סדרת מאמרי סייבר

סיסמאות הן קו ההגנה הראשון לשמירה על זהותך המקוונת, אך הן גם הפגיעות ביותר. נתחיל מהסוף להתחלה בכמה המלצות לשמירה על סיסמאות חזקות, בהמשך נבין את ההיגיון לכך.

המלצות לניהול סיסמה חזקה

• השתמש בסיסמאות המורכבות מאותיות גדולות וקטנות, מספרים וסמלים ליצירת סיסמאות מורכבות.
• הימנע משימוש בשם שלך או במידע אישי אחר בסיסמה שלך.
• שנה את הסיסמה שלך לעתים קרובות.
• בחר סיסמאות שקל לזכור אך קשה לנחש.
• אל תשתמש באותה סיסמה ליותר מחשבון אחד! לכל חשבון תבחר את הסיסמה שלו, אין בעיה לשמור על קו אחיד שיעזור לך לזכור את הסיסמאות אבל לא להשתמש בססמה זהה
• השתמש באימות דו-שלבי (2FA)
• השתמש בתוכנת סיסמאות מוכרת (ראה המלצות מטה)
• השתמש בסיסמה באורך של מינימום 8 תווים, רצוי גם יותר
• תזכור סיסמאות הן המפתח לחיים המקוונים שלך ואתה צריך להגן עליהן בכל מחיר.

תוכנות לניהול סיסמאות

מכיוון שאבטחה היא נושא כה חשוב, חשוב להשתמש במנהל סיסמאות אם אתה רוצה להישאר בטוח בעידן הדיגיטלי הזה. הם לא רק יגינו על פרטי החשבון שלך מפני האקרים, הם גם הופכים את החיים לקלים יותר כשזה מגיע לזכור איזה שם משתמש מתאים לאיזו סיסמה. הם חובה לכל מי שרוצה חיים מקוונים יותר מאורגנים!

מנהלי סיסמאות הם כלים המאחסנים סיסמאות למספר אתרים רב במסד נתונים מוצפן ומאובטח. זוהי דרך הרבה יותר בטוחה לאחסון מידע אישי, אך יש לה גם חסרונות.

שני סוגים עיקריים לניהול הסיסמאות הם מנהלי סיסמאות מבוססי ענן ומנהלי סיסמאות מקומיים. מנהלי סיסמאות מקומיים מאחסנים את הסיסמאות שלך במכשיר שלך ואינם דורשים חיבור לאינטרנט כדי לעבוד, מה שאומר שסבירות נמוכה יותר שהסיסמאות שלך ייגנבו ללא סיבה הקשורה אליך ואו למכשיר שלך, כלומר אם יפרצו לספק התוכנה לא יוכלו לגנוב ממנו את הסיסמאות שלך בניגוד לסיטואציה של שימוש בספק ענן. מצד שני אם החשב שלך ייגנב או ייפרץ כן יוכלו לגנוב ממנו את הסיסמאות, כמו כן לא תוכל לסנכרן את הסיסמאות בין מכשירים שונים. מנהלי סיסמאות מבוססי ענן מסונכרנים בין מכשירים שונים אך כמובן שבמקרה זה עלינו לסמוך על ספק התוכנה, במידה ויפרצו לספק התוכנה, קיים סיכוי לגניבת הסיסמאות שלך וכבר היו מקרים כאלה בעבר.

כיום גם הדפדפנים הנופצים (Firefox, Google Chrome) כבר התחילו לספק שירות ניהול סיסמאות ואף בחינם, כמובן שזה ניהול סיסמאות במודל ענן.

לגבי תוכנה מומלצת לשמירת סיסמאות מקומית במכשיר שלך, יש תוכנה חינמית ומאוד מוכרת הנקראת KeePass. התוכנה מכילה מגוון אופציות ותכונות מתקדמות.

אימות דו-שלבי

חשוב להבין שכיום רמת האבטחה המבוססת על סיסמה בלבד כבר אינה מספקת ויש לאבטח את החשבונות שלנו עם אימות דו-שלבי (2FA או Two Factor Authentication), זהו אמצעי אבטחה שמוסיף שכבת הגנה נוספת לחשבון. מכיוון שאימות דו-שלבי דורש משהו נוסף שיש לך, שהוא בדרך כלל הטלפון שלך, ומשהו שאתה יודע, שהוא הסיסמה שלך, קשה יותר להיכנס או לגנוב חשבון (אבל זה עדיין לא אומר שזה לא אפשרי, בהמשך נבין למה).

אפליקציית אימות דו-שלבי (2FA) מייצרת עבורך קוד זמני נוסף לסיסמה שעליך להזין כדי להיכנס. במהותה, זהו שכבת הגנה נוספת עבור חשבונך כפי שציינו.

אחד הפתרונות הנפוצים ביותר שתומכים בהרבה אפליקציות ואתרים זה אימות דו-שלבי עם תוכנה הנקראת Google Authenticator. השימוש הוא מאוד פשוט עם כמה שלבים בסיסיים:

1. הורד את אפליקציית המאמת של Google לטלפון שלך (Google Authenticator)
2. הירשם ל- 2FA באתר שבו ברצונך להפעיל אותו
3. סרוק את קוד ה- QR באמצעות הטלפון שלך דרך תוכנת ה- Google Authenticator או הזן את המפתח המסופק באופן ידני.

המלצה חשובה ביותר: כיום תוכנת ה- Google Authenticator מאפשרת לייצר גיבוי והעברת המידע ממכשיר ישן לחדש, חשוב מאוד לדאוג מראש לעשות גיבוי לפני החלפת מכשיר ובכלל מבעוד מועד, אחרת תצטרכו להגדיר את כל החשבונות מחדש וזה לא דבר פשוט.

יש הרבה אפליקציות 2fa זמינות בשוק, אך לא כולן מציעות תכונות אבטחה ופרטיות חזקות. חברות כמו Authy ו- Google Authenticator מציעות רמות אבטחה גבוהות בשל השימוש בקריפטוגרפיה וסיסמאות חד פעמיות המבוססות על זמן.

מה לגבי SMS

גם הודעות SMS משמשות לא מעט כאימות דו-שלבי (2FA), אך מה יותר מאובטח שימוש בהודעת SMS או שימוש בתוכנות אימות כגון Google Authenticator.

הודעת SMS אינה השיטה הבטוחה ביותר לשימוש, באופן כללי הודעות SMS עובדות בשיטה לא בטוחה ולא מוצפת מה שמאפשר לתוקפים ליירט הודעות בכל מיני שיטות, אך מעבר ניתן בקלות לזייף הודעות ורמת האמינות שלהן נמוכה. מכיוון שרוב האנשים משתמשים בטלפונים שלהם כדי לגשת לדוא"ל, מדיה חברתית, רשומות בנק וכל דבר אחר שהם עושים באינטרנט, חשוב להם לדעת שהודעות הטקסט שלהם אינן מאובטחות.

אבל שלא תטעו כמובן ששימוש בהודעות SMS כאימות דו-שלבי עדיף והרבה יותר מאובטח מאשר לא להפעיל אימות דו-שלבי! ההמלצה היא תמיד להעדיף תוכנות אימות כגון Google Authenticator.

פריצת סיסמאות

חלק מסוגי הסיסמאות הנפוצות ביותר שאנשים משתמשים בהן הן מחרוזות מספרים, מילים מתוך רשימה ומידע אישי כגון שמות וימי הולדת. בחלק זה נבחן מדוע סוגים אלה של סיסמאות אינם יעילים כפי שאנו חושבים ומדוע אינם בהכרח עוזרים להגן על החשבונות היקרים שלנו מפני פריצה.

אחת הדרכים לעקוף את הסיסמה היא שימוש במתקפה של ניחוש סיסמאות (Brute Force). התקפה זו מנסה את כל המחזורות האפשריות של אותיות, מספרים וסמלים כדי לנחש את הסיסמה או לחלופין מבוססת על רשימת מילון של סיסמאות ידועות מראש. התקפה מסוג זה נפוצה מאוד.

אחת מרשימות הסיסמאות הנפוצה ביותר שבה תוקפים משתמשים לניחוש סיסמאות נקראת Rockyou.

קיימת תפיסה קצת מוטעית כי סיסמאות ארוכות יותר מספקות הגנה רבה יותר מאשר סיסמאות קצרות יותר מכיוון שלוקח יותר זמן עד שהאקרים יפרצו אותן באמצעות התקפות ניחוש סיסמאות (Brute Force). זה נכון האורך של הסיסמה מאוד משפיע אך למעשה האורך אינו החלק היחידי שחשוב, אלא המורכבות והשימוש במחרוזת שאינה קלה לניחוש, למשל אורך של סיסמה בת 10 תווים נשמע מספיק חזק אך אם הסיסמה תהיה “1234567890” אז מדובר בסיסמה מאוד חלש וקלה לניחוש.

רובד נוסף בנושא פריצת סיסמאות מדבר על הדלפת מידע מאתרים בהם נרשמנו עם הסיסמא שלנו, למעשה מדי יום אתרים נפרצים בעולם וכן גם לטובים ולגדולים ביותר זה קורה, פייסבוק, טוויטר ועוד רבים וטובים כבר נפרצו וסיסמאות של משתמשים הודלפו ברשת. תוקפים לוקחים את הסיסמאות שלכם ואפילו לא צריכים לפרוץ אותן, הן פשוט אצלהם.

לכן, הדבר החשוב ביותר הוא להחליף סיסמאות אחת לכמה זמן, לא להשתמש באותה סיסמה לכמה חשבונות ואם שומעים שאתר שנרשמנו אליו נפרץ אז ישר מחליפים סיסמה + תמיד מומלץ להפעיל אימות דו שלבי

קשה להעריך את הזמן שלוקח לפצח סיסמה. זה יכול להיות תלוי בגורמים רבים, כולל סוג ההצפנה איתה היא מוצפנת, המורכבות של הסיסמה וכוח העיבוד של המחשב המבצע את הפיצוח.

הנדסה חברתית

התחזות או דיוג (phishing) היא סוג של הנדסה חברתית שבה התוקף מנסה לחשוף מידע רגיש מהקורבן על ידי התחזות כישות מהימנה בתקשורת אלקטרונית. ההתחזות מגיעה בדרך כלל בדואר אלקטרוני או הודעת SMS שנראה שמקורם אמין. ההודעה עשויה להכיל קישור או קובץ מצורף המוביל לאתר מזויף שנראה בדיוק כמו האתר המקורי, המיועד ושם התוקף יבקש ממכם להזין את פרטיכם לרבות סיסמתכם.

בחלק זה נדבר כיצד ניתן להשתמש בדיוג כדי לעקוף אימות דו-גורמי.

התוקפים כבר הספיקו להשתכלל ולמדו שגם אימות דו-שלבי ניתן לעקוף באמצעות הנדסה חברתית, מה שבעצם הם עושים זה שלאחר ששלחו לכם קישור לאתר המתחזה ונפלתם קורבן והזנתם את שם המשתמש והסיסמה לאותו אתר או שירות, התוקף לוקח את הפרטים האלה, מנסה להתחבר בשמכם לאותו אתר ואז בשלב הבא התוקף יבקש ממכם קוד אימות שנשלח אליכם באמצעות הודעת SMS, ניקח למשל את חשבון הבנק שלכם, לאחר שהזנתם שם משתמש והסיסמה אתם מקבלים הודעת SMS למכשירכם שבה יש קוד אימות זמני, את הקוד הזה אתם מזינים לאתר הבנק וכך מתחברים, הקוד הזה הוא למעשה האימת הדו-שלבי לחשבון הבנק שלכם. מה שיקרה בהתקפת הדיוג הוא שלאחר שהתוקף "דג" את שם המשתמש והסיסמה שלכם, הוא משאיר אותכם באתר המתחזה ואומר לכם שאתם תקבלו קוד אימות ומבקש ממכם את הקוד, מאחורי הקלעים מה שקרה הוא, שהתוקף נכנס בשמכם לחשבון הבנק, הבנק שלח לכם קוד אימות הרי הטלפון שלכם כבר מוגדר שם, אתם קיבלתם את הקוד אך במקום להזין אותו באתר המקורי הזנתם אותו ישירות לתוקף שפשוט לקח את הקוד ועקף את האימות הדו שלבי שלכם!.

לסיכום טיפ: לא לפתוח קישורים מהודעות לא מוכרות, לא להזין פרטים היכן שלא צריך, חושדים? לא בטוחים? אל תכנסו לחשבון דרך הקישור ששלחו לכם אלא תגלשו בצורה יזומה לאתר שאליו אתם רוצים להתחבר כך שאתם שולטים בכתובת האתר וכך תמנעו מעצמכם גלישה לאתרים מתחזים!

מעוניין במידע
נוסף
?

הפוסט ניהול סיסמאות הופיע לראשונה ב-בדיקת חדירות.

סדרת מאמרי סייבר מקצועיים

זה קורה לטובים ביותר

קיבלתם שיחה טלפונית פתאומית וביקשו "בטעות" אדם אחר שאינכם מכירים, למרות טענתכם שמדובר בטעות עדיין אתם נשאלים מספר שאלות על ידי אותו גורם שהתקשר, האם הדבר מוכר לכם?

רוב הסיכויים שהתשובה היא כן, בהרבה מן המקרים אין זו באמת טעות אלא תרמית במטרה להוציא מכם מידע שאינכם הייתם מספקים לאדם זר שהיה מבקש זאת בסיטואציה אחרת.

תרמית זאת נקראת במונח המקצועי – הנדסה חברתית.

הנדסה חברתית קיימת בשימוש קבוע בחיי היומיום שלנו, בין אם זו הדרך שבה הילדים משכנעים את הוריהם לקנות להם ממתקים, בין אם זה על ידי אנשי מכירות שגורמים ללקוחות לקנות מוצרים שבכלל אינם חפצים בהם וכו'.

הנדסה חברתית הינה היכולת לתמרן את המוח האנושי לנקוט בפעולה כלשהי, כאשר אותה פעולה לא הייתה נראית לנו לגיטימית במידה והיינו מודעים למשמעותה או למטרה שלשמה נתבקשנו לבצעה.

ויקיפדיה מגדירה זאת: "מושג מתחום האבטחה ובפרט מתחום אבטחת מידע, שמשמעותו ניצול של תכונות פסיכולוגיות של האדם, אשר עשויות להביא אותו לציית לבקשותיו של הפורץ. הנדסה חברתית היא לכן, אחת מהטכניקות למימוש לוחמת סייבר."

לי זה לא יקרה

אז נכון, יש לכם חומת אש (Firewall) מהחדישות ביותר, מערכות לגילוי והתרעה על התקפות ברשת, אנטי-וירוסים בכל התחנות בארגון, בקרות גישה ביומאריות, חדרי הרתים מאובטחים היטב, מי מסוגל לפרוץ אליכם עם כל ההגנות האלה?

כאשר מדובר בהנדסה חברתית, להגנות אלו אין יותר מדי משמעות ואתם נותרים חשופים למגוון רחב של התקפות שדרכן ניתן בקלות רבה לחדור לארגונכם ולעקוף את כל ההגנות הפיזיות והאפליקטיביות הקיימות. היות ואין באמת הגנה על החולשה העיקרית – הגורם האנושי.

בעוד ארגונים מתקדמים טכנולוגית ומשפרים משמעותית את מערך אבטחת המידע שלהם, האקרים פונים לחלק הכי חלש בחוליה, העובדים.

כיום, עם מערכות ההגנה המתקדמות, התקפות על מערך אבטחת המידע בארגון הפכו ליותר מסובכות וקשות ליישום, מה שמאריך ומקשה מאוד את תהליך התקיפה.

לעומת זאת, בעזרת הנדסה חברתית, האקר יכול להגיע לתוצאות זהות בשעות עבודה ספורות בלבד.

המחשה

לארגונכם הגיע איש כיבוי אש המטפל במטפי הכיבוי בבניין, איש כיבוי האש ניגש תחילה לשומר הנמצא בלובי הבניין והסביר שבא לביקורת שגרתית ולכן השומר הכניסו ללא כל בעיה לבניין.

לאחר שיחה קצרה עם המזכירה בדלפק הקבלה "וזריקת" חיוך קטן :), איש כיבוי האש קיבל הכוונה למיקום חדר השרתים וניגש לאזור המעליות ועלה לקומה הראשונה בה נמצא מתחם השרתים של הארגון.

הכניסה למתחם השרתים מאופשרת רק לבעלי מורשי גישה ובאמצעות טביעת אצבע בלבד.

בדיוק כאשר יצא האיש מהמעלית, אחד מטכנאי המחשבים יצא מדלת המתחם לצורך הפסקת סיגריה קצרה וראה את איש כיבוי האש בדיוק בדרכו פנימה ולכן השאיר לו את הדלת פתוחה כדי שיוכל להיכנס.

לאחר שקיבל הסבר מאחד הטכנאים הנמצא במקום, הוא הופנה לחדר השרתים שבו מותקן מטף הכיבוי.

לאחר מבט מהיר הוציא מכיסו תווית קטנה והדביקה על המטף.

תווית זו מעידה כי המטף תקין, בזמן הוצאת התווית מכיסו, שלף דיסק און קי קטן, אשר אינו בולט לעיין והכניסו לאחד השרתים שהיו על ידו (בחלקו האחורי של השרת).

הבחור אמר שלום בחיוך ועזב את הבניין. עד לפעולה האחרונה שאותו "איש כיבוי אש" ביצע, ניתן להניח שממבט מבחוץ של עובד מן המניין, כל הפעולות שהוזכרו לעיל ייראו לגיטימיות לגמרי.

אך באם נבחן את מטרתו האמיתית של אותו "איש כיבוי אש" פעולותיו מתגלות כתרמית אחת גדולה אשר לא היינו מאפשרים לה לקרות במידה והיינו מודעים לה.

כל טכניקות ההנדסה החברתית מבוססות על היכולת להשפיע על החלטות המוח האנושי. מושג זה נקרא "הטיות קוגניטיביות".

אחת משיטות התקיפה הנפוצות ביותר בהנדסה חברתית הינה – דיוג (“פישינג”).

דיוג הינה שיטה לגנוב מידע, בעיקר מידע רגיש, על ידי התחזות לגורם לגיטימי המוכר לקורבן.

ניתן ליישם דיוג בטכניקות שונות לרבות: מסרים מידיים, דואר אלקטרוני, שיחות קוליות וכו'.

האתרים הנפוצים שבשמם מבוצעות פעולות פישיניג הינם אתרי בנקים, רשתות חברתיות כגון גוגל ופייסבוק, אתרי מסחר כגון איביי ועוד.

למרות כל ההגנות החדישות בתחום אבטחת המידע, עדיין אין הגנות המסוגלות לשמור מפני טעויות הנובעות מכשלים בהתנהלות הגורם האנושי.

זה קורה לטובים ביותר

לפי פרסומים משנת 2011, אחת המדינות (חוקרים רבים סבורים כי מדובר בסין) שמה לעצמה מטרה לפרוץ לחברת האבטחה מהגדולות והמוכרות בעולם – חברת RSA.

חברה בסדר גודל שכזה, יכולה להרשות לעצמה לממן טכנולוגיות אבטחת מידע מהחדישות ביותר בתחום.

אלא שאותם תוקפים נקטו בשיטת תקיפה שונה וחסכונית – עקיפת מערך האבטחה של מחשבי הארגון דרך עובדי החברה.

לאחר איסוף מידע מקדים, התוקפים שלחו לעובדי החברה מייל עם הנושא: "Recruitment plan 2011".

מייל זה הכיל בתוכו קובץ אקסל אשר ניצל פרצת אבטחה לתוכנת הפלאש.

עם הפעלת הקובץ על ידי העובדים, הותקנה למחשב תוכנה זדונית בשם Poison Ivy.

תוכנה זו מאפשרת שליטה מלאה על המחשב באמצעות מחשב מרוחק של התוקף.

לאחר השתלטות על התחנה בוצעה פריצה מלאה לרשת החברה.

אנו עדים כאן להתקפה מסוג הנדסה חברתית אשר הביאה לחדירה מלאה לחברת RSA.

אז מה כן ניתן לעשות?

הדרך היעילה ביותר כיום להגנה מפני התקפות מסוג הנדסה חברתית, הינה הגברת מודעות העובדיםמשתמשים.

ניתן ליישם זאת באמצעות שיטות שונות ובניהן:

• יצירת מסגרת אמון בין הארגון לעובדים והגדרת המצבים בהם מותר/אסור להעביר מידע רגיש לגורמים ספציפיים, אם בכלל.
• זיהוי המידע הרגיש בארגון והערכת חשיפתו להתקפות מסוג הנדסה חברתית.
• הכנת מדיניות ונהלים המטפלים באופן השימוש במידע רגיש.
• הכשרת העובדים בהתאם לתפקידם, מיקומם בשרשרת הארגונית ורמת רגישות המידע איתו הם עובדים.
• ניטור נסיונות להדלפת מידע מתוך הארגון.
• נהלים הדוקים לאבטחה פיזית והגברת המודעות של גורמי האבטחה.
• ביצוע מבדקי חדירה הכוללים שימוש בהתקפות מסוג הנדסה חברתית ולאחר מכן, עדכון העובדים בטעויותיהם.

מעוניין במידע
נוסף
?

הפוסט הנדסה חברתית הופיע לראשונה ב-בדיקת חדירות.