ארגז החול שלי

בילדותנו חלקנו שיחקנו בארגז חול, שם יכלנו לבנות ארמונות, להרוס, ובקיצור, לשחק בלי לסכן דבר (למעט קצת חול בעיניים). בחיים האמיתיים יש כיום סביבות הפועלות לפי אותו עיקרון. סביבות אלה מכונות Sand Box.

פיתוח מערכות תוכנה ואפליקציות הכרוכות בקבלת תשלומים בכרטיס אשראי מצריך סביבה שתאפשר התנסות בביצוע תשלומים, לרבות מספרי כרטיס אשראי, חשבונות משתמש ועוד כיו”ב. סביבת הSand Box של חברת PayPal מספקת בדיוק את זה. כחלק מפרוייקט הכולל סליקת כרטיסי אשראי התוודעתי לסביבה זו.

על מנת להירשם ולהתנסות בסביבת הפיתוח של PayPal נכנסים ללינק הבא: https://developer.paypal.com/cgi-bin/devscr?cmd=_signup-run

עכשיו, יש להמתין למייל האישור זאת על מנת להפעיל את החשבון.

לאחר שהחשבון מופעל, מבצעים לוג-אין ומגיעים למסך הבא:

יש ללחוץ על Create a preconfigured account

חשבון הTest מיועד לסימולציה של משתמש, במקרה שלנו, בחרתי ליצור לקוח, אשר רוכש מוצרים.

הלקוח, מתגורר בהונג קונג, יש לו כרטיס אשראי אמריקן אקספרס, ויש לו חשבון בנק עם 5000 דולר.

לוחצים על Create Account והחשבון נוצר.

לחשבון מוקצים כתובת מייל (שהיא שם משתמש) וסיסמה. כתובת המייל אינה צריכה להיות אמיתית, משום שהיא משמשת אך ורק לכניסה לחשבון.

ופרטי החשבון כולל מספר כרטיס ויזה (משום מה המספר שמופק הוא תמיד ויזה), פיקטיבי לשימוש בSandBox:

בהמשך ניתן להתקדם במספר כיוונים, חשבון הSandBox משמש להתנסות, יצירת חשבונות פיקטיבים מסוגים שונים וכיו”ב, בעוד שהחשבונות הפיקטיביים משמשים לסימולציה של משתמשים מסוג: קונה, מוכר ובעל חנות PRO.

לסיכום: ארגז החול של PayPal בשונה מארגז החול הזכור לכולנו מהילדות, משמש הרבה יותר מבניית ארמונות בחול ויכול לחסוך זמן ומשאבים המוקצים לבדיקות ותקופת הרצה למערכות הכוללות מרכיב של billing ו-E-commerce.

עשרות עצורים בפרשת האזנת סתר לסמרטפונים

תוכנת ריגול חדשה שנחשפה על ידי היחידה לחקירות הונאה במשטרת ישראל, מאפשרת לחוקר הפרטי שליטה מלאה על סמרטפון של האובייקט הנחקר, באופן שמאפשר לו גם האזנה לשיחות, וגם האזנה לחלל האוויר (בדומה למכשיר האזנת סתר). התוכנה מאפשרת להקליט שיחות ולשלוח דו”ח הכולל את המידע שנאסף על ידי התוכנה באמצעות הדוא”ל לחוקר (מפעיל התוכנה).

האם נדרשת הגנה נגד כלים אלה. ככל שמדובר בחברת Apple, הרי שמדובר במערכת סגורה באופן שמקשה על החדרת רוגלה כזו. רוגלה לאייפון תצטרך להיות תוכנה רשומה בAppStore ולקבל היתרים לאחר בדיקה מקיפה של זהות בית התוכנה והתוכנה עצמה. עם זאת אפשר לציין מוצר בשם Intego שמתיימר לאתר וירוסים ונוזקות באייפון.

סמרטפונים אחרים מבוססי אנדרואיד, מצריכים כלי הגנה אלא שכמו עם הביצה והתרנגולת, לפי הגישה הנפוצה בלוחמה בוירוסים ונוזקות, קודם מגלים את הנוזקה ואז מפתחים לה תרופה (חיסון). הדבר מעלה את השאלה כיצד נוכל לאתר את הוירוסים והנוזקות של מחר?

לשם כך פותחו בשנים האחרונות מוצרים מבוססים טכנולוגיה “התנהגותית” (heuristic). בטכנולוגיה זו מנסים לאתר דפוסי פעולה האופייניים לוירוסים, סוסים טרויאניים ורוגלות ועל ידי כך לאתר את הנוזקות של מחר, עוד לפני שדווח עליהם. השיטה עובדת באופן חלקי והנושא מצריך מחקר נוסף. יתרה מכך, קיימת תופעה של false positive שפירושה זיהוי מוטעה של כלים לגיטימיים וסיווגם כנוזקה.

מאחר ותוכנות ריגול אינן בלתי חוקיות, ובדומה למצלמת אבטחה, טייפ, או אפילו סכין, אי החוקיות הוא פונקציה של נסיבות השימוש ולא של המוצר עצמו, הרי שאין היום סטנדרט אחיד בכל הנוגע למה צריך להיחסם ומה לא. מוסכם על כולם שוירוס הנו כלי מזיק שכל ייעודו הפצה לכמה שיותר מכשירים על מנת לגרום נזק, אולם ככל שמדובר בכלי ריגול, ניטור, ומעקב, הכללים הם שונים. בדומה לכל מכשיר האזנה אחר, רשות אכיפת חוק יכולה בצו האזנת סתר של בית משפט להחדיר תוכנת ריגול לסמרטפון או מחשב, ואילו אותה תוכנה אסורה לשימוש כזה על ידי אדם מן הישוב, אולם עדיין מותר לאדם לנטר את עצמו. כשם שאדם יכול להתקין מצלמה נסתרת בביתו בזמן שהבייביסיטר או המשפצים נמצאים בבית, הרי שהדבר אינו שונה בכל הנוגע למחשב הפרטי או הסמרטפון הפרטי. גם ניטור ילדים הנו מותר ולעיתים אף מציל חיים.

המפתח לבעיה ואולי הפתרון הטוב ביותר כרגע נעוץ באופן התקנת התוכנה. אמנם ברוב המקרים יתברר שהתוכנה חוקית, אולם קל מאד להצביע על החוקיות של השימוש בתוכנה, דרך אופן ההתקנה שלה.

אם קיבלת הודעת SMS, הודעת MMS, קובץ מפתה במייל, או כלינק להורדה, ייתכן ומדובר ברוגלה. כל עוד אין מדובר בניטור עצמי שמחייב התקנה של התוכנה בעצמך או במכשיר של הילד, הרי שעל דרך השלילה, כל מה שאינו מותקן על ידך, ביוזמתך, חשוד. לא קיימת דרך טכנית להתקין לך רוגלה מבלי שלפחות בנקודת זמן אחת תתבקש לאשר את ההתקנה ו/או את ההפעלה. לעיתים התוכנה “תתחפש” למשהו אחר, ומכאן האנלוגיה לסוג הטרויאני שנראה מבחוץ כמו סוס עץ ענק שהוענק במתנה, והכיל לוחמים צמאי דם, כך גם במציאות של ימינו. אין ארוחות חינם ואין זכיות בסכום כסף או במתנות אחרות מגורם לא מוכר. מישהו פעם אמר שלא יעזור כלום: אם לא קנית כרטיס הגרלה, מן הסתם אין סיכוי שתזכה בפיס, ולכן אם קיבלת הודעת זכיה, שאל את עצמך אם קנית או נרשמת להגרלה, וזו רק דוגמה. בגדול, מה שנשלח אליך חשוד, וניתן להתגונן בפני האזנה או ניטור בלתי חוקיים בדרך של הימנעות מוחלטת מפתיחת קבצים או לינקים.

קיבלת לינק לתמונות מדהימות של הזריחה והוא נשלח מהדודה שלך? זכור שניתן לזייף את מקור ההודעה וייתכן ולא הדודה שלך את הלינק.

וגם אם להסתכל על זה מהצד של רוכש התוכנה, אם אינך יכול להתקין בעצמך את התוכנה פיסית בסמרטפון או במחשב, מן הסתם אסור לך (וגם אם אתה יכול להתקין, זה לא מבטיח את החוקיות אלא אם המחשב או המכשיר שייכים לך…). שום גורם תקינה אזרחי או בטחוני (כמו אפ”י) לא יאשר מוצר הכולל “החדרה מרחוק”, שכן אלא אם כן אתה ה-FBI, הפיצ’ר הזה שמתיימר לשגר את התוכנה למכשיר הסמרטפון או המחשב של אדם אחר, ללא ידיעתו, מגלם בהגדרה את אי החוקיות.

חשוב לזכור שתוכנות הניטור, כדוגמת Target Eye, או Paralert, כאשר עושים בהם שימוש נכון וחוקי, מסייעות ובעלות ערך עצום, אשר אין לבטלו בשל מקרים נקודתיים של שימוש לרעה בכלים אלה.