הכותרות שעניינו הכי הרבה גולשים בדף זה
16/05/19 14:38
12.82% מהצפיות
מאת אנשים ומחשבים
אתמול (ד') חשפה גוגל, כי באג אבטחה במכשיר Titan Bluetooth key עלול לאפשר לתוקפים המצויים בקרבה פיזית למכשיר לעקוף את האבטחה שהמכשיר אמור לספק. לדברי החברה, הבאג נובע מקונפיגורציה שגויה בפרוטוקול הצימוד של המכשיר, אבל לדבריה, גם מכשירים תקולים עדיין מגינים נגד תקיפות פישינג. ובכל זאת, החברה תחליף בחינם את כל המכשירים של המשתמשים הנוכחיים.
לפני קצת פחות משנה השיקה גוגל מפתח אבטחה בעל אימות כפול, בשם Titan Security Key, בשתי תצורות – האחת מבוססת בלוטות', המיועדת למכשירים ניידים וסלולריים, והשנייה כפלאג המוכנס ליציאת ה-USB של המחשב. המפתחות משמשים לאימות מבוסס חומרה לשירותים השונים השונים של החברה, כמו דואר ועוד.
הבאג שהתגלה משפיע על כל מוצרי Titan Bluetooth key, שנמכרים תמורת 50 דולר וכוללים גם מפתח USB/NFC, שמצוין בגבם T1 או T2.
אפשרות לניצול הפגיעות כשממוקמים עד 10 מטרים מהמכשיר
כדי לנצל את הפרצה, הפורץ שנמצא במרחק של עד 10 מטרים מן המכשיר צריך לפעול במהירות ברגע שבעליו של המכשיר לוחץ על הכפתור כדי להפעילו. ברגע זה, ולפני שהמחשב של המשתמש יתחבר אליו, יכול הפורץ לחבר את המחשב שלו למכשיר. בהנחה שיש לפורץ את שם המשתמש של בעל המכשיר ואת הסיסמה שלו – הוא יכול להיכנס לחשבון של בעל המכשיר.
גוגל ציינה בנוסף, כי לפני השימוש במפתח, בעליו צריך לצמד אותו למחשב, ובשל הבאג בפרוטוקול הצימוד התוקף יכול גם לדמות את המחשב שלו כמפתח אבטחה, וכך להתחבר למחשב של בעל המפתח.
אמנם פעולת התקיפה צריכה להתקיים בעיתוי מדויק, כאשר בעל המפתח לוחץ על הכפתור כדי להפעילו, ועל התוקף לדעת את שם המשתמש והסיסמה, אבל תוקף עיקש עשוי להשיג את מטרתו.
גוגל טוענת כי תקלה זו אינה משפיעה על הייעוד העיקרי של מפתח ה-Titan, שהיא הגנה נגד מתקפות פישינג, ומציינת כי המשתמשים יכולים להמשיך להשתמש בו עד החלפתו. "בטוח הרבה יותר להשתמש במפתח התקול מאשר לא להשתמש כלל במפתח. מפתחות אבטחה הם ההגנה הטובה ביותר הקיימת כיום נגד מתקפות פישינג", ציינה החברה בהודעתה.
16/05/19 14:58
10.26% מהצפיות
מאת אנשים ומחשבים
הכנס המדעי הראשון של המרכז הישראלי למחקר ספורט אולימפי – שיתוף פעולה חדש בין הטכניון לוועד האולימפי בישראל, התקיים אתמול (ד') בטכניון.
בטכניון אמרו כי בכנס, שהתקיים במסגרת הסימפוזיון השנתי ע"ש בלפר, השתתפו מאמנים בכירים, מדענים וחוקרים, אנשי תעשיית הספורט-טק ומרצים אורחים מארצות הברית ומבריטניה.
[caption id="attachment_290920" align="alignnone" width="600"] Shaharsagiv – הטריאתלט שחר שגיב במעבדת הביומכניקה של פרופ' אלון וולף בטכניון. צילום: ניצן זוהר, דוברות הטכניון[/caption]
המרכז, בראשותו של פרופ' אלון וולף מהפקולטה להנדסת מכונות בטכניון, בשיתוף המנהל המדעי של הוועד האולימפי בישראל מולי אפשטיין והיחידה לספורט הישגי, מעודד מחקרים יישומיים שיקדמו את הספורט האולימפי בישראל על ענפיו השונים.
בטכניון הוסיפו כי שני הדוברים המרכזיים בכנס, ד"ר אליסון שיטס ממעבדת הביומכניקה בנייקי ופרופ' יאניס פיטסילאדיס מאוניברסיטת ברייטון בבריטניה, דיברו על האתגרים המדעיים והטכנולוגיים בתחום הספורט ההישגי ועל השאיפה לרדת מזמן ריצה של שעתיים במרתון. בקהילה האולימפית שוררת מחלוקת בשאלה אם היעד האמור אפשרי, אולם רבים סבורים כי הרץ הקנייתי אליוד קיפצ'וגה עשוי להשיגו בעתיד הקרוב.
יעל ארד, חברת הנהלת הוועד האולימפי בישראל ויו"ר ועדת הספורט, אמרה כי "שיתוף הפעולה עם הטכניון בא יחד עם קפיצת מדרגה ביעדים שהגדרנו לעצמנו; אם עד כה שאפנו לחזור מכל אולימפיאדה עם מדליה אחת או שתיים, כעת אנחנו רוצים להשיג יותר. לא רק להיות טובים אלא להיות הכי טובים. ולשם כך אנחנו חייבים להתמקד בדברים שאנחנו פחות טובים בהם, להשתפר ולהביא תוצאות מדידות, ובקיצור – יותר מדליות. זהו תהליך ארוך טווח, שאת פירותיו נראה רק באולימפיאדת 2024 ואולי אפילו אחר כך. אבל זה יקרה אם רק נפגין סבלנות, נחישות ועקביות."
בסוף הכנס הציגו ארבעה מאמנים אולימפיים ישראליים אתגרים מהשטח לאנשי המרכז החדש בטכניון. ניב ליבנר, מאמן נבחרת הנשים של ישראל באופני כביש, ביקש לפתח כלים לשיפור האימונים וקבלת ההחלטות באימונים ובמירוצים.
רוגל נחום, שייצג את ישראל שלוש פעמים במשחקים אולימפיים בקפיצה משולשת, אמר כי תחומים אלה משוועים לכלים שישפרו את הדיוק בריצה ובהגעה לקרש הקפיצה. מאמן השייט גור שטינברג ביקש לפתח שיטות מדויקות למדידת מרחקים וללימוד האופן שבו שייטים אלופי עולם מגיעים להישגיהם. קלאודיה לסיגה, מאמנת נבחרת כדורעף החופים בישראל, אמרה כי שחקני הענף זקוקים לכלים שישפרו את יכולתם לקרוא את היריב ואת כוונותיו.
16/05/19 16:11
10.26% מהצפיות
מאת אנשים ומחשבים
אין ספק שאחד הטלפונים שמשכו הכי הרבה תשומת לב בתערוכת MWC 2019 האחרונה, שהתקיימה בפברואר בברצלונה, היה ה-Nokia 9 PureView של HMD Global. ואתם יודעים מה, בצדק מוחלט, ולו רק בגלל הייחודיות שלו: גם בימים בהם כל מכשירי הטלפון המובילים ביקום, ככל הנראה, מציגים הרבה מאוד מצלמות, אף אחד מהם עדיין לא שילב בגב המכשיר כל כך הרבה מצלמות כמו במכשיר המסוים הזה, וגם לא את המנגנון המיוחד בו משתמשים כדי להפיק תמונות.
הבחירה של HMD להוסיף את המיתוג PureView לשם של המכשיר לא הייתה מקרית. עוד מהגלגול הראשון של נוקיה כחברה עצמאית הוא הוצמד לטלפונים שהציעו איכות צילום גבוהה יותר. הם הביאו לידי ביטוי שיא את מערכת היחסים המקצועית שלהם עם יצרנית האופטיקה צייס, וזה נכון גם בטלפון הזה.
[caption id="attachment_290938" align="alignnone" width="600"] Nokia 9. צילום: יח"צ[/caption]
אז מה כל כך מיוחד? אם ממש לא עקבתם אחרי הדיווחים לקראת ההשקה, אז זה הזמן שלכם לגלות שיש בגב של Nokia 9 לא פחות מחמש מצלמות, והן למעשה כמעט זהות. יש להן חיישן בגודל 12 מגה-פיקסל, יש להן עדשת צייס עם מפתח צמצם של f/1.8, ואורך המיקוד שלהן קבוע ועומד על 28 מ"מ. למה כמעט זהות? כי שלוש מהן מונוכרומטיות ומטרתן להוסיף כמה שיותר פרטים לתמונות, בעוד השתיים האחרות הן צבעוניות. בכל מקרה - התמונה משלבת את כל הפרטים מכל התמונות, אבל בסופו המנגנון יוצר תמונה אחת שכאילו צולמה בעזרת עדשה אחת.
מה שאין כאן זו התערבות של בינה מלאכותית. מה שעוד אין כאן זה זום אופטי אמיתי. מה שיש פה מעבר לכך זו יכולת נדירה לבנות עד 1,200 שכבות עומק למרחק של עד 40 מטרים, לפי החברה, עם אפשרות לשנות את המיקוד בתמונה לאחר הצילום. את זה משיגים באמצעות מצלמה שישית, שמשולבת בגב, והיא זו שמאפשרת למדוד את המרחקים מן העדשה של העצמים הכלולים בתמונה.
איך זה עובד? אם אתם מאלה שמחפשים איכות תמונה בשליפה, כנראה שזה לא ממש יעבוד בשבילכם. אם אתם מגדירים את עצמכם כצלמים, אפילו חובבניים, ואתם לא מפחדים לבחור הגדרות צילום בעצמכם ולא מפחדים מעיבוד התמונה לאחר הצילום, אתם תוכלו להפיק מהמצלמות של Nokia 9 יצירות שאפשר אפילו להדהים עמן את כל החברים ולא רק בפייסבוק.
לשם כך גם תוכלו להשתמש בעוד הצעה ייחודית לטלפון הזה: האפשרות לשמור את התמונות המצולמות גם כקובצי RAW, במקביל לשמירת התמונות בפורמט JPG. זה אמנם מטיל מעמסה כבדה מאוד על שטח האחסון שמציע הטלפון, שאינו ניתן להרחבה, אבל זה מעודד לערוך את התמונות אחר הצילום לבד, עם הרבה יותר פרטים. למעשה כבר בהגדרה הראשית של הטלפון מקבלים המלצה להתקין את הגרסה החינמית של Lightroom, אפליקציית עיבוד התמונה של אדובי (Adobe).
עוד דבר שצריך לקחת בחשבון בצילום באיכויות הגבוהות ביותר, הוא שצריך סבלנות עד שהעיבוד של כל תמונה מסתיים, ולעתים זה נמשך כמעט חצי דקה. בנוסף, המכשיר סובל מהתחממות יתר בעת שהעיבוד מבוצע בפועל. אמנם ניתן להמשיך לצלם בעת שהמערכת מעבדת את התמונות ברקע, אבל הן עוברות את התהליך אחת אחרי השנייה ולא במקביל, ורק אם הטלפון ממש פעיל.
מכשיר דגל - לא טלפון נורא, אבל גם לא מספיק טוב
מעבר לכך, Nokia 9 PureView היה אמור להיות מעין מכשיר דגל עבור החברה. עם זאת הם בחרו ב-Snapdragon 845, המערכת המובילה מהשנה שעברה, ואולי זה כי הם רצו למהר ולהתרכז במערכת הצילום ופחות במערכת הכללית, שבמקרה המסוים הזה כבר מוכחת היטב. הם גם שילבו בטלפון זיכרון עבודה בנפח של 6 גיגה-בייט וזיכרון אחסון של 128 גיגה-בייט, שאינו ניתן להרחבה, וזה לא ממש מוצלח כשלוקחים בחשבון את האפשרות לשמור תמונות בפורמט RAW.
המסך הוא POLED בגודל 5.99 אינץ' ברזולוציית 2K בצבעים טובים ונעימים לעין, אך היה אפשר ליהנות מעוד קצת תוספת בהירות. הוא מוגן בזכוכית ההגנה Gorilla Glass 5, ויש סוללת 3,320mAh עם תמיכה בטעינה מהירה בתקן QC 3.0 בהספק של 18 וואט. יש גם תמיכה בטעינה אלחוטית בתקן Qi בהספק של 10 וואט.
הסוללה לא מספיק טובה. היא סיפקה במבחנים שלנו זמן קצר מכל המתחרים בתקופה האחרונה, ובוודאי בהשוואה למכשירי דגל. אבל זו הייתה הבעיה הקטנה. הגדולה הייתה חיישן טביעות האצבע שנמצא מתחת למסך והוא פשוט עובד בצורה נוראה: משלב ההגדרה ועד השימוש, ואפילו מעצבן. עדיף לוותר, לפחות עד שנוקיה תוציא עדכון שכן גורם לו לעבוד.
בסופו של דבר, Nokia 9 הוא לא טלפון נורא, אבל הוא גם לא מספיק טוב, בכל ההיבטים. אפשר אולי להגדירו כטלפון לצלמים, אבל לרוב המשתמשים הוא כנראה לא ממש מתאים. המחיר, בכל מקרה, 2,690 שקלים.
16/05/19 14:57
7.69% מהצפיות
מאת אנשים ומחשבים
מכשירי Echo של אמזון, המופעלים על ידי העוזרת הקולית אלקסה, הופכים אט אט למלווים חשובים בכל בית: הם מספקים בידור ומוזיקה, מאפשרים קניות, שומרים על הבריאות... וכעת גם מגינים על הבית.
אמזון הודיעה אתמול (ד'), כי בעלי מכשירי אקו יוכלו להתקין ולהתאים תכונות של Amazon Guard במכשירים באמצעות אפליקציית אלקסה.
אחת התכונות בפלטפורמת האבטחה החדשה, ואולי החשובה שבהן, היא מערך של התרעות, שאמזון מכנה "התרעות חכמות". בעלי אקו יאמרו למכשיר: "אלקסה, אני יוצא", והעוזרת הקולית תעביר את תכונות ההגנה למצב "בחוץ". במצב זה, המכשיר יקשיב לצלילים מיוחדים, כמו, למשל, זכוכית נשברת, ואם הוא יתרחש – בעליו יקבל התרעה על סוג הצליל שאותר, כמו גם הקלטה שלו.
נוסף על יכולתו של המכשיר לשלוח את המידע הזה למערכות אזעקה מקצועיות, ניתן גם להתחבר למכשיר האקו מרחוק ולבדוק מה מתרחש בבית.
16/05/19 16:00
7.69% מהצפיות
מאת אנשים ומחשבים
"העובדה שרוב הארגונים נמצאים כבר בקוד הפתוח הפכה לאקסיומה: רוב העננים הציבוריים וכל העננים הפרטיים הם מבוססי קוד פתוח. רוב הפתרונות לעולם הביג דטה הם מבוססי Hadoop, ספארק, קפקא ואפאצ'י, כולם פרויקטי קוד פתוח. הקוד הפתוח הוא אבן הבניין שכל ארגון בונה את פתרונות הנתונים שלו לפיו. אין בינה מלאכותית ומדע נתונים בלא קוד פתוח", כך אמר מוטי הדס, סגן מנהל חטיבת מוצרי התוכנה במטריקס.
הדס, המשמש גם כמנהל מטריקס Open Source, דיבר בפתח כנס רד האט, פיצה וטכנולוגיה. הכנס, בשיתוף אנשים ומחשבים ומטריקס, נערך היום (ה'), זו הפעם ה-21, בסינמה סיטי גלילות.
בשנה החולפת, אמר הדס, "השקנו יחידה עסקית חדשה – Matrix Open Source. היא מונה עשרות מקצועני קוד פתוח, ארכיטקטים, מהנדסים, ואנשי תמיכה ומכירות, שרובם ככולם מתמקדים בעולמות ה-Open Data". לדבריו, "אנחנו נמצאים בעולם הקוד הפתוח שנים רבות. ב-2003 הבאנו ארצה את רד-האט. האמנו בה ובתרבות הקוד הפתוח שהיא המייצגת הנאמנה שלה: שיתופיות מרובת משתתפים, המביאה לפתרון בעיות מהיר יותר וליצירת סטנדרטיזציה ברמה גבוהה יותר".
"לאחר מכן, ב-2014", אמר, "התחלנו להפיץ בישראל את MongoDB – מפתחת מסד הנתונים NoSQL בקוד פתוח, הפופולרי בקרב מפתחים ומקצועני IT. זאת, הודות לגמישות ולגישה הסקלבילית שלו. שימושים נפוצים ב-MongoDB כוללים שימושי ביג דטה תפעוליים ואנליטיים, ניהול תוכן ואספקתו, תשתיות ניידות וחברתיות, ניהול נתוני משתמשים וריכוז נתונים". הוא ציין כי "לפני מעט יותר משנה, MongoDB הנפיקה בבורסה לפי שווי של מיליארד וחצי דולרים. בתוך שנה היא נסקה לשווי של שבעה מיליארד. זו אינה חברת חד-קרן, אלא עדות להצלחת הקוד הפתוח".
הדס הוסיף כי "ב-2016 התחלנו בייצוג Hortonworks שהתאחדה עם קלאודרה, העוסקת בהפצה מסחרית של פתרונות Hadoop Big Data לארגונים. פתרונות אלה מאפשרים יצירת אגמי נתונים (Data Lake), ארגוני מבוסס עשרות, מאות ואלפי שרתים – בעלויות נמוכות, בסביבה ייעודית שעונה לאתגרים של ארגונים בתחומי חיזוי אנליטי, תצוגה יחידה של מידע, גילוי וחיקור מידע, צמצום עלויות ETL ואחסון, וכן עבודה עם NoSQL. זהו הפתרון היחידי שהוא 100% קוד פתוח, ו-Hortonworks היא התורמת הגדולה לפרויקט ה-Hadoop ולפרויקטים הנלווים לו. היא משפיעה על הקהילה ומעורבת בפרויקטי קוד פתוח רבים".
פתרון אחוד לצוותי מדעי הנתונים בארגון
ב-2018, אמר הדס, "הבאנו ארצה את RapidMiner – פלטפורמת מדעי הנתונים המבוססת על קוד פתוח. היא מספקת פתרון אחוד לצוותי מדעי הנתונים בארגון, כולל הכנת המידע, לימוד מכונה, אנליטיקה ומודלים מתקדמים של חיזוי. כך, הארגון יכול לבנות מודלים מבוססי לימוד מכונה ולהטמיע אותם בהליך הייצור והפיתוח במהירות מרבית. RapidMiner מפחיתה את המורכבות בהליך האנליטיקה והעברת המידע, באמצעות אינטגרציה מובנית למגוון פתרונות קוד פתוח נפוצים בתחום כגון Hadoop ,Tensorflow ו-Spark".
הדס הוסיף כי "כל ארבע החברות הללו, לקחו את ה-DNA, התרבות של הקהילה והשיתופיות בבניית הפתרון מרד-האט. חברות אלה, ברובן, הוקמו על ידי מנהלים בכירים יוצאי רד-האט".
לדבריו, "ארגונים המממשים את תפיסת הקוד הפתוח במערכי המחשוב שלהם, מקבלים מנוע של חדשנות, המספק תועלות עסקיות, טכנולוגיות, תפעוליות וכלכליות. הקוד הפתוח מוביל את הטרנספורמציה הדיגיטלית והביג דטה - ואנחנו מובילים את הקוד הפתוח בישראל". הדס הוסיף כי "הארגונים המובילים בעולם מדברים על קונטיינרים, אינטרנט של הדברים, מיקרו-שירותים, טרנספורמציה דיגיטלית וביג דטה. כל המגמות החמות ביותר קורות בקוד פתוח – וקשורות לרד-האט. יש כיום הבנה גורפת, לפיה את תחומי הטרנספורמציה הדיגיטלית וכל עולם הביג דטה מוביל עולם הקוד הפתוח".
הדס סיים באומרו כי "אנו מסייעים לארגונים בבניית הארכיטקטורה הנכונה, כיצד לשלב פרויקט קוד פתוח וכיצד להגיע למצב בו הכל יעבוד יחד. הפיתוח מבוסס הקוד פתוח כבר לא נועד ל-IT אלא מטרתו לייצר אימפקט עסקי. הביג דטה והקוד הפתוח הפכו לרלוונטיים עבור ההיבטים העסקיים בארגון".
16/05/19 12:14
5.13% מהצפיות
מאת אנשים ומחשבים
"הגנת הסייבר היא אבן דרך בכל תהליך עסקי בארגונים. היא חיונית בדיוק כמו חשמל למפעל, ומזון ומים לבן אנוש. התעלמות מהמימד הזה תביא לכך שארגונים לא ישרדו בנוף האיומים ההולך וגדל בימינו", כך אמר ג'רארד קרלטון, ראש תחום הגנת הסייבר לאזור אירופה, פרוסט אנד סאליבאן.
קרלטון ביקר בארץ באחרונה, ונפגש עם לקוחות הסניף הישראלי של חברת הייעוץ והמחקר, כמו גם עם חברות סטארט-אפ מקומיות העוסקות בסייבר. בראיון לאנשים ומחשבים אמר קרלטון כי "קיים מתח מובנה בארגון בין המנכ"ל והמנמ"ר. כל אחד מהם מודאג בהיבט הסייבר מדברים שונים. המנכ"ל רוצה לממש אסטרטגיה לתחום, ואילו המנמ"ר, פעמים רבות, עדיין ממשיך לדבר טכנולוגית – ולא 'עסקית'".
[caption id="attachment_273126" align="alignnone" width="600"] הגנת סייבר. צילום אילוסטרציה: BigStock[/caption]
לדבריו, "על מנהל אבטחת המידע והמנמ"ר לשנות את השפה והתפיסה שלהם, ולא להסביר להנהלה מה קורה במערך ה-IT הארגוני, אלא כיצד מימוש נכון של אבטחת מידע והגנת הסייבר יסייע לארגון עסקית. עליהם להבין לא רק מה קורה ב-IT, אלא כיצד ניתן למנף את כלל הטכנולוגיות בארגון, ובתוכן את טכנולוגיות האבטחה – לטובת הגנה על הקניין הרוחני, לטובת הידוק הקשר עם הלקוחות והגנה על המידע אודות הלקוחות, ומימוש נכון ועמוק יותר של הרגולציות".
"אני עובד עם ארגוני ענק רבים", אמר קרלטון, "רבים מהם מה-Fortune 500, ביניהם CA, חברת SecureWorks מבית Dell, קבוצת העבודה להגנת הסייבר בארגון CTIA. עבדתי גם עם הסטארט-אפ הישראלי סקיי קיור, שנרכש לפני יותר משנה על ידי סימנטק. כך, עבדנו עם SecureWorks כאמור, שרצו למתג את עצמם מחדש כמובילים בעולם האבטחה. ערכנו עבורם מיפוי של לקוחות פוטנציאליים, ועל הלקוחות הללו 'הלבשנו' מודל של בשלות סייבר. העברנו להם מסר שאומר שכאשר מביטים על תחום הגנת הסייבר, נדרשת חשיבה עמוקה ואסטרטגית, זה לא רק לסמן V על 'יש לנו אנטי נוזקה' ו'יש לנו פיירוול'. מדובר בהליך מתמשך, של השקעה מתמדת, על בסיס תעדוף הנכסים הקריטיים שיש להגן עליהם. אסור לחשוב שאתה מוגן כי הטמעת מוצר אבטחה במקום אחד בארגון - ואז מותר לנוח למשך שנתיים. יש להבין כי נוף האיומים משתנה באופן קבוע, האיומים הולכים ונהיים משוכללים יותר, ואף גדלים בהיקפם".
לדבריו, "יש לתפור חליפת הגנת סייבר פרטנית לכל ארגון, ולעשות זאת תוך בחינה מתמדת של החוזקות והחולשות. המטרה היא לקבל החזר השקעה מיטבי. בנוסף, תחום שארגונים ככלל חלשים בו, הוא התרבות הארגונית. זה משהו שחייב לחלחל מלמעלה, מההנהלה. מנכ"לים נדרשים לתת רוח גבית למנהל האבטחה במימושו את מדיניות האבטחה בארגון".
"אחד הדברים שאנו בפרוט אנד סאליבן מקפידים להדגיש", הוסיף קרלטון, "הוא שאבטחת מידע והגנת הסייבר לא צריכות להיתפס כמרכז הוצאה, אלא כחלק מהדברים המאפשרים עסקית. בכך הסייבר לא שונה מהגנרטור המותקן במפעל לשם הפעלה במקרה חירום של הפסקת חשמל. חלקם של המנכ"לים עדיין לא הפנים זאת. הקנסות שמשולבים בתקן הגנת הפרטיות האירופאי, GDPR, 'עוזרים' למנכ"לים להבין את ההיבט הכלכלי שבסייבר, את ההבנה שאם הם לא יממשו את הגנת הפרטיות – הדבר יפגע ברווחי הארגון".
כל אחד הוא יעד בסייבר
"מנכ"לים נדרשים להבין דבר נוסף", אמר קרלטון, "שלא רק תאגידי ענק הם יעדים למתקפות סייבר. אני גר באוסטריה, ושם, במשך תקופה ארוכה, ייתכן שבמשך 12 שנים - ארגוני SMB הותקפו, איני יודע על ידי מי, אולי סין. זה שאתה ארגון קטן ולא תאגיד המגלגל מיליארדים - לא אומר שלא תותקף. כל אחד ואחד הוא יעד למתקפה, ועליו לנהוג בהתאם ולהיערך לכך מבעוד מועד. כך, מנכ"ל צריך לחשוב על אבטחת מידע כעל אובדן קניין רוחני. אם הוא לא יעשה זאת, הוא ימצא את המוצר שלו מועתק בארץ כלשהי במזרח אסיה, ונמכר בשליש ממחירו".
"ארגונים נדרשים לחשוב קדימה כל העת", סיכם קרלטון, "המתקפות משתכללות, ויש כיום, למשל, הרבה יותר תקיפות מסוג APT. עולם האינטרנט של הדברים, IoT, מהווה משטח תקיפה נוסף בנוף האיומים. לעולם המענה לא יהיה רק טכנולוגי, אלא גם כזה הכרוך בגיבוי של ההנהלה, ובשינוי התרבות הארגונית".
16/05/19 12:58
5.13% מהצפיות
מאת אנשים ומחשבים
הבעלים של חברת הסייבר הישראלית NSO, קרן נובליפינה קפיטל, שרכשה אותה בפברואר השנה, הגיבה בהצהרה בעקבות הפרת אפליקציית העברת ההודעות ווטסאפ, שעליה נודע ביום שלישי. בתגובתה לא התייחסה הקרן ספציפית למקרה - ולחשדות שתוכנת פגסוס של NSO היא שהייתה בשימוש באמצעות הפגיעות שנחשפה כדי למקד אקטיביסטים - אלא רק הודיעה כי תחקור "טענות מהימנות בדבר שימוש לא נכון" בטכנולוגיה שלה, אשר "מופעלת אך ורק על ידי גורמי מודיעין ואכיפת חוק".
הכל החל כשנודע כי באג בתכונת שיחות האודיו באפליקציית ווטסאפ, שהתגלה בתחילת החודש, אפשר להאקרים להעביר תוכנות ריגול לסמארטפונים ממוקדים, למשל של פעילי זכויות אדם ואקטיביסטים אחרים. ווטסאפ לא דיווחה כמה זמן הייתה הפגיעות קיימת לפני שזוהתה, אבל אישרה כי האקרים ניצלו את הפרצה בכדי להתקין תוכנות זדוניות אצל מספר לא ידוע של קורבנות. לפי הדיווחים, ההדבקה התבצעה באמצעות שיחת אודיו לטלפון הממוקד, והתהליך עבד גם אם נמען השיחות ב-WhatsApp לא ענה להן. על פי הפייננשל טיימס, הפגיעות הופיעה גם במכשירי אנדרואיד וגם במכשירי iOS.
"בהתקפה זו נכללים כל הסימנים של חברה פרטית שידועה כמי שעובדת עם ממשלות ומספקת תוכנת ריגול שלפי הדיווחים משתלט על הפונקציות של מערכות ההפעלה בטלפון הנייד", ציינה ווטסאפ בהודעתה הרשמית לתקשורת. הערה זו שולחת להערכת מומחים אצבע מאשימה כלפי NSO. עוד אמר נציג ווטסאפ, שנמצאת בבעלות פייסבוק, לתקשורת כי מספר המשתמשים שהיו קורבנות לפגיעות לא רב. לדבריו, "משתמשים נבחרים מוקדו באמצעות הפגיעות על ידי שחקנית סייבר מתקדמת".
כאמור, קבוצת NSO בישרה בהודעה שפורסמה עקב דבריה של ווטסאפ, כי תוכנות הריגול שלה מורשות אך ורק לשימוש על ידי רשויות ממשלתיות, כמו כן אמרה החברה כי היא לא הייתה מעורבת בזיהוי מטרה לטכנולוגיה שלה.
"מודל חדש של שקיפות ציבורית"
התגובה של קרן נובליפינה קפיטל קשורה ככל הנראה לא רק לקישור החמור לבאג בווטסאפ, אלא גם לכך שביום ג' השבוע הגישו עשרות ישראלים, בהם פעילים ופעילות בסניף המקומי של ארגון זכויות האדם אמנסטי אינטרנשיונל, עתירה לבית המשפט המחוזי בתל אביב, על מנת שיורה למשרד הביטחון לבטל את רישיון הייצוא הביטחוני של NSO.
העותרים טוענים כי "במוצרי הסייבר של החברה נעשה שימוש לשורה של מתקפות מצמררות על מגיני זכויות אדם ברחבי העולם". ב-NSO מתנגדים וטוענים שאמנסטי הוא ארגון אנטי ציוני שלובש כסות של ארגון לזכויות אדם.
[caption id="attachment_290897" align="alignnone" width="600"] אמנסטי אינטרנשיונל[/caption]
לפי רויטרס, נובלפינה מחליפה בחודשים האחרונים מכתבים עם אמנסטי, ומציינת את מחויבותה להבטיח ש-NSO תפעל בהתאם לעקרונות האו"ם בתחום העסקים וזכויות האדם. עם זאת, התקשורת האחרונה בין שני הגופים, שהתבצעה ב-15 במאי, בתגובה למכתב מארגון "אמנסטי" באפריל, לא הוזכרה ההפרה בווטסאפ.
מה שכן מופיע בהבלטה במכתב זה הוא הנכונות של הבעלים ו-NSO להשתנות, לטענתם. "הכוונה שלנו היא לקבוע אמת מידה חדשה לשקיפות וכבוד לזכויות אדם תוך עמידה מלאה בעקרונות ההנחיה של האו"ם", נכתב במכתב. "זה יבוסס על ידי התייעצות מתמשכת ומשמעותית עם בעלי העניין המושפעים, ועל ידי מודל חדש של שקיפות ציבורית".
היסטוריה מלאת תקריות זדוניות
כדאי להזכיר ששמה של חברת NSO הועלה בהקשר לאספקת כלים לריגול אחרי פעילי זכויות אדם ועיתונאים, כשהחשדות האחרונה כנגדה הגיעה, כאמור, ברמיזה מווטסאפ עצמה.
המוצרים של קבוצת NSO, אשר פעלו בחשאי במשך שנים, נמצאו בשנת 2016 כחלק ממסע ריגול דרך השתלטות על מכשיר ה-iPhone של פעיל זכויות אדם שנכלא כעת באיחוד האמירויות, באמצעות פגיעות אבטחה של אפל, שלא פורסמו. מאז, אותרו תוכנות הריגול פגסוס של NSO על מכשירי iPhone של עיתונאים ופעילים אחרים.
המקרה המפורסם ביותר - אבל ממש לא היחיד או החמור ביותר - שבו הייתה מעורבת חברת הריגול ההתקפי ישראלית בעקיפין הוא רצח העיתונאי מתנגד המשטר הסעודי, ג'מאל חשוקג'י, שבוצע לפני כמה חודשים בקונסוליה הסעודית באיסטנבול.
16/05/19 13:23
5.13% מהצפיות
מאת אנשים ומחשבים
עוד מכה תדמיתית לאינטל ולמעבדים שלה. חוקרים שונים זיהו מערך חדש של פגיעויות מבוססות חומרה הפעילות במעבדי החברה שיוצרו מ-2011. בכלל זה נמנים גם מעבדי הדור התשיעי החדש יחסית של מעבדי ה-Core שלה.
הפגיעויות, שנחשפו במהלך השבוע, הן "קרובות משפחה" של הפגיעויות שנחשפו בשנה שעברה, Meltdown ו-Spectrre, והן מוגדרות בהתאם לכך באופן זהה כ-"פגיעויות דגימת נתונים", המייחסות לתהליכים השונים המבוצעים בתוך המעבדים - עד כדי הדלפת מידע חסוי בזמן העיבוד.
יכולות לסייע לפורצים לחלץ סיסמאות, תכנים של אפליקציות ואפילו מפתחות קידוד
לפי החוקרים, הפגיעויות החדשות - שזכו לשמות הצבעוניים Zombieload, RIDL ו-Fallout - יכולות לסייע לפורצים לחלץ סיסמאות, תכנים של אפליקציות ואפילו מפתחות קידוד, כולל ממעבדים שמשובצים בתוך שרתים ולאו דווקא ממחשבים אישיים.
קריאת התכנים הלא חוקית משתמשת ביכולת של כל תוכנית לקרוא את הנתונים שלה ששמורים בחוצצים הפנימיים של המעבד, והיא פורצת בעזרת הפגיעויות את קווי ההגנה שאמורים למנוע גישה לא מורשית.
התקפה מסוג Zombieload משתמשת, לפי החוקרים, בדרך בה ליבות מתכוננות להרצת מטלות במקביל, גם אם משימות שונות אינן זקוקות להרצה מסוג זה ויכולות להסתפק בליבה יחידה. הפורצים יכולים לשאוב את המטלות הללו החוצה מהחוצץ של המעבד, ומסוגלות לחשוף מידע בו משתמשים יישומים אחרים, כולל מערכות הפעלה ומכונות וירטואליות. כך, לדוגמה, ניתן לחשוף את היסטוריית הגלישה באמצעות המחשב.
התקפת RIDL, ראשי תיבות של Rogue In-Flight Data Load, יכולה להשתמש באותה בעיה על מנת להריץ קוד ג'אווה-סקריפט לא מורשה בדפדפן של מערכת ההפעלה כדי לחשוף טקסטים.
התקפת Fallout יכולה לגרום לזליגת מידע מחוצצי אחסון ובזמן אמת, ברגע שהמערכת משתמשת בהם.
באופן אירוני, סיפרו החוקרים, העדכונים ששילבה במעבדי ה-Core i9 של משפחת מעבדי ה-Coffee Lake שלה כדי למנוע התקפות Meltdown הופכת אותם לפגיעים יותר להתקפות Fallout מאשר מעבדים ישנים יותר.
עד עתה, עם זאת, לא ידוע על התקפות שניצלו את הפירצות שנחשפו, ומידת החומרה שלהן היא כנראה בהתאם לצד שמתראיין.
באינטל טוענים כי הם למעשה כבר סיפקו פתרונות לפגיעויות הללו במעבדי הדור השמיני והתשיעי ששוחררו לשוק בשנה האחרונה.
לגבי מעבדים ישנים יותר, החברה התחילה לספק טלאים דרך יצרניות הציוד השונות.
"אפשר למצוא מידע נוסף באתר שלנו ואנחנו ממשיכים לעודד את כולם לשמור על המערכות שלהם מעודכנות, כי זו אחת הדרכים הטובות ביותר להישאר מוגנים", מסרה החברה.