ar
Feedback
אינטרנט ישראל

אינטרנט ישראל

الذهاب إلى القناة على Telegram

עדכונים טכנולוגיים שבועיים בזמן אמת. ללא ספאם, ללא הודעות נוספות.

إظهار المزيد
8 549
المشتركون
-124 ساعات
-57 أيام
-1330 أيام
أرشيف المشاركات
קל לשכוח בין כל חגיגות הבוטים שיש גם מתקפות יותר סטנדרטיות. אתמול הובאה לידיעתי מתקפה מאוד מעניינת שמשתמשת בטכניקות סופר פשוטות של ג'אווהסקריפט ומעט CSS כדי להצליח ולדמות 'מסך כחול' באופן מאוד אפקטיבי ולמנוע מהמשתמש, באמצעות UI בלבד, סגירה של הטאב או הדפדפן. כל מה שצריך כדי ליפול קורבן למתקפה זה ללחוץ על קישור. אבל כמובן שהמתקפה הזו היא רק מתקפת UI, לא חדירה למחשב. אבל חשוב להכיר אותה כי כזו מתקפה לא ראיתי וגם, כפי שאנחנו יודעים, כל סקאם אמריקאי מגיע מהר מאוד לישראל ובמיוחד בתקופת החופש הגדול. הסברים, סרטון וגם קוד המתקפה פה: https://internet-israel.com/?p=8166 🐪 כיוון שלא מצאתי תיעוד למתקפה הזו במקומות אחרים, טרחתי לכתוב גם באנגלית. מי שמעוניין - הנה המאמר במדיום: https://medium.com/@barzik/new-frontend-based-attack-mimic-blue-screen-in-a-very-effective-way-3cf33ed7659c

בוקר טוב לכולם ולכולן! השמש זורחת, הציפורים מצייצות והבוטים מבטבטים. איזה בוטים? כתבתי כבר על רשתות בוטים בעבר אבל אני גאה (טוב, לא ממש) לספר לכם על רשת בוטים ישראלית ראשונה שהופעלה מטעמו של פוליטיקאי בכיר: *בוגי יעלון* שמישהו מטעמו הפעיל רשת בוטים שתמכה בו. הרשת ניסתה ממש לשנות את השיח הציבורי. איך עלו על הרשת הזו? איזה פעולות נעשו כדי לזהות את הפייקים וגם (כנראה) את המפעיל? הכל בפוסט: https://internet-israel.com/?p=8143

סמסים שנשלחים על ידי חברות הם ממש ממש קלים לזיוף. ואני מתפלא שרוב האנשים לא ידעו את זה. אפילו אנשים טכניים (למשל יעל, אשתי, שהופתעה מדמו שעשיתי לה). כיוון שאתמול התראיינתי על הנושא, חשבתי שזה יהיה לעניין גם לכתוב על זה מאמר קצת יותר מורחב עם הדגמה נוספת מעבר להדגמה הטלוויזיונית (שגם היא בפוסט) וגם הסברים על מה לעשות ואיך להתגונן. אני מתאר לעצמי שזה לא יפתיע אף מתכנת שעסק אי פעם בהתחברות ל-API של סמסים. אבל כל המציל נפש אחת וגו'. https://internet-israel.com/?p=8123 🐪

אחד הדברים שהכי מטריפים אותי זה התגובות של אנשים למקרים של דליפת מידע. ״למי אכפת? אז דלף השם, הטלפון, המייל ומספר תעודת הזהות שלי לרשת״ אומר מר ישראל ישראלי בזמן שהוא מלטף את כרסו ובוהה באח הגדול. מתקפת פישינג חדשה שהחלה אתמול מראה בדיוק למה דליפות מידע הן מסוכנות. סמס מאוד אפקטיבי, כביכול מכללית, נשלח לאזרחים תמימים אתמול והציע להם לחדש את המרשמים שלהם ברשת בעלות של 2.90. אבל המטרה היתה לגנוב את פרטי האשראי שלהם - וכן, היו כמה שנפלו. לא פחות מ-1,400 ביקורים נרשמו לדף התוקף. למרבה המזל, מומחי אבטחת מידע עלו על ההתקפה בשלב מוקדם (יאי אלעד מידר וקבוצת DC9723 בפייסוש) ובלמו אותה וייתכן שגם עלו על זהות התוקף. מידע נוסף על ההתקפה פה. גיזרו ושימרו לפעם הבאה שהדוד שלכם אומר לכם ש״מה זה משנה להגן על המידע בחבחבחבח״. ראש השנה עוד מעט מגיע FYI. https://internet-israel.com/?p=8112 🐪

הבטחתי וקיימתי. סדרת מאמרים חדשה על... ריאקט (כן, כן, מבית Facebook). ריאקט היא פריימוורק אולטרא פופולרי לקומפוננטות ומשתמשים בו בלא מעט מקומות. הגיע הזמן שנסביר עליו, לא? המאמר הפותח בסדרת המדריכים מספר על סביבת העבודה הראשונית וגם על ריאקט. זה גם מה שהולך להיות פה כמעט כל יום ראשון בשבועות הקרובים. מצטער :) https://internet-israel.com/?p=7995 🐪

אז אני באלזס אשר בצרפת, שותה יין נסך ואוכל מיני שקצים ושרצים. אבל גם כאשר אני מתהולל בניכר, אני לא שוכח את רעיי וידידי המתכנתים המתייגעים להם ואת האבטחה שמצבה... לא טוב. אז הנה מאמר שיסייע לכל מתכנת שמשתמש ב-node (יש כאלו שלא?) לשפר את האבטחה שלו. המאמר מספר על מודול בשם npq שעוטף את npm ונותן חיווי מהיר לסטטוס של כל מודול מותקן ויכול למנוע הרבה צרות. שלבו אותו עם Snyk מהמאמר הקודם ותקבלו שדרוג משמעותי לאבטחה. https://internet-israel.com/?p=8041 🐪

אחת המגרעות הגדולות ביותר שלי היא שאני מנתק את הסלולרי והולך לישון מוקדם (באיזור שעה 20:00 - נשבע לכם). מצד אחד, אני מרוויח בריאות ושקט נפשי. מצד שני, אני מפספס לא מעט אקשן. אתמול קצת לפני שעה 11, אתר ערוץ 10 הושחת בתוכן מתוך צבא הסייבר התימני (נשבע לכם). לא בטוח אם זה תימנים או איראנים או סתם אינדונזיים משועממים - אבל רק כשקמתי היום בבוקר גיליתי מה קרה. לשמחתי לא מעט אנשים טובים מסרו לי את הפרטים הרלוונטיים ובראשם נעם רותם, שר המאפים וההאקינג. הפרצה הזו מראה באופן מופלא כמעט עד כמה הפרטים הקטנים חשובים מאוד. לא מעט פעמים, כשאני ואחרים מדווחים על חולשות אבטחה, אומרים לנו ש״זה לא מהותי״. כשדיווחתי על העדר ה-HTTPS ב׳פפר׳ - אמרו לי שזה לא חשוב למשל וגם באינספור פרצות אחרות. אבל יש לי כלל - אם OWASP מתייחסים לזה ברצינות אז גם אני. ההשחתה של ערוץ 10 היא דוגמה נהדרת לעד כמה פרט קטן שנתפס כ״לא ממש חשוב״ מוביל לפריצה. במאמר הזה יש הסבר מקיף איך פרצו ואיך נמנעים מזה. https://internet-israel.com/?p=8076 🐪 ושוב, המון תודה לכל אלו שהתריעו ושלחו לי הודעות. אני זמין ב rbarzik. לא תמיד אני עונה מהר או בכלל כי יש לי טווח קשב של מרמיטה וארבעה ילדים - אבל אני קורא כל הודעה.

והנה המאמר עם הכותרת הכי גרועה ביקום: ״סימני שאלה שעולים מהתשקיף של קבוצת זאפ״. מועמד לפרס ״הקליקבייט הגרוע ביותר בעולם ever״. אבל זה מאמר חשוב. למי שלא יודע: זהבית כהן (זו שעקצה את הסינים ואת תנובה) מעמידה את קבוצת זאפ למכירה במחיר של פי ארבעה מהמחיר שבו היא נקנתה לפני שנה וחצי. פרמיה כבדה כזו צריכה להיות מוסברת עם גידול משמעותי ברווחים וכן בפוטנציאל לרווחים. בדרך כלל כל חברת אינטרנט שמונפקת, מפייסבוק ועד yelp, מתגאה בנתוני הטראפיק שלה. מה חסר בנתוני התשקיף שקבוצת זאפ פרסמה? מישהו יכול לנחש? כן. בדיוק - הטראפיק. חוץ ממשפט אחד אין כלום בתשקיף. אז יצאתי לבדוק. המצב באלקסה וסימיליארווב לא נראה טוב. אבל אתם יודעים מה? אלו כלים לא מדויקים. המצב בגוגל טרנדס, שכאמור מאוד מדויק - גם מעלה סימני שאלה רציניים ביותר למה זהבית כהן רוצה מחיר של *פי ארבעה על קבוצה שהחיפוש אחרי ה-Money maker שלה שהוא דפי זהב קרס ב-75 אחוז*. אכפת לכם מכספי הפנסיה שלכם? כדאי לקרוא. יאללה, מספיק קליקבייט להיום. https://internet-israel.com/?p=8046 🐪

אומרים לי לכתוב מדי פעם על כלים שאני משתמש בהם כדי לשפר אבטחה בפיתוח. אז יאללה, נתחיל בכמה כלים כאלו. במאמר הזה אני מדבר על Snyk שזה כלי ממש נהדר וקל לשימוש שממפה בעיות בחבילות תוכנה מבוססות קוד פתוח. כיוון שאני פרחח ג׳אווהסקריפט, התמקדתי בעיקר ב-node אבל אפשר לבדוק גם אינספור שפות אחרות (גם PHP, כן כן). מכירים עוד כלי אבטחה מעניינים שמשתמשים בהם בפיתוח? אשמח לדעת ולנסות אותו! שלחו לי הודעה ב rbarzik כאן או בתגובות במאמר. במאמר הבא אני אדבר על npq ואחרי זה אני מתכוון לשחרר מלא מאמרים על ריאקט כי הגיע הזמן שאלמד איזו ספריה רצינית של UI. מצטער מראש על השיעמום והחפירה. אבל אני אגוון מדי פעם בפוסטים על בושות אבטחה. https://internet-israel.com/?p=8032 🐪

מאמר חדש על finally! זה פיצ'ר חדש שיש ב-ES2018 שמאפשר לנו להוסיף פעולות ניקוי לכל promise שהוא (יש את זה גם ב try catch אגב). הפיצ'ר הזה הוא פיצ'ר חשוב שמונע קצת קוד מלוכלך אם אני צריך לנקות דברים אחרי או כל פעולות 'פוסט' אחרות. התאפקתי נורא לא להכניס בדיחת אבא נוסח 'סוף סוף הפיצ'ר שכולם ציפו לו'. אז אני רוצה כפיים ומדליה. https://internet-israel.com/?p=7981 🐪 ביום רביעי אני ולא שרף, אני לא ולא מלאך, אני בכבודי ובעצמי טורח להגיע אל גוגל קמפוס ולדבר על אבטחת נתונים בג'אווהסקריפט. אם נרשמתם כבר ולא תוכלו להגיע, בטלו את ההגעה שלכם בקישור כי יש כבר רשימת המתנה וחבל שמי שרוצה להגיע לא יכול. אם נרשמתם ורוצים להגיע - אז תגיעו. יהיה ממש ממש מצחיק :))) אם אתם שם - תגידו שלום! אל תדאגו, לא תוכלו להקריפ אותי יותר ממה שהבן שלי מקריפ אותי גם ככה. https://www.meetup.com/JavaScript-Israel/events/252388264/

אוהבים פרצות מחוכמות שמשתמשות בטכנולוגיה עלית? כן? טוב, את זה *לא* תמצאו במאמר של היום. אבל מה כן תמצאו? טכניקה דבילית שנועדה לעבוד על אנשים תמימים! נו, זה הלחם והחמאה שלי. במאמר הזה אני מראה איך איזה סקאמר השתמש בטכניקה ממש חמודה של CSS כדי ׳לעבוד׳ על תוסף התגובות של פייסבוק ולהציג תגובות מזויפות לחלוטין שנראות כוידג׳ט תגובות של פייסבוק עם התמונה של המשתמש כ״מגיב״. טכניקה נהדרת למכירת סקאם עלוב. טוב, מי היה מאמין שמישהו יצטרך תגובות מזויפות כדי למכור מזגן USB נייד... 😂 https://internet-israel.com/?p=7955 🐪 והמון תודה ללב סולודקין שסיפר לי על זה לראשונה 😊

מצטער להפריע לכם באמצע ההכנות של יום שישי (אני שונא לשלוח הודעות ביום שישי) אבל למי שלא יודע - היתה פירצה משמעותית ב-eslint שהיא אחת מחבילות התוכנה שנמצאות בתשתית של כל אפליקציות הווב/האתרים המודרניים. הפירצה הזו היא מגניבה במיוחד כי היא מראה איך לפעמים פרצות קטנות או חולשות לא משמעותיות מתגלגלות לאסון מחריד. במקרה הזה: דליפת מידע מאחד האתרים שלא אחסנו את הססמאות כמגובבות איפשרו לתוקף לקחת שם משתמש וסיסמה של מתכנת שאחראי ל-eslint. כיוון שהוא לא הקפיד על אימות דו שלבי הם חדרו לחשבון שלו והרעילו את eslint בקוד שאיפשר להם להרעיל חבילות רבות נוספות. הסיפור המלא וקישורים לדיווחים (האחראיים והמפורטים, יש לציין) של eslint ו-npm בפוסט שלי: https://internet-israel.com/?p=7983 🐪 -- ואם כבר אני מתקרצץ ביום שישי, זה הזמן להזכיר שאני משתתף במיטאפ של ג'אווהסקריפט ישראל ומדבר שם... על אבטחת מידע בג'אווהסקריפט. ו-וואו, אני הולך לדבר גם על הסיפור הזה. לינק למי שרוצה להרשם: https://www.meetup.com/JavaScript-Israel/events/252388264/ וכרגיל: אני זמין פה עם שם המשתמש rbarzik לכל הצקה שהיא :) יאללה, שבת שלום ומצטער על ההצקה וההטרדה. אבל זה היה מספיק חשוב.

הרבה פעמים אנחנו רוצים להתחיל לפתח משהו ונתקעים בנושא הסביבה. צריך להרים דוקר, או סביבת node. ומה קורה אם אני עובד מכמה מחשבים? צריך להרים את הסביבה מכולם. ומה קורה אם בדיוק אחד הילדים החרים את המחשב לענייני מיינקראפט ואני צריך לעבוד על המחשב השני? בלגן. פתרון אפשרי הוא מעבר לפיתוח בסביבת ענן מוחלטת כשכלי הפיתוח עצמו גם נמצא על הענן. לפי דעתי זה פתרון מהמם למפתח בודד שעובד על פרויקטים קטנים. איך עושים את זה? הרבה יותר קל ממה שחושבים. במאמר הבא אני מספר על אמזון + cloud9 ואפילו שמתי סרטון קצר שלי מסביר ומדגים (עם הפאשלות הטכניות הרגילות והקיטורים שלי). https://internet-israel.com/?p=7964 🐪 העדכון השבועי והטכני של יום ראשון מגיע אליכם באיחור קל כי יש לי האנגאובר מטורף מההופעה של איילסטורם אתמול למי שמכיר. מה שעוד יותר חשוב לומר זה שאם יש למישהו הערה/הארה/ווטאבר הוא תמיד מוזמן לפנות אלי פה בטלגרם בכינוי rbarzik. אני לא תמיד יכול לסייע טכנית כי ארבעה ילדים ששניים מהם מתכנתים ומציקים לי לעזור להם בשטויות שלהם, אבל אני תמיד שמח לשמוע רעיונות חדשים 😀

סיפור קטן, אבל מרגיז - על פגיעה בפרטיות. ספקית האינטרנט הלו 015 היא ספקית קטנה שרצתה להרוויח אי אלו זלוטעס, שזה לגיטימי. איך? לשנות את שרת הדי אנ אס שלה באופן כזה שבמקום להחזיר סטטוס 404 על דף שלא קיים כמקובל, היא מחזירה דף עם פרסומות. מרגיז קצת אבל לא מאוד נורא. מה מרגיז יותר? שיש כאן הפרה של הפרטיות. הדף עם הפרסומות מכיל סקריפטים של צד שלישי. טעיתם בהקלדת אתר? המפרסמים ידעו על זה. לא נעים ולא בטוח שהלקוחות יהיו מרוצים מהסידור הזה. פרטים נוספים ומידע נוסף - וגם איך להמנע מזה: https://internet-israel.com/?p=7937 🐪

יצא לכם פעם לפתוח את כלי המפתחים של הדפדפן כששהיתם בפייסבוק? אם כן, בטח ראיתם שם משהו... מעניין. אם לא, לכו ותעשו את זה. גם אני עשיתי את זה וזה גרם לי לכתוב את המאמר החשוב והמיותר ביותר בעולם: איך עושים אפקטים בקונסולה. ללא ספק, הפעם התעליתי על עצמי. אבל מה? זה ממש ממש מגניב ועלול גם להיות שימושי במקרים מסוימים. טוב, הסיכוי שהוא יהיה שימושי הוא אפסי, אבל בת׳כלס זה כיף. https://internet-israel.com/?p=7949

אני בפסטיבל מטאל שנקרא גראספופ בבלגיה המעטירה. שותה בירה ושומע מטאל. אבל גם כשאני חוגג, אני עדיין זוכר את כל האתרים דה-לה-שמאטע שיש בישראל. במאמר הזה, שהוא המאמר השלישי והאחרון שמבוסס על ההרצאה שלי בפרס4וורד, אני מדבר על חורי אבטחה מאוד בסיסיים בוורדפרס ובאיזה תוספים אני משתמש כדי לחסום אותם. אם מישהו ניסה לסרוק את האתר שלי באמצעות wpscan וקיבל כינים בשקית - ככה מגינים על האתר. https://internet-israel.com/?p=7914 🐪

תמיד אומרים לי: "רן, איך יש לך זמן למצוא את כל השטויות האלו?" ואני עונה "הסיפורים נופלים עלי מהשמים". קחו את הקטע הזה - אני טס היום לגראספופ בבלגיה. קצת לפני הטיסה אני גולל לי בהנאה בטוויטר ופתאום... לגמרי במקרה... אני עולה על הוכחה לרשת בוטים עניפה במיוחד ומחוכמת במיוחד בטוויטר וב*עברית*. כזה דבר עוד לא ראינו פה. או לפחות לא ראינו הוכחות לדבר כזה. זה די הדהים אותי כי תמיד צחקנו על בוטים ופייקים וטוקבקים מזויפים, אבל הנה - זה קורה. רואים "גל אותנטי של תגובות וציוצים" ? לא בטוח שזה כל כך אותנטי. ומדובר בפרופילים שממבט ראשון וגם שני ושלישי נראים אמינים לגמרי. איך הבנתי שמדובר בפייקים? מידע נוסף והוכחות, פה: http://internet-israel.com/?p=7925 🐪

אז עוד מאמר שמבוסס על ההרצאה שלי מפרס4וורד והפעם - איך מריצים wpscan ומה עושים עם התוצאות. שימושי מאוד לכל בעל אתר בוורדפרס שלא רוצה להתעורר בבוקר ולגלות שהאתר שלו מפרסם עכשיו את החמאס עם מוזיקה אוריינטלית (המוזיקה זה באמת החלק הכי גרוע בסיפור הזה). על מי נתאמן? מה דעתכם על אתר ׳פפר׳? הוא יהיה מאובטח כמצופה מאתר תדמית של בנק או שהוא יהיה מלא חורים כמו גבינה שוויצרית שנעשתה על ידי גבן עיוור חולה בפרקינסון? (אמ;לק: נו, מה חשבתם). וגם כמה פסקאות עם הסברים למה גם לאבטח אתרי תדמית זה חשוב. https://internet-israel.com/?p=7905 🐪 אגב, אני נותן רשיון מלא להריץ את wpscan על האתר שלי. מי שמעוניין לדעת למה הכלי מחזיר את התוצאה הזו: בפוסט הבא אפרסם. -- ועוד קצת חפירה על מיטאפים: יופי של מיטאפ בשרונה. בר כהן מרצה על websocket (אם לא הכרתם - כדאי להכיר). הייתי בהרצאה הזו בעבר והיא מעולה וגם הרצאה נוספת על מיקרו פרונט אנד. אל תגידו שלא אמרתי: https://www.meetup.com/The-Big-Web-Theory/events/250690106/ החבר׳ה של נילסן מריצים מיטאפים מעולים.

יום חמישי שמח ואין כמו יום חמישי כדי לבשר על (עוד) חולשת אבטחה שחשפה מאגר מידע של לקוחות והפעם... כל הלקוחות של חברת בוקס, חברת רישום שמות המתחם הגדולה בישראל. כבר כמה שבועות אני שומע קולות בקרב מומחי שמות המתחם על ספאמים שהם מקבלים למיילים שלא אמורים להיות גלויים. ביקשו ממני לבדוק ואני ביקשתי ממתי מנקס לתת כתף והוא אכן נתן כתף רצינית ביותר (בת׳כלס עשה את רוב העבודה ואני התבטלתי, כרגיל). התוצאות? מסתבר שכל הפרטים של הלקוחות מלבד כרטיס האשראי היו גלויים. אבל אל דאגה! החברה סידרה את החולשה ועכשיו אפשר לספר את הכל. הכתבה בכלכליסט: https://www.calcalist.co.il/internet/articles/0,7340,L-3740295,00.html הפוסט אצלי שהוא יותר טכני: https://internet-israel.com/?p=7888 🐪 סופשבוע נעים לכולם ואם אתם בענייני בירות אז אני ממליץ בחום רב על ה-IPA המצוינת של שפירא ועל הפילס של בסטר׳ס. מעולה לימי הקיץ החמים. אם אתם רוצים משהו מיוחד אז Barrel Aged Chocolate Porter של שפירא במהדורה מוגזמת. טוב, חפרתי, כרגיל :)

מכירים את קאלי? מדובר בהפצת לינוקס שבאה עם עושר עצום של כלים בסיסיים לחוקרי אבטחת מידע ולמפתחים שרוצים לבדוק את האפליקציות שלהם. רוב האנשים מסתובבים עם מערכת ההפעלה הזו על דיסק און קי או לחלופין משתמשים בלפטופ נפרד. אני השתמשתי עד לא מזמן בדוקר - אבל האמת היא שאפשר להשתמש בענן של אמאזון כדי לאחסן את הקאלי שלכם ולהשתמש בכלים שיש בה. כן כן! במאמר הזה, המבוסס על ההרצאה שלי בפרס4וורד, אני מסביר איך - תאמינו לי, חמש דקות. גם לאנשים הכי לא טכניים בעולם. חוץ מזה, זו אחלה שורת פיק-אפ להתחיל עם א/נשים בפאב: ״רוצה לבוא אלי הביתה לקרוא מאמר על דיפלוימנט של לינוקס על EC2?״. עובד באחריות של 100 אחוז. באמת. https://internet-israel.com/?p=7869 🐪