הערה! הפוסט מדבר על פירצת ה-DLL Hijacking כפי שהוצגה בפוסט הקודם. קריאת המידע שהופיע שם הכרחי לצורך הבנת הפוסט הנוכחי.
בתור בלוג אבטחת מידע המשתדל לפנות לקהל רב ככל האפשר ובמיוחד לאלו שמטרתם ללמוד, אני משתדל שהפוסטים שיוכנסו לבלוג יהיו בהירים כמה שאפשר – אך גם מדויקים באותה מידה. המידע שאני מביא כאן לרוב עובר מחקר מקיף שמתפרש על פני אתרים שונים ואנשים שונים שבודקים את נכונות הפרטים בהם אני לא בטוח, עיתונים מן המעלה הראשונה ואף לעיתים מקורות ראשונים (במידה ורלוונטי). כאחד שכזה, אני מרגיש צורך להתנצל על הפוסט האחרון שפורסם תחת הכותרת המפוצצת: "DLL Hijacking – הפירצה החדשה ב-Windows (חלונות) שמצא HD Moore". בסוף הפוסט אמנם הוצגה סברה לפיה הפירצה איננה כה חדשה, אך כשדברתי עם מספר חוקרי אבטחה ישראליים – העניין התבהר כחמור אף יותר.
אלו שקראו והעמיקו בתגובות של הפוסט האחרון (ואני מציע לעשות זאת בכל פעם – לעיתים מובא שם מידע שערכו איננו נופל מערך הכתבה עצמה) ודאי ראו את תגובתו של אביב, אחד מהאנשים שבאמת ראויים לכבוד שהם מקבלים (ואף מעבר לו) בתחום אבטחת המידע. אביב כתב תגובה בזו הלשון:
הפירצה איננה חדשה.
היא ידועה לפחות משנת 2000: http://www.securityfocus.com/bid/1699/info
ודווחה רשמית למיקרוסופט בשנת 2006: http://aviv.raffon.net/2006/12/14/IE7DLLloadHijackingCodeExecutionExploitPoC.aspx
לפני קצת יותר משנה, מיקרוסופט שחררה עדכון למערכת ההפעלה שאמור היה לעזור בפתרון הבעיה (כאמור, אינו פותר אותה לחלוטין): http://www.microsoft.com/technet/security/Bulletin/MS09-015.mspx
אתמול מיקרוסופט פרסמה מאמר המסביר (טכנית) את הבעיה ודרכים כיצד ניתן לפתור אותה ללא עדכון: http://www.microsoft.com/technet/security/advisory/2269637.mspx
והוא אכן צודק. בשיחה שלי שנערכה עם cP כשעתיים קודם לכן, הוא אמר לי לגגל DLL Search Order Hijacking – הופתעתי מהתוצאות. מילות המפתח שאכן מתארות במדויק את אופי המתקפה, מצאו תוצאות של קוד המשתמש לניצול הפירצה ("אקספלוייט") עוד מ-2006 שנכתב על ידי… אביב ראף – איש אבטחת מידע ישראלי, שלא במקרה היה זה שהגיב בבלוג. למרות שמאות (אם לא אלפי) עיתונים נכבדים באנגלית מן המעלה הראשונה, מסקרים את "הפירצה החדשה שמצא HD Moore" [וחיפוש ממש קצר מניב מעל 120 תוצאות מקוונות שנרשמו ב24 שעות האחרונות, למרות שחלפה הסערה]. העיתונים המקוונים המתקדמים יחסית מדווחים על כך שהבאג נמצא לפני 6 חודשים, אך כמעט אף לא אחד בעולם דיווח על כך שהפירצה קיימת כבר 10 שנים.
היחיד שאני מצאתי למען האמת, הוא HD Moore, שלא מכחיש את זה ואפילו דואג לפרט. בבלוג החברה הוא כתב:
As Thierry notes, a variation of this bug was originally published in 2000 by Georgi Guninski.
("כפי שתיירי הזכיר, גירסה אחרת של הבאג מקורה בפרסום בשנת 2000 שנעשה על ידי גאורגי גונינסקי.")
אז מה בכל זאת ההבדל? HD Moore מציין רק אחד שכזה וטוען שהוא "הגדול ביותר" – ההרחבה לפירצה ניתנת לניצול גם כשמקור ה-DLL שהתוכנה מנסה לטעון איננו בתיקיית המערכת (ספריות DLL השייכות לתוכנה ספציפית):
The biggest difference is that the new issues mostly apply to applications where the hijacked DLL does not exist in the system directory (application-specific libraries).
פתית מידע נוסף: למרות הצהרותיה, קרסה מיקרוסופט תחת פרסומי התקשורת השליליים ופירסמה תיקון לחור האבטחה. במקביל, החל גל האקספלויטים לעניין להציף את הרשת, ובין התוכנות הפגיעות – Powerpoint 2010 וכן חבילת Live (שניהן תוצרת מייקרוסופט), כמו גם uTorrent (קליינט ביטורנט) ואפילו Wireshark (תוכנה שמשמשת הרבה חוקרי אבטחת מידע ואפילו מפתחי אתרים לחקירת התעבורה העוברת ברשת).
פתית על הפתית: רוצה לציין הרבה הרבה הרבה [והמוני המונים] של תודה ל-TheLeader, שנתן אזכור לכתבה הקודמת בתוך אקספלויט DLL-Hijacking שהוא פירסם בexploit-db עבור uTorrent. נציין שיש סבירות גבוהה מאוד שהוא זה שהזין את הדוגמאות לרוב המדיות התקשורתיות בחו"ל אודות האקספלויטים (כולל האתר העצום The Register – כבוד!) – הוא הראשון שראיתי שכתב אקספלויטים עבור uTorrent, Wireshark ו-Powerpoint. סחתיין עליך חבר (:
מקורות להרחבה זו: הפוסט בבלוג החברה, תגובות לפוסט הקודם, האקספלויט שפרסם אביב (2006), עלון המידע של SecurityFocus משנת 2000, כתבה שמזכירה את תגלית חוקר האבטחה הישראלי אביב ראף ב-2006, כתבה על הכלי לחסימת הפירצה שנכתב על ידי מיקרוסופט.
התודות ניתנות ל: חדר ה-IRC [שרת irc.nix.co.il, חדר security#] שלנו (ו-cP שנכנס לעדכן), אביב ראף (בלוג מצוין), TheLeader (על הפירסום, בדיקת המאמר הקודם והתרומה לקהילה הישראלית).
ראיתי לנכון לכתוב פוסט חדש ולא לעדכן, למען ההוגנות והחשיפה שהמידע שהוצג מקודם היה לא מדויק במלואו. הפוסט הקודם יקשר לפוסט זה (:
- ים מסיקה
1. הגענו, ההרשמה התחילה בזמן והכל תקתק ממש כמו שצריך. ח"ח למארגני האירוע. חריגות במקומות הנכונים שצריך (עוד 10 דק' להרצאה זה מכובד ולא מפחית מרצינות הכנס, והזמן הזה חשוב לשאלות).
2. העיצוב הפנימי היה מרשים ביותר. כריות וכורסאות בצעי כרום שנבחרו והושמו בטוב-טעם בחדרים השונים, סטיקרים שעיטרו את השולחנות והכסאות וכלים שהכילו בלונים בצבעי כרום וכדורי קלקר שכאלו.
3. אוכל כיד המלך, מכל הסוגים שמתאים לכולם. קצת חבל שלדתיים זה הפריע (צום י"ז בתמוז), אבל אחרי הכל מדובר בהשקעה מטורפת. היו בירות חינם כחלק מארוחת הצהריים (אותן כמנהגי נמנעתי מלשתות), והיה תמיד בר פתוח לממתקים (כל סוג שרק תוכלו לחשוב עליו) ולשתייה. הארוחות נחלקו לשתיים: בוקר וצהריים. מנה שאהבתי במיוחד: קאפקייז שכתוב עליהם "גוגל" מעוטרים בקצפת מעל.
4. כבכל אירוע – חלק מההרצאות היו מוצלחות, וחלק שלא. לדעתי מדובר באיך המרצה מעביר – ההרצאה של הHTML 5 הייתה מעניינת למדי, למרות שחלק נכבד ממנה הוקרא ישירות ממצגת. ההרצאה של כלי הפיתוח הייתה פשוט גרועה, וגם ההמשך של כלי פיתוח מתקדמים. ההרצאה המעניינת ביותר לדעתי הייתה על תאימות אתרים, שהייתה בעברית והועברה על ידי ג'רמי מוסקוביץ', שגם ענה על השאלות ונתן טיפים אישיים. את עיקר הבשר שבהרצאות יצא לכם לראות ולשמוע בזמן אמת, אפילו עוד לפני שנאמרו על ידי המרצה, שכן הבאתי לכאן לינקים לחומר שהם מציגים באותו רגע. אגב, אם יורשה לי לחוות את דעתי, הזמן שהוקצב לשאילת שאלות לפאנל הפתוח היה קצר מדי.
5. קיבלנו – תג מגניב עם השם שלנו ושם החברה שלנו (הכולל גם לוח זמנים מאחוריו) + מחברת של כרום עם די הרבה עמודים, מקושטת בתגיות פתיחה וסגירה של עמוד HTML תקני + עט עליו כתוב Google + מעטפה מלאה בסטיקרים של גוגל + חולצה חביבה + טונות של אוכל בחינם.
יתכן פוסט נוסף בו אני אסקור את האבטחה של HTML 5, אבל מכיוון שהנושא לא סוקר אפילו לא במעט (אולי במשפט אחד ששמעתי מפי המרצה על פיתוח) אני לא מבטיח כלום.
עד הכנס הבא,
- ים
עריכה: וכמעט שכחתי – תמונות! פתוח לכל מי שיש לו פייסבוק (סורי לכל קנאי הפרטיות). התמונות ממש כאן.
עריכה 2: דאגתי גם לחבר'ה שאין פייסבוק. מוזמנים.
אני כותב אליכם מאולם Avenue, כנס DevFest העוסק בפיתוחים חדשים בעולם האינטרנט ובעיקר אלו של גוגל.
במהלך היום אעדכן את הפוסט כמה פעמים, על מנת לעדכן אתכם בחידושים ובמה שהולך כאן (ובהרצאות). אני עתיד לבחור במסלולים הבאים, לכל המעוניין:
11:15 – 12:00 : Website Compatibility – Tips and Tricks
12:00 – 12:45 : Chrome Developer Tools
12:45 – 13:30 : HTML5
עד עכשיו, הצלחתי להגניב הצצה לתוך האולם והכל ממש מגניב. יש שולחן מרשים של DevFest באולם הכניסה, והחוץ מעוטר בדגלי DevFest ובשולחנות ישיבה.
יש אינטרנט אל-חוטי של ChromeDevFest וכן של אולם Avenue, ובפנים האולם (אסור עדיין להכנס, אבל עבדכם הנאמן היה חייב) יש מזנון אוכל חביב ביותר, פינות ישיבה עם כריות בצבעי הלוגו של כרום וכן פינת ישיבה עם מחשבים.
האינטרנט האלחוטי חינמי כמובן, ומבקש מספר קליקים כדי לאפשר את השימוש בו. את המסך תוכלו לראות כאן (במיוחד בשבילכם: http://img571.imageshack.us/img571/4545/devfest.png . בקידוד הבינארי כתוב "Importamnt Message".)
מקום מדליק לאללה, הכנסו בהמשך היום על מנת לקבל עדכונים שוטפים.
תמונות בצרורות – בהמשך היום.
- ים מסיקה
—-
עדכון 9:46 – ארוחת בוקר חמודה לאללה. קיבלתי שרשרת עם השם שלי והכתובת של הבלוג, שמאחוריה יש את לוח הזמנים. בקרוב שומעים הרצאה קלה, ואז מתחלקים למסלולים. יהיה נחמד.
—-
עדכון 10:30 – נכנסנו לדברי הקדמה מפי מספר בכירים בגוגל ישראל (באנגלית כמובן), וכן מעובדים בגוגל ישראל. כשהתיישבנו הופתענו לגלות מחברות תוצרת גוגל ועטים ייחודיים מגניבים. בתוך המחברות הייתה מעטפה, שכללה סטיקרים תוצרת גוגל. הם דיברו על התאימות המלאה ללינוקס ולמק, התוספים וערכות העיצוב ובעיקר השתחצנו בביצועים (ויש להם סיבה, למען האמת). הם דיברו על צמיחת הדפדפן שלהם והציגו ראיון שהם ניהלו עם אנשי-רחוב בנוגע למה זה דפדפן, במה הם משתמשים ומה מעצבן אותם בגלישה (במהלכו נשמעו צחקוקים רבים בקרב הקהל).
במהלך ההרצאה הראשונית הם הציגו בקצרה את Chrome oS (מערכת ההפעלה החדשה של גוגל), ואת הWebstore. הם הציגו את גישתם החדשנית של '"The best User Interface is no User Interface", מה שבא לידי ביטוי בדפדפן שלהם. הם גם דיברו על כל מני אפשרויות שמוחבאות בדפדפן (עיצוב הדפדפן כך שיתאים למתקדמים ולמתחילים).
10:55 – יוצאים להפסקת קפה. עדכונים נוספים בהמשך.
—-
עדכון 11:25 – אני בוובסייט קומפיביליטי. ההרצאה מדברת על השוק הישראלי באופן ספציפי. ג'רמי מגוגל ישראל מדבר ומראה דוגמאות שונות מאתרים שאינם תאימים לדפדפנים גוגל כרום ופיירפוקס.
הוא דיבר על כך שבמהלך ההיסטוריה התפתחו דפדפנים רבים, שגרמו לבעלי אתרים לפתח תאימות עבור כל דפדפן – מה שג'רמי אומר שאין צורך בו, מכיוון שיש "משפחות דפדפנים" שקשורה במנועי אימות (Web Layout Engine).
בנקודות:
נאמר שבבדיקת דפדפן, עדיף להציג גירסת FF בברירת מחדל, ורק אם נמצא IE בשימוש להציג גירסה מתאימה – זאת מכיוון שגירסת Firefox תוצג טוב יותר בכרום מאשר גירסת Internet Explorer.
כמו כן, אין לבדוק על פי User Agent מכיוון שהוא דינאמי מדי ואינו מתאים במקרה של שדרוגי גירסה ושינוי User Stringים.
דובר בקצרה על שורות שאינן נראות/נגזרות/יורדות באתרים מסוימים.
הוא הציג תאימות וידאו בעייתית והציע להשתמש בתג video החדש.
למציאת בעיות תאימות – שמירת הדף בגירסה לוקאלית, וחתיכת חלקים עד להגעה לקטע קוד קטן וטיפול בו.
הוא המליץ בפירוש על browsershots.org , ואמר "אם לא בדקת זה לא עובד". הוא הציע ליצור רשימת פעולות על דף, ולבדוק שבאמת אפשר לעשות את כל הפעולות בכל הדפדפנים. הוא הציג שיותר מ-25% (לפי דה-מרקר) משתמשים בדפדפנים שאינם IE.
נאמר שניתן להשתמש בספריות JavaScript שירדו ישירות מהשרת של גוגל – Google ajax library API.
הומלץ דרך הDevelopment Tool לבדוק את הJavaScript.
לבקשת הקהל, הוא דיבר על דחיסת הסיפריות שהומלץ להשתמש בהן (jQuery). הוא ציין שאפשר להוריד גירסה דחוסה וגם לא דחוסה, והומלץ להשתמש בגירסה שאינה דחוסה לצורך פיתוח נוסף, ומכיוון שלרוב ממילא הוא נתפס בCache.
משתמש מהקהל שאל על ולידצייה וגוגל – האם יש להם איזושהי אידיאולוגיה או כיוון. ג'רמי קצת בלע רוק, והפנה לפאנל המומחים מכיוון שהוא לא קשור ואין לו תשובה טובה לזה.
קישור לחומרים שקשורים להרצאה – http://goo.gl/m988 .
ההרצאה – מבוסס על FAQ – ניתן למצוא בhttp://tiny.cc/hecompatfaq.
———
עדכון 12:30 – רצתי מהר למסלול של הDevelopers.
דובר כאן על דיבוג JavaScript, מציאת בעיות פיתוח וניהול זכרון.
נחמד, לא מעניין יותר מדי (בהלקח בחשבון הזמן הארוך שלקח לו להציג את הכלי למפתחים).
——
עדכון 13:00 – הרצאה על HTML 5 מתחילה.
מוצגים פה דברים נחמדים לאללה בתחומים שונים (כמו JS API).
הוא מדבר פה על Web Workers, Web Sockets, Application Cache API, Notification, Drag & Drop, Geolocation וWeb SQL Database שעובדים דרך JS APIs.
כמובן שככל שההרצאה מתקדמת מוצגים נושאים נוספים.
מצאתי עבורכם את ההרצאה שממש עכשיו עובדת בחדר, ותוכלו להריץ את המצגת בעצמכם ב http://slides.html5rocks.com/
—————–
13:30 – ים רעב. ארוחת צהריים. עדכונים נוספים לאחריה (:
(אין לי שמץ של מושג לאיפה אני הולך לזרום מפה, תעקבו.)
—————–
עדכון 14:40 – ים כבר לא רעב. למעשה, ים די מפוצץ ועומד להקיא מרוב אוכל. ארוחת ענק עם בשר, חומוס, נקניקיות, פודינגים למינהם ומה לא. אלוהים אדירים. אני בקושי יכול להקשיב להרצאות ככה.
בכל מקרה, אני כאן בפאנל שעונה על שאלות. אם למישהו יש שאלה, שיפרסם מהר.
דקה 26:43 של התוכנית החדשה "נדבר על זה בבית". אני, ובעצם כמעט מחצית קהילת ההאקינג, נצמדים לטלוויזיה ומחכים בכיליון עיניים למה שהולך להיות הבדיחה החדשה של הקהילה. בתוכנית הטלוויזיה החדשה של עמנואל רוזן (המנחה, עיתונאי ואיש תקשורת), יושבים שבעה אנשים שמקבלים חמש דקות לדבר על אייטם כלשהו. לפני שמדברים על אותו אייטם, מוצגת כתבה, שבסיומה יגיד רוזן מספר מילים, ויתן את אות הפתיחה להנחתת כדורי האש מששת חברי הפאנל האחרים, שמדברים ישירות מבתיהם. חברי הפאנל, מזה שצירופו לפאנל מובנת לזה ההזוי הם: גבי גזית (עיתונאי, שדרן רדיו ומנחה טלוויזיה), שלי טימן (שופט), מנחם בן (מבקר ספרות, משורר ומבקר דעות), דניאלה וייס (דתייה, מראשי תנועת גוש אמונים), נטע אחיטוב (אישיות לא מוכרת לפחות עבורי, עיתונאית) ומוקי (זמר(???)).
בפרק השני שהוצג רק שלשום (12/05/2010), אחד האייטמים נבנה על אמא מבוהלת וסקרנית, ששאלה מה הילד שלה עושה ליד המחשב כל-כך הרבה שעות ביום מאחורי הדלת הסגורה, בטענה שאין לה יכולות לפקח עליו. רוזן מתחיל למלמל כמה מילים שאני מתקשה להאמין שאני שומע, ובמקום לספר לאמא שהפיקוח כיום הוא לא ממש קשה, או לדבר על פורנו ולהזכיר תכנים בלתי-הולמים אחרים, הוא מדבר על… האקינג?! אני יושב ותוהה האם הנושא בכוח הוצמד לכתבה, מכיוון שאם נקח את העובדות בשטח – אין שום קשר בין רוב הילדים בישראל להאקינג. זאת ועוד, עמנואל רוזן משתדל להציג את הטיעון הזה באופן שבו הוא טוען שרוב הילדים בישראל הם האקרים ("כל ילד שני", כפי שהוא טוען בסוף האייטם). נראה שעמנואל רוזן היקר לא נותן לעובדות לבלבל אותו.
האייטם מתחיל, ומשודרת כתבה משעשעת עד דמעות לכל אחד שמבין דבר וחצי דבר בהאקינג. כבר בתחילת הכתבה נראת גודל הזוועה: שתי דוגמאות לריצה ראנדומלית של דברים על המסך (שלא קשורים אפילו לא במעט להאקינג, אפילו שכתוב שם "Hacked"), כנראה סתם כדי ליצור קשר אסוציאטיבי עם המטריקס. מובאים שני ילדים בני 13 שידברו על נושא ההאקינג (מובן שנלקחו בכוונה ילדים צעירים, על מנת ליצור רושם מסוים), וניכר שאת מה שהם אומרים לא אימתו מול אף גורם מקצועי (SQLi פירושו SQL Injection [ולא איג'קטיום]). גם ברור לכל אדם בר-דעת שהילד כובע שחור שהוצג שם אינו מבין את הדברים שהוא עצמו אומר ("מציבים מודעות של גוגל, של קליק-און ושל אדסנס", כאשר אדסנס היא בכלל תוכנית של גוגל, בעוד שבאותה נשימה הילד מרשה לעצמו לחשוב שהוא טוב בהרבה מהאנלייזר), וטענת הכתב שבני עשר פורצים לאתרי משחקים ושבני 13 "מתמחים בפלילים" היא אבסורדית – הייתי שמח שהכתב הנכבד יראה לי דוגמה לתיק בודד שכזה. בקיצור: עבודה עיתונאית לשמה – ללא אימות עובדות, עם הוצאה מובהקת של העניין מכל פרופורציה שהיא.
והנה, עמנואל רוזן נוקש בגוינג הפתיחה המטאפורי, ומופיעה השאלה על המסך: "האם צריך לפתוח משטרת אינטרנט?" המום מהשאלה הפסיכית ובעלת הקשר הקלוש מאוד למציאות ולאפשרות הטכנולוגית, הקשבתי לדברי ששת השטותניקים, שהרשו לעצמם לפתוח את פיותיהם הגדולים אפילו ללא מעט רגשות אשמה על כך שאינם מבינים בנושא. מתחילים עם מוקי, הזמר, ואני בטוח שאני הולך לשמוע ביקורת מטומטמת משהו, אבל אני דווקא מוצא את הדברים שאמר כמעניינים: מוקי טוען שיש לקחת את אותם האקרים בידיים ולתת לממסד לטפח אותם. במילים אחרות: לפני שיהפכו לפושעים ויוצבו כבושה למדינת ישראל, יש לקחת אותם, ללמד אותם ולחנך אותם, בידיעה שבבוא העת (צבא?) יוכלו אותם האקרים לשרת את ישראל נאמנה, ולנצל את הידע שלהם לדברים מועילים. נטע אחיטוב משמיעה דעה ממולמלת משהו, ונראה שהיא לא סגורה על עצמה, ומדברת על טוקבקים פוגעים לצד עולם מלא ידע שמספק האינטרנט. כשאני מתחיל לתהות האם הפאנליסטים אולי סוף-סוף ימתיקו את טעמה המר של הכתבה הזו, זכות הדיבור מועברת לגבי גזית שכרגיל מביע את הגיגיו (הדי-מטופשים, יש לציין) ברהיטות בלתי-נלאת, וטוען שהילדים האלו הם פושעים בהם יש לטפל "גם אם הם יהיו האליטה של חברות הStartup עלי-אדמות". ניכר שאת גבי גזית לא ממש מעניינת הכלכלה של מדינת ישראל, בטח ובטח שלא הבטחון שלה (שכן את אותם הילדים ניתן לנצל למטרות כמו התקפת אפיקי התקשורת של מדינות אויב). הוא מוסיף ואומר, בצורה שבאופן אישי הרגיזה אותי מאוד, שבלי שום קשר אישי לטוקבקים הפוגעניים שנגדו (כן, בטח), יש לחייב כל אחד שמגיב לחשוף שם, מספר זהות(?!) וIP "של מחשב". על ההגבלות הטכנולוגיות בנושא מר גזית הנכבד לא טרח לחשוב, אבל נו מילא. העיקר להביע דעה ולהראות נחרץ לגביה, ככל עיתונאי. תודה לאל זכות הדיבור עוברת לחבר הפאנל הבא, הפעם לשלי טימן השופט, שמדבר (כצפוי) על החקיקה בנושא. הוא מסכים עם גבי גזית, אך מקטין את היקף דבריו; הוא אומר שיש להקים "משטרת אינטרנט" (רק השימוש בביטוי גורם לי בחילה), שתטפל בטוקבקים רק אם אלו גורמים נזק. גבי גזית שוב נכנס לתמונה, ומנסה לתקן אותו בעדינות (עד כמה שהוא יכול): "מכפישים, שלי". שלי עומד על שלו ואומר: "מכפישים? הכפישו אותי גם כן. ברגע שהם גורמים נזק בהסתה, זה כבר משהו אחר". תורו של מנחם בן המשורר והפובליציסט לדבר, ודווקא כאן אנחנו שומעים את הקול השפוי: לא רק שהוא נמנע מהביטוי משטרת אינטרנט, אלא הוא גם טוען שאין לפקח על טוקבקים בכלל (אלא כאשר הם מגיעים להפרה פלילית). כשגבי גזית מתקיף באומרו שיש לזהות את שם הטוקבק, ואומר למנחם בן שיחזיק בדעה שהציג "עד שתפגע יום אחד", מנחם בן יוצא להתקפה שמנגד וטוען שיש נגדו אלפי טוקבקים, והוא קורא את זה באהבה ובשעשוע. אבל אז מנחם בן מסתבך. הוא גילה את סוד הסודות של עמנואל רוזן: "בכל עניין ההאקרים, נראה לי ניפוח לגמרי מוגזם…". קולו של מנחם נקטע על ידי ששת האחרים שממהרים לצעוק "נו באמת", ועמנואל רוזן יוצא למתקפת הגנה על האייטם: "מנחם, תאמין לי שזה לא ניפוח ושכל ילד שני פורץ היום לאתרים[...]". יצא המרצע מן השק. עמנואל רוזן ממהר להעביר את רשות הדיבור לחברת הפאנל האחרונה, דניאלה וייס, שמדברת על חסימת האינטרנט לבני נוער באמצעים כמו "אינטרנט רמון" ומוסיפה את דעתו של מוקי על טיפוח קבוצת הנוער הזו לצרכים חיוביים. בכך מסתיימת בזריזות הכתבה, בלי זכר לנזק התדמיתי המטורף שהשאירה מאחור.
אני רוצה לציין שאני לא מכיר אף אדם מהשכבה שלי [יב'] שמבין יותר מדי בנושא אבטחת המידע, בטח ובטח לא אחד שמבין בתחומי הWeb, Reverse Engineering וחבריהם לעומק (לא יאמן, יכול להיות שלא כל אחד משני ילדים הוא האקר?!). כפי שמנחם בן ציין, מדובר בניפוח תקשורתי היסטרי שכל קשר שלו למציאות הוא מקרי בהחלט, וליבי מצר על כל האמהות המבוהלות שהכתבה הזו תצמיח. רוצות לדאוג? יש לכם את הפורנו ושאר החולרעות – תאמינו לי שהסיכוי לזה הוא גבוה באלפי מונים מהסיכוי שהבן שלכם מתעסק בהאקינג. התוכנית המגוחכת והמנופחת הזו ודאי לא תחזור להופיע אצלי שוב על צג הטלוויזיה, ואני גאה להגיד שהיא לא העניקה לי כלום, פרט לאפשרות לצחוק יחד עם הקהילה על הטמטום העז שהוחדר לשם בכח מכל עבר.
כל טוב ושבת שלום לכם,
ים מסיקה.
מחר יש לי מבחן מגן במדעי המחשב.
כל עצלן שמכבד את עצמו ושהתנסה יום בחייו במערכת חינוך כלשהי שכוללת בה את רעיון המבחנים, בעיקר במקצוע שלא מעניין אותו, יודע את ההרגשה של היאוש שמגיעה ביום טרם המבחן. העצלנות ללמוד, הסחיבה של עד השנייה האחרונה שבה מותר שלא ללמוד את החומר, ההפסקות שמלוות אותנו בערך חצי מהזמן הכולל של למידת החומר…
וככזה, תמיד הרגשתי צורך בשחרור קיטור, בעיקר לפני מבחנים. ולא רק על המבחנים עצמם – על כל מערכת החינוך בעצם, שלדעתי מתנהלת באופן כל-כך לא רלוונטי לחיי היום יום שלנו, עד כדי שהדבר הפך למעין סיוט מתמשך של 12 שנים (אם לא לכלול את המוסדות הנמוכים יותר, כמו גן), שהנטל שהוא יוצר גבוה הרבה יותר מהפרודוקטיביות שלו.
מאחר ולצווח לקירות אף פעם לא השיג אף תוצאה שאליה ייחלתי, החלטתי לפרסם פה פוסט עם הטענות שלי כלפי משרד החינוך. כמובן שאינני משתטה לרגע, ולא עוברת בראשי אפילו חצי מחשבה על כך שדבריי ישפיעו באיזשהו אופן. יותר מכך, ברור לי שיהיו המתנגדים לי, וברור לי שבאיזשהו אופן הדברים שאני כותב נובעים ממטען טרי וכבד שנצבר מזה 12 שנים שבו אני נמצא במוסד שמעמיס עלי נטלים מדי יום. אמנם יש בכך את המגרעות המובנות מאליו, של הקצנה ברורה שתהיה בצורת התבטאויותיי ובדרך כתיבתי. אך אולי, באותה מידה, יש דווקא בדברים אלו משום זעקה ממשית, מנקודת המבט של תלמיד שסיים את הדרך רצופת התלאות, שכאבו וזעקותיו הם רלוונטיים אף יותר משל כל אחד אחר המלין על מערכת החינוך דרך קבע.
הדור התפתח. הוא לאו-דווקא עם אינטיליגנציה גבוהה יותר (ויש שיגידו "נהפוך הוא"), אך הוא בהחלט דור עם כוח גדול יותר מבחינת הגישה למקורות מידע. בזמן שהמורה מדברת שעות על גבי שעות, אני יושב בכתה, מסתכל בפנים נפולות על השעון וליבי צועק-זועק על הזמן שאובד לי. המורה הנכבדת, שלעיתים תקריא ישירות מן הספר, לרוב לא תוסיף שום ידע נוסף לתלמיד מעבר על מה שכתוב לה בתוכנית הלימוד. אולי הדבר מצויין על מנת לעבור את בחינות הבגרות, אך פה הכשל! כאן אולי הזמן הטוב ביותר לשאול – מה היא מטרתה של מערכת החינוך? האם לגרום לתלמידיה לדעת חומר ספציפי וסגור, עם קצוות מוגדרים מאוד? אינני זועק על החינוך לאהבת ישראל או לערכים (אם כי גם זה יוצר טעם מר בפי), אני זועק על החינוך לרצון לידע! אני זועק על הגבולות שמציבים בפניי כשרצוני הוא להתרחב! את הספרים של מערכת החינוך אני יכול לקרוא לבד, בי נשבעתי. היכן המטרות של משרד החינוך בהרחבת האינטיליגנציה, הרחבת המיומנות בכריית ידע, הרחבת הרצון לידע! ולא בטכניקה הפשוטה של פתירת משוואות, או שינון הידע שממילא זמין לי היום, ויהיה זמין גם מחר, הן באינטרנט והן בערימות הספרים שאני מכיר. וכאן נמצא כשל נוסף. משרד החינוך אינו מבין עד כמה הידע שהוא מתעקש לגרוס לתוך פיות התלמידים הוא זמין, ואינו יודע לנצל באופן מתאים את הטכנולוגיה הזמינה היום. ראשית, מפליא אותי שבדור כל-כך טכנולוגי, לרוב בתי הספר אין כלי למעקב אחר ציוני התלמידים! אם נלך רחוק יותר, התלמידים שמוצבים בפני קשיי ארגון (שאלו רבים וטובים מהדור), אינם מקבלים תמיכה וסיוע בדמות טכנולוגית שיכולה לעזור להם. באם ינתן מחשב נייד ותוכנה מתאימה לאירגון החומר, האם הישגי התלמידים יוותרו רדודים? הראו לי מחקר שיאושש דבר שכזה! ואם כבר דיברנו על הטכנולוגיה ועל השפעותיה של הדור, נקודה כאובה נוספת (ורלוונטית עבורי מתמיד באשר לתקופה שאני עובר), היא המבחנים. כמובן, הצורה הקלה ביותר עבור משרד החינוך להסתכל על הידע (כביכול) של התלמיד, שפשוט ישב אומלל אל מול המחברות שעות על גבי שעות על מנת לזכור את החומר הרלוונטי לבחינה בעל פה. אני בהחלט לא טוען שאין למבחנים אף יתרון – ייתכן שהם משפרים את יכולת הזכרון של האדם, ומיישר קו בין מה שהמורה לימד עד עתה למה שהתלמידים באמת למדו. הם גם באיזשהו מקום יוצרים מעין תפיסה שהתלמיד כפוף למורה (מה שבהחלט צריך לקרות, והנה עוד תלונה על חוסר הסמכויות של המורים) ומחייבות אותו באמת לדעת את החומר האלמנטרי כל-כך שמלמד משרד החינוך. אך האם זו צורה טובה לבחון את הידע של התלמיד, כשהוא עצמו שרוי במצב לחץ, אין לו גישה לאף מקור חוץ (מה שאינו נכון לגבי החיים האמיתיים) ולרשותו זמן מוגבל מאוד? פרט לכשלים שעלולים לקרות בדרך (ילד שכתיבתו איטית יותר, ילד שאינו חש בטוב ביום המבחן וכשלים דומים לאלו), הדרך לבדיקת הידע עצמה אינה נכונה, מה שמביא אותי שוב לטכנולוגיה, ולאופן שבו המידע תמיד זמין לי אם רק אני יודע כיצד לחפש אותו. כפי שאמר ראנדי (ובהחלט צדק), "החוק מספר אחד של האינטרנט קובע שהתשובה נמצאת באינטרנט. לכן השאלה היא כבר לא 'איפה נמצא את התשובה' אלא 'איך ננסח את השאלה'".
מכאן כבר מדובר בדיון שהוא מעין מטחנת מים. אני יכול לחזור סחור-סחור על הטיעונים שהצגתי כאן, ולהדגים כיצד הם מתקשרים אחד לשני ויוצרים טבעת שכביכול(?) קשה לניתוק. החלפת המערכת והתאמתה לתנאים החדשים של העולם הטכנולוגי והמוכר לנו יכולה לעלות הון תועפות, והכסף לא יבוא מעצמו. אחת מהבעיות הקשות היא שניתוק חוליה אחת איננה אפשרית, מכיוון שכמעט כל המחדלים שהצגתי קשורים בקשר איתן ויציב אחד לשני, וניתוק חוליה אחת מבלי להחליף את האחרות עלול לגרום לא רק לתופעת צוואר בקבוק, אלא גם לבלבול והצגת סימני קריסה של המערכת, וכאן כבר נכנס דיון כלכלי עמוק יותר, על השקעת כסף בדור העתיד תמורת כסף שהוא יחזיר בשנים הבאות (מה שמזכיר לי, האם אני היחיד שמבין שהצעות כמו אלו של השר הנכבד גדעון סער, עלולות למוטט לחלוטין את ענף החינוך בישראל, ואיתו עוד מערכות רבות אחרות?).
ובנימה מעט אישית יותר, רוצה לציין אני שבין המורים שהערכתי אליהם שואפת לאין סוף ולמעבר לו, הם דן סבוראי ואנה קלבר. היו עוד רבים וטובים, אמנם, אך אלו הראשונים זכאים, ללא עוררין, להכנס למקום של כבוד ברשימת המורים שלימדו אותי. ומסתבר שלא רק אצלי, אגב. אנה קלבר, שלימדה אותי את מקצוע המדעי המחשב מאז כתה ט' אם זכרוני אינו מטעה אותי, אשת חיל, בחיי! לא אשכח את השיעור הראשון שנכנסתי אל הכתה שלה, זו נתנה הרצאה קצרה על מה היא מצפה מאיתנו. נדהמתי לשמוע על הגישה החדשנית למדי שהיא הציגה – מורה שדורשת להפעיל את החשיבה, בלי להתייחס לציונים בפתיחת השנה? בסוף דבריה כמעט ומחאתי כפיים. בהמשך השנה היא לא נפלה מהרושם הראשוני שקיבלתי עליה, אפילו לא במעט. כאדם שכבר הכיר את המקצוע ושאף תמיד למעלה, היא זו שתמיד הייתה שם כדי לתמוך ולעודד – לא רק טכנית, כי אם גם נפשית. מעבר לדמות האימהית שתמיד היא ייצגה, אני לא פעם מצאתי אותה מאחורי בשיעורים, מתקדם בחומר במקום לעשות את המוטל עלי. ולהפתעתי, שלא כמו רוב המורים שהכרתי, במקום לשמוע התפרצות מנה גדושה של עצבים, היא תיקנה אותי פה ושם, ועזרה לי להתקדם בחומר. גם ד"ר דן סבוראי, מורה משכמו ומעלה, אלוף-משנה בצה"ל, בעל תארים בהיסטוריה ובכלכלה. דן, שלימד אותי היסטוריה, הוא בהחלט אחד מהמורים שאין ספק לגבי הכשרון שלו – מעבר להיותו מורה ואומן, הוא תמיד הרשה לעצמו "לגלוש" בשיעורים פה-ושם לדבר על דברים אקטואליים (חלקם רלוונטיים למערך השיעורים וחלקם לאו), להציג את השימוש של ההיסטוריה ולהציג נושאים קרובים לאלו שהוא לימד. הידע הרחב והמדהים למדי שלו שימש לנו לעזר לא רק בתחום ההיסטוריה, וההומור המיוחד האופייני לו, עם עקיצות הביקורת שהיו פעם כואבות יותר ופעם פחות, הצליח לא-פעם לגרום לנו להאזין בקשב רב לחומר שהוא לימד. הוא לא חסך מאיתנו בידע, הוא לא שם לנו מעצורים כשרצינו להרחיב מעבר, ועם זאת – הוא הצליח להיות מספיק קולע כדי ללמד את כל החומר לבגרות פיקס. שני אלו מייצגים, פחות או יותר, את דרישותיי ממשרד החינוך. מחד גיסא, הם כן מספיקים ללמד חומר אלמנטרי שיש צורך שהדור ידע ויכיר. ברם, אין הם מציבים גבולות לידע ואין הם מסתמכים רק על אותם דפים מזופתים שנקראים מבחנים. הם שואפים לעידוד הדור לידע, להרחבת צורת החשיבה והפעלת גלגלי השיניים החלודים ממילא של הדור הנוכחי.
אני מודה לכל אלו שהסכימו לקרוא את ההגיגים ששפכתי על הדף. אני יותר מאשמח לראות תגובות לפוסט הארוך והמדוכדך הזה.
שלכם עד לפעם הבאה,
ים מסיקה
תמיד התחשק לי לפתוח בלוג. משהו נחמד כזה, אבל לא פשוט בישראבלוג. משהו מורכב עם המון פיצ'רים, יכולות התעסקות ושליטה… כמו שאני אוהב. אז פתחתי בלוג לפני איזה חצי שנה מבוסס WordPress. דחפתי את המערכת על בחשבון ההוסטינג שלי, השקעתי על להתאים אותה כמה שעות (הוספתי תוספות מעניינות למערכת, SEO, יישור ערכת-נושא נורמלית)… ומרוב כל העבודה לא היה לי כוח לפרסם את הפוסטים עצמם. לנבהלים משורת הפתיחה, לא נדמה לי שהבלוג הזה הולך לדבר על החיים הפרטיים שלי, לפחות לא ברוב הזמן. אני אחד נושם את המחשב והאינטרנט בכל רגע – גיימר, גולש כרוני, מקים אתרים, מתכנת (בשלל שפות, אבל ברמה די-בסיסית), מתעסק בזמן האחרון באבטחת מידע ונהנה מכל ההווי האינטרנטי. יתכן שיתפרסמו מספר פוסטים שיכילו מושגים שאינם בהירים לרוב האוכלוסייה, ומכוונים לחלק שהחליט להתפקס בחייו קצת יותר על עולם המחשבים – אני מתנצל מראש בפני הקהל שלא כזה, ומבטיח להשתדל ולהסביר (במידת הצורך) לכל מי שירצה פירושים.
דבר שהייתי שמח אם יקרה – אם יש אנשים שמעוניינים להצטרף ולכתוב פה על עניינים טכנולוגיים – החל מתכנות, עובר ברשתות ואבטחת מידע, וכלה במשחקים – אתם בהחלט מוזמנים ליצור איתי קשר.
ולסיום, השיר שהולך לייצג אותנו בארוויזיון (או שלא?) – Big Booty Bitches:
Big Booty Bitches
שיהיה המשך שבוע מעולה,
ים
|
|
Recent Comments