Monday, September 15, 2008

OWASP 2008 -- חוויות ורשמים


אתמול השתתפתי בכנס OWASP שנערך בהרצליה: https://www.owasp.org/index.php/OWASP_Israel_2008_Conference.
להפתעתי, הגיעו משתתפים רבים.
את דויד מובשוביץ ראיתי ואף שוחחתי עמו.
את דורון אברם דוקא לא ראיתי שם.
שוחחתי עם עמיחי שולמן מאימפרבה ושאלתי שאלות רבות על יכולות ה-database firewall שלהם ועל השילוב בין database firewall לבין web application firewall. לדבריהם זאת נקודת מכירה חזקה ללקוחות שמעוניינים במענה לרגולציה. בפרט הוא שמח לפרט על היכולת שלהם לקשר בין זהות משתמש ביישום הווב לבין הפעולות שלו במסדי נתונים שהיישום עושה בהם שימוש.
למדתי מאנשי IBM על החידושים ב-appscan וגיליתי שהם עדיין יודעים מעט מאד על XML ועל web services ושישנן התקפות, להן ניתן לחבר חתימות, שהם אינם מודעים להן או שטרם טרחו לעדכן בהן את הגרסות של התוכנה.
שאר החברות המציגות לא היו מעניינות לעבודתינו בחברה אז אחסוך את הרשמים שלי.
הנה מעט על אודות ההרצאות שבהן השתתפתי:


העיקר בהרצאה לדעתי היה שגוגל, ומנועי חיפוש אחרים, זוכר הכל ולאורך זמן כך שזליגת מידע מארגון היא חמורה מאד ושניתן לקבל מידע מארגונים מבלי אפילו לגשת אליהם. כל מה שצריך לעשות זה לדעת מה לחפש וכיצד וגוגל (או מנוע חיפוש אחר) כבר יעבוד בשבילך. עמיחי שולמן הציג כיצד הוא מקבל רשימות של מספרי ביטוח לאומי אמריקניים של אנשים חיים ושל מתים בקלות מדהימה. הוא גם לימד כמה טריקים בשאילתות גוגל (בטח אפשר לראות במצגת). עוד הוא דיבר על אוטומציה שהופכת את הסיפור קל ופשוט לתוקפים. מאידך הוא סיפר על הקשיים שיש למי שרוצה לוודא שאין מידע רגיש שלו זמין בידי מנועי חיפוש (הם מגבילים אוטומציה וכמות/קצב בקשות לפי מקור/לקוח). הוא תיאר תהליך שכדאי לבצע כדי לוודא שמידע רגיש של ארגון לא זלג החוצה (הסרתו ממנועי החיפוש זה סיפור אחר והוא לא התייחס אליו). בהמשך הראה עמיחי שולמן כיצד ניתן להפיץ רוגלה (spyware), וירוסים ובאופן כלל נוזקה (מלשון נזק, כמובן, המונח הלועזי הוא malware . אשר מציע תוכמה , מלשון תוכנה מתחמנת, או אולי מונח טוב ממנו הוא זדונה, מלשון זדון כמובן. אורנה מציעה שהידה. דימה מציע נזקוד). דוגמה אחת שהוא נתן היתה להוסיף קישור עם XSS לאתר פופולרי או לאתר שמאפשר הוספת קישורים על ידוענים ונושאים "חמים" אחרים. הנחת היסוד היא שחיפושים על הנושאים שללו בגוגל ידורגו בין הראשונים בתוצאות החיפוש (בעקבות הדירוג הגבוהה של האתר שאליו נוסף הקישור). אני חשבתי על אמצעי אחר: להשתמש ב-google add url (כמובן יש גם למנועי חיפוש אחרים מנגנון כזה) כדי לגרום ל-google crawlers להריץ את ה-URLים המזיקים שלי ולעייל ולמפתח (לאנדקס, to index) אותם למפתח החיפוש שלו. עוד הראה עמיחי שולמן כיצד להשתמש במנגנוני הענישה של גוגל (שמשמשים להפחית נסיונות לדירוג לא הוגן או לפרסום לא הוגן) כדי להוריד למתחרים את הדירוג שלהם בגוגל (למשל ע"י שכפול התכנים של המתחרה באתר משלי וכך האתר המקורי שלו יוענש על תוכן משוכפל). לסיום, הציג שולמן את ה-Search of Death שבעצם מראה איך משתמשים בגוגל כדי לגרום למשתמשים תמימים לתקוף אתר בשבילך.


בהמשך השתתפתי בהרצאתו של איבן רזניק מבריץ' שדיבר (באופן די משעמם לטעמי) למה positive security policy ל- web application firewall זה דבר טוב ושיש דבר כזה עכשיו ב-mod security שהוא אחר מהמפתחים שלו. הוא סיפר שיש להם אלגוריתמי למידה (מזכיר לכם את Policy Builder של ASM?) זה כונה על ידו בשם mod profiler. בבלוג של בריץ' ניתן לקרוא קצת יותר על ההרצאה (אולי הוא גם יעלה שקפים ואז תוכלו לקרוא יותר). דבר נחמד שנראה שנלקח כנראה בחשבון במימוש שלהם והוא מתבקש הוא התחשבות בשמות שונים לאותו דף/אובייקט/עמוד כך שלמשל www.foo.com ו-foo.com/index.html הן כתובות שונות לאותו המשאב. הרהרתי בהרצאה שאם הכלי האוטומטי שלהם ללמוד positive security policy יהיה שווה משהו, וודאי חברות מסחריות שמפתחות ומייצרות web application firewall תפתחנה כלי המרה מפורמט ה-policy של mod profiler לפורמט הפנימי שלהן לצרכי ייבוא ואולי אפילו לטובת בדיקה או שיפור אוטומטי של ה-policy שלהן לעומת זה שנבנה בכלים חפשיים.


AJAX - new technologies new threats
Dr. David Movshovitz, IDC
בהמשך עברתי להשתתף בהרצאתו של דויד מובשוביץ. הכתה שלו היתה "מפוצצת" באנשים. רבים באו לשמוע את מה שהיה לומר לו על Ajax ורבים נשארו לעמוד או לשבת על הרצפה. לצערי, הוא השקיע את כל ההרצאה במבוא ובתשתית הסבר לעיקר אך הוא לא הספיק להגיע לעיקר, פירוט התקפות ובעיות אבטחה. הוא רק הספיק להסביר שהטכנולוגיה מאפשרת בקלות יתירה לגנוב מידע מ-, לרגל ולאסוף מידע על ארגונים רק מרגע שעובד בחברה גולש לדף שיש בו שימוש ב-Ajax. כבר המלצתי על Bulletproof Ajax בתור ספר מצויין (קל לקרוא, מסביר לעניין ונותן דוגמאות יפות) על Ajax.


ההרצאה הבאה היתה מעניינת מאד עבורי. יולי סטרמובסקי אחד משני מפתחים של GreenSQL, שהוא database firewall תחת רשיון GPL. יפה מאד לראות מה ניתן להשיג בזמן פיתוח סביר של שני אנשים בזמן הפנוי (שניהם אנשים עסוקים). GreenSQL תומך כרגע רק בתחביר ובפרוטוקול התקשורת של MySQL ועובד תחת לינוקס. אהבתי לראות את מנגנון הלמידה שבונה positive security policy למה שהוא מכנה statement patterns או כך זכרתי שהוא כינה את זה. הרעיון פשוט, בעת שהמערכת "לומדת" מניחים שהשאילתות למסד הנתונים כולן שפירות ולכך ניתן להסיק תבניות של שאילתות ולהכניסן ל-policy. כמובן, שלא די שאותן שאילתות תהיינה שפירות, הן גם צריכות להיות מייצגות. יולי שמע הצעות מהקהל לשיתוף פעולה עם mod security. בפרט, הציעו שה-web application firewall, למשל mod security, יסמן metacharacters, לרבות גרש (') וגרשיים (") ע"י הערות או באמצעי אחר וכך ה-database firewall יוכל להבדיל בין metacharacters שקיימים מראש בשאילתה וכאלה שנכנסו כתוצאה מטקסט שהוכנס ע"י משתמש בטופס או בקישור. הוא סיפר בתמורה ששיתוף פעולה בין database firewall לבין web application firewall כבר מבוצע במוצרי אימפרבה (אולם לא ברור שהם משתמשים ברעיון הזה או לא). מעניין!


ההרצאה הבאה בה השתתפתי היתה של שי כהן מהאקטיקס. הבעיה שהוא מנסה לפתור: איך לפענח ולצפות ולשנות מבני נתונים כאשר פרוטוקול העברת המידע אינו סטנדרטי (תחשבו Ajax, או serialization של מבני נתונים ואובייקטיטם בג'אווה, וכמובן יש עוד דוגמות רבות שמתאימות). הוא כותב תכנית בג'אווה ובה הוא קורא stream של מידע מ-socket. עתה בלולאה הוא מנסה לקרוא אובייקט אחד אחרי השני מתוך זרם המידע ולהציב באובייקט שהוא כנראה שגוי (הוא השתמש ב-string). כתוצאה מכך, ג'אווה שולחת exception ובו מפרטת את הטיפוס הנכון של האובייקט. או אז הוא יכול להשתמש באובייקט כרצונו. נכון יש גם reflection. לא לשכוח שהוא משחק בתפקיד ה-pen tester ולא בתפקיד הפורץ כך שיש לו נגישות לכל ה-classes ושתפקידו להצליח להראות שהוא משנה ערכים בצד הלקוח ומקבל שינוי התנהגותי לא רצוי או לא צפוי בצד היישום. אני חושב שהוא הדגים שהוא אדם עם יוזמה ובאותה עת הפגין שידיעותיו בג'אווה לא נרחבות. הרי אם ג'אווה יודעת לומר לו מה המחלקה הנכונה, סימן שגם לו בשיטות מקובלות יש גישה למידע זה (אמרנו כבר reflection? בטח יש שיטות מתועדות מסודרות לעשות את זה, ואם לא, אני סומך על משה פונטש שילמד אותי J). שי הסביר שהחליטו בהאקטיקס שהגיע הזמן לשתף את העולם בתגלית ושלהם יש כבר שיטות מתקדמות יותר (או שכך הבנתי).


ועכשיו להרצאה הכי טובה והכי מרשימה לטעמי בכל הארוע. את ההרצאה המעולה העביר ארז מטולה. הוא הציג ידע רחב ומקיף, הבנה מצויינת של מערכת ההפעלה חלונות ושל כל נושא הדוט נט. הוא הראה כיצד ניתן לתקוף בקלות את התשתית של סביבת הפיתוח של דוט נט, בעצם את קוד המקור (שזמין גם הוא בקלות בצורת msil אחרי disassembly שניתן לבצע בקלות עם כלים שמקבלים ממיקרוסופט) לעקוף את מנגנוני החתימה ולבצע כל פעולה זדונית שנרצה באופן זה בכל קוד דוט נט שיעשה שימוש בתשתיות. שתי דוגמות יפות שהוא הראה הן הכפלת שורות שמודפסות למסך ע"י פקודות הדפסה פשוטות ושתילת reverse shell בכל מקום שרוצים. מאד מצא חן בעיני איך שההרצאה התחילה: היא התחילה ב-code review של כמה שורות קוד פשוטות שכולם באולם היו משוכנעות שהן תדפסנה hello world אך בפועל הן הדפיסו את השורה פעמיים. מה גרם לכך ש-code review ע"י מקצוענים ועוד קהל גדול שלהם שעבר שורה שורה לא מצע את הסיבה? זה משום שהתוקף שינה את תשתיות השפה, מה שלא בודקים ב-code review ומשהו שסומכים איתו על מנגנון החתימה של מיקרוסופט. אני ממליץ מאד למתעניינים לצפות במצגת ועוד ללמוד על זה מארז מטולה בהרצאות מתוכננות שלו על זה: אחת מהן במסגרת Microsoft's .NET security usergroup והשנייה בישראCON.


ההרצאה הכי משעממת היתה על נושא דווקא מעניין, אבל העביר אותה בשעמום תהומי, רונן בכר. השעמום היה מפליץ (מעורר פלצות, ראו הסבריו של הד"ר אבשלום קור). מה למדנו? שאם נותנים לך אפשרות לשנות את ה- flash reader שלך, אז אתה יכול לבצע קירוב של state (כמו אובייקט גלישה בדפי HTML, כמו מה קורה כשלוחצים על כפתור או ממלאים טופס וכו'), והוא מסביר, מאד בכלליות איך. ההסברים היו כ"כ כללים עד שלא היו מעניינים כלל. חבל. היה פספוס. לא הספקתי לשאול אותו אם ניתן להמיר flash לפורמט ה-XMLי שלו ל-MXML.

לסיום היו הרצאות בזק:

אבי ויסמן סיפר על IFIS ולמה חשוב להצטרף ולמה כדאי. באמת נשמע כדאי. אני מקווה שבעבודה יחליטו לשלוח אותנו לקורסים (רמז! רמז!)

שי צלליכין ואבי דוגלן מקומסק הציגו נפלא (באמת הרצאה לתפארת) למה קפצ'ה (cptcha) פרוץ לגמרי ומהווה בעייה פתורה ואין סיבה לטרוח להשתמש ואפילו מסוכן להשתמש. אני מקווה שהם יעלו את המצגת לאתר הכנס כדי שתוכלו לקרוא ולהחכים. אם יהיה עניין אשמח להסביר למי שרוצה.

אח"כ יוסי אורן הראה בשלוש דקות איך מצליחים למצוא vulnerability ולהפוך אותו ל-exploit בשניות (הכי ארוך לקח מאה וחמש שניות) מתוך עדכוני אבטחה ועדכונים אחרים של הפצות תוכנה, למשל של מיקרוסופט. זה היה כביר! קוראים לזה APEG.

יניב מירון לסיכום בהרצאה מאכזבת על UTF-7 ובעיית אבטחה. זה היה משהו שגרתי צפוי ולא מושקע במיוחד שלא ברור היה מה הנזק שנגרם. הדבר היחידי שהיה מאחורי זה היה העובדה ששרתי apache רגישים לזה. אבל ממש לא הבנתי את הקטע והוא לא ידע להסביר. אולי אמצא על זה פירוט באינטרנט בהמשך ואבין יותר.

(עדכון: 16.9.2008 20:00: קיבלתי טלפון נעלב ש"השמצתי" את יניב מירון. אז חזרתי לקרוא על מה שהוא הסביר. לא גיליתי שומדבר שלא נאמר בהרצאה: הוא הראה שאפשר לקבל דף forbidden ולקבל XSS כשגולשים לדומיין ומשתמשים במחרוזת כלשהי כנראה ארוכה מספיק שמסתיימת בתגי script כאשר סימני ה-> וה-< מיוצגים ב-UTF7. עדיין, הוא לא הסביר את התכונות של המחרוזת, ולא פיתח. אפילו בבאגטראק הוא כותב שהוא השאיר את העבודה לאחרים. אז אני לא מבין ממה יש להעלב. בכל מקרה: סליחה.)

זהו.

מאד התרשמתי ממה שהציגו ועוד בכנס חינם – כל הכבוד.

שלמה

סיכום שבוע שני בגן יובל


הנה סיכום שבוע שני בגן יובל.
את הסיכום הזה כמו את הסיכום של השבוע הקודם כותבת אחותי, רות, שהיא הגננת בגן.
רות מחזיקה ביומן רשת משלה, והיא החלה בעידודי לפרסם את הסיכומים הללו ביומן הרשת שלה.

להלן הסיכום:

הורים יקרים,

יום א – שבוע שני נפתח בסימן הסתגלות. רוב רובם של הילדים נכנס לגן בשמחה ובחיוך, וגם מי שלא – השתלב מהר, ועד תחילת מפגשון הבוקר כולם היו רגועים ושמחים – וביחד התחלנו בכיף שבוע נוסף וחדש.
במפגשון הבוקר ספר עומר לכולם כי היום למעשה זהו יום הולדתו ה- 4 (תאריכית), וכי חגגו לו אתמול בקרב בני המשפחה והחברים מסיבה. היה כיף לשמוע, והחברים מיהרו לברכו בברכות שונות.
עומר הביא לגן עוגת שוקולד טעימה לכבד את חבריו לכבוד אירוע יום הולדתו, והעוגה חולקה אחרי הצהרים.
כמובן בחרנו תורני בוקר לאחר ספירה עד 20 תוך שימוש באצבעות ידינו כדי להמחיש את המספרים.
בינתיים הגיע גיא בונה לגן ובידו אוצר בלום!! גלילי נייר טואלט. שמחתי על המתנה, ומיהרתי לשבחו, ולבקש באותה ההזדמנות מהילדים להמשיך ולהביא "אוצרות" כאלו.
לאחר ארוחת הבוקר הצטרפו הילדים למפגש הבוקר כשהם לוקחים את שמם מלוח השמות ופרצוף מצב רוח התואם את הרגשתם. רוב רובם של הילדים בחר בפרצוף המחייך, לשמחתי הרבה, וכמובן נתתי במה ולגיטימציה לילדים שבחרו בפרצוף רציני או אפילו עצוב.
כמובן פתחנו בשירי בוקר, ואז קראתי לילדים ספור קצר מאת אריאלה סביר "השיר ואני הולכים לגן", כשהוא מלווה בשלטים הממחישים אותו, ולאחר הקריאה הראשונה, קראתי ל- 4 ילדים שישחקו בתפקידים המתאימים (חתול, כלב, חמור ושיר). שאר הילדים היו צריכים לדקלם את הספור במקום הנכון כתגובה למה שמתרחש, והשמחה היתה רבה. שיתוף הפעולה היה נהדר, והילדים ממש התרגשו להשתתף, ולכן ערכנו את ההצגה שלוש פעמים במפגש הבוקר ועוד פעמיים במפגש הצהרים (בניסיון שלא לקפח ילדים שרצו להשתתף). אנו מדברים רבות על ההמתנה בסבלנות לתור, על ההבנה כי לא ניתן לבחור כל הזמן את אותם הילדים, וכי צריך לאפשר גם לחברים אחרים להשתתף, ואנו עובדים מידי יום על ההבנות האלו.
המטרה בהשתתפות הילדים מעבר לכיף (שהוא חשוב ומשמעותי לכל הדעות) היא בעיקר תרגול התמודדות הילדים בעמידה מול קהל ושימת דגש על טיפוח הביטחון העצמי.
לאחר מכן דיקלמנו את דיקלום הבוקר האהוב: "שני אורחים לי בחלון" אותו רשמתי לכם בסיכום הקודם, ולאחר מכן קראתי ל- 6 ילדים שישבו במקומי (כל אחד הביא את כסאו עימו) וידקלמו מול כולם.
ושוב ההתלהבות היתה רבה!
מפגש הבוקר הסתיים בנושא ימות השבוע, ולאחר שירת שיר ימי השבוע, הראיתי לילדים כי מצידו השני של לוח השמות נמצא לוח ימות השבוע ובו שלט עבור כל יום בשבוע + שלטים הנושאים את הכותרות:
אתמול יום ...
היום יום ...
מחר יום ...
מתחת לשלטים הנחתי את השלטים הנושאים את שמות ימי השבוע המתאימים, וכמובן שרנו את השיר מחדש בליווי השלטים.
לאחר מכן נתתי ל- 3 ילדים את השלטים הרלוונטיים: יום ראשון (בהתאמה לשלט "היום יום"), יום שני (בהתאמה ל"מחר יום") ויום שבת (בהתאמה ל"אתמול יום"), והם היו צריכים להניח את שלטיהם במקומות הנכונים לפי הכוונתי.
כמובן שבתחלה קצת קשה, אבל לאט לאט הילדים הבינו את המשחק, ושיתפו פעולה.
אמשיך בכל במשך פרק זמן די ארוך כדי לנסות ולהמחיש לילדים את עניין הזמן וסדר ימות השבוע, כשהדבר יועבר להם בצורה משחקית ואפילו תחרותית לצורך הכיף. בהמשך הם יצליחו "לצלם" לעצמם את הכתוב בשלטים, ויזהו את שמות ימות השבוע ללא הכוונתי, ולכך אני חותרת. כמובן במשך הזמן ימות השבוע וסדרם יהיו ברורים יותר ומוחשיים יותר.
לאחר המפגש הילדים השתתפו בשיעור המוסיקה עם איריס, ויצאנו לחצר.
בחצר הילדים צבעו ציור ובו 2 יונים כהמחשה לדיקלום הבוקר, כשאנו מקפידים ומשתדלים לצבוע בתוך הקוים ולהשאיר את התמונה ברורה.
במפגש הצהרים המשכנו עם ההופעות מהבוקר והמשכנו לשיר עוד קצת, ושוב הסתיים לו יום יפה.

יום ב – מפגשון הבוקר: מעבר לספירה עד 20 ובחירת תורני הבוקר הגיעו שפע של דברים יפים מהילדים, וזה היה הזמן להראותם לפני כולם:
איתי דבי ספר שטייל עם הוריו ועם אחותו התינוקת בפארק ושאספו ביחד מפירות עץ הדקל, הלא הם התמרים. הוא הדגיש כי התמרים לא היו בשלים, ואף הביא לגן כמות יפה שנוכל להתרשם מהם.
עדן הביאה יצירה מקסימה שעשתה עם אמה בבית:גזירה והדבקה של תמונות מתוך המעטפה של מטרנה שקיבלתם הביתה להתרשמות.
מעיין לוינטל ושחר התגאו להביא שקיות מלאות "אוצרות" (=גלילי נייר טואלט) לשימושנו התמידי בגן, וכמובן שמחתי בכך מאוד! מעיין לוינטל צירף שקית עם קופסות של ארטיקים, משחת שיניים ושל תרופות (להבדיל) – שהועברו מייד לפינת המשפחה ולמרפאה, ואני כבר יכולה לספר לכם שהילדים נהנו מאוד לשחק בהם!
מפגש הבוקר: התחלנו בכך שכל ילד הוריד מלוח השמות את שמו וכן בחר לעצמו פרצוף מצב רוח, שתיאר את מצב רוחו היום בגן, ושוב היה כיף לראות את כמות החייכנים!! 10 ימים לאחר תחילת שנת הלימודים, ו- 99% מן הילדים מזהים את שמם ואינם נעזרים בי יותר לצורך זיהויו! פשוט כיף. אני מקפידה גם מידי יום אם במפגשון הבוקר או בזמן שהילדים אוכלים, להניף את כרטיסי השמות, ולברר עם הילדים, תוך שהם רואים את השם הכתוב, אם הילד הכתוב על גבי הכרטיס הגיע לגן. כך נלמד לזהות לא רק את שמנו שלנו, אלא את שמות כל ילדי הגן.
בהזדמנות זו ציינתי גם את שמות המשפחה של הילדים כדי שנכיר ונלמד אותם.
לאחר שירת שירי הבוקר הזמנו את חיפי החיפושית לצאת מתוך קופסת ההפתעות לקול שמחת הילדים. מאחר ולא פגשנו בה אתמול, השמחה היתה רבה במיוחד. חיפי עברה מילד לילד, חיבקה ונישקה ושרה לכולם את ברכת ה"בוקר טוב".
שוב ערכנו הצגה של הספור "השיר ואני הולכים לגן".
דיקלמנו את "שעון מגדל" (שאלו את הילדים! הם עושים זאת היטב!) ביחד, ואז קראתי כמה פעמים לקבוצה של ילדים, שתציג את הדיקלום בפני כולם.
הקפדתי מאוד על הקצב המשתנה והברור, כהקדמה מוקדמת מאוד לנושא המוסיקה שקרוב מאוד ללבי, ושעם הזמן ארחיב אותו יותר ויותר. אחד הדברים החשובים ביותר במוסיקה הרמונית שנעימה לאוזן הוא השמירה על הקצב, ואנו לומדים זאת בעקיפין לאט לאט. כמובן שבאמצעות ההצגה הפומבית אנו גם נהנים ובעיקר עובדים על פיתוח הביטחון העצמי.
זמן חצר + יצירה: בזמן החצר הילדים צבעו ציור של תרנגול, כשהמטרה היתה לגמרי הקניית הרגלי עבודה. ציור התרנגול היה (כמו אתמול) המחשה של אחד משירי הבוקר האהובים על הילדים.
הילדים תרגלו צביעה מדוייקת בתוך הקוים, ואלה שהתקשו בכך קיבלו שוב ושוב דפי צביעה, ותרגלו בסבלנות צביעה איטית ומחושבת. כמובן השתדלנו להקפיד על צביעת כרבולת אדומה כמתבקש ...
מפגש הצהרים: שרנו את שיר ימות השבוע, ותרגלנו אתם מול לוח ימות השבוע, כשאנו עובדים שוב מול הלוחות: "אתמול יום", "היום יום", "מחר יום".
החלק הארי מן המפגש היה פיזור כל ציורי הילדים עליהם הדביקו את תמונותיהם, ולימוד הילדים להתבונן בהם כבתערוכה. למדנו לשלב ידיים מאחורי הגב, כדי שלא להתפתות לגעת ולקלקל, למדנו שבתערוכה מתבוננים עם העיניים בלבד, ולא נוגעים בידיים וברגלים (במיוחד כשהתערוכה מונחת על הרצפה).
תרגלנו הליכה נכונה בתערוכה, והילדים התלהבו להראות את יכולתם להתאפק מלגעת.
בהמשך השתמשתי בציורים ובתמונות כדי לעשות משחק הכרות נוסף, כשכל ילד אמר לפני כולם את שמו בצירוף שם משפחתו (למדנו את ההבדל, והכרנו את המושגים "שם פרטי" + "שם משפחה") וכן ציין את שם הוריו.

יום ג – מפגשון הבוקר: הבוקר התחיל שוב בהמון דברים מקסימים!
עומר עשה לי הפתעה, וסידר את לוח ימות השבוע לפי הסדר הנכון! כל הכבוד. כל כך שמחתי, שציינתי זאת לפני כולם, ואפילו שרנו את שיר ימות השבוע כבר על הבוקר.
איתי דבי הביא תמונה ענקית שלו עם אחותו התינוקת, מיקה, והראה אותה בגאווה לחבריו בגן!
שחר הביא נוצת טווס (ותודה לאבא יוקי שעזר לו בזה!!), ונתן לחבריו למשש אותה ולהנות ממנה.
דן, גיא בונה ואיתי דבי גם היו חרוצים בבוקר, והספיקו כולם לצייר לי ציור יפה (כל אחד בנפרד) ואף לגזור! הראיתי בשמחה את היצירות היפות לילדים כולם, ושמתי את העבודות שקיבלתי בשקית המיוחדת בה אני מניחה "מתנות" שהילדים נותנים לי, כדוגמת ציורים וגזירות שונות.
מפגש הבוקר: למפגש נכנסנו כמובן בזהירות על כרטיסי השמות שהיו מונחים על הרצפה, והילדים חיפשו ומצאו בזריזות את שמותיהם, וישבו במקומם. בהמשך המפגש הם הניחו את שמם על גבי הלוח באופן הבא:
שרתי שיר שמבקש מהילדים שלובשים בגד בצבע מסויים לבוא ללוח השמות ולהדביק עליו את הלוחית, והילדים היו צריכים להיות ערניים לצבעי בגדם (וגם לעזור לחבריהם לשים לב למה שהם לובשים).
שרנו את כל שירי הבוקר שאנו מכירים וכמובן דיקלמנו את "שני אורחים".
לאחר מכן שבנו ללוח ימות השבוע, ולאחר שעברנו שוב על הכרטיסיות, למדנו שיר בוקר חדש שעוסק בימות השבוע (מאת מירב האוסמן). הילדים אהבו אותו מאוד, וכמובן ביקשו שנשיר אותו שוב. בשלב הזה בחרתי 7 ילדים (כמספר ימות השבוע) וכל ילד קיבל לוחית עם כיתוב יום מסויים בשבוע, והיה צריך לזכור איזה יום הוא. הילדים הסתדרו לפי סדר הימים בשורה, ועשו לנו הצגה על פי השיר החדש. ההנאה של כולנו מהחידוש היתה עצומה! עשינו זאת כמובן פעמיים, ואז נרגענו עם סיפור בוקר מקסים בשם: "פוף מוצא לעצמו חברים" מאת נעמי בן גור
ויצאנו לחצר.
זמן חצר ויצירה: ושוב בחצר עסקנו ביצירה שמטרתה הקניית הרגלי עבודה נכונים בצביעה. שוב עמדתי על כך שהילדים יקפידו שלא לצאת מהקווים, שלא לקשקש ללא מטרה על גבי הדף, ולשים לב למה שנדרש מהם לצבוע ואיך. הפעם צבענו את חיפי החיפושית, והילדים כמובן ידעו לספר לי שהם זקוקים ל- 2 צבעים בלב: אדום ושחורץ.
הקפדתי מאוד על צביעה מדוייקת, וכל ילד עשה כמיטב יכולתו. היו שקיבלו מספר דפים כדי להשתפר, וזה בסדר גמור. אני חייבת לומר שהתגאיתי בהם מאוד, ושמחתי על נכונותם להקשיב וללמוד ובעיקר ליישם. הרווח כולו שלהם!!
מפגש הצהרים: התחלנו עם שיר ימות השבוע החדש שלמדנו בבוקר, ושוב עשינו הצגה עפ"י השיר.
פגשנו את חיפי החיפושית.
כל ילד ספר במפגש עם מי הוא שיחק בחצר, וניסיתי ליזום חברויות חדשות בין הילדים הוותיקים לאלה מהקבוצה של הדר לבין אלה החדשים לגמרי בגן.
כבר ראיתי "מיזוגים" יפים ופוריים, והחיוכים של הילדים בספרם לי על חוויותיהם מזמן החצר, הבהירו לי שאכן נהנו מההכרות החדשה.

יום ד – מפגשון הבוקר: בחרנו תורני בוקר לאחר ספירת הבוקר עד 20 גם בקול רם וגם בלחישה, ובדקנו על גבי לוח השמות אם אנו מזהים את שמות הילדים – והאם הם בגן או חסרים. שמות הילדים החסרים הועלו לראש הלוח.
שמחנו ב"שקית ההפתעות" שהביא לנו אורי, ובה גלילי נייר טואלט, גביעי "גמדים" ובקבוקוני אקטימל – שהועברו ישירות לפינת המשפחה – להנאת הילדים.
איתי ס. הביע עניין בציור שצייר איתי דבי לפני מספר ימים, אותו הגדרתי כ"אקספרסיוניסטי" (וגם למדנו מהו בעצם ציור כזה, ומדוע הציור של איתי דבי נחשב לכזה). בעקבות זאת הצעתי לילדים בשעת היצירה לבוא ולצייר בעצם ציור אקספרסיוניסטי בעצם, כדי שנערוך תערוכה של ציורים כאלו.
מפגש הבוקר: הילדים נכנסו למפגש הבוקר כשהם לוקחים עימם את כרטיסיות שמם (כל אחד את שמו שלו) ולפי דרישתם גם פרצוף מצב רוח. שרנו שירי בוקר, ואז תוך כדי שיר צבעי הבגדים (כשהמטרה היא לחדד את תשומת ליבם לעצמם ולחבריהם – ואנו עדיין עובדים על כך ...) הילדים לפי תורם הגיעו ללוח לתלות עליו את שמם ואת הפרצוף, והיו צריכים לחזור למקום בקפיצות ברגליים צמודות. ההתלהבות היתה עצומה, ובאותה הזדמנות תרגלנו מוטוריקה גסה. בהמשך שרנו את שיר ימות השבוע החדש שלמדנו, וכמובן גם הצגנו אותו. מטרתי בו מעבר להכרת ימות השבוע וסדרם הנכון היא ללמד אותם בתהליך ההצגה עם השלטים להניף אותם בזמן, לחדד את תשומת ליבם למילות השיר, ולתרגל אותם להרים בזמן בו שומעים את היום בשבוע שהם מחזיקים בידם. לאט לאט ...
המפגש הסתיים בקריאת הספור האהוב: "מיץ פטל" מאת חיה שנהב, וכצפוי הילדים "עזרו" לי לקרוא את הספור. היה חמוד ומקסים!
זמן החצר + יצירה: שוב המשכתי בעניין הקניית הרגלי עבודה, וצבענו שוב בצורה מבוקרת ציורים, כשאנו מקפידים על צביעה בתוך הקווים (כל ילד לפי יכולתו), וצביעה איטית ומחושבת. כמובן במקביל – כפי שהבטחתי – איפשרתי לילדים שרצו לצייר ציורים חופשיים, עליהם שוחחנו במהלך מפגש הצהרים – להלן:
מפגש הצהרים: המפגש החל בכך שהילדים נכנסו אליו בקפיצות ברגליים צמודות, כפי שעשינו במפגש הבוקר. דרך נפלאה להתחיל מפגש – גם פעיל וגם מהנה.
לאחר מכן שרנו כמה שירים מוכרים "לקחתי אגורה" + "4 שובבים במיטה" מאת דתיה בן דור (תסלחו לי, אינני זוכרת מאיזה דיסק צפיה השירים לקוחים, אבל לבטח אתם מכירים אותם), ושוב היינו פעילים מאוד במרחב, ואין ספק שזה גם מועיל לילדים וגם מהנה עבורם (ועבורי ...).
לאחר שנרגענו הצגתי בפני הילדים על הרצפה את 5 הציורים האקספרסיוניסטיים שציירו כמה ילדים בזמן החצר.
ביקשתי מהם להתייחס לציורים שעל הרצפה כאל "תערוכה" והילדים לא איכזבו אותי, וקמו כולם והילכו סביבם מבלי לגעת בהם. רק התבוננו והתפעלו.
לאחר מכן ישבנו שוב, והרמתי בכל פעם ציור אחר, והילדים בהצבעה סיפרו לי מה הם רואים בו. לאחר שהם אמרו – סיפרתי להם מה אני חושבת שהציור מראה. היה באמת מעניין ומשחרר את הדמיון.
בשל ההתלהבות הגדולה מכך (הילדים זכו לכבוד לציוריהם, ששוב לא מתייחסים אליהם כאל קישקוש לא ברור, כי רבים מהם אומרים לי, שהם לא יודעים מה הם ציירו, אז מצאנו לכך פתרון) לקחנו את הציורים והשארנו אותם לקשט את החדר כתערוכה על גבי המפה השחורה בכניסה לגן. גם אתם מוזמנים להביט בהם ולבדוק מה הדמיון גורם לכם לראות בהם! בטוחה שתהנו!!
סיימנו בקריאת ספור מאת הסופרת הפופולרית בגן: ענת אומנסקי: "חלומות מתוקים".

יום ה – התחלנו את מפגשון הבוקר בשיחה על כך שמחר יהיה יום שישי, ושנקיים את טקס קבלת השבת בגן. הזכרתי להם ששחר ומיקה יהיו הורי השבת הראשונים, ושוחחנו מה עליהם להביא, ומה תפקידם מחר.
אמרתי כי מחר נכיר שיר שבת חדש בשם: "כוכב קטן" (מאת מירב האוסמן), ושנציג אותו בזמן קבלת השבת בעזרת אביזר שיהיה מוכר להורים מן השנה שעברה (ממסיבת הסיום): מקלות עם כוכבים. בחרתי לשיר שיר זה בגן בנוסף לשאר שירי שבת המוכרים לכולכם מן הילדות על מנת ללמד אותם שבעצם השבת נכנסת רק ביום שישי בערב, עם הופעת הכוכב הראשון בשמים. גם אמרתי להם שיבקשו מכם לפתוח מחר בערב את החלון בבית, ושיבדקו אם הכוכב הראשון כבר הופיע בשמים, כדי שיוכלו לברך את כולם בברכת "שבת שלום". אז הילדים שאלו שאלה חכמה:
מדוע חוגגים את קבלת השבת בגן? הרי עדיין לא נכנסה השבת? אז עניתי כי בבתים רבים, וגם בבית שלי, לא מקיימים באופן סדיר או בכלל את הטקס, וכדי שלא נפסיד אותו, וכדי שנוכל להנות ממנו – אנו עושים אותו בגן להנאת כולנו.
כמובן שגם קיימנו את שאר טקסי הבוקר הכוללים ספירה עד 20 ובחירת תורני בוקר, בדיקה: איזה יום היום וסידור לוחות ימות השבוע, וכן הילדים סיפרו לי חוויות מאחרי הצהרים של אתמול.
מפגש הבוקר היה עמוס ושמח: המשכנו לתרגל מוטוריקה גסה, והילדים נכנסו למפגש בקפיצה על רגל אחת.
גיליתי כי ילדים רבים מאוד מתקשים בכך, ולכן אני פונה אליכם ההורים, להמציא הזדמנויות שונות לילדים בבית לתרגל עניין חשוב זה: קפיצות באופנים שונים, וכן על רגל אחת. חשיבות המוטוריקה הגסה הטובה היא לעתיד הלא רחוק כל כך: ימי בית הספר. יכולות מוטורית גסה טובה תבטיח יכולת מוטורית עדינה טובה, קרי יכולת החזקת כלי כתיבה באופן נכון, שיאפשר לילדים לכתוב בצורה לא מעייפת, מהירה, טובה ונכונה (אל תדאגו: גם עניין זה אני לוקחת על עצמי, אך התרגול בבית איתכם חשוב והכרחי להצלחתנו המשותפת עבור הילדים!!)
לאחר מכן הילדים נקראו ללוח השמות תוך כדי שיר צבעי הבגדים כדי שייקחו את שמם מן הלוח, ומאוחר יותר החזירו אותם שוב בתרגול מוטורי של הליכה אחורנית, שתרגלה גם שיווי משקל, גם תכנון תנועתי וגם בטחון עצמי.
שרנו שירי בוקר, פגשנו בחיפי, שרנו את שיר ימות השבוע עם וללא השלטים, וסיימנו עם ספור:
"לקוף יש בעיה" מאת ג'וליה דונלדסון ואקסל שפלר.
ציינתי בפני הילדים כי השמות של הסופרים אינם ישראלים, ושהם מארץ רחוקה בשם אנגליה.
בזמן היצירה בחצר הילדים צבעו גלילי נייר טואלט בצבעי גואש (ואני שבה ומבקשת לשלוח את הילדים לבושים בבגדים שלא אכפת לכם שיתלכלכו. פשוט חבל על בגדי החג והשבת היפים, שעלולים ואכן מתלכלכים בגן בזמן היצירה).
השתדלנו להקפיד על צביעה מדוייקת, על כמות קטנה של צבע ועל סביבת עבודה נקייה.
מחר גלילי הנייר יהפכו לפרחי שבת לקישוט שולחן השבת בבית או בבית הסבא והסבתא.
מפגש הצהרים התחיל עם השירים "לקחתי אגורה" + "4 שובבים במיטה" מאת דתיה בן דור, כשאנו נהנים במרחב לאחר יום ארוך ומהנה.
לאחר מכן קראנו ספור נוסף, והפעם מאת הסופרת שאנו אוהבים לקרוא בגן מספריה: ענת אומנסקי:
"מעשה ברוח שובב, 4 עפיפונים, 2 בנות ו- 2 בנים". לאחר שסיימתי לקרוא בו, שוחחנו עליו, והילדים הביעו את דעתם.

ושוב הסתיים לו שבוע מקסים ועמוס בחוויות.

בשבוע הבא נתחיל עם נושא ראש השנה בפרט וחגי תשרי בכלל. לוח התוכן ישתנה בהתאם, נלמד שירים חדשים, נשיר שירים מוכרים, ונתנסה ונכיר את מה שהמסורת מלמדת אותנו על חגים חשובים אלו.
במהלך השבועיים האחרונים עסקנו בעיקר בהסתגלות ובהכרות הדדית. המטרה היתה באמת הכרות הדדית וגיבוש קבוצתי. השתדלתי מאוד להשחיל בין לבין נושאים שונים, עליהם ניתן את הדעת במהלך השנה ונתמקד בהם יותר בהמשך, כגון: אהבת הארץ, חיסכון במים, הכנרת, מפת המדינה (כבר הבנתם כנראה שאני די ציונית ...), מיחזור והגיינה אישית.

"Markup" is a noun and "Markup" is a verb


"Markup" is a noun and "Mark up" is a verb.
See discussion at: http://www.xfront.com/is-markup-a-noun-or-verb/index.html