תמיד אומרים לי: "רן, איך יש לך זמן למצוא את כל השטויות האלו?" ואני עונה "הסיפורים נופלים עלי מהשמים". קחו את הקטע הזה - אני טס היום לגראספופ בבלגיה. קצת לפני הטיסה אני גולל לי בהנאה בטוויטר ופתאום... לגמרי במקרה... אני עולה על הוכחה לרשת בוטים עניפה במיוחד ומחוכמת במיוחד בטוויטר וב*עברית*. כזה דבר עוד לא ראינו פה. או לפחות לא ראינו הוכחות לדבר כזה. זה די הדהים אותי כי תמיד צחקנו על בוטים ופייקים וטוקבקים מזויפים, אבל הנה - זה קורה. רואים "גל אותנטי של תגובות וציוצים" ? לא בטוח שזה כל כך אותנטי. ומדובר בפרופילים שממבט ראשון וגם שני ושלישי נראים אמינים לגמרי. איך הבנתי שמדובר בפייקים? מידע נוסף והוכחות, פה:
http://internet-israel.com/?p=7925 🐪

אני בפסטיבל מטאל שנקרא גראספופ בבלגיה המעטירה. שותה בירה ושומע מטאל. אבל גם כשאני חוגג, אני עדיין זוכר את כל האתרים דה-לה-שמאטע שיש בישראל. במאמר הזה, שהוא המאמר השלישי והאחרון שמבוסס על ההרצאה שלי בפרס4וורד, אני מדבר על חורי אבטחה מאוד בסיסיים בוורדפרס ובאיזה תוספים אני משתמש כדי לחסום אותם. אם מישהו ניסה לסרוק את האתר שלי באמצעות wpscan וקיבל כינים בשקית - ככה מגינים על האתר.
https://internet-israel.com/?p=7914 🐪

יצא לכם פעם לפתוח את כלי המפתחים של הדפדפן כששהיתם בפייסבוק? אם כן, בטח ראיתם שם משהו... מעניין. אם לא, לכו ותעשו את זה. גם אני עשיתי את זה וזה גרם לי לכתוב את המאמר החשוב והמיותר ביותר בעולם: איך עושים אפקטים בקונסולה. ללא ספק, הפעם התעליתי על עצמי. אבל מה? זה ממש ממש מגניב ועלול גם להיות שימושי במקרים מסוימים. טוב, הסיכוי שהוא יהיה שימושי הוא אפסי, אבל בת׳כלס זה כיף.
https://internet-israel.com/?p=7949

סיפור קטן, אבל מרגיז - על פגיעה בפרטיות. ספקית האינטרנט הלו 015 היא ספקית קטנה שרצתה להרוויח אי אלו זלוטעס, שזה לגיטימי. איך? לשנות את שרת הדי אנ אס שלה באופן כזה שבמקום להחזיר סטטוס 404 על דף שלא קיים כמקובל, היא מחזירה דף עם פרסומות. מרגיז קצת אבל לא מאוד נורא. מה מרגיז יותר? שיש כאן הפרה של הפרטיות. הדף עם הפרסומות מכיל סקריפטים של צד שלישי. טעיתם בהקלדת אתר? המפרסמים ידעו על זה. לא נעים ולא בטוח שהלקוחות יהיו מרוצים מהסידור הזה.
פרטים נוספים ומידע נוסף - וגם איך להמנע מזה:
https://internet-israel.com/?p=7937 🐪

הרבה פעמים אנחנו רוצים להתחיל לפתח משהו ונתקעים בנושא הסביבה. צריך להרים דוקר, או סביבת node. ומה קורה אם אני עובד מכמה מחשבים? צריך להרים את הסביבה מכולם. ומה קורה אם בדיוק אחד הילדים החרים את המחשב לענייני מיינקראפט ואני צריך לעבוד על המחשב השני? בלגן. פתרון אפשרי הוא מעבר לפיתוח בסביבת ענן מוחלטת כשכלי הפיתוח עצמו גם נמצא על הענן. לפי דעתי זה פתרון מהמם למפתח בודד שעובד על פרויקטים קטנים. איך עושים את זה? הרבה יותר קל ממה שחושבים. במאמר הבא אני מספר על אמזון + cloud9 ואפילו שמתי סרטון קצר שלי מסביר ומדגים (עם הפאשלות הטכניות הרגילות והקיטורים שלי).
https://internet-israel.com/?p=7964 🐪
העדכון השבועי והטכני של יום ראשון מגיע אליכם באיחור קל כי יש לי האנגאובר מטורף מההופעה של איילסטורם אתמול למי שמכיר. מה שעוד יותר חשוב לומר זה שאם יש למישהו הערה/הארה/ווטאבר הוא תמיד מוזמן לפנות אלי פה בטלגרם בכינוי rbarzik. אני לא תמיד יכול לסייע טכנית כי ארבעה ילדים ששניים מהם מתכנתים ומציקים לי לעזור להם בשטויות שלהם, אבל אני תמיד שמח לשמוע רעיונות חדשים 😀

מצטער להפריע לכם באמצע ההכנות של יום שישי (אני שונא לשלוח הודעות ביום שישי) אבל למי שלא יודע - היתה פירצה משמעותית ב-eslint שהיא אחת מחבילות התוכנה שנמצאות בתשתית של כל אפליקציות הווב/האתרים המודרניים. הפירצה הזו היא מגניבה במיוחד כי היא מראה איך לפעמים פרצות קטנות או חולשות לא משמעותיות מתגלגלות לאסון מחריד. במקרה הזה: דליפת מידע מאחד האתרים שלא אחסנו את הססמאות כמגובבות איפשרו לתוקף לקחת שם משתמש וסיסמה של מתכנת שאחראי ל-eslint. כיוון שהוא לא הקפיד על אימות דו שלבי הם חדרו לחשבון שלו והרעילו את eslint בקוד שאיפשר להם להרעיל חבילות רבות נוספות.
הסיפור המלא וקישורים לדיווחים (האחראיים והמפורטים, יש לציין) של eslint ו-npm בפוסט שלי:
https://internet-israel.com/?p=7983 🐪
--
ואם כבר אני מתקרצץ ביום שישי, זה הזמן להזכיר שאני משתתף במיטאפ של ג'אווהסקריפט ישראל ומדבר שם... על אבטחת מידע בג'אווהסקריפט. ו-וואו, אני הולך לדבר גם על הסיפור הזה. לינק למי שרוצה להרשם:
https://www.meetup.com/JavaScript-Israel/events/252388264/
וכרגיל: אני זמין פה עם שם המשתמש rbarzik לכל הצקה שהיא :) יאללה, שבת שלום ומצטער על ההצקה וההטרדה. אבל זה היה מספיק חשוב.

אוהבים פרצות מחוכמות שמשתמשות בטכנולוגיה עלית? כן? טוב, את זה *לא* תמצאו במאמר של היום. אבל מה כן תמצאו? טכניקה דבילית שנועדה לעבוד על אנשים תמימים! נו, זה הלחם והחמאה שלי. במאמר הזה אני מראה איך איזה סקאמר השתמש בטכניקה ממש חמודה של CSS כדי ׳לעבוד׳ על תוסף התגובות של פייסבוק ולהציג תגובות מזויפות לחלוטין שנראות כוידג׳ט תגובות של פייסבוק עם התמונה של המשתמש כ״מגיב״. טכניקה נהדרת למכירת סקאם עלוב. טוב, מי היה מאמין שמישהו יצטרך תגובות מזויפות כדי למכור מזגן USB נייד... 😂
https://internet-israel.com/?p=7955 🐪
והמון תודה ללב סולודקין שסיפר לי על זה לראשונה 😊

מאמר חדש על finally! זה פיצ'ר חדש שיש ב-ES2018 שמאפשר לנו להוסיף פעולות ניקוי לכל promise שהוא (יש את זה גם ב try catch אגב). הפיצ'ר הזה הוא פיצ'ר חשוב שמונע קצת קוד מלוכלך אם אני צריך לנקות דברים אחרי או כל פעולות 'פוסט' אחרות. התאפקתי נורא לא להכניס בדיחת אבא נוסח 'סוף סוף הפיצ'ר שכולם ציפו לו'. אז אני רוצה כפיים ומדליה.
https://internet-israel.com/?p=7981 🐪
ביום רביעי אני ולא שרף, אני לא ולא מלאך, אני בכבודי ובעצמי טורח להגיע אל גוגל קמפוס ולדבר על אבטחת נתונים בג'אווהסקריפט. אם נרשמתם כבר ולא תוכלו להגיע, בטלו את ההגעה שלכם בקישור כי יש כבר רשימת המתנה וחבל שמי שרוצה להגיע לא יכול. אם נרשמתם ורוצים להגיע - אז תגיעו. יהיה ממש ממש מצחיק :))) אם אתם שם - תגידו שלום! אל תדאגו, לא תוכלו להקריפ אותי יותר ממה שהבן שלי מקריפ אותי גם ככה.
https://www.meetup.com/JavaScript-Israel/events/252388264/

אומרים לי לכתוב מדי פעם על כלים שאני משתמש בהם כדי לשפר אבטחה בפיתוח. אז יאללה, נתחיל בכמה כלים כאלו. במאמר הזה אני מדבר על Snyk שזה כלי ממש נהדר וקל לשימוש שממפה בעיות בחבילות תוכנה מבוססות קוד פתוח. כיוון שאני פרחח ג׳אווהסקריפט, התמקדתי בעיקר ב-node אבל אפשר לבדוק גם אינספור שפות אחרות (גם PHP, כן כן). מכירים עוד כלי אבטחה מעניינים שמשתמשים בהם בפיתוח? אשמח לדעת ולנסות אותו! שלחו לי הודעה ב rbarzik כאן או בתגובות במאמר. במאמר הבא אני אדבר על npq ואחרי זה אני מתכוון לשחרר מלא מאמרים על ריאקט כי הגיע הזמן שאלמד איזו ספריה רצינית של UI. מצטער מראש על השיעמום והחפירה. אבל אני אגוון מדי פעם בפוסטים על בושות אבטחה.
https://internet-israel.com/?p=8032 🐪

והנה המאמר עם הכותרת הכי גרועה ביקום: ״סימני שאלה שעולים מהתשקיף של קבוצת זאפ״. מועמד לפרס ״הקליקבייט הגרוע ביותר בעולם ever״. אבל זה מאמר חשוב. למי שלא יודע: זהבית כהן (זו שעקצה את הסינים ואת תנובה) מעמידה את קבוצת זאפ למכירה במחיר של פי ארבעה מהמחיר שבו היא נקנתה לפני שנה וחצי. פרמיה כבדה כזו צריכה להיות מוסברת עם גידול משמעותי ברווחים וכן בפוטנציאל לרווחים. בדרך כלל כל חברת אינטרנט שמונפקת, מפייסבוק ועד yelp, מתגאה בנתוני הטראפיק שלה. מה חסר בנתוני התשקיף שקבוצת זאפ פרסמה? מישהו יכול לנחש? כן. בדיוק - הטראפיק. חוץ ממשפט אחד אין כלום בתשקיף.
אז יצאתי לבדוק. המצב באלקסה וסימיליארווב לא נראה טוב. אבל אתם יודעים מה? אלו כלים לא מדויקים. המצב בגוגל טרנדס, שכאמור מאוד מדויק - גם מעלה סימני שאלה רציניים ביותר למה זהבית כהן רוצה מחיר של *פי ארבעה על קבוצה שהחיפוש אחרי ה-Money maker שלה שהוא דפי זהב קרס ב-75 אחוז*. אכפת לכם מכספי הפנסיה שלכם? כדאי לקרוא. יאללה, מספיק קליקבייט להיום.
https://internet-israel.com/?p=8046 🐪

אחת המגרעות הגדולות ביותר שלי היא שאני מנתק את הסלולרי והולך לישון מוקדם (באיזור שעה 20:00 - נשבע לכם). מצד אחד, אני מרוויח בריאות ושקט נפשי. מצד שני, אני מפספס לא מעט אקשן. אתמול קצת לפני שעה 11, אתר ערוץ 10 הושחת בתוכן מתוך צבא הסייבר התימני (נשבע לכם). לא בטוח אם זה תימנים או איראנים או סתם אינדונזיים משועממים - אבל רק כשקמתי היום בבוקר גיליתי מה קרה. לשמחתי לא מעט אנשים טובים מסרו לי את הפרטים הרלוונטיים ובראשם נעם רותם, שר המאפים וההאקינג.
הפרצה הזו מראה באופן מופלא כמעט עד כמה הפרטים הקטנים חשובים מאוד. לא מעט פעמים, כשאני ואחרים מדווחים על חולשות אבטחה, אומרים לנו ש״זה לא מהותי״. כשדיווחתי על העדר ה-HTTPS ב׳פפר׳ - אמרו לי שזה לא חשוב למשל וגם באינספור פרצות אחרות. אבל יש לי כלל - אם OWASP מתייחסים לזה ברצינות אז גם אני. ההשחתה של ערוץ 10 היא דוגמה נהדרת לעד כמה פרט קטן שנתפס כ״לא ממש חשוב״ מוביל לפריצה. במאמר הזה יש הסבר מקיף איך פרצו ואיך נמנעים מזה.
https://internet-israel.com/?p=8076 🐪
ושוב, המון תודה לכל אלו שהתריעו ושלחו לי הודעות. אני זמין ב rbarzik. לא תמיד אני עונה מהר או בכלל כי יש לי טווח קשב של מרמיטה וארבעה ילדים - אבל אני קורא כל הודעה.

אז אני באלזס אשר בצרפת, שותה יין נסך ואוכל מיני שקצים ושרצים. אבל גם כאשר אני מתהולל בניכר, אני לא שוכח את רעיי וידידי המתכנתים המתייגעים להם ואת האבטחה שמצבה... לא טוב. אז הנה מאמר שיסייע לכל מתכנת שמשתמש ב-node (יש כאלו שלא?) לשפר את האבטחה שלו. המאמר מספר על מודול בשם npq שעוטף את npm ונותן חיווי מהיר לסטטוס של כל מודול מותקן ויכול למנוע הרבה צרות. שלבו אותו עם Snyk מהמאמר הקודם ותקבלו שדרוג משמעותי לאבטחה.

https://internet-israel.com/?p=8041 🐪

הבטחתי וקיימתי. סדרת מאמרים חדשה על... ריאקט (כן, כן, מבית Facebook). ריאקט היא פריימוורק אולטרא פופולרי לקומפוננטות ומשתמשים בו בלא מעט מקומות. הגיע הזמן שנסביר עליו, לא? המאמר הפותח בסדרת המדריכים מספר על סביבת העבודה הראשונית וגם על ריאקט. זה גם מה שהולך להיות פה כמעט כל יום ראשון בשבועות הקרובים. מצטער :)
https://internet-israel.com/?p=7995 🐪

אחד הדברים שהכי מטריפים אותי זה התגובות של אנשים למקרים של דליפת מידע. ״למי אכפת? אז דלף השם, הטלפון, המייל ומספר תעודת הזהות שלי לרשת״ אומר מר ישראל ישראלי בזמן שהוא מלטף את כרסו ובוהה באח הגדול.
מתקפת פישינג חדשה שהחלה אתמול מראה בדיוק למה דליפות מידע הן מסוכנות. סמס מאוד אפקטיבי, כביכול מכללית, נשלח לאזרחים תמימים אתמול והציע להם לחדש את המרשמים שלהם ברשת בעלות של 2.90. אבל המטרה היתה לגנוב את פרטי האשראי שלהם - וכן, היו כמה שנפלו. לא פחות מ-1,400 ביקורים נרשמו לדף התוקף. למרבה המזל, מומחי אבטחת מידע עלו על ההתקפה בשלב מוקדם (יאי אלעד מידר וקבוצת DC9723 בפייסוש) ובלמו אותה וייתכן שגם עלו על זהות התוקף.
מידע נוסף על ההתקפה פה. גיזרו ושימרו לפעם הבאה שהדוד שלכם אומר לכם ש״מה זה משנה להגן על המידע בחבחבחבח״. ראש השנה עוד מעט מגיע FYI.
https://internet-israel.com/?p=8112 🐪

סמסים שנשלחים על ידי חברות הם ממש ממש קלים לזיוף. ואני מתפלא שרוב האנשים לא ידעו את זה. אפילו אנשים טכניים (למשל יעל, אשתי, שהופתעה מדמו שעשיתי לה). כיוון שאתמול התראיינתי על הנושא, חשבתי שזה יהיה לעניין גם לכתוב על זה מאמר קצת יותר מורחב עם הדגמה נוספת מעבר להדגמה הטלוויזיונית (שגם היא בפוסט) וגם הסברים על מה לעשות ואיך להתגונן. אני מתאר לעצמי שזה לא יפתיע אף מתכנת שעסק אי פעם בהתחברות ל-API של סמסים. אבל כל המציל נפש אחת וגו'.
https://internet-israel.com/?p=8123 🐪

בוקר טוב לכולם ולכולן! השמש זורחת, הציפורים מצייצות והבוטים מבטבטים. איזה בוטים? כתבתי כבר על רשתות בוטים בעבר אבל אני גאה (טוב, לא ממש) לספר לכם על רשת בוטים ישראלית ראשונה שהופעלה מטעמו של פוליטיקאי בכיר: *בוגי יעלון* שמישהו מטעמו הפעיל רשת בוטים שתמכה בו. הרשת ניסתה ממש לשנות את השיח הציבורי. איך עלו על הרשת הזו? איזה פעולות נעשו כדי לזהות את הפייקים וגם (כנראה) את המפעיל? הכל בפוסט:
https://internet-israel.com/?p=8143

קל לשכוח בין כל חגיגות הבוטים שיש גם מתקפות יותר סטנדרטיות. אתמול הובאה לידיעתי מתקפה מאוד מעניינת שמשתמשת בטכניקות סופר פשוטות של ג'אווהסקריפט ומעט CSS כדי להצליח ולדמות 'מסך כחול' באופן מאוד אפקטיבי ולמנוע מהמשתמש, באמצעות UI בלבד, סגירה של הטאב או הדפדפן. כל מה שצריך כדי ליפול קורבן למתקפה זה ללחוץ על קישור.
אבל כמובן שהמתקפה הזו היא רק מתקפת UI, לא חדירה למחשב. אבל חשוב להכיר אותה כי כזו מתקפה לא ראיתי וגם, כפי שאנחנו יודעים, כל סקאם אמריקאי מגיע מהר מאוד לישראל ובמיוחד בתקופת החופש הגדול.
הסברים, סרטון וגם קוד המתקפה פה:
https://internet-israel.com/?p=8166 🐪
כיוון שלא מצאתי תיעוד למתקפה הזו במקומות אחרים, טרחתי לכתוב גם באנגלית. מי שמעוניין - הנה המאמר במדיום:
https://medium.com/@barzik/new-frontend-based-attack-mimic-blue-screen-in-a-very-effective-way-3cf33ed7659c

החופש הגדול בעיצומו ותלמידי התיכון משועממים. זה כנראה המקור להתקפת ספאם וסקאם נוספת (אבל רגע, יש טוויסט). כל מי שיש לו קשר עם מוגלגים קיבל בוודאי הודעת ווטסאפ נוסח "שופרסל חוגגת שישים! בואו לקבל תלושים בחינם והכנסו ל sucker-copoun". טוב, לא צריך להיות מומחה אבטחה גאון כדי לדעת שזה סקאם ועוד סקאם גרוע שעשו לו ריפאופ מאתר סקאם ספרדי (זה כמו איזה ריאליטי צ'יזי במיוחד, אני דורש מהתוקפים להתאמץ יותר בפעם הבאה).
הבטחתי טוויסט בסוף, לא? אז מה הטוויסט? התחילו להפיץ הודעות מזויפות מטעם "מטה הסייבר" ו"8200" על כך שההודעה הזו מסוכנת והופכת את הטלפון שלכם לכלי ריגול. ההודעה הזו כמובן שקרית. אם אתם מבינים משהו באבטחת מידע ורוצים לעצור מתקפת ספאם/סקאם - יש דרכים יותר טובות. כמו לדווח על האתר שהוא מוקד המתקפה.
כל המידע והסבר נוסף כמובן בפוסט שלי:
https://internet-israel.com/?p=8173 🐪
יאללה, חפרתי מספיק. שבת שלום לכולם 😊

טוב, אי אפשר כל היום לעסוק בפישינג ובהרס, נכון? צריך קצת לבנות. העדכון השבועי הוא המשך של מדריך הריאקט. במאמר הקודם למדנו על בניית סביבת עבודה ואפליקציה בסיסית בריאקט. במאמר הזה אנו נלמד על קומפוננטת ריאקט. Component based architecture הפכה כמעט לסטנדרט בכל מה שקשור לפרונט אנד ולא סתם - זה הרבה הרבה יותר נוח. במאמר אנו לומדים על אבן הבניין הבסיסית הזו בריאקט (יש קומפוננטות בכל פריימוורק אחר כמובן) ובונים אחת כזו.
לא מגניב כמו סייבר, לא עסיסי כמו פריצות והתקפות - אבל זה הלחם והחמאה שלי: תכנות ובנייה של דברים.
וחוץ מזה... מי שיודע לבנות יודע גם הכי טוב איך להרוס מוהאהאהאה 😈
https://internet-israel.com/?p=7999 🐪

לא כל תעודות האבטחה נולדו שוות וכפי שאנחנו יודעים לא כל HTTPS הוא באמת מאובטח כמו שצריך. בדקתי את תעודות האבטחה של בנקים ומוסדות פיננסיים בישראל והבנתי שיש לי כאן סיפור, אבל סיפור מורכב. לך תסביר על Ciphers ותעודות הצפנה והתקפת ROBOT. אבל לשמחתי היה מי שהרים את הכפפה וסייע לי לבצע תחקיר יותר מקיף ולצאת עם אייטם מעניין וגם חשוב. אורי ברקוביץ׳ מגלובס עבד איתי על האייטם, הנחה אותי בבדיקות ובהצלבות וכן גם בתגובות. בתגובה לסיפור הזה רוב המוסדות שסיקרנו שידרגו מיידית את תעודות האבטחה שלהם והפכו את המציאות שלנו ליותר בטוחה.
זה האייטם בגלובס שמומלץ לקרוא:
https://www.globes.co.il/news/article.aspx?did=1001251362
הפוסט שלי מרחיב על העניין מבחינה טכנית ומספר על התחקיר ועל הכלים שבהם השתמשתי ומביא חוות דעת נוספת. כן, מספר גם על התגובות שקיבלתי (כבוד ללאומי קארד, פחות כבוד לאחרים) :
https://internet-israel.com/?p=8092 🐪
זה אייטם מורכב שאני גאה בו מאוד, כי מדובר בנושא לא פשוט. וכן, אני כל כך הולך לכתוב על קריפטוגרפיה בחודשים הקרובים. כי הבורות בתחום מהממת. זה נושא שצריך להבין בו ולו באופן שטחי אם אתם מתכנתים.