מתקפת סייבר נרחבת הכתה במחשבים ברחבי העולם

בתשובה לצפריר כהן, 15/05/17 23:31

I have seen the future

692583

רון בן-יעקב • בתשובה לצפריר כהן

יום ג', 16/5/2017, 8:18

יתכן ולצרכנים אכפת מאבטחת איכות אבל ליצרנים צריך להיות אכפת מהבטחת איכות. הראשון מוודא שהצרכן לא יקבל מוצר פגום (בדיקות למוצרים מוגמרים), בעוד השני תורם לשורה התחתונה של היצרן (תהליכי תכנון ויצור ''חכמים'') וכמובן על אבטחת האיכות.

I have seen the future

692584

צפריר כהן (אתר) • בתשובה לרון בן-יעקב

יום ג', 16/5/2017, 8:30

הסיבה שלחברה שבה אני עובד אכפת מאבטחת איכות הוא שלפני שהתחלנו להשתמש בנהלי אבטחת איכות (כשהחברה הייתה צעירה) הוחזרו יותר מדי מוצרים. שיעור גבוה של החזרת מוצרים עולה כסף (הרבה התעסקויות וכדומה, ללא קשר למי שמשלם על תובלת המוצר).

למה שלמישהו יהיה אכפת ממוצר עם חור אבטחה? הוא ממשיך לעבוד כרגיל מבחינת הצרכן. גרוע מכך: במצב שנוצר בשוק, אין ליצרנים מחויבות להמשיך לתחזק את התוכנה במקרים רבים. ולכן הם ממהרים לעבור הלאה למוצר הבא ולא ממשיכים לפתח את התוכנה של מוצר הנוכחי.

I have seen the future

692585

רון בן-יעקב • בתשובה לצפריר כהן

יום ג', 16/5/2017, 8:54

לפסקה הראשונה - בנוסף לשימוש בנהלי אבטחת איכות, האם גם הענקתם תשומת לב לנהלי התכנון הפיתוח והבדיקות, שזה תחת הרובריקה של הבטחת איכות.

לשניה - חור אבטחה שונה כמובן מאבטחת איכות. אותה מלה במובן שונה. כאן הסיפור שונה ואני מנחש שזה קשור להתנהלות עסקית, אחריות משפטית (שלא לדבר על אתית), תרבות ארגונית, וכיוב'.

I have seen the future

692586

צפריר כהן (אתר) • בתשובה לרון בן-יעקב

יום ג', 16/5/2017, 10:24

1. כן. באופן כללי זה חלק מאבטחת איכות במובן הרחב.

2. חור אבטחה הוא סוג של באג. הוא מאפשר שימוש במוצר לא כפי שתכננו אותו. אבל האם חור האבטחה מפריע ללקוחות? עד כמה?

I have seen the future

692587

רון בן-יעקב • בתשובה לצפריר כהן

יום ג', 16/5/2017, 11:22

זאת הערכת סיכונים שאתם צריכים לעשות, ולו מגאווה מקצועית אם לא משיקולים מסחריים ואתיים כמובן.

I have seen the future

692588

אח של אייל • בתשובה לרון בן-יעקב

יום ג', 16/5/2017, 11:40

נטפוק קצר.. חורי אבטחה היו גם לפני שהיו מחשבים ולפני שהיה אינטרנט. וסתמו את החורים האלו עם מנעולים, שומרים וכו'.

האינטרנט שינה דבר מאד משמעותי. בעולם הפיזי פורצים צריכים להגיע פיזית למקום שהם צריכים לפרוץ. אז במקום שאין הרבה פריצות, לא ישקיעו במנעולים יותר מדי. בעולם האינטרנט אין לגבולות הפיזיים משמעות. פורץ דווקא יעדיף לפרוץ למחשב במדינה אחרת במקום למחשב במדינה שלו. הוא גם לא מתעניין אישית במחשב או בתוכנה שלך, הוא שולח אלף בוטים במקומו ומי שיצליח יצליח.

התכונות המיוחדות האלו של האינטרנט זה משהו שקשה לאנשים לעכל.. כלומר אם אני בעל חנות פרחים, אני אדאג לשים מנעול על החנות כי ככה כולם בשכונה עושים וזה נשמע לי הוצאה סבירה. אבל אם אני מחליט לשלם למישהו שיעשה לי אפליקציה להזמנת פרחים, פתאום אני צריך להיות מודע לכך שפורצים מברזיל, אוקריאינה וכו' יכולים לגנוב כרטיסי אשראי של לקוחות - אפילו אם הם בכלל לא שמעו על המדינה שלי. ואיזה כלים יש לי להבחין בין מודל האבטחה של חברה X, למודל האבטחה של חברה Y? בטח ובטח אם החברות האלו יושבות במדינה זרה. ונניח שלפני 5 שנים שילמתי שיעשו לי אפליקציה, אני פתאום צריך לשלם למישהו שיעדכן את האבטחה שלה פעם בכמה זמן (למרות שקשה לי להבין מה יוצא לי מזה).

הדברים שכתבת - התנהלות עסקית, אחריות משפטית, אתיקה וכו' הם דברים שהרבה פעמים עשויים להיות לא רלוונטים. איזה משמעות יש לאחריות משפטית בישראל למשל, אם אני יכול לשלם לחברה הודית שתבנה לי אתר או אפליקציה? או אפילו להקים אתר בעצמי על גבי איזשהי פלטפורמת wordpress שהשרתים שלה יושבים בדובאי והקוד שלה הוא open-source שאלפי אנשים שונים ממדינות שונות כתבו?

בקיצור המצב פסימי :-(

I have seen the future

692589

רון בן-יעקב • בתשובה לאח של אייל

יום ג', 16/5/2017, 12:33

הייתי מעורב בפרוייקט שניסה לתת מענה לבעיה מהסוג הזה, סיכונים באימוץ תוכנות בקוד פתוח. אתה יכול לקרא עליו בלינק RISCOSS.

I have seen the future

692591

אח של אייל • בתשובה לרון בן-יעקב

יום ג', 16/5/2017, 13:08

זה חשוב. אבל זה לא ממש פותר את הבעיה המהותית של אותו בעל חנות פרחים.. או סתם מישהו שמזמין סטרימר באמזון וצריך להיות מודע לכך שעכשיו הרשת הביתית שלו בסכנה.

I have seen the future

692593

אח של אייל • בתשובה לאח של אייל

יום ג', 16/5/2017, 16:48

הדבר הזה הוא נסיון לפתור את הבעיה המהותית... http://nymote.org/blog/2013/introducing-nymote/
(אם כי בעיני זה עדיין בחיתולים).

ממש בקצרה, הרעיון הוא שלכל אחד יהיה "ענן פרטי" מבודד מהאינטרנט (שכולל את כל המכשירים החכמים שלך). ושתהיה לו שליטה מלאה מה רץ על הענן הזה, ומה ההרשאות של כל דבר שרץ על הענן הזה.
זה קצת מזכיר טלפון חכם: אתה קובע בדיוק איזה אפליקציות רצות עליו, ומה מותר לכל אפליקציה לעשות.

I have seen the future

692594

צפריר כהן (אתר) • בתשובה לאח של אייל

יום ג', 16/5/2017, 17:16

לענן פרטי קוראים מחשב אישי. כמו שנאמר: אין ענן. יש מחשבים של אחרים.

I have seen the future

692595

אח של אייל • בתשובה לצפריר כהן

יום ג', 16/5/2017, 17:49

אני לא יודע אם אתה רציני.. אבל לענן הפרטי שהם מדברים עליו לא קוראים מחשב אישי.

I have seen the future

692590

צפריר כהן (אתר) • בתשובה לאח של אייל

יום ג', 16/5/2017, 12:55

(ההבדל בין תוכנה חופשית לתוכנה קניינית בתחום הזה הוא שעל תוכנה חופשית יש לך בעיקרון יכולת לבדוק את הדברים בעצמך. ר’ לדוגמה המיזם שעליו הצביע רון, ואילו בתוכנה קניינית אתה חייב להאמין למפתחים. אבל מעבר לזה אין הבדל מהותי)

חזרה לעמוד הראשי

המאמר המלא

מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים
RSS מאמרים \| כתבו למערכת \| אודות האתר \| טרם התעדכנת \| ארכיון \| חיפוש \| עזרה \| תנאי שימוש	© כל הזכויות שמורות