5 טיפים מהאקר לשמירה על בטיחות באינטרנט
יש המון מדריכים שם בחוץ ממומחים לכאורה, אז למה לא לקחת עצה מהאקר אמיתי?
בעבודתי היומיומית כהאקר אתי (אני מעדיף את המונח בודק חדירה, אבל מה שלא יהיה) אני נתקל בכמה טעויות אבטחה נפוצות שמאפשרות לי לקבל גישה לא מורשית למערכות המחשב שלכם. זה הופך את יום העבודה שלי להרבה יותר קל כשמישהו השאיר סיסמה רשומה על שולחנו – אבל אני לא היחיד שעצלן ואוהב ניצחון קל.
האקרים בעלי מונעים כלכליים מחפשים בדרך כלל את הפירות הנמוכים ביותר, ועם כמה שינויים פשוטים, תוכלו להקשות הרבה יותר על מישהו לפרוץ את האבטחה שלכם ולפלוש לפרטיות שלכם. לשם כך, ריכזתי רשימה של חמשת ההרגלים המובילים שכדאי לכם לשנות בזמן השימוש באינטרנט – מנקודת מבטו של האקר. ייתכן שאתם כבר מכירים כמה מהם, אבל האחרים יכולים להיות ההבדל בין פריצה לשמירה על עצמכם.
1. השתמש ב-VPN
הצפנה חשובה, ובעולם אידיאלי, כל אתר אינטרנט היה משתמש ב-TLS עם HTTP Strict Transport Security כמינימום. למרבה הצער, זה לא עולם מושלם, אז לכל השאר, יש לנו רשתות פרטיות וירטואליות (VPN). הן יוצרות מנהרה מוצפנת שמנתבת את תעבורת האינטרנט שלך בין המכשיר שלך לשרתי ה-VPN של הספק, וזה חיוני אם אתה מטייל הרבה ומתחבר לנקודות Wi-Fi פתוחות. ברצינות. צאו יום אחד עם עותק של Wireshark מותקן על המחשב הנייד שלכם ותראו איזה סוג של מידע אתם משדרים דרך Wi-Fi חינם בשדה התעופה דרך הטלפון שלכם. זה לא יפה.
יש להודות, שיש ויכוח מסוים בקרב מומחי אבטחה בשאלה האם כדאי להשתמש ב-VPN. קיימים טיעונים תקפים נגד שימוש ב-VPN, שבעיקר סובבים סביב מסירת ניתוב הנתונים שלך לצד שלישי שאינו מהימן. הטיעון שלי הוא זה: אתה כבר סומך על ספק האינטרנט שלך, שאינו יכול לפעול ללא הסכמת הממשלה. הממשלה שלך כנראה גם מרגלת אחריך. למה לא להקשות על זה קצת יותר? אמנם לא הייתי ממליץ להשתמש באף ספק VPN שאתה נתקל בו, אך בחירה ב-VPN מבוקר וללא יומני רישום יכולה לספק מידה מסוימת של הגנה מפני מעקב ממשלתי שלא היית מקבל אחרת.
וחשוב מכך, VPN איכותי מציע שני יתרונות עיקריים: ראשית, הוא מסתיר את כתובת ה-IP שלך, ומסבך משמעותית ניסיונות לאתר את מיקומך האמיתי; שנית, הוא מסנן מפיצי תוכנות זדוניות נפוצים ומפרסמים שנפגעו באמצעות חסימות DNS. חסימת פרסומות כבר מפחיתה וקטור תוכנות זדוניות עצום, לכן הייתי ממליץ על אחד כזה רק בשביל זה.
2. השתמשו בחוסם JavaScript או ברשימה הלבנה
הארכיטקטורה של האינטרנט משמעותה שחלק ניכר מהתוכן שאתם נתקלים בו בדפדפן שלכם מועבר באמצעות JavaScript. בעוד ש-JavaScript יכול לשפר את המראה והתחושה של אתרים, הוא משמש גם כווקטור למגוון עצום של התקפות, כולל Clickjacking, מניעת שירות, סקריפטים בין אתרים וזיופים של בקשות, ואפילו ביצוע קוד שרירותי במקרים מסוימים.
על ידי שימוש בחוסם JavaScript או ברשימה הלבנה, ניתן לאפשר באופן סלקטיבי סקריפטים ממקורות מהימנים תוך הפחתת הסיכונים הכרוכים בסקריפטים זדוניים או פולשניים. זה ממתן התקפות שנובעות מפרסומות זדוניות ומפחית באופן דרסטי את הסיכוי לגניבת פרטי הגישה שלך במתקפת drive-by. NoScript הוא עדיין תקן הזהב לחבילות חסימת JavaScript. אני משתמש בו וב- uBlock Origin כדי לכסות את רוב הבסיסים שלי באינטרנט.
3. עקוב אחר עצמך
מעט מאוד אנשים יודעים כמה מידע על חייהם האישיים מפוזר באינטרנט, רק מחכה שמישהו יחבר את הנקודות. אני מרבה להשתמש בלינקדאין כדי לאסוף מידע על עובדי חברה, טכנולוגיות ומיקומים פיזיים, אבל התמודדות עם האקרים ממוקדים דורשת גישה מעט שונה.
קחו פיסת מידע שזמינה לציבור, כמו כתובת הדוא"ל שלכם או שם משתמש שאתם משתמשים בה. באמצעות טכניקות בסיסיות של בינה מלאכותית בקוד פתוח וחיפוש ייעודי בגוגל, תופתעו לגלות כמה מידע אישי נגיש בקלות, כולל שמכם האמיתי, כתובתכם ועוד.
אם אתם יכולים לראות את זה, גם מישהו אחר יכול. טפלו בנוכחות המקוונת שלכם והסירו כל דבר שאתם לא רוצים שזר יראה. אל תזלזלו בכוחה של ההנדסה החברתית בכל הנוגע לפריצת המכשירים שלכם.
ברגע שיש לכם מושג לגבי הצעדים שמישהו יצטרך לנקוט כדי לקשר את הזהות המקוונת והאמיתית שלכם, הסרה או מחיקה של מידע זה מחשבונותיכם המקוונים עלולה לנתק את הקישור. זה מקשה הרבה יותר על גורמים זדוניים לנצל את המידע האישי שלכם (ובתורו, מה שמקטין את הסיכוי שתהיו קורבן של שחקן Call of Duty מטורף עם יותר מדי זמן פנוי).
זה חשוב במיוחד עבור פלטפורמות כמו פייסבוק וטוויטר. תופתעו לגלות כמה תשובות לשאלות אבטחה תוכלו למצוא על ידי גלילה מהירה בקיר הפייסבוק או בפיד הטוויטר של מישהו. בזמן שאתם כבר שם, ודאו שאתם בודקים את הגדרות הפרטיות שמציעות אתרי מדיה חברתית כדי להבטיח שרק אנשים שאתם מכירים יוכלו לגשת למידע האישי שלכם. להפוך למאסטר של בינה בקוד פתוח (OSINT) לא קורה בן לילה, אבל אפילו קצת מאמץ עדיף מכלום.
4. עדכנו את האפליקציות שלכם
כן, זו עצה משעממת. למרבה הצער, דווקא אמצעי הזהירות הבסיסיים הם שלעתים קרובות עושים את ההבדל המכריע בין הצלחה לכישלון באבטחת סייבר. גרסאות תוכנה מיושנות גורמות לכאבי ראש לאנשי מקצוע בתחום האבטחה בכל מקום, לכן אנא עדכנו באופן קבוע את מערכת ההפעלה והתוכנה שלכם (במיוחד אם היא מתחברת לאינטרנט). מבט חטוף ברשימת הפגיעויות והחשיפות הנפוצות ייתן לכם מושג על השפע העצום של פרצות תוכנה שקיימות.
פרצת יום אפס (zero-day exploit) היא כאשר פגיעות נחשפה אך טרם תוקנה, ולכן פושעי סייבר קופצים עליה. עדכוני האבטחה במחשב שלך הם בדרך כלל אלו שמתקנים את הבעיות הללו, לכן אל תזלזלו בהם.
זה חשוב עוד יותר עבור מכשירים ניידים, שלעתים קרובות מהווים מאגרים של מידע רגיש ביותר – גן עדן להאקרים. סביר להניח ששמעתם על תוכנת הריגול פגסוס בשלב מסוים, אשר ניצלה מספר פרצות מורכבות בתוך מערכות ההפעלה iOS ואנדרואיד כדי לפרוץ לטלפונים של דמויות בולטות בתקשורת מרחוק לחלוטין באמצעות הודעות טקסט.
עם זאת, טלפונים אינם המקום היחיד שבו מתרחשות התקפות אלה. דפדפנים ישנים, בפרט, הם מטרות קלות להתקפות תוכנות זדוניות ללא קליקים, אשר גורמים למחשב שלכם להיות חשוד בביקור בקישור חשוד בלבד.
אם עליך לתחזק מערכת הפעלה ישנה למטרות מדור קודם, כגון הפעלת גרסאות תוכנה שהוצאו משימוש, שקול לבודד אותן כמכונות וירטואליות או מערכות בעלות פער אוויר (air-gapped) שאין להן קישוריות לאינטרנט.
5. הפסיקו להשתמש בסיסמאות שלכם שוב ושוב
אני בטוח שכבר אמרו לכם את זה אלף פעמים, אבל יש לכך סיבה. ישנם אינספור אתרים ואפליקציות לא מאובטחים שאתם מפקידים בידיהם את הסיסמאות שלכם. חלקם עדיין שומרים את הסיסמאות שלהם בטקסט רגיל או בקובץ MD5 לא מלוח (בעצם, הצפנה חסרת ערך שלא מגינה עליכם).
אם תשתמשו בהם שוב, זו תהיה פצצת זמן מתקתקת אם אחת מהפלטפורמות הללו תיפרץ, והסיסמה שלכם תתחיל לצוף ברשת האפלה. ברגע שזה יקרה, זו רק שאלה של זמן עד שמישהו ינסה את שילוב האימייל-סיסמה שלכם באתרים פופולריים ויקבל פגיעה.
אפילו אם פרטי ההתחברות שלכם לא דלפו, שימוש בסיסמאות נפוצות הופך אתכם לפגיעים להתקפות. מתקפות Brute Force משתמשות לעתים קרובות ברשימות סיסמאות שנאספו מדליפות נתונים, מה שמקצר באופן משמעותי את הזמן שלוקח למצוא פרטי התחברות שעובדים בפועל.
כשאני מנסה לפרוץ למערכת, אני לא מסתכל על משתמש אחד ומנסה כל סיסמה שאני מכיר. אני מנסה את שלוש הסיסמאות הנפוצות ביותר נגד כל משתמש במערכת. זה מדכא כמה פעמים זה עובד. שנה את הסיסמה שלך!
עם זאת, קשה לזכור סיסמה לכל אתר שאי פעם תיכנסו אליו. כדאי לשקול להשתמש במנהל סיסמאות (או, לכל הפחות, לאפשר אימות דו-שלבי). ניתן גם לבדוק אם אחד מהחשבונות שלכם נפרץ או אם אתם משתמשים בסיסמה מנוצלת בדרך כלל באמצעות כלים כמו haveibeenpwned .
אל תאמין לכלום
ישנם אמצעים רבים אחרים שתוכלו לנקוט באינטרנט כדי להגן על המידע האישי שלכם, אך חמשת הצעדים הנ"ל הם בעלי חשיבות עליונה. מניסיוני, האקרים מצליחים לעתים קרובות לא בזכות כישורים טכניים יוצאי דופן או הישגים הנדסיים מתוחכמים, אלא דווקא בזכות ניצול עצלנות ופיקוח אנושי. אם מישהו השאיר את הדלת האחורית פתוחה, למה לטרוח לנסות לפתוח את המנעול? על ידי ביצוע כמה שינויים בהרגלים שלכם, תוכלו להפחית משמעותית את הסבירות ליפול קורבן למתקפת פריצה (ולהקשות על עבודתי הרבה יותר).
טיפ נוסף: אם אי פעם קיבלתם אימייל מוזר ממישהו שאתם סומכים עליו שמבקש מכם לבדוק קובץ, התקשרו אליו וודאו שהוא שלח אותו. תאמינו לי בעניין הזה. פישינג ספיר עובד הרבה יותר פעמים ממה שהוא אמור.