disclaimer

אני לא מומחה אבטחת מידע, זה לא תחום העיסוק העיקרי שלי, אבל אני חושב שיש כמה דברים פשוטים ובסיסיים ששווה להזכר בהם, לחזור עליהם, כי הם לא נוגעים למערכות יקרות ומורכבות להטמעה אלא לכמה דברים פשוטים שישפרו משמעותית את אבטחת המידע האישית שלנו ושל הארגונים בהם אנו עובדים, ששווה ליישם אותם בעצמנו ולספר עליהם לסובבים אותנו, גם לשכנים הפחות טכניים מאיתנו, כדי שידעו ממה להשמר ואיך להשמר גם בלי להיות בעצמם מומחים גדולים לאבטחת מידע, בלי "להסניף פאקטות" או לכתוב שורות קוד אל תוך הלילה.

אני חוזר ומבהיר שאין לי כאן יומרה בפוסט הזה לכסות את כל הנדרש לאבטחת מידע ברמה של ממשלות או ארגוני ביון אלא כמה עיצות כלליות למשתמש הפשוט, דברים שכל אחד מאיתנו יכול ליישם בעצמו כדי לשמור על עצמו ועל המידע שנגיש לו.

הזדהות חכמה

ראשית, אני ממליץ לכל מי שעוד לא ביצע זאת, לעצור את הקריאה ולהפעיל את יכולת הזיהוי הכפול, 2 factor authentication, בכל שירות שתומך בכך, המהדרין יטענו שזה הזמן גם לשקול לשלילה המשך שימוש בשירות שאינו תומך בכך.

יכולת ההזדהות הכפולה מחייבת אותנו לבצע הזדהות באמצעות שני אמצעים שונים. האמצעים הנפוצים ביותר כיום הוא הססמא שלנו ("something you know") ומספר חד פעמי הנשלח אל הטלפון הנייד שלנו ("something you have"). הרעיון הוא להקשות על פורץ לפרוץ אל החשבונות שלנו. אם הפעלנו יכולת הזדהות כפולה, לא מספיק עכשיו לנחש מה הססמא שלנו אלא גם לגנוב את הטלפון הנייד שלנו כדי להשתמש במספר החד פעמי שנשלח אליו בעת התחברות ולאחר הקלדת ססמא נכונה.

דוגמאות:

עבור כלל שירותי גוגל ניתן להכנס לקישור הבא ולהפעיל את האפשרות – https://www.google.com/landing/2step/

עבור שירות לינקדאין יש להעמיד את סמן העכבר מעל תמונת הפרופיל על מנת לחשוף את האפשרות Privacy & Settings

עבור אמאזון יש אל פרטי החשבון, ללחוץ על change account settings, לבחור ב edit ואז ב advanced security settings

ודוגמא אחרונה, עבור הבלוגרים, כאן ב wordpress, יש להכנס לפרטי החשבון, לבחור ב security ולעבור לטאב של Two-Step Authentication

חשוב לזכור, בדיוק כמו ססמא מאובטחת, גם הפעלת הזדהות כפולה אינה חסינה לחלוטין בפני נסיונות חדירה, ראו למשל במקרה כאן בו תוקפים מתחזים לחברת גוגל על מנת לבקש מהמשתמשים את קוד האימות שקיבלו:

http://news.softpedia.com/news/hackers-find-clever-way-to-bypass-google-s-two-factor-authentication-505138.shtml

התחזות ודיוג – קצת תשומת לב

הדבר הבא עליו אני רוצה לדבר הפעם הוא דיוג, Phishing. דיוג הוא נסיון לגניבת מידע על ידי התחזות. בדוגמא מטה מדובר על התחזות לאתר אינטרנט. המטרה היא לגרום לגולש תמים לנדב את פרטי הכניסה שלו לאתר מאובטח. במקרים רבים, שניה נוספת של תשומת לב מספיקה כדי לעלות על נסיון ההתחזות ולמנוע פגיעה, מספיקה שניה אחת של תשומת לב כדי לראות מי מבין אתרי האינטרנט המוצגים מטה הוא אתר של חברת התשלומים paypal ומי הוא אתר מתחזה.

ניתן לראות בקלות את ההבדל בין שמות האתרים וכי הדפדפן מסמן בירוק בולט כי האתר הינו אתר מהימן. המשמעות היא שלפעמים מאד קל להבדיל ורק צריך לשים לב שבעוד הם נשמעים דומה, microsoft.com אינו מוביל לאותו מקום כ micosoft.com

תשומת לב לפרטים היא לדעתי אחת העיצות הכי טובות בתחום אבטחת המידע האישית. צריך להפעיל הגיון פשוט בכל אינטראקציה ברשת. אם מקבלים למשל הודעת דוא"ל מהבנק והפניה היא אל "לקוח יקר שלנו" במקום פניה אישית אלינו או לחלופין אם הבנק מבקש שנשלח לו בחזרה את הססמא שלנו, צריך לזכור שלבנק שלנו יש הרבה מאד מידע ספציפי שלנו שכל יעודו לאמת שאנחנו מי שאנחנו אומרים שאנחנו ולכן לא הגיוני לא שיפנה אלינו בבתואר כל כך כללי ולא שיבקש מאיתנו לשלוח אליו ססמא שהוא עצמו מנפק לנו.

במיילים מסוג זה בהם אנו מתבקשים לבצע הזדהות כלשהיא, מומלץ שלא ללחוץ על הקישור המצורף בתוך הודעת הדוא"ל אלא לפתוח בעצמנו דפדפן, להקליד את הכתובת הנכונה ולהכנס בעצמנו אל האיזור המאובטח של החשבון שלנו.

בשנתיים האחרונות חלה עליה מאסיבית במקרים בהם נפגע אדם או ארגון מתוכנת כופרה, ransomware, המצפינה את המידע הנגיש כך שהאדם או הארגון מחוייבים לשלוח תשלום יקר על מנת לקבל את מפתח ההצפנה. לעיתים תוכנה זדונית זו מוחדרת אל המחשב ללא מעורבות ישירה של המשתמש בעת גלישה לאתר נגוע למשל, אך לעיתים המשתמש הוא המפעיל הישיר של הקובץ הנגוע, למשל בפתיחת קובץ מצורף בדוא"ל. גם כאן יעזור להפעיל הגיון פשוט. בדוגמא שנתקלתי בה בעצמי לאחרונה, נשלחה הודעה אל רשימת תפוצה כללית של עובדי חברה. ההודעה נשלחה לכאורה מבנק אמריקאי גדול וכללה קובץ מצורף. הנושא היה "זיכוי של $500,000". במקרה זה, הדבר הראשון שצריך לחשוב עליו הוא שבנק אמריקאי גדול המזכה את החברה שלי לא ישלח את הודעת הזיכוי לכלל רשימת אנשי המכירות אלא לאיש או אשת ההכספים המתנהלים מולו ישירות. ברור שהמטרה של השולח היתה לדוג את העובד שיהיה סקרן מספקי לבדוק על מה מזכים אותנו על כזה סכום.

הערת שוליים – ה FBI ממליץ שלא לשלם כופר בשום מצב:

http://www.welivesecurity.com/2016/05/09/fbi-ransomware-extortionists/

ויש כמובן כלים שמנסים להתמודד עם מתקפות כופרה כמו הכלי החינמי הבא –

http://www.pcworld.com/article/3049179/security/free-bitdefender-tool-prevents-locky-other-ransomware-infections-for-now.html

החשיבות של תשומת לב והכירות של כל אחד מאיתנו עם האיומים הבסיסיים הקיימים היא עצומה, מתקפות רבות הינן מתקפות לא מתוחכמות מבחינה טכנולוגית, התחכום מאחוריהן הוא תחכום אנושי, פסיכולוגי, המכוון לתקוף חולשות אנושיות ולא חולשות של מערכות. לאחרונה ראינו עליה במספר מתקפות ממוקדות בהן עובדים בחברה מקבלים הודעות פנימיות, שנראות כמו בקשות מהנהלת החברה, אך למעשה מהוות התקפה שמטרתה לקבל פרטים חסויים על עובדים בחברה. במקרים רבים נעשה שימוש ברשתות חברתיות על מנת לגלות אם מנהל בכיר בחברה נמצא בחופשה והיכן הוא נופש על מנת להוסיף נופך אישי ואמין להודעות התקיפה "אני בהונדורס וקשה לי להתחבר למשרד, תשלח לי בבקשה באופן בהול רשימה של כלל העובדים ופרטי חשבונות הבנק שלהם". דוגמא זו אינה יחודית לעולם העסקים ובשנים האחרונות רואים גם עליה למתקפות על אנשים פרטיים.

כפי שאפשר לראות בדוגמאות מטה, לא מורכב במיוחד להתחזות ברשתות החברתיות ולשלוח סימני מצוקה. כדאי לזכור שחבר שנמצא בכלא בטורקיה לא ישלח הודעה בפייסבוק ושאי אפשר לאתר אף אחד עם צילום של גב כרטיס האשראי שלנו. חובה להפעיל שיקול דעת והכי פשוט זה להרים טלפון. אם המנכ"ל בכנס בפולין סביר להניח שאין לו צורך בהול ברשימת חשבונות הבנק של כלל עובדי החברה, וצריך להפעיל שיקול דעת האם הבקשה הזו הגיונית גם אם הוא יושב לידכם על אחת כמה וכמה אם הוא בכנס בחו"ל.

https://www.theguardian.com/money/2013/nov/13/stranded-traveller-phishing-scam

http://www.motke.co.il/index.php?idr=400&p=2010505

קלאסיקה מודרנית

מי שטרם ביטל את יכולות המקרו בחבילת ה Office שלו מוזמן לעשות את זה מייד, שימוש במתקפות מקרו היה מאד פופולרי בעשור הקודם והיות וכולנו חשבנו שמה שהיה פעם כבר טופל וחוסל תוקפים רבים משתמשים שוב ביכולת בסיסית זו על מנת לתקוף

https://support.office.com/en-us/article/Enable-or-disable-macros-in-Office-documents-7b4fdd2e-174f-47e2-9611-9efe4f860b12

היגיינה אישית

לסיום, אני ממליץ בחום על שימוש בתוכנות אנטיוירוס גם עבור המחשב וגם עבור הטלפון הנייד. התקנת אנטיוירוס על הטלפון הנייד קלה ופשוטה כמו כל התקנת אפליקציה מחנות האפליקציות. יש גם תוכנות חינמיות אך כמובן שזה תחום עיקרי בו לא רצוי להתקמצן וכדאי לקנות רישוי מספק מוכר כמו סימנטק, מקאפי וכו'.

עבור המחשב, כל מערכת הפעלה windows בגרסאות האחרונות כוללת יכולות defender מובנות, לכל הפחות אנא מכם הפעילו יכולת זו. שוב, בהתאם למטרת פוסט זה, כנראה שאם אתם מומחי אבטחת מידע של NSA זה לא הכלי בשבילכם אבל זה באמת מינימום הכרחי עבור מי שלא מתמצא בנושא ולא יודע להתקין תוכנות על המחשב שלו. כדאי מאד להפעיל את הכלי ולדאוג לעדכונים אוטומטיים.

שלכם,

ניר מליק

*עיצה כללית שתמיד טובה כדרך חיים ורלוונטית גם בהקשר זה – גבו את המידע שלכם!