|
||||
|
||||
דואר זבל מזיק וקל יחסית לחסל אותו, לכן יש טעם בדו''ח שמתריע על נזקים סביבתיים שלו. יש עוד הרבה תופעות דומות שניתן לצמצם את הזיהום שהם גורמים. לעומת זאת תנורים בעולם השלישי מיועדים לצרכים חיוניים של קיום, וכדי לשנות את זה צריך תהליך ארוך של העלאת רמת החיים והשקעה בכפרים נידחים, תהליך שיכול לקחת דורות. |
|
||||
|
||||
לפי המאמר אתה טועה. נראה שזה בעיקר עניין של כסף. כיום יש תנורים יעילים ב90% מבחינת הזיהום שמחירם 20$. זה אמנם יקר למשפחה הודית שמרוויחה 2$ ליום אבל אפשרי לגופים בינלאומיים וממשלתיים, וגם עובדים על פיתוח תנורים חדשים. |
|
||||
|
||||
ההרגשה שלי ההשפעה של דואר זבל על צריכת האנרגיה של מחשבים די זניחה, לפחות בהשוואה לזו של תוכנות האנטי למיניהן. ההודעה הזו היא עוד דוגמה למסע ההפחדה וההטעיה שמנהלות חברות האנטי במהלך השנים כדי שתמשיך לקנות את מוצריהן. כמובן שיותר מבהיל לכמת את הנזק הכלכלי של אובדן שעות עבודה. ולחברות האנטי יש היסטוריה מתועדת ארוכה של הגזמות פראיות בתחום. יש באופן כללי השקעה בהקטנת צריכת החשמל של מחשבים מכמה סיבות: * מחשבים ניידים והתקנים ניידים יותר צריכים לעבוד על סוללות. כדאי שהסוללות יחזיקו כמה שיותר זמן. * שרתים שרצים כל הזמן אמנם לא צורכים כמות גדולה של חשמל, אולם כשיש לך המון שרתים, הכמות הזו מתחילה להצטבר. דוגמה לשיפור: למעבדים הנוכחיים של אינטל ו־AMD יש כמה רמות פעילות. כאשר המעבד לא עסוק בחישובים, הוא נכנס לאט לאט ל"מצבי שינה" יותר ויותר עמוקים. כדי לנצל את זה, התוכניות צריכות לנסות לא להפעיל את המעבד כל הזמן. לדוגמה: תהליך שכל עשירית שניה מתעורר ובודק משהו קטן לא ייקח הרבה זמן מעבד, אבל יעלה את צריכת החשמל מכיוון שהוא מפריע למעבד לישון. באינטל היתה הרגשה שבמערכות לינוקס1 הבעיה הזו היא בעיה נפוצה. בתור צעד ראשון לתיקון הבעיה הם כתבו כלי פשוט בשם http://en.wikipedia.org/wiki/PowerTop שמראה בעיקר עד כמה המערכת מצליחה לישון ומי מפריע לה. הכלי הפשוט הזה הפך את הבעיה למוחשית ותוך שנה־שנתיים תוקנו תוכניות רבות וצריכת החשמל של מערכת לינוקס ממוצעת ירדה בהרבה. 1 אני מתאר כאן רק את מה שקשור ללינוקס מכיוון שזה תחום שאני מכיר היטב. |
|
||||
|
||||
אם הבנתי אותך, אתה טוען שצריכת האנרגיה בגלל טיפול ידני בדואר זבל דומה לצריכה בגלל תכניות אנטי למיניהן המטפלות בדואר הזה. שאלותי: א. גם אם כך, עדיין יש הצדקה לתכניות האנטי, מפני שהן חוסכות את הזמן העודף שהעובד היה צריך להקדיש לחיסול דואר הזבל. לא כן? ב. האם יש דרכים טובות יותר להילחם בספאם? מדוע לא מצליחים ליצור שת"פ בינלאומי שילחם במפיצי הזבל באמצעות ענישה? (מבלי להתיימר ל"מבינות" מיוחדת בתחום, אני מנחש שזה לא עד כדי כך קשה טכנולוגית לאתר את המפיצים). |
|
||||
|
||||
אולי כי הם לא עושים שום דבר לא חוקי. |
|
||||
|
||||
בהתחשב בזה שחלק לא מבוטל מהזבל באינטרנט נשלח מזומבים שמורצים בצורה לא חוקית, הייתי אומר שזה יותר קרוב ל''לא מצליחים לתפוס אותם עושים משהו לא חוקי''. |
|
||||
|
||||
זומבים? כלומר יש תועלת במוצרי האנטי, למרות הכל? |
|
||||
|
||||
בהתחשב בכמות המחשבים שאמורים הו להיות מוגנים ועדיין הם זומבים: לא. הם רק עוזרים להנציח את מודל האבטחה הגרוע. המודל שמעודד אותך להריץ קוד לא אמין בשביל (לדוגמה) לבדוק מה יש על CDROM שקיבלת ממישהו. |
|
||||
|
||||
מה המודל הטוב יותר שהיית מציע? |
|
||||
|
||||
האם הזומבים היו מוגנים? התחושה שלי היא שזומבים הם מחשבים של אנשים לא מתוחכמים שלא התקינו מוצרי הגנה. אני מסכים איתך שהמודל עקום - אם לקוחות מתוחכמים נפגעים מזומבים, דרך DDOS וכולי, אז נראה לי שההגנות חייבות להיות מובנות במערכות ההפעלה או בחומרה. כשאני בונה בית, אני יכול לבחור לא להתקים מנעול. מצד שני, אם אני שם בור ספיגה בחצר במקום להתחבר לרשת העירונית, אני מסכן את שכני. |
|
||||
|
||||
הבעיה היא שכמעט בלתי אפשרי לבצע דברים במערכת ההפעלה או בחומרה בלי להכביד על המשתמש הלגיטימי; הרי הזומבים עושים דברים לגיטימיים בדרך כלל (שליחת דואל, למשל) - רק בלי ידיעת המשתמש הלגיטימי. אז איך אתה חוסם אותם בלי לחסום אותו? |
|
||||
|
||||
נראה לי שצריך לפתור את הבעיה ברמת מניעת הווצרות הזומבים. |
|
||||
|
||||
השאלה היא מה האפיון של הזומבים שמייחד אותם כך שתוכל להבחין ביניהם לבין תוכנות לגיטימיות ולמנוע את הווצרותם. |
|
||||
|
||||
אנחנו לא מדברים באותה שפה. זומבים ( לדעתי) אינם ''תוכנה'' אלא מחשבים נגועים. |
|
||||
|
||||
מה זה מחשב נגוע? מחשב שרצה עליו תוכנה שעושה פעילות לא חוקית. אתה לא יכול "למנוע היווצרות" של מחשבים, רק לעצור את ריצתן של תוכנות לא חוקיות עליהם כלומר הפיכתם לזומבים. השאלה היא איך אתה יכול לעשות את זה, כלומר למצוא מיהן התוכנות הלא חוקיות ולעצור אותן. |
|
||||
|
||||
בסדר. אני רק לא חושב שצריך לקשר בין ''תוכנות לא חוקיות'' ל ''תוכנות מזיקות''. אני חושב שצריך למצוא שיטות למנוע הדבקות, על ידי קירות אש, דרישה ליותר התערבות אנושית בזמן התקנות ואולי גם ארכיטקטורה אחרת ( אל תשאל אותי איך, נפגש בהנפקה). |
|
||||
|
||||
*יותר* התערבות אנושית בזמן התקנות? אתה מדבר על "מחשב"? אותו מוצר מדף שמשמש את אמא שלי לראות תמונות של הנין שלה? אם אתה ממשכן את הבית שלך כדי לממן את ההנפקה, אתה מוזמן לבוא לישון אצלי בסלון על הספה. |
|
||||
|
||||
אמא שלך, שתזכה לחיים טובים וארוכים, לא התקינה תוכנות מהאינטרנט. היא גם מן הסתם משתמשת בניאגרה למרות שלא התקינה בעצמה את מערכת הביוב. צריך להפריד בין תוכנות שמגיעות עם מערכת ההפעלה לבין הדברים המוזרים הללו שאנחנו מקבלים בדוא''ל עם הבטחה לסרטון קורע מצחוק. שם הייתי מצפה שיהיה אפשר להתקין אותם ( נניח) קודם במין איזור מבודד במחשב ולראות אם התוכנה מנסה לקרוא את רשימת הכתובות שלי, או לשלוח כל מיני חבילות דרך החיבורים שלי. |
|
||||
|
||||
לא קראתי מחקרים על אופני ההדבקה השכיחים בתוכנות זדוניות, אבל אני מנחש שמעורבות אנושית לא היתה פותרת את הבעיה; בחלק גדול מהמקרים מנוצלים חורי אבטחה שמאפשרים התקנה של התוכנות בלי ידיעה ומעורבות של המשתמש, ואם כבר נדרשת מעורבות - המשתמש הרגיל ילחץ "OK" על כל כפתור שיצוץ בדרך, ואילו היה לו כפתור "תענה כן על הכל, תתקין מה שאתה רוצה ועזוב אותי בשקט" הוא היה משתמש בו. |
|
||||
|
||||
נכון. זאת אחת הבעיות לדעתי. |
|
||||
|
||||
מה לגבי התקני חמרה חכמים יותר? נניח, כאלו שידעו לזהות שדרים שאופייניים לוירוסים ולשלוח התרעה למשתמש? או אולי ספקי האינטרנט (ISPs) עצמם יתריעו בפני המשתמשים על סוגי תקשורת שאפיינים לוירוסים או לספאמרים. זה יכול לחסוך גם להם עלויות, לא? |
|
||||
|
||||
איך אתה מזהה תוכן של זרם מוצפן? מה ההבדל בינו לבין: * התקשרות VPN * תעבורת HTTPS * ועוד כמה ששכחתי כרגע גם תעבורה לא מוצפנת לא חסרה: * IRC אמנם פופולרי לשליטה על זומבים, אבל אני משתמש בו בצורה יום־יומית לתמיכה טכנית (במשתמשים אנושיים) * וכמובן אפשר להעביר הכל מעל HTTP זה בהנחה שהם לא ינסו לדבר בעזרת בקשות DNS: |
|
||||
|
||||
האם השדרים האופיניים לתוכנות הזדוניות (נניח תוכנה ששולחת מהמחשב שלך דואל כל הזמן) שונים מאלה של התוכנות הלגיטימיות? לא בהכרח, ואם כן אתה יכול לסמוך על המפעילים שלהם שיעשו אותם דומים יותר. לגבי הספקים, אני מסכים שהם יכולים לעקוב אחרי הפעילות וליידע את המשתמש על דפוסי התנהגות לא רגילים; מצד שני, מעקב כזה עלול ליצור בעיות פרטיוּת שונות. הוא גם לא ימנע את פעילותן של תוכנות שאין להן דפוסי התנהגות ברורים (למשל תוכנה שעוקבת אחרי הקשות המקלדת שלך ופעם זמן רנדומלי מעלה את הסיכום שלהן לאתר כלשהו או תוכנה שיושבת בשקט ומחכה לפקודה לעשות משהו זדוני). |
|
||||
|
||||
הקונפליקט בין הגנה ממזיקים לבין פרטיות המשתמש נשמע לי אמיתי. למשל, כחלק ממערכת החיסון של הגוף, כל תא בגוף מציג על פני המעטפת שלו, באופן אקראי (או אולי לא אקראי), מקטעים קצרים מתוך החלבונים שהוא עצמו מייצר, וגם מאלו שהוא קולט מסביבתו הקרובה. תאי מערכת החיסון מפטרלים ברקמות ונצמדים לרגע (שוב, באופן אקראי או אולי לא אקראי), לתאים שהם עוברים לידם כדי לבדוק את מקטעי החלבון האלו כנגד ספריה של מקטעים שידועים כבלתי מזיקים וכאלו שמוכרים כזדוניים. יש מקומות מסוימים בגוף שאליהם מתנקזים תאי מערכת חיסון שפיטרלו באזורים שונים, ושם הם משאירים אינפורמציה על מה שקלטו בדרכם. |
|
||||
|
||||
שכחתי להוסיף שהאנלוגיה היא, כמובן, בין תא בגוף למחשב ברשת. |
|
||||
|
||||
אני לא רוצה שמישהו יעקוב אחרי פעילותי ברמות כאילו. לדוגמה, תחשבו מה יקרה זמן לא רב אחרי שמישהו מגלה את דבר קיומו של ה"אייל". האם הוא צריך לקבל על כך אזהרה מנומסת מהספק שלו? האם בן־הזוג שלו צריך לדעת על המנהג המגונה? |
|
||||
|
||||
אני הייתי מצפה שסרטון קורע יגיע כקובץ בפורמט שמוכר ע"י המחשב שלי ולא כתוכנית. הבעיה עם גישת ה"ההסגר" ("נשים את התוכנית בהסגר לשבוע") היא שאם מספיק אנשים ישתמשו בה, תוכניות זמניות יסתגלו ויתחילו לפעול רק לאחר שבוע. בעיה יותר מעשית: אחרי שבוע תשכח מהתוכנית. |
|
||||
|
||||
גם אני. ולמרות הכל. לא הצעתי את ההסגר כפותר כל, אם כי ספציפית את הבעיה הזאת אני חושב שאפשר לפתור. מה שבעצם אני רוצה להדגיש זה שתוכנות סינון הם אינטרס של חברות התוכנה ושל ספקי השרות ולכן בעצם אני מצפה שלא אצטרך לסמוך על כך ששכניי הם משתמשים מתוחכמים כמו אמא של דורון וקנו את כל אמצעי הנגד הרלוונטיים, אלא הספקים (או היצרנים) עצמם יבצעו את פעולות הסינון. את המימוש אני משאיר למהנדסים (כמו שהפיסיקאי אמר למח''א). |
|
||||
|
||||
זה נכון לגבי דואר זבל. לא מעשי לגבי תוכנה זדונית (לא ברור לי למה מהם אתה מתכוון, לפי ההודעה שלה ענית). הספק לא סורק את הדיסק שאני מכניס למחשב, לדוגמה. |
|
||||
|
||||
ספק + יצרן מחשבים. אגב, אני מנחש שההדבקות מדיסקים הן נדירות. |
|
||||
|
||||
יש ''דיסקים'' אופטיים שעליהם מסובך לכתוב ובד''כ לא עושים את זה. יש ''דיסקים'' שעליהם הרבה יותר פשוט לכתוב והם משמשים כיום מדי פעם וקטור להפצת תוכנה זדונית. |
|
||||
|
||||
אפשר פירוט לגבי הפיזיקאי? נראה לי שהתכוונת לוריאציה של זו: |
|
||||
|
||||
משהו כזה. בגרסה שלי היה מדובר על מטוס שאי אפשר לראות. |
|
||||
|
||||
ברגע שקוד זדוני הצליח לרוץ על המחשב, המשחק כבר די אבוד. למה בכלל שתרוץ על המחשב תוכנה שלא אמורה לרוץ? |
|
||||
|
||||
שאלתי קודם: איך אתה מציע למנוע את זה? |
|
||||
|
||||
נפריד לרגע בין שני דברים: חורי אבטחה ואנשים שעושים שטויות. אם אתה מריץ מרצונך החופשי תוכנית שמישהו אחר כתב, יש גבול למה שאתה יכול לצפות שסריקה אוטומטית תגלה. אני לא רוצה להכנס לכל מיני רדוקציות לבעית העצירה. מה שצריך לעשות זה להמנע ככל האפשר מהרצת תוכניות ממקור לא אמין. קיבלת אנימציית פלאש נחמדה מחבר? למה היא צריכה להיות בקובץ EXE? הכנסת התקן נשלף? למה הוא צריך אוטומטית להריץ לך תוכנה? במקרה הידוע כ־rootkit1 של סוני, סוני כללה בחלק מהדיסקים שלה תוכנה למניעת העתקות שהותקנה אוטומטית עם הכנסת הדיסק למחשב (ללא אישור המשתמש - ממחיש את העובדה שעצם קבלת האישור מהמשתמש היא הרצת תוכנה). תוכנות האנטי השונות למדו במשך הזמן לזהות את הרושעה הנ"ל ולהתעלם ממנה. ועכשיו לתוכניתנים שעושים שטויות. זה קורה. מתישהו מישהו שם אליהם לב ומתקן אותן. עכשיו צריך להפיץ את התיקון למשתמשים. ברוס שנייר כתב מאמר שמתאר את הבעיה הזו באופן כללי: בעיית "חלון החשיפה": ברגע שמגלים לעולם מהי הבעיה, מישהו יכול לנסות להתחיל לנצל אותה. מצד שני, כדאי לפרסם את השינויים הללו כמה שיותר מהר, לפני שמישהו ימצא את הבעיה בצורה עצמאית ויתחיך לנצל אותה. מנגנוני עדכון תוכנות סובלים מחוסר אחידות: כל תוכנה מתעדכנת לבד ואין דרך מסודרת לשלב את עדכונה עם עדכוני התוכנות של המערכת. לכן כל תוכנה נאלצת לממש מנגנון עדכונים משלה (או לסמוך על המשתמש). סביר שחלק מממשות אותו בצורה לקויה. הרבה יותר מסובך לממש מדיניות כללית לכולם. בבסיס זה יש גם בעיה של חוסר אמון כלפי יצרני התוכנה. אין לנו מושג מה הם הולכים להכניס בעדכון הבא ואנחנו נוטים לא לסמוך עליהם. כצפוי, מודל יותר מוצלח לטעמי הוא מנגנוני ניהול החבילות של הפצות לינוקס: http://en.wikipedia.org/wiki/Package_management_syst... (לא ערך מוצלח במיוחד) 1 rootkit - כינוי כללי לאוסף תוכנות שעוזרות לך להסתיר את פעולתך לאחר שפרצת למחשב. המקור: root הוא שם ה־superuser ביוניקס. |
|
||||
|
||||
אני מסכים עם כמעט כל מה שאתה כותב, אבל אני לא בטוח איך זה עוזר לבלום את הבעיה מהשורש. אנשים מורידים תוכנות מהרשת על ימין ועל שמאל, ומתקינים אותן למרות האזהרות של ''התוכנה היא ממקור לא ידוע, האם אתה בטוח שאתה רוצה להתקין אותה'' (גם אני עושה את זה לעתים קרובות מאד). מספיק לעשות זאת פעם אחת (או מספיק חור אבטחה אחד שלא עידכנת או שנתקף לפני העדכון) - והמערכת נגועה לנצח, אלא אם כן תבצע סריקה באמצעות התוכנות שאתה לא אוהב. השאלה היא איך אתה יכול למנוע את היווצרות הבעיה בלי להכניס את כל המשתמשים למחנות חינוך מחדש ולהגביל גם את הפעילות הלגיטימית בצורה חריפה. |
|
||||
|
||||
לשאלה הזאת כנראה שאין פתרון, ושאם היה למישהו פתרון הוא לא היה חושף אותו מעל דפי האייל. |
|
||||
|
||||
ולכן לא כל כך מובן לי הכעס של צפריר על תוכנות ההגנה והסריקה למיניהן. |
|
||||
|
||||
false sense of security מה שמונע את החינוך
|
|
||||
|
||||
דבר ראשון: כן. חינוך מחדש. האזהרה "התוכנה היא ממקור לא ידוע" לא מספיק מועילה כשלעצמה ללא חינוך. כמוכן חלק מהבעיה היא שקשלה לך להסתדר ללא הורדת תוכנה ממקורות לא מספיק אמינים. מנגנון החתימה על תוכניות שמיקרוסופט הכניסה לא נוח לשימוש לכותבי תוכנה (ריכוזי מדי) ולכן לא משתמשים בו מספיק. התוצאה היא שאתה רואה את האזהרה הזו יותר מדי פעמים. ומתעלם ממנה. תוצאה אחרת היא שאנשים לא פוחדים להריץ תוכנה ממקורות מפוקפקים. הרבה אנשים גם לא מודעים לכך שהם מריצים קוד שהם לא אמורים לסמוך עליו. מנגנון מקביל של חתתימה ואזהרה מקבילה של "האם אתה באמת סומך על המקור" מופיעה במקומות רבים. חשוב לדאוג שהיא תופיע כמה שפחות פעמים כדי שהיא תהיה כמה שיותר משמעותית. באופן כללי סביר להניח שרוב המשתמשים יתעלמו ממנה ולכן צריך גם לדאוג שהצורך בה יהיה כמה שפחות נפוץ. אילו מנגנונים אחרים יש לך לדעת שהתוכנה היא ממקור אמין? בעיקר "המלצות". אגב, העלית דוגמה אחת לתוכנה שאדם יכול לרצות להריץ "מהאינטרנט", והדוגמה הזו פסולה מבחינתי מכיוון שהיא מראש אמורה היתה להיות קובץ אנימציה ולא תוכנית. יש לך דוגמה אחרת? |
|
||||
|
||||
חינוך מחדש של מאות מיליוני משתמשים? שכח מזה. זה לא יקרה לעולם. המשתמש שאינו נוהג לנהל מערכות לינוקס לא מעוניין שמישהו יחנך אותו; הוא מעוניין שהמחשב יהיה כמו הטלביזיה או הטלפון שלו, שהוא מדליק אותם ומשתמש בהם. הוא לא חרד מפני וירוסים בממיר של הכבלים או במערכת ההפעלה של הטלפון הסלולרי שלו (כמובן, גם אין לו אותה מידה של חופש כמו במחשב - אבל מבחינתו זה לא משנה). המשתמש שכן נוהג לנהל מערכות לינוקס, לעומת זאת, כועס בקביעות על משתמשי-הקצה שלו שאמורים להיות יותר מתוחכמים ממשתמשי החלונות אבל בפועל מתנהגים בדיוק באותו אופן. הדוגמה של הפלאש? נדמה לי שאתה הבאת אותה ולא אני, אבל זה לא משנה. דוגמאות אחרות? אני מוריד תוספים לפיירפוקס וסומך על כך שאם חמישים אלף איש הורידו אותם לפני אז כנראה מישהו כבר היה עושה משהו אם זה היה מזיק. אני מתעניין בעיבוד תמונה ווידאו אז אני מתקין מדי פעם תוכנות שכותבים אנשים שמתעסקים בזה. אני מתקין תוכנות קוד פתוח וכמעט לעולם לא טורח להציץ בקוד עצמו. אני מתקין כל מיני יוטיליטיז (שוֹמשוֹת?) שאמורים לעשות לי את הממשק קצת יותר נוח, את הרג'יסטרי יותר נקי וכו'. |
|
||||
|
||||
אם "תשכח מלחנך את המשתמש" (נשמע סביר), האחריות עוברת למתכנן הממשק. הזכרתי שם כמה בעיות שגורמות למשתמש רגיל מהשורה להריץ תוכניות ממקורות לא אמינים ללא סיבה טובה. תוספים ל־firefox? אני משתדל לא להתקין שלא דרך המנגנונים המסודרים (חבילות של ההפצה שלי או האתר addons). במקרה של האתר addons אני משתדל להתקין בעיקר תוספים פופולריים. אני משתדל גם לחפש עוד כמה סימנים להיות התוכנה זדונית (או סתם רוגלה). לדוגמה: אני משתדל להמנע מתוכנה ברשיון לא חופשי. תוכנות חופשיות: התייחסתי לזה כבר. אם הן פופולריות מספיק, כנראה שנמצא הפראיר התורן שהסתכל. אם הן אינן פופולריות מספיק הן ממילא לא עובדות ולא בשלות מספיק :-) אני לא מכיר את תחום עיבוד התמונה. אם מדובר על תחום שמקושר מספיק טוב, יכול להיות משקל מספיק טוב להמלצות האישיות. ולגבי הקטגוריה האחרונה: לגבי כל תוכנה, אתה צריך לשאול את עצמך מאיפה היא הגיעה ומי ממליץ עליה. בעיה אחרת היא ערוצי הפצה לא אמינים. במקרים רבים אנשים מתקינים תוכנות לא חוקיות ששונו במתכוון כדי לחבל במטרדים שמפריעים לך לעבוד בניגוד לתנאי הרשיון. לכן אין דרך פשוטיה לוודא שמה שקיבלת לא מכיל שינויים לא רצויים אחרים. זוהי אחת הסיבות לקשר בין תוכנה לא חוקית לבין קוד זדוני. (קשר אחר הוא בעיה בעדכון עותקים לא חוקיים) לגבי תוכנה לא חוקית: אני דוגל בחינוך. |
|
||||
|
||||
אני מסכים עם רוב דבריך לגבי המקורות לתוכנות ומידת האמינות שלהם. מה שמטריד אותי הוא העברת האחריות למתכנן הממשק. לטעמי, אם רוצים לטפל בבעיה ברצינות הפתרון לא יכול להיות ברמת הממשק (כלומר המשתמש). הוא חייב לבוא ברמה בסיסית יותר - של הגבלת היכולת של תוכנות זדוניות להזיק. למשל, לא יתכן מבחינתי שמישהו יוכל להתקין רוטקיט; המערכת צריכה להיות בנויה עם מבנה הרשאות כזה שקבצים בסיסיים שלה יוכלו להיות מוחלפים רק על ידי התקנה מחדש (או באיזושהי פרוצדורת עדכון מאובטחת פנימית שלה). תוכנות שמותקנות על המערכת צריכות לקבל אפשרות להגנה על הנתונים שלהן - אם אאוטלוק מחזיק רשימת כתובות היא צריכה להיות נגישה רק לו. בדומה לכך, הן צריכות לקבל הגנה על ההתקנות שלהן עצמן (מכתיבה, לפחות) כך שמשהו אחר לא יוכל להתלבש עליהן. התקני קלט/פלט צריכים להיות מוגנים מאפשרות של ציתות להם בתוכנה (כמובן שאם התקנת איזו חומרה מצותתת בין ההתקן למחשב זה כבר לא רלבנטי). הרג'יסטרי של תוכנה לא צריך להיות חשוף לתוכנות אחרות, והרג'יסטרי של המערכת לא צריך להיות חשוף לאף אחד. גם ברמת הממשק הייתי עושה כל מיני דברים: למשל, יש להביא לידיעת המשתמש באופן ברור כל מקרה שבו תוכנה מנסה להתקין את עצמה כך שהיא תופעל אוטומטית בכל פעם שהמחשב מופעל. אבל מבחינתי הכיוון הוא לסמוך על המשתמש כמה שפחות. |
|
||||
|
||||
בשביל להיות זומבי אתה לא צריך הרבה הרשאות. לכל תוסף של פיירפוקס יש את מלוא ההרשאות להיות רוגלה ועם עוד קצת יצירתיות: לקבל הוראות מבחוץ. לדוגמה: יש תוסף שמוריד כל שעה נתוני מזג אוויר מ־whether.com . בדקת שהוא לא מוסר באותה הזדמנות לשם קצת סטטיסטיקות? או מקבל ביחד עם תמונת הלויין גם פקודה מוחבאת? ספר הכתובות זמין רק לאאוטלוק? אתה לא רוצה לחפש בו מתוך תוכנת החיפוש השולחנית, לדוגמה? למי מותר לחפש שם? זה מידע שמועיל להרבה שימושים ולא נראה לי הגיוני לנסות להסתיר אותו. לא כדאי לנסות להטיל מגבלות שהמשתמש ינסה מייד לעקוף: הן תהיינה לא יעילות. אני מבין, דרך אגב, שאתה רוצה לאסור על המשתמש להשתמש ב־regedit. |
|
||||
|
||||
בשביל להיות זומבי לא צריך הרבה הרשאות - זה נכון, אבל הזומבים הם לא הדברים היחידים שמטרידים אותי. למעשה זומבים ששולחים דואל למשתמשים אחרים הם אחת הצורות הפחות מזיקות מבחינתי של תוכנות עוינות. אותי מטרידה יותר פרטיות המשתמש, צמצום האפשרות של תוכנות עוינות להפיץ את עצמן על ידי הדבקת הקבצים שלי וכיו"ב. היום לכל תוסף של FF יש אפשרות להיות רוגלה. אילו מערכת הפעלה היתה מתוכננת לפי הקווים שתארתי לעיל אפשר היה למנוע את זה. התוסף היה יכול לשלוח מה שהוא רוצה אבל לא היתה לו גישה לנתונים שיאפשרו לו לתפקד כרוגלה. הוא היה יכול לשלוח סטטיסטיקות על השימוש בעצמו וזהו. אין לי בעיה שניתן יהיה לגשת למידע ששייך לישום מסוים - דרך בקשה מאותו ישום. מי שכותב את אאוטלוק יוכל להגדיר רשימה לבנה שמאופשרת אוטומטית, ויצטרך להגדיר מנגנון שבודק ומאשר גישה מישומים שלא נמצאים ברשימה הזו. אגב, ספציפית לאאוטלוק זה כבר קיים היום - ראיתי השבוע אצל שני אנשים שונים חלונות קופצים לבקש אישור גישה כזה; אני הייתי רוצה שהתמיכה בכך תתבצע דרך המערכת כך שיהיה מנגנון מסודר שכל ישום יוכל להתחבר אליו של העברת וקבלת מידע והגנה על מידע קיים. regedit הוא כלי של המערכת. המשתמש יוכל להשתמש בו (אם כי לפי הצעתי הרג'יסטרי עצמו יהיה הרבה יותר מצומצם וישמש את המערכת בלבד, כך שלמשתמש יהיה הרבה פחות צורך בזה). סביר להניח שההצעות שלי תצמצמנה את האפשרות להשתמש בכלים חיצוניים שמתעסקים ברג'יסטרי; יכול להיות שאפשר יהיה ליצור מצב שזה כן יתאפשר (למשל באמצעות רשימה לבנה). אין דרך להגביר את הבטיחות בלי מגבלות מסוימות. מה שחשוב מבחינתי הוא שהמערכת תהיה בנויה בצורה כזו שמראש מנסה להגן על הבטיחות הזו - בין היתר באמצעות מידור ומסירת מידע על בסיס "צורך לדעת" מבלי לאפשר גישה חופשית לכל מקום ופרט במחשב כפי שהיא קיימת היום. |
|
||||
|
||||
הוא היה יכול לשלוח סטטיסטיקה על הרגלי הגלישה שלך. זה כבר די מפחיד. אתה צריך להגביר את הבטיחות, אבל לא על חשבון הנוחות. עודף חלונות קופצים הם מתכון לאישור אוטומטי. לכן צריך להזהר בשימוש ברשימות לבנות. המחשב צריך להיות כלי שעוזר לך ולא כלי שאתה כל הזמן נלחם נגדו. ראיתי הרבה עבודה על דברים דומים. אבל לא משהו שמיש. אחד הסימנים למערכת אבטחה לא שמישה היא שביותר מדי מקומות באינטרנט ממליצים לך לבטל אותה כדי שתוכל לעבוד. שוב: קוד לא אמין לא צריך לרוץ על המערכת. תראה כמה אתה רוצה לסרס את המערכת כדי להמנע מאימוץ הרגלי עבודה נכונים. |
|
||||
|
||||
התוסף היה יכול לשלוח על הרגלי השימוש בו-עצמו. נקודה. אולי זה כולל את השעות ביממה בהן אתה גולש אבל לא לאילו אתרים. זה פחות מטריד אותי. אתה רוצה להגביר את הבטיחות "לא על חשבון הנוחות", ומצד שני אתה רוצה לגרום לי ולמאות מיליוני אחרים "לאמץ הרגלי עבודה נכונים". אם ההרגלים האלה היו נוחים כנראה כבר היינו מאמצים אותם. כתבתי קודם: חינוך מחדש - Ain't gonna happen. הסבתא שרוצה לראות תמונות של הנכדים תחיה עם זה שהיא לא יכולה להשתמש ביוטיליטיז לעריכת הרג'יסטרי. יכול להיות שיש מקום בשוק לכל מיני גרסאות של מערכות הפעלה: מערכות למשתמשים מתוחכמים עם הרבה אפשרויות פתוחות וסיכון גבוה, מערכות ברמת אבטחה גבוהה ומגבלות חמורות, מערכות שנמצאות באמצע. יכול להיות למשל שמערכת ברמה העליונה תהיה סגורה ותוכל להריץ רק אפליקציות מתוך רשימות לבנות עם מידור מלא ביניהן; מערכת ברמה האמצעית תוכל להעריך סיכון של אפליקציה בעזרת מנגנוני סינון (למשל, תרגום לקוד של הקווים המנחים שהצעת כאן קודם) מתוך הכרה בכך שבמקרים מסוימים קוד זדוני יעבור את הסינון - ובדרגה הנמוכה תהיינה מערכות דומות למה שיש היום, שהמשתמשים בהם ייאלצו לעשות את הסינון בעצמם. אני תוהה אם ניתן יהיה לכתוב בסיס קוד יחיד שישמש את כל הגרסאות האלה - אם לא זה כנראה לא ישים. אם "קוד לא אמין לא צריך לרוץ על המערכת" אז "המערכת צריכה לוודא שכל קוד שאמור לרוץ הוא אמין". להסתמך על הרגלים נכונים של משתמשים זה כמו להמנע מהתקנת חגורות בטיחות וכריות אויר ברכב; עם כל הרצון הטוב גם נהג זהיר מעורב לפעמים בתאונה - ולמרבה הצער לא חסרים גם נהגים לא זהירים. היית קונה רכב בלי חגורות וכריות מסוכן מכירות שהיה מנסה לשכנע אותך שכל התאונות מתרחשות רק משום שהחגורות האלה נותנות לאנשים תחושת בטחון מזויפת והם משתוללים על הכביש? |
|
||||
|
||||
הרגלי עבודה נכוים, לדוגמה: ע"י שינוי ממשק המשתמש. אתה מטיל על משתמשים מגבלות חמורות. השאלה היא מה יקרה כשהמשתמשים ינסו לעשות משהו מועיל שאתה לא מרשה להם? משתמש ברמת אבטחה "גן ילדים" יפנה למומחה השכונתי, וזה כמובן יפתור את הבעיה ע"י שינוי מצב המערכת לרמת "אוניברסיטה" (לא: לא מה ששמים לתינוקות). משתמשים לא צריכים להריץ קוד ממקורות לא אמינים. ממשק המשתמש לא צריך לעודד את זה שלא לצורך: * הנוהג הנפסד של הרצת תוכניות אוטומטית מסידי או כל דיסק אחר * הפצה של כל דבר כ"תוכנית". * מערכת אחידה להפצת עדכונים. מה שאתה מציע נשמע לי יותר קרוב להתקנת מיגון מאסיבי על הקירות מכיוון שאנחנו לא יכולים לראות מספיק טוב דרך החלון הקדמי. עדיף קודם לנקות את השמשות. הרעיון של זיהוי קוד זדוני כבר מצליח להכשל בעקביות רבה מזה זמן רב. מוצרי האנטי הזונים בד"כ מוצלחים בזיהוי הבעיות של אתמול. |
|
||||
|
||||
תיקון: מערכת אחידה להפצת עדכונים (אם היא עובדת היטב ואפשר לסמוך עליה) היא כמובן דבר טוב |
|
||||
|
||||
נניח שביצעת את שלוש ההצעות האלה (לא ברור לי איך מערכת אחידה להפצת עדכונים תעזור למנוע הרצה של קוד זדוני אבל זה לא משנה). אז אתה כבר לא מעודד אבל אתה בהחלט מאפשר את הקוד הזדוני. איך תמנע אותו הלאה? יש מספיק דרכים אחרות שהוא יכול להכנס מהן. כשאני מדבר על גרסאות שונות של המערכת אני לא מדבר על משהו שהמומחה השכונתי שלך יוכל לשחק איתו. אם אני ארגון גדול (נניח חברת תוכנה ממדינת וושינגטון שמעסיקה עשרות אלפי מתכנתים ברחבי תבל) אני מחלק לעובדים שלי לפטופים ואני מצפה שהם לא ישחקו איתם יותר מדי; אין לי ענין שהם יתקינו עליהם כל מה שמתחשק להם ויחדירו לי תולעים למערכת הארגונית (שלא לדבר על אפליקציות ריגול תעשייתי וכיו"ב). לכן הם יקבלו גרסה מאובטחת בקפידה - והדרך לעבור לגרסה אחרת תהיה הסרה והתקנה. גם הסבתא תוכל להתקין את הגרסה הזו ולהיות רגועה - מתוך ידיעה שהיא ויתרה על אפשרויות מסוימות. משתמש מתוחכם, נקרא לו צ"כ לצורך הענין, יוכל להתקין את הגרסה ברמת האבטחה הנמוכה ולשחק כמה שהוא רוצה. |
|
||||
|
||||
המערכת שאתה מציע לא תמנע זומבים. לא תמנע הפרת פרטיות. לא תמנע הרבה דברים אחרים. רוב המשתמשים יבטלו אותה כי היא תפריע להם. ואז היא בכלל לא תמנע כלום. אתה מנסה להקים המון מחסומים בפנים, במקום לשים גדר נורמלית. כשיהיה מימוש סביר למה שאתה מציע, יהיה על מה לדבר. בינתיים יש כבר מימוש למה שאני מציע (מערכות לינוקס) |
|
||||
|
||||
לסימביאן יש מימוש די דומה להצעה שלו. http://en.wikipedia.org/wiki/Symbian_OS |
|
||||
|
||||
כל תוכנית צריכה להיות חתומה (בנפרד) - מיקרוסופט עשו משהו דומה וזה נכשל מכיוון ששימוש בהתאם לכללים הגביל יותר מדי את מפתחי התוכנות. כבר כתבתי על כך. בסימביאן בונים על כך שהמפתחים הם פראירים שלהם. התצאה הברורה: פגיעה במפתחים הקטנים ובהצע התוכנה. |
|
||||
|
||||
מלבד התשלום ל-CA, אלו בעיות יש במנגנון של מיקרוסופט? |
|
||||
|
||||
איזה אחוז מהתוכנות שאתה מתקין חתומות? עוד בעיה: גם גרסאות ישנות עם חורי אבטחה ידועים נשארות חתומות. וזה בהנחה שממששים נכון פקיעה (revokation) של חתימות הצד השני של הבעיה הוא שאם קל מדי להשיג חותמת (סרטיפיקט), אי־אפשר באמת לסמוך עליה. לאחר שהחותמת ניתנה, אף אחד לא ממש טורח להמשיך לבדוק מה איתה. לכן המודל הריכוזי לא ממש עובד. לאתרים ברשת הוא נכשל: קל יותר מדי לקבל חותמת ועדיין עלות הרשיון מסבכת משתמשים פרטיים. בחיים אתה באופן כללי נוטה לסמוך על מי שאחרים אומרים לך שאפשר לסמוך עליו. אחד הנסיונות להשתמש בזה למחשבים הוא בחתימות עם PGP כדי שאני אתקין תוכנה, התוכנה צריכה לזכות באמוני. או שאני אבדוק בעצמי, או שאסמוך על בדיקות של אחרים. זה באופן כללי ובצורה לא פורמלית. בפועל מנגנוני החבילות בהפצות לינוקס השונות (אם נתעלם מהפרימיטביים יותר שלא כוללים חתימה) דורשים שהמחשב שלך יקבל את המפתח הציבורי שחתם על מאגר חבילות כדי להשתמש במאגר. כל אחד יכול ליצור לעצמו מפתח. לא על כל מפתח אני סומך. |
|
||||
|
||||
זה לא המקום לשאול, אבל אין מקום טוב מזה: קיבלתי מדפסת ישנה ומסתבר שהיא לא תואמת ויסטה ימ"ש, ולכן לא תעבוד עם הלפ טופ שלי. בחברה (לקסמרק) אמרו שאין מה לעשות. האם יש איפשהו מודולים שיכולים לעקוף דבר כזה? |
|
||||
|
||||
לחילופין היא גם יכולה להתקין XP. או לקנות מדפסת אחרת. אך זה לא מה שהיא שאלה. אולם השאלה לא מספיק ברורה: על איזה דגם בדיוק מדובר? |
|
||||
|
||||
לצערי חיפוש מהיר לא העלה תשובה מועילה. לעומת זאת מתוך הרגל חיפשתי גם ב־linuxprinting.org ומצאתי שם את: כלומר שני פרטים קטנים שיכולים אולי לעזור כאן: גם Lexmark X74 היא מדפסת דומה, וכן יש ל־ghostscript דרייבר למדפסת הזו. |
|
||||
|
||||
הממ. לא יודעת אם הבנתי: מה להוריד מפה? (או שהדרייבר להורדה מופיע בכלל בעמ' אחר?) |
|
||||
|
||||
בלינק למטה, מציעים פתרון, שנראה שעבד לחלק מהאנשים ולחלק לא... (אם זה עבד, ספרי לנו). http://social.technet.microsoft.com/Forums/en-US/itp...
What someone else shared works, but let me explain a bit. 1) Get the XP driver from Lexmark. It can be found at: http://downloads.lexmark.com/cgi-perl/downloads.cgi?... 2) Save it, don't run it. 3) Go to the folder called......whereever you saved it...then \Drivers\Win_XP2K\ENGLISH 4) Right-click on the file called Setup.exe, select Properties. 5) Go to the "Compatibility" Tab and check mark "Run this program in compatibility mode for: " Windows XP (Service Pack 2) 6) Run setup. This worked for me. Hope this helps. |
|
||||
|
||||
אצלי זה לא עבד לצערי. נו טוב, חייתי בלי מדפסת כבר איזה חצי שנה, נחיה עוד 120. תודה בכל אופן. |
|
||||
|
||||
ליצרניות האנטי יש היסטוריה ארוכה של הפצת שקרים וחצאי אמיתות. כאשר אני רואה סטטיסטיקות שמגיעות מהן1 אני מייד בודק איפה ההגזמות. הנתונים הללו לא התייחסו לפעולתו של המחשב בזמן קריאת הדואר (האם היא באמת במלוא ההספק? לא ממש). הם גם לא התייחסו לפעילותו האחרת של המחשב. הם גם לא מתייחסות למשאבים המיותרים שאזהרות הוירוסים שמסתובבות ברשת גוזלות מזמן העובדים. האזהרות הללו ניזונות מאווירת הפחד שמשרות תוכנות האנטי. ב. קשה טכנולוגית לחסום את המפיצים. יש מאבק נגד מפיצי הזבל בדרכים רבות. לדוגמה: חוק דואר הזבל אצלנו השיג בעיקרו את מטרתו המוגבלת (בלם את המגמה המסוכנת של הפיכת דואר זבל לאמצעי פרסום לגיטימי). ההערכה הלא מלומדת שלי היא שהיום שליחת זבל יקרה יותר, מכיוון שרוב ההודעות מסוננות, וכן מכיוון שהטכניקות שבהן משתמשים כדי להתגבר על חסימות יקרות גם הן. דוגמה לטכניקה: אחד מהמסננים היעילים הוא באופן כללי זוהי טכניקה מתמטית "ללמד" תוכנות לחלק את הטקסטים שהיא פוגשת לשני סוגים: "טובים" ו"רעים". ולזהות טקסטים עם מילים שדומות לאילו של הטקסטים ה"רעים". נותנים לה ערמה של זבל שהכנינו מראש בתור הרעים ואת תיבת הדואר שלנו בתור הטובים. זו הסיבה שהרבה הודעות זבל שאתם פוגשים כוללות ציטוטים ארוכים מטקסטים ספרותיים. כמובן שהזבלן חייב להשתמש בציטוטים אקראיים מתוך מאגר גדול מספיק: אם הוא ישתמש תמיד באותו ציטוט, הציטוט הזה יהפוך להיות חלק מהאפיון של הודעת הזבל.2 הרבה מההודעות נשלחות בצורה בלתי־חוקית ממחשבים שעליהם השתלטו רצים סוסי טרויאנים שונים או חיות דומות. כל מודל ה"אנטי־וירוס" (לנסות להעביר את נושא אבטחת המערכת לתוכנה חיצונית מכיוון שאנחנו לא יכולים לסמוך על יצרני התוכנה שישחררו עדכונים בזמן) פשוט לא מוכיח את עצמו. 1 אפשר להתייחס בפועל למחקר שנערך ע"י חברה כמו IDC, ממומן ע"י חברה מסויימת ומפורסם ע"י אותה החברה כאל נתונים שמגיעים מהחברה. החברה יודעת מה היא רוצה "לחקור" ואיך בדיוק לחקור כדי להשיג את התוצאות הרצויות. 2 ועכשיו אנחנו יודעים למה באמת הוקם פרוייקט גוטנברג :-) |
|
||||
|
||||
"קל יחסית לחסל אותו"? אני דווקא הייתי תחת הרושם שדואר זבל זה אחד הדברים שהכי קשה לחסל.. |
|
||||
|
||||
להפוך אותו ליקר יותר. אם רוב המשתמשים לא מקבלים אותו, אתה צריך להרוויח יותר על כל הודעת דואר. מה שכן, צריך לאתר ולחסל את המשתמשים שעונים להודעות הללו. |
חזרה לעמוד הראשי | המאמר המלא |
מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים | |
RSS מאמרים | כתבו למערכת | אודות האתר | טרם התעדכנת | ארכיון | חיפוש | עזרה | תנאי שימוש | © כל הזכויות שמורות |