הרהורים בעקבות כתבה בעיתון "ישראל היום" על אבטחת מידע

על ידי | ב- 09/10/2012 | 0 תגובות

שלום לכולם, הובא לידיעתי מאמר שפורסם בעיתון "ישראל היום", בנושא אבטחת מידע בעיקר אצל משתמשים פרטיים. בעקבות התופעה ההולכת וגואה של פשעי סייבר למיניהם, במיוחד אלו שבין איראן לישראל, מי שלא זוכר, שיסתכל כאן. ישנן כל מיני סוגי "בריונות ברשת" ופשעי סייבר למיניהן, המאמר נוגע בחלק שונה מהמתואר פה. הוא מדבר על עבריינות ברמה האישית, אצל האדם הפרטי. פריצות לחשבונות אימייל, פייסבוק, התחזות לחשבונות כל אלו נעשו דבר שבשגרה. הדבר המעניין הוא שיש עולם אפור מתחת לכך, מדובר על אנשים שמציעים שירותים אפלים שכאלו, שירותי פריצה, זיוף, גניבה בתשלומים השווים לכל נפש.

המאמר מהעיתון זהו המאמר מעיתון "ישראל היום", העיתון הרשמי מופיע באתר הרשמי של "ישראל היום" (גיליון 19.09.12).

הרשמים מהמאמר

אם נקצר את המאמר בכמה נקודות:

  • ישנה תופעה של פריצות לחשבונות מייל, פייסבוק, גניבת פרטי כרטיסי אשראי, השתלטות על מכשירי הסמארטפון ועוד.
  • התופעה הזאת היא לא משהו נקודתי אלא מאחוריה יש עולם שחור, שמזין ומחייה את תעשייה זו.
  • התעשייה הזאת, מנוהלת בצורה מסודרת, עם שירות לקוחות, קנייה מסודרת, חיסיון.
  • בקשת העבודות מתעשייה זו היא כדי לאסוף מידע, הרגלי גלישה, הפצת דואר זבל.
  • תהליך ההשתלטות נעשה ע"י הנדסה חברתית, סוסים טרוייאנים.
  • קשה לזהות פריצה, או השתלת סוסים טרוייאנים ווירוסים.
  • בעיית הסמארטפונים בימינו, המכילים אפליקציות זדוניות, ואנטיוירוסים שקיימים. מכשירי האנדרואיד יותר בעייתים מהאייפון.
  • בעיית חשיפת כרטיסי האשראי באינטרנט, וההתייחסות לעניין.
  • הדרך אל הפתרון – להיות פרנואידים.

זה בערך מה שכתוב במאמר בעיתון.

בפרסום זה אשתדל להתייחס לחלק מהדברים ולהציע פתרונות. טרם כל, ארצה להדגיש, הכלל שיכתיב את הכל הוא זה: ברשת יש להיות פרנואידים, כאילו שאורבים בפינה ומנסים לשדוד אותנו.
אנסה להסביר את הטכניקות השונות שבהם משתמשים בשביל לבצע דברים אלו, ולאחר מכן אומר איך צריך להתגונן בפני כל הדברים הללו. 

באילו טכניקות נפוצות משתמשים?

"הנדסה חברתית" (Social Engineering) – הגדרת ויקפדיה: "הנדסה חברתית היא מושג מתחום האבטחה ובפרט מתחום אבטחת מידע, שמשמעותו ניצול של תכונות פסיכולוגיות של האדם, אשר עשויות להביא אותו לציית לבקשותיו של הפורץ."
כחלק מסגנון תקיפה זה משולבים שכנועים, התחזות של אנשים, דיוג או "פישינג" (phishing), שכנוע להתקנת תוכנות שונות שהם בעצם סוסים טרויאנים ועוד.

"פישיניג" או "דיוג" (Phishing) – הוסבר כבר על זה במאמר מיוחד – כאן. בקצרה: מדובר על שיטת זיוף שנועדה לדוג מידע מהמשתמשים החושבים כי שולחים את המידע למקור אמין.

"סוסים טרויאנים" (Trojan Horses) – וירוסים המתחבאים בתוך קבצים תמימים, אתרים תמימים, וכאשר משאירים להם דלת פתוחה הם מתארחים בתוך המחשב, שם הם דוגרים ושולחים נתונים החוצה בלא ידיעת הבעלים.

ססמאות – ניחושים וגילויים שונים – גילוי הססמא של הקרבן זו אפשרות קלאסית לכניסה לחשבונות שונים. ישנה אפשרות לנחש את הססמא בשיטת "כוח גס" (brute force), כלומר ניסוי כל האפשרויות, שיטה זו צורכת משאבים רבים וכל עוד אין אותם היא לא נמצאת הרבה בשימוש.
חלק מההצלחות הם פשוט מגוחכות מכיון שהמשתמש משתמש בססמאות קלות לניחוש.
חלק מההצלחות נעשות ע"י השגת ססמאות דרך אתרים אחרים הפרוצים יותר.

"חורי אבטחה" (Security Holes) נקרא גם "מתקפת יום-אפס" (Zero Day attack) – מדובר על שימוש בחורי אבטחה שמתגלים בתוכנות ויישומים. גם מערכת ההפעלה Windows – ווינדוס בעסק. חורי האבטחה משאירים פרצות המאפשרות לתוקף להיכנס דרכם ולהשתלט על הקורבן.

אפליקציות של סמארטפונים – הרבה מהאפליקציות דורשות הרשאות מיוחדות, גישה לספר טלפונים, גישה לאינטרנט ועוד.

אז מה עושים כדי לא ליפול ברשתן של הרעים?

"הנדסה חברתית", "פישינג", "סוסים טרויאנים"

בעיות אלו, הם אשמת המשתמש בד"כ. מדובר על כל מיני טריקים שמנסים לשלוח, להדביק, להבהב איתן במודעות קופצות ומושכות, אימיילים חשודים ועוד.
כדי להמחיש את העניין אביא מספר דוגמאות:

1. הודעות קופצות שאומרות לנו שעלינו להוריד תוכנה, אפליקציה, משהו שיעזור לנו בחיים וכו', לצערי כרגע לא מצעתי דוגמאות לכך, אם למישהו יש דוגמאות אשמח לקבל קישור או תמונות.
בדרך כלל מדובר על תוכנות עם הבטחות גדולות כמו "אנו נתקן לך את המחשב" (let us fix your computer), "נעשה את המחשב שלך סופר מהיר" (We will make your computer super fast), "ננקה לך את המחשב מוירוסים" (Let us clean your computer from viruses), חלק אפילו "נדיבים" ואומרים לך שהם כבר סרקו לך את המחשב וגילו לך וירוס, "וכעת הם יספקו לך אנטי וירוס בחינם" וכו'. רבות התוכנות שביצעו את האחרונה, היו שמכנים זאת – scareware "תוכנות הפחדה" או ransomware – "תוכנות בן-ערובה", חלק מתוכנות אלו, טענו שמצאו וירוס, כאשר הם בעצמם וירוסים, וביקשו שתקנה את התוכנה כדי שיסירו את הוירוסים דהיינו את עצמם – הם לקחו את המחשב שלך בתור בן ערובה. שימו לב! כל זה בגלל טעויות המשתמש, שמתפתה להצעות שקריות. לקריאה נוספת: כאן, כאן, כאן וכאן. 

2. בעת התקנה של תוכנה לגיטימית, התוכנה דוחפת לנו, סרגלי כלים, והתקנות לא רצויות, יש לדעת שתמיד כאשר מתקינים תוכנה, יש לבצע את ההתקנה ה- custom = "מותאמת אישית" ולוודא שאנו לא מסמנים דברים שלא נצרכים לתוכנה. לדוגמא שימו לב בעת התקנת תוכנת הצריבה החינמית shampoo, תוכנה מעולה שלעצמה, אך מנסה לדחוף לנו מנוע חיפוש ופרסומות, שימו לב כאשר בוחרים ב- " Express installation" מה הוא מנסה לדחוף לנו, דוחף לנו סרגל ומנועי חיפוש ביתי שיחליף לנו את מה שאנו רוצים.

ולכן במקרה זה למשל, יש לבחור ב- "Custom installation" – התקנה מותאמת אישית":

3. הודעות פישינג המתקבלות באימייל, או פישינג דרך אתרים המתחזים לאתרים לגיטמיים או אתרים שאנו מכירים, אך בעצם זה אינה אלא הטעיה. דוגמאות רבות עד מאוד יש לשיטה זאת, אני לא מכיר אדם שלא קיבל לפחות הודעת פישינג אחת לפחות בתיבת המייל שלו. ישנם כל מיני סוגים:
ישנן הודעות זכיה: הודעות על זכיות בלוטו במחירים מופקעים, ירושות של "סבתא", "דודה", "דוד" שנפטרו ואת\ה היורש היחיד שלהם. זכיות בחופשות וכו'. הצעות לרכישת נדל"ן בסכומים מופחתים, הצעות לכניסה לעסקים, הצעות כניסה לשוק הפורקס (forex) ועוד.
ישנן הודעות שינוי ססמא: הבנק איבד את הססמא שלך צריך להזין אותו שוב, איביי איבד את חשבונך וכו'.

שימו לב! לעיתים אפילו שם השולח מזוייף ונראה כאילו שבאמת זה מי שהוא טוען שהוא, יכול להיות בשם של פייסבוק, יוטיוב, גוגל, אייביי, אמאזון ועוד. יש לציין לטובה שהיום תוכנת המייל של גוגל – ג'ימייל – Gmail. מזהה חלק מההתחזויות ומתריעה על כך ש"ייתכן וההודעה אינה נשלחה ממי שנטען שהיא נשלחה".
באופן כללי, זיהוי "דואר הזבל" – ספאם (Spam) השתכלל מאוד, והרבה מאוד מההודעות מסוג זה נתפסות ונכנסת לאיזור ה"דואר זבל" (Spam).

הנה כמה דוגמאות בשביל להמחיש את העניין:

וגם זה אותו סגנון:

כדאי לשים לב, שג'ימייל מזהירה: "ייתכן שההודעה לא נשלחה מאת…" רצוי לקחת הודעות אלו ברצינות.

4. הנדסה חברתית פסיכולוגית – זו שיטה שננקטת בצורה הכי טכנית והכי לא טכנולוגית שקיימת, מדובר על אדם המנסה להוציא בכח מהאדם האחר את הססמאות או מידע יקר שיעזור לו. בפייסבוק די פשוט להתחזות לאדם אחר, ובאמצעות ההתחזות לגרום לאדם למסור לו פרטים אישיים, ססמאות, מידע על מקום הימצאו, מידע על אנשים אחרים. רבו המקרים שקרו לכך, וניתן לקרוא על כך בפוסט על הפייסבוק: "מהו הפייסבוק – יתרונות וחסרונות".
לדוגמא: גנבים שלקחו מידע על בתים ריקים מאדם עקב פרסום בקיר שלהם שיצאו לחופשה, גנבים שקבעו מקומות שבהם שדדו אנשים. ישנם גם מקרים קטנים יותר, של ילדים ובני נעורים וסיפוריהם האישיים, על גניבות זהויות, ירידות, העלבות, פגיעות, בריונות ברשת, טינוף הקיר שלהם ועוד.

לסיכום חלק זה של: "הנדסה חברתית", "פישינג", "סוסים טרויאנים". אומר שעל המשתמש להיות זהיר – כיצד?

  • לשים לב, לכל דבר שמורידים, על כל הבטחה שמבטיחים לנו צריך להידלק לנו נורה אדומה – המזהיר אותנו – "האם זה אמיתי?" "האם כדאי", "האם אני צריך את זה". ואם לא בטוחים ניתן תמיד לברר, אפשר לגגל בגוגל, ולחפש על הפריט שמציאים לנו, אם הוא אמין או שקר. אפשר לשאול באתר זה, מה דעת הכותב על הנושא.
    חשבו כך: האם כדאי לקחת את הסיכון, שהמחשב כעת ייפול לידיים זדוניות, ייפול לידי שליטה של גורם מבחוץ כך שכל הססמאות, הנתונים, הקבצים שלי יהיו נתונים לחסדיו?
  • כל אימייל שמקבלים, כל אתר שנכנסים, לבדוק שכל הפרטים אמיתיים. לבדוק בתוכנת אנטיוירוס קבצים חשודים. שימו לב! כלל: כל בקשת ססמא או פרטים אישיים במיל מוגדרת כפישינג! חברות לעולם לא יבקשו מכם פרטים אישיים במייל, זה אסור! אם אתם נכנסים לאתרים שונים שצריך להכניס בהם ססמאות, להציץ על הכתובת שהיא אמיתית ולא מזוייפת. facelook זה לא facebook, וגם facebOOk זה לא facebook. כאשר נכנסים לאתר מאובטח הדפדפן מודיע אם הוא באמת מאובטח ויש לו אישור רשום על כך, או שהוא מזויף. כנ"ל לגבי אתרים שמכניסים בהם פרטי כרטיסי אשראי, יש לבדוק שהם מאובטחים כ https:// (הצפנת SSL) ושהדפדפן מזהה את האתר כבעל תעודה בתוקף, וכמוצפן.
  • להיות זהירים עם מי מדברים ברשת, בדקו היטב, אל תמסרו מידע אישי בקלות רבה מדי. במיוחד אין לפרסם במקומות ציבורים שבהם כל אדם, יוכל להיכנס ולצפות בפרטים (ואפילו אפשרות של צפייה של "חבר של חבר" – זה בעצם כמעט ציבורי, שהרי אין לכם שליטה על חברים של חברים שלכם, בקושי על חברים שלכם יש לכם שליטה).

"סיסמאות, ניחושים וגילויים שונים"

כיצד ניתן לפרוץ, או להשתלט על חשבון באמצעות הססמא, כלומר כיצד ניתן לפצח אותה? אז לכך יש כמה שיטות, חלקן "מטומטמות", חלקן מתוחכמות. הבה ונסקור את השיטות הנפוצות:

1. ניחושים פשוטים – "מה זה ניחושים, אתם שואלים?" – ניחושים, זה לנחש, על פי מה? על פי נתונים. כמות האנשים שמשתמשים בת.ז, מספר טלפון, פלאפון, תאריך לידה, שמות משפחה וחברים, היא עצומה. בסקר שנערך לפני כמה שנים, אחד מהגילויים היו ש-2 מתוך 10 אנשים השתמשו בססמאות ברורות כמו תאריך לידה, שם של חיית המחמד ועוד. [גילויים נוספים היו למשל ש- 4 מתוך 10 שיתפו ססמא אחת לפחות עם אנשים אחרים, 41 אחוזים משתמשים בססמא אחת לכל החשבונות שברשותם. לקריאת מסקנות הסקר בהרחבה כנסו כאן].

2. פריצה קלה גוררת פריצה קשה – מה קורה כאשר אדם משתמש בססמא אחת לכמה אתרים? לכאורה על פניו זה נראה דבר טוב, ככה הוא לא ישכח את הססמא שלו. נוחות זה החשוב – לא? שימו לב מה קורה. תארו לכם, בסצינה ראשונה: התגלתה פרצה באתר A בו אתם רשומים, או שהאבטחה שלו לא כל כך טובה. אולי האתר A עצמו לא אמין ויש לו גישה לססמאות.
לקחו לכם את הססמא לאתר A, כעת, באמצעות הפרטי התחברות שלכם, יוכלים בקלות להיכנס גם לאתר B, C, D וכו'. לחשבונות הבנק שלכם, המייל שלכם, לכל מה שיש לכם. אתם עלולים לאבד דברים יקרים שלא בטוח יחזרו.
עכשיו מה קורה בסצינה שניה: אתם משתמשים בפרטי התחברות שונים לאתרים שונים (גם אם לא לכל אתר ססמא אחרת, ניתן לחלק את הססמאות, בצורה הגיונית לפי דרגת החשיבות של האתר). כאשר יגלו את הססמא שלכם לאתר A, אז באמת באתר A ייתכן שתאבדו משהו. אבל לפחות האתרים החשובים האחרים נשארים מוגנים! "הפרד ומשול" הפרידו ססמאות ומישלו בהאקרים!

3. הנדסה חברתית – שוב חוזרים לזה, אם משדלים אתכם להגיד את הססמא באמצעים שונים, נפלתם קורבן לתרמית פסיכולוגית אהיו זהירים (להרחבה קראו למעלה ב"הנדסה חברתית" שכבר כתבתי בהרחבה על כך).

4. התקפת כוח גס – Bruteforce ומילונים – כאשר התוקף לא מצליח את השיטות מעלה, התוקף מנסה להריץ ססמאות, יש כמה אפשרויות. יש אפשרות להשתמש בניחוש מתוך "מילון", המילון מכיל הרבה ביטויים ומילים הגיוניות, שייתכן ואותם בחר המשתמש לשים כססמתו. אופציית המילון אינה עובדת כאשר הססמא מורכבת או אינה מילה מובנת.
השיטה השנייה היא להריץ את כל הצירופים האפשריים, שמתישהו תהיה פגיעה,  הזמן שלוקח לפצח ססמא בשיטה הזאת, הוא ארוך מדי וכמובן תלוי בסיבוכיות הססמא ואורכה. לדוגמא אם נניח אנו יודעים שמשתמש השתמש בססמא המורכבת מספרות בלבד, ואורכה של הססמא הוא 4 תוים. המחשב יצטרך להריץ 10 בחזקת 4 הרצות במקרה הגרוע עד שימצא את הססמא שזה בעצם 10000 צירופים. צירוף כזה ייקח חצי דקה, בערך. ואם אתם רוצים לראות טבלה המדגימה את הזמנים:
length: 4, complexity: a-z ==> less than 1 second
length: 4, complexity: a-zA-Z0-9 + symbols ==> 4.8 seconds
length: 5, complexity: a-zA-Z ==> 25 seconds
ength: 6, complexity: a-zA-Z0-9 ==> 1 hour
length: 6, complexity: a-zA-Z0-9 + symbols ==> 11 hours
length: 7, complexity: a-zA-Z0-9 + symbols ==> 6 weeks
length: 8, complexity: a-zA-Z0-9 ==> 5 months
length: 8, complexity: a-zA-Z0-9 + symbols ==> 10 years
length: 9, complexity: a-zA-Z0-9 + symbols ==> 1000 years
length: 10, complexity: a-zA-Z0-9 ==> 1700 years
length: 10, complexity: a-zA-Z0-9 + symbols ==> 91800 years

אפשרות נחמדה נוספת היא להזין את הססמא הרצויה באתר זה, אתר זה בוחן את הססמא שאתם בוחרים ומספק מידע אם היא בטוחה ובכמה זמן ניתן לפרוץ אותה.

חשוב להיאמר שכל ההערכות הללו מדברות על מחשב רגיל ונורמלי, בימינו כאשר מדובר על "cloud computing" – "מיחשוב ענן", ניתן לבצע פעולות שכאלו הרבה יותר מהר, והסכנות מתעצמות.

לסיכום חלק זה של: "ססמאות, ניחושים וגילויים שונים" אומר שעליכם להיזהר בצורה זו:

  • בעניין "ססמאות קלות" – אין לבחור ססמא על פי נוחות מוגזמת, לא שמות פרטיים, משפחה, לא תעודת זהות, לא מספרי טלפון, לא שם חיית המחמד לא דברים הברורים וניתן לגילוי. לבחור ססמאות שקשה לנחש.
  • בעניין "הפרד ומשול" בססמאות – אין להשתמש באותה הססמא לכמה אתרים שונים, ניתן לחלק את האתרים על פי סיווגים. לדוגמא: אתרים שהם לא חשובים כל כך, כלומר לא כל כך משנה אם הססמא נאבדת או נגנבת כמו: פורומים, אתרי חדשות ועוד. באתרים אלו ניתן להשתמש בססמא אחת. אך אתרים חשובים, המכילים מידע רגיש, פיננסיים וכדומה, יש לנקוט בגישת "הפרד ומשול", יש להשתמש בססמא מיוחדת אחת לכל אחד מהאתרים (ושכולם יהיו שונים מהססמא של האתרים שלא אכפת לנו שהססמא תאבד בהם).
  • בעניין "הנדסה חברתית" – להיות זהירים עם מי מדברים וכו' כבר דובר ראו למעלה.
  • בעניין "Brute force" – על המשתמש לבחור ססמא ארוכה ומורכבת, כך שתעמוד בפני שיטות הרצת ססמאות שכזאת.

חורי אבטחה – Zero Day מתקפת "אפס יום", וירוסים, תולעים, תוכניות זדוניות קיימות ואפליקציות של סמארטפונים

1. חורי אבטחה – מדובר על כל מיני גילויים בתוכנות ושירותים שונים. הדבר יכול לקרות במערכות הפעלה (windows, linux, mac וכו'), דפדפני אינטרנט (internet explorer, google chrome, firefox, opera וכו') תוכנות בסיסיות ועוד (Java, Flash, Office). דרך פרצה זו ניתן לשלוח מידע למשתמש בלא ידיעתו ובלא חסימת התוכנה.

2. וירוסים, תולעים, תוכניות זדוניות ושאר ירקות – לאחר שמחשבכם הודבק, הוא מאחסן כל מיני סוגי רמשים וחרקים לא רצויים.

3. אפליקציות של סמארטפונים – אז זה דבר יחסית חדש. מאז שהתחילה אופנת הסמארטפונים למיניהם, יש פרצות חדשות. רובן ככולן של האפליקציות דורשות חיבור לאינטרנט, חלקן מבקשות גישות לנתונים אישיים ופניימים יותר שבמכשיר – גישה למספרי הטלפון, SMSים, שינויי הגדרות וכו'. יש כאן שני רבדים:
רובד אחד: החברה שמקבלת נתונים אלו, או שיש לה גישה אליהם, מחזיקה בכח רב. כוח של ידע על המשתמש. כוח זה יכול להיות מומר בסחר במידע לגורמים זרים, מתן שירותי פרסום מותאמים אישית ועוד.
רובד שני: אם החברה אינה אמינה, או כל ייעודה הוא לכוונות זדוניות. חברה זו מבצעת "טריק", היא מוליכה שלל את המשתמש בכך שחושב שהוא משתמש בתוכנה שעושה את העבודה שלה כמו שצריך, וצריכה גישה לחלקים במכשירו. אך בעצם כל מטרתה של התוכנה הוא איסוף מידע.

לסיכום חלק זה של: "חורי אבטחה, וירוסים, תולעים ואפליקציות של סמארטפונים" נאמר כי:

  • בעניין "חורי אבטחה" – על המשתמש להיות מצויד בעדכונים האחרונים ביותר של כל התוכנות. בדרך כלל הדבר נעשה בצורה אוטומטית, התוכנה מתריעה על עדכון חדש. יש לאשר הצעה זו ולעדכן, כך תהיו מוגנים בפני פרצות האבטחה האחרונות שגולו. (כמובן תמיד יש חשש שבחלון הזמן של "עד שיגלו את הפרצה", התוקפים ינצלו את הפרצה לרעה).
  • בעניין "וירוסים, תולעים, תוכניות זדוניות" – יש לשים לב להתנהגות המחשב – האם מתנהג מוזר? איטי? ישנם הודעות קופצות? השתלטות על דף הבית? קבצים נמחקים? ועוד. ולעיתים רבות לא ניתן כלל לגלות שנדבקתם במשהו ובכל מקרה יש להצטייד באנטיוירוס הגון, ולעדכן אותו תדירות. מבין האנטיוירוסים החינמיים (למשתמש ביתיים בלבד) אני ממליץ על Avira Antivirus (יש לשים לב שאתם בוחרים את הגרסא – "free" = חינם, ולא את הגרסא בתשלום), או האנטי וירוס של מייקרוסופט ה- Security Essentials (הרישיון החינמי מתאים גם לעסקים קטנים, יש לשים לב שיש לוודא מקוריות מערכת ההפעלה לפני ההתקנה), גם השאר לא רעים. בתחום האנטיוירוסים בתשלום בולטים: ESET NOD32, ו Kaspersky.
    כמו כן סריקה מדי פעם עם Malware Bytes לא תזיק כלל (חינם למשתמש הביתי, בתשלום למשתמש העסקי).
  • בעניין "אפליקציות של סמארטפונים" – לא להוריד כל אפליקציה שקיימת בעולם, אני לא מאמין שאתם צריכים כל דבר. יש אפשרות לראות מה כל אפליקציה עושה, באנדרואיד למשל בחנות ה- Play של גוגל, ישנו פירוט על כל אפליקציה – אילו הרשאות יש לה, ועוד, ניתן להסתכל בפירוט. כמו כן ישנה אפליקציה החוסמת את גישת האינטרנט לאפליקציות נבחרות – Droidwall  (יש צורך שהמכשיר יהיה rooted כדי שאפליקציה זו תעבוד), הסבר נוסף על המכשיר תוכלו למצוא כאן. כמו כן יש אפליקציה שחוסמת הרשאות – Permissions Denied

טיפים נוספים שיעזרו לכם 

  • לפי מה שאמרתי, עליכם לבחור ססמאות קשות לניחוש, ארוכות ולא הגיוניות, ולייחד ססמא אחת שונה לכל שירות. אתם תצעקו עליי: "איך נזכור את כל זה" – מה זה יועיל לחבר ססמא ארוכה ומסובכת אך לא ניתנת לזכירה? אז דבר ראשון ישנן שיטות לבחירת ססמאות שקשות לניחוש ועדיין קלות לזכירה ניתן לקרוא במאמרים אלו: כאן, כאן, כאןוכאן.
    אפשרות נוספת היא שימוש בתוכנות שיזכרו בשבילכם את הססמאות, תוכלו לנהל את הססמאות, ולסדר אותם על פי נושאים וקטגוריות. הרעיון הוא שתצטרכו לזכור רק ססמת מאסטר (master password) אחת בלבד, כמובן שססמא זו צריכה להיות חזקה במיוחד, קשה לפיצוח ומשתנה תדיר, אבל שימו לב – רק לזכור ססמא אחת! אם שכחתם אותה אז אתם די אבודים ! – אל תשכחו אותה! יש כמה תוכנות טובות בתחום. מחולקות ל-2 סוגים:
    1. תוכנות אינטרנטיות – התחברות אוטומטית. סוג זה הוא בעצם מבצע את הדברים כך: ברגע שאתם מחוברים לחשבון שלכם בשרת של השירות, באופן אוטומטי כל גלישה שלכם שתלווה בדרישה להכנסת ססמא (שנמצאת כבר בזכרון היישום) תומלא באופן אוטומטי לגמרי ללא שום נקיפת אצבע מהצד שלכם. –אל תשכחו להתנתק מהשירות כאשר אתם מסיימים את העבודה על המחשב. –  המובילות הן: RoboForm, LastPass, DashLine רובופורם היתה הראשונה, אך לאסט פס לאחרונה תפסה תאוצה ונהפכה ליותר פופאלרית. דשליין היא שחקנית חדשה מהשניים האחרות המיוחד שבה היא שהיא מעין שילוב של שניהם, ייתכן והיא הכי טובה נכון להיום, אך לא הכי פופלארית נכון לכתיבת מאמר זה.
    2. תוכנות מקומיות – התחברות ידנית.  אלו תוכנות שאינן נשמרות ברשת, כל הגישה אליהם נעשית ממחשבכם. ישנו קובץ שמוצפן ע"י ססמת מאסטר, הקובץ הזה נפתח באמצעות התוכנה ומכיל את כל הססמאות שלכם. המובילות: KeePass, PasswordWallet, פסוורד וולט, היא תוכנה מבית היוצר של קספרסקי (חברת אבטחת המידע), והיא בתשלום. קי פס – keepass, היא קוד פתוח, תוכנה זו זכתה בפרסים רבים, עובדת מצויין, עם מלא אופציות מעניינות (שיסוקרו באחד מהפעמים הבאות). ל- keepass יש גרסא לאנדרואיד: keepassdroid.מלבד אלו שהזכרתי יש עוד שומרי ססמאות שונים, גם למכשירי אייפון (IOS) וגם למכשירי אנדרואיד (Android).
    לכאורה יש יתרון עצום לתוכנות האינטרנטיות על פני התוכנות המקומיות שהרי התוכנות האינטרנטיות נגישות מכל מקום, ולא רק ממחשבכם האישי, ואילו המקומיות נגישות רק מקומית אבל: ראוי לציין, שניתן לקחת את קובץ ה- KDX (שנפתח ע"י keepass) המכיל את הססמאות על גבי הדרופבוקס שלכם לכל מקום בו אתם צריכים אותו. כמו כן ישנה גרסא ניידת לkeepass, כך שאתם יכולים ללכת עם קובץ הססמאות לכל מקום בו תחפצו ואז יתרון זה פחת מעט.

    דיעה אישית:
    KeePass זו תוכנה מצויינת, תיקחו את הססמאות עליכם, אל תסחבו איתן באינטרנט, לא ניתן לדעת לאן הססמאות יגיעו, אולי תשכחו את החיבור שלכם פתוח פעם, ועוד.

סיכום – דברים אחרונים וקריאה נוספת

לסיכומו של עניין, מה שרציתי להראות כאן הוא שרוב הפאשלות שקורות, וה"פריצות", "השתלטויות" וכו' נובעות מטעויות משתמש, טעויות שיכולות להימנע ע"י לימוד, זהירות והפנמה שאבטחת מידע זה לא משחק ילדים. הדבר צריך להילמד אצל כל אדם, וכל אדם צריך להיות סוג של "מבין במחשבים", לפחות יודע להיות "פרנואיד מחשבים".
נכון, אינני אומר ישנם פעולות שלא ניתן לעשות נגדן כלום, אבל הסיכויים שהאדם הפשוט ייפול לכאלו דברים הוא אפסי. הסיכויים הגדולים שייפול לדברים שצויינו במאמר זה.
ראוי לציין שלפייסבוק יש מנגנון מיוחד המזהה כאשר מתבצעת תנועה חשודה ממקום רחוק מהמקום שבדרך כלל בעל החשבון מתחבר דרכו לחשבון שלו, תוכלו לקרוא על זה במאמר: "סוף מעשה בפריצה תחילה חלק ב'"

לקריאה נוספת:

תגיות:

תיאור המחבר

miky miky מיקי מחשבים - mikycomputers, מחזיק באתר http://mikycomputers.com אתר בנושא מחשבים וטכנולוגיה. בעל ידע רב במחשבים, חומרה, תוכנה ורשתות. באתר תוכלו למצוא טיפים, מאמרים מקצועיים, ותמיכה.

אין תגובות ל “הרהורים בעקבות כתבה בעיתון "ישראל היום" על אבטחת מידע”

השאר תגובה

כתובת האימייל שלך לא יפורסם. שדות נצרכים מסומנים *


*

הירשם לעדכונים!

  • מבצעים ותחרויות
  • חדשות טכנולוגיה
  • כיף באינטרנט, סרטונים ומשחקים כיפים
  • טיפים וטריקים