כ רוצה מקלדת ועכבר אלחוטיים, יש גם מתאמי PS/2 ל-USB. לא תוכל בעזרת המתאם הזה לחבר דיסק-און-קי מהסיבה הפשוטה שהוא פיזית לא מתאים לכך, שכן חסרים בו ערוצי הנתונים הדרושים לדיסק-און-קי, והוא בנוי רק להעברת אותות פשוטים של מקלדת ועכבר.

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

קודם כל, יש המון לוחות אם שאין להם PS/2, ויש הרבה מחשבים בצבא עם לוחות כאלה.
דבר שני, נקלדת אלחוטית? כדי לשדר את כל מה שמקלידים עליה לכל היקום? רעיון מצוין...

אגב, מחקרים הוכיחו שגם מקלדת לא אלחוטית ניתנת להאזנה בקלות מרובה (קצת יותר קשה "לקלוט" כי אתה מחפש לקלוט הפרעות אלקטרומגנטיות, אבל אחרי שקלטת, הרבה יותר קל לפענח, כי פשוט אין הצפנה כמו באלחוטיות...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

גם מסכי CRT קורנים בצורה שאפשר לקלוט מרחוק ולשחזר את התמונה. בסדר.
אבל הנקודה היא שלא צריך להקל עוד יותר.


אגב, לקרוא ל-XOR עם בייט קבוע "הצפנה" זה כמו לקרוא לטבעת מפלסטלינה "תכשיט"...
https://www.dreamlab.net/files/arti...nsecurities.pdf

אני מודע לעניין ה XOR, אני לא בטוח שכל המקלדות פועלות בשיטה הזו...

נמאס לכם לזכור סיסמאות? לחצו כאן!

להיות "לא בטוח שכולם פועלים ככה" זה קצת רחוק מהביטחון בהצפנה של האלחוטי שהפגנת למעלה...

זו צורת התנסחות.

שים לב: http://www.wireless-computing.com (בתקווה ש AES [לפי המלצות FIPS 197] זה מספיק יותר טוב מ XOR עבור מר פסטן...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

"זו צורת התנסחות" זה תירוץ נחמד להשלכה מחברה אחת לכלל היקום, מר שמעון.

כל אחד מתנסח איך שהוא רוצה. כשכתבתי את התגובה שייחסה שווי כלשהוא להצפנה במוצרי אלחוט, ידעתי שיש מוצרים עם הצפנה שאינה XOR-ית, כי קראתי על הנושא בעבר, וחיפשתי מוצרים כאלה בעבר בעקבות הידע שהיה לי בנושא (וכבר אז היו...)... אל תדאג, לא הייתי מרשה לעצמי, בשיחה עם מר בודק-כל-סימן-קטן-אולי-מתחבא-שם-משהו-שאפשר-לנסות-להתווכח-עליו-עד-זרא בכל מילה שהוא קורא, לכתוב משהו כזה מבלי שתהיה לי ידיעה מוקדמת בעניין, ואם אכן לא הייתה לי, הייתי בודק לפני הכתיבה...

ושוב הגענו לשלב באשכול שבו נמאס לי להתדיין איתך... לזכותך יאמר שזה לקח לך יחסית הרבה זמן הפעם.

נמאס לכם לזכור סיסמאות? לחצו כאן!

אין כאן דיון. אתה ניסית לטעון שהשימוש במקלדות אלחוטיות בטוח, כי "יש הצפנה", ואני תיקנתי את הטעות והבהרתי שאי-אפשר לסמוך על המוצרים האלה ככלל.

לא, אני טענתי שפענוח ההפרעות הא"מ ממקלדות קוויות, אחרי שהצלחת לקלוט אותן, הוא מאוד פשוט, כיוון שאין שם שום סוג של הצפנה (כי מי יצפין כשפעם חשבו שתקשורת חוטית היא מאובטחת?), לעומת פענוח של מקלדת מוצפנת, ולא משנה מה ההצפנה (גם XOR "יותר מסובך" מאשר "cleartext" - אמנם טריוויאלי, אבל עדיין מסובך יותר, מבחינה אלגוריתמית (מול NOP)). למעשה, בתקווה שבמקלדות עם הצפנת AES חשבו על הדבר לעומק ומנעו את הזליגה המתאפשרת במקלדות ה"קוויות" (מיסוך האלקטרוניקה שבפנים...), אז יתכן מצב שבעצם המקלדות האלחוטיות המוצפנות (לא ה XOR-יות...) תהיינה דווקא... יותר בטוחות לשימוש.

נמאס לכם לזכור סיסמאות? לחצו כאן!

לא אמרת שנמאס לך?
נו, באמת. למה ציפיתי? כאילו שזו פעם ראשונה שאתה אומר ש"נמאס לך" ולמרות זאת ממשיך להגיב...

ציטוט:

במקור נכתב על ידי שימי למעשה, בתקווה שבמקלדות עם הצפנת AES חשבו על הדבר לעומק ומנעו את הזליגה המתאפשרת במקלדות ה"קוויות" (מיסוך האלקטרוניקה שבפנים...), אז יתכן מצב שבעצם המקלדות האלחוטיות המוצפנות (לא ה XOR-יות...) תהיינה דווקא... יותר בטוחות לשימוש.

האם יש בסיס להניח שבמקלדות האלה מנעו את הקרינה מהאלקטרוניקה של המקלדת עצמה מלבד
התקווה שלך? לא שאני מזלזל בתקווה, אבל בדרך-כלל ניהול סיכונים עושים על בסיס קצת יותר מוצק...

אני מאמין שאפשר להוציא את הדיסק מהמחשב. (הא! איך הוא חשב על זה?)

המידע לא צריך להיות על המחשבים. (ג. יפית:) נ-ק-ו-ד-ה.

נ.ב. כל כך ברור לי שעכשיו יבוא הרעיון של לרתך את הדיסק למחשב או רעיון יצירתי אחר: אז שירתכו. מגיעים עם מחשב אחר (נייד) עם מתאם חיצוני USB ל SATA ומשחילים את הקונקטורים לתוך המחשב הקיים... נחש מה: Problem solved. כבר ציינתי שעל המידע אסור להיות על המחשבים?

נמאס לכם לזכור סיסמאות? לחצו כאן!

מה יעזור לך לשאוב את הנתונים המוצפנים AS-IS, ביט אחר ביט אל אמצעי אכסון אחר?
יש לך את הכוח והיכולת לפצח הצפנה של 128 ביט במקרה הטוב (ויש אלגוריתמים שעושים עבודת הצפנה טובה גם עם מפתחות קטנים יותר) או 512 ביט במקרה הרע ו-1024 ביט במקרה הגרוע?
בהצלחה שיהיה לך...
בכל אופן אני בהחלט מסכים איתך שהמידע לא צריך להישמר פיזית על המחשב, אלא באיזה repository פרטי ברשת הצה"לית הפנימית שנפתח עבור כל מי שמשתמש במידע הסודי הזה, והגישה אליו מתבצעת רק באמצעות תוכנה טובה שיודעת לשלוף אותו משם בצורה מאובטחת, ובסיום השימוש בו לשמור אותו שם בחזרה ולנקות כל זכר למסמך במחשב הפרטי של המשתמש.
זה ממש לא מסובך לעשייה, ואני לא אתפלא אם זה אכן הפתרון שצה"ל נוקט בו.

אם עקרת את הדיסק הקשיח מהמחשב ולקחת אותו איתך, סביר מאוד להניח שיום למחרת יגלו את העובדה שהדיסק הקשיח נעלם, ויפעלו מיד לשנות את המפתחות של מי שהמחשב שלו נפגע.

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

אתה כל כך שבוי בקונספציה של מיקרוסופט שלכל משתמש חייבת להיות תחנת עבודה שלמה, עם ישומים שרצים עליה, שהקבצים יורדים לשם, ואז חוזרים לשרת... במקום להשתמש בפתרון הרבה יותר הגיוני: למשתמש לא תהיה תחנת עבודה בכלל, אלא הוא יעבוד על השרת ובשום שלב הקובץ לא יגיע למיקום הפיזי שהוא נמצא בו...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני כלל לא שבוי בשום קונספציה - זו פשוט הדרך שאני מכיר ועובד איתה, ואם תרצה או לא הדרך שתיארתי מאובטחת בצורה מספקת. הדרך שאתה מתאר גם היא טובה כמובן, אך זו ממילא לא הדרך בה צה"ל עובד, ואני מנסה להישאר פה ריאלי... זה הכל.
אגב, גם אם אתה עובד בצורה שאתה מתאר, נשמרים נתונים על המחשב הפרטי בו משתמשים. כמובן שניתן לוודא שלא נשמר על המחשב דברים חשובים ע"י כתיבה של client שכמו שתיארתי, יודע לנקות את כל המידע של ה-session ברגע שסיימת את ההתקשרות המאובטחת.

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

אתה עדיין לא מבין על מה אני מדבר...

אני מדבר איתך על תצורת עבודה שבה כל האפליקציות כולל המידע שבהן, לא רצות אצל המשתמש. המשתמש רואה רק חלון של האפליקציה, שמשודר אליו בפרוטוקול כלשהו, יהא זה X או RDP או ICA או whatever, כאשר המקלדת ומיקומי העכבר משודרים חזרה אל השרת, ואשר כל מכונת הלקוח הזו בכלל לא מסוגלת להכיל מידע בתוכה, כיוון שאין לה זיכרון, כונן קשיח, או כל דבר דומה לכך. המכונות האלה גם יותר זולות ממחשבי ה PC שצה"ל קונה היום, מהסיבה הפשוטה שמדובר בחומרה פשוטה מאוד ללא צורך בכונן קשיח, זיכרון וכו'. על הדרך אתה גם חוסך ב(המון!!!) חשמל. על הדרך, הדברים האלה גם יכולים לקבל מתח מ Ethernet כך שצה"ל יכול גם בקלות להפוך את כל המחשבים שלו לחסיני הפסקות חשמל בצורה קלה מאוד.

נמאס לכם לזכור סיסמאות? לחצו כאן!

ואיזה תשתית תקשורת צה"ל צריך בשביל שדברים כאלה יעבדו בזמן תגובה סביר??

ומה עוזר לי ריכוז כל המידע במקום אחד??
הוא נהיה פגיע בצורה גדולה יותר מפיזור שלו..

תשתית FastEthernet סטנדרטית...

המידע ממילא יושב לרוב על שרתי קבצים לצורכי גיבוי (ומה שלא יושב, לא מגובה, והרבה יותר חמור מ"בעיית הריכוזיות"). פשוט מעבירים גם את העיבוד לשרתים מרכזיים. אם זה עובד בכל ארגון ענק בעולם, גם בצה"ל זה יכול לעבוד. אפילו אם מיקרוסופט תקבל הרבה פחות כסף בשנה כי יחסכו את כל הרשיונות לכל המחשבים, מסכנים...

גגל עבור המושג VDI (או פשוט היכנס לקישור הבא: http://en.wikipedia.org/wiki/Desktop_virtualization), לא המצאה שלי.

נמאס לכם לזכור סיסמאות? לחצו כאן!

קראתי.
התרשמי שהטכנולוגיה עדיין בחיתולים ולא פותרת שום בעיה שהעלנו במקרה ענת קם.
גם הפקידה של האלוף תהיה לה גישה לאותו שרת עם המסמכים, היא תדפיס/תצרוב אותם וזהו..

הבעיה כמו שאמרתי כבר היא בחינוך לבטחון מידע.
המפקד תמיד נותן לפקידה שלו את הסיסמא האישית שלו!
לפעמים מתוך בחירה ולפעמים כי הוא לא מייחס לזה חשיבות.
המפקד תמיד "שוכח" את הלפטופ שלו ברכב ואח"כ מחפש תירוצים..
המפקד תמיד זורק דברים לפח בלי לייחס להם חשיבות ואז מוצאים חמ"ס בפח בביקורת כו"כ..

בקיצור - מפקדים בעייתים זה מה שצריך להטריד את עיניהם של אחראי בטחון מידע בצה"ל..

* האמור למעלה אינו משקף את כלל המפקדים בצה"ל בשום אופן.
יאמר לזכותנו שיש לנו גם מפקדים אחראיים - לדוגמא מפקד אוגדה שהחליט שאצלו לא יהיו לפטופים באוגדה..

קיבלת רושם לא נכון... חברות משתמשות בדברים כמו Citrix כבר שנים רבות (לרוב לא בגלל הסיבות האלה, אבל זה לא משנה...)

העליתי כבר תשובות לכל שאר הטענות (לא ברור לי איך תהיה צריבה בהעדר צורבים, ואל תגיד לי שצריך צורבים, כי לא באמת צריך... לא ברור לי איך יתנו סיסמה אם לא תהיה אחת כזו אלא זה יהיה מבוסס טביעות אצבע, וכו'. אנא קרא את כל האשכול...)

כמובן שהגישה של "אם יהיה מקרה קיצוני אחד שבו יצליחו לעקוף את השיטה ש"מר שימי" מציע (כאשר בשיטה המוצעת יש מספר מצומצם מאוד של אנשים שכאמור יוכל לעקוף אותה - אנשי IT מועטים...), אז עדיף פשוט לא לעשות כלום ושהכל יהיה פרוץ לחלוטין"... היא קצת מפגרת, לא?

נמאס לכם לזכור סיסמאות? לחצו כאן!

הסברתי לך.
אין ולא יהיו מאגרים כאלה של טביעות אצבע בצה"ל בתקופה קרובה.

וכמו שאני מכיר את מפקדינו היקרים, הם יבקשו שגם לפקידים שלהם תהיה גישה לאותם דברים כמו שלהם..
אני מקווה שאני טועה..

לא הסברתי כבר למה לא צריך מאגר? :|

קצינים יכולים לרצות הרבה דברים. הם גם רוצים לחבר DiskOnKey ל USB ולעבוד על המחשבים בבית... אבל זה צבא... ואתה לא מקבל כל מה שבא לך...

אם תגיד שצה"ל מבחירה מפקיר את המידע שלו - סבבה. להגיד שאין פתרונות - פשוט לא נכון.

נמאס לכם לזכור סיסמאות? לחצו כאן!

זה בערך מה שאני אומר - המפקדים בצה"ל מבחירה/ חוסר אחריות/חוסר הבנה מפקירים את המידע הרגיש של צה"ל.

ובעוד שהם עושים את זה, מחב"ם מעדיפים להתעסק עם הילדים שמטיפשותם/תמימותם הכניסו DISKONKEY למחשב.

לפני כמה שנים הייתה שנת "בטחון מידע" בצה"ל..היא קצת נשכחה בגלל לבנון 2.0..
לדעתי יש מקום להחזיר אותה שוב..

ויש לי גם התייעצות בנושא:
חבר משרת ביחידה שבאופן קבוע ותדיר שולחת במייל לכל החיילים בעלי מייל צבאי בכל החיל את ההודעות שמועברות במכשירי "כלנית אדומה".
לעיתים המידע כולל פרטים אישיים, תיאור אירועים בזמן אמת וכו'..
האם אתם חושבים שזה במסגרת הוראות בטחון המידע? האם כולם צריכים להיות חשופים לדברים כאלה, החל מהטוראי שיש לו מייל והלאה?

משטת ישראל (כן כן- משטרת ישראל קראת נכון) עובדת ככה החל משנת 2001. למעשה כל מערך החקירות משתמש במערכות מבוססות טרמינל. שום חומר חקירה לא נשמר מקומית.

מה קשור מיקרוסופט?

טרמינל מול תחנת עבודה זה ויכוח מלפני עידן מיקרוסופט

הקשר הוא הקונספט של "מחשב לכל משתמש" (כי על כל אחד כזה אנחנו מרוויחים המון כסף על רשיונות...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

סבבה, כמה עולה מיינפריים של IBM?

מה אתה מציע תחנות עבודה רזות? זה משהו שברמה העולמית מת, מוות קליני. וזה לא יתן שום יתרון אבטחה כי המידע עדיין צריך להיות מועבר לתחנה.

וממש קשה לי להאמין שלהשקיע באיזה פלטפורמה אקזוטית של קלאסטר לינוקסי ותחנות רזות, יהיה זול יותר מרשת מיקרוסופטית פשוטה וסטנדרטית, כל מה שתחסוך ברישיונות למיקרוסופט, אתה תשלם ברישיונות לרד האט, או לחברה אחרת פשוט כי תהיה חייב תמיכה, ואת שאר ההפרש אתה תשלם על לתחזק חומרה ורשת אקזוטית.

*אקזוטי זה יחסי לPC כן.

בכלל המחשבה שהרישיונות של מיקרוסופט הם יקרים היא פשוט לא נכונה, יקרים בהשוואה למה? יש מקומות שבהם לינוקס יהיה יותר זול, ויש מקומות שמיקרוסופט, להגיד שלינוקס יותר זול כי המערכת הפעלה חינמית זה פשוט פיקציה. זה גם ככ תלוי במיליון ואחד פרמטרים אחרים...

לא צריך לקפוץ מעל לפופיק - מיינפריים הוא ממש לא הסביבה שחשבתי עליה. (למרות שוואלה, אם כבר הזכרת, צה"ל כבר משתמש בנ"ל במספר מערכות, שלמיטב ידיעתי, לא הועתק מהן מידע שהמשתמש לא היה מורשה לראות אותו - ומידע שכן היה המשתמש מורשה לראותו, יכול היה להיות מועתק למדיה חיצונית וכו' רק בגלל הכשל שאיפשר זאת: מחשבי ה PC שבהם יש את חורי האבטחה המדוברים... אם הכל היה Thin client, היה צריך פתרון מעפאן של דפדוף בכל התוכן שאותו צריך להעתיק, וקליקים עם מצלמה לא רעה בכלל... דף אחר דף... הפתרון הראלי היחיד להעתקה. ולך תעשה את זה בלי שרואים, בייחוד אם הגישה למסמכים המדוברים מוגבלת לזמני הפעילות של המשרדים...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

כן, לא סתם בחרתי מיינפרים בתור דוגמה.

אבל בדיוק כמו שאפשר לקחת כונן קשיח של PC, אפשר לעשות אותו דבר למיינפריים, להעתיק מה שרוצים ולקחת אותו הביתה.
לגבי המסוף, אפשר להקליט את התקשורת(הלא מוצפנת ברב הטרמינלים) ובפשוט להכנס לכל המסמכים שאתה רוצה...

תמיד תהיה דרך, עובדה שתחנת עבודה חזקה עם משאבים מקומיים זה הפתרון שמשתמשים בו ברב העולם, גם בסביבות מבוססות לינוקס. אבטחה לא יכולה לבוא משם, אלא מלהגביל גישה של אנשים למידע...

ההצפנה מפני ההאזנה זו ממש לא הבעייה (ובכלל, האזנה ל Ethernet באופן כללי כבר דורשת תחכום הרבה יותר גבוה ממצלמה...). אשר לגניבת דיסקים מהמחשב המרכזי - זו נקודת התורפה האחרונה שלה התייחסתי - צמצום האנשים שיכולים לעשות את זה למינימום האפשרי. בהנחה שמערכי האחסון המרכזיים יושבים במקום אחד (כמובן עם אתר DRP) - שבו מסתובבים חיילים כל הזמן (ואם אפשר, קצינים חולי סג"מת - השומרים הכי טובים בעולם) - העניין נעשה קשה ביותר. וכאמור כשמדובר בכל כך מעט אנשים, אפשר להעביר אותם גם פוליגרף כל הזמן... אפשר גם לוודא שדברים לא נכנסים ויוצאים מהחדרים האלה בלי פיקוח (גלאי מתכות וכו'...). ולא, אני לא חושב שזה יקר יותר, להפך, אני חושב שזה יחסוך הרבה מאוד כסף על ידי הקטנות יחידות המחשוב היחידתיות לגודל אפסי, אם בכלל יהיה בהן צורך...

אשר ל"תחנות עבודה חזקות" - הדבר נובע משלל סיבות, רובן ככולן כלל לא רלוונטיות בצה"ל, ומדובר בעולם ישן שבו לשרתים המרכזיים לא היה מספיק כוח עיבוד כדי לטפל בדרישות האפליקטיביות של היום - בייחוד באפליקציות כבדות. אלה נדירות, באופן כללי, בצה"ל... היום כוח המחשב המרכזי עלה ברמות שלא תאמנה (בדוק מה מסוגל לעשות מעבד Xeon 5500 בודד...) - והתחכום של הוירטואליזציה בכלל התקדם (Data de-duplication הופכת הרצת דסקטופים שלמים בלי לבזבז מקום דיסק על כל מחשב ומחשב) - ככה שהדבר בהחלט אפשרי. לא סתם חצי מהעולם ואשתו מעביר עכשיו הכל למחשוב ענן - זה בדיוק הרעיון - להפסיק לבזר משהו שעד היום נאלצו לעשות אותו כי לא הייתה ברירה...

נמאס לכם לזכור סיסמאות? לחצו כאן!

א- סניפינג ברשת ETHERNET כמעט בלתי אפשרית בלי לפוצץ את הרשת ב-ARP וזו בהנחה שאתה מוצא פורט פתוח להיכנס אליו, מה שלא אמור לקרות כיוון שפורטים לא בשימוש אמורים להיות סגורים בסוויץ'.
ב- גם התוואי אמור להיות מתועל בתורה מוצפנת- לא חסרים פרוטוקולים אמינים, אם PKS או PKI, אם המערכות חלונות או בתחנות לינוקס. הכל קיים, צריך רק רצון והחלטה לבצע את זה.

וואלה.... לא כי אני התכונתי ברמה של תקשורת שנכנסת לטרמינל.... ניטור פאסיבי.
אתה יודע לענת קם היו הרשאות לכל המידע שהיא צרבה...

די עם הסיסמות האלה. אין מקום לדברים כאלה בדיון רציני.
יש כינוי יפה באנגלית לשימוש בטרמינולוגיה כאילו-טכנולוגית בדרך שלך. יש על זה אפילו ערך בויקיפדיה: http://en.wikipedia.org/wiki/Snake_...cryptography%29

אפילו מביאים שם ממש את הדוגמה שלך "הצפנת דיסק של 128-ביט" שזה ביטוי שאומר בדיוק שום דבר.

תעשה טובה, תראה לי איפה כתבתי שהדיסק מוצפן בהצפנה של 128 ביט?! אני התכוונתי שההרשאות (שמות משתמשים ו/או סיסמאות) מוצפנים. מה ההגיון בלהצפין דיסק קשיח שלם בשביל כמה קבצים?

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

האמת שזה אחלה היגיון:
http://en.wikipedia.org/wiki/Full_disk_encryption

רק חבל שהוא לא רלוונטי לחלוטין לתרחיש שאנחנו דנים בו.

מכיר ת'קטע שאתה שוכח על מה דיברת (ו"לא מבין" על מה אני דיברתי)?

ציטוט:

במקור נכתב על ידי efekt מה יעזור לך לשאוב את הנתונים המוצפנים AS-IS, ביט אחר ביט אל אמצעי אכסון אחר? יש לך את הכוח והיכולת לפצח הצפנה של 128 ביט במקרה הטוב (ויש אלגוריתמים שעושים עבודת הצפנה טובה גם עם מפתחות קטנים יותר) או 512 ביט במקרה הרע ו-1024 ביט במקרה הגרוע? בהצלחה שיהיה לך...

אבל אין שום משמעות לביטוי המשעשע "לפצח הצפנה של 128 ביט", כמו שאפילו הגאונים מוויקיפדיה מבינים.

אני אפילו לא מבין מה אתה רוצה
אגב, לא הבנתי מה לא בסדר במשפט "לפצח הצפנה של 128 ביט".

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

שלהגיד "הצפנה של 128 ביט" זה כמו להגיד "טלוויזיה ששוקלת 14 ק"ג" - חסר משמעות.
תקרא את הלינק לוויקיפדיה. פשוט תקרא. לא מסובך.

את הלינק כבר קראתי (ואגב, תודה רבה - לא הייתי מודע לכך שיש לדבר הזה מונח קבוע ), אבל עדיין לא הבנתי מה הבעיה במה שכתבתי - אתה רוצה שאני אתחיל למנות שמות של אלגוריתמים להצפנה של 128 ביט, או אלגוריתמים ל"פיצוח" מידע מוצפן? אני מניח שהבנת את הכוונה שלי מלכתחילה, אז בשביל מה כל הטררם הזה מסביב?

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

הטררם הוא מהסיבה שלהגיד "הצפנה של 128 ביט" זה לא להגיד כלום. לפרק מכפלה בת 128 ביט לשני הגורמים הראשוניים שלה זה לא כזה מסובך, לדוגמה...

וואלה?
לא דווקא נראה לי יקח לך קצת...

Good luck with that...

http://en.wikipedia.org/wiki/Key_si...cryption_system
http://www.javamex.com/tutorials/cr...ey_length.shtml

אני מכיר את המספרים לגבי מפתחות RSA....
זה עדיין עיניין של כמה שעות....
למרות שהאמת זה תלוי באלגוריתם חיפוש עם מספרים ראשוניים עד 128 אפשר לרמות...

את זה אתה מכיר? :
http://en.wikipedia.org/wiki/Ellipt...ve_cryptography
http://en.wikipedia.org/wiki/NSA_Suite_B_Cryptography

ו"עיניין של כמה שעות" זה נשמע לך מסובך? ביג דיל?

זה לא מועיל בתור הצפנה, אבל זה עדיין לא בעיה קלה.

תקראה על SUITE B אני ממליץ בחום, שים לב לגדלי מפתח...

אני ממליץ בחום שתקרא קצת על ההבדל במשמעויות של גדלי מפתח בין AES ו-RSA (ושתקרא על AES באופן כללי - בו אין עניין של פירוק מספר לגורמים, שזה מה שכתבתי עליו למעלה), לפני שאתה שולח אחרים לקרוא...

בכלל, קריאה זה דבר חשוב מאוד....

אני חושב שאני יכול ללמד אותך על ההבדל בין RSA לAES...

בנוסף למה שאמר נחמיה, בהנחה שמדובר בדמות עוינת ולא במקצת (ואפילו ב"אידיוט מועיל" שהחליט להשקיע קצת כדי שיוכל לטעון את ה-MP3 שלו מה-USB או כל סיבה מטופשת אחרת), להשקיע 45 דקות באחד הלילות בהתעסקות עם המחשב היא ממש לא איי-איי-איי...

הנחת המוצא היא שלא כל אחד יכול להתעסק עם כל דבר, שלאוייב הידוע אין גישה פיזית למידע, ושהנזק האמיתי יגיע מהאידיוט התורן שיעקוף (לא בהכרח במודע) את ההגנות הפשוטות ויפיץ מידע לכל עבר - בלי שהוא יודע את זה. זאת אחת הסיבות הטובות ביותר למידור מידע בין רשתות שונות ובין מוקדי ידע שונים.

חריגות כמו ענת קם צריכות להתגלות במהלך סיווג בטחוני ועל ידי גוף שעוסק בדברים כאלו.

אני בטוח שיש ניסיונות אוייב קבועים לחדור לרשתות המחשוב הצה"ליות, קשה לי להאמין שזה הצליח עד היום ברמה שגרמה נזק שמתקרב לזה של אידיוט מפולפל עם הרשאה להעתקת קבצים שמעביר אותם ל-MP3 של הבת שלוץ

מתנות שחרור לחייל - קייס מעוצב לטלפון עם מיתוג יחידה טייסת ללוחם המשתחרר שי לחיילת לקראת שחרור

צילום נחמיה גרשוני Nehemia Greshuni Photography NGPhoto.biz

אני לא רוצה להרוס לך אבל הנקודות שהעלת אינן נכונות ויש פתרונות קיימים בני מספר שנים בחברות מסחריות בהן יש מידע רגיש של שרטוטים טכניים כגון תעשיות הנשק, תעופה, רכב וכיו"ב:

כפתור פרינט סקרין - התוכנה מנטרלת אל הכפתור ועושה לוג רג'יסרישן לפעולה שנרשמת במחשב וגם מדווחת לסיסטם אדמין ברשת.

צילום מסך עם מצלמה, או רישום ידני - קל למנוע באמצעות חסימת גישה. פשוט מאוד. לדוגמא: מנהל כ"א בחברת בואינג לא יכול להגיע למקום ברשת בו נמצאים הרישומים של המטוסים או החלטות עסקיות אסטרטגיות של החברה. כך רק מי שמורשה יכול להגיע למידע הסודי.

באשר להדפסה - על כל חומר מודפס יש WATER MARK עם השם של מי שהדפיס, שם היחידה, תאריך וזמן.

ציטוט:

כפתור פרינט סקרין - התוכנה מנטרלת אל הכפתור

ומה עם תוכנות כגון PRINTKEY2000 שמאפשרות חיתוך קטע מהמסך/הדפסה/שמירה בקובץ וכו', איך מונעים שימוש בתוכנות מסוג זה?

אפילו במחשב ביתי אפשר למנוע התקנת והרצת תוכנות לא מורשות.

ציטוט:

אפילו במחשב ביתי אפשר למנוע התקנת והרצת תוכנות לא מורשות

PRINTKEY2000 זה ישום "עצמאי" EXE ללא התקנה כמו כל ישום אחר בחלונות.
אם יש גישה ל USB או לרשת או לCD/DVD (לא צורב), אתה יכול לקחת משם את התוכנה.

ולכן אמרתי שניתן להגביל לא רק התקנת תוכנות אלא גם הרצת תוכנות.

מעבר לזה, המחשבים מוגנים וכל אמצעי הקלט שלהם חסומים.

לחסמים טכנולוגיים תמיד יימצא מעקף. נניח כזה:


[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://onlygizmos.com/content/2009/02/printscreen.jpg]



כל השיטות שמוצעות כאן ובאופן כללי אינן הרמטיות. הכל נועד לעצור את המעתיקן המזדמן, את הרמ"ד שלא חושב מעבר לקצה האף שלו ורוצה לעבוד מהבית, את הפקידה שרוצה להרשים את החבר שלה ואת המסופח החטטן.
מי שרוצה לרגל באמת, או שמאוד מאוד לחוץ להדליף מסמך לעיתונאי ימצא את הדרך.

במערכת ההפעלה ישנה "הגדרת פרופיל משתמש". אדמיניסרטור ADMINISTRATOR יכול להתקין ולהסיר תוכנות. "משתמש" USER יכול רק להשתמש במחשב, אך ורק בפרופיל שהותר לו. "הפרופיל מגדיר הרשאות כגון גישה לכונני רשת, הדפסה, שמירה וכיו"ב. בחברות גדולות ומסודרות בהן ישנט מידע סודי מסחרי כל המשתמשים מוגדרים כ"USER". ברוב החברות הללו צריך אישור מיוחד לשימוש בכונן USB למטרת כתיבה ל USB. מכאן שיש באפשרותם לקרוא מה USB FLASH MEMOEY.
מה שנכתב כאן מיושם בחברות FORTUNE 500 בהן מידע עסקי וריגול עסקי ומניעתו הוא דבר של היום יום.

חוץ מזה שאפשר לעקוף כל אחד מהפתרונות האלה בשיא הקלות, הכל טוב ויפה...

משעשע, כרגיל.
הרבה יותר פשוט לא לחבר מדפסות לרשתות מסווגות, או לחבר רק במשרדים של בעלי דרגה מסויימת, או לבצע רישום הדפסות מדוייק.


אה, פססססט.. ענת קם צרבה דיסקים שלמים!!

מתנות שחרור לחייל - קייס מעוצב לטלפון עם מיתוג יחידה טייסת ללוחם המשתחרר שי לחיילת לקראת שחרור

צילום נחמיה גרשוני Nehemia Greshuni Photography NGPhoto.biz

אז מדוע צהל לא משתמש בדיסקים מיוחדים ובגדלים שונים שלא מתאימים ל PC רגיל,
אני יכול לומר לכם שבאמצעות טכנולוגיית RFID אפשר למגן ,

אגב אני שולט היטב בטכנלוגיית RFID .

כידוע לכולם, אפילו למי שלא "שולט היטב בטכנלוגיית RFID", לשכפל רכיבי RFID זה כמעט הדבר הכי קל בעולם. פשוט לשים מכונית שמוכרת גלידה או משהו כזה מחוץ לש.ג. של הבסיס המעניין, ולשכפל את שבבי ה-RFID של כל מי שיעבור לידה...

לא להתלהב יותר מדי...

שורה קטנה בכתבה מסבירה ש-"מה שהיה הוא שיהיה" , פחות או יותר ,
אלא אם יבוטלו הפקידות והקצינים הבכירים ידפיסו/יגיהו/יתייקו בעצמם :

"...הקצינים יוכלו להעניק הרשאה מיוחדת לפקידותיהם,
כדי שבעת הצורך יוכלו לשלוח את המסמך במייל או לתייק אותו..."

גילוי נאות : הדברים נאמרים מנסיון-העבר של הח"מ כרל"ש...

A friend in need - is a friend indeed

עד היום זה היה: לכולם מותר חוץ ממי שאסור לו.
עכשיו זה השתנה ל: לכולם אסור, חוץ ממי שמותר לו.

If I can shoot rabbits then I can shoot fascists

אמירה פופוליסטית למדי.
יש פער משמעותי בכל הקשור לעניין ההרשאות, והמצב ימשיך להיות דומה כל עוד כולם עובדים באותה רשת - מיילים, תיקיות רשת וכו'. אז במקומות שיש בהם אנשי מחשוב בעלי הבנה קצת יותר מתקדמת, השכילו להגביל הרשאות לתיקיות רשת לרשימת משתמשים מוגדרת.

עם זאת, אין שום בעיה לעשות את מה שענת קם עשתה, גם היום, ברוב יחידות צה"ל.

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.planetnana.co.il/mcdick/91s.PNG]

בגלל זה, עדיף לחסום את הUSB PORTS.
ברגע שתחבר USB, תעלה תוכנית שנבנתה מראש. שבה היא תבקש סיסמה שמתחלפת כל יום ומ.א של אותו החייל, שמבקש לחבר כונן USB נייד.
(ככה זה אצל קרוב משפחה, עובד עיריית חיפה).

לדעתי בצהל צריכים לעבוד בפרוטוקול יחודי שלא תואם לשום מערכת הפעלה סטנדרטית.
וגם לפתח חומרה ,כגון צורבים ודיסקים יחודיים, אפשור הדפסה רק למורשים,מעקב אחר הדפסות.

מצויין, עכשיו תמצא לזה את המיליוני שקלים שזה מצריך.

Never Odd or Even

ה USB בצה"ל חסומים. אל תדאג. ומי שמכניס קופצת התראה במחב"ם על ההכנסה..

ענת קם הייתה צריכה לגשת למה שנקרא "עמדת הלבנה" כדי לצרוב את הדיסקים..

פחח.

(ואם אתה שואל למה "פחח", אז שצה"ל יוציא כבר את הראש שלו מהמשקפיים שמפלטרות לו כל מה ש"לא מיקרוסופט", ואז יבין למה "פחח". אני מוכן להדגים למר רמחב"ם בכבודו ובעצמו בכמה שניות שולפים את כל המידע המאוחסן בשרתים של יחידה צבאית, תהיה אשר תהיה...)

המזל הגדול של צה"ל בזה שזה לא קרה עד גב' קם, לא נובע מתחכום או מיכולת הגנה, אלא פשוט משום שאף אחד עם ידע מינימלי בתחום עוד לא ניסה (או שמישהו ניסה, הצליח, ואין לאף אחד מאיתנו מושג שזה קרה? עוד יותר חמור...) - כי מי שינסה, יצליח. ולא תקפוץ שום התראה בב"מ...

עברו כבר די הרבה שנים משירותי כסדירניק - אז הצעתי את עזרתי לאדונים המומחים שם, וקיבלתי מהם תשובה בסנון "פחחח". אז הנה לכם. רק חבל שמי שנדפק בסוף זה כולנו.

נמאס לכם לזכור סיסמאות? לחצו כאן!

שיטות העקיפה ידועות, וחלקן - ייסלח לי כבודו - כנראה לא כל כך פשוטות לחסימה הרמטית.

מתנות שחרור לחייל - קייס מעוצב לטלפון עם מיתוג יחידה טייסת ללוחם המשתחרר שי לחיילת לקראת שחרור

צילום נחמיה גרשוני Nehemia Greshuni Photography NGPhoto.biz

במערכת מתוכננת כמו שצריך לא יהיה את מה לעקוף ולכן גם השאלה של "איך", תימנע. כן, תמיד יהיה מי שיש לו גישה ישירה יותר למידע (בעיקר מחזיקי תפקידי ה IT למיניהם...) אבל הרבה יותר קל לשמור על 3-4 חיילים בכל יחידה (או בחזון שלי לאיך שהעניין אמור להראות - 3-4 חיילים שיושבים בממר"ם / כל גוף אחר שיוגדר כמטפל במידע [ כלומר - 3-4 אנשים בכל צה"ל, משהו שכבר לא יקר להעביר בפוליגרף כל חודש... ] ), מאשר על עשרות אלפי חיילים בצה"ל...

נמאס לכם לזכור סיסמאות? לחצו כאן!

ידוע שכל ההגנות בעולם לא יעזרו נגד אנשים עם ניסיון וכח רצון.
האמצעים שצה"ל נוקט נועדו בראש ובראשונה לסנן את הנסיונות של אותם "חסרי ידע בתחום".
אני מאמין שיש גם מי שנוקט אמצעים כדי למנוע מ"בעלי ידע מינימלי" לפרוץ למידע..

לדעתי, לצה"ל אין כלים להתמודד עם שיטות כמו "הנדסה חברתית".

בכלל לא דיברתי על הנדסה חברתית...

וכן, השיטות שלי לא מונעות העתקה מהמסך לדף נייר, או שימוש במצלמות כדי לצלם את תוכן המסך. אבל הרבה יותר קשה לעשות העתקה המונית בלי שיבחינו בכך בשיטות האלה; ובנוסף לכך, הגיע הזמן שמידע מסווג יחתם באמצעות מפתחות ציבוריים של היחידים שאמורים לקרוא אותו. ככה פקידה גם תוכל להעביר קובץ לאן שצריך (אם ממש צריך אותה בתור "נתב מסמכים"...), וגם לא תוכל לקרוא אותו בדרך...

נמאס לכם לזכור סיסמאות? לחצו כאן!

הבעיה עם שיטת המפתחות היא שלפקידה יש את הסיסמא של המפקד. תמיד יש לה.
הבעיה היא בגישת המפקדים בצה"ל.
אם מפקדה של ענת קם היה מקפיד על נהלי בטחון ומידור בתוך המשרד שלו, כל הסיפור היה נמנע לדעתי..

נו באמת, קורא טביעות אצבע בתור מפתח למפתח. אלא אם כן אתה טוען שלשם ה"הקלה", כביכול, בעבודת הקצין, הוא היה חותך את האצבע שלו ונותן אותה לפקידה... במקרה זה, I am speechless.

נמאס לכם לזכור סיסמאות? לחצו כאן!

הזכרת לי משהו עם הטביעות אצבע..
ידעת שצריך אינספור אישורים כדי להקים מאגר ביומטרי שכזה?

לא מזמן התברר שבתי הכלא הצבאיים משתמשים כבר המון זמן במכשירים כאלה ללא אישור להקמת מאגר ביומטרי..
עכשיו כל מי שנלקחו לו טביעות אצבע שם יכול לתבוע/לקבול..

זה פתרון טוב אבל לא פרקטי להיקף עבודה כמו בצה"ל - בגלל זה פנו לכרטיסי "מפלי בזלת"..

לא צריך להקים מאגר ביומטרי. זה משהו שמר שטרית ניסה לדחוף לנו, אך לא ממש צריך.

אתה צריך לשמור רק את החתימה הדיגיטלית (hash חד כיווני, מבחינתי בכמה אלגוריתמים שונים) של טביעת האצבע, לא את הטביעה עצמה. היתרון: ניתן לאמת שאתה מי שאתה טוען שאתה. היתרון השני: לא ניתן לגנוב את הטביעה שלך, כי היא עצמה לא בעצם שמורה בשום מקום.

ובנוסף, גם החתימה הדיגיטלית של הטביעה עצמה לא צריכה להישמר במאגר כלשהוא. היא יכולה לשבת על כרטיס חכם שיכיל אותה - את ההרשאה יקבל הכרטיס, והאימות יתבצע בצורה מקומית אל מול השמור בכרטיס. אבד הכרטיס? מבטלים את המפתח שהוקצה לו.

עוד בעיות שאני צריך לפתור לך ?

נ.ב. אם עדיין יש בכך "בעייה חוקית", אפשר פשוט שמי שמעוניין בסב"ט, יאלץ לחתום על זה שהוא נותן את הטביעה שלו לצורך הנפקת הכרטיס החכם הזה. הוא לא חייב להסכים (כמו שהוא לא חייב להסכים להגבלות האחרות שהוא מקבל על עצמו בתהליך הסיווג) - והוא גם לא חייב לקבל את הסיווג הזה...

נ.ב.2. מה לא פרקטי בזה? שטרית תכנן (ונראה שדי הצליח), לעשות את זה על כל אוכלוסיית ישראל, מה הבעייה לעשות את זה על פרומיל מכך? אני חושב שהמידע המסווג של ישראל בהחלט שווה את הכסף (שלא לדבר על העלויות שיחסכו באופן כללי בשיטה שאני חושב שצריך לעבוד וכלל לא פירטתי כאן; היא שיטה שאשכרה תחסוך לצה"ל כסף. אבל על חשבון מיקרוסופט, ולכן זה לא יקרה )

נמאס לכם לזכור סיסמאות? לחצו כאן!

יש עם זה בעיות חוקיות ומשפטיות. זה טמון בעובדה שנדרשת הסכמה חתומה כדי לקחת ממישהו טביעות..

בדיוק מה שלא עשו בבתי הכלא הצבאיים.

אם מישהו ישים ידו על המאגר הזה..שלא מאובטח בכלל ונעשה על ידי כמה חיילים חובבים שניסו לתת פיתרון לתשלום בקנטינה, אז יהיו בעיות חמורות..

למה אתה אומר שזה נעשה על ידי כמה חיילים חובבים...? מאיפה אתה יודע? ואם אתה יודע - למה אתה מדבר על זה כאן ולא שם? אולי פשוט תפנה לפצ"ר?

מתנות שחרור לחייל - קייס מעוצב לטלפון עם מיתוג יחידה טייסת ללוחם המשתחרר שי לחיילת לקראת שחרור

צילום נחמיה גרשוני Nehemia Greshuni Photography NGPhoto.biz

זה התגלגל לפצ"ר, ולא על ידי..
וכרגע המאגר הזה הוא בשלבי אישור..

סתם נזכרתי בזה כשעלה נושא טביעות האצבע..