סדרת מאמרי סייבר

סיסמאות הן קו ההגנה הראשון לשמירה על זהותך המקוונת, אך הן גם הפגיעות ביותר. נתחיל מהסוף להתחלה בכמה המלצות לשמירה על סיסמאות חזקות, בהמשך נבין את ההיגיון לכך.

המלצות לניהול סיסמה חזקה

• השתמש בסיסמאות המורכבות מאותיות גדולות וקטנות, מספרים וסמלים ליצירת סיסמאות מורכבות.
• הימנע משימוש בשם שלך או במידע אישי אחר בסיסמה שלך.
• שנה את הסיסמה שלך לעתים קרובות.
• בחר סיסמאות שקל לזכור אך קשה לנחש.
• אל תשתמש באותה סיסמה ליותר מחשבון אחד! לכל חשבון תבחר את הסיסמה שלו, אין בעיה לשמור על קו אחיד שיעזור לך לזכור את הסיסמאות אבל לא להשתמש בססמה זהה
• השתמש באימות דו-שלבי (2FA)
• השתמש בתוכנת סיסמאות מוכרת (ראה המלצות מטה)
• השתמש בסיסמה באורך של מינימום 8 תווים, רצוי גם יותר
• תזכור סיסמאות הן המפתח לחיים המקוונים שלך ואתה צריך להגן עליהן בכל מחיר.

תוכנות לניהול סיסמאות

מכיוון שאבטחה היא נושא כה חשוב, חשוב להשתמש במנהל סיסמאות אם אתה רוצה להישאר בטוח בעידן הדיגיטלי הזה. הם לא רק יגינו על פרטי החשבון שלך מפני האקרים, הם גם הופכים את החיים לקלים יותר כשזה מגיע לזכור איזה שם משתמש מתאים לאיזו סיסמה. הם חובה לכל מי שרוצה חיים מקוונים יותר מאורגנים!

מנהלי סיסמאות הם כלים המאחסנים סיסמאות למספר אתרים רב במסד נתונים מוצפן ומאובטח. זוהי דרך הרבה יותר בטוחה לאחסון מידע אישי, אך יש לה גם חסרונות.

שני סוגים עיקריים לניהול הסיסמאות הם מנהלי סיסמאות מבוססי ענן ומנהלי סיסמאות מקומיים. מנהלי סיסמאות מקומיים מאחסנים את הסיסמאות שלך במכשיר שלך ואינם דורשים חיבור לאינטרנט כדי לעבוד, מה שאומר שסבירות נמוכה יותר שהסיסמאות שלך ייגנבו ללא סיבה הקשורה אליך ואו למכשיר שלך, כלומר אם יפרצו לספק התוכנה לא יוכלו לגנוב ממנו את הסיסמאות שלך בניגוד לסיטואציה של שימוש בספק ענן. מצד שני אם החשב שלך ייגנב או ייפרץ כן יוכלו לגנוב ממנו את הסיסמאות, כמו כן לא תוכל לסנכרן את הסיסמאות בין מכשירים שונים. מנהלי סיסמאות מבוססי ענן מסונכרנים בין מכשירים שונים אך כמובן שבמקרה זה עלינו לסמוך על ספק התוכנה, במידה ויפרצו לספק התוכנה, קיים סיכוי לגניבת הסיסמאות שלך וכבר היו מקרים כאלה בעבר.

כיום גם הדפדפנים הנופצים (Firefox, Google Chrome) כבר התחילו לספק שירות ניהול סיסמאות ואף בחינם, כמובן שזה ניהול סיסמאות במודל ענן.

לגבי תוכנה מומלצת לשמירת סיסמאות מקומית במכשיר שלך, יש תוכנה חינמית ומאוד מוכרת הנקראת KeePass. התוכנה מכילה מגוון אופציות ותכונות מתקדמות.

אימות דו-שלבי

חשוב להבין שכיום רמת האבטחה המבוססת על סיסמה בלבד כבר אינה מספקת ויש לאבטח את החשבונות שלנו עם אימות דו-שלבי (2FA או Two Factor Authentication), זהו אמצעי אבטחה שמוסיף שכבת הגנה נוספת לחשבון. מכיוון שאימות דו-שלבי דורש משהו נוסף שיש לך, שהוא בדרך כלל הטלפון שלך, ומשהו שאתה יודע, שהוא הסיסמה שלך, קשה יותר להיכנס או לגנוב חשבון (אבל זה עדיין לא אומר שזה לא אפשרי, בהמשך נבין למה).

אפליקציית אימות דו-שלבי (2FA) מייצרת עבורך קוד זמני נוסף לסיסמה שעליך להזין כדי להיכנס. במהותה, זהו שכבת הגנה נוספת עבור חשבונך כפי שציינו.

אחד הפתרונות הנפוצים ביותר שתומכים בהרבה אפליקציות ואתרים זה אימות דו-שלבי עם תוכנה הנקראת Google Authenticator. השימוש הוא מאוד פשוט עם כמה שלבים בסיסיים:

1. הורד את אפליקציית המאמת של Google לטלפון שלך (Google Authenticator)
2. הירשם ל- 2FA באתר שבו ברצונך להפעיל אותו
3. סרוק את קוד ה- QR באמצעות הטלפון שלך דרך תוכנת ה- Google Authenticator או הזן את המפתח המסופק באופן ידני.

המלצה חשובה ביותר: כיום תוכנת ה- Google Authenticator מאפשרת לייצר גיבוי והעברת המידע ממכשיר ישן לחדש, חשוב מאוד לדאוג מראש לעשות גיבוי לפני החלפת מכשיר ובכלל מבעוד מועד, אחרת תצטרכו להגדיר את כל החשבונות מחדש וזה לא דבר פשוט.

יש הרבה אפליקציות 2fa זמינות בשוק, אך לא כולן מציעות תכונות אבטחה ופרטיות חזקות. חברות כמו Authy ו- Google Authenticator מציעות רמות אבטחה גבוהות בשל השימוש בקריפטוגרפיה וסיסמאות חד פעמיות המבוססות על זמן.

מה לגבי SMS

גם הודעות SMS משמשות לא מעט כאימות דו-שלבי (2FA), אך מה יותר מאובטח שימוש בהודעת SMS או שימוש בתוכנות אימות כגון Google Authenticator.

הודעת SMS אינה השיטה הבטוחה ביותר לשימוש, באופן כללי הודעות SMS עובדות בשיטה לא בטוחה ולא מוצפת מה שמאפשר לתוקפים ליירט הודעות בכל מיני שיטות, אך מעבר ניתן בקלות לזייף הודעות ורמת האמינות שלהן נמוכה. מכיוון שרוב האנשים משתמשים בטלפונים שלהם כדי לגשת לדוא"ל, מדיה חברתית, רשומות בנק וכל דבר אחר שהם עושים באינטרנט, חשוב להם לדעת שהודעות הטקסט שלהם אינן מאובטחות.

אבל שלא תטעו כמובן ששימוש בהודעות SMS כאימות דו-שלבי עדיף והרבה יותר מאובטח מאשר לא להפעיל אימות דו-שלבי! ההמלצה היא תמיד להעדיף תוכנות אימות כגון Google Authenticator.

פריצת סיסמאות

חלק מסוגי הסיסמאות הנפוצות ביותר שאנשים משתמשים בהן הן מחרוזות מספרים, מילים מתוך רשימה ומידע אישי כגון שמות וימי הולדת. בחלק זה נבחן מדוע סוגים אלה של סיסמאות אינם יעילים כפי שאנו חושבים ומדוע אינם בהכרח עוזרים להגן על החשבונות היקרים שלנו מפני פריצה.

אחת הדרכים לעקוף את הסיסמה היא שימוש במתקפה של ניחוש סיסמאות (Brute Force). התקפה זו מנסה את כל המחזורות האפשריות של אותיות, מספרים וסמלים כדי לנחש את הסיסמה או לחלופין מבוססת על רשימת מילון של סיסמאות ידועות מראש. התקפה מסוג זה נפוצה מאוד.

אחת מרשימות הסיסמאות הנפוצה ביותר שבה תוקפים משתמשים לניחוש סיסמאות נקראת Rockyou.

קיימת תפיסה קצת מוטעית כי סיסמאות ארוכות יותר מספקות הגנה רבה יותר מאשר סיסמאות קצרות יותר מכיוון שלוקח יותר זמן עד שהאקרים יפרצו אותן באמצעות התקפות ניחוש סיסמאות (Brute Force). זה נכון האורך של הסיסמה מאוד משפיע אך למעשה האורך אינו החלק היחידי שחשוב, אלא המורכבות והשימוש במחרוזת שאינה קלה לניחוש, למשל אורך של סיסמה בת 10 תווים נשמע מספיק חזק אך אם הסיסמה תהיה “1234567890” אז מדובר בסיסמה מאוד חלש וקלה לניחוש.

רובד נוסף בנושא פריצת סיסמאות מדבר על הדלפת מידע מאתרים בהם נרשמנו עם הסיסמא שלנו, למעשה מדי יום אתרים נפרצים בעולם וכן גם לטובים ולגדולים ביותר זה קורה, פייסבוק, טוויטר ועוד רבים וטובים כבר נפרצו וסיסמאות של משתמשים הודלפו ברשת. תוקפים לוקחים את הסיסמאות שלכם ואפילו לא צריכים לפרוץ אותן, הן פשוט אצלהם.

לכן, הדבר החשוב ביותר הוא להחליף סיסמאות אחת לכמה זמן, לא להשתמש באותה סיסמה לכמה חשבונות ואם שומעים שאתר שנרשמנו אליו נפרץ אז ישר מחליפים סיסמה + תמיד מומלץ להפעיל אימות דו שלבי

קשה להעריך את הזמן שלוקח לפצח סיסמה. זה יכול להיות תלוי בגורמים רבים, כולל סוג ההצפנה איתה היא מוצפנת, המורכבות של הסיסמה וכוח העיבוד של המחשב המבצע את הפיצוח.

הנדסה חברתית

התחזות או דיוג (phishing) היא סוג של הנדסה חברתית שבה התוקף מנסה לחשוף מידע רגיש מהקורבן על ידי התחזות כישות מהימנה בתקשורת אלקטרונית. ההתחזות מגיעה בדרך כלל בדואר אלקטרוני או הודעת SMS שנראה שמקורם אמין. ההודעה עשויה להכיל קישור או קובץ מצורף המוביל לאתר מזויף שנראה בדיוק כמו האתר המקורי, המיועד ושם התוקף יבקש ממכם להזין את פרטיכם לרבות סיסמתכם.

בחלק זה נדבר כיצד ניתן להשתמש בדיוג כדי לעקוף אימות דו-גורמי.

התוקפים כבר הספיקו להשתכלל ולמדו שגם אימות דו-שלבי ניתן לעקוף באמצעות הנדסה חברתית, מה שבעצם הם עושים זה שלאחר ששלחו לכם קישור לאתר המתחזה ונפלתם קורבן והזנתם את שם המשתמש והסיסמה לאותו אתר או שירות, התוקף לוקח את הפרטים האלה, מנסה להתחבר בשמכם לאותו אתר ואז בשלב הבא התוקף יבקש ממכם קוד אימות שנשלח אליכם באמצעות הודעת SMS, ניקח למשל את חשבון הבנק שלכם, לאחר שהזנתם שם משתמש והסיסמה אתם מקבלים הודעת SMS למכשירכם שבה יש קוד אימות זמני, את הקוד הזה אתם מזינים לאתר הבנק וכך מתחברים, הקוד הזה הוא למעשה האימת הדו-שלבי לחשבון הבנק שלכם. מה שיקרה בהתקפת הדיוג הוא שלאחר שהתוקף "דג" את שם המשתמש והסיסמה שלכם, הוא משאיר אותכם באתר המתחזה ואומר לכם שאתם תקבלו קוד אימות ומבקש ממכם את הקוד, מאחורי הקלעים מה שקרה הוא, שהתוקף נכנס בשמכם לחשבון הבנק, הבנק שלח לכם קוד אימות הרי הטלפון שלכם כבר מוגדר שם, אתם קיבלתם את הקוד אך במקום להזין אותו באתר המקורי הזנתם אותו ישירות לתוקף שפשוט לקח את הקוד ועקף את האימות הדו שלבי שלכם!.

לסיכום טיפ: לא לפתוח קישורים מהודעות לא מוכרות, לא להזין פרטים היכן שלא צריך, חושדים? לא בטוחים? אל תכנסו לחשבון דרך הקישור ששלחו לכם אלא תגלשו בצורה יזומה לאתר שאליו אתם רוצים להתחבר כך שאתם שולטים בכתובת האתר וכך תמנעו מעצמכם גלישה לאתרים מתחזים!

מעוניין במידע
נוסף
?

הפוסט ניהול סיסמאות הופיע לראשונה ב-בדיקת חדירות.

סדרת מאמרי סייבר מקצועיים

ביקורת אבטחה

ביקורת היא תהליך של בחינת מערכות ואו תהליכים עסקיים כדי להבטיח שהם מתוכננים ושמבצעים בהם שימוש כראוי.

הביקורת מבוצעת לעתים קרובות על ידי צד שלישי בלתי תלוי או כקבוצה אוטונומית בתוך הארגון.

פעולה זו מסייעת להבטיח כי תוצאות הביקורת מדויקות ואינן מוטות עקב פוליטיקה ארגונית או בנסיבות אחרות.

הביקורת מבוצעת בתדירות גבוהה בכדי להבטיח כי הארגון עומד במדיניות עסקית, אבטחת מידע ודרישות אחרות אליהם העסק עשוי להיות כפוף. מדיניות זו יכולה לכלול רגולציות, חוקי ממשל ותקנות, חוזים משפטיים ו – Best Practices.

מערכות עיסקיות קריטיות צריכות להיות כפופות לביקורת קבועה כפי שמכתיבה הדרישה הרגולטורית או החוזית.

שבילי ביקורת | לוגים (Audit Trails)

שבילי הביקורת הן רשומות עזר הנוצרות עם עסקאות ואירועים אחרים.

ישנן סיבות רבות מדוע יש להשתמש בהן, הנה כמה:

• אכיפת אחריות: עובדים נוטים להיות יותר אחראים על מעשיהם כשהם יודעים שישנם ביקורות אשר לוכדות הפעולות שלהם.

• חקירה: חוקרים שצריכים להתחקות אחר מעשיו של עובד יכולים להסתמך על שבילי ביקורת המציגות את הפעילויות שאותו עובד ביצע.

• שחזור אירוע: ייתכן ולעיתים אנליסטים יידרשו להבין את האירוע על ידי ביצוע שחזור לתהליך, וללא שבילי ביקורת, שחזור אירוע יהיה חסר תועלת.

• זיהוי בעיות: שבילי ביקורת יכולים לעזור לאנליסט או מהנדס לזהות ולתקן את בעיות שונות במערכת או בתהליך.

המרכיבים העיקריים של שבילי ביקורת הינם:

• תאריך ושעה: תיעוד תאריך ושעת האירוע.
• גורם: מי העובד המבצע.
• מקור: המיקוםעמדה שדרכו בוצע האירוע.
• פרטים נוספים: פרטים נלווים כגון השינוי שבוצע לעומת מה שקדם לו.

סוגי שבילי ביקורת

שבילי ביקורת (הידוע גם בשם יומני ביקורת או סתם לוגים) באים בכמה צורות וגדלים שונים.

הם יכולים לכלול קבצי לוג עצומים ובפורמטים מסויימים, כגון לוגי מערכת ו – syslog, רשומות התחברות למערכות, יומני מעקב רשת ולוגים ממערכות שונות.

שבילי ביקורת חסרי תכונה חשובה אחת: עקביות הפורמט.

נראה כאילו כל מי שאי פעם כתב תכנית שיוצרת לוג זחל לתוך מערה והמציא שם פורמט לוג ייחודי משלו.

ניהול אירועים

אז מה עושים כשקופצות התראות מהמערכת?

• בדוק אם ההתראה אכן מעידה על אירוע אמיתי או False-Positive.
  אם האירוע הוא False-Positive, יש ליצור החרגה במערכת ולתעד את אופי האירוע. אם ההתראה הינה אמיתית יש לפעול לפי התכתיבים והנהלים לטיפול מיידי באירוע.
• בצע ניתוח שורש. הלוגים משמשים כדי לפתור בעיות ולשחזר אירועים, וביצוע ניתוח הינו אידיאלי במצב הזה.
  הניתוח אמור להוביל לטיפול בבעיה – ובסופו של דבר, את היכולת למנוע אותה בעתיד.

שמירת לוגים

מנהלים רבים שוכחים לקחת בחשבון את נפחי הלוגים שמגיעים לגדלים גבוהים מאד, לוגים מיוצרים מדי יום על מערכות רבות, והם מגלים זאת ברגע ששטח הדיסק עומד להגמר וברוב המקרים, קבצי הלוגים שאנו זקוקים להם לצרכי אנליזה ומחקר מוחלפים על ידי קבצי לוג חדשים (Log Rotation).

בתעשיות רבות, שימור לוגים ופעולות בסופו של דבר הופך להיות סוגיה משפטית (כגון חוקי ממשל ורגולציות), במיוחד עם יישומים.

לכן יש לברר כמה זמן נדרש לשמור את הלוגים, ולאחר מכן להבין מהי הדרך הנכונה לשמור אותם כראוי.

הגנת הלוגים

שלמות ומהימנות הלוגים הוא צורך חיוני, וזה עוד מצב שעלול להשאיר אתכם ערים בלילה.
הלוגים חייבים להיות מוגנים כנכד חבלה והתקפות אחרות היכולות למנוע רישום אירועים כראוי ובאופן אמין.
הבעיה היא שהלוגים הנם בדרך כלל קבצי נתונים במערכת ולכן גורם נחוש שרוצה לעשות צרות ואו למחוק את עקבותיו מחפש את קבצי הלוג במטרה לשנות ואף למחוק אותם.
ישנה אפשרות למנוע זאת באמצעות הקשחת הרשאות הגישה לקבצים אלו אך מדובר במשימה לא פשוטה כלל. ביצירתיות מסוימת, אפשר להשתמש בכמה טכניקות לוגים חושבים מאד, כגון לכתוב אותם ישירות לטייפ קלטות או להעביר אותם ישירות למערכתספריה ברשת.

רישום לוגים יכול להיות גם המקור של מתקפת מניעת שירות (DoS, DDoS). גורם זדוני פנימי או חיצוני שמעוניין לבצע פעולות לא חוקיות מודאג באופן טבעי מנושא רישום הלוגים.
ולכן, הוא יכול לשגר התקפת DoS על רישומי הלוג באמצעות הפעלת תוכנית המבצעת אלפי עסקאות או פעולות, ובאמצעות כך לנסות לגרום לחוסר בשטח דיסק פנוי.
במידה ואכן המתקפה הצליחה, מנגנון רישום הלוגים משתנק, ולאחר מכן הגורם יוכל לבצע את רצונו ללא התרעה על האירוע.

אודות: אורן יעקובי

אורן יעקובי, יועץ אבטחת מידע, בעל ניסיון מוכח מעל 14 שנה בניהול, הקמת מערכות מידע, תכנון ואינטגרציה של פרויקטים מורכבים בעולם אבטחת המידע ו – IT ומוחה בסביבות ענן.

Linkedin

מעוניין במידע
נוסף
?

הפוסט סדרת CISSP: ביקורת אבטחה Security Auditing הופיע לראשונה ב-בדיקת חדירות.

סדרת מאמרי סייבר מקצועיים

במאמר הבא נדון בנושאים:

• הבנה כיצד אסונות יכולים לשבש פעילות עסקית
• כיצד המשכיות עסקית והתאוששות מאסון נבדלים זו מזו אך עובדות ביחד

תכנון המשכיות עסקית (BCP) ותכנון התאוששות מאסון (DRP) הולכים יד ביד בכדי לספק לארגון את האמצעים להמשיך את הפעילות העסקית כאשר מתרחש אסון.

BCP ו DRP הינם תהליכים אינטנסיביים ומאד מפורטים והם קיימים מסיבה אחת; דברים רעים קורים.

ארגונים אשר מעוניינים לשרוד אסון נדרשים להכין תוכניות מגירה רשמיות ונרחבות לצורך קיום המשכיות עסקית והשבת פעילות הארגון למצב נורמטיבי.

הגדרת מצבי אסון

מגוון רחב של אסונות יכולים להטריד את הפעילויות העסקיות של כל ארגון.

האסונות מתחלקים לשתי קטגוריות עיקריות; אסונות טבע או מעשה ידי אדם. אין זה משנה אם 

האסון הינו טבעי או מעשה ידי אדם, אסון יכול לשבש את הפעילות העסקית של הארגון.

במאמר זה נדון כיצד אסונות משפיעים על ארגונים ונגדיר מהם גורמי האסון.

אסונות טבע

עבור מקרי אסונות רבים, ישנן מתודולוגיות רשמיות אשר נועדו להעריך מהי רמת הסבירות של אסון מסויים.

סבירות התרחשות אסון כפי שאציג בהמשך תלויה במידה משמעותית באזור הגיאוגרפי של הארגון.

• שטפונות
• שריפות ופיצוצים
• רעידות אדמה
• סופות טרופיות [טייפון, הוריקן וכו']
• הרי געש
• מפולות
• צונאמי

בעבור מקרים מסויימים מהרשימה הנ"ל עלולים להתרחש גם אפקטים משניים בעלי השפעה גדולה יותר על הפעילות העסקית של הארגון, לדוגמה; צריכה מרבית של חשמל באזור מסויים עלולה להפיל את קווי החשמל באזורי תעשייה (מה שקרה לא פעם במדינה).

חלק נוסף מהתופעות הללו הינם:

• הפסקת שירות חשמל, גז, מים וכדומה.
• הפסקת תקשורת טלפוניה, כבלים, תחנות טלוויזיה ורדיו.
• הפסקת שירותי תחבורה, שדות תעופה, כבישים, רכבות וכו'.

אסונות מעשה ידי אדם

לא מספיק שישנם אסונות טבע שנדרש להתמודד ולהתכונן אליהם, צריך לקחת בחשבון גם אסונות מעשה ידי אדם לדוגמה:

• תאונות עבודה אשר עלולות להשבית את החשמל, כשלי תקשורת וכדומה.
• פשעים שונים כגון טרור, ונדליזם, פריצה, הצתות ועוד.
• מתקפות סייבר כגון פעולות מניעת שירות (DoS), החדרת נוזקות (Malware, Viruses), השמדת מידע ועוד.
• התפרעות אזרחים כגון הפגנות ושביתות

כיצד אסונות אלו משפיעים על הארגון

• נזק למבני הארגון, אסונות יכולים לפגוע ואף להרוס בניין.
• נזק למידע עסקי, בשילוב עם נזק במבני הארגון, אסון עלול לגרום נזק למידע עסקי בין אם מידע אלקטרוני או פיזי.
• נזק לציוד עסקי, אסון עלול להזיק למשאבי מחשוב לרבות מחשבים, שרתים, מכונות צילום וכדומה.
• פגיעה בתקשורת, אסונות עלולים לפגוע במתקני ציבור, כולל רשתות טלפון (הן קווים נייחים וסלולריים), רשתות נתונים וגם מערכות אלחוטיות מבוססי לוויין.
• פציעות ואובדן חיים, אסונות אלימים באזורים מיושבים לעיתים קרובות גורמים לנפגעים. כאשר עובדים, קבלנים, או לקוחות נהרגים או נפצעים, בארגון עלול להיות מושפע מכך בדרכים שליליות.

כיצד המשכיות עסקית והתאוששות מאסון עובדים יחד

תכנון המשכיות עסקית והתאוששות מאסון הינם שני צדדים לאותו מטבע, שניהם מופעלים בעת אירוע אסון אך עם זאת יש לכל אחד מטרות שונות להלן:

• תכנון המשכיות עסקית עוסקת בשמירת הפעילות העסקית של הארגון בעת אסון על ידי שימוש בתהליכים מוגדרים וכלים שונים.
• תכנון התאוששות מאסון עוסקת בשחזור פעילות הארגון למצב נורמטיבי לאחר התממשות אסון.

בעוד צוות ההמשכיות העסקית עסוקים בשמירה וניהול האסון באמצעות תוכניות מוכנות מראש, צוות התאוששות מאסון עסוקים בשיקום המתקנים והציוד לצורך חידוש פעילות הארגון לרמה הנורמטיבית.

כמו תחומים רבים מבוססי טכנולוגיה, BCP ו- DRP משתנים במהירות.

לכן פותחה גישה חדשה הנקראת COOP – Continuity of Operations, להלן רצף פעולות, שהנו מיזוג של BCP ו- DRP לתוך משימה אחת: שמירה על הפעילות העסקית של הארגון לאחר אסון.

הפוסט תכנון המשכיות עסקית והתאוששות מאסון (BCP/DRP) הופיע לראשונה ב-בדיקת חדירות.