מחשבות ראשונית שיש לי בנושא:

במוצרי קוד פתוח, תפיסת האבטחה היא דו כיוונית – מצד אחד, ניצור מוצר מאובטח יותר, מפני שאנו יודעים שפרצות שנשאיר יהיו חשופות לעיני כל.

מצד שני, הקהילה מחפשת באופן אקטיבי אחר פרצות, ועוזרת לנו לסגור אותן.

כיצד ניתן ליישם את השיטה על אבטחת מתקנים?

התפיסה לגבי מתקנים בטחוניים היא שאסור לחשוף את המבנה הפנימי שלהם, אסור לצלם אותם, הם לא יופיעו במפות וכד' – זאת כדי לא לחשוף פרצות פוטנציאליות.

התפיסה הרווחת לגבי אבטחת מתקנים בטחוניים היא שיש לשנות את השגרה כל הזמן – וכך נעביר את הפרצות שלנו ממקום למקום.

בנוסף, לא תמיד יש את האפשרות להיות 100% חסינים, משיקולי עלות, כח אדם וכד'.

האם ניתן להגיע למצב שבו פלוני, בעל מפעל, יכול לחשוף לציבור את מבנה המפעל, את מיקום החדר עם הכספת, ואת פירוט אמצעי האבטחה שלו, מתוך ידיעה שהוא מאובטח ב100%, ואם לא אז הקהילה תעזור לו למצוא את הפרצות שלו ולסגור אותן?

Dear attendee,

First of all thanks for attending Google Developer Day yesterday, we hope you found it useful. Unfortunately, we need to let you know about an incident which took place during the conference which you may need to take precautionary action on.

We identified unauthorised activity on the public wired Ethernet network which was provided by the convention centre for conference attendees to access the Internet. This may have affected a limited number of  attendees accessing websites and online applications through the wired Ethernet connection. We have no evidence so far to suggest that the wireless network also provided at the event, and which was used by most attendees, was affected.

Due to the unauthorised activity, there is a chance that if you used the wired network, any user name and password entered to access a website may have been put at risk. When trying to access a secure website (a website using https), you may have received an alert indicating that the page had an invalid security certificate. In any case, we advise users as a precaution to change the passwords for any websites or services they accessed through the wired connection during the conference.

We're really sorry that this has happened but we believe that the vast majority of attendees won't have been affected by this incident. In the meantime, we look forward to seeing you at future events very soon.

The Google Developer Day Team

אין יותר שמות בסיסמה והיא עכשיו מסובכת לפחות כמו שהייתי דורש שלקוחות שלי ישימו.

גיא מזרחי, Hacking.co.il.

"רפֹא רפא את עצמך", אמר ישו. דווקא הגרסה הלטינית של דבריו, בעיוות קל, הפכה לפופולרית בקרב הרופאים – "Medice, cura te ipsum", כסוג של קריאה לרופא לשים לב ראשית כל לתחלואיו שלו, בטרם יפנה את תשומת לבו לחולייהם של אחרים. אנחנו לא באמת מקיימים את הציווי הזה.

ולדי דבוייריס, Medice, cura te ipsum .

No one is ever safe.

שרה קונור.

- – - -

פרצו אליי היום. ניצלו פירצת Front door, או במילים יותר פשוטות, פתחו את מנעול הדלת ונכנסו לדירה. פירקו את כל הארונות אבל לא לקחו הרבה. ריחמו, יימח שמם. לא הרסו לי את החיים כפי שיכלו.

באשר אלך, אני מטיף לשמירה מסויימת על פרטיות, במיוחד בכל הקשור לדפדפנים. בחוות המחשבים הטכניון, אם אני רואה חשבון ג'ימייל מחובר כשאין אף אחד בעמדה, אני שולח לבעל החשבון מייל בשם עצמו, "למה אתה משאיר את עצמך חשוף?". אם שומרים סיסמאות בפיירפוקס במחשב ציבורי (כשמבחינתי הפיירפוקס שמותקן לי על הדיסק און קי הוא בחזקת ציבורי) מגינים על הסיסמאות בסיסמת אב. ולא נשארים מחוברים קבוע לאף חשבון.

- – - -

אבל בבית? ביתי הוא מבצרי. החיים שלי על צלחת.

- – - -

לא לקחו לי את המחשב. אם היו, מצבי היה רע. רע מאוד. אבל מאוד.

- – - -

חכם לאחר מעשה. מגן על הפנים אחרי האגרוף. עכשיו יש סיסמת ביוס. עכשיו לא עוזב את הבית כשהמחשב לא מוגן בסיסמה. עכשיו התיקייה של מוזילה מוצפנת.

- – - -

אוף.