הגליון המאה עשרים ושניים של DigitalWhisper שוחרר!


 
ברוכים הבאים לגליון ה-122 של DigitalWhisper, גליון אוקטובר! 
   
לפני מספר ימים ראיתי את הסרט "The Social Dilemma". אני ממליץ למי שעוד לא ראה אותו לעצור את הקריאה, לראות את הסרט ורק לאחר מכן להמשיך לקרוא.
 
מדובר בסרט המציג את הרשתות החברתיות כנושא שיש לדון עליו בכובד ראש וככזה המאיים על עתידה הבריא של האנושות. העניין המרכזי שהוצג בסרט הוא שמטרת הרשתות החברתיות הוא - איך לא - לייצר כסף לבעליהן, ובמסגרת מטרה זו הרשתות החברתיות משתמשות בהרבה מאוד כלים שיוצרי הסרט הגדירו כבעייתים ומזיקים לאנושות כחברה.
 
יוצרי הסרט כמעט ולא דיברו על הבעייתיות של איסוף המידע על ידי אותן החברות מבחינת הפרטיות, אלא על אופן השימוש בו לטובת הגדלת הגירוי המנטלי של המשתמשים, ומכך להגדיל את זמן החשיפה שלהם לאותה רשת חברתית - וכנגזרת מכל זה - הגדלת הרווח שנוצר מהזמן לפרסם מוצרי צד שלישי.
 
זה די טבעי שאם יתפתח דיון סוער אודות נושא שקרוב לליבו משתמש אחד - הוא בסבירות גבוהה יסחף להגיב ולקרוא את שאר התגובות וכך ישאר זמן רב יותר ברשת החברתית, או אם תצוץ הודעה הכוללת קישור לקטע ממטריקס כאשר השחקנים בו הם חתולים למשתמש אחר - הוא יצפה בסרטון וימשיך לגלול. 
 
עד כאן זה נשמע יחסית בסדר, אך מי שאחראים ושולטים בתוכן אשר מוצג למשתמש (באופן טבעי, אך אני די סבור שניתן לעקוף זאת במקרים מסויימים) הם האלגוריתמים - או אם תרצו - הבינה המלאכותית שאחראית לחשב, לחזות ולהרכיב ב-Backend את כל הפרופילים של משתמשי הרשת. המרואיינים שהוצגו בסרט (הרבה "עובדים לשעבר" מרכזיים באותן חברות) טענו שבדרך כלל הנושאים שאליהם יחליטו אותם אלגוריתמים לחשוף את המשתמש ברגע נתון הם נושאים קיצוניים ומפלגים שהסבירות שלהם ליצירת תגובה מצד המשתמש תהיה באופן טבעי גבוהה יותר.
 
לאט לאט, לטענתם, הרשתות החברתיות גורמות למשתמשיה להיות קיצוניים יותר בדעותיהם, חסרי סובלנות לדעות שונות, ולצרוך פחות ופחות מידע ממקורות חיצוניים לאותה הרשת.
 
נקודה נוספת שאליה התייחסו יוצרי הסרט היא שהמוח האנושי, ברמה האבולוציונית, עדיין לא הגיע לשלב מפותח מספיק כדי להתמודד עם כמות ביקורת וחשיפה לדעות של כל כך הרבה אנשים בפרק זמן קצר מאוד. העלת סרטון של עצמך עושה קיק-פליפ עם הסקייטבורד החדש בפארק? בעבר היית מקבל תגובה מהחברים בשכונה שראו אותך עושה זאת, הגדלת לעשות וצילמת ב-VHS? הרווחת תגובה מעוד 30 איש. היום באמצעות הרשתות החברתיות, כל אחד חשוף לקבל ביקורת (שלילית וחיובית) מצד מספר הגדול בכמה מונים מהכמויות שאליו יכלו להחשף 2-3 דורות קודם לכן. התגובות שקיבלת חיוביות? לא בטוח שיש להן רק השפעה חיובית (יצירת ביטחון יתר? עידוד חוסר סבלנות בעת המתנה לתגובה?), התגובות שליליות? במקרה קיצון הן תוכלנה לגרום להתאבדות מצד אותו מפרסם, שבהרבה מקרים לא יהיה אפילו מעל גיל 18 ולא יוכל להבין את משקלן האמיתי, חוסר חשיבותן או תוקפן של אותן התגובות.
 
השיח הנ"ל על הרשתות החברתיות אינו ייחודי רק ל-"The Social Dilemma", וגם בסידרה הביקורתית "מראה שחורה" ובמקומות נוספים אחרים הציגו לא אחת את ההשפעות השליליות וההשלכות הלא נעימות שעתידות לצוץ מהשימוש באותן רשתות חברתיות. אחד החידושים שיש בסרט הנ"ל הוא הקריאה לרגולציה שיש להשית על החברות המפעילות את אותן רשתות חברתיות. הן ברמה האתית והן ברמה הטכנית.
 
וזה פחות או יותר אחת הנקודות שבהן הרגשתי את הפיספוס של הסרט. המשפט: "כשאתה משתמש במוצר מבלי לשלם עליו - ככל הנראה המוצר הוא אתה" שעלה בסרט לא פעם, אמור לעודד את המשתמשים להגיע להבנה שאף חברה היא לא סתם נחמדה, כשאנחנו משתמשים בפלטפורמה של מישהו אחר בחינם ומזינים אליה נתונים - יש מישהו בצד השני שככל הנראה יעשה עם הנתונים האלה משהו שאנחנו לאו דווקא נהיה מרוצים ממנו. המשפט אמור לגרום למשתמשים להבין שכשהם מזינים לתוך תיבת קלט ברשת חברתית כלשהו מידע פרטי, אז המידע הזה כבר לא נחשב למידע פרטי. עשית Like? תניח שמחר כל העולם יידע שאתה אוהב את השיר החדש של X. ויותר מזה - כתבת למישהו הודעה פרטית בפלטפורמה שאינה שלך ושאינך משלם עליה כסף - גם המידע הזה כבר אינו פרטי והוא כבר אינו שלך, אף אחד לא הכריח אותך לשתף אותו ועשית זאת על דעת עצמך.
 
הקריאה להטלת הגבלות על חברות המפעילות רשתות חברתיות הינה זהה לאמירה שלמשתמש אין אחריות על מעשיו. הרשת החברתית שם - תרצה להשתמש בה, בכיף, אבל תזכור שאף אחד לא הכריח אותך לעשות זאת ושהאחריות היא עליך ועליך בלבד.
 
למרות תחושת ההחמצה הזאת לגבי הסרט, אני ממליץ עליו מאוד, הוא לא מחדש ברמה הטכנולוגית למי שחקר מעט את התחום, אבל בהחלט ערוך ברמה גבוהה ומעביר טוב את המסר.

ולפני שניגש לתוכן הכל כך איכותי שאספנו וערכנו להם החודש, נרצה להגיד תודה רבה לכל מי שהשקיע, כתב והגיש מאמרים החודש: תודה רבה לבאסל ח', תודה רבה לעדי מליאנקר, תודה רבה ליהונתן אלקבס, תודה רבה ליואב שהרבני, תודה רבה לאלכסיי זלמנוביץ', תודה רבה לניצן שולמן, תודה רבה למאור ראקח ותודה רבה ליהונתן ויינברג.
 
      קריאה נעימה,
אפיק קסטיאל וניר אדר

 
 
החודש, הגליון כולל את המאמרים הבאים: 
  • From Zero to Admin - The Zerologon Journey - מאת באסל ח' ועדי מליאנקר
    במאמר זה יתארו באסל ועדי אודות פגיעות שהתפרסמה לראשונה לפני שבועיים (15.9.20) בשם Zerologon ע"י החוקר Tom Tervoort מחברת Secura.  ניצול מוצלח של החולשה מאפשר בין היתר להשיג הרשאות גבוהות על מחשב הניהול של הדומיין (ה-Domain Controller) ובכך להשתלט על כלל הדומיין. מדובר בחולשה לוגית, שדרך הניצול שלה פשוט מאוד יחסית, וניתן לנצל אותה מכל עמדה בדומיין. על פי מדד CVSS הפגיעות קיבלה ניקוד 10.0 - החלום המתוק של כל תוקף.

  • על תעודות דיגיטליות - איך לסמוך על הסינים באינטרנט - מאת יהונתן אלקבס
    יצא לכם פעם לחשוב על זה שאנשים אשכרה שמים את פרטי האשראי שלהם (ו/או כל מידע רגיש אחר) באינטרנט כאילו זה סבבה? איך מישהו יכול לוודא שהוא באמת שולח את המידע לאתר שהוא סומך עליו ולא לחיקוי ו/או העתק זדוני שלו? למה אנחנו כל כך משוכנעים שמישהו לא יכול להאזין לתקשורת שלנו ולחלץ ממנה מה שהוא רוצה? מטרת מאמר זה היא פשוטה: להביא את כל מי שקורא אותו מ-0 ל-100 בכל הקשור לנושא של תעודות דיגיטליות (ותעודות X.509 בפרט), ובכללי מאיך שעובדת תקשורת מבוססת הצפנה באינטרנט (HTTPS). במסגרתו יהונתן יסביר על הנושא מקצה-לקצה, ינתח פאקטות TLS ב-Wireshark, יסביר על PKI,  איך להכין תעודות X.509 ולחתום עליהן, יציג את השימוש הפרקטי בהן, ואיך לא - גם על חולשות בארכיטקטורה שנוכחת כיום ולמה מומלץ כל כך להשתמש ב-TLS בצורה חכמה ונכונה.

  • Cheating is for assholes… And Smarties - חלק א' - מאת יואב שהרבני / Yoav Shaharabani
    מאמר זה הוא מאמר ראשון בסדרת המאמרים של יואב אשר תעסוק בהכנת צ'יטים למשחקי מחשב תוך שינוי הזיכרון שלהם במהלך ריצה. חלק זה יעסוק במחקר והכתיבת צ'יטים למשחק CubeWorld, משחק מסוג ARPG תוך כדי כתיבת DLL שיוזרק לתהליך המשחק בזמן שהוא רץ. במאמר זה יואב יציג את התהליך המלא של קו המחשבה שעבר בזמן הכנת הצ'יט.

  • איך להעביר מכתב אהבה - מאת אלכסיי זלמנוביץ' וניצן שולמן
    במאמר זה מציגים אלכסיי וניצן את עולם התקשורת שבין הרכיבים במערכות גדולות ומבוזרות - מערכות לניהול תורים,  רישום ושליחת הודעות, ניהול וביזור משימות בין מערכת שונות, ועוד. תפקידן של מערכות אלו הוא לנהל את "פס הייצור" שקיים בין המערכות השונות בארגון ולוודא שכל משימות הרקע מתבצעות ומנוהלות כמו שצריך.

  • Using Binary Instrumentation to Solve Obfuscated Binary - מאת מאור ראקח
    במאמר זה מציג מאור את הפתרון שלו לאתגר CrackMe מעניין עם מספר טכניקות אנטי-רברסינג מאתגרות, ואת תהליך הפתירה שלו מנקודה בה יש לנו אפס מידע על הבינארי ועד להודעה המיוחלת של ההצלחה.

  • ניתוח קוד סטטי כדרך להתמודדות עם בעיות אבטחה בקוד Python - מאת יהונתן ויינברג
    שפת התכנות Python היא שפה נפוצה מאוד בעולם, ונמצאת בשימוש ע"י חברות גדולות כמו Google ,Dropbox ,Reddit ועוד. אך למרות השימוש הנפוץ בה, יש מספר גדול של בעיות אבטחה אפשריות שיכולות להיווצר בקוד הנכתב בה ועל המפתחים המשתמשים בה לדעת על בעיות אלו ולדעת להתמודד איתן. במאמר זה יהונתן יציג מספר דוגמאות לבעיות אפשריות בקוד בשפה זו, וכן יסביר על ניתוח קוד סטטי ועל יתרונותיו העיקריים, במסגרת הסבר זה יציג את הכלי Bandit אשר מטרתו היא מציאת בעיות אבטחה בקוד בשפת Python בשיטת ניתוח זו.
 
 
 
 
                                                                    קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל   


תגובות על 'הגליון המאה עשרים ושניים של DigitalWhisper שוחרר!':



#1 

Ender (אורח):
כל קודם, גיליון אש

לגבי נטפליקס - צריך לזכור שבסופו של דבר שגם נטפליקס זו פלטפורמה מבוססת AI, (אשכרה דווח שעלילות של סדרות וסרטים בהפקה שלהם מושפעות בין היתר מהאלגוריתם שלהם), ושהמטרה של הפלטפורמה הזו היא לשכנע אותנו להקדיש את הזמן שלנו אליהם במקום אל הפלטפורמות המתחרות..
30.09.2020 23:21:16

#2 

אבינימנוש (אורח):
לא אהבתי את הרפרנס לסרט הsocial dilemma.
כמו שרשמת, הבעיה הבאמת חמורה היא איסוף המידע עלינו ברשתות.
אבל זה, הנושא שפחות סקסי היום לדבר עליו (משום מה).
כמויות המידע שמצטברות על אנשים היום גדולות בצורה לא סבירה, וזה הדבר הכי מסוכן. הרבה יותר מפונקציית מטרה של רווח של פייסבוק, וזה שהם מראים לאנשים מה שישאיר אותם בפלטפורמה (שזה גם לא טוב, אבל לא באותה מידה).
בעיניי הסרט גרוע, כי הוא מתמקד בביקורת פחות חשובה, כשיש פה משהו הרבה יותר חשוב על הפרק - המידע על כולנו.

כל זה בלי קשר למגזין עצמו, שמוערך כמובן כמו תמיד :)
30.09.2020 23:48:12

#3 

לא מבין (אורח):
איפה הסינים במאמר או שזו בדיחה גרוע CNים?

Imunify360 סתם מציק לטרולים מעל תור
01.10.2020 04:18:53

#4 

Tantan (אורח):
אני אף פעם לא מצליח למצוא את הקישורים מאמרים.
איך אני נכנס למאמרים?
01.10.2020 08:59:11

#5 

קישור (אורח):
תלחץ על הקישור הראשון בעמוד "גליון 122", אבל שמע, יש סיכוי שאתה במקצוע הלא נכון :)
01.10.2020 22:59:49

#6 

Magen Gide0n (אורח):
"לא מבין",
לא בדיחה גרועה על cnים, כולה כותרת אבל אחלה מאמר של הבחור:)
01.10.2020 23:00:00

#7 

ענק (אורח):
מגזין מעולה!
לא מאמין שמישהו סיכם במסמך אחד על PKI, TLS, certs, חתימות דיגיטליות, CRL ועוד קשר את כולם ביחד. שאפו ענק לכותבים!
02.10.2020 16:47:00

#8 

רגב (אורח):
תודה רבה על כל המאמרים!
04.10.2020 08:57:08

#9 

מעריץ (אורח):
מגזין מטורף!!
המאמר על תעודות דיגיטליות ללא ספק בין המושקעים שראיתי, שאפו ענק!
05.10.2020 17:29:33

#10 

שניצל (אורח):
שמעו, אתם מעולים.
אני כל כך נהנה לקרוא את כל מה שאתם כותבים בין אם מבין בין אם לא.

ההומור הידע הכתיבה אתה השמן החם שכל שניצל היה רוצה לשחות בו. :-)
09.10.2020 09:10:12



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2019 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.