הערה! הפוסט מדבר על פירצת ה-DLL Hijacking כפי שהוצגה בפוסט הקודם. קריאת המידע שהופיע שם הכרחי לצורך הבנת הפוסט הנוכחי.
בתור בלוג אבטחת מידע המשתדל לפנות לקהל רב ככל האפשר ובמיוחד לאלו שמטרתם ללמוד, אני משתדל שהפוסטים שיוכנסו לבלוג יהיו בהירים כמה שאפשר – אך גם מדויקים באותה מידה. המידע שאני מביא כאן לרוב עובר מחקר מקיף שמתפרש על פני אתרים שונים ואנשים שונים שבודקים את נכונות הפרטים בהם אני לא בטוח, עיתונים מן המעלה הראשונה ואף לעיתים מקורות ראשונים (במידה ורלוונטי). כאחד שכזה, אני מרגיש צורך להתנצל על הפוסט האחרון שפורסם תחת הכותרת המפוצצת: "DLL Hijacking – הפירצה החדשה ב-Windows (חלונות) שמצא HD Moore". בסוף הפוסט אמנם הוצגה סברה לפיה הפירצה איננה כה חדשה, אך כשדברתי עם מספר חוקרי אבטחה ישראליים – העניין התבהר כחמור אף יותר.
אלו שקראו והעמיקו בתגובות של הפוסט האחרון (ואני מציע לעשות זאת בכל פעם – לעיתים מובא שם מידע שערכו איננו נופל מערך הכתבה עצמה) ודאי ראו את תגובתו של אביב, אחד מהאנשים שבאמת ראויים לכבוד שהם מקבלים (ואף מעבר לו) בתחום אבטחת המידע. אביב כתב תגובה בזו הלשון:
הפירצה איננה חדשה.
היא ידועה לפחות משנת 2000: http://www.securityfocus.com/bid/1699/info
ודווחה רשמית למיקרוסופט בשנת 2006: http://aviv.raffon.net/2006/12/14/IE7DLLloadHijackingCodeExecutionExploitPoC.aspx
לפני קצת יותר משנה, מיקרוסופט שחררה עדכון למערכת ההפעלה שאמור היה לעזור בפתרון הבעיה (כאמור, אינו פותר אותה לחלוטין): http://www.microsoft.com/technet/security/Bulletin/MS09-015.mspx
אתמול מיקרוסופט פרסמה מאמר המסביר (טכנית) את הבעיה ודרכים כיצד ניתן לפתור אותה ללא עדכון: http://www.microsoft.com/technet/security/advisory/2269637.mspx
והוא אכן צודק. בשיחה שלי שנערכה עם cP כשעתיים קודם לכן, הוא אמר לי לגגל DLL Search Order Hijacking – הופתעתי מהתוצאות. מילות המפתח שאכן מתארות במדויק את אופי המתקפה, מצאו תוצאות של קוד המשתמש לניצול הפירצה ("אקספלוייט") עוד מ-2006 שנכתב על ידי… אביב ראף – איש אבטחת מידע ישראלי, שלא במקרה היה זה שהגיב בבלוג. למרות שמאות (אם לא אלפי) עיתונים נכבדים באנגלית מן המעלה הראשונה, מסקרים את "הפירצה החדשה שמצא HD Moore" [וחיפוש ממש קצר מניב מעל 120 תוצאות מקוונות שנרשמו ב24 שעות האחרונות, למרות שחלפה הסערה]. העיתונים המקוונים המתקדמים יחסית מדווחים על כך שהבאג נמצא לפני 6 חודשים, אך כמעט אף לא אחד בעולם דיווח על כך שהפירצה קיימת כבר 10 שנים.
היחיד שאני מצאתי למען האמת, הוא HD Moore, שלא מכחיש את זה ואפילו דואג לפרט. בבלוג החברה הוא כתב:
As Thierry notes, a variation of this bug was originally published in 2000 by Georgi Guninski.
("כפי שתיירי הזכיר, גירסה אחרת של הבאג מקורה בפרסום בשנת 2000 שנעשה על ידי גאורגי גונינסקי.")
אז מה בכל זאת ההבדל? HD Moore מציין רק אחד שכזה וטוען שהוא "הגדול ביותר" – ההרחבה לפירצה ניתנת לניצול גם כשמקור ה-DLL שהתוכנה מנסה לטעון איננו בתיקיית המערכת (ספריות DLL השייכות לתוכנה ספציפית):
The biggest difference is that the new issues mostly apply to applications where the hijacked DLL does not exist in the system directory (application-specific libraries).
פתית מידע נוסף: למרות הצהרותיה, קרסה מיקרוסופט תחת פרסומי התקשורת השליליים ופירסמה תיקון לחור האבטחה. במקביל, החל גל האקספלויטים לעניין להציף את הרשת, ובין התוכנות הפגיעות – Powerpoint 2010 וכן חבילת Live (שניהן תוצרת מייקרוסופט), כמו גם uTorrent (קליינט ביטורנט) ואפילו Wireshark (תוכנה שמשמשת הרבה חוקרי אבטחת מידע ואפילו מפתחי אתרים לחקירת התעבורה העוברת ברשת).
פתית על הפתית: רוצה לציין הרבה הרבה הרבה [והמוני המונים] של תודה ל-TheLeader, שנתן אזכור לכתבה הקודמת בתוך אקספלויט DLL-Hijacking שהוא פירסם בexploit-db עבור uTorrent. נציין שיש סבירות גבוהה מאוד שהוא זה שהזין את הדוגמאות לרוב המדיות התקשורתיות בחו"ל אודות האקספלויטים (כולל האתר העצום The Register – כבוד!) – הוא הראשון שראיתי שכתב אקספלויטים עבור uTorrent, Wireshark ו-Powerpoint. סחתיין עליך חבר (:
מקורות להרחבה זו: הפוסט בבלוג החברה, תגובות לפוסט הקודם, האקספלויט שפרסם אביב (2006), עלון המידע של SecurityFocus משנת 2000, כתבה שמזכירה את תגלית חוקר האבטחה הישראלי אביב ראף ב-2006, כתבה על הכלי לחסימת הפירצה שנכתב על ידי מיקרוסופט.
התודות ניתנות ל: חדר ה-IRC [שרת irc.nix.co.il, חדר security#] שלנו (ו-cP שנכנס לעדכן), אביב ראף (בלוג מצוין), TheLeader (על הפירסום, בדיקת המאמר הקודם והתרומה לקהילה הישראלית).
ראיתי לנכון לכתוב פוסט חדש ולא לעדכן, למען ההוגנות והחשיפה שהמידע שהוצג מקודם היה לא מדויק במלואו. הפוסט הקודם יקשר לפוסט זה (:
- ים מסיקה
לפני הכל! שימו לב! נוסף למעלה עמוד שנקרא "ברשתות חברתיות" ומכיל קישורים שלנו לפייסבוק ולטוויטר – אתם בהחלט מוזמנים להרשם ולעקוב אחרינו. יופיעו שם עדכונים שוטפים על כל מה שחדש בבלוג, ולפעמים (אם יהיה לי אקסטרה-פאוור) הגיגים ומחשבות מעניינות. נוסף על כן, תוכלו להרשם במקומות שונים באתר לרשימת התפוצה שלנו – שתעדכן אתכם בכל פוסט שרשמתי באופן אוטומטי. הבלוג שומר על ממוצע כניסות נאה לאחרונה ואני מאוד מרוצה, תודה רבה לכל המתעדכנים הקבועים.
ולעניינינו: ברוכים הבאים לפוסט נוסף של מבזקי ברק. השבוע לא עדכנתי את הבלוג בכלל (השבוע הראשון שפרט למבזקי ברק לא הופיע אף פוסט). אני מדגיש שאם מתחשק לכם לפרסם פה פוסטים על אבטחת מידע וטכנולוגיה, כל עוד שהפוסט יהיה מובן לכולם (גם למשתמשים לא טכנולוגיים) – אשמח לפרסם אותו כאן. להזכירכם (או לטובת הקוראים החדשים שהמעבר על שאר הפוסטים מומלץ עבורם), מבזקי הברק הן פינה מגניבה וחדשנית שמלקטת עבורכם את עדכוני השבוע שאני מצאתי כמעניינים מעולם אבטחת המידע. חושבים ששכחתי משהו? תוכלו ליצור איתי קשר באופן פרטי במייל בדף האודות או לפרסם אותו בתגובות – ואם אמצא אותו כאייטם מעניין אדאג להכניס אותו לפוסט. אז מה היה לנו השבוע?
ה-VeriSign הולך יחף - אחד מספקי האבטחה הגדולים ביותר בעולם, VeriSign, נתפס השבוע כשהוא חשוף לפירצת האבטחה הידועה לקוראים הקבועים – XSS. אופס? כידוע, פירצת הXSS מאפשרת להרצת קוד (מסוג JavaScript) על המחשב של המשתמש, דבר המאפשר "להגיע רחוק": מגניבת משתמשים ועד השתלת וירוסים קטלניים – הכל אפשרי.
ים אמר – וים צדק - אחד הפוסטים הראשונים שלי בבלוג היה על פיראטיות, ועל כמה המלחמה בה היא טיפשית ולא מועילה. דיברתי על מאפיינים שונים במלחמה חסרת-הסיכוי הזו שהופכים אותה למנוונת ועלובה, ולמרות זאת הכתבה זכתה לציון די נמוך (עקב חוסר הסכמה אידיאולוגית לדעתי, אך יש גם הסיכוי שעקב חוסר הסכמה מעשית). בכל מקרה, הנה ה"אמרתי לכם" שלי, וזה רק מתחיל: עונשו של משתמש בשם ג'ואל טננבאום הלומד באוניברסיטת בוסטון ונשפט בגין פיראטיות הופחת מ675 אלף דולרים ל67.5 אלף (90%). בנוסף לכך, נמתחה ביקורת חמורה על ידי השופט אודות התנהלות ה-RIAA (ההתאחדות האמריקנית של יצרני התקליטים). עוד נודע לנו בזכות הדו"ח הטכנולוגי של יוסי גורוביץ, שבסך הכל, בשנים 2008-2006 הוצאה אותה התאחדות עלובה 64 מיליון דולר וקיבלה בחזרה 1.36 מיליון דולר. באסה.
דפדפנים עם חורים - "חורי אבטחה" התגלו בתוספות לשני הדפדפנים Mozilla Firefox ו-Google Chrome. שימו לב שלא מדובר בחורי אבטחה שבאים Built-in עם הדפדפן, כפי ששאר הכותרות ברוב אתרי החדשות הפופוליסטיים מנסים למכור לכם! מדובר באפשרויות להתקנת תוספים (Add-ons) לדפדפן, כאשר אותו Add-on הוא זדוני ועלול לגרום נזק רב למשתמש. בשני מאגרי התוספות הרשמיים של הדפדפנים (המקומות שבו היצרניות מאגדות ונותנות אפשרות להוריד תוספות), התגלו תוספים מסוימים המכילים פרצות אבטחה, שעלולות לגרום לגניבת שמות משתמש וסיסמאות. מסוכן.
ארצות-הברית והסייבר – ארצות הברית, כידוע לנו כבר מעדכונים של השבועיים הקודמים, נכנסה לפאניקה טוטאלית (ואולי מוצדקת?) החודש עם שגעון ה"בוא-נקטין-את-פגיעות-הסייבר-שלנו-ונגדיל-את-הפרטיות-פה". סייבר (cyber), לכל מי שלא יודע, הוא כל דבר הקשור או נמצא במרחב האינטרנטי – וארצות הברית רוצה "לתקן את כל מה שקשור בזה". במסגרת השגעון כבר נכנס חוק שלנשיא מותר לנתק בהנפת אצבע חלקים נרחבים של ארצות-הברית מן האינטרנט. התוכנית אפילו זכתה לטיוטה מתאימה – וכנראה שמדובר במשהו גדול יותר ממה שאנחנו מסוגלים לדמיין. אין לנו הרבה לעשות חוץ מלחכות ולראות לאיפה זה מתפתח.
זוכרים את פרשת גוגל? - אני שומע במוחי את רוב הקהל צועק מיד (וצודק) "איזו מהן!", אך הפעם אני מדבר על זו שאוזכרה דווקא פעמים רבות בבלוג: פרשת איסוף הפרטים של רשתות הWi-Fi הבלתי מאובטחות. בקצרה, למי שלא מכיר: גוגל החביבים החליטו שיהיה ממש חביב, אם במסגרת פרויקט Street View, בו הם שולחים מכוניות מיוחדות של גוגל לסרוק כל חור בעולם ולהציג אותו במפות תלת מימדיות שלה, יאספו גם אותות הWi-Fi של הרשתות השכנות. הם טענו שזה היה בטעות, אבל אני לא נוהג לרשום בבלוג דברים שאני לא מאמין בהם. בקיצור, לאחר שבריטניה כבר הספיקה להאשים את גוגל, וקללות נשמעו בכל רחבי העולם על המדיניות הקלוקלת (דבר שגרם להפסקת עדכון המפות של Street-View באופן זמני), הצטרפו לעצבים גם האוסטרלים (אם כי באיחור ניכר, ולמרות פרסום התנצלות בבלוג הרשמי האוסטרלי של גוגל). המחדל קרה בסך הכל ב-30 מדינות… מעניין כמה סיפורים על גינויים נצטרך לשמוע.
פרצות אבטחה? אפל ראשונה! - וממקום שלא ציפינו לו – מחקר חדש: סיכום תוצאות מראה שבחצי הראשון של שנת 2010, מספר חורי האבטחה שנמצא במערכות שונות הוא זהה לזה שנמצא בכל שנת 2009! בראש הלהיטים של מספר פרצות האבטחה, מככבים: במקום הראשון והמפוקפק במיוחד – אפל (וואו?!), לאחר מכן חברת מסדי הנתונים אורקל (פה אני חייב להודות שלא הופתעתי, במיוחד אחרי שהשבוע הוציאה 59 עדכוני אבטחה חדשים) ולשלישית שהפתיעה דווקא לטובה: מיקרוסופט! (הופתעתי לטובה. בחיי. או שנמאס לאנשי אבטחת המידע למצוא באגים של מיקרוסופט, או שפשוט החברות האחרות פישלו בענק). מעוניינים במחקר? קבלו אותו במחיאות כפיים סוערות.
המלך העירום גירסת בריטניה: המלוכה בבריטניה מציעה פתרון מקורי לבעיית הפיראטיות: הספקית תשלם על כל תוכן פיראטי שהורד מהאינטרנט על ידי משתמשיה. כמה פשוט וקל! מה? אני שומע מישהו פה צועק איך לאכוף את זה? אה… בקשר לזה… תשמעו… זה לא ש… טוב נו. הבריטים כבר ימצאו דרך… או שלא.
סיסמאות? למי אכפת - מחקר מעניין החליט לבדוק את הרגלי הסיסמאות הגרועים של משתמשי האינטרנט. אם להגיד את אמת, לא מדובר בגילוי חדש והממצאים אפילו מפתיעים לטובה – לפי הממצאים שפורסמו בF-Secure, כ51% מהאוכלוסייה משתמשים בלוגיקה מסוימת על מנת ליצור את הסיסמה – דבר העוזר להם להזכר בה. 19.4 אחוזים משתמשים באותה סיסמה לכל השירותים שלהם, 20.7 אחוזים רושמים אותה על דף נייר ו8.8 אחוזים פשוט לא נוהגים לזכור את הסיסמה שלהם – הם משחזרים אותה בדואר האלקטרוני. הממצאים שהובאו פה הם ממוצעים, ואתם מוזמנים להסתכל בתמונה הכוללת כאן. הבלוג ממליץ: וודאו שאין לכם תוכנות זדוניות על המחשב, השתמשו בסיסמה עם 8 תווים ומעלה, הכניסו בסיסמה אותיות גדולות, קטנות ומספרים, ואם אתם ממש אשפי זכרון – הכניסו גם תווים מיוחדים כמו ~ או $. לא מומלץ להשתמש בכמה אתרים באותה סיסמה – הגדירו לפחות סיסמה נפרדת לחשבונות מאוד רגישים. מעקב אחרי ההוראות הללו יחסוך ממכם עוגמת נפש רבה, שכן לסיסמאות יש חשיבות רבה בעולם היום-יום. כפי שאמר הבחור הגדול קליפורד סטול (Clifford Stoll):
Treat your password like your toothbrush. Don't let anybody else use it, and get a new one every six months.
נינטש בשדה הקרב? - אז זהו, אחרי מיליון דיווחים שקראתי ולא הבאתי לבלוג על מנת לחסוך ממכם פאניקה ובלבולי שכל, נגמרה תקופת התמיכה בWindows XP SP2. מה זה אומר? כל מחשב עליו מותקנת מערכת ההפעלה הזו, פשוט לא יקבל יותר עדכונים חדשים – אפילו אם ימצאו חורי אבטחה (וכפי שכבר ראינו, ההיסטוריה של מיקרוסופט לא מזהירה במיוחד בתחום הזה). מה עושים? משדרגים לSP3 דרך מרכז העדכונים, או מחליפים מערכת הפעלה לאחת אחרת. (לבחירתם, לאו-דווקא ווינדוס 7. לינוקס ומק הן גם אופציה). על מנת לבדוק איזו גירסה יש לכם, לחצו על לחצן החלונות במקלדת (Win) יחד עם הלחצן Pause Break. אין כוח לחפש איפה הם? לחצו קליק ימני על המחשב שלי, ומאפיינים (Properties). חטטו שם קצת, ועד מהרה תגלו – מקסימום, תמיד יש גוגל.
Micrussia?: מיקרוסופט ורוסיה החליטו להתיידד באמצעות מהלך מוזר, לפיו מיקרוסופט תפתח בפני צוות המודיעין רוסיה את קוד המקור של מערכת ההפעלה החדישה ווינדוס 7. קוד המקור הוא הקוד שממנו נוצרה התוכנה (במקרה הספציפי שלנו: מערכת ההפעלה ווינדוס 7). מיקרוסופט פרסמה שמטרתה היא להגביר את מכירותיה ברוסיה. רק אני מריח פה משהו מסריח?
שועל האש שורף בשבילכם כסף: רוצים 3,000$? אין שום בעיה! צוות שועל האש החזיר לפעולה תוכנית למציאת חורי-אבטחה, זו הוצגה לראשונה לפני שלוש שנים. מטרת המשתתפים בתוכנית היא מציאת חורי אבטחה בדפדפן עם סיכון גבוה, וכמובן שלא יוצאים בידיים ריקות: מצאת משהו רציני? קיבלת 3,000$. אני מכיר הרבה שיתווכחו על המחיר, אבל אם למישהו יש אקסטרה-זמן, רצון מטורף לתרום לקהילה והרבה כוח לויכוחים עם מוזילה – הנה ההזדמנות. לפרטים נוספים.
ואיך אפשר לסיים בלי להזכיר את פינתינו החביבה, שמופיעה לגיקים המסורים כל שבוע מחדש:
תוכנות השבוע: התוכנה הראשונה היא Fork של Paros Proxy, והיא מהווה כלי נחמד ביותר לבדיקות חדירות – קבלו את Andiparos 1.0. השנייה היא פשוט חבילת אקספלויטים חביבה שפורסמה על ידי Malc0de. כמובן שכל שימוש לרעה בחומר זה הוא לחלוטין אסור על פי חוק והעובר עליו עתיד להשפט על הפרת חוקי מדינת ישראל בבית המשפט.
עד כאן להשבוע, נתראה בשבוע הבא (:
- ים מסיקה
שבוע שני שהרעיון המגניב ממשיך לעשות גלים (לפחות לפי התגובות הנהדרות שלכם, תודה!), ואני ממשיך לעדכן אתכם ב"מבזקי ברק". להזכירכם (או לטובת הקוראים החדשים שהמעבר על שאר הפוסטים מומלץ עבורם), מבזקי הברק הן פינה מגניבה וחדשה שמלקטת עבורכם את עדכוני השבוע שאני מצאתי כמעניינים מעולם אבטחת המידע. חושבים ששכחתי משהו? תוכלו ליצור איתי קשר באופן פרטי במייל בדף האודות או לפרסם אותו בתגובות – ואם אמצא אותו כאייטם מעניין אדאג להכניס אותו לפוסט. אז מה היה לנו השבוע?
HTTPS בכל מקום!: תוסף חדש לדפדפן Firefox ("פיירפוקס") מאפשר לנו לנהל גלישה דרך כתובת בטוחה באתרים גדולים, תמיד. התוסף נוצר באמצעות שיתוף בין EFF ו-TOR. הראשון, EFF ("קרן החזית האלקטרונית"), דוגל בחירות ברשת האינטרנט ובעידן המחשבים בכלל. הוא מוכר מאוד בארצות הברית, הוא ארגון ללא מטרות רווח ותוכלו למצוא עליו אפילו בויקיפדיה העברית. הוא שותף למאבק בעד התוכנות החופשיות, ונגד ניהול זכויות דיגיטלי, עליו כתבתי בפוסט שלי "על תוכן פיראטי, מוזיקה, משחקים ודולרים". השני, TOR, הוא אחד הפרויקטים המוכרים ביותר בתחום אבטחת המידע בישראל (וראיתי לא מעט אנשים פרטיים ששמעו עליו, למרבה ההפתעה). החברים מהגיליון הידוע Digital Whisper אף כתבו עליו באחד הגיליונות, ובקצרה נגיד לכם שהוא מיועד להסוואה של אנשים ברשת האינטרנט (ויש שילקו בי על חוסר הדיוק, אז אנא, קראו את הכתוב בגיליון). התוסף בהחלט מומלץ, ובין האתרים שעליו הוא משפיע תוכלו למצוא את גוגל, וויקיפדיה, טוויטר, פייסבוק ופייפל. להורדה.
שועל האש לא יקרוס יותר בגלל חתיכות קרח בזנב?: ואם כבר אהובינו הפיירפוקס, נודיע לכם בקול צהלה שיצאה גירסה חדשה לדפדפן "פיירפוקס", 3.6.4, שמונעת את קריסת הדפדפן במקרה של קריסת אחת מהתוספות שלו. יותר מזה, השועל ידאג להדליק את התוסף החביב מחדש ללא גרימת שום נזק. חוסר המזל הוא שמשתמשים רבים, רוב מכריע שהצלחתי לראות הוא המשחקים במשחקים של החברה Zynga בפייסבוק (בין המפורסמים FarmVille וTexas Hold'em Poker), מדווחים על קריסות חוזרות ונשנות של נגן הפלאש בגירסה החדשה.
אינטרנט אקספלורר מובילה ב… רגע, מה?!: אינטרנט אקספלורר תפסה השבוע תאוצה מרשימה ביותר, כאשר הציגה תצוגה מקדימה של הדפדפן החדש שלה: אינטרנט אקספלורר 9. מסתבר שהדפדפן החדש מרשים ביותר יחסית לציפיות העלובות ממיקרוסופט (לאחר הגירסאות העלובות 7 ו8 שלא עמדו בקצב), והוא הצליח לעקוף במבחנים מסוימים אף את הדפדפנים "כרום" ו"פיירפוקס", תודות להאצת חומרה (בין היתר). אמנם כך מדווחות הכותרות, אך אוכל להגיד לכם שמדובר בהשוואה בין תנין לברווז, שכן רוב הדפדפנים אינם תומכים עדיין בהאצת חומרה. למרות זאת, מעניין לראות את התפתחות העניינים בזירה הזו.
כמה?!?!?!: לא, לא קיבלתי הודעה על העלות של מערכת ההפעלה של מיקרוסופט, אלא שלפי מחקרים שהתפרסמו השבוע מדובר ב3.7 ביליון מיילים של פישינג שנשלחו בשנה האחרונה. יותר ממחציתם(!) נועדו לרמות לקוחות בנק על מנת לתת את פרטי כרטיס האשראי שלהם, כאשר במקום השני מתמודד נכבד לא פחות, העוקץ הניגרי המפורסם שמודיע על זכייה בתחרויות והגרלות שונות, ומבקש מקדמה על מנת לפרוע את הזכייה. כמובן ששום כסף לא מגיע בחזרה. רבע מהבריטים מודים שהם נפלו קורבן לדיוג, בסכום ממוצע של 285 לירה שטרלינג (סכום השווה ליותר מ1,600 ש"ח!). הנתון הסטטיסטי המדהים, הוא שהתגלתה עלייה של 132% בהונאות הבנק.
ואם כבר ספאם, ככה לא בונים חומה!: סינון ספאם הפך לצרה רצינית בזמן האחרון, כשהמונדיאל מוביל בכמות הספאם האדירה שהוא משגר לאנשים – כך מדווחת חברת הענק Symantec (שאחראית בין היתר על המוצר Norton Anti-virus). חוקרים כבר הזהירו במשך שבועות שהנושא יהיה הוט-טופיק לספאם, דיוג וכן נוזקה, בשל העניין הרב שהנושא מושך לעברו. המעבדות לחקר המייל של החברה מודיעות שהנושא הוא אכן החם ביותר בזמן האחרון, והוא בהחלט לא משתמש רק לשליחת ספאם הקשור באירועי המונדיאל – אלא גם הודעות שאינן קשורות ומנסות לעבור את הסינונים הרגילים. בנוסף, החברה מתלוננת על כך שספאם זה מעודד משתמשים אחרים להתחיל בפעילויות ספאם.
3 שנים נפלאות של זכויות יוצרים הגיעו לסיומן?: במאבק משפטי חריף על סך ביליון דולר שנמשך שלוש שנים מרות בין Viacom, מפיצה סרטי קולנוע ועובדת בתחום הטלוויזיה, הלווין והכבלים בארצות הברית, לבין Google שבבעלותה אתר הסרטונים Youtube, ניצחה לבסוף גוגל. משתמשי הביטורנט טוענים לנצחון עצום עבורם, שכן מדובר בנצחון ענק בתחום שיתוף הקבצים שתוכנם מוגן בזכויות יוצרים.
הקעקרים הטורקיים מצייצים: יותר מאלף חשבונות טוויטר ישראליים לערך נפרצו על ידי "האקרים" טורקיים תוך 12 שעות, כך מדווח אתר אבטחת המידע F-Secure. למשתמשים בטוויטר נמליץ לא להכניס את הפרטים של חשבונכם לאף דף, להמנע מאישור של אתרים שאתם לא בוטחים בהם ולבחור סיסמה המורכבת מיותר משמונה תווים ומכילה תווים קטנים, גדולים וסימנים – זאת למרות שגל הפריצות פסק נכון לזמן זה. דרך החשבונות שנפרצו, פורסם הציוץ Hacked By Turkish Hackers.
יש וירוס – אין אינטרנט!: האוסטרליים חטפו ג'ננה רצינית השבוע, והחליטו שבמסגרת מאבק פשיעה ברשת, כל אזרח שיודבק באיזה וירוס – ינותק מהאינטרנט. אל תשאלו אותי איך הבחור אמור להסיר את הוירוס בלי אינטרנט, להשיג אנטי-וירוס במהירות ובנוחות בלי אינטרנט, או אפילו לנהל חיי עבודה נורמליים כשכל רגע אתה יכול להזדהות כבעל וירוס ופשוט לקבל ניתוק אינטרנט בפרצוף. יותר מזה, הייתי מציע רעיון: כל מי שיחלה במציאות, פשוט נירה בו!… לא? תהרגו אותי, אבל לי זה נשמע כמו איזשהו קומבינה רצינית עם ספקי האנטי-וירוס, ועם כל הרצון הטוב – לא רק שזו תוכנית מפגרת, אלא גם שמדובר בתוכנית שכמעט בלתי אפשרית למימוש.
המטרה: קבצי אקסל – אדובי לא לבד: אחרי שהאקרים הצליחו למצוא חור אבטחה חמור בקבצי ה-PDF שמאפשר להריץ קוד זדוני בעת פתיחתו, מסתבר שהאפיזודה לא נגמרה: בעזרת חור אבטחה שמזהה ה-CVE שלו הוא 2009-3129, ולפי מספר עדכונים שפרסמו מיקרוסופט בנושא, גם קובצי הExcel בצרות. למעודכנים אין מה לדאוג – אם ברשותכם העדכונים האחרונים של האנטי-וירוס ושל חלונות – אתם בסדר גמור. לבעלי הזכרון הארוך שבנינו אני מרשה לצחוק, כי אדובי ומיקרוסופט הסתבכו גם ב-2009 ביחד, בתחום אבטחת המידע, עם אותם מוצרים. Hilarious it is.
DNSSEC יוצא לפעולה!: דומיינים עם סיומת org. יוכלו להיות מוגנים בעזרת המנגנון החדש והמגניב של DNSSEC, בהמשך למה שדובר עליו כאן בפינת מבזקי הברק בסוף השבוע שעבר. "במילים פשוטות", אומר רוד בקסטרום, מנכ"ל הICANN שאחראיים על רישום ועל פעולות הדומיינים בעולם, "DNSSEC יבטיח למשתמשים שהם הגיעו לאתר או למיקום שהם רצו להגיע אליו". ההשפעה על דומיינים בעלי סיומת net. וcom., למרבה הצער, לא צפויה להתרחש עד הרבעון הראשון של שנת 2011. לפירוט נוסף.
ולתוכנות השבוע שלנו (אנשים, זרקו לי פה עצם): nwmap v0.1, פרויקט מגניב שמטרתו לנתח רשתות תקשורת על ידי קובץ pcap! חמוד ביותר. עוד פרוייקט נחמד, מבוסס ענן (נכון שאני מתחיל להיות מעניין?), הוא ניתוח קבצי networking ללא צורך בתוכנה! גדול לגמרי לדעתי – שימושי? קצת פחות. לפרויקט קוראים CloudShark, והוא נפתח ממש בשבוע האחרון. גיגול של ext:pcap נתן לי קובץ להכניס, והרי לכם התוצאות.
עד השבוע הבא
שלכם,
ים מסיקה.
לפני הכל! כמה מילים לטכנולוגים: למי שלא שם לב, אנחנו גם נמצאים בIRC, בשרת irc.nix.co.il (יש חיבור SSL למעוניין בפורט +9999), בצ'אנל security#. אני שם בשם YaM, ויש שם עוד כמה אנשים שלא מביישים את סצנת אבטחת המידע (אחל'ה חברה, מילה שלי). אתם מוזמנים להכנס.
לאחר שהרעיון המגניב הזה קיבל את תגובותיכם האוהדות בשבוע שעבר (ולאחר שבוע מצער של חוסר פוסטים מעניינים), החלטתי שאמשיך בפרוייקט החביב של "מבזקי הברק". להזכירכם (או לטובת הקוראים החדשים שהמעבר על שאר הפוסטים מומלץ עבורם), מבזקי הברק הן פינה מגניבה וחדשה שמלקטת עבורכם את עדכוני השבוע שאני מצאתי כמעניינים מעולם אבטחת המידע. חושבים ששכחתי משהו? תוכלו ליצור איתי קשר באופן פרטי במייל בדף האודות או לפרסם אותו בתגובות – ואם אמצא אותו כאייטם מעניין אדאג להכניס אותו לפוסט. אז מה היה לנו השבוע?
נדחפת וננזפת: ענקית התוכנה מיקרוסופט שוב מצליחה לעצבן חצי עולם בעזרת השתלת תוסף בפיירפוקס ללא רשות משתמשיה, אחרי שמהלך דומה כבר נעשה בעבר. החברה השתילה את התוסף בעזרת Windows Update, שירות ממנו משתמשים מורידים עדכונים למערכת ההפעלה "חלונות" שברשותם. לא די בכך שמיקרוסופט החדירה את התוסף ללא רשות המשתמשים, אלא גם שהעדכון סומן כ"חשוב" ולא כ"אופציונלי", דבר שהוביל לביקורות שליליות לכשעצמו. העניין זכה אפילו לפוסט בבלוג, שכן מיקרוסופט הצליחו להרגיז אפילו אדם שליו כמוני.. (כן בטח).
מיקרוסופט פוצחת בפרוייקט חדש (Hell no…) - עוד סיפור עיתונאי על ענקית התוכנה מספק לנו מידע על פרוייקט חדש בשם Internet Fraud Alert (או IFA), שמטרתו דיווח על חשבונות גנובים. השירות, שכבר נתמך על ידי תריסר חברות וקבוצות למניעת הונאה ברשת, יעסיק חוקרים שיחפשו באתרים עבור סיסמאות משתמשים חשופות ויוכלו לדווח עליהם בקלות לאתרים שהפרטים שנמצאו קשורים אליהם. בין התומכים בפרוייקט נמצאות חברות הענק PayPal, eBay, איגוד הבנקאים האמריקאי ועוד, וממיקרוסופט נמסר שהשירות כבר פעיל, ותוכלו למצוא מידע נוסף (כולל הסברים על איך להשתתף) באתר של הפרוייקט.
Wikileaks והגבולות להדלפות – Wikileaks, אתר הנועד להוות מקום להדלפות חופשיות ואנונימיות, אולי הרחיק לכת קצת יותר מדי השבוע כשהתעסק עם הCIA – סוכנות הביון המרכזית של ארצות הברית. מסמכים מסווגים מאוד של הסוכנות העונים לכותרת "Project Slammer" התפרסמו כנראה באופן בלתי צפוי באתר, וגרמו למהומה רבה בקרב אנשים גבוהי-דרג. אותו פרוייקט, שכרגע מסווג רק בחלקו עקב המקרה, הוא אולי הצרה הקטנה ביותר של האתר כרגע: לפני שבועות אחדים ירד מייסדו למחתרת (ג'וליאן אסנג'), לאחר שהודלפו לאתר סרטונים המתעדים הריגת אזרחים בעיראק, והוא עצמו הוגדר כ"סכנה לבטחון הלאומי של ארצות הברית". כמובן שהדליפה החדשה לא בדיוק ממתיקה את מצבו, במיוחד כשנושא הפרוייקט שהודלף הוא "מחקר אודות שימוש בטכנולוגיות עכשוויות להרתעת מרגלים"…
בטחון (?) ארצות הברית - אם כבר דליפות בארצות הברית, נספר לכם שמחלקת DHS בארצות הברית ("המחלקה לבטחון המולדת", או United States Department of Homeland Security) שלחה דו"ח נוזף במיוחד השבוע לUS-CERT ("צוות החירום האינטרנטי של ארצות הברית", או Computer Emergency Response Team) על הביצועים הרופפים במיוחד שלה. את הדו"ח בן עשרת העמודים תוכלו לראות כאן, ואת הכתבה המעניינת תוכלו למצוא כאן (אנגלית).
האייפונקליפסה מגיעה! - ללא ספק אחד הסיפורים הגדולים של השבוע. קניות האייפון החדש והנוצץ (iPhone 4) שהולך לצאת בקרוב היו בעיצומן, אלא שתקלות בלתי צפויות הקשורות לפרטיות הפריעו את מנוחתם של עובדי אפל. בסוף השבוע האחרון למי שזוכר, אפל פישלה כשדלפו לה פרטי לקוחות הiPad (אגב, למי שלא התעדכן, חלק מהמדליפים נעצרו). זה אמנם היה די מבאס, אבל לא נראה שאפל ממהרת ללמוד מטעויות: מתחקיר קצר שערכו בלוג הטכנולוגיה הענק Gizmodo, כשמשתמשים שונים ניסו להתחבר לאתר על מנת לרכוש את המכשיר החדש, הופיעו להם פרטי לקוחות אחרים – וחיובים נשלחו ללקוחות הלא נכונים. לא זמן רב לאחר מכן, אגב, המערכת הושבתה עקב עומס רב מדי.
FaceBook, FB או… FBI? – לא פעם נתקלתי בשאלה האם רשויות השלטון עוקבות אחרי הפייסבוק שלנו. שאלה זו קיבלה ביסוס ממשי בשבוע האחרון, כאשר כוח משטרתי חמוש נכנס ביום שלישי האחרון לבית-ספר באנגליה, לאחר שהFBI נתן להם התראה חמה על אפשרות לרצח. אל הידע על האפשרות לרצח, כמובן, הגיעו החוקרים דרך הודעות שנכתבו ברשת החברתית Facebook. מעל 1,000 סטודנטים שהיו בבית הספר בזמן המאורע לא יכלו להכנס או לצאת, שכן הכניסות והיציאות נסגרו. נער בן 19 נעצר, ולבסוף שוחרר בערבות.
רדו לי כבר מהגב! גם כן פרטיות! – ואם כבר דיברנו על פייסבוק: למרות שלאחרונה הענקית החברתית עשתה שינויים די משמעותיים במדיניות הפרטיות שלה, מסתבר שישנם חבר'ה שלא קל לרצות. קבוצות מאורגנות רבות קראו להוספת אמצעי פרטיות ברשת החברתית, החל מלהוסיף חיבור מאובטח יותר לאתר ועד להוספת דרכים לשליטה נוחה יותר מצד המשתמשים לגבי ההרשאות שיתנו לאלפיקציה לצפייה בפרטיהם האישיים. לא יודע מה איתכם, אבל אם אני הייתי פייסבוק, הייתי מתייאש…
לא קלים חיי שר.. בבריטניה – בממלכה המאוחדת פועלת קבוצה בשם CESG, או Communications-Electronics Security Group, והיא זו שאחראית על אבטחת המידע במדינה. אותה קבוצה החליטה לא להתיר לשרים להשתמש בiPhone, כנראה מסיבות אבטחה. באופן מעניין ביותר, החליטו הCESG שדווקא כן לאשר את הטלפון החכם המתחרה – BlackBerry….
טלפון חכם… לא מספיק חכם - בונוס לכל בעלי הסמארטפונים, או סתם לאלו שמתעניינים – שווה צפייה. אגב, בסרטון מוצגת עובדה מעניינת של עליית Malewars ב50% לטלפונים החכמים בחצי שנה האחרונה (!).
לטכנולוגיים בלבד: (או: לא היה לי כוח להסביר את כל המונחים האלו)
שרתי IRC והטרויאן הארסי - בDaemon ה-IRC המפורסם הנקרא UnrealIRCd, נמצא סוס טרויאני, המאפשר להריץ על השרת פקודות. כיצד הגיע לשם סוס טרויאני, אתם שואלים? מסתבר שהאקרים הצליחו לפרוץ לפני שבעה חודשים(!) לשרתי הFTP של הUnrealIRCd, ולשתול שם סוס טרויאני, שלא התגלה עד עכשיו (רק אותי זה הדהים?). לפוסט המלא בDigital Whisper (המקום העברי היחיד שזה מסוכם בו כמו שצריך).
אבן דרך לאבטחת הDNS – די מדהים שלא מצאתי שום חדשות בנושא בארץ, אבל פרוייקט הDNSSEC עובר שלב נוסף וענק לקראת מימושו. מרגש ומדהים כאחד, תוכלו למצוא פרטים נוספים בSecurity Watch (מזמין אנשים להרים את הכפפה ולרשום על הנושא הזה מאמר רציני. להתחלת כתיבה ולפרסום בבלוג, צרו איתי קשר).
תוכנות השבוע - השבוע יצא Onapsis Bizploit, הפריימוורק הראשון (לפי טענת יוצריו לפחות) לבדיקת חדירות עבור מערכות לתכנון משאבי אנוש (Win, Linux). לא מצאתי תוכנות מעניינות נוספות, ואתם מוזמנים לנדב בתגובות.
שיהיה שבוע נהדר,
ים
עדכונים: נכנסנו לTechReader (מומלץ לשים בRSS, עדכונים טכנולוגיים שוטפים). מקווה להופיע שבוע הבא בנבחרי השבוע של ניוזגיק.
את הפוסט הזה לא תמצאו כמעט באף בלוג ישראלי אחר שעוסק בטכנולוגיה או באבטחת מידע. לא מובן לי למה, במיוחד מאחר והבלוגים הלא ישראלים מפוצצים בידיעות על כך. אני מניח שרובכם כבר קראו את הפוסט שלי אודות מלחמת הדפדפניםטכנולוגיה ואבטחת מידע בישראל, שלראשונה הגדיר במסגרת הבלוג מה זה "דפדפן". למי שלא קרא, בקצרה אסכם ש"דפדפן אינטרנט היא בעצם תוכנה המאפשרת למשתמש להציג ולתפעל קבצי טקסט, תמונות, וידאו, מוזיקה ומידע אחר הקיים לרוב בדפי-אינטרנט, שנמצאים באתרים ברשת האינטרנט או ברשתות תקשורת מקומיות" (ויקיפדיה האנגלית), או במילים עממיות: התוכנה שדרכה אתם צופים בדפי באינטרנט. כיום מוצעים מספר דפדפנים להורדה בחינם, כמו Internet Explorer, Firefox, Safari, Opera ו-Chrome, ביניהם מתנהלים קרבות על נתחי-השוק של המשתמשים בהם. Microsoft, הידועה בשיטת השיווק האגרסיבית שלה עם הדפדפן Internet Explorer, היא זו שכרגע מובילה את השוק עם מעל ל50% משתמשים. (ותודה לכולם על התגובות המעניינות) וכן את הפוסט שלי על
לדפדפן Firefox, למי שעדיין לא מכיר, ישנה מערכת תוספות משוכללת שמאפשרת להרחיב את הפונקציונליות של הדפדפן באמצעות תוספות שחבר'ה מהקהילה יצרו (אגב, שינו למערכת התוספות את העיצוב בגירסה 4.0 שעומדת לצאת, והיא נראית סוף-הדרך). מפתחת פיירפוקס, מוזילה, אפילו טרחה להקים אתר על מנת שמשתמשים יוכלו לשתף את התוספות שיצרו, אלו ייבדקו ורק אז יוצגו באופן סופי באתר (על מנת לוודא שהמשתמשים לא יחשפו לתוספים הכוללים בתוכם קוד זדוני). בחודש אוקטובר אשתקד, קרה משהו נורא מפתיע: בכל המחשבים שבהם הותקנה מערכת ההפעלה "חלונות" של מיקרוסופט, ובמסגרת העדכונים של שMicrosoft ממליצה להתקין בכל מחשב (ובחלק עצום מהמחשבים מותקנים באופן אוטומטי), נדחפה תוספת של מיקרוסופט לתוך הדפדפן המתחרה Firefox – ללא כל רשות או התראה. פשוטו כמשמעו – היא התקינה את עצמה. הדבר נחשף באחד הבלוגים הטכנולוגיים, ויצר הד ענק ברשת. המוני מגיבים החלו להתהלם על הפגיעה הענקית בזכויות (אחרי הכל, מעל 20% של משתמשים באותה תקופה), אבל זה בוודאי לא שינה את הדעה של מיקרוסופט. העדכון נשאר, המשתמשים גיגלו איך להסיר. המשתמשים הפשוטים והמסכנים שסך הכל רצו להסיר תוסף, נתקלו במדריכים ארוכים ומייאשים על הסרת ערכים מהרג'יסטרי והרבה כאב ראש. הסרת התוסף דרך מנהל התוספים של פיירפוקס הייתה מושבתת (למה?!). באופן סרקסטי משהו, המפתחים של פיירפוקס הוציאו עדכון וחסמו את התוספת, לא בגלל סיבות אבטחה, אלא בגלל סיבות הקשורות ב"אי יציבות" לדברי החברה. ההד נדם, והכל המשיך כיאילו כלום.
רבים ישאלו מדוע אני בכלל כועס על כל התקרית, הרי שמיקרוסופט סך הכל התקינה רכיב חיוני לכאורה, על מוצר שהותקן בתוך מערכת ההפעלה שלה. אך האם זה באמת כך? מובן שלא. הצגה שכזו תהיה תמימה להחריד, שהרי ידוע שמיקרוסופט היא בעלת השליטה בדפדפן Internet Explorer, והניסיונות המונופוליסטיים שלה להחדיר אותו לשוק בדרכים לא ממש אהודות על איגודים שונים בעולם. מכיוון שמיקרוסופט כבר עשו שימוש במערכת ההפעלה שלהם לצורך נצחון במלחמת הדפדפנים (קראו על כך בפוסט שלי על מלחמת הדפדפנים), יש חשש סביר שמיקרוסופט ישתמשו בעדכונים של מערכת ההפעלה על מנת לגרום לבעיות בדפדפנים האחרים, ועל ידי דחיפת תוספים לדפדפן לגרום לו למהירות איטית יותר, אי-יציבות או אפילו בעיות אבטחה. חוץ מזה, מדובר בסוג של נימוס טכנולוגי: מדוע באיזו זכות אתם דוחפים את המוצרים שלכם, בכוח, בלי אפשרות הסרה מסודרת, לתוך תוכנה של יצרנית אחרת? ועוד מתחרה?
אז כן. רוב האתרים אולי שכחו בקשר לתקרית הקטנה, אבל אני לא. כאחד שמעודכן כמעט תמיד במה שקורה בטכנולוגיה, אני ממש ממש (לא) שמח לבשר לכם על כך שההיסטוריה חוזרת על עצמה! האם זה בגלל החוצפה של מיקרוסופט? האם זה רק משום שענקית התוכנה לא חטפה מספיק על הראש בפעם הקודמת? בחיי שאינני יודע. בPatch Tuesday האחרון (והקוראים הותיקים כבר יודעים שמדובר בכינוי ליום שלישי, היום שבו מוציאה מיקרוסופט את עדכוני האבטחה שלה) ב8/6/2010, החליטה מיקרוסופט, בשיא חוצפתה ומבלי להניד אפעף, לדחוף פלאג-אין נוסף לפיירפוקס! פעם אחרונה שבדקתי, תוכנה שמותקנת ללא אישור המשתמש נקראת "רוגלה" או "רושעה", והיא מזוהה באופן אוטומטי על ידי האנטי-וירוס כמסוכנת. המצחיק (עצוב?) בכל הפרשייה, שמיקרוסופט הפעם כינו את ההתקנה ללא הודעה "באג" (שפירושו תקלה בלתי-צפויה במחשב שנובעת מתכנות לקוי), כאשר מובן לכל טכנאי ומתכנת בן-יומו שהמהלך היה מכוון. דומה למהלך הזה יהיה שאגנוב את רכבו של האדם שאני הכי שונא, ואגיד בבית המשפט שברמת העקרון רק השאלתי לו את המכונית, ושכחתי להודיע לו על זה.
הפעם דווקא שפר מזלם של המשתמשים הפשוטים, וביכולתם להסיר את התוסף לבד מבלי צורך להסתבך מדי. על מנת להסיר את זה בעצמכם, סגרו את הפיירפוקס (המתינו מעט, על מנת שכל הליכיו יסגרו) ונווטו לתיקייה C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\firefoxextension. משם, מחקו את התיקייה SearchHelperExtension. התחילו את פיירפוקס מחדש, והתוסף יעלם.
מובן שמיקרוסופט פרסמה הודעת התנצלות, בלה בלה בלה. אני לא קונה את זה.
שיהיה לכולם המשך שבוע מעולה,
ים
נ.ב., סתם צ'ופר כי שמחתי לראות את הסטטיסטיקות של האתר בשבוע האחרון: משחק שחמט אדיר. המקור: גיזמודו.
קוראיי הותיקים לבטח יודעים מה היא ההגדרה של דפדפן (למי שלא קרא את הפוסט על טכנולוגיה ואבטחת מידע בישראל, אמליץ לעשות את זה לפני קריאת הפוסט הנוכחי). אמנם לא מדובר בהגדרה שניתן לשלוף בשנייה מהראש, ובכוונה העתקתי אותה מויקיפדיה על מנת שאהיה קרוב כמה שיותר קרוב למציאות, אך כל טכנולוג (וגם חלק מן המשתמשים הפשוטים יותר) יבין על מה אני מדבר כאשר אומר לו "דפדפן". חלקינו משתמשים בInternet Explorer (על גירסאותיו השונות, מ6 ועד 9 שעומדת לצאת בקרוב), Firefox, Google Chrome, Safari, Opera ועוד יצורים מוזרים ונחמדים שמנסים לשפר את חווית הגלישה שלנו. רבים מהמשתמשים הביתיים הפשוטים בקושי יבחינו בהבדל בינהם, וחלקינו משתמשים באחדים רק בגלל האידיאולוגיה שנלוות לפיתוחם. חלקינו משתמשים בדפדפן שלנו בשל יתרון המהירות שלו, וחלקינו בגלל התוספות והפיצ'רים שנלווים לו. לחלקינו בכלל לא אכפת. הרבה מהאנשים שפגשתי לא מודעים למה שהולך בזירת הרצח המטורפת הזו – המלחמה הענקית של הדפדפנים.
בראשית בראו נטסקייפ (Netscape) את הדפדפן המסחרי הראשון, והדפדפן היה תוהו ובוהו, אבל הוא עדיין ידע לגלוש באתרים. מדובר בשנת 1994, כשרשת האינטרנט עוד הייתה בחיתוליה (בשנת 1991 נפתח אתר ה-WWW הראשון). הוא היה נראה מצויין (תודה לויקיפדיה על התמונה), וידע לנווט בין אתרים ובין דפים בעמודים באופן הכי פשוט שיש. הוא הניח את אבן הדרך הראשונה לדפדפנים כפי שאנחנו מכירים אותם, ובעצם היווה תוכנה פשוטה ביותר להצגת דפי רשת, תמונות וכל מה שנלווה אליהם. דפי הרשת נוהלו ונערכו על ידי בעלי האתרים בלבד, ולאף משתמש לא היה אפשרות להשתתף בתוכן האתר בשום צורה – לא משום שבעלי האתרים לא רצו, אלא פשוט מכיוון שהטכנולוגיה לא הייתה מספיק מבוססת לכך (מהפכת הWeb 2.0 שינתה זאת שנים לאחר מכן, ובזמנה נולדו הדפים הדינאמיים). נטסקייפ התפתחה לאט לאט, ועם ההתפתחות וההצלחה האדירה שלה, כמו לכל חברה, החלו לקום לה מתחרים. נטסקייפ הייתה בעלת נתח השוק הגדול ביותר ומימשה לראשונה את הרעיונות הטכנולוגיים של עוגיות אינטרנט ושל JavaScript, טכנולוגיות שהגו ותיכנתו לראשונה מתכנתי נטסקייפ ולימים הפכו להיות אבן יסוד באינטרנט. היא התעלמה מתקני האינטרנט העולמיים שהגדיר W3C, תוך כדי ניסיון לעקוף את הסטנדרטים לבניית אתר ולהשיג מונופול בשוק הדפדפנים, דבר שזכה לביקורת חדה בקרב האנשים שדגלו בזכויות הצרכן. למרות הביקורות נטסקייפ הייתה להצלחה ענקית, וזכתה בשימוש של מעל 50% מצרכני האינטרנט.
אך אז הגיעה המכה: מיקרוסופט, שכבר אז שלטה בשוק מערכות ההפעלה (עם מערכת ההפעלה Microsoft Windows), ראתה את הרווחיות העתידית שיכולה להיות בשוק הדפדפנים. מיקרוסופט קנתה את קוד הליבה של הדפדפן, בדיוק מאותו מקום ממנו קנתה אותו נטסקייפ (חברת Spyglass), הרחיבה אותו, קראה לו Internet Explorer והכניסה אותו בחבילת תוספות שיועדה לחלונות, מערכת ההפעלה שלה, ונקראה Windows 95 Plus!. כך החלה מלחמת הדפדפנים הראשונה (בה היו שותפים גם דפדפנים אחרים, אבל השפעתם הייתה מינורית לדעתי ולכן לא אפרט עליהם). אם להגיד את האמת, הדפדפן של מיקרוסופט היה פרימיטיבי, נחות ועלוב לעומת הדפדפן של נטסקייפ. מיקרוסופט ידעה זאת גם היא, ולכן נעשה מאמץ להוציא גירסה שנייה, שגם היא נחלה כשלון חרוץ, אך הופצה כהורדה באינטרנט ובניגוד לנטסקייפ הייתה חינמית גם עבור חברות מסחריות (מה שעזר לה לזכות בנתח שוק). ב1996 הוציאו מיקרוסופט את Internet Explorer 3, שהצליח להדביק במעט את הצלחתו של נטסקייפ, וב1997, בעזרת Internet Explorer 4 שהוצמד לWindows, מערכת ההפעלה של מיקרוסופט, הצליחה לעקוף את נטסקייפ בנתח השוק שלה. ב1999 יצא Internet Explorer 5, שגרף את נתח השוק המשמעותי ביותר מנטסקייפ, וב2002, לאחר צאתו של Internet Explorer 6 (שהתרחשה בשנת 2001), הוכרז הנצחון במלחמת הדפדפנים הראשונה: מיקרוסופט אחזה ב95%(!) מנתח השוק. נטסקייפ הודתה בתבוסה: היא שיחררה את הקוד של המוצר שלה.
התוצאות של המלחמה היו הרסניות בגזרת הדפדפנים: הדפדפנים היו מלאי באגים כתוצאה מניסיון להשיג אחד את השני בכמות הפיצ'רים, כל אחד ניסה ליצור תקנים משלו במקום לציית לתקנים הקיימים (מה שיצר אתרים שהוצגו כראוי רק באחד מהדפדפנים) ונוצרו חורי אבטחה כמו מים, עקב פיתוח חפוז מדי. מה גם, שכפי שחלקינו יודעים, הגעה של 95% מנתח השוק על ידי מיקרוסופט אף פעם לא יכולה להיות דבר טוב. מדובר במונופול מוחלט, כמעט בלתי-שביר, מכה חזקה לתחרותיות שמשפיעה לרעה על מה שיקבלו המשתמשים (מוצר שאין לו מתחרים הוא מוצר שאין לו מוטיבציה להשתפר).
המצחיק הוא שמיקרוסופט עשו בדיוק את אותם הצעדים של נטסקייפ: תחילה הם קנו את קוד הליבה מאותו מקום, לאחר מכן גם הם סירבו להקשיב לתקנים שכתבה W3C. הם אפילו לא טרחו לפתח ולממש טכנולוגיות חדשות כמו נטסקייפ (חוץ מCSS, שמומשה לראשונה על ידם). למרות זאת, למיקרוסופט הייתה ביצת הפתעה מיוחדת במינה: למערכת ההפעלה שלה ששלטה באופן מוחלט בשוק (מעל 90%), הוצמד Internet Explorer. צורת השיווק המונופולטיבית (והגאונית) הזו, הצליחה לגרום לרוב המשתמשים לעבור לדפדפן שלה כאשר ראו שאינטרנט אקספלורר מתפתח. הבעיה היא שכשמיקרוסופט גילו שניצחו במלחמה, שמחתם הייתה אדירה. כל כך אדירה, כנראה, שהם בכלל לא טרחו להמשיך ולפתח את Internet Explorer 6. שוק הדפדפנים, זה שגרם לשימוש ברשת האינטרנט לפרוח, פשוט נתקע ונעצר במקום. חברה בשם Mozilla לא ממש אהבה את הרעיון, והחליטה לקחת את הקוד שנטסקייפ שחררה קודם לכן ולהפוך אותו לדפדפן חדש – כזה שיתחרה בדפדפן של מיקרוסופט.
כמו גלדיאטור עצום בטורניר נוק-אווט, העפילה חברת הענק מיקרוסופט למלחמת הדפדפנים השנייה כנגד מוזילה וכנגד אופרה, מתחרה שלה עוד ממלחמת הדפדפנים הראשונה שהציעה דפדפן קל ומלא אפשרויות מקוריות (אך מסחרי עד 2005, דבר שפינה את השטח לכבישת המשתמשים על ידי הדפדפנים האחרים). מוזילה, שעבדה על הדפדפן שלה Phoenix (שלימים שונה שמו לFirebird בגלל בעיות משפטיות, ואז לFirefox שנשאר עד היום), שיחררה אותו בגירסתו הראשונה בנובמבר 2004, והחזיקה כבר בתחילת 2005 ב5% מנתח השוק(!). מוזילה ואינטרנט אקספלורר העתיקו אפשרויות רבות מאופרה, שהייתה הראשונה להציג את הגלישה בעזרת לשוניות – Tabs. פיירפוקס לקחו את האופציה צעד קדימה ואיפשרה לשחזר סימניות שנסגרו עוד ב2006, ובעזרת מהלכים דומים של הוספת פיצ'רים ואידיאולוגיית קוד פתוח (הקוד שממנו נבנה פיירפוקס חשוף לכל המשתמשים), החלה מוזילה לנגוס באופן כבד בנתח השוק של אקספלורר. לכך, אגב, עזרה העובדה שמיקרוסופט החליטה לאפשר רק למשתמשי ווינדוס חוקיים להוריד את הדפדפן, מה שגרם למשתמשים רבים לחפש תחלופה נוחה לדפדפן חינמי (שכן סטטיסטיקות מאותה תקופה מלחמות על בערך 30% של עותקים לא חוקיים של מערכת ההפעלה).
במהלך הזמן הצטרפו לתחרות משתתפים חדשים, כמו Safari שנבנה במיוחד עבור משתמשי מערכת ההפעלה Mac OS X (שקודם לכן השתמשו באקספלורר) וChrome שנבנה על ידי גוגל (וגרר אחריו פרשת פרטיות שהצליחה לעצבן כמה חבר'ה). מבחן בשם ACID 2 נהיה פופולארי, וגם זה שבא אחריו בשם ACID 3. מבחנים אלו בדקו את תקינות הדפדפנים אל מול התקן, כאשר דפדפן שזכה לציון גבוה יותר קיבל מעין "קרדיט" מהמשתמשים הטכנולוגיים. כרום טיפס במהרה לציון 100/100 יחד עם אופרה וספארי, פיירפוקס עד היום מדשדש לו אי שם ב94, ואינטרנט אקספלורר עם ציון 20 (שישופר ל68 בגירסה 9). אתרים רבים כבר למדו להתאים עצמם לתקן ולנסות לבנות לפיו באופן שבו כל הדפדפנים בכל מערכות ההפעלה יציגו אותם באופן זהה. התחרות האמיתית בעיצומה, וכל דפדפן מעמיס פיצ'רים רבים ככל האפשר (כאשר משום מה תמיד נרשם פיגור של Internet Explorer, איכשהו).
המילים האחרונות בתחום מלחמת הדפדפנים הן מהירות (בה אינטרנט ופיירפוקס רושמים פיגור) ואבטחה. בגזרת המהירות ישנם מאמצים רבים: כרום השקיעה בפרסומת מגניבה לאללה שתוכיח עד כמה היא מהירה ואופרה, בהומור גיקי משהו, החזירה לה. המבחנים האחרונים מראים על Opera 1.6 alpha כמוביל במהירות, על Chrome במקום השני, Safari בשלישי, Firefox אחריו וInternet Explorer במקום האחרון. מובן שיש דפדפנים נוספים, אך נתח השוק שלהם זניח. בגזרת האבטחה היינו עדים ממש לא מזמן לתחרות האקינג, בה נמצאו פרצות אבטחה קריטיות בכל הדפדפנים – פרט לדפדפן Chrome של גוגל.
בשנים האחרונות אחוזי השימוש בInternet Explorer יורדים בכל חודש באופן קבוע, ובדפדפנים האחרים עולים אחוזי השימוש. נכון למאי 2010, היו אחוזי השימוש כדלהלן: 50.53% לאקספלורר, 31.26 לפיירפוקס, 7.72% לכרום של גוגל, 5.15% לספארי, 1.98% לאופרה ו1.30% לכל השאר, זאת לפי חציון הסטטיסטיקות של אתרי מחקר בנושא. נתח השוק הגבוה של Internet Explorer מושג כמעט כולו רק בגלל חוסר המודעות של המשתמשים לדפדפנים אחרים (שכן הוא בא Built-in בתוך מערכת ההפעלה של מיקרוסופט), או מכוח ההרגל של המשתמשים. Firefox אמנם איטי יחסית, אך הוא מציע מגוון רחב של תוספות (יותר מכל המתחרים), הוא זמין כמעט לכל מערכות ההפעלה בשוק והוא בעל קוד פתוח, דבר שמושך אליו אנשים רבים שתומכים באידיאולוגיית הקוד הפתוח. סיבה נוספת לנתח השוק הגבוה שלו היא שהוא דפדפן ותיק יחסית שקיים מאז תחילת מלחמת הדפדפנים השנייה. Chrome נהנה כמעט מכל יתרון אפשרי (זמין לכל הפלטפורמות, מהיר, עם אפשרות לתוספות) אך משתמשים רבים לא מתקינים אותו בשל החשש לפרטיותם. Safari של אפל סבל מעשרות פריצות שפורסמו בכלי התקשורת, ואחרי הכל הוא בינוני למדי בביצועיו. Opera הוא הדפדפן המהיר ביותר כיום בשוק ואף זמין לכל מערכות ההפעלה. למרות זאת, הוא בעל מעט מאוד תוספים זמינים, די דליל מבחינה פונקציונאלית ומאוד לא מפורסם.
עד כאן על מלחמות הדפדפנים, ומי שמתעניין בסטטיסטיקות של גיקים: בחודש האחרון נכנסו לאתר 53.57% מפיירפוקס (רק מדגיש כמה עניין המודעות משנה!), 22.36% מאינטרנט אקספלורר, 20.25% מכרום, 2.5% מאופרה ו0.98% מספארי.
שיהיה המשך שבוע נהדר (:
ים
הפניות נוספות: ITBananas.
|
|
Recent Comments