הכותרות שעניינו הכי הרבה גולשים בדף זה
09/06/20 20:35
12.58% מהצפיות
מאת גיקטיים
או 16 שנים - מה שיגיע קודם
09/06/20 22:32
10.69% מהצפיות
מאת אנשים ומחשבים
הערב (ג') נחשפה חולשת אבטחה חמורה ב-Windows, שמשפיעה על מאות מיליוני מחשבים.
החולשה נחשפה במחקר חדש שפרסמו חוקרי סייברארק, שבו הם מראים כיצד תוקפים עלולים לנצל חולשת אבטחה בת עשור במנגנון GPO (ר"ת Windows Group Policy Object) כדי לקבל באופן מידי גישה פריבילגית גבוהה למכונה.
GPO הוא כלי מרכזי של מיקרוסופט, המשמש ארגונים לניהול מדיניות קבוצתית - ניהול עמדות קצה ומשתמשים, בכל ארגון המשתמש במערכת ההפעלה Windows. המנגנון מאפשר לנהל קבוצות של מחשבים על פי מדיניות שנקבעת בידי מנהל ה-IT, כאשר כל מחשב מקבל עדכונים מה-GPO. המדיניות הנאכפת על המחשב קובעת הגבלות ואפשרויות שימוש במחשב, לדוגמה: להגדיר את אורך ומורכבות הסיסמה שמגדירים למשתמש מסוים, מתי אפשר לעשות לוג אין למערכות מסוימות ועוד.
על פי החוקרים, "חולשת האבטחה הזו היא משנה משחק עבור התוקף: אחרי שהוא משיג אחיזה מסוימת, באמצעות מתקפה פשוטה כמו פישינג, ההאקר עלול לנצל לרעה את ה-GPO כדי לנוע במהירות - מרמה של משתמש מקומי לרמה של משתמש בעל הרשאה פריבילגית גבוהה. בדרך זו הוא יכול לפתוח את הדלת כדי להשיג עוד ועוד הרשאות - או לבצע מתקפה שלא ניתן לגלות אותה בכלל".
החוקרים מציינים ש-"ברגע שההאקר השיג הרשאות נוספות, הוא עלול לנצל את החולשה לגניבת נתונים נרחבת, לחשיפה וניצול של הרשאות משתמש, ואף למתקפות כופרה וריגול בארגון".
"החולשה מקצרת את זמן המתקפה ומעלה את סיכוייה להצליח"
דורון נעים וערן שמעוני, חוקרים במעבדות סייברארק, אמרו כי "המדובר בחולשה משמעותית: כמעט כל ארגון משתמש במנגנון Windows GPO כדי לקבוע מדיניות לכל סוגי המכונות, החל ממדפסות ועד להתקני גיבוי. על מנת שהוא יוכל לפעול, המנגנון צריך להיות באינטראקציה עם הרבה רכיבים שונים של הרשת. זה הופך אותו לחסם שצריך לעקוף ולמטרה אידאלית לתוקף - כדי לסייע לו לחזק את אחיזתו ברשת הארגונית". השניים ציינו ש-"תוקפים עלולים לנצל את החולשה הזו כדי לעקוף ולשנות את מדיניות הקבוצה המקומית ב-Windows, וכך להתחמק מפתרונות אבטחה קיימים, כמו אנטי נוזקה, הגנה על נקודות קצה ועוד". נעים ושמעוני הוסיפו כי "החולשה מצמצמת דרמטית את מחזור המתקפה - דילוג קל יחסית של התוקף מאפשר גישה פריבילגית למערכות קריטיות".
[caption id="attachment_317142" align="alignnone" width="600"] דורון נעים, חוקר במעבדת סייברארק. צילום: יח"צ[/caption]
מבחינת היקף המתקפה, הסבירו, "החולשה משפיעה על כל מחשב עם Windows - בגרסת 2008 או בגרסה חדשה יותר. כלומר, מאות מיליוני מכונות עלולות להיות מושפעות - אם הן לא עודכנו כנדרש".
[caption id="attachment_317143" align="alignnone" width="600"] ערן שמעוני, חוקר במעבדת סייברארק. צילום: יח"צ[/caption]
"החולשה, מלבד היותה קלה למימוש ונפוצה בקרב רשתות מנוהלות במגזר העסקי והציבורי", ציינו נעים ושמעוני, "בעיקר מקצרת משמעותית את מחזור התקיפה הממוצע, משמע - השלבים שאותם תוקף צריך לעבור. היא מגדילה את סיכוייו של התוקף להשלים את התקיפה בהצלחה. GPO נכנס לשימוש לראשונה בפעם הראשונה ב-Windows 2000. מאז עבר זמן והרבה שינויים לא חלו במנגנון. כלי GPO משמשים את מנהלי הרשת לאכוף את המדיניות שלהם בסביבת מחשוב מנוהלות, המייצגות את רוב הארגונים מבוססי Windows. כאשר עמדות הקצה מבקשות עדכון GPO מהשרת, דבר שקורה בצורה אוטומטית, נכנסת החולשה לפעולה ומאפשרת הסלמה לא מבוקרת של הרשאות".
החוקרים סיימו בציינם כי הם ממליצים לעקוב בזהירות אחרי תוכנות שרצות בהרשאות גבוהות ולוודא שהן מעודכנות.
09/06/20 20:59
6.92% מהצפיות
מאת מעריב
חברת סייברארק חשפה ליקוי במערכת ההפעלה מבית מייקרוסופט, הנמצאת בשימוש ברחבי העולם. "האקר יכל לבצע מתקפה בלי להתגלות", הסבירו
09/06/20 20:29
6.29% מהצפיות
מאת HWzone
ב-Epic Games מצהירים כי משחקים הופכים למכניסים יותר לאחר שהם מוצעים חינם לגמרי לפרק זמן קצוב - ומקווים להוכיח את העניין בשיתוף פעולה מבטיח עם היוצרים והמפיצים של Total War Saga: Troy
צעד מהפכני: המשחק החדש בסדרת Total War יוצע חינם לגמרי, אך ורק ביום ההשקה
09/06/20 17:55
5.66% מהצפיות
מאת TGspot
קונסולת ה-Xbox One X במהדורה מיוחדת של המשחק Cyberpunk 2077 הושקה גם בישראל
09/06/20 17:57
5.03% מהצפיות
מאת מעריב
קבוצת עורכי דין ישראלית הגישו תביעת ענק נגד ענקית הטכנולוגיה האמריקאית, זאת בגין הפרה לכאורה של פרטיות ואיסוף מידע ונתונים על משתמשים במוצרי החברה
09/06/20 18:30
5.03% מהצפיות
מאת אנשים ומחשבים
ההיערכות לדור 5 בעולם נמצאת בשיאה. כדי ליישם את הטכנולוגיה החדשה, חברות הסלולר צריכות לעשות שני דברים מקבילים: להשתתף במכרזי התדרים של הממשלות ולפרוס תשתיות שמתאימות לדור 5. בעולם יש מספר מצומצם מאוד של חברות שמספקות את כל התשתיות לטכנולוגיה זו. אחת מהן היא נוקיה, שרכשה לפני כמה שנים את אלקטל לוסנט ומפעילה בישראל מרכז פיתוח שאחראי בין היתר לפתח פתרונות לדור החמישי. שלומי אנג'י, סמנכ"ל הטכנולוגיות של נוקיה ישראל והרשות הפלסטינית, התארח בפודקאסט של אנשים ומחשבים, במסגרת סדרת תוכניות על הדור החדש של הסלולר. עורך הפודקאסט הוא רון קסלר, מנהל המדיה של אנשים ומחשבים.
אנג'י פעיל שנים רבות בתחום התקשורת בישראל. בעבר הוא כיהן בתפקידים בכירים בחברות כמו טלרד ונורטל, וב-2015 הצטרף לאלקטל שכאמור, נרכשה על ידי נוקיה. בנוסף, הוא משמש כמרצה, יועץ ומסייע לקידום תשתיות התקשורת הלאומיות בישראל.
הפעילות הזו של נוקיה פחות מוכרת לציבור הרחב ואנג'י אומר בחיוך שאין שבוע שבו הוא לא נשאל לגבי הדור החדש של הטלפונים של המותג הוותיק, שאתו פרצה החברה הפינית לשוק כאשר הטלפונים הסלולריים החלו להיות מופצים בהפצה רחבה. אנג'י מציין כי לפעילות של נוקיה בישראל אין קשר לכך. "המוטו של נוקיה הוא חיבור בין דברים, או כפי שמוכר בציבור - IoT, האינטרנט של הדברים", ציין אנג'י. "אנחנו מייצרים את הטכנולוגיה שעוסקת בקישוריות, ונוקיה היא אחת משתי החברות היחידות בעולם שעוסקת בזה".
נוקיה בנויה ממיזוגים ורכישות שהיא עשתה במשך השנים: סימנס, אלקטל לוסנט, מעבדות בל ועוד. בישראל היא מפעילה מרכז פיתוח שמעסיק 200 עובדים, מחציתם מהנדסים, ולדברי אנג'י, הם כל הזמן מחפשים אנשי פיתוח.
75% מהתקשורת הסלולרית - בסטרימינג
"ענף הסלולר מלווה אותנו כבר 30 שנים", הוא אמר בראיון. "בתחילה, הטלפונים הסלולריים שימשו בעיקר לשיחות טלפון, אחר כך החלו ההודעות, ואז נכנסה הטכנולוגיה של גלישה סלולרית וחיבור לרשת האינטרנט. זה היה הדור הראשון ומאז אנו רואים עלייה בקצב הגלישה. בינתיים חל שיפור באיכות המסכים והחל ביקוש מטורף לסטרימינג".
לדבריו, ההערכות הן ש-75% מהתקשורת הסלולרית מתבצעת בסטרימינג, מה שמעלה את הדרישות של הלקוחות לצפייה בווידיאו באיכויות גבוהות, וזה מה שמניע את החברות להשקיע בתכנים כדי לספק ביקושים. אולם, אמר אנג'י, המענה לביקושים אלה לא מגדיל את ההכנסות של החברות, לפחות לא בישראל, כי הלקוח משלם את אותו המחיר עבור שירותי הסלולר. לכן, משרד התקשורת מחפש פתרונות כדי שלחברות התקשורת יהיה תמריץ להשקיע בתשתיות, שהעלויות שלהן גבוהות ביותר.
מה מביאה נוקיה למהפכת הדור החמישי?
אנג'י: "היא מביאה את התשתיות שדרושות לשם כך, וכבר יש לנו התקנות שממחישות את ההבדלים במהירות הגלישה בישראל. כמו כן, אנחנו מספקים את כל חלקי הרשת הסלולרית - החל מאנטנות, עבור באתרים ובתמסורת שמחברת את כל מערכות הניהול, וכלה בתשתיות ענן".
הוא ציין שישראל נמצאת בפיגור משמעותי אחרי העולם בכל הקשור לדור החמישי, ומדורגת במקום לא מכובד במיוחד. לדעת אנג'י, הסיבה לכך היא שבעוד הדור החמישי הוא תשתית לאומית, אלה שצריכות ליישם אותה הן החברות עסקיות, שכרגע אין להם את המשאבים להשתתף במכרז התדרים של המדינה, שכרוך בעלויות גבוהות מאוד. "בשוק הסלולר הישראלי יש מצב של תחרותיות יתר, עקב פתיחת השוק", הסביר אנג'י. "תחרות זה טוב, אבל כשהיא רבה מדי, היא גורמת לירידה רבה מדי במחירים, מה שלא מאפשר לחברות להשקיע, והתוצאה היא רמת מהירות ושירות נמוכה".
מה ייתן הדור החמישי?
"הוא ישפר את מהירות הגלישה ובנוסף, יאפשר שורה של יישומים שישפיעו על איכות החיים של כולנו. אשתמש בשתי דוגמאות: האחת, הדור החמישי יכול להתריע לילד שחוצה את הכביש ועיניו תקועות במסך הטלפון שעלולה להיות לו תאונה, שהו עלול להידרס. לשם כך צריך תקשורת מהירה ומידית, שמתקשרת עם זמן התגובה המהיר של הרמזור, שתמנע תאונה ותהיה אמינה. הדוגמה השנייה היא מתחום הבריאות: בעזרת דור 5 ניתן לסייע להביא את הרופאים הכי טובים לפריפריה, מבלי שהם יצטרכו לבוא לשם פיזית".
אנג'י העריך שבסופו של דבר, מכרז הדור החמישי הסלולרי בישראל יצא לדרך, כי משרד התקשורת מעניק תמריצים ומסייע לחברות להתמודד.
הוא התייחס בפודקאסט גם לסכנת הקרינה - טענה שמושמעת בכל פעם שמדברים על תקשורת סלולרית. "מאז שיצא הטלפון הסלולרי הראשון פורסמו 25 אלף מחקרים ואף לא אחד מהם הוכיח שיש קשר ישיר בין טלפון סלולרי לסרטן", ציין.
09/06/20 20:06
5.03% מהצפיות
מאת TGspot
וואווי הכריזה על P Smart S, טלפון חדש לכאורה, אבל כשבודקים את הפרטים מגלים כי זה מכשיר שכבר הוכרז רק בשם אחר