בוקר יום ראשון, מתקרבים לחגים וזה הזמן להמשיך עם סדרת המדריכים על טייפסקריפט והיום טייפסקריפט ומודולים. האמת שיעשה לכם קצת סדר באיך מודולים בג׳אווהסקריפט עובדים ואיך הם עובדים עם טייפסקריפט.
https://internet-israel.com/?p=10094 🐪
--
בהקשר אחר למי שפספס - ברברסים האחרון העברתי הרצאה על צנזורה והזהרתי מפני חסימות IP לצנזורת אתרים. כיוון שהממשלות מבינות שחסימה על בסיס DNS לא יעילה (למי שלא יודע: המוכרת יותר שניתנת לעקיפה על ידי שימוש ב-DNS של חברה רב לאומית כמו גוגל 8.8.8.8 או קלאודפלייר 1.1.1.1 ודומיהן), אז הן יכולות להתפתות לעבור לחסימת IP ישירה של אתרים. מה הבעיה או הסיכון? שאנחנו כבר לא בשנת 2005 והאינטרנט מאוד השתנתה. יש הרבה תשתיות שונות וחסימת IP יכולה לחבל בהן. נתתי תמיד את רוסיה והטלגרם אבל עכשיו אוסטריה נכנסה למועדון של המדינות שניסו לצנזר את האינטרנט - במקרה הזה חסימה של אתרים שמפרים זכויות יוצרים דרך כתובות IP.
וכתובות ה-IP האלו? היו של קלאודפלייר. ספק CDN מרכזי (שגם אני משתמש בו!) וכך לא מעט אתרים נפגעו בהפצצת שטח. מדהים, לא? זה מה שקורה כשמנסים לחסום את הרשת. מישהו מפר זכויות יוצרים? תתבעו לו את החיים - אבל אל תתעסקו בתשתית. האינטרנט היא לא איזה סוג של ערוצים בטלוויזיה של שנות התשעים ששם היה קוד שמנע מילדים לראות תותי פרוטי.
https://www.themarker.com/captain-internet/2022-09-01/ty-article/.premium/00000182-f8ad-d94b-afbf-f8efbb540000
--
ובהמשך לזה - דווקא התשתיות שמאפשרות לאתרים גדולים להתקיים עלולות להיות נקודת התורפה שלהם ולאפשר הורדה של האתר. במקרה הזה - אתר מבחיל וטרנספובי בשם קיוי פארמס שלא פחות משלושה אנשים התאבדו בגלל מתקפות שנאה שאורגנו מהאתר הזה שבכל פעם קבוצות של אנטישמים וחולערות אחרות מארגנות תקיפה באמצעותו נגד אנשים שהם לא אוהבים. קמפיין ממוקד נגד האתר גרם לחברת קלאודפלייר וכן חברות אחרות לבעוט אותו מהשירותים שלהם. בלי השירותים האלו, אתר מודרני וגדול לא יכול להתקיים ואכן הוא הפסיק להתקיים. זו דוגמה שכן אפשר להלחם בתוכן בעייתי - לא על ידי חסימה אלא על ידי אמצעים ציבוריים ואחרים. גם האתר האנטישמי דיילי שטורמר נסגר בדיוק ככה. יותר פרטים וכו׳ פה:
https://www.themarker.com/captain-internet/2022-09-07/ty-article/.premium/00000183-18cd-d6f3-a7ff-f8efe2780000

בוקר נפלא עם מאמר קטנטן (ממש פחות מחמש דקות קריאה) שמסביר על מודול חמוד מאוד להעלאת שרת ווב מקומי בשניות, כולל תמיכה ב-https. יש סיכוי שאתם מכירים את http-server אבל אם לא - המאמר הזה יכיר לכם אותו:
https://internet-israel.com/?p=10099 🐪
--
מחקר מאוד מעניין שהתפרסם על ידי חוקרים באוניברסיטת אונטריו מראה עד כמה בחירות דיגיטליות זה דבר מסובך ושונה מכל פעולה אחרת.כי חשובה מאוד האנונימיות. באופן אישי זה פשוט היה מאוד מלהיב ומעניין.
כשאנו מקיימים תקשורת מוצפנת עם שרת כלשהו - התקשורת מוצפנת מקצה לקצה. אי אפשר להאזין לה. אבל כמובן שהצפנה זה לא כדור כסף שפותר את הכל ואני אדגים. למשל - אם למשל אתם מאזינים לתקשורת בבית שלי ואתם רואים שאני מוריד ג׳יגות שלמו באמצע הלילה מאתר... אה...
miki-zohar-in-bathing-suit.com - האם אתם צריכים לפתוח את ההצפנה (לא תצליחו) כדי להבין מה אני עושה שם? ברור שלא. אז הנה דוגמה אחת ללמה לפעמים הצפנה יכולה לעבוד מעולה אבל לא להיות פתרון להכל.
ועכשיו לבחירות דיגיטליות: בחוקרים מאוניברסיטת מערב אונטריו עשו מחקר על פלטפורמת החירות דיגיטליות עם נתוני אמת ממערכת בחירות והצליחו, באמצעות האזנה לתקשורת - להבין באחוזי דיוק מאוד מרשימים מי הצביע לאיזה מועמד. למרות ההצפנה! איך?
כשמצביעים באותה הפלטפורמה, השרת מחזיר תשובה מוצפנת ״הצבעתך למפלגת X בראשות Y התקבלה״. - אבל השמות של המפלגות והמועמדים שונים באורכם! וזה בולט אם יש לי שני מועמדים - אחד עם שם קצר והשני עם ארוך! למשל הטקסט של ״הליכוד בראשות בנימין נתניהו״ שונה באורכו מ ״יש עתיד בראשות יאיר לפיד״ - ובאלגוריתם ההצפנה שהשתמשו בו - גם הטקסט המוצפן שונה באורכו. אם אני מאזין לתקשורת ואני רואה שהתוצאה שחוזרת מהשרת היא באורך יותר ארוך מתוצאה אחרת - בינגו! אני יודע למי הצבעת!
יש כמובן פתרונות פשוטים לחור הזה - מלהשתמש באלגוריתם הצפנה שלא חושף את האורך, עד להוסיף ג׳אנק בלי נראה לעמוד ועד אפילו רק להחזיר true\false מהשרת כדי להציג ״הצבעתך נקלטה״ בקליינט.
אבל העניין הוא לא חור האבטחה. העניין הוא שהצבעה דיגיטלית היא דבר מ-ו-ר-כ-ב וזו דוגמה נהדרת לכמה מורכב הסיפור הזה יכול להיות. וחשוב להכיר דוגמאות כאלו במיוחד כי בישראל כל מיני ברנשים נוטים לנפנף בביטול ולהצהיר ״למה אין בחירות דיגיטליות באומת הסייבררררר״ או משהו בסגנון.
כתבה על העניין הזה, עם ראיון נאה של פרופסור אור דונלקמן שנאות להסביר בקצרה על הקשיים שיש כפי שהוא רואה אותם וגם מידע רב ומפורט נוסף על הצפנה ועל הדרך שהחוקרים עשו מופיע גם בפרינט וגם בדה מרקר:
https://www.themarker.com/technation/2022-09-14/ty-article/.premium/00000183-37c0-d598-a1cf-f7d595c00000

ערב ראש השנה שמח! מן הסתם כולם באווירת החג אבל יש עדכון חדש וקצר באתר המיועד לאנשים לא טכניים והפוסט הוא הסבר על VPN. פשוט בכל פעם בדיוני צנזורה אלו ואחרים אני נדרש להסביר מה זה ואני מגלה שיש לפעמים חוסר הבנה של מה זה הכלי הזה ומה ההבדל בינו לבין שינוי שרת DNS. אז החלטתי לכתוב פוסט קצר עם הסבר ואפילו סרטון וידאו שבו אני מדגים איך מתקינים מאפס את הגרסה החינמית של ProtonVPN (אני לקוח משלם ומאוד מרוצה אגב).
אז אם באמת תהיתם מה זה VPN ולא היה לכם נעים לשאול, או שתמיד רציתם להתקין וחשבתם שזה מסובך (זה באמת דקה) - זה הפוסט בשבילכם.
אם אתם אנשים טכניים? תרגישו חופשי להפנות אנשים ששואלים אתכם לשם.
https://internet-israel.com/?p=10113 🐪
--
אמרו לי שכדאי לי לומר: בשנה האחרונה יש לי פינה קבועה בתוכנית הכלכלית של רועי כ״ץ שבה אני מדבר על טכנולוגיה ומה קרה השבוע בעולם. רועי לא נרתע מלהכנס למקומות די סבוכים. כל יום שני ב-11:45 ב-102FM. הפינה שהיתה השבוע - בחירות דיגיטליות בישראל - אפשרי? אתם יודעים כבר שלא בגלל הפוסט הקודם:
https://102fm.co.il/roykatz/?Summyid=137437
--
הבחירות מתקרבות וגם הסמסים מהמפלגות. בני גנץ החריד את כל המדינה עם סמס מיוחד שנקרא class 0, סמס שמשתלט על המסך ברגע שהוא מגיע ולא ממתין בסבלנות ברשימת הסמסים לקריאה. המון אנשים נלחצו וזה מרגיז.
https://www.themarker.com/captain-internet/2022-09-19/ty-article/.premium/00000183-5513-d77f-a1eb-df9758a80000
מעבר לכתבה - זה הזמן להזכיר שגם סמסים כאלו וגם סמסים רגילים ניתנים לחסימה בקלות לבעלי אנדרואיד עם תוכנת הסמסים הדיפולטיבית של גוגל. יש כאן סרטון יוטיוב קצר עם הסבר עליה, תשקיעו כמה שניות ויהיה לכם שקט נפשי:
https://www.youtube.com/watch?v=GriQ9VpJiOc&list=PL2kDM65jqpVrOuls4yjXTw_QKVRTP_VrL
לחבריי האייפוניסטים - תוכנת VeroSMS.
למי שרוצה לחסום לפי מילות מפתח - Key Messages. אני משתמש בה:
https://www.youtube.com/watch?v=eYvYqjHXIHI&list=PL2kDM65jqpVrOuls4yjXTw_QKVRTP_VrL&index=2
כמה דקות עבודה וחסכתם לעצמכם את הספאם הפוליטי וספאם אחר. באמת חבל לסבול.
שנה טובה! ❤️

פוסט חדש באתר על יצירת סביבת פיתוח עם HTTPS. כאשר אנו מפתחים לוקלית אתרים או אפליקציות, אנו רוצים שהלוקאלי יהיה קרוב ככל שאפשר לסביבת הפיתוח ועדיף לעשות את זה עם self signed certificate. תמיד זה היה קשה ומסובך יחסית אבל לא עוד עם כלי ממש נפלא שכדאי להכיר בשם mkcert. אם לא הכרתם, או שאתם מפתחים ומה שכתבתי הוא ג׳יבריש - זה הפוסט שיעשה לכם סדר:
https://internet-israel.com/?p=10105 🐪
--
המחאות באיראן מכריחות את המדינה להשבית את האינטרנט לחלוטין בחלק מהמקומות ובחלק אחר להדק את צנזורת האינטרנט ולעבור לחסימות מבוססות IP. למרות שמדובר בדבר הרסני. סיגנל, שחלק משרתיה נחסמו, עשתה מהלך יפה וביקשה מהגולשים שלה ליצור פרוקסי לטובת האיראנים והגולשים נענו בהמוניהם. כמה לחיצות כפתור ונוצר פרוקסי והמוני פרוקסי כאלו כבר יותר מסובך דרמטית לחסום (רק מזכיר שלאיראן את היכולות של סין מבחינה לוגיסטית).
https://www.themarker.com/captain-internet/2022-09-29/ty-article/.premium/00000183-88f8-d06a-a3e7-b8fb547e0000
--
כל בחירות יש את הלרלורים הקבועים על איך זה שבמדינת הסטארטאפ והסייבר אין בחירות דיגיטליות מרחוק. הרי אנחנו עושים ברשת הכל - למה לא? אחת מהפרשניות לפוליטיקה כלשהי אפילו קבעה בנפנוף יד ש״בקלות אפשר לפתח אפליקציה״. כמובן שהעובדה שהיא מעולם לא כתבה שורת קוד או עברה אפילו ליד חברת הייטק לא מפריעה לה. מהצד התפעולי בחירות דיגיטליות זה אסון *בישראל* - למה? תסתכלו על כשלי הממשלה ותבינו לבד. אפילו אתר שמציג תוצאות בחירות אנחנו לא יכולים לפתח. אז מהצד השני?
מהצד הקריפטוגרפי, פרופסור אור דונקלמן ענה יפה בטוויטר פה למי שפספס:
https://twitter.com/mkilmo/status/1575362280480559104

פוסט חדש באינטרנט ישראל על דליפת פרטיות/חור אבטחה שנגרמת בגלל... HTML! אני נשבע! טוב, לא ממש נגרמת בגלל HTML אלא יותר בגלל בודקי איות אבל יכולה להמנע עם HTML. באמת יופי של מחקר ובפוסט הקצר הזה, אני מסביר עליו:
https://internet-israel.com/?p=10119 🐪
--
בשנה האחרונה יש לי פינה קבועה בתוכנית הכלכלית של רועי כ״ץ שבה אני מדבר על טכנולוגיה ומה קרה השבוע בעולם. כל יום שני ב-11:45 ב-102FM. הפינה שהיתה השבוע - אי אפשר שלא לדבר על המפכ״ל וצנזורת הרשתות החברתיות ורועי התמקד באמת בשאלה טובה - למה בדיוק המפכ״ל מתראיין בעיתון ואומר משהו שפשוט לא אפשרי בישראל?
https://102fm.co.il/roykatz/?Summyid=137891
בשבוע הזה אין פינה כי חג :)
--
והנה משהו שנראה על פניו משעמם וטעכני - גוגל מנסה לשנות את המניפסט של התוספים של כרום לגרסה שלישית כבר הרבה זמן. למה היא נתקעת? למה זה חשוב? כי יש המון מחאות בנוגע לשינוי אחד במניפסט - כזה שמונע מתוספי חסימת פרסומות לעבוד ביעילות ובעצם מאיין אותם. תוספי חסימת פרסומות הם טובים ומומלצים במיוחד לילדים כיוון שהם חוסמים ביעילות פרסומות ביוטיוב (פרסומות מצלקות עם תינוקות צורחים שהם רוצים לחיות למי שמכיר), הדר אשוח, דניס ומישל ושאר ברנשים שמבטיחים הכנסות פסיביות ומטמטמים את הנוער ועוד דברים שבאמת מוטב להמנע מהם. אני ממליץ על u block origin.
אבל עוד מעט התוספים האלו לא יוכלו לעבוד בכרום - מינואר בגרסאות הבטא ומיוני 2023 בגרסה הרגילה. מבאס מאוד. מה הפתרון? אולי כדאי לבדוק את פיירפוקס גם לנייד וגם למחשב. מעבר לזה שמוזילה התחייבה לכך שחוסמי הפרסומות בה לעולם לא יוגבלו, בפיירפוקס לנייד יש תוספים - כלומר חוסם פרסומות. אני לא משתמש באפליקציות כמעט אלא רק בפיירפוקס + תוסף חסימה של ublock origin. כלומר בלי פרסומות ביוטיוב, טוויטר, פייסבוק ואתרי חדשות (אם נכנסים דרך פיירפוקס והתוסף) ובאמת ממליץ על זה. כתבתי על כך כמה מילים בדה מרקר:
https://www.themarker.com/captain-internet/2022-10-06/ty-article/.premium/00000183-adf4-d379-a7eb-fff582d30000

עדכון חדש באתר - על קלאודפלייר. אני משתמש בקלאודפלייר כבר הרבה מאוד זמן והוא מאפשר לי גם הגנה על האתרים שלי אבל גם גמישות גדולה מאוד בכל מה שקשור לניהול שלהם. בפוסט הזה יש הסבר מפורט ככל האפשר על איך מתקינים ומפעילים קלאודפלייר על אתר אינטרנט. אם אתם מפעילים אתר אינטרנט - זה אחד הדברים הכי כדאיים לעשות. אם אתם בוני אתרי אינטרנט - כדאי מאוד להציע את זה ללקוחות שלכם. אם אתם מתכננים אי פעם לבנות עסק - כדאי לקרוא לפחות את ההתחלה כדי לדרוש את זה מבונה האתר שלכם.
https://internet-israel.com/?p=10135 🐪
--
השבוע כתבתי בדה מרקר על GET PARAMS. שזה בעצם נתונים שמופיעים אחרי ה-URL. למשל example.com?fbclid=132233&utm=232333 - כל מה שיש אחרי סימן השאלה. רשתות חברתיות, מנועי חיפוש ואתרים מצמידים את הפרמטרים האלו אוטומטית לקישורים שמתפרסמים דרכם וכך בעצם מאפשרים לעקוב אחרי הקישורים האלו. אם למשל אני שולח קישור כזה לחבר והוא משתמש בו - פייסבוק/גוגל תדע שיש בינינו קשר (אם יש לה פיקסל באתר). משתמשים בזה המון באינטרנט - למי שיש פיירפוקס - כדאי לסמן את Strict בהגדרות הפרטיות כדי להסיר את הפרמטרים האלו באופן אוטומטי.
יותר גרוע מכך - יש חברות שמשתמשות ב-GET PARAMS על מנת לאחסן מידע אישי. אם אתם מפיצים את הקישור הלאה - מי שייכנס אליו יראה את הפרטים האישיים שלכם. מומלץ להכיר:
https://www.themarker.com/captain-internet/2022-10-12/ty-article/.highlight/00000183-c640-d751-abff-cee970170000

בוקר נפלא, אחרי החגים הגיע ולא מעט אנשים מתלבטים בנוגע לבוטקאמפ שהם רוצים ללמוד בו (אני מאמין שכל אחד בתחום קיבל שאלה מקרוב משפחה זה או אחר על העניין). בטוויטר היה דיון מאוד מעניין על העניין הזה ואיך אפשר לדעת אם בוטקאמפ הוא טוב או לא. למרבה הצער, בשל תביעות לשון הרע שונות, אנשים שלא מרוצים או אנשי מקצוע לא יכולים לתת חוות דעת שליליות גם על בוטקאמפים רעים ממש.
אז מה עושים? כתבתי מדריך ארוך ומפורט על ״איך יודעים אם הבוטקאמפ שאתם חושבים לבחור בו הוא בסדר״. כאשר יש שם סעיפים שאפשר וצריך לבדוק בנוגע לפרמטרים שונים של הבוטקאמפ. זה באמת יכול להיות מאוד שימושי:
https://internet-israel.com/?p=10152
--
פרק חדש של הפודקאסט סייברסייבר על מקרה משעשע במיוחד. לפני כחודש נעמה ריבה סיקרה חבלה מגניבה במיוחד ב״תערוכת ה-NFT״ של מוזיאון תל אביב. בתערוכה הוצבו QR code לצד ה... יצירות. האקטיביסטים החליפו את ה-QR code והפנו לאתר משלהם. הנה הקישור לאייטם:
https://www.haaretz.co.il/gallery/art/2022-09-29/ty-article/.premium/00000183-8865-d06a-a3e7-b8e7c8c00000
אחרי שהם רק העבירו את התנועה (כלומר השתמשו בקוד שלהם אבל ניתבו את התנועה לשרת תערוכת ה-NFT האמיתי), הם החליטו לשנות את התערוכה למיצג מחאה. משעשע ומדליק במיוחד.
אני התעניינתי במיוחד בנושא הטכני, כי אז לא ידעתי בדיוק איך הם עשו את זה - ובפודקאסט ראיינו את ההאקטיביסטים שהסבירו וגם נכנסנו לאבטחה פיזית ו-QR code ואז קיבלנו סקופ נוסף - התקפה נוספת על ״התערוכה״.
לא רק שאתר התערוכה היה פגיע מהבחינה הזו שהוא לא שם לב שהבקשות שהוא מקבל מהקליינט הן לא מהקליינט שלו, ההאקטיביסטים גילו שלא נעשה כל אימות על יצירת אוואטרים והשתמשו בכלי הפריצה ״דפדפן״ כדי להכניס סקריפט בצד הלקוח שיוצר המוני אוואטארים שמציגים שלטי מחאה. וואי, אחד הגדולים.😂
מדובר בחולשות מפתיעות במיוחד בתערוכת NFT - כלומר כזו שמרכזת מטרות איכותיות (סביר להניח שרוב המתעניינים מחזיקים בארנקי קריפטו שמנמנים ויש לנו ידע על הביקור שלהם בזמן אמת בתערוכה וגם נתונים נוספים, כאמור שולטים בקליינוט). פניתי למוזיאון תל אביב לשאול איך הם בדיוק איבטחו את התערוכה. התגובה היתה: ״החברה שבחרנו היא המובילה בעולם״. 🤔
אז פניתי לחברה, חברת אריום.xyz. ענה לי מפתח סימפטי בשם איידן, שמסתבר שהוא המנכ״ל והמפתח היחיד. הוא קצת היה מבולבל ממה ששלחתי לו, לא ממש היה סגור על ההתקפה ומסתבר, לפי לינקדין, שהניסיון הפיתוחי שלו הוא 4 חודשים ב-summer of code. נהדר 😂
כתבתי פוסט בסייברסייבר עם הסבר מעמיק ודיאגרמות שמתלווה להקלטה - אני באמת נהניתי מהמקרה הזה:
https://cybercyber.co.il/?p=1812
והסיקור היותר מקצועי שמיועד לאנשים רגילים בדהמרקר:
https://www.themarker.com/captain-internet/2022-10-21/ty-article/.premium/00000183-f4f0-d4ec-a3bf-fcfadb050000
--
פוסט לא טכני שכתבתי בדהמרקר המיועד לכל הבומרים (כמוני!) שמקטרים על מצב התרבות הישראלית העכשווית. שונאים את מה שמנגנים בגל״צ? מתעבים את מה שיש בטלוויזיה? אנחנו נמצאים בעתיד ואנחנו יכולים לקבוע מה נראה ומה נשמע. כל הדרכים שבהם אני נוקט כדי להתנתק מכל המיינסטרים. מהוידג׳ט לרכב שמאפשר לי להתנתק מהרדיו גם במכוניות ישנות ועד איך קוראים ספרים דיגיטליים. פחות רלוונטי למי שנולד אחרי שנות השמונים אבל אולי שווה קריאה לישישים כמוני.
https://www.themarker.com/captain-internet/2022-10-18/ty-article/.premium/00000183-eadd-d965-a793-fbfda5430000
--
מחר אני מרצה ברברסים בהרצאה על איך חוסמים תדרים. ההרצאה, שמיועדת לפרחחי ווב כמוני מפצחת את עניין הוודו הזה שקשור לווי פיי ובלוטות׳ ומסבירה איך מבצעים חסימות, איך מתגוננים (ולמה זה חשוב) ויכול להיות שתשמש אתכם למגוון תעלולים או השבתות של צווחני קריוקי למינהם.
אני ממש אשמח להפגש עם אנשים שם. רוב הזמן שלי בכנס מוקדש למינגלינג.
https://summit2022.reversim.com/agenda/session/969803
הרצאה מומלצת נוספת באותו יום, אגב, היא הרצאה שהייתי בפיילוט שלה והעיפה לי את הסכך (סליחה על הביטוי המיושן) של שחק להב על מחשוב קוונטי.
https://summit2022.reversim.com/agenda/session/969823
היא אחרונה ביום של רברסים, מה שבדרך כלל אומר שלא המון אנשים מגיעים - אבל באמת באמת מומלץ שלא לפספס אותה.

אז זה הולך להיות עדכון לא פשוט - לצערי העצום נחשפה דליפת אבטחת מידע משמעותית ממש. למי שלא יודע - אני חבר מערכת בפודקאסט סייברסייבר - פודקאסט על פחמימות ועל אבטחת מידע יחד עם נעם רותם ועידו קינן ועוד אורחים. מטבע הדברים בגלל הטיפול החביב של ארגונים בחושפי שחיתויות בופרצות אבטחת מידע, אנחנו מפעילים תיבת הדלפות אנונימית. לפני פרק זמן מסוים התקבל דיווח, מלווה בכל מאגר הבוחרים של ישראל (6.7 מיליון רשומות) מאת גורם אנונימי שאיננו יודעים מה זהותו. הוא טען שזה הגיע מש״ס. איך? הוא היה צריך לשלוח רק מילה אחת - דיבאגבר. למי שלא יודע, מדובר בדיבאגר שעובד על מערכות PHP. מאוד מאוד נוח וקל לשימוש. *אבל לא באתר חי*.
אז מה היה שם? לש״ס יש מערכת משוכללת ממש לניהול הבחירות והוזן אליה ספר הבוחרים המלא של כל המצביעים (מת״ז, שמות, כתובות, שם אב, שנת לידה). מה שעוד הוזן אליה אלו גם מספרים וטלפונים (כן, גם קוויים) וכן גם שיוך של בתי אב וקשרים משפחתיים. כל הטוב הזה, מאגר מידע שמן ונחשק, אוחסן במערכת וובית עם הדיבאגר הזה. איך מנצלים את הפירצה? שימו את הקפוצ׳ון ואת מסיכת גיא פוקס שלכם והפעילו את כלי הפריצה המשוכלל דפדפן.
1. כניסה עם הדפדפן לכתובת הדיפולטיבית של הדיבאגר. שם יש את כל רשומות המערכת ובחירת id.
2. העתקת id של הרשומה לכתובת דיפולטיבית של ״מציאת הסשן לפי id״.
3. קבלת הסשן (נקרא shas_session).
4. הדבקתו כעוגיה באמצעות כלי המפתחים. (כלי המפתחים ניתן לפתיחה ב-F12, זה ממש דארק ווב)
5. רילואוד ואתם בפנים. עם קצת מזל כמנהל מערכת.
המערכת כולה נחשפה בפני - מעבר לפרטים האישיים הרבים ופנקס הבוחרים - היו פרטים נוספים: קמפיינים, פרטים אישיים וחשבון בנק של פעילי ש״ס, מידע על הטלפנים. מה שמעניין (ואולי גם מסביר את כוחה של ש״ס) הוא פניות אישיות של אנשים לנציגי ש״ס במסגרת הקמפיין עם בקשות שונות. הנציגים נמדדו על איך הם טיפלו בבקשות והטיפול כלל גם הפעלת נציגי ש״ס בעיריות ובכנסת בטיפול במגוון בעיות - מהנחות בארנונה ועד בקשות למחיקת חובות. הכל תועד ונמדד. נציגי ש״ס נדרשו גם לסגור את הפניות האלו.
הייתי אומר משהו על רשויות המדינה והציפיה שלי מהן לפעול בנושא, אך אין לי ציפיות מהמדינה המתפוררת על רשויותיה הלא מתפקדות. המידע של כולנו מופקר לחלוטין. כאמור המידע הזה נמצא אצל צד שלישי לא ידוע אחד לפחות. היזהרו מנוכלים ומתחזים שלכאורה יודעים עליכם את כל הפרטים. הכל בחוץ.
יש את הפוסט הטכני שלי שמנתח את הכל, יש גם צילומי מסך:
https://internet-israel.com/?p=10160 🐪
מעבר לכך זה התפרסם גם בדה מרקר:
https://www.themarker.com/captain-internet/2022-10-30/ty-article/.highlight/00000184-1349-da3d-a5a6-17cbd8650000
וגם בהארץ:
https://www.haaretz.co.il/tmr/captain-internet/2022-10-30/ty-article/.highlight/00000184-1349-da3d-a5a6-17cbd8650000
חשוב לי לציין לטובה את הדובר על תגובה מקצועית ועל כך שפעל לסגירת הפרצה (שזה להעיף את הדיבאגר). גורם בכיר אחר בתנועת ש״ס שרצה לדבר איתי ולהגיב עוד לפני הדובר גם שיקר וגם איים בתביעת דיבה. אז הנה טיפ: אם יש לכם בארגון אירוע אבטחת מידע - תחפשו את שם העיתונאי בגוגל. אם אתם לא אנשים טכניים אבל לו יש לו רקע טכני בכלל, או הוא ארכיטקט תוכנה בכיר בפרט - עדיף שאל תנסו לחרטט אותו בפרטים טכניים. רק אומר. תנו לדוברים לנהל את האירוע.
--
יש בחירות השבוע - פרק הבחירות הגדול של הפודקאסט סייברסייבר יצא לאוויר - אני אכתוב עליו באופן יותר מפורט בבחירות עצמן אבל באמת שווה האזנה. האם זה אפשרי? פרופסור אור דונקלמן, ד״ר אייל רונן מהצד הקריפטוגרפי והצד של מדעי המחשב. אני מהצד התפעולי (המתכנת שצריך לכתוב ולממש ומכיר לא מעט בעיות) ונעם רותם עם הצד שלו. עידו קינן מנחה, עומר סנש על הסאונד. באמת פרק נפלא:
https://cybercyber.co.il/?p=1834
--
כל יום שני ב-11:45 יש את הפינה שלי ב-102FM בתוכנית הכלכלית של רועי כ״ץ והפעם על גוגל שחוסמת את חוסמי הפרסומות. להאזנה:
https://102fm.co.il/roykatz/?Summyid=138315

בוקר מעולה, מאמר חדש וארוך מאוד (יותר מ-5000 מילה 😱) שבו מובאים כל הטיעונים וההסברים למה בחירות דיגיטליות בישראל זה דבר מאוד מסוכן. לא מעט מומחים בארץ ובעולם הם נגד הבחירות הדיגיטליות וזה מפתיע - כי היית מצפה ממתכנתים מנוסים שיהיו דווקא בעד דיגיטיזציה. יש הסברים לא מעטים ללמה לא ואת רובם הבאתי במאמר מאוד ארוך עם הסברים כשאני מתחיל מהקל לקשה - אינרטו קצר והסברים פשוטים לאלו שלא רוצים לחפור, מקורות נוספים ואז להתחיל לפרק את הקשיים העצומים של מערכת לניהול בחירות דיגיטליות ולמה היא שונה ממש מכל מערכת אחרת. למה באסטוניה יש מערכת כזו אבל במקומות אחרים לא ואפילו את פינת הניטפיקרים.
המאמר הזה הוא מאמר מתעדכן וישתנה בעקבות התגובות - אם יש לך שאלות או משהו להגיב, אני אשמח לתגובות במאמר ואשלב במאמר עם קרדיט כמובן.
https://internet-israel.com/?p=10170 🐪
--
בפינה השבועית שלי בתוכנית הכלכלית עם רועי כ״ץ ב-102FM דיברנו על דליפת המידע מהמערכת של ש״ס שבעצם שוב הדליפה את פנקס הבוחרים. כל יום שני ב 11:45. הנה ההקלטה:
http://summur.ai/Nyqm4
--
זעזועים רציניים בטוויטר בעקבות הרכישה של אילון מאסק. לא מעט אנשים, כולל אני, מגלים חשש ממשי לקהילה שם ולהמשך הפעילות. מסטודון, חלופת הקוד הפתוח המבוזרת, תופסת תאוצה משמעותית. עוד מוקדם לבוא ולומר אם באמת זה יצליח אבל אני בינתיים שם ונהנה מאוד.
https://tooot.im/@barzik
זו דוגמה נהדרת אגב למה אסור לא להשען לעולם על פלטפורמה אחת. אני אוהב את טוויטר וכותב בה לא מעט אבל תמיד זוכר שזו פלטפורמה שיכולה לבעוט אותי בכל רגע נתון.

בוקר נפלא והיום שני פוסטים מעניינים שפורסמו באתר.
הראשון הוא על מסטודון - פוסט על הרשת החברתית המבוזרת ולמה היא כל כך שונה מפייסבוק, טוויטר וטיקטוק ובעצם מהווה חזרה לרוח המקורית של האינטרנט. מסטודון, שהיא חלק מהפדיוורס, היא רשת שנתמכת בפרוטוקול פתוח של ה-W3C שאולי לעולם לא תהיה אלטרנטיבה לרשתות אחרות, אבל היא בהחלט מקום נעים שכיף להיות בו. במאמר הזה הסברתי למתחילים.
https://internet-israel.com/?p=10190 🐪
מי שרוצה לעקוב אחרי שם אז אני פה:
https://tooot.im/web/@barzik
הפוסט השני שכתבתי הוא סוג של הכרזה. באוגוסט מרכז הפיתוח שבו עבדתי, סולוטו, נסגר בפתאומיות. חיפשתי מקום חדש ולשמחתי מצאתי מקום שהתאים לי בול: סייברארק. זו חברת ניהול זהויות דיגיטליות והגנה. ביום הראשון שלי שם עשיתי פול ריקווסט וזו חוויה נהדרת לעובד חדש. גם ככה יום ראשון בעבודה הוא מלחיץ מאוד לעובד חדש - להכיר אנשים חדשים, להבין את המוצרים ואת הקוד ולעשות הדרכות והמון המון דברים ללמוד. כשעושים פול ריקווסט ביום הראשון, גם אם קטן, יש תחושה מעולה וגם המנהל יודע שכל ה-flow של העבודה כבר עובד טוב אצלי. זה לא אומר שאני אפקטיבי מהיום הראשון (יש עקומת למידה) אבל זה אינדיקטור טוב.
על מנת לעשות פול ריקווסט ביום הראשון לעבודה לא צריך להיות גאון (אני ממש לא) - זה יותר עניין של מקום העבודה ובכמה שינויים קטנים כל ארגון או מנהל יכול לגרום לזה לקרות אצלו. כתבתי על זה פה:
https://internet-israel.com/?p=10217 🐪
כתבתי על כך גם בבלוג הטכני של סייברארק באנגלית בקצת יותר פירוט וזה פה:
https://medium.com/cyberark-engineering/enabling-your-workers-to-create-a-pull-request-in-your-first-day-44eeea1f5ea2
--
מאמין שלא פספסתם את הפרק המצחיק של סייברסייבר שהתמקד בעיקר בשיפודי שופן (ספוילר: אין שם מוזיקה קלאסית כמו שחשבנו בהתחלה) אבל גם בשלל פרצות אבטחה חדשות ובאיומים, הפחדות והקטנות. נראה לי שיצא פרק נהדר.
https://cybercyber.co.il/?p=1870
--
בפינה שלי ב-102FM בתוכנית של רועי כ״ץ (כל יום שני, 11:45) דיברנו על מה שקורה בטוויטר - שזה לא מעט. מפיטורים המוניים ועד החלטות עסקיות הזויות כמו פארסת האימות.
--
ומשהו שנזכרתי בו ושכחתי לפרסם בזמן אמת. במשך חצי שעה אני וד״ר הני זובידה דיברנו בערוץ הכנסת על מה יקרה למגזר ההייטק ב-2030. נהיה קצת יותר רלוונטי לראות - במיוחד בהמשך לשינויים שיש במדינה. אולי זה יהיה מעניין.
https://www.knesset.tv/tv-shows/42714/42715/42716/

נפתח את השבוע עם פוסט חדש שהיה צריך לעלות כבר לפני המון זמן אבל כל הזמן נדחה - איך מגבילים גישת IP לשרת שלך. זה פוסט שנוצר כתוצאה מדיון בפייסבוק על קלאודפלייר ושאר reverse proxy.
כתבתי על קלאודפלייר בעבר וזה באמת יופי של כלי (גם המתחרים שלו, אבל אני מכיר היטב את קלאודפלייר אז אני מסביר על מה שאני מכיר). אבל העבודה לא נגמרת ברגע שיש לנו קלאודפלייר - כדאי וצריך להגביל גישה מבחוץ אל המכונה שמאחורי קלאודפלייר. איך? למה? בפוסט הזה יש את כל ההסברים:
https://internet-israel.com/?p=10124 🐪
--
דליפת מידע חמורה במיוחד אירעה באתר של נעל״ה - ארגון ממשלתי ששמסייע לבני נוער לעלות לבדם. בדליפה היו נתונים מאוד קשים ומאוד אישיים: חוות דעת פסיכולוגיות, פסיכיאטריות וכן רפואיות, מידע מקיף ומלא על בתי ספר וכו׳ וכו׳ וכו׳. זוועת עולם ועל קטינים ואלפים מהם.
שמואל לנצ׳נר, יקיר המערכת מצא את זה. למרבה הזוועה, הכל היה חשוף בחיפוש בגוגל.
מידע נוסף פה: https://www.themarker.com/captain-internet/2022-11-16/ty-article/.premium/00000184-755b-d8e3-a5bd-f7fbc2020000
--
בפינה הטכנולוגית בתוכנית הכלכלית של רועי כ״ץ ב-102FM, שבה אני מדבר כל יום שני בשעה 11:45 דיברנו על הפיטורים במטא ולמה הם מזעזעים מאוד את השוק. זו פעם ראשונה שחברת גאמפ״א (או מאמ״א או איך שקוראים להן היום) מפטרת ולמרות היקף הפיטורים הקטן יחסית - זה מאוד מזעזע את השוק.
https://102fm.co.il/roykatz/?Summyid=139276

בוקר מעולה לכולם, אני מתכנת בפייתון כבר מזה זמן אבל איכשהו לא כתבתי מעולם על פייתון. בסייברארק עובדים עם פייתון באופן מאוד מסודר ומובנה ואחרי שלמדתי איך עובדים שם, חשבתי לתרגם חלק מהידע הזה לפוסטים על בניית סביבת פייתון והפוסט הראשון הוא - קביעת גרסת פייתון עם pyenv. שזה הצעד החשוב ביותר לפי דעתי בבניית סביבת עבודה:
https://internet-israel.com/?p=10260 🐪
--
פוסט נוסף שפרסמתי השבוע הוא על מסטודון ואיך עוברים משרת לשרת. שוב, מסטודון היא לא טוויטר, לא פייסבוק ולא רשת אחרת. זה הרבה יותר מזכיר את האינטרנט של פעם. לטוב ולרע. כרגע אני מאוד נהנה שם ומדבר עם אנשים מכל השרתים.
https://internet-israel.com/?p=10231 🐪
--
ברדק מאוד רציני סביב טוויטר (כרגיל) עם המון חששות בנוגע לרשת הזו ולקריסתה. נשאלתי על כך כמה פעמים והתשובה היא כמובן מורכבת. לדעתי לא יהיה מצב שבו ננסה להכנס לטוויטר ולא נצליח במשך ימים ארוכים אבל כן יהיו תקלות שונות ובעיות שונות. לחלק נשים לב יותר.
טוויטר היא רשת גדולה ומורכבת, וברשת כזו יש כל הזמן תקלות ובעיות קטנות שמתוקנות אוטומטית. מטבע הדברים כשמשתמשי הרשת חרדים, הם ישימו לב לבעיות כאלו ויציפו אותן וכך יש תחושה שיש המון באגים בזמן האחרון. לא בטוח שהתחושה הזו נכונה.
כתבתי על כך בדה מרקר:
https://www.themarker.com/captain-internet/2022-11-21/ty-article/.premium/00000184-95cd-daf6-a38d-b5edfae70000
--
כל יום שני ב-11:45 ב-102FM אני ורועי כ״ץ מדברים על טכנולוגיה ובשבוע הקודם דיברנו על המקרה של דליפת המידע מאתר נעל״ה. עצוב מאוד.
--
כל כנסת יש יוזמה לצנזר את האינטרנט. זה ריטואל מעייף ויש המון צעקות ודיונים ולא יוצא מזה כלום. לפני כשנה העברתי הרצאה בכנס רברסים, חצי שעה בעברית, עם הסבר למה זה בלתי אפשרי בישראל. אולי זה יהיה שימושי כי עוד שניה יהיה ניסיון כזה שכרגיל יגרור בזבוז זמן וכסף ורק יתיש את כולם:
https://www.youtube.com/watch?v=98u9t2CC-UQ

הקלטת ההרצאה שלי מכנס רברסים 2022 שהטייטל שלה הוא ״חסימה והתקפות של מכשירים המתקשרים עם קרינה אלקטרומגנטית״ עלה לאוויר. אם הטייטל נשמע לכם הזוי אז רק שתדעו שזו הרצאה שמסבירה על איך חוסמים קריוקי :)
ועכשיו, אחרי שתפסתי את תשומת הלב שלכם - מן הסתם זה לא חוקי אבל זה נושא מאוד מעניין. הפוסט של היום מכיל את ההרצאה ביוטיוב (אפשר להאזין לה גם כפודקאסט) עם כמה קישורים שיאפשרו לכם לעשות ניסויים שונים של חסימת תדרים. שימו לב שמדובר בנושא לא חוקי לשם לימוד ותרגול ועדיף שלא לפוצץ את מסיבת הקריוקי של השכן.
https://internet-israel.com/?p=10265 🐪
--
רוב הזמן אנחנו דואגים שלא ייגנבו הפרטים האישיים שלנו או מספר כרטיס האשראי - אבל נוכלים יכולים לנצל אותנו בדרכים אחרות. בידיעה הזו אני מספר על תוכנה זדונית שהתחזתה לתוכנת ניהול סמסים. כאשר הקורבנות התקינו אותה, היא השתמשה בהרשאת הסמסים על מנת ליצור אימות זהות מזויף עם המספר של הקורבן מול שירותים שונים שמשתמשים באימות סלולרי על מנת לוודא שמדובר במשתמש אמיתי. חשבונות כאלו שהם מאומתים כאנושיים שווים כסף:
https://www.themarker.com/captain-internet/2022-11-29/ty-article/.premium/00000184-c2df-dc5c-abd7-f6df1ac00000
--
היתה גם השבוע את ״מטה משה״, הקבוצה האיראנית עם השם המזעזע שפרסמה פריצה מתוך מצלמה של גוף בטחוני בכיר (לטענתם). נורא צריך להזהר עם דיווחים כאלו מקבוצות פריצה איראניות אבל בלי קשר - יש המון מצלמות לא מאובטחות שאפשר למצוא אותן עם שודאן, כתבו על זה המון לפני וגם אחרי - אם יש לכם מצלמת אבטחה - בחייאת, לא בחללים פרטיים/בחדר הילדים/בחדר שינה או בסלון שלכם. מצלמות אחרות מומלץ לאבטח עד כמה שיותר. בכל מקרה, ברוב הפעמים ״פריצה״ למצלמה היא לא כזה גליק או הישג עצום. אבל יכול להיות לא נעים.

בוקר נפלא והיום פוסט שמסכם על Type Definition בטייפסקריפט - כן, אותו קובץ d.ts מסתורי וקסום. הסבר מעמיק למה צריך אותו, איך צורכים אותו ואיך מייצרים אותו.
הפוסט הזה מסכם את סדרת המדריכים על טייפסקריפט (יש קישור לכלל הסדרה בתחתית כל פוסט) שמאפשר לכל מי שיודע ג׳אווהסקריפט להכנס לעולם הטייפסקריפט מייד.
אם יש לכם את הספרים שלי, אז אני עובד בימים אלו על פרק חדש בספר ללימוד ג׳אווהסקריפט על טייפסקריפט ולהמיר את ספר הריאקט שלי לספר ריאקט + טייפסקריפט + אתר תרגול חדש. אלו שיש להם את הספרים יקבלו עדכון מייד ובחינם כמובן.
https://internet-israel.com/?p=10269 🐪
--
יוצא לי המון לשחק עם הצ׳אט של Open API GPT3, שהשם העממי שלו בטוויטר זה ג׳יפיטפוט ,שמנגיש בצורה נהדרת את הבינה המלאכותית. אני ממליץ לכל אחד לנסות ולהתנסות (צריך רישום קצר):
https://chat.openai.com/chat
איתי כנען הרפז מצא שימוש נהדר לכלי בדמות פול ריקווסט אוטומטי שנכנס לתוך GitHub Actions. שווה לבדוק:
https://github.com/KanHarI/gpt-commit-summarizer
--
בעולם אבטחת המידע הכל נורא כרגיל. השבוע כתבתי בדה מרקר על התקפה על אתר של עירית אשדוד. למה ההאקרים תקפו אותו? לא להציג דגל פלסטין, איש קופץ דרך חישוק בוער ומוזיקה אותנטית. הפעם כדי לשתול בתוכו אתר פישינג שמתחזה לביט, מבקש את כרטיס האשראי שאחרי לקיחת כרטיס האשראי גם מבצע אימות מול חברת כרטיסי האשראי, נשלח סמס בתהליך והאתר החצוף עוד מבקש להזין קוד אימות (!!!) וזה גורם ממש נזק כי להכחיש עסקאות כאלו זה מורכב יחסית.
אחרי התקיפה המוצלחת והשתלת האתר -התוקפים שלחו סמס התקפי של ״פג תוקף חשבונך בביט״. הבעיה היא שמדובר באתר עם סיומת muni.il שעובר בדרך כלל את סף החשדנות בקלות רבה יותר. תוקפים כל הזמן מטרגטים אתרים - במיוחד ממשלתיים ועירוניים - כדי לשתול אתרים זדוניים בתוכם ואז יש נזק כפול - גם הפישינג וגם כלפי בעל האתר. במקרה הזה אנשי עיריית אשדוד (שטיפלו בעניין מהר). מעצבן מאוד.
https://www.themarker.com/captain-internet/2022-12-08/ty-article/.premium/00000184-f15d-d085-afc4-f3ddd7b90000
--
כל יום שני, שעה 11:45, אני מדבר עם רועי כ״ץ על טכנולוגיה בתוכנית הכלכלית ב-102FM. והיום דיברנו על האפליקציה סימו שהפעילה סמסים של הקורבנות שהתקינו אותה ויצרה ים של חשבונות מזוהים תחת חשבון הטלפון של הקורבן. לא נעים.
http://summur.ai/Av99U

בוקר מהמם וחג חנוכה שמח. יש לנו בסייברארק ימי ארכיטקטים עם הרצאות והעברתי הרצאה קצרה על Pimp up my terminal - על כלים שונים ויכולות שונות שיש בטרמינל (גם זה שאנו פותחים בפייצ׳ארם או Visual Studio Code). מה שעורר את עיקר ההתעניינות והשאלות זה omz command שמאפשרת בקלות לנהל את Oh My Zsh שיושבת על Zsh. אז הנה פוסט קצרצר המסביר על זה בפירוט. חמש דקות וגם אתם תדעו:
https://internet-israel.com/?p=10279 🐪
--
השבוע התבשרנו בקול תרועה על הקמת המאגר נגד הספאם. מה זאת אומרת? אם אתם לא רוצים לקבל שיחות ספאם - אתם צריכים להכניס את עצמכם למאגר וחברות הטלמרקטינג שומרות החוק שאינן חברות ביטוח ובנקים, לא יוכלו ליצור איתכם קשר.
נשמע קצת מוזר - למה שברירת המחדל לא תהיה שבכלל לא יתקשרו אלי ומי שכן רוצה הצעות יכניס את עצמו? אבל בסדר. זה עובד גם בארצות אחרות. אבל בישראל, חוץ מזה שאין ענישה למפירי פרטיות, מדליפי פרטים ושאר מזיקים - המאגר הזה מגיע גם עם API שמאפשר קריאה של מיליון מספרים בקריאה אחת. כלומר כל חברה יכולה לבנות לעצמה מאגר של מספרים שלא רק שהם פעילים, יש אליהם רמת קשב גבוהה במיוחד (עובדה שהבעלים שלהם טרחו להכניס אותם לשם) ואז... אם הוא דולף? מי שנמצא שם יקבל פי כמה וכמה ספאם והפעם מגורמים פחות לגיטימיים. זה קרה בעבר.
אז מה עושים? אם גם ככה סובלים גם ככה משיחות מכירה אינסופיות מגורמים לגיטימיים? אולי שווה לשקול להכנס למאגר כי זה לא יזיק. אם המספר שלך מתחת לרדאר ולא מתקבלות אחלי שיחות כאלו? תחשבו פעמיים.
כתבה בדה מרקר:
https://www.themarker.com/captain-internet/2022-12-13/ty-article/.premium/00000185-0ada-d43f-afc7-bbde11840000
ראיון ב-102FM בתוכנית הכלכלית של רועי כ״ץ:
http://summur.ai/1QCXJ

בוקר נהדר וחג שמח!
עדכון חדש באתר והפעם פחות טכני ויותר מיועד לבעלי אתרים. אם יש משהו שמטריד ומלחיץ בעלי אתרים זה שהאתר שלהם לא עובד. זה הדבר הכי מבאס בעולם להבין שהאתר היה כמה שעות או אפילו כמה ימים למטה. אובדן המכירות, הלקוחות או המבקרים הוא לא נעים. אז מה עושים? בלשון מקצועית קוראים לזה מוניטורינג. בדיקה שהאתר עובד כמו שצריך כל כמה דקות או אפילו שניות ומשלוח התראה במייל או בסמס אם משהו השתבש. מוסיף המון שקט נפשי ואפשרי גם לאנשים לא טכניים.
בוני אתרים - זה עוד שירות שאפשר להציע לבעלי האתרים במסגרת חוזה תחזוקה.
https://internet-israel.com/?p=10288 🐪
--
שבוע של חג אבל הרשת לא עוצרת. חוות דעת של סגנית היועצת המשפטית כרמית יונס קובעת כי מודלי AI יכולים להתאמן על מידע במסגרת השימוש ההוגן. מה זה אומר? זה אומר שאמנים בישראל יתקשו למנוע מאנשים שירצו לאמן את המודלים שלהם על תמונות שלהם, טקסטים שלהם או קוד שלהם. נכון, זו לא פסיקה או חקיקה מחייבת אבל זה בהחלט ישמש בתי משפט בישראל אם יידרשו לדון בסוגיה.
הגנת השימוש ההוגן היא נרחבת בישראל (ולדעתי טוב שכך) ומאפשרת לא מעט מחופש הביטוי - אם בתחום הסאטירה ואם בתחום המחקר והלימוד. כתבתי על כך בדה מרקר עם הסברים מאת אורי אליאבייב מתחום הבינה המלאכותית ועורך הדין קלינגר מתחום המשפט.
https://www.themarker.com/captain-internet/2022-12-22/ty-article/.premium/00000185-3acb-d5e1-a1e5-7ffb5d8e0000
--
בטוויטר הטירוף משתולל כאשר אלון מאסק, בניסיון לעצור תחרות או אלוהים יודע מה חסם גם קישורים לרשת מסטודון. הרשת הזו היא מאוד נעימה ונחמדה אבל היא לא מאוד מתחרה לטוויטר - בטח בהיקף האנשים ובטח בהיקף הדיונים - למרות למשל שקהילת חוקרי אבטחת המידע הבינלאומית עברה לשם כמעט לחלוטין. כתבתי על זה וגם הסברתי איך אפשר לחסום קישורים כאלו ומה המנגנון מאחורי החסימה בדה מרקר:
https://www.themarker.com/captain-internet/2022-12-18/ty-article/.premium/00000185-2541-dcac-a185-bde768860000
--
בפינת הרדיו השבועית שלי ברדיו תל אביב - 102FM כל יום שני ב11:45 עם רועי כ״ץ - דיברנו על חסימות הטיקטוק שיש בעקבות המהומות בירדן ומה קרה בדיוק אחרי שהשלטונות שם חסמו את טיקטוק שתדלקה (!!!) את מהומות הדלק.
https://102fm.co.il/roykatz/?Summyid=140730
--
הכספות המוצפנות של הלקוחות של לאסטפאס דלפו. מה זה אומר? אני ארחיב על כך בדה מרקר בימים הקרובים. אם אתם לקוחות? החליפו את סיסמת המאסטר. אם אתם לקוחות שהשתמשו בסיסמת מאסטר פשוטה יחסית? החליפו את הססמאות באתרים החשובים לכם. יותר מידע אפשר למצוא בפוסט הרשמי של לאסטפאס פה:
https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

שנת 2023 פה! יש עדכון בחדש באינטרנט ישראל עם פוסט בעקבות מאמר חדש שכתבתי על בעיה מעניינת שנתקלתי בה באתר שקרס לפתע ויכולה לשפוך אור על איך מדבגים בעיות סיסטם באתרים. לא מעט מתכנתים לא אוהבים לגעת בברזלים (גם אני לא) אבל ידע מסוים במערכות שהקוד שלנו יושב עליהן יכול להיות חשוב בבדיקת בעיות ואפילו בעיות טריוויאליות:
https://internet-israel.com/?p=10296 🐪
--
הסיפור של קלי קונלון מאוד עניין אותי השבוע. זו אמא שליוותה את הבת שלה ושבט הצופות שלה לרדיו סיטי - אולם בניו יורק שאירח את הרוקטס להופעת חג המולד השנתית. איך שהיא נכנסת ללובי, האבטחה ניגשת אליה והיא מגורשת משם בבושת פנים. למה? כי קונלון היא עו״ד שעובדת בפירמה שתובעת את חברת האם של האולם. ואיך איתרו אותה? זיהוי פנים שהופעל בלובי 😱.
מבעית שיש דברים כאלו - אבל רלוונטי גם *לנו* פה בישראל. למה?
בד״כ אנחנו מקשרים אלגוריתמים של זיהוי פנים לממשלות, ארגוני ביון ועוד מקומות שיש להם יכולות טכנולוגיות וכסף. אבל זה כבר מזמן לא ככה - אלגוריתמי זיהוי הפנים הפכו להיות מאוד נפוצים ומאוד טובים. למרות שניתוח המטאדאטה שלהם לפעמים לוקה בחסר, זיהוי הפנים הוא מוצלח והאלגוריתמים מאפשרים לכל אחד, גם ללא ידע טכני, לעשות זיהוי תמונות ולכאלו עם מעט ידע טכני - לעשות זיהוי תמונות מוידאו באמצעות ציוד ביתי. רספרי פיי עם מצלמה למשל.
למה זה מעניין? כי יש סיכון בזיהוי פנים גם בלי חיבור למאגרים ובלי לדעת מי עומד מאחורי הפנים. זה צף בשיחה עם העורכת שלי בדה מרקר. דוגמה? תחשבו למשל על מערכת שמוזנת בכל עשרות אלפי התמונות ממסיבות הגאווה. מישהו נכנס לחנות? הפנים שלו מצולמות באמצעות מצלמת האבטחה ונשלחות למערכת. ואם הוא היה במסיבת גייז? לך מפה!
מאיפה משיגים את התמונות? לא חסר מקומות רבים ומאגרים רבים של אנשים שהעלו תמונות ממסיבות ומצעדים. לא תמונות עיתונות אלא גם תמונות של אנשים פרטיים. המודל יודע לקחת את כל התמונות האלו, לעשות זיהוי פרצוף ואז לזהות את התמונה במקומות אחרים. גם בפיד וידאו כמובן. גם שנים אחר כך.
אפשר לקחת את זה גם להפגנות או אירועים פוליטיים אחרים.
אני לא צריך בכלל לדעת מה הזהות, השם או פרט אחר על מי שנכנס לחנות, לעסק, למרפאה וכו׳. רק שהוא היה במקום כלשהו שמזהה אותו. ובהצלחה להחליף פרצוף, כן?
יש המון אלגוריתמים של זיהוי תמונה. השתעשעתי עם https://betafaceapi.com/demo.html שיש לו דמו חי וגם אתם מוזמנים לנסות! העלו שתי תמונות שלכן. מתקופות שונות ומזמנים שונים ותראו שבחלק מהמקרים הוא בהחלט יוכל לאתר אתכם בתמונה אחת על סמך תמונה אחרת. וזה רק אלגוריתם אחד, כן? יש עם רבים אחרים. והתוצאות מאוד טובות בחלקם.
והכל אפשרי לעשות עם ציוד ביתי. יש לי רספברי פיי בבית עם מצלמה - שעלתה דולרים בודדים שיודעת לזהות אותי גם בחושך ואת זה עשיתי *ללא קוד*. אין שום בעיה לחבר ציוד כזה לכל מצלמת אבטחה בבית עסק ולבנות מערכת שתתריע בפניכם על כל מי שהיה באירוע X.
ואין איך להמנע מזה מבחינה טכנולוגית.
מידע נוסף וכו׳ בדה מרקר:
https://www.themarker.com/captain-internet/2022-12-27/ty-article/.premium/00000185-4f9c-d878-a995-5f9eb65f0000
אגב, אני יודע שזה מאחורי חומת תשלום וזה עלול להיות מבאס, אבל בלי דה מרקר והארץ לא הייתי יכול לכתוב על לא מעט עניינים כי הם מספקים לי הגנה משפטית וחופש מערכתי מלא. אפשר לעשות מנוי חינמי שמאפשר לקרוא 6 כתבות בחודש, כולן יכולות להיות שלי 🙂
--
השבוע ב-102FM - פינת הטכנולוגיה שלי בכל יום שני ב11:45 בתוכנית של רועי כ״ץ דיברנו על ה-AI, הלמידה והעניין החוקי. באמת כמה דקות שיעשו סדר בעניין:
https://102fm.co.il/roykatz/page2
--
מאמר מרתק שאינו שלי אלא של דניאל שוורצר על קריפטוגרפיה בעידן הפוסט קוונטי. מצד אחד הוא קצר יחסית וברור יחסית למאמרים אחרים שעוסקים בנושא, מהצד השני הוא מספיק טכני כדי להביא input מעניין. אני עוסק בזה גם בתחום העבודה וגם כי זה מעניין. המאמר הזה הוא טכני ולא פשוט להבנה לאנשים שהם לא - אבל אני מקווה לכתוב על זה הסבר פשוט וברור. כל מי שהוא טכני - מומלץ לקרוא את זה:
https://medium.com/cyberark-engineering/is-this-the-end-of-asymmetric-cryptography-bb7c5ee1cf94

בוקר מעולה ועדכון חדש של מאמר בסיסי שבת׳כלס כתבתי בשביל שיהיה לי רפרנס לקורסים שאני מעביר באוניברסיטת חיפה ובקריה האקדמית אונו - מה זה SQL Injection לסטודנטים. יש לא מעט הסברים על הפרצה המאוד ותיקה הזו אבל רובם מיועדים ללומדים במקצועות אבטחת המידע או לקהל הרחב ואין הרבה שמיועדים לסטודנטים למדעי המחשב שיש להם ידע טכני אבל לא בתחום הזה. אז כתבתי.
https://internet-israel.com/?p=10311 🐪

עוד יום נפלא ופוסט חדש באתר על Vitejs, סביבת פיתוח ובנייה של ג׳אווהסקריפט בכמה ספריות כולל ונילה + טייפסקריפט. האמת היא ש-Vitejs הפכה להיות ממש ה-goto שלי בכל פעם שאני צריך פרויקט ונילה והיא ממש פשוטה. חמש דקות קריאה יסבירו גם לכם מה היא ומה אפשר לעשות איתה באופן בסיסי.
https://internet-israel.com/?p=10321
--
אני מאמין שכולם מכירים את Chat GPT-3 או בלשון העם ״ג׳יפיטפוט״ כבשה בסערה את העולם. באופן אישי אני נהנה להשתמש בה גם בתכנות שלי וגם בדברים אחרים ואני באמת ממליץ להשתמש בה. אבל בכל הנוגע לעבודות של בית הספר/אוניברסיטה - מורים מבועתים מתלמידים סוררים שמג׳נרטים עבודות כאילו אין מחר. GPTZero הוא כלי שנועד לעלות על טקסטים שנוצרו על ידי מכונה. הוא אפקטיבי למדי אבל אפשר להערים עליו. במאמר הזה בדה מרקר אני כותב עליו: https://www.themarker.com/captain-internet/2023-01-10/ty-article/.premium/00000185-9c0a-df14-af8d-9feb581c0000
--
דבר שממש הפתיע אותי הוא שכמעט לכל VPN שמכבד את עצמו יש אפליקציה לאנדרואיד טי וי. מה זה אומר? שבאמת עם אפס ידע טכני או התעסקות אפשר בקלות להשתמש ב-VPN בטלוויזיה. מה זה אומר? שני דברים. ראשית - יש לכם נטפליקס? כבו את האפליקציה, הפעילו את ה-VPN, פיתחו מחדש את האפליקציה ותהנו מעולם תוכן אחר לגמרי בהתאם למדינה ש״עברתם״ אליה. גרים בחו״ל ורוצים לראות כאן11 או תוכן ישראלי אחר? חברו את ה-VPN לשרת ישראלי ותוכלו לראות את הווטאבר שרציתם לראות.
הדבר השני הוא שאם יש איזה חבר כנסת (ויש כמובן) שהוזה על כל מיני צנזורות של ספקי סטרימינג כי ״לא יעלה על הדעת שאנשים יראו תוכן ביום כיפור״ או משהו בסגנון אז שיחשוב שוב כי הרכבת הזו עזבה את התחנה. לכו תמצאו עץ אחר לנבוח עליו.
מדריך קצר בדה מרקר:
https://www.themarker.com/captain-internet/2023-01-05/ty-article/.premium/00000185-7daf-d8f8-a5f5-ffffd15f0000
--
ב-102FM דיברתי עם עינב גלילי ואור ישראלי על דרכונים ישראלים ואיך אפשר להתארגן על תור. אם אתם רוצים לצאת בקיץ לחו״ל - זה הזמן לבדוק אם הדרכונים בתוקף. לא בתוקף? אתם עלולים להיות בבעיה כי התורים הקרובים ללשכת האוכלוסין הם באיזור סוף יולי בכל המקומות בארץ. אני מסביר בתוכנית איך להשיג תורים. צריך קצת סבלנות ואפשר לעשות את זה, אבל כדאי לעשות את זה עכשיו.
https://102fm.co.il/galili/141648
אני נורא אוהב לדבר איתן :) זו תוכנית למשל שהקלטתי איתן על הג׳יפיטפוט: https://102fm.co.il/galili/141648
--
הפינה הקבועה שלי היא בתוכנית הכלכלית של רועי כ״ץ. כל יום שני בשעה 11:45 ב-102FM. בתוכנית בשבוע הקודם היתה על השימוש שאפשר לעשות בזיהוי תמונה, בלי ידע טכני משמעותי, כדי להפלות אוכלוסיות. https://102fm.co.il/cohen/?Summyid=141844
גם כתבתי על זה בדה מרקר פה: https://www.themarker.com/captain-internet/2022-12-27/ty-article/.premium/00000185-4f9c-d878-a995-5f9eb65f0000

פוסט חדש ומעניין מאוד על תשתית ענן - איך מרימים אפליקציה סטטית על אמזון באקט + קלאודפרונט. ואם זה נשמע כמו סינית? זה הזמן בדיוק להכנס אל המאמר הזה וללמוד איך תשתיות נראות. הרבה מאוד מפתחים פחות מכירים את התשתיות שהקוד בהם עובד וחבל - כי זה מככב בלא מעט שאלות בראיונות עבודה לסניורים שאמורים להכיר היטב את הסביבה שהקוד שלהם (בקאנד או פרונט אנד) עובד ולא להותיר את הכל לדבאופס. להיות מפתח בכיר זה גם לדעת דבאופס.
https://internet-israel.com/?p=10326
אין המון חומרים בעברית, בטח שלא בנושא הזה, אבל אני שמח לומר שהמצב הזה יכול להשתנות. פרויקט הדסטארט מאוד מעניין של ספר המלמד פיתוח ענן תשתיות בעברית זמין עכשיו וזו הזדמנות טובה להשיג עותק בזול. אפי, שהוא אמזון הירו ומומחה פיתוח סרברלס מוציא ספר בעברית על פיתוח כזה. אני תומך בפרויקט הזה והלוואי שיצא לאור ויכול מאוד לעזור. אם תכנים כאלו מעניינים אתכם, זו ההזדמנות לתמוך:
https://headstart.co.il/project/70568
--
אני מניח שכולם ביקום יודעים שתוספים לדפדפן זה לא אגרויסע מציאע, אבל מסתבר שלא מעט אנשים מתקינים תוספים מכל הבא ליד. אז רעיון מצוין זה לצמצם את כמות התוספים לדפדפן - גם אם הם ממש מגניבים. כתבתי על זה פה:
https://www.themarker.com/captain-internet/2023-01-16/ty-article/.premium/00000185-badf-d6ed-afb5-bbdf678e0000
--
ובפינת הבושות - אם לכם היה יום רע בעבודה, הוא לא משתווה ליום הרע שהיה למתכנת/בונה האתר של אתר שופרסל שכנראה טעה בטקסונומיה וגם לכל קטלוג חברת Be להיות באתר הכללי של שופרסל וזמין בחיפוש. מה הבעיה עם זה? הקטלוג כולל צעצועים ל... מבוגרים 😱 וכך מי שחיפש למשל עלי רוקט, גבינת עזים ושאר ירקות (🥁) קיבל תוצאות לא צפויות ודַּי לְחַכִּימָא בִּרְמִיזָא וּלְשַׁטְיָא בְּכוּרְמֵיזָא.
--
https://www.themarker.com/captain-internet/2023-01-18/ty-article/.premium/00000185-c402-d12c-a9d7-dc26ba650000
--
שני פייק ניוז שאינם נכונים שהסתננו לשיח הציבורי ויש להם מהות טכנולוגית. התבהלה הראשונה הוא חוקר אבטחה בשם ג׳פרי פול שפרסם פוסט מאוד דרמטי שבמערכת ההפעלה של אפל M2 יש סריקה של כל התמונות המקומיות במחשב ללא יידוע המשתמש.
זה לא נכון והנה אחת ההבהרות:
https://eclecticlight.co/2023/01/20/demonstrating-causal-connections-using-the-log/
ואני ממש שמח על החברים בתותים שסייעו לי, בדיון מאוד מעניין, להבין שבאמת היה מדובר פה ב״זאב זאב״. שווה קריאה.
פייק ניוז נוסף הוא עם זווית ישראלית והפעם באדיבות אתר אייס שראיין את שר התקשורת החדש שלמה קרעי והנפיק כותרת של ״השר מתנגד לפורנו״ שהניב כמובן סערת רשת וחששות לצנזורת אינטרנט. מי שקרא את הראיון היה יכול לראות שהשר בכלל התכוון לזה שהוא רוצה לפתוח את השוק הטלוויזיוני לתחרות (שוב), לבטל את מועצת הכבלים והלווין ומועצת ערוץ 2 ולהקים מועצה חדשה שרק תוודא שכל ערוץ חדש לא ישדר פורנו או משהו בסגנון. זה הכל. אוף.