מסמך המנסה לחזות את בעיות האבטחה הצפויות לשנת 2012.
מבין השבע ניתן למנות נושא גניבת הזהויות והנדסה חברתית ברשתות החברתיות כמו גם וירוסים בסמארטפונים וטאבלטים, לצד סוגיות נוספות.

האם הנדסה חברתית ברשתות חברתיות או וירוסים לטאבלטים וסמארטפונים קשורים בצורה הדוקה לצבא או לביטחון?

אם יתחילו לשים תוכניות צבאיות על טאבלטים ולנהל שיחות מבצעיות בסמארטפונים כנראה שכן, אבל עדיין לא הגענו למצב הזה...

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

http://www.macstories.net/ipad/the-...army-treatment/

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

אם הם ישתמשו באייפאדים off-the-shelf, לא הייתי רוצה לראות אותם בעימות עם מעצמה מסדר ראשון...

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

אם בכלל אפל תרשה להם לצאת למלחמה. אפל יוכלו להשתמש ב-Killswitch למנוע מהצבא לעסוק ב"פעילות שעלולה לפגוע במוצר, ואולי אף לפגוע ב-iPad עצמו"

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

האמת שהתכוונתי לרוסיה ולסין. אם ארצות הברית היא "מעצמת העל היחידה", אז הן מעצמות (לא
על) מסדר ראשון. כמובן שיש עוד מדינות שבעיקרון נמצאות ברמה טכנולוגית מתאימה, אבל היחסים
של ארה"ב עימן פחות מתוחים. מצד שני, מי אמר שהאקרים מקסיקנים, בוסנים, קולומביאנים או
אחרים לא יכולים לפרוץ לאייפד מסכן?...

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

אם יש במכשיר 'דלת אחורית' ש-אפל שתלה, אז אני בטוח שהאקרים - אפילו כאלה שהם דיי 'פשוטים' ולא עומדת מדינה מאחוריהם - יוכלו להשתמש בה גם כן (ובוודאי ישנן כמה מדינות שכבר מבצעות ניטור של האזרחים שלהן - וגם לא שלהן - באמצעות פרצות אבטחה במכשירים אלקטרוניים)...

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

http://www.fresh.co.il/vBulletin/sh...ad.php?t=544185

גם כשלא היה הרבה, היה לנו הכל

קודם כל, כמו שנחמיה אמר - זה מגוחך.
מספיק לחפש בגוגל "MIL-STD tablet" כדי למצוא טאבלטים קצת יותר עמידים.
חוץ מזה, יותר הגיוני שלוחם יחזיק ביד מכשיר קטן בגודל של PDA מאשר טאבלט ענק (ולא מתקפל) בגודל 10 אינץ'. למזלנו יש גם מכשירים כאלה (ונדמה לי שהיו כאלה קודם). למען האמת, יש אפילו מספר חברות בארץ שמייצרות ומייבאות מצרים כאלה.
לדוגמה:

• http://www.mediatek-rugged.co.il - יצרנית שיש לה מוצרים כאלה:
  • http://www.mediatek-rugged.com/Medi...PID=587&IID=555
  • http://www.mediatek-rugged.com/Medi...PID=595&IID=741
  • http://www.mediatek-rugged.com/Medi...PID=595&IID=420
  • http://www.mediatek-rugged.com/Medi...PID=595&IID=419
  • שימו לב ליופי:
    • אני מנחש שהמסך הוא resistive, אבל גם אם לא - יש כפתורים, מה שאומר שלא צריך להוריד כפפות כדי להשתמש במכשיר
    • הסוללה ניתנת להחלפה
    • וזה כמובן מעבר לכך שמדובר במכשיר מוקשח שאפשר להחזיק בכף היד:

אלה אולי דברים שנשמעים טריביאליים, אבל מסתבר שמישהו שם חשב שאייפד זה רעיון טוב, וכשמשווים לאייפד, זה נהיה פחות טריביאלי...

• http://www.ats.co.il/default.asp - חברה שמייבאת מוצרים כמו:
  • http://www.ats.co.il/products.asp?C...ID=17&Proid=753 - תוצרת חברה אלמונית בשם ג'נרל דיינמיקס...

כפי שאמר נחמיה, עושה רושם שההתעסקות באייפד היא בגלל הפוזה. כשמדובר בילדים שקונים משהו כדי להשוויץ בבית-הספר זה פחות נורא, כי לכל היותר זה פוגע בכיס של ההורים שלהם. כשצבא מצייד את לוחמיו בשטות כזו, זה בעייתי יותר.




מעבר לכך, בנוגע לדבריו של קרן-אור:

ציטוט:

במקור נכתב על ידי קרן-אור איך "דלת אחורית" כזו תעבוד? הגיוני שבכל מכשיר כזה מנטרלים את התקשורת האלחוטית (כדי לחסוך בסוללות, וכדי לא להפריע למסוק מבחינת תאימות אלקטרומגנטית), והתקשורת היחידה שלו היא עם השרת שמחזיק את המפות (ומן הסתם, בעצמו נפרד מהאינטרנט). כך שנשאר להקפיד על הנהלים- למחוק את המידע המסווג לפני עדכון תוכנה, ולא להשתמש בו באופן "פיראטי".

ראשית, גם אם השרת שמן הסתם נפרד מהאינטרנט צריך לתקשר איכשהו, ואלא אם כן הולכים האמריקאים יגררו אחריהם כבל עד אפגניסטן, מדובר בתקשורת אלחוטית. אלא אם כן מדובר בתקשורת טלפתית או שימוש בקרני-ירח, מדובר יהיה בתקשורת אלחוטית תקנית שכולם יודעים להשתמש בה. עכשיו השאלה היא רק מהי. IEEE 802.11 אולי מיותר כי הוא ממילא לטווח קצר בלבד, אבל חיבור ה-3G (שיש בגרסה של האייפון שעולה 100 דולר יותר, כמובן...) גם הוא סוג של תקשורת אלחוטית.

כמובן שכל הדברים האלה נחוצים רק אם משום מה רוצים שללוחם בשטח תהיה תקשורת אונליין (עם המטה, עם חבריו לכוח, וכו') דרך המכשיר הזה. אם הוא משמש רק כמפה, אין סיבה שהוא יתחבר לאיזשהו שרת - באינטרנט או מחוץ לאינטרנט. את המפות ישימו על המכשיר לפני היציאה לפעולה, וזהו.

שנית, וזה מתקשר ישירות לנקודה הקודמת, ההקפדה על נהלים כמו "למחוק את המידע המסווג לפני עדכון תוכנה" וכו' חסרת משמעות וחסרת תועלת ממגוון סיבות.

(א) זכרונות פלאש משתמשים ב-wear-leveling מה שאומר שאי-אפשר באמת למחוק את המידע מהם (למעט גריטה בסטנדרט צבאי/בטחוני). לכאורה, גם אין דרך לקרוא אותו, אבל זה נכון לגבי המשתמש שמחזיק את המכשיר ביד. ליצרנית של ה-firmware סביר בהחלט שיש דרך כזו.

(ב) זה שאתה חושב שמחקת את המידע לא אומר שבאמת מחקת אותו. זה שהתוכנה או מערכת ההפעלה שלך כותבת לך "המידע נמחק בהצלחה!" לא מבטיח שזה באמת מה היא עשתה. אנשים יכולים לשקר, וכך גם תוכנות שנכתבו על-ידי אנשים. בהקשר הזה, מקובל להניח שיש הבדל בין תוכנה שנכתבה על-ידי הצבא, תוכנה שנכתבה על-ידי חברות כמו בואינג, GD, BAE, LMT, וכו' ותוכנה שנכתבה על-ידי חברות כמו אפל, גוגל ומיקרוסופט (שלא לדבר על תוכנה שנכתבה על-ידי חברות הודיות או סיניות...).

(ג) אתה סומך על זה שהעדכון רק מעדכן את מערכת ההפעלה, וזה גם לא לגמרי מדויק. על זה - באשכול שיעלה בהמשך...

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

ישנן תוכנות היום שמוחקות מידע בצורה דיי יסודית ע"י מחיקה "קונבנציונלית" של המידע, ואז יצירת קבצי "זבל" באותו הנפח של הקבצים שנמחקו, ואת אותם קבצי-זבל היא רושמת על הסקטורים שמהם נמחק המידע, ולבסוף מוחקת את קבצי-הזבל כך שהנפח מתפנה.
אני לא מכיר מספיק Wear-leveling כדי לדעת אם הפרוצדורה לעיל משפיעה גם עליה, אבל זה בוודאי לכל הפחות יגרום לכאב ראש לא קטן למי שינסה לשחזר מידע שנמחק בצורה הנ"ל (באמצעי אכסון מגנטיים רגילים)...

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

זה לא קשור בשום צורה.

טכניקות (נפוצות מאוד) של wear-leveling פועלות (בערך) כך:
ב-DoK של 4GB יש לך בעצם 6GB של פלאש, וה-firmware (שמבחינתך הוא החומרה) ממפה סקטור
לוגי (או כתובת LBA) לכתובת פיזית של ממש לפי השיטות הקסומות שלו. לדוגמה, ברגע שהוא רואה
ש'קשה' לכתוב או לקרוא, הוא מעתיק את המידע למקום אחר, וממפה את ה-LBA לכתובת הפיזית
החדשה. (או פשוט סופרים כמה פעמים כתבו לכל מקום ופועלים ליצירת התפלגות אחידה.)
לא משנה כמה פעמים תכתוב ל-LBA הזה שוב ושוב ושוב ושוב ושוב ושוב ושוב ושוב ושוב ושוב ושוב את
אותו מידע זבל, לא תהיה לזה שום השפעה על המקום הפיזי שאליו נכתב המידע לפני ההחלפה.

מזהירים מפני העניין הזה (בצורה מעט קונספירטיבית ונרגשת מדי) בדף ה-man של wipe. ראה כאן:
http://linux.die.net/man/1/wipe

מדברים על הנושא בתיעוד של TrueCrypt. ראה כאן:
http://www.truecrypt.org/docs/?s=wear-leveling


לכאורה, יש דרכים לטפל גם בזה. פקודה חדשה יחסית ב-ATA מאפשרת מחיקה גם של האזורים
האלה, אבל גם זה עדיין לא מושלם, מבחינות אחרות. דיון בנוגע אליה כאן (עם הפניות):
http://ultraparanoid.wordpress.com/...ase-hard-drives


ולסיום, בכל הטאבלטים וה-PDA-ים האלה האחסון הוא פלאש ודומיו ולא מדיה מגנטית, אז ההערה
לגביהם גם לא קשורה.

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

מרוב מונחים לא הבנתי- אפשר להשתמש באייפד להצגת מפות קוד או לא?

אפשרות שלא חשבתי עליה בזמנו היא שהמידע בזיכרון האייפד מוצפן, ומפוענח לפני הצגתו. כך שגם אם במהלך עידכון תוכנה (שזו-אם הכל מבוצע לפי הנהלים- ההזדמנות היחידה של האייפד הזה להיות מחובר לעולם החיצון) המידע שעליו נמשך לשרתי אפל, וזולג מהם החוצה- לא ניתן להשתמש בו. זה אפשרי?

זאת מעבר לאפשרויות אחרות, נאמר שהמארינס לא מבצעים כלל עדכוני תוכנה (Don't fix it if it ain't broken), או שהם עושים זאת בתיאום עם היצרן (ללא גישה לספריות מסוימות? ללא העברת מידע ליצרן?).

שורה תחתונה- אולי לא צריך לרוץ לרדת על המארינס, שמצאו פיתרון זמין, אלגנטי, מהיר וזול לבעיה אמיתית. והוא גם מאגניב לאללה. תראו חבר'ה- יש לי גם מסק"ר וגם אייפד!

ציטוט:

במקור נכתב על ידי קרן-אור מרוב מונחים לא הבנתי- אפשר להשתמש באייפד להצגת מפות קוד או לא?

אפשר לעשות הכל. השאלה היא האם כדאי.

ציטוט:

במקור נכתב על ידי קרן-אור אפשרות שלא חשבתי עליה בזמנו היא שהמידע בזיכרון האייפד מוצפן, ומפוענח לפני הצגתו. כך שגם אם במהלך עידכון תוכנה (שזו-אם הכל מבוצע לפי הנהלים- ההזדמנות היחידה של האייפד הזה להיות מחובר לעולם החיצון) המידע שעליו נמשך לשרתי אפל, וזולג מהם החוצה- לא ניתן להשתמש בו. זה אפשרי?

אפשר להצפין הכל, אבל לא תמיד זה מספק הגנה. באופן מעניין, לפעמים הצפנת המידע דווקא
פוגעת ברמת הביטחון הכוללת.

ספציפית במקרה הזה, איך המידע יפוענח ברגע הצגתו? "אוטומטית" או על-ידי כך שהלוחם
יכניס סיסמה? קודם כל נבהיר שאם הפענוח מתבצע ללא הכנסת הסיסמה על-ידי המשתמש,
זה שקול לחלוטין לכך שהמידע יהיה מאוחסן לא מוצפן. כמו שלשלוח CD עם קבצים מוצפנים
במעטפה יחד עם ה-CD שעליו יש את קבצי המפתח שקול לשליחת מעטפה עם CD אחד בלבד
עם הנתונים המקוריים.

האפשרות השנייה היא שהלוחם יקליד סיסמה כדי לפתוח את המפות המוצפנות (או כל מידע
אחר; בהמשך ההודעה אדבר על מפות, אבל אלא אם כן מצוין אחרת, זה תקף לגבי כל מידע
אחר). יש כאן מספר נושאים שראוי להתייחס אליהם. אציין חלק מהם בקצרה.
בגדול, עולות כאן הבעיות הקלאסיות של שימוש בהצפנה, שאפילו לא קשורות לטכנולוגיית
מחשב מודרנית. האם תהיה סיסמה חזקה? מי ידאג לזה? איזשהו דרג מטה ידאג לזה או
שכל חייל יבחר לעצמו סיסמה? אם הלוחם יבחר לעצמו סיסמה, כל-כך צפוי שהיא תהיה 1-7
או 123qweasd שעדיף כבר לוותר על כל הסיפור.
אם תהיה סיסמה חזקה, האם הם באמת ישננו אותה, או שכולם יישאו איתם פתקים שעליה
היא כתובה? לכאורה, אפשר לטעון שזה לא כזה נורא לשאת את הסיסמה בפתק עם הלוחם,
כי ממילא אם הסיסמה נפלה בידי האויב, זה אומר שהיא נפלה יחד עם הטאבלט והלוחם.
אבל אפילו אם נניח שזה המצב, עדיין יש חשש שהלוחמים יישאו איתם את הפתק גם לא
בפעילות מבצעית, ואז כן יש סיכון של אבדן הפתק.
שים לב שבנושאים האלה (מי יקבע את הסיסמה, איך ישמרו על הפתק פיזית) אנחנו באים
לחלק האנושי של המערכת, וזה החלק שמפיל את מערכת האבטחה כמעט תמיד. אפילו
בסיפור הידוע ביותר של שבירת צופן - האניגמה - חלק משמעותי מההישגים של הבריטים
התבססו על עצלנות על המפעילים (לדוגמה: השימוש במפתחות חוזרים על עצמם, שלשות
של אותיות קרובות וכו'). אפילו היום כשבכל אתר מייל כותבים למשתמש "בחייאת רבאק,
תבחר סיסמה חזקה" הוא לא עושה את זה. גם אני לא.
המשתמש הוא טיפש ומזיק. אסור לסמוך עליו.

עוד עניין שעולה כאן, אפילו אם טיפלנו בכל הבעיות לעיל, הוא כמה אתה בוטח בתוכנה
שלך? כפי שציינתי למעלה, זה שהתוכנה כותבת לך "מחקתי את הקובץ" לא אומר שהיא
לא משקרת לך, וזה תקף לגבי כל דבר אחר שהיא אומרת לך. זה שהיא אומרת "אני לא
שומרת את הסיסמה שהקלדת אלא אם כן סימנת את ה-V לזכירת ססמות" לא מבטיח לך
שהיא באמת לא שומרת את הסיסמה.
אז אפל היא חברה אמריקאית, ולכן בתור איראני הייתי מפחד מהתערבות של ה-NSA שם,
אבל גם בתור אמריקאי, אני סומך פחות על אפל מאשר על בואינג או ריית'און. וזה רק ברמה
של עובד שתול וכו' (בתעשיות הביטחוניות עוברים סיווג, באפל אני מניח שלא), לפני שדיברנו
על היכולת לפרוץ את האייפד ולהתקין שם תוכנה ללא ידיעתך.

פיתרון חלקי לבעיות האלה הוא שימוש בכרטיס-חכם - מכניסים את הכרטיס כשרוצים לפענח
את המידע, ובלעדיו אי-אפשר לפענח אותו (כמו בפלאפונים ובממירים של טלוויזיה היום). זה
פותר את הבעיה של גניבת הסיסמה, אבל חסר משמעות במובן הרחב יותר.
אם אתה לא סומך על התוכנה שלא תגנוב לך את הסיסמה, למה אתה סומך עליה שלא תגנוב
את תמונת המסך אחרי שפיענת את המפה והצגת אותה?

השאלה הבסיסית בכל העניינים שהזכרתי היא על מי אתה סומך ועד כמה. ככה בשלוף, אני לא
סומך עליהם בשיט. אם אתה רוצה מחקר מעמיק בעניין, פנה בפרטי ונתאם פגישה...

ציטוט:

במקור נכתב על ידי קרן-אור זאת מעבר לאפשרויות אחרות, נאמר שהמארינס לא מבצעים כלל עדכוני תוכנה (Don't fix it if it ain't broken), או שהם עושים זאת בתיאום עם היצרן (ללא גישה לספריות מסוימות? ללא העברת מידע ליצרן?).

זה כבר הרבה יותר טוב. אם לא מבצעים עדכונים, או שמבצעים אותם בצורה שבה מובטח שלא
יוצא מידע החוצה, המצב משופר. הדרך לעשות את זה היא, לדוגמה, להוריד עדכון מהאינטרנט,
לצרוב אותו על דיסק. להעביר אותו בעזרת הדיסק למחשב הייעודי שבעזרתו מעדכנים את האייפד.
להשמיד את הדיסק לחלוטין. לעדכן את האייפד מהמחשב. להכניס את המחשב לכספת שמורה
עד לעדכון הבא (כי פוטנציאלית המחשב הזה מכיל את כל המידע מכל האייפדים שחוברו אליו, יש
הרי ב-iTunes פיצ'ר נפלא של גיבוי, וכאמור - מי מבטיח שהוא לא מגבה גם אם לא ביקשת?).

מה שחשוב להבטיח כאן הוא שלפני שהמשולח האייפדים מגיע לכוחות בשטח, עוברים עליו
הטכנאים של המארינס ומפרקים פיזית את כל האנטנות שיש בו (WiFi ו-3G). אבל אם אין לך
Google Music ו-App Store למה אתה צריך אייפד?

ציטוט:

במקור נכתב על ידי קרן-אור שורה תחתונה- אולי לא צריך לרוץ לרדת על המארינס, שמצאו פיתרון זמין, אלגנטי, מהיר וזול לבעיה אמיתית. והוא גם מאגניב לאללה. תראו חבר'ה- יש לי גם מסק"ר וגם אייפד!

שורה תחתונה - אפילו אם הכל מושלם מבחינת ביטחון מידע, הדבר הזה הזה שביר, לא עמיד לאבק,
למים, לחום או לפגיעה פיזית, וגדול ומסורבל מדי. הדבר בתמונה למעלה עמיד בכל הדברים האלה
ויותר (גם פטריות, מסתבר...) - באתר החברה מפורט בדיוק איזה מבחנים של MIL-STD 810 הוא
עבר בכל קטגוריה.

וואסח זה חשוב. באמת. אני תומך לחלוטין בפוזה. מצעדי ניצחון, יריות באוויר, מה שבא לך - אבל
למה שזה יבוא על חשבון הצרכים המבצעיים במקום בנוסף להם?
חוץ מהפוזה, במה האייפד עדיף על המכשיר של mediatek?
(למען הסר ספק - אין לי שום קשר לחברה חוץ מכמה ברושורים שלהם שהגיעו לידי בעבר הרחוק.)

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.