Sunday, March 8, 2009

תגובת המוקד במועצת כפר יונה לפנייתי על מתקני השידור

לא רק למשרד לאיכות הסביבה שלחתי שאלה ופנייה בנוגע למתקני שידור שהוצבו מעל אולם ספורט בסמוך לביתי אלא גם למוקד במועצה המקומית כפר יונה. הנה תגובת המוקד:

 

From: מוקד [mailto:moked@kfar-yona.org.il]
Sent: Sunday, March 08, 2009 10:40 AM
To: Shlomo Yona
Subject: RE:
צור קשר

 

בס"ד

 

 

לשלמה בוקר טוב !

להלן תשובתו של אריק אחראי המחשוב במענה לפנייתך .

הותקנו מצלמות אבטחה במוסדות חינוך ופארקים ציבוריים .

הטכנולוגיה שאנו משתמשים בה היא על תדר חופשי של 2.4 מגה הרץ

 זהה לתדר שבשימוש ביתי לצורך תקשורת בין מחשבים .

חשוב להדגיש כי אין כאן שום שימוש בתדר סלולארי אלא ברשת אלחוטית .

 

המשך יום נעים

מוקד כפר יונה

 


From: kfaryona@emailcampaign.co.il [mailto:kfaryona@emailcampaign.co.il]
Sent: Sunday, March 08, 2009 6:36 AM
To: moked@kfar-yona.org.il
Subject:
צור קשר

 

 

נושא

מתקני שידור מעל אולם ספורט ליד חטיבת איש שלום

תוכן ההודעה

הבחנתי שהותקנה מצלמה ומתקני שידור מעל אולם ספורט שליד חטיבת איש שלום. אבקש הסבר על מהות מתקני השידור. לי הם נראים כמתקני שידור סלולריים אולם אין למתקנים אלה תעוד במשרד לאיכות הסביבה עד כמה שהצלחתי לברר.

שם

שלמה יונה

דואר אלקטרוני

s.yona@f5.com

כתובת

נחל משושים 12

עיר

כפר יונה

מיקוד

 

טלפון

09-8944806

טלפון נייד

057-7326360

פקס

 

ארגון

 

 

כניסה לאתר



כיצד לקרוא אנשים מאת ליליאן גלס


קראתי את ספרה של ליליאן גלס, כיצד לקרוא אנשים. מדובר בתרגום של ספרה I Know What You're Thinking: Using the Four Codes of Reading People to Improve Your Life.

הדבר החשוב ביותר בספר לדעתי, והמחברת גם מזכירה את זה בתחילת הספר הוא להיות מודע הבעות לפנים, לתנועה, לטון דיבור ולתוכן הדיבור. פשוט להתבונן. הדבר הבא הוא להיות מודע לרגשות שמתעוררים כשמודעים למשהו שרואים ועם הזמן לשכלל את ההבחנות שלנו לגבי הקשר בין מה שאנו רואים בהתבוננות שלנו לתוצאות מנסיוננו.

אני לא הזדהיתי עם חלק לא מבוטל מההצהרות והטענות בספר. אבל אני לא איש מקצוע בתחום וניכר שהיא כן, ואפילו אדם משופע במוניטין חיובי. אולי אני חושב כך בגלל שאין לי די כישורים בתחום ואולי כי היא מאד טובה בהערכת אנשים מהתרבות שלה ופחות אנשים מהתרבות שלי... אולי... אני לא יודע.

בסה"כ, אני למדתי את מה שהיא מלמדת בעיון, ואנסה להתבונן ועם הזמן לבדוק מה באמת מתאים ומה לא מתאים.

התחום חשוב לדעתי כדי להצליח ולתקשר טוב יותר עם אנשים. אני מקווה למצוא עוד ספרות בנושא, ולנסות להתעמק.

הפריע לי שטענות לא זכו להפניות לספרות המקצועית שעליה הן מבוססות. הפריע לי קביעות נחרצות על אופי של אנשים ע"פ מאפיין חיצוני, בלי נימוקים והסברים מדוע. גם כשהיו הסברים הם לא היו משכנעים לטעמי.

היתה לי הרגשה בזמן הקריאה שאני קורא כתבה במגזין לנשים... משהוא קליל ולא מחייב במקום משהו מבוסס.

דבר נוסף שהפריע לי היה אולי תלוי בתרגום: מצד אחד תרגום לעברית שלא עושים בה שימוש ומאידך סלנג לא מעודכן ותרגום רדוד. כמה דוגמאות:
  • בעמוד 52 "יחידה כילולית" ובעמוד 54 "מכללת"... בתור נסיונות להטות ולגזור את הפועל כלל.
  • בעמוד 53 "גרייה" כאשר הכוונה כנראה לגירוי
ולעומתם, שימוש בעברות של מילים לועזיות כשעה שישנן חלופות שאכן נפוצות בשימוש בעברית:
  • "מונוטוני" בעמוד 153, למשל, בשעה שעוד באותו העמוד המילה היותר שימושית לתאור אותה התכונה היא "חד גוני".
יש עוד אבל אין לי כח לחפש יותר... חבל שלא ערכתי רשימה תוך כדי קריאה. דברים כאלה די מעצבנים אותי בתרגומים. הכוונה שלי היא שתרגומים שאינם עקביים בינם לבין עצמם גורמים לי אי נוחות ורוגז תוך כדי הקריאה.

לסיכום, טוב לדעת גם את הגישה הזאת אבל אני לא ממליץ על הספר. לפי מה שאני קורא עכשיו בתגובות על הגרסה המקורית, אני כנראה לא היחיד שחושב שהספר לא מי יודע מה... ומעבר לזה, גם התרגום לא להיט, לטעמי.


תשובת המשרד לאיכות הסביבה: מתקני שידור (סלולריים?) מעל אולם ספורט ליד חטיבת הביניים איש שלום בכפר יונה

From: אורית טוויל [mailto:OritT@sviva.gov.il] On Behalf Of פניות ציבור - איכות הסביבה ombudsperson
Sent: Sunday, March 08, 2009 9:57 AM
To: Shlomo Yona
Cc:
חני גולוב
Subject: RE:
מתקני שידור (סלולריים?) מעל אולם ספורט ליד חטיבת הביניים איש שלום בכפר יונה

פניות ציבור וחוק חופש המידע

8 במרץ 2009

פניה מס' 267-01-2009

שלמה שלום רב,

פנייתך למשרד להגנת הסביבה התקבלה בברכה.

הפניה מועברת לטיפולה של הגב' חני גולוב , מהאגף לבטיחות קרינה במשרד להגנת הסביבה (02-6495839), אשר תשיב לך עם תום בדיקתה

מידע על נושאים סביבתיים ופעילות המשרד להגנת הסביבה, ניתן למצוא באתר האינטרנט של משרדנו,

בכתובת: www.sviva.gov.il

בברכה,

אורית טוויל

פניות ציבור


From: Shlomo Yona

Sent: Sunday, March 08, 2009 6:44 AM
To:
פניות ציבור - איכות הסביבה ombudsperson
Subject:
מתקני שידור (סלולריים?) מעל אולם ספורט ליד חטיבת הביניים איש שלום בכפר יונה

‏יום ראשון י"ב אדר תשס"ט, ‏08 מרץ 2009

שלום רב,

הנדון: מתקני שידור (סלולריים?) מעל אולם ספורט ליד חטיבת הביניים איש שלום בכפר יונה

הבחנתי שהותקנו לפני מספר שבועות מצלמה ושלוש אנטנות מלבניות (שלי, כאדם שלא עוסק בתחום נראות כמו אנטנות סלולריות) מעל גג אולם הספורט שליד חטיבת הביניים איש שלום בכפר יונה.

1. לפי המידע שניתן להשיג באתר המשרד לאיכות הסביבה אין זכר לתיעוד המתקנים הללו, עד כמה שהצלחתי לחפש ולבדוק.

2. למיטב ידיעתי, המועצה לא פרסמה את התקנת מתקני השידור הללו ולכן פרט להבחנה בהם לא ייודעו תושבי השכונה.

האם תוכלו לבדוק את המתקנים ולבדוק את הנושא מול מועצת כפר יונה וליידעני בטיפולכם בנושא?

תודה רבה.

שלמה יונה

נחל משושים 12

כפר יונה

שגיאה תחבירית במודעה בעתון


מודעה זאת מפורסמת זה זמן רב במקומונים באזור השרון.
מדובר בחנות נעלי ניצן שבה מוכרים נעליים בצומת ניצני עוז.

קרן מכבי

בחשבונות של קופ"ח מכבי יש "קרן מכבי". מסתבר שזאת קרן למימון מלגות והלוואות, ולפי פרסומים בעיתונים היא משקיעה בנדל"ן. לא ברור לי למה לי כצרכן של שרות בריאות יש אינטרס לממן קרן כזאת.

מישהו יודע לספר למה זה טוב ואיך זה שאנשים משלמים על זה בלי לדעת שהם משלמים על זה?

ציור חדש שציירה לי סיון

מתקני שידור (סלולריים?) מעל אולם ספורט ליד חטיבת הביניים איש שלום בכפר יונה

From: Shlomo Yona
Sent: Sunday, March 08, 2009 6:44 AM
To: 'pniot@sviva.gov.il'
Subject: מתקני שידור (סלולריים?) מעל אולם ספורט ליד חטיבת הביניים איש שלום בכפר יונה

‏יום ראשון י"ב אדר תשס"ט, ‏08 מרץ 2009

שלום רב,

הנדון: מתקני שידור (סלולריים?) מעל אולם ספורט ליד חטיבת הביניים איש שלום בכפר יונה

הבחנתי שהותקנו לפני מספר שבועות מצלמה ושלוש אנטנות מלבניות (שלי, כאדם שלא עוסק בתחום נראות כמו אנטנות סלולריות) מעל גג אולם הספורט שליד חטיבת הביניים איש שלום בכפר יונה.

1. לפי המידע שניתן להשיג באתר המשרד לאיכות הסביבה אין זכר לתיעוד המתקנים הללו, עד כמה שהצלחתי לחפש ולבדוק.

2. למיטב ידיעתי, המועצה לא פרסמה את התקנת מתקני השידור הללו ולכן פרט להבחנה בהם לא ייודעו תושבי השכונה.

האם תוכלו לבדוק את המתקנים ולבדוק את הנושא מול מועצת כפר יונה וליידעני בטיפולכם בנושא?

תודה רבה.

שלמה יונה

נחל משושים 12

כפר יונה

התרשמויותי ממפגש קהילת .NET וניתוח התמודדות עם מתקפות באמצעות ווב 2.0

שלום,

שלום לכולם,

ביום שלישי השתתפתי בסמינר שבו דובר על מתקפות בתחום ה-web 2.0. להלן סיכום הפגישה מנקודת מבטי, למי שמתעניין:

התרשמויותי ממפגש ניתוח והתמודדות עם מתקפות בעולם ה-Web2.0

ראשית, הנה תאור המפגש כפי שהופיע בהזמנה:

שלום,

הנך מוזמן למפגש קהילת אבטחת מידע - .Net security user group

שיתקיים בתאריך ה 3-3-09

התכנסות ב-17:30 בבית מיקרוסופט, רח' הפנינה 2 רעננה.

שם המפגש- ניתוח והתמודדות עם מתקפות בעולם ה Web2

בהרצאה זאת נסקור את מגוון המתקפות והאיומים בצד הלקוח, וכיצד ניתן לנצל את טכנולוגיות ה - Web 2 למימוש מתקפות אלו.

במהלך ההרצאה נסקור כלים לניתוח אירועים בצד הלקוח כגון client honey וכלים נוספים המאפשרים לבצע ניתוח מעמיק למתרחש בצד הלקוח.

להלן תיאור המפגש באנגלית:

What are web 2.0 attacks ? do you know how to defend against web 2.0 attacks? How is it related to man in the endpoint attack?

this session will be focused on how to defend against web 2.0 attacks and man in the endpoint attacks.

with technologies such as Ajax and Silverlight the client is much more involved, it's no more protecting the server but now we will need to protect the client who's on the public network.

do you know if someone is attacking your machine ? how ?

if you don't have all the answers for those questions you are welcome to joint this session at March 3th, Microsoft Israel, 2 Hapnina St. Raanana. Floor 0 at 17:30.

Presenter: Nimrod luria, Information Security Architect, Qrity.

סדר יום:

18:00 -17:30 התכנסות וכיבוד קל.

18:00 -19:00 הצגת האיומים בצד הלקוח.

19:00-19:15 הפסקה.

19:15-20:30 המשך הרצאה, מתקפות WEB2 מצד הלקוח ודרכי התגוננות.

20:30- 21:00 שאלות פתוחות בנושא.

קהל יעד

מפתחים, מנהלי פרויקטים ו ר"צ, אנשי תשתיות, מומחי ומנהלי אבטחת מידע.

מרצה: נמרוד לוריא ארכיטקט אבטחת מידע, חברת www.Qrity.com Qrity.

קהילה זו נפגשת כל יום שלישי ראשון בחודש אי זוגי (בד"כ).

אשמח לראותך, להרשמה לחץ כאן: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032405780&Culture=he-IL

ירון חקון, מנהל הקהילה yaron@2bsecure.co.il .

כרגיל, ניתן להעביר את ההזמנה ללקוחות \עובדים \ חברים וכול מי שמתעניין, ההשתתפות בחינם.

ולעצם הסקירה שלי:

הגעתי למקום בשסיבות חמש ושלושים. מיקרוסופט תופסת בבניין שם שלוש קומות. בכל קומה יש להם לובי יפייפה. בקומה 0 שם גם התקיים הכינוס (באולם הכנסים שנראה כמו חדר קולנוע קטן) הלובי עוד יותר יפה.

כפי שמוזכר בהזמנה את הנושאים העביר נמרוד לוריה מחברת Q.rity. הקישורים בסיכום שלי נאספו על ידי והם לא הובאו ע"י המרצה, אלא אם ציינתי זאת במפורש. הסיכום הוא שלי ובמילים שלי ולא בהכרח מדגיש את אותם הדברים שהדגיש המרצה או מתרכז בנושאים שאליו כיוון המרצה.

הנושא הראשון שעליו דובר הוא alternate data streams. כעקרון, מדובר במנגנון שנמצא ב-ntfs שהיא אחת ממערכות הקבצים הנמצאות בשימוש במערכות הפעלה windows. המנגנון מאפשר לשמור רצף של בתים (a stream of bytes) ולגשת אליו ולערוך בו שינויים כאשר הרצף מוצמד לקבצים. ראו מדריכון על הנושא פה. ייתרון וחסרון של השיטה הוא (בין שאר היתרונות והחסרונות) שהרצף נגיש אבל לא נראה למי שלא מחפשו במפורש (למשל ע"י שימוש בתוכנה streams או תוכנות אחרות שמשמשות כ-streams reader, למשל הנה קישור להורדה פה והנה עוד אחת פה). הנה קישור שמצאתי למאמר שבו מוסבר יפה הנושא, וחלק מההשלכות שלו הקשורות לאבטחה. עוד קישור לעמוד שמסביר יפה, אם כי נכתב די מזמן נמצא פה.

נמרוד הראה כמה קל לשמור קוד JavaScript כ-alternate data stream לקובץ תמים כלשהו, למשל קובץ טקסט רגיל. ואז להעיר או להריץ את הקוד בסביבת המשתמש עם הרשאות המשתמש. באותו האופן הראה נמרוד את ההשלכות לכתיבת קובץ הרצה, למשל exe, והרצתו בסביבת המשתמש.

ושילוב מעניין, למשל, זה שהודגם: תוכנה ה"משחזרת ססמאות נשכחות" (זאת הגדרת התפקיד המכובסת של התוכנה...) לסביבת חלונות, pspv.exe, יכולה להכתב כ-alternate data stream שרוכב על קובץ JavaScript. באופן זה הקוד הזדוני יורד למחשב המשתמש. ואז אם יש גישה (זה כבר מסבירים בהרצאות אחרות איך משיגים גישה להרצת קבצים אצל משתמשים וזה לא היה הנושא של השיחה הזאת) בקלות מריצים ומקבלים מידע רגיש של המשתמש.

הנה כמה שורות פקודה שהוזכרו תוך כדי ההסבר:

type pspv.exe > pspvonjs.js:pspv.exe

start .\pspvonjs.js:pspv.exe

streams –s c:\Inetpub\wwwroot\demo\

מידע מעניין שהוזכר תוך כדי דיון היה שדפדפן chrome מאפשר הרצת alternate data streams. נסו להכניס קוד הרצה (למשל לפי הדוגמה שלמעלה) לקובץ שזמין באתר אינטרנט וגלשו אליו באמצעות chrome ובדקו אם זה מריץ את הקוד על מכונת החלונות שלכם או שלא. למשל:

http://foo.com/x.txt:malicious.exe

עוד דבר מעניין שלמדתי שאפשר לעשות הוא להכניס קוד JavaScript בתוך קבצי gif באופן שישנם דפדפנים שיריצו את קוד ה-JavaScript. אפשר לחשוב על זה בתור סוג של cross site scripting. וראו הדגמה קלילה שמצאתי באתר הבא (אפשר לדלג ישר לפרק שמונה: chapter 8 – XSS upload).

נמרוד הציג את השיטה כאמצעי הפצה נח של וירוסים, רוגלות ובאופן כללי רושעות. כדי להראות איך גורמים למידע להשאר בצד המשתמש הוא נתן לדוגמה שיטה אחת שניתן לשמור מידע באמצעות silverlight כדי לעשות בו שימוש אח"כ. הנה קישור ליומן הרשת של Ian Blackburn שמסביר יפה את השיטה. אני יכול להסביר למי שמעוניין איך אפשר לשמור קבצים בצד הלקוח ב-FireFox וב-Internet Explorer ע"י שימוש ב-client side persistence, לרבות שימוש ב-sessionStorage וב-globalStorage ב-FireFox ושימוש ב-userData ב-Internet Explorer. וכמובן ישנן שיטות דומות עבור flash וכן דפדפנים שונים מממשים מסדי נתונים עם מנשק SQL שגם באמצעותם ניתן לשמור ולנהל מידע שאינו בהכרח תלוי עמוד/אתר/דומיין.

למי שבכל זאת ספקן לגבי יכולות הרצת קוד אצל המשתמש הנה שיטה שכבר טופלה ואינה נתמכת בדפדפנים מעודכנים (אבל תעבוד יפה אצל משתמשים שלא מתעדכנים בעדכוני אבטחה):

var x=new ActiveXObject("Wscript.shell");

x.run("\path\to\file\");

return false;

המסלול לקובץ יכול בהחלט להיות כזה שמפעיל קוד הרצה שמודבר ל-Wscript.shell כ-alternate data stream. למשל חשבו על מסלול שנראה כמו c:\some\folder\Wscript.shell:malicious.exe.

עוד דיון שהתפתח היה על נושא ה-cross domain מה שידוע בתור שיטות עקיפה ל-same origin policy שנועדה לשמור על פרטיות מידע של גולשים באתרי אינטרנט. אחת מהמדוברות היתה עריכה ושינויים בקובץ crossdomain.cml שעושים בו שימוש ב-flash ו-silverlight ובקבצים דומים ב-development frameworks שונים שעושים בהם שימוש מפתחי אתרים. אפשר לחשוב איך ניתן לעקוף את ה-same domain policy שנאכף ע"י הדפדפנים עבור קוד JavaScript ע"י תיווך באמצעות אובייקטי Flash שעבורם הוגדרו הקלות ב-crossdomain.xml. זה יכול להיות אמצעי להעברת מידע לרבות גניבת מידע בין domains ובאופן מעשי עקיפת מודל האבטחה.

עוד באותו נושא הציג נמרוד את __defineGetter__ שנמצא בפרוייקט מוזילה ובאמצעותו ניתן היה (ואולי בגרסראות מסויימות עדיין ניתן) לשנות אפקטיבית את ה-domain בהקשר שבו רץ קוד JavaScript כך שניתן יהיה להעביר מידע בין domains. הנה כך כדוגמה:

document.__defineGetter__("domain",function(){return "safe.com";});

וראו קישור לדוגמה נוספת פה.

גם במהלך ההרצאה היו גלישות לדיונים על web services וגם בהפסקה הספקתי לשמוע קצת שיחות בנושאי web services. רשמים שאני זוכר הם:

· אנשים חושבים ששימוש ב-SAML יפתור להם את כל בעיות האבטחה, אע"פ שאין להם מושג במשמעות של SAML, במימוש של SAML וביישום נכון שלו. אין לקהל שהייתי בו (לפחות זה שדיבר בקול, אני הרי לא יודע מה אנשים חושבים לעצמם או יודעים ולא מגלים) הבנה ביישום של SAML בהקשרים של web services באמצעות .NET או בכלל. אם אני טועה, אני אשמח לדעת. בכל אופן התרשמתי שהשיטה המקובלת היא לשלוח בקשות ל-web service או באמצעות SOAP requests שאין להם כלל מנגנוני הזדהות (authentication information in security sections/tokens/assertions) או שיש שימוש בשיטה הפשוטה של שם משתמש ואולי גם ססמה ב-cleartext ע"י שימוש ב-basic HTTP authentication או ב-UsernameToken (הנה דוגמה, יש עוד דוגמאות).

· הטענה היתה שבשעה שיש תוקף שיש לו גישה לצד המשתמש אזי אין לו בעיה לצפות בתכנים ולשנותם בין אם יש ובין אם אין SSL כי יש אפשרות לקבל גישה למידע דרך ה-wininet טרם הטיפול לצורך SSL). ההמלצה של נמרוד היתה להשתמש ב-SAML לצורך ווידוא זהות המשתמש וה-data integrity של מה שנשלח, אבל הוא לא הרחיב ואני לא הבנתי איך גם זה לא פגיע באותה מידה אם יש גישה ל-wininet.

החלק השני של הסמינר עסק בנושא של התקפות על צד המשתמש, להבדיל מהתקפות על השרתים ועל האפליקציות. נמרוד השמיע הבחנה שלו שהתקיפה על שרתים ועל אפליקציות דרך האינטרנט הולכת והופכת קשה יותר ודורשת יותר ויותר תחכום מהתוקפים לאור שימוש ב-web application firewalls (הוא מכנה משום מה web application firewall בשם הגנרי אימפרבה, שאותי באופן אישי זה מצער בתור עובד של F5 שמפתחת ומוכרת ASM). לא נראה שמישהו מהקהל קבל על ההבחנה של נמרוד.

הנושא התמקד בשאלה "איך אני יכול לדעת שאני מותקף או מודבק ע"י רושעה כלשהי?" היו כל מיני תשובות כמו "כשהמערכת לא עובדת כרגיל" או תגובות ציניות כגון "כשהגישה לאינטרנט הופכת מהירה מאד" וכיוצא באלה. נמרוד התמקד בכלי בשם httpreplay והראה איך אפשר לעשות בו שימוש ודן במגבלות ובאפשרויות.

נמרוד הציג כלים וסיפר על שלל כלים אחרים (אך לא פירט לצערי) שניתן וכדאי לעשות בהם שימוש כדי לנטר את המתרחש בצד המשתמש על מנת לנסות ולזהות תעבורה חשודה. נמרוד סיפר על תחום שמכונה HoneyClient (ראו פרוייקט של MITRE בשם זה וגם הסבר על הנושא בויקיפדיה), שזה אמור להיות לצד הלקוח מה ש-HoneyPot הוא לצד השרת.

כלים נוספים שהוזכרו אך לא היתה התעמקות בהם ובאופן השימוש בהם:

· strace

· wininet debug

· שימוש ב- detoursלצורך איסוף מידע

· honeyC

· spyBye

· phoneyC

· honeyMonkey

· capture-HPC

· MITRE honeyclient

אני לא יודע לספר על הכלים הללו כי אין לי נסיון בשימוש וידע על אף אחד מהם. אני מקווה למצוא זמן ולנסות להבין יותר על הכלים האלה ומה שעומד מאחוריהם.

לסיום ניסיתי לקבל טיפ על איך אפשר לקבל שליטה (לכל הפחות לקרוא את התוכן של...) על HTTP Request איך שהוא יוצא מהדפדפן באמצעות JavaScript (למשל, לראות איך נראה ה-request לאחר לחיצה על כפתור ה-submit של טופס). מה שקיבלתי זה ששלחו אותי לחקור את הקוד של firebug. אם יש למישהו טיפ יותר ישיר לתשובה אני מאד אשמח לדעת.

זהו.

אני חושב שזה היה מפגש מאד מעניין ומאד מחכים. וודאי אם אצליח להתעמק בכל הנושאים שהוצגו על קצה המזלג. אני מקווה להצליח ולהשתתף בעוד מפגשים מסוג זה, נראה שזאת דרך לא רעה בכלל להרחיב את הידע.

שלמה.