מאמר חדש שכתבתי על ראוטינג בריאקט. ראוטינג, למי שלא יודע, זה חלק משמעותי ב-Single Page Application ונמצא בכל אתר/אפליקציה מודרנית. אפשר לעשות אותו בקלות עם כל פריימוורק וגם עם ריאקט אפשר לעשות אותו בקלות עם כמה קומפוננטות. בחרתי את הפופולרית שבהן והסברתי עליה פה:
https://internet-israel.com/?p=8139 🐪
--
למי שפספס השבוע גיליתי חולשת אבטחה משמעותית ביותר באתר של חברת פרסום שחשף משהו כמו מאה אלף רשומות. מה היה שם? איך עשיתי האקינג מתקדם? ובכן... חיפשתי בגוגל. 😬 כן, כן. סייבר אמיתי מה שעשיתי שם.
למי שרוצה לראות את ההאקינג בפעולה,הנה הסרטון. 1:41 שניות מהגינה בפתח תקווה:
https://www.youtube.com/watch?v=XkCxtOlWyMM
וכמובן שכתבתי על זה ב'הארץ' :
https://www.haaretz.co.il/captain/net/.premium-1.6674826

אני מתאר לעצמי שרובכם שמעתם, אבל אם מישהו לא שמע/לא ידע - מודול מרכזי ב-npm שנקרא event stream נפרץ בדרך... מעניינת. המתחזק שלו פשוט לא נגע בו המון שנים ואז הגיע אליו מתכנת ״חביב״ והציע לו סיוע ועזרה. חיש קל המתכנת ה״חביב״ קיבל זכויות על ה-repo ודחף לשם קוד זדוני. חודשיים וחצי (!) הקוד הזה היה שם. המודול הזה ירד שמונה מיליון פעמים. מהמם. מה מטרת הקוד? גניבת ביטקוין כמובן.
אם אתם משתמשים ב-node, זה הזמן לבדוק את ה-package.json שלכם. הסברים וכו׳ יש באתר שלי כרגיל. גם קישורים למקורות נוספים וטובים יותר.
https://internet-israel.com/?p=8363 🐪
--
ומצטער שאני קצת נדחף עם הג׳יפה הישראלית המצויה - אבל אם מישהו מכם הצליח לפספס את הגועל נפש שהיה בועדת הכלכלה בנוגע ל׳חוק הצנזורה׳ המטונף של שולי מועלם ומיקי זוהר וההאשמות כלפי ההייטק - הוא מוזמן לקרוא על זה במגוון מקורות:
המאמר שלי ב׳הארץ׳:
https://www.haaretz.co.il/captain/net/.premium-1.6687061
מאמר בכלכליסט:
https://www.calcalist.co.il/internet/articles/0,7340,L-3750652,00.html
ולאנשים עם סף בחילה גבוה - האייטם בחדשות 2. תצטיידו באטמי אוזניים ובוויסקי:
https://www.mako.co.il/news-channel2/Channel-2-Newscast-q4_2018/Article-9c41bcc2ea15761004.htm?sCh=531e5f147f036610&pId=1792181790
באופן אישי? אני מתבייש שאנשים כאלו נמצאים בכנסת. הצרחות, הקללות, ההיסטריה. זה קשה לראות. באמת.

בימים האחרונים יש ממש קרב בין המדינה לחמאס. לא, לא קרב עם טילים ועפיפוני תבערה כמקובל אלא קרב בשדה הסייבר. החמאס רוצה להפיץ תמונות של אלו שהיו במבצע צבאי כנגדו והמדינה לא מעונינת להפיץ אותן.
כחלק מהמלחמה הזו, המדינה חסמה אתרי חמאס שיש בהם את התמונות האלו. אבל החסימה הזו היא דוגמה נהדרת לאיך חסימת אינטרנט בשנת 2018 לא יכולה לעבוד. לא, לא בגלל ש״קל לעקוף״ אלא בגלל שאפשר לעקוף את החסימה בקלות בלי לדעת שנחסמנו בכלל! איך? בגלל גוגל קאש (או בינג קאש).
כשאנו רוצים להכנס לאתר אנו מגגלים אותו או מחפשים אותו בבינג. אם אנחנו לא נכנסים לאתר, הרבה פעמים אנחנו מעלים אותו מהקאש של מנוע החיפוש. אני משער שרבים מכם מכירים אותו - הוא קיים בגוגל, בינג ומקומות נוספים. לחיצה על חץ קטן ליד תוצאת החיפוש ואנחנו רואים את התוצאות של האתר הישר מהשרתים של גוגל. ואת זה אי אפשר לחסום עם *שום* חסימה.
כמה קל לעקוף את זה בלי להתכוון? אנו מגגלים את שם האתר החסום, מנסים להכנס, מקבלים הודעת שגיאה בדפדפן (לא הודעת תקלה כי האתר בhttps) ונכנסים לקאש. זהו, עקפנו. בלי להתכוון אפילו. בלי לדעת אפילו שיש חסימה.
וזה כמובן עובד בכל חסימה, גם בחסימת אתרי החמאס.
*אני כמובן שלא מנסה לעודד אתכם להכנס לאתרי החמאס* ולהפיץ את התמונות וסביר להניח שאף אחד מהקוראים שלי לא יעשה את זה. למה? חינוך ואחריות שעובדים. המדינה ביקשה שלא להפיץ ואנחנו מקשיבים כי אנחנו אזרחים אחראים והחינוך האזרחי? עובד. הרבה יותר מחסימה שגם כאן - פשוט לא עובדת. כי אנחנו בשנת 2018.
מזכיר לכם מקרה אחר? 🤔
פרטים נוספים ומלאים במאמר שלי פה:
https://internet-israel.com/?p=8371 🐪

נרצה או לא נרצה, וורדפרס היא הפלטפורמה הגדולה בעולם. מי שבונה אתר היום כנראה ויבחר בה אם הוא מעוניין במערכת משלו ולא ב-SAAS (כמו ויקס). אם אתם בוני אתרים - כדאי מאוד להכיר את דוקר שמאפשרת לכם בקלות ובמהירות לייצר סביבות עבודה מרובות על המחשב שלכם ולייצא את התוכן במהירות לכל סביבה שהיא. במדריך הזה אני ועומרי, הבן שלי ומומחה לא קטן לדוקר, מסבירים ומדגימים איך מרימים אתר וורדפרס על דוקר ואיך עובדים איתו. וכן, אנחנו מתייחסים לשאלה הנצחית למה לא Xamp או איך שקוראים לזוועתון הזה.
אני יודע שהרבה מתכנתים מעדיפים להשאיר את דוקר לאנשי הdevops וחבל. מדובר במערכת ממש פשוטה להבנה והכרות איתה יכולה לחסוך המון זמן ותסכול.
https://internet-israel.com/?p=8380 🐪

במקום לכתוב מאמרים טכניים מעניינים, אני נאלץ לגרור אתכם לגועל הנפש של הישראליאנה הקבועה.
אתמול הקרקס של הצנזורה בכיכובם של הליצנים ח״כ מיקי זוהר ושולי מועלם סיפק כותרות איומות ונוראות נוסח ״אם וואלה ו-Ynet יפרסמו עירום - אז תצנזר גם אותם!״ ומופעי אימים של צרחות וצווחות בועדת מיקי זוהר ליצירת חוק הצנזורה. בועדה הוא גם שטח את חזונו בנוגע למערכת הצנזורה.
זה מזכיר לי סיפור מעניין על צ׳רצ׳יל. מה הקשר בין צ׳רצ׳יל למיקי זוהר? הקשיבו:
במלחמת העולם הכי שניה, לורד מבוגר ונשוא פנים ביקש להפגש עם צ׳רצ׳יל. באמתחתו, כך אמר בגאווה, פתרון מלא לבעיית הצוללות הגרמניות שעשו שמות בצי הבריטי.
צ׳רצ׳יל היה טרוד כולו בבעית המלחמה שאז הלכה מדחי אל דחי אבל הלורד היה באמת מכובד ונשוא פנים וראש הממשלה העסוק הקדיש לו פגישה.
״כבוד ראש הממשלה צ׳רצ׳יל״ אמר לו הלורד, ״יש לי פתרון לבעית הצוללות הגרמניות! נחמם את מי האוקינוסים לחום של 50 מעלות ואז צוותי הצוללות יתבשלו למוות. הפתרון המושלם!״.
- ״ו... איך בדיוק נבצע את זה, כבוד הלורד?״ שאל צ׳רצ׳יל.
״אה? זה? זו בעיה הנדסית, שהמהנדסים ישברו את הראש על זה!״ אמר הלורד המכובד בנפנוף יד מבטל.
נשמע לכם מצחיק? זה בדיוק מה ששולי מועלם אמרה בועדת האימים אתמול: ״יש פה מי שמדבר ערכים, ויש פה מי שצריך לתרגם את הערכים לדרכי ביצוע״. כלומר היא תקבע את הערכים והמתכנתים העלובים? הם כבר יסתדרו.
כך מיקי זוהר, שולי מועלם, ונציגי ארגוני ההורים מטעם עצמם צורחים וצווחים בועדות הכנסת, מנופפים אגרופים ומציעים מיני פתרונות הזויים. כשאנשי מקצוע אומרים להם שהפתרונות שהם מציעים הם לא אפשריים - הם מייד קופצים ברוב טקס ומאשימים אותם בתמיכה בפורנו לילדים.
אני לא פוחד מחבורת הצווחנים הזו. גם לא ממיקי זוהר. תקראו לי ״תומך בפורנו ילדים״ עד מחר אבל המערכת המטופשת של מיקי זוהר לא יכולה לעבוד והיא תהווה בזבוז אדיר של כספי ציבור ובמקרה הטוב (הטוב!) היא רק תאט ותחריב את התשתית פה. לעבוד כפי שמיקי זוהר חושב שהיא תעבוד? היא לא תעבוד. גם אם הוא, שולי ושאר הגאונים יצרחו ויחוקקו חוקים עד לב השמים.

זה לא היה פשוט, אבל כתבתי מאמר טכני, בסיוע חברים מקהילת אבטחת המידע והתשתיות בארץ, המסביר במונחים פשוטים ככל האפשר למה המערכת הזו בלתי אפשרית ליישום. אתם מוזמנים לקרוא ולהפיץ. המטרה שלי היא שפשוט לא יבזבזו על הפח הזה כסף ציבורי וינהגו בקצת פחות פופוליסטיות ויותר במקצועיות:
https://internet-israel.com/?p=8388 🐪
הפוסט יפורסם גם ב׳הארץ׳ בהמשך היום. וזה מאוד לא טריוויאלי לפרסם פוסט כזה בעיתונות יומית.

אם יש משהו שאני ממש לא אוהב במדריכי Hello World (גם אלו שאני כותב, אגב), זה שהכל נחמד, ורוד ועם נצנצים בהתחלה. אבל המדריכים האלו לא עוזרים לך כשיש בעיות. במדריך הזה על דוקר עומרי בר-זיק ואני מסבירים על איך להכנס למכונה ולדבג אותה כאשר הקונטיינר החביב רץ עם docker compose. שזה סופר שימושי כאשר יש תקלות. אני גם מראה איך להבדיל בין תקלה של docker compose לבין תקלה אפליקטיבית.
אני מצטער קצת על הגלישה למחוזות ה-devops (ועוד עם וורדפרס, מה שהופך את הסיפור לעוד יותר איזוטרי). אבל זה דברים שכל מתכנת צריך להבין בהם ולו קצת. נכון, זה נחשב יותר ״ברזלים״ אבל בסופו של דבר זו תשתית הפיתוח שלנו.
במאמר הזה יש את כל ההסברים וגם סרטון קצר ומגניב שבו אני ועומרי מתקוטטים וגם מסבירים על הכל:
https://internet-israel.com/?p=8382 🐪

אזהרה חמורה: התקפה חדשה על משתמשי ווטסאפ בישראל שמשתמשת בהנדסה חברתית מחוכמת.
הצעד הראשון הוא שהתוקף משתלט על חשבון ווטסאפ אחד בשיטה הידועה של תקיפה באמצעות משיבון.
השלב השני הוא תקיפה של החברים של בעל החשבון. במיוחד אם בעל החשבון הוא מנהל קבוצה. איך? הוא בוחר כמה חברים בקבוצה ומוציא אותם ואז הוא פונה, בעברית ובפרט, אל מי שהוציא וטוען שעל מנת להחזיר אותם צריך קוד מיוחד שיתקבל מווטסאפ. אתם כבר מבינים כבר לאן זה הולך, כן?
השלב השלישי מגיע מיד לאחר יצירת הקשר עם הקורבן שהוצא כרגע מאחת הקבוצות ושוכנע שעל מנת לחזור הוא צריך להעביר קוד שהוא יקבל. התוקף מנסה להעביר את החשבון ו-ווטסאפ שולחת קוד אימות, המותקף מקבל קוד אותו, בשפה הספרדית, כך שזה נראה כמו ממבו ג'מבו ואז שולח אותו לתוקף.
השלב הרביעי והאחרון מגיע ברגע שהתוקף מקבל את הקוד. זה השלב שבו התוקף יכול בקלות להשתלט על החשבון, מפעיל אימות דו שלבי ומונע השתלטות מחודשת. פשוט ואלגנטי.
כולם יכולים ליפול בזה. הפתרון? להיות עירניים ולהפעיל אימות דו שלבי בווטסאפ. כן כן.

אני יודע שכולם פה ערמומיים כשועלים, אבל יש לנו הורים/ילדים/אחים שיש להם ידע מקצועי פחות טוב משלנו. שווה אזהרה.
מידע נוסף בכתבה שלי בהארץ - פתוח לקהל הרחב:
https://www.haaretz.co.il/captain/software/1.6742749

המאמר הטכני השבועי הוא שוב על דוקר והפעם עומרי בר-זיק ואני מדגימים איך עובדים עם שלושה (!) קונטיינרים בדוקר אחד. אנחנו עדיין נשארים בעולם הוורדפרס כדי להדגים את זה ומסבירים איך עובדים עם wp-cli ודוקר. פייר? מגניב מאוד. זו גם ההזדמנות האחרונה שלי לעשות סרטים כאלו עם עומרי כי מחר הוא מתגייס לצבא. מה שאומר שבסרטונים הבאים אני אהיה לבדי.
המאמרים הבאים יהיו יותר תיאורטיים כדי להסביר על https ואז אני אדגים איך מרימים מכונת node עם https על דוקר. סופר מגניב לדעתי וגם פשוט.
https://internet-israel.com/?p=8405 🐪

טוב, החפירה האחרונה על דוקר - מבטיח. במאמר הזה אני מסביר על איך מרימים מכונת node\express בדוקר. כל הדוגמאות שלי היו עד עכשיו על PHP כי זה פשוט מהמם אותי, כמפתח ווב שמסתובב פה כבר אי אלו עשורים, שאפשר להריץ מכונת Linux, Apache, MySQL, PHP על חלונות בלי למצמץ בכלל. וכל מי שהשתמש בתועבת ה XAMP או ה WAMP יודע על מה אני מדבר. אבל דוקר זה לא רק ל-PHP אלא גם לכל שפה שהיא וגם node. במאמר הזה אני מראה איך יוצרים תעודת אבטחה בקלות ועובדים עם https.
בגדול, אני לא חושב שכל מפתח צריך לדעת דוקר או קוברנטיס ברמת devops. אני משאיר את הדיפלוימנט להם. אבל חשוב להכיר את הסביבה שבה אנחנו מפתחים ולדעת ליצור אחת כזו.
https://internet-israel.com/?p=8418 🐪

מאמר חדש על פיצ׳רים שלא הכרתי בגיטהאב. איך מוסיפים CONTRIBUTERS (ואז מקבלים התראה בכל פול ריקווסט) ואיך מוסיפים רשימת משימות לכל פול ריקווסט. אני מאמין שיש כאלו שלא מכירים את זה - אז שווה קריאה אם אתם משתמשים בגיטהאב
https://internet-israel.com/?p=8426 🐪

שני מאמרים חדשים היום. הראשון הוא רלוונטי *לבוני אתרים* - בזמן האחרון יש מגיפה מטורפת של מכתבי התראה לפני תביעה שנשלחים בגלל חוק הנגישות על ידי משרד עורכי דין שנשכר על ידי אדם שיש לו מוגבלות. קיבלתם מכתב כזה? במאמר אני מסביר מה צריך לעשות - רלוונטי במיוחד אם אתם בוני אתרים קטנים ולא עסק מיומן ומשומן.
https://internet-israel.com/?p=8432 🐪
המאמר השני פורסם ב'הארץ' והוא מאמר על שיטת פרוסם נלוזה במיוחד שבמסגרתה עסק שמפרסם הגרלה (מפוקפק מאוד לדעתי וטעמי) משתמש בפרסום נאה של mako. מה הבעיה? זה לא mako אלא mak0. נשבע לכם.
https://www.haaretz.co.il/captain/net/.premium-1.6809047
--
אני כותב בהארץ לא מעט, וגם במקומות אחרים - אבל אני לא שולח פה הודעות בכל פרסום או בכלל. אני לא יודע אם זה מה שהקוראים רוצים. האם הקורא רוצה הודעה בכל פעם שמאמר שלי מתפרסם או רק דברים שמתפרסמים באינטרנט ישראל? לצערי הערוץ הזה הוא חד כיווני - אני כותב והקוראים רואים ולא יכולים להגיב (למעט בתגובות בבלוג) אז... יצרתי סקר, אנונימי לגמרי שאפשר לענות עליו:
https://goo.gl/forms/onxQOqdZM2GhHHoC2
אני זמין, תמיד, ביוזר שלי פה rbarzik אם מישהו רוצה לחפור מעבר לשאלון.

השבוע הזה היה כל כך עמוס ששכחתי לעדכן את המאמר השבועי. אז המאמר הוא מאמר צנוע וקטן לעומת כל שטף הגילויים והבלגן האחרון - אבל הוא חשוב. למה הוא חשוב? כי הוא מאמר מבוא (יהיו עוד בשבועות הקרובים) על בדיקות אוטומטיות בריאקט עם Jest. נכון, זה לא סייבר, האקינג או משהו סקסי אבל זה הלחם והחמאה שלי. בדיקות אוטומטיות הן ה-בסיס בה״א הידיעה לפיתוח איכותי ו*מהיר*. בחברה שבה אני עובד אנחנו מדלוורים בקצב מטורף ובאיכות יוצאת דופן. איך? בין היתר בזכות בדיקות אוטומטיות. לא עשיתם כאלו? כותבים בריאקט? נסו לקרוא את המאמר הזה:
https://internet-israel.com/?p=8464 🐪
היום הייתי ב-Outbrain יחד עם נעם רותם ושמחנו להעביר הרצאה בפני גילדת הפרונט אנד וגילדת הבק אנד שלהם. ההרצאה עסקה באבטחת מידע. אני בניתי אתר ונעם פרץ אליו. בין לבין ניתחנו את הקוד וסיפרנו על דברים אמיתיים שראינו. הזווית של ההרצאה היא מאוד Dev-centric כי מה לעשות... אני לא האקר אלא מפתח. למי שרוצה לראות, יש את ההרצאה ביוטיוב:
https://www.youtube.com/watch?v=r53uIKv1JQM
מאמר מעניין שכתבתי אתמול ב׳הארץ׳ אתמול עסק באתר של ועדת הבחירות המרכזית (אתר שנועד לגייס מזכירי קלפי). האתר היה אמור לצאת רק באפריל אבל מסיבה מסוימת החברה שפיתחה אותו העלתה את גרסת הפיתוח לענן באופן גלוי. הכתובת דלפה והחלה להסתובב בקבוצות ווטסאפ שונות. זה כמובן רע מאוד - למה? כי (ואני לא מאמין שצריך אשכרה לכתוב את זה!) לא מעלים אתרי פיתוח רגישים למקום גלוי!!! רבאק, אתרי פיתוח הם מכרה זהב לכל תוקף שרוצה להשיג מידע על אתר הפרודקשן. לחשוף אתר בשלבי בניה זה רעיון רע-רע-רע במיוחד כשמדובר בתשתית אולטרא רגישה כמו אתרים שקשורים לאתר הבחירות. חפרתי על זה עוד בהארץ כמובן (כמו למשל מה אפשר לעשות אם משחיתים אתר כזה) אבל את העקרון הסברתי פה. נו נו נו ועדת הבחירות! מזל שהיום מינו שם CISO חדש.
https://www.haaretz.co.il/captain/net/.premium-1.6831223
ועוד צ׳ופר קטן לסגירת החפירה הקולוסאלית הזו. ב-22 לינואר, יום שלישי ב*סולוטו תל אביב* הולך להתקיים טקס פרסי הסייבר! נעם רותם ואנוכי הולכים לדבר על פאדיחות הסייבר הגדולות של השנה האחרונה שמצאנו ואף לתת ציונים. הסיסמה הכי טובה, ה-XSS הכי עצוב, ה- injection הכי מרגש, הארגונים הכי מבאסים והאיומים הכי מצחיקים שקיבלנו. הולך להיות מצחיק. האירוע הזה נפתח לפני שעה והוא בדרך כלל מתמלא מהר. מעניין אתכם? בואו:
https://www.events.solutotlv.com/events/2019-cyber-awards

בוקר צח בוקר זך! העדכון היום הוא מאמר חדש על ערפול קוד. מה שנקרא בשפת גויי הים: Obfuscation. התרגום הנכון הוא ערפול למי שלא ידע (אני לא ידעתי, אגב) ובמאמר אני מסביר מה זה ערפול, מדגים עם ג׳אווהסקריפט (זה יהיה מובן גם למי שלא יודע בכלל את השפה) ומסביר מתי להשתמש בזה. המאמר הזה הוא חלק מסדרה חדשה של הסבר מונחים קלאסיים שיחסכו לי הרבה זמן בקורסים ובהרצאות כי יהיה לי רפרנס. חמש דקות וגם אתם תדעו כל מה שצריך לדעת על ערפול קוד:
https://internet-israel.com/?p=8397 🐪
לשמחתי סולוטו הגדילו את הנפח של אירוע פרסי הסייבר שהולך להיות ביום שלישי הזה בערב. מדובר בעצם באיגנובל של הסייבר הישראלי ובו אני (וגם נעם ואחרים) חוגגים את הביזיונות שראינו. עם קטגוריות נוסח God it was on client, פרס מפעל חיים לאוטומציה מטומטמת ופרס טורינג לבוטים כושלים וכמובן פרס הפוליטיקאי השנתי - זה הולך להיות מאוד מצחיק.
לצערי אני חייב לדווח שתהיה נוכחות תקשורתית כבדה באירוע: הפודקאסט סייבר-סייבר בא לעשות הקלטה חיה, חדשות 2 וכלי תקשורת כתובה ומשודרת נוספת. למה לצערי? כי התחייבתי כמו דביל בטוויטר שאני בא להנחות את האירוע עם חצאית... 😳 באשר אבדנו אבדנו.
https://www.events.solutotlv.com/events/2019-cyber-awards
הנה הקישור להרשמה. אל תתביישו לומר שלום! האירוע הוא 45 דקות אבל יש זמן למינגלינג לפני ואחרי ויהיה אחלה אוכל וצחוקים.
--
ועוד חפירונת אחרונה - למי שלא שמע את הפודקאסט שלי ב׳סייברסייבר׳ בו נעם ואני מספרים על הפירצה האחרונה- מסופר שם איך העובדה שאני טס לפסטיבל מטאל (גראספופ למי שמכיר) גרמה לחשיפת פרצה משמעותית במערכת ההזמנות של אמדאוס (רק 40 אחוז מחברות התעופה). כמובן שבמיטב המסורת הפרצה הזו לא דורשת אף ידע טכני לגילוי ולהבנה. הנה כל הפירוט ושם יש קישור גם לפודקאסט וגם לאייטם שכתבתי ל׳הארץ׳:
http://room404.net/?p=75330

עדכון חדש והפעם המשך החפירה על בדיקות אוטומטיות בריאקט. עם Jest ו-Enzyme. מדובר בכלי שאני משתמש בו המון לבדיקות ונחשב ממש סטנדרט בעולם הזה של בדיקות אוטומטיות. במאמר אני מסביר עליו ומנסה לצאת קצת מעולם ה-hello world (הא! ראיתם מה עשיתי פה?).
אני מת על בדיקות אוטומטיות. הן ההמצאה הכי טובה בעולם ואפילו יותר מלחם פרוס. אם יש דבר שמאפשר לי לדלוור בשקט, בבטחון ובמהירות - אלו הן הבדיקות האוטומטיות. במוצר שאני עובד בו יש הליך CI מהמם שמאפשר לכל מתכנת לדחוף קוד אפילו חמש פעמים ביום ישר לפרודקשן. נשמע כמו סיוט? זה ממש לא. למה? בדיוק בגלל הבדיקות האוטומטיות.
https://internet-israel.com/?p=8471 🐪
--
ביום חמישי בערב העליתי אייטם ב׳הארץ׳ שבו דיברתי על פרטיות בתוכנות מסרים מיידיים. אני משתמש בכל התוכנות אבל בכולן יש בעיות. וטסאפ שייכת לפייסבוק ואלוהים יודע מה קורה שם. טלגרם היא מעולה אבל עלו סימני שאלה כבדים על עניין ההצפנה שלה ומה קורה כשגוף מסוים מבקש את המפתחות (ולמה יש מפתחות). סיגנל היא כרגע החלופה המועדפת עלי. קוד פתוח, הצפנה אמיתית עם מפתח ציבורי ושקיפות מלאה. במאמר חפרתי בדיוק על זה במשך 2,000 מילה כאשר הסברתי מה זה הצפנה, למה בדיוק ווטסאפ יכולים לדעת בדיוק מה אתם כותבים למרות ההצפנה וכו׳ וכו׳. למי שאין מנוי - אני מעלה עוד מעט כמה מאמרים מעניינים על הצפנה סימטרית ואסימטרית לפרחחי ווב.
https://www.haaretz.co.il/captain/software/.premium-MAGAZINE-1.6871112
היה שבוע מעניין ועמוס במיוחד עם הרבה ראיונות ברשת ב׳, גלי צה״ל וגם אזכורים נאים בידיעות אחרונות ובגלובס (ואייטם ב׳הארץ׳ שאותו כתבתי כפולואפ לאייטם של עומר כביר מכלכליסט) על ענייני הבוטים/פייקים במערכת הבחירות. לפי מה שאני רואה, זה הולך להיות מגעיל במיוחד. זה הזמן להמליץ לכם לתרום לקמפיין מימון ההמון של נעם רותם ויובל אדם שמשמש לתחזוק פרויקט הבוטים שלהם שאחראי ללא מעט גילויים מעניינים כולל האחרון על הרשת הלבנונית (!)
תרומה לקמפיין: https://www.drove.com/campaign/5c374ff6501d64000180f585
האייטם של עומר כביר בכלכליסט על הרשת הלבנונית (!) :
https://www.calcalist.co.il/internet/articles/0,7340,L-3754429,00.html
והפולואפ שלי כולל ניתוח קוד של מה היה באתר המזויף והמעפן שהם הפעילו:
https://www.haaretz.co.il/captain/net/.premium-1.6851274
--
יאללה, שיהיה בוקר טוב ושבוע טוב - אני זמין כרגיל ב @rbarzik 😊

בסקר האחרון אישרתם לי לשלוח גם עדכונים מהאייטמים שאני מפרסם ב׳הארץ׳. אז הנה, משהו שהוא ממש סיפור מתח מטורף. אני אתן כאן את כל הפרטים ואז גם קישור לכתבה שמכילה את הכל. אם אתם מנויים, דלגו חופשי לכתבה. ואם לא - מה שיש פה זה סיפור מהמם.
הכל מתחיל בסמס מזויף שנשלח ממספר ׳100׳. לכל מתפקדי הליכוד. לא, לא המשטרה שלחה אותו. בסמס היה כתוב:
״חשיפה בלעדית:
ח"כ שנתפס על חם בבושתו בלינק הבא
צפייה מגיל 18 ומעלה בלבד!
לזה בליכוד לא ציפו, סרטון מצלמת האבטחה״
וקישור. הקישור הוביל לדומיין בשם ilnews.xyz שהיה רשום כדומיין נסתר בnamecheap. מה שהיה שם זה קוד מעקב של גוגל שצבע כל מי שנכנס. 17,000 איש נכנסו ואיפשרו למי שהאתר בבעלותו לטרגט אותם בפלטפורמה של גוגל. לגיטימי, אבל דרך ההפצה מסריחה ולא בטוח שחוקית.
היום הופץ סמס נוסף מ׳חדשות ערוץ 10׳ שאמר ש״נבחרת להצביע במדגם״ והכיל גם הוא הפניה לסקר. הדומיין likud.club גם הוא היה חסוי וגם באתר הזה היה קוד מעקב והפעם קוד מעקב אישי (בקישור היה מספר מזהה אישי לכל סמס).
בעצתם של שני מומחי אבטחה אמיתיים: רן לוקאר ו zhacker13 עשיתי reverse IP search שזה השם הכי מפוצץ לדבר הכי מטופש: בדיקת האתרים שמאוחסנים על IP מסוים. במקרה הזה אותו IP של likud.club ו-ilnews.xyz.
https://securitytrails.com/list/ip/208.113.193.71
מה גילינו? שמדובר ב-VPS של דרימהוסט שמכיל שורה ארוכה של אתרים. כל האתרים המזוהים שם היו של שני שותפים במגוון שותפויות עסקיות. איתי ארבל ומושיקו פסל. מושיקו פסל הוא פרשן בערוץ 20, שדרן בגלי ישראל ו....מתמודד בפריימריס של הליכוד במשבצת הצעירים. הוא האיש שהתפרסם כאשר עשה קמפיין מימון המון להגנה של נתניהו.
וזה? זה כבר מתחיל להיות מסריח. למה? כי זה מעולה לנהל קמפיין. אבל פחות לשלוח סמסים מתחזים בשם המשטרה וחדשות בתפוצת נאט״ו לכל מתפקדי הליכוד.
ביקשתי תגובה מהליכוד. הייתי בטוח שהם ירצו להגן על הפאקינג מתפקדים שלהם. מה קיבלתי? ובכן. לא רצו להגיב.
ביקשתי תגובה מפסל וקיבלתי כלום. אבל באופן מסתורי ומעניין הדומיין ilnews.xyz, אחרי שנה של אחסון בדרימהוסט עבר לאחסון ב-namecheap. איזה מזל שיש ארכיון לזה:
https://securitytrails.com/domain/ilnews.xyz/history/
איזו חובבנות עלובה.
וזהו, זה סוף הסיפור. בעולם מושלם המשטרה היתה מתערבת ובודקת עם מר פסל האם הוא באמת שלח סמסים בשמה ואם כן... כתב אישום. בעולם מושלם תנועת הליכוד היתה בודקת איך אפשר לנקוט בצעדים משמעתיים נגד מישהו ששלח למתפקדים סמסים מזויפים. אבל אנחנו חיים בישראל. אז כלום לא יקרה. מצד שני, יופי של סיפור, לא?
הנה האייטם:
https://www.haaretz.co.il/captain/net/.premium-1.6896837
--
אגב, למי שפספס את טקס פרסי הסייבר בסולוטו - הפודקאסט ׳סייברסייבר׳ העלה את ההקלטה!
http://room404.net/?p=75399

אז מאמר חדש שכתבתי על בדיקות אוטומטיות אסינכרוניות של קומפוננטות ריאקט עם Jest ו enzyme. במאמר אני יוצא קצת מעולם ה hello world ומראה כבר שימוש ב services. הדוגמה? קומפוננטת בדיחת אבא כמובן. וכן, יש דוגמה חיה.
אם אתם לא מבינים למה אני מתרכז בבדיקות אוטומטיות לריאקט, אז זה בגלל שכמפתח עם ניסיון של כך וכך שנים אני יודע כמה הבדיקות האלו חשובות לאינטגרציה ולחיים בלי באגים.

⁦ https://internet-israel.com/%D7%9E%D7%93%D7%A8%D7%99%D7%9B%D7%99%D7%9D/react/%D7%91%D7%93%D7%99%D7%A7%D7%95%D7%AA-%D7%99%D7%97%D7%99%D7%93%D7%94-%D7%91%D7%A2%D7%95%D7%9C%D7%9D-%D7%94%D7%90%D7%9E%D7%99%D7%AA%D7%99-%D7%A2%D7%9D-%D7%A8%D7%99%D7%90%D7%A7%D7%98-enzyme-%D7%95-jest/⁩ 🐪

בעקבות חוק הצנזורה של מיקי זוהר והדיונים אודותיו, הבנתי שיש חוסר במידע על איך https עובד. אחרי כמה ויכוחים ומריבות על דברים שחשבתי שהם אלמנטריים, החלטתי לכתוב סדרת מאמרים והנה, היום הזה הגיע. בסדרת המאמרים אני מדבר על... קריפטוגרפיה. רגע! רגע! לא להתחיל לפהק ולברוח. לא סתם קריפטוגרפיה אלא קריפטוגרפיה והצפנה לפרחחי ווב. המינימום של המינימום שצריך לדעת על זה.
במאמר הזה אני מדבר על הצפנה סימטרית. איך היא עובדת ואפילו נותן דוגמאות עם node. רק מה? אל תשתמשו בשיט הזה לעבודת הצפנה אמיתית, כן? הכל זה ברמת ה-POC והסבר. אם אתם, כמוני, פרחחי ווב ומבקשים מכם לממש הצפנה מאפס, תתיעצו עם קריפטוגרף למען השם.
https://internet-israel.com/?p=8402 🐪
--
מותר לי רגע של תעופה עצמית? תמיד בכיתי על זה שלעולם לא אכנס לרשימת הרווקים הנחשקים כי אני כבר המון שנים לא רווק. בשנים האחרונות בכיתי על כך שאני לעולם לא אכנס לרשימת הארבעים מתחת לארבעים כי אני מעל גיל ארבעים. כנראה בכיתי על זה ממש חזק כי ניוזגיק עשו את ׳40 מעל 40׳ והכניסו אותי לרשימה :)
https://40over40.geektime.co.il/influencer/רן-בר-זיק

מאמר המשך על הצפנה שהוא בעצם מכין את התשתית להסבר על HTTPS. המאמר מדבר על הצפנה א-סימטרית. כלומר עם מפתח פרטי ומפתח ציבורי. כולנו משתמשים בהצפנות האלו, בין אם כשאנו מתחברים לגיטהאב או כשאנחנו מתחברים לשרת עם SSH. במאמר הזה אני מסביר על הצפנה אסימטרית, נותן דוגמה תיאורטית ואז מדגים עם קוד node שאפילו העליתי לגיטהאב כדי שתוכלו להתנסות.
המאמרים האלו מכסים את המינימום הנדרש למפתחי ווב. גם אם אתם לא עוסקים בזה ביומיום, הבנת העקרוןן חשובה כדי להבין דברים נוספים הקשורים למקצוע שלנו ובמיוחד במיוחד HTTPS שעליו אכתוב במאמרים הבאים.
https://internet-israel.com/?p=8452 🐪
ואם כבר אני חופר, אם מישהו פספס - היתה פרצת אבטחה מהממת בספירה המחודשת של הפריימריס בליכוד. הפריימריס האלו היו באמצעות פתקי נייר ובגלל אי סדרים בספירה הראשונית נעשתה ספירה חוזרת. האנשים שהזינו את הספירה השתמשו במערכת וובית. מה הפרצה? המערכת הוובית הזו היתה נטולת אבטחה לחלוטין. כל מי שידע את ה-IP של המערכת היה יכול להכנס ו*לשנות* את הספירה מחדש. מי ידע את כתובת ה-IP? כל המדינה, כי הכתבת דפנה ליאל פרסמה תמונה של המערכת הזו.
תגובת הליכוד: ״זו מערכת לתצוגה בלבד, ידה ידה ידה אנחנו מאובטחים ברמה הגבוהה ביותר ורן מבלבל את השכל״. זה כמובן שקר מוחלט והצגתי את הראיות הפורנזיות המתאימות. אבל לזה כבר דובר הליכוד לא הגיב. הוא גם לא טרח לציין את השם של מי שאחראי על האבטחה.
היו מלא כתבות על זה ופולואפים וצחוקים וגם קצת בכי או הרבה בכי.
בהארץ: https://www.haaretz.co.il/captain/net/.premium-1.6934956
במעריב: https://www.maariv.co.il/business/tech/Article-684812
היום גם פרסמתי ב׳הארץ׳ מדריך על איך לנהל את ההרשאות של האפליקציות (באנדרואיד ובאייפון). למה? כי למה בדיוק לאובר צריכה להיות הרשאה למצלמה שלי? למה בדיוק אני צריך לתת לאפליקציות ניווט גישה למיקרופון? ואם אני לא מצלם ושולח בווטסאפ, לא צריכה להיות לו גישה למצלמה שלי. אם זה מעניין אתכם, הקישור פה:
https://www.haaretz.co.il/captain/net/.premium-1.6918933

המאמר היום הוא תשלום על התחייבות בת חודשיים. בדצמבר 2018 התראיינתי בפודקאסט הנהדר של ראם שרמן גיקונומי. דיברתי שם על דרכים להתעדכנות מקצועית בפיתוח ווב וסיפרתי שאני מבקר קבוע בבלוגים, בקבוצות פייסבוק וקורא גם ספרים. הבטחתי גם שאפרסם את רשימת המקורות.
מה קרה בין לבין? העצלנות הכרונית שלי. אבל סוף סוף הזזתי את עצמי ופרסמתי רשימת מקורות כריפוזיטורי בגיטהאב. אתם מוזמנים לעיין וגם לתרום אם יש משהו שהשמטתי. הרשימה לא מלאה ויש עוד מלא דברים שאני אוסיף כמו ספרים באנגלית למשל (יש המון שאני ממליץ עליהם), ערוצי טלגרם וכו׳.
הנה הפוסט שבו אני חופר על התעדכנות מקצועית:
https://internet-israel.com/?p=8483 🐪
והנה הקישור לריפוזיטורי:
https://github.com/barzik/web-dev-il-resources

פרסמתי היום אייטם מעניין ב׳הארץ׳ על חולשת פרטיות שנמצאה באתר תקדין לייט באמצעות קובץ robots.txt. כמיטב המסורת חפרתי על זה בפייסבוש וגם בטוויטר והחפירה היתה כה ארוכה שבסוף פרסמתי את הכל בבלוג (וגם חפרתי ברשתות החברתיות כי ככה אני - לא מוותר על חפירה מטורפת)
אז robots.txt. מכירים אותו? זה קובץ הנחיות קטן שיש כמעט בכל אתר ומנחה את מנועי החיפוש להתעלם מדפים מסוימים. למה? כי יש דפים שאין טעם לסרוק. דף הלוגין למשל, או דפי ארכיון כפולים. שימו לב למשל לאתר וורדפרס.קום ולקובץ שלו: https://wordpress.com/robots.txt שמפרט בו דפים שהוא לא רוצה שיוצגו בגוגל. הגיוני, לא?
מה הבעיה? שהרבה מתכנתים שוכחים שכל אחד יכול לגשת לקובץ ולא רק מנועי חיפוש ונוהגים לשים שם קישורים לדפים שמסגירים מידע שלפעמים הוא קריטי. מ-API שעדיף שלא יהיה פתוח ועד כתובת של הממשק הניהולי.
אתר כזה הוא אתר תקדין לייט. שאתם מכירים גם אם אתם לא עורכי דין. למה?
כי כשאנחנו מחפשים שם של מישהו (מועמד לעבודה, בעל מקצוע, שותף) בגוגל - תקדין יציג לנו את שמו אם יש פסקי דין שמעורבים בו. אם נרצה לחטט הלאה, נצטרך לשלם כסף על מנוי לתקדין או גישה מזדמנת. מזה האתר מרוויח. אבל האתר מרוויח מעוד משהו: הוא מקבל כסף מהסרה של שמות מהארכיבים שלו.
עד כאן לגיטימי, לא?
אבל איך תקדין הסירו את השמות של האנשים? חוקר האבטחה מייקל אנג׳ל גילה וגם הלשין לי: הם הסירו את התוצאות מהאתר, אבל הוסיפו אותן אל... ה-robots.txt שלהם. כך כל אחד היה יכול לקבל גישה מלאה אל השמות של האנשים שרצו להסיר את עצמם. מפה? מפה החגיגה יכולה רק להתחיל.
זו לא חולשת האבטחה הכי מחרידה בעולם, אבל היא דוגמה מדהימה לאיך עצלנות או אפילו סתם חוסר ידיעה יכולה לגרום לחולשות ובמקרה הזה להפרת פרטיות וגם פתח לצרות. מי ששילם על הסרת השם שלו מתוצאות תקדין במנוע החיפוש לא רצה להופיע ברשימה מסוימת שגלויה לכל, נכון?

קישור לפוסט שלי שמרחיב עוד קצת באופן טכני על החלופות לקובץ הזה:
https://internet-israel.com/?p=8486 🐪
קישור לאייטם המגניב והידידותי למוגלגים ב Haaretz הארץ :
https://www.haaretz.co.il/captain/net/.premium-1.6975076