עדכון טכני על.... ES2018 ולא סתם אלא על Regular expressions! תקראו לי פופוליסט אבל אני ממש אוהב לעסוק בזה! וגם ככה פסח, לאף אחד אין כוח לשום דבר אחר. אם זה מעניין אתכם: קריאה מהירה תסביר לכם על פיצ'ר ממש מגניב בג'אווהסקריפט.
https://internet-israel.com/?p=7711 🐪

יצאתי לחופשה ארוכה (בדרום אפריקה) אז כל ענייני הבושות הטכנולוגיות שאני מוצא מתעכבות (למרות ש... בדרום אפריקה אבטחת המידע במצב יותר גרוע מישראל, אפשר לחשוב שהם מדינה אפריקאית! הא הא הא! 👴🏻👴🏻 🤦🏻‍♂️🤷🏻‍♂️) אבל האתר ממשיך להתעדכן כרגיל עם מאמרים טכניים והפעם על ES2018 וביטויים רגולריים חדשים ומגניבים:
https://internet-israel.com/?p=7737 🐪

פושעים? עבריינים? רוצים לזייף צ׳ק של מישהו? לפתוח חשבון בנק בשם של מישהו אחר? לעשות איזו גניבת זהות כדי לקושש כמה שקלים? מה דעתכם על מאגר של שמות מלאים של אזרחים ישראלים והחתימות שלהם (החתימות בקובץ גרפי עם רקע שקוף, כדי שלא תצטרכו להתאמץ חלילה). איך משיגים גישה למאגר כזה מופלא? ממשלת ישראל והשרה מירי רגב סידרו לכם גישה לכזה מאגר.
and that's why we can't have nice things
https://internet-israel.com/?p=7773 🐪

אני יודע, אני יודע - יש לי פיקסציה לביטויים רגולריים ומה לעשות, ES2018 מכיל הרבה חידושים בתחום אז אני חופר עד שיוצאת לבה בעניין הזה. אבל צחוק בצד - אם אתם רוצים לכתוב ולידציה כלשהי, לדעת ביטויים רגולריים זה חשוב מאוד - לא תמיד אפשר להעזר בפתרונות צד שלישי לולידציות או סנטיציות וחשוב להכיר את זה. והמאמר השבועי שלי הוא על תכונות יוניקוד בביטויים רגולריים. ואם זה נשמע מעניין כמו הזכרונות של בוז׳י, אז רק שתדעו שזה באמת מעניין ושווה שלוש דקות מהזמן שלכם. באחריות.
https://internet-israel.com/?p=7741 🐪

והנה הפתעה: אתר פישינג ישראלי שלא מנסה לגנוב פרטים אלא מהווה סיוע משמעותי למרמה שמופצת עכשיו באמצעות פרסומות בפייסבוק. אני מודה שכזה דבר עוד לא ראיתי. יכול להיות שזה יצחיק אתכם: נסיון שקוף של פישינג נלוז - אבל אנשים פחות טכנולוגיים הוא עלול להפיל. אז הנה, אני מזהיר.
https://internet-israel.com/?p=7792

מכירים את כרום? בטח שמכירים. מכירים את אינקוגניטו מוד? בטח שמכירים. אחת החוזקות של אינקוגניטו מוד זה ״סשן״ נפרד. כלומר אם נכנסתי לאתר, עשיתי פעולות (כמו למשל לחפש טיסות באתר השוואת מחירים) וסגרתי את אינקוגניטו מוד - כל העוגיות והמידע שנשמר בצד הלקוח אמורים להתפוגג. אבל באמצעות תעלול UI פשוט אפשר לגרום למידע באינקוגניטו מוד להשאר. כן, כן. דיווחתי לגוגל, הם אישרו את הבאג ואישרו את זה לפרסום. אז הנה, אני מפרסם.
https://internet-israel.com/?p=7689 🐪

אפוקליפסת ה-CERT הגיעה לישראל. בימים האחרונים שורה של אתרים ישראליים הפסיקו לעבוד. האם ייתכן שארגון אנונימוס המפחיד והמסתורי הצליח סוף סוף במבצע OOPS Israel כלשהו? התשובה היא כמובן שלא. למה שהאקרים עוינים יפילו אתרים בישראל כשהמנהלים שלהם יכולים פשוט לשכוח מעניין חידוש תעודות האבטחה המיושנות של סימנטק שפיירפוקס וגוגל הודיעו שהן יפוגו כבר לפני שנה.
במאמר הזה יש מידע נוסף והסבר טכני איך לא תהפכו לחלק מהסטטיסטיקה.
https://internet-israel.com/?p=7827 🐪
גרסה ערוכה ומשובחת יותר, וגם מתאימה יותר לקהל הרחב, פורסמה ב׳הארץ׳. שזה (למי שלא יודע) העיתון העיקרי שבו אני מפרסם:
https://www.haaretz.co.il/captain/net/.premium-1.6029698

אז המוסד גנב לאיראנים חצי טון של חומר מסווג ובישראל ההילולה מתחילה תוך כדי צחוק על האיראנים העלובים. חה חה חה. טוב, אולי זה זמן טוב להזכיר שהמצב גם אצלנו לא משהו. נזכרתי שלפני כמה חודשים העיתונאי עידו קינן (חדר 404 אם יש מישהו שלא מכיר) ואני מצאנו פרצת אבטחה באתר המטה הלאומי שחשפה את *כל* הפרטים האישיים של כל חברי מפלגת הליכוד. כתובות, מיילים, שנת לידה, שם אב, שם אם. מה שתרצו. לא דיווחנו בזמן כי ה̶ת̶ל̶ב̶ט̶נ̶ו̶ ̶ב̶נ̶ו̶ג̶ע̶ ̶ל̶d̶i̶s̶c̶l̶o̶s̶u̶r̶e̶e̶ ̶ה̶ת̶ע̶צ̶ל̶נ̶ו̶ קניתי את XCOM2 והייתי צריך לשחק בו, מצטער. הם שינו את האתר ושכחנו מזה. אבל עכשיו זו הזדמנות מעולה לפרסם.
https://internet-israel.com/?p=6896 🐪

המילה החמה היום בעולם הפיתוח לא קשורה לטכנולוגיה אלא לחוק: GDPR והשינויים שהחקיקה האירופית הזו מביאה מעסיקות לא מעט מחלקות. אז לא, אני לא הולך לחפור על זה אבל אני כן הולך לדבר על Do Not Track - האופציה הנשכחת בדפדפן שפתאום הופכת לרלוונטית ביותר.
מדובר על פיצ׳ר קטן ונשכח בדפדפן שמסמן לכל מי שרוצה להקשיב שאתה לא מעוניין שיעקבו אחריך. במאמר הזה אני מסביר על הפיצ׳ר הזה ואיך להפעיל אותו. בנוסף, אני מספק הסבר למפתחים איך לבדוק אם המשתמש הפעיל את האפשרות הזו. זה יכול להיות מאוד משמעותי, אז כדאי להכיר גם מהצד של הלקוח וגם מהצד של הפיתוח.
https://internet-israel.com/?p=7811 🐪
🐫🐫🐫🐫🐫🐫
כתבו לי שאני צריך לחפור גם פה על כל המיטאפים, אז יאללה:
ביום רביעי הזה, בשעה 19:30 באמות אטריום רמת גן יש מיטאפ על... CI לוורדפרס. אני הולך להסביר איך מפתחים וורדפרס באופו איכותי ביותר ואיך לגבות על כך יותר כסף:
https://www.meetup.com/WordPress-Developers-Israel/events/248016963
22.5 - סשן האקינג. נועם רותם (מומחה אבטחה שחשף את אגר המועמדים של השב״ס) מצד ההתקפה ואני מצד ההגנה מסבירים איך מתקיפים ומגינים על אתרים - אמות אטריום רמת גן:
https://www.meetup.com/Tech-Talk-Teach/events/250300284
אני מרצה גם בשני כנסים שמתקיימים ב-6.6 - הראשון הוא גיקטיים קוד, בו אני מרצה על אבטחת נתונים בצד לקוח (כן, כן)
https://code.geektime.co.il
השני הוא פרס4וורד שאני תמיד שמח להרצות בו ושם אני ארצה על הגנה והקשחה של וורדפרס.
https://press4word.co.il

על Fingerprinting שמעתם? זה שם שלם למגוון טכניקות של ״סימון״ משתמשים. בפוסט הזה אני מראה טכניקה אחת, יפה ומעניינת שבה אני מסמן טקסטים, באופן בלתי נראה למשתמש ויכול לזהות הדלפות. למה חשוב לדעת את זה? כי אם אתם עובדים בפ̶י̶י̶ס̶ב̶ו̶ק̶ ב̶א̶פ̶ל̶ בארגון מושחת, מסואב ורקוב ורוצים להדליף מידע, או אם אתם עיתונאים ורוצים לחשוף מידע שמקור שלכם שלח - כדאי להכיר. אם אתם לא כאלו ולא כאלו - זה מעניין לקרוא בכל מקרה. יאללה, חמש דקות מהחיים ובארוחת שבועות תוכלו להפטיר בנונשלנטיות: ״אז מה? קראתם על הטכניקה החדשה ל-Fingerprinting? ולראות את הדודה מתעלפת לתוך הפשטידה״. אבל אני סוטה מהנושא, כרגיל:
https://internet-israel.com/?p=7818 🐪
למי שקורא ׳הארץ׳ והוא לא אדם טכני, מאוחר יותר אני מעלה בנוהל גם מאמר בעיתון בגרסה פחות טכנית ויותר חביבה. גם ערוכה ומוגהת כמובן על ידי עודד ירון ויאיר בריל.

לפני כמה שבועות כתבתי מאמר על חישוב כוח של סיסמה ועמידות שלה בפני התקפת brute force. להפתעתי הכה רבה המאמר זכה לפופולריות רבה (אפילו ב׳הארץ׳ וזה נהדר - כי זה עיתון יומי ושעיתון יומי יפרסם מאמר, ולו גם שטחי, על קריפטוגרפיה ולו גם בסיסית זה מעולה). חטפתי קצת מהמגיבים על זה שלא הזכרתי התקפה מילונית והבטחתי מאמר המשך - אז הנה מאמר ההמשך - התקפה מילונית. איך היא עובדת, איך מחשבים כוח של סיסמה ואיך אפשר לעקוף אותה. בסוף המאמר בונוס: איך בנק גדול מביך את עצמו ומכריח את המשתמשים שלו לבחור סיסמה חלשה. למה? כי מקצועיות זה ערך עליון בישראל. אבל אני סוטה (שוב) מהנושא. הנה המאמר. 500 מילה ותדעו יותר על התקפה מילונית:
https://internet-israel.com/?p=7841 🐫
מחר, למי ששכח - נועם רותם (לא, לא הזמר, ההאקר) ואני מעבירים הרצאה משולבת שבו יתקוף את אתר ה-PHP שבניתי בעמל רב ואני אגן עליו. מי שלא הצליח להשיג כרטיסים (המיטאפ בחינם אבל כל המקומות התמלאו ממש מהר( וממש רוצה להגיע - talk to me.
https://www.meetup.com/Tech-Talk-Teach/events/250300284
אני מרצה גם בשני כנסים שמתקיימים ב-6.6 - הראשון הוא גיקטיים קוד, בו אני מרצה על אבטחת נתונים בצד לקוח (כן, כן)
https://code.geektime.co.il
השני הוא פרס4וורד שאני תמיד שמח להרצות בו ושם אני ארצה על הגנה והקשחה של וורדפרס.
https://press4word.co.il

מאמר קצר שכתבתי לגיקטיים על XSS, לכבוד הכנס שבו אני מדבר על אבטחת נתונים בצד לקוח. XSS הוא אחת הפרצות האהובות עלי ופה אני מסביר למה זה חשוב. נשמע איזוטרי? זו הפרצה שהיתה בסינגל לפני כשבוע וקצת. זו כמובן רק טעימה מהתוכן שיהיה בהרצאה :)
https://www.geektime.co.il/who-cares-about-information-security-on-front-end/

טוב, כמה אפשר לחפור על אבטחת מידע ובושות של אתרים? הנה מאמר טכני קליל וקצרצר על... HTML. רגע, מה? כן. מסתבר שבשנים האחרונות יש לא מעט אלמנטים חדשים והגיע הזמן לכתוב עליהם מעט. אז לאנשי הפרונט אנד: מאמר שמספר על meter. תגית HTML המוקדשת להצגת מדדים שבאה עם עיצוב יפה ומובנה שחוסך המון כאב ראש. שלוש דקות וגם אתם תכירו.
https://internet-israel.com/?p=7848 🐪

מכירים את ׳פפר׳? נו, המיזם הזה של בנק לאומי: ״אל תקרא לי בנק״. אז מסתבר שהאתר שלהם הוא בפרוטוקול HTTP. נכון, זה אתר תדמיתי אבל בחייאת, זה אתר של בנק וגם עם אתר תדמיתי שמתוקשר ומשווק אפשר לעשות יופי של התקפת Man In The Middle. הייתי בטוח שהם פשוט שכחו לעשות פרוטוקול HTTPS ויצאתי כמקובל עם כתבה ב׳הארץ׳. אבל התגובה של הדוברת של בנק לאומי הפתיעה אותי: ״לא צריך HTTPS ואנחנו עובדים על זה, זה לוקח זמן״.
מה זמן? 😂
כדי להראות לבנק לאומי איך באמת עובדים, הכנתי סרטון קטן של שבע דקות בו אני מתקוטט עם אשתי, אוכל פיצה-פיתה והופך אתר וורדפרס (כולל פתרון תקלות) לאתר שעובד בפרוטוקול HTTPS. וכל זה כאמור בשבע דקות. מסתבר שהשקעת שבע דקות גדולה על בנק לאומי. אולי בגלל זה לא אקרא להם בנק.
הכתבה בהארץ (לא טכנית, ערוכה למנויים בלבד) :
https://www.haaretz.co.il/captain/software/.premium-1.6120101
הפוסט באתר שלי (טכני, עם הסרטון שלי בולס פיצה פיתה ורב עם אשתי והסבר על איך ממירים אתר וורדפרס לעבודה עם HTTPS)
https://internet-israel.com/?p=7857 🐪
--
למי שמגיע לpress4word או לכנס Geektime Code ביום רביעי השבוע - אני מרצה ב*שני* הכנסים על תכנות ואבטחת מידע. נרים קאלי על אמזון, נדבר על התקפות ונדגים על אתרים בחי. יהיה כיף. מבטיח.

לא טכני בכלל, אבל בכל זאת חשוב. בשבועיים האחרונים פונים אלי כה וכמה אנשים ברמות שונות של לחץ. האקרים פנו אליהם ושלחו להם מייל איום - הם חדרו למצלמה של המחשב וצילמו אותם בתנוחות אינטימיות. במידה והם לא יעבירו אי אלו מעות להאקר ההודי, התמונות יופצו לקרובי המשפחה, הקולגות והחברים. לא נעים בכלל - והמציאות? המציאות (כפי שחשדתם) היא שמדובר בספאם מסוג חדש. בפועל מדובר ב׳הנסיך הניגרי 2׳ - סוג של סקאם מיילי. אין פריצות, אין תמונות עירום ולמי ששלח את המייל אין מושג בכלל למי שהוא שלח אותו.
חשוב במיוחד למי שיש הורים/חברים/בני זוג שאינם טכנולוגיים. המאמר ב׳הארץ׳ אבל חופשי לקריאה.
https://www.haaretz.co.il/captain/software/1.6141317

מכירים את קאלי? מדובר בהפצת לינוקס שבאה עם עושר עצום של כלים בסיסיים לחוקרי אבטחת מידע ולמפתחים שרוצים לבדוק את האפליקציות שלהם. רוב האנשים מסתובבים עם מערכת ההפעלה הזו על דיסק און קי או לחלופין משתמשים בלפטופ נפרד. אני השתמשתי עד לא מזמן בדוקר - אבל האמת היא שאפשר להשתמש בענן של אמאזון כדי לאחסן את הקאלי שלכם ולהשתמש בכלים שיש בה. כן כן! במאמר הזה, המבוסס על ההרצאה שלי בפרס4וורד, אני מסביר איך - תאמינו לי, חמש דקות. גם לאנשים הכי לא טכניים בעולם. חוץ מזה, זו אחלה שורת פיק-אפ להתחיל עם א/נשים בפאב: ״רוצה לבוא אלי הביתה לקרוא מאמר על דיפלוימנט של לינוקס על EC2?״. עובד באחריות של 100 אחוז. באמת.
https://internet-israel.com/?p=7869 🐪

יום חמישי שמח ואין כמו יום חמישי כדי לבשר על (עוד) חולשת אבטחה שחשפה מאגר מידע של לקוחות והפעם... כל הלקוחות של חברת בוקס, חברת רישום שמות המתחם הגדולה בישראל. כבר כמה שבועות אני שומע קולות בקרב מומחי שמות המתחם על ספאמים שהם מקבלים למיילים שלא אמורים להיות גלויים. ביקשו ממני לבדוק ואני ביקשתי ממתי מנקס לתת כתף והוא אכן נתן כתף רצינית ביותר (בת׳כלס עשה את רוב העבודה ואני התבטלתי, כרגיל). התוצאות? מסתבר שכל הפרטים של הלקוחות מלבד כרטיס האשראי היו גלויים. אבל אל דאגה! החברה סידרה את החולשה ועכשיו אפשר לספר את הכל.
הכתבה בכלכליסט:
https://www.calcalist.co.il/internet/articles/0,7340,L-3740295,00.html
הפוסט אצלי שהוא יותר טכני:
https://internet-israel.com/?p=7888 🐪
סופשבוע נעים לכולם ואם אתם בענייני בירות אז אני ממליץ בחום רב על ה-IPA המצוינת של שפירא ועל הפילס של בסטר׳ס. מעולה לימי הקיץ החמים. אם אתם רוצים משהו מיוחד אז Barrel Aged Chocolate Porter של שפירא במהדורה מוגזמת. טוב, חפרתי, כרגיל :)

אז עוד מאמר שמבוסס על ההרצאה שלי מפרס4וורד והפעם - איך מריצים wpscan ומה עושים עם התוצאות. שימושי מאוד לכל בעל אתר בוורדפרס שלא רוצה להתעורר בבוקר ולגלות שהאתר שלו מפרסם עכשיו את החמאס עם מוזיקה אוריינטלית (המוזיקה זה באמת החלק הכי גרוע בסיפור הזה). על מי נתאמן? מה דעתכם על אתר ׳פפר׳? הוא יהיה מאובטח כמצופה מאתר תדמית של בנק או שהוא יהיה מלא חורים כמו גבינה שוויצרית שנעשתה על ידי גבן עיוור חולה בפרקינסון? (אמ;לק: נו, מה חשבתם). וגם כמה פסקאות עם הסברים למה גם לאבטח אתרי תדמית זה חשוב.
https://internet-israel.com/?p=7905 🐪
אגב, אני נותן רשיון מלא להריץ את wpscan על האתר שלי. מי שמעוניין לדעת למה הכלי מחזיר את התוצאה הזו: בפוסט הבא אפרסם.
--
ועוד קצת חפירה על מיטאפים: יופי של מיטאפ בשרונה. בר כהן מרצה על websocket (אם לא הכרתם - כדאי להכיר). הייתי בהרצאה הזו בעבר והיא מעולה וגם הרצאה נוספת על מיקרו פרונט אנד. אל תגידו שלא אמרתי: https://www.meetup.com/The-Big-Web-Theory/events/250690106/ החבר׳ה של נילסן מריצים מיטאפים מעולים.

תמיד אומרים לי: "רן, איך יש לך זמן למצוא את כל השטויות האלו?" ואני עונה "הסיפורים נופלים עלי מהשמים". קחו את הקטע הזה - אני טס היום לגראספופ בבלגיה. קצת לפני הטיסה אני גולל לי בהנאה בטוויטר ופתאום... לגמרי במקרה... אני עולה על הוכחה לרשת בוטים עניפה במיוחד ומחוכמת במיוחד בטוויטר וב*עברית*. כזה דבר עוד לא ראינו פה. או לפחות לא ראינו הוכחות לדבר כזה. זה די הדהים אותי כי תמיד צחקנו על בוטים ופייקים וטוקבקים מזויפים, אבל הנה - זה קורה. רואים "גל אותנטי של תגובות וציוצים" ? לא בטוח שזה כל כך אותנטי. ומדובר בפרופילים שממבט ראשון וגם שני ושלישי נראים אמינים לגמרי. איך הבנתי שמדובר בפייקים? מידע נוסף והוכחות, פה:
http://internet-israel.com/?p=7925 🐪

אני בפסטיבל מטאל שנקרא גראספופ בבלגיה המעטירה. שותה בירה ושומע מטאל. אבל גם כשאני חוגג, אני עדיין זוכר את כל האתרים דה-לה-שמאטע שיש בישראל. במאמר הזה, שהוא המאמר השלישי והאחרון שמבוסס על ההרצאה שלי בפרס4וורד, אני מדבר על חורי אבטחה מאוד בסיסיים בוורדפרס ובאיזה תוספים אני משתמש כדי לחסום אותם. אם מישהו ניסה לסרוק את האתר שלי באמצעות wpscan וקיבל כינים בשקית - ככה מגינים על האתר.
https://internet-israel.com/?p=7914 🐪