אז הסיסמה שלכם אצל הטורקים - מה עושים?
יותר ממאה אלף ססמאות של ישראלים נתגלו בפורום האקרים טורקי. האם יש סיבה לפאניקה ומה צריך לעשות? גדי עברון מרגיע
בסוף השבוע פרסם ארז וולף בבלוג שלו מידע לגבי יותר משלושים אלף אימיילים וססמאות של ישראלים שנחשפו. הוא עשה עבודה מקצועית, ואני שמח שהוא פרסם אותה. היום פורסם כי שבעים אלף ססמאות נוספות נגנבו. מה קורה פה?
למודאגים, אנסה לענות על שלוש שאלות: איך פרצו? האם צריך לדאוג? ומה לעשות כדי להגן על עצמנו? בנוסף, אסביר גם מדוע אני כאיש אבטחת מידע - דיי משועמם מכל הסיפור.
איך פרצו, או מה קרה שם בעצם?
הרשימה הראשונה ובה יותר משלושים אלף ססמאות נגנבה כפי הנראה על ידי פריצה לאתר עצמו, מאחר ולרוב כשנגנבים מאגרי מידע זה נעשה על ידי פריצה ישירה לאתר, ואכן לפי הדיווחים אנו יודעים כי כך המצב במקרה זה. לרוב כשסיסמאות של משתמשים נגנבות, מדובר בסוסים טרויאנים ווירוסים מסוגים שונים, או בהתקפות פישינג, אם כי כמובן
תמיד אפשרי שמישהו גנב את המידע בדרכים אחרות, כמו כניסה לבניין עם דיסק USB.
ניתן לפרוץ למחשבים בדרכים רבות ודרך ניצול של חולשות שונות, אם כי כיום, רוב מאגרי המידע נגנבים באמצעות חולשות Web (למבינים בדבר ולמחפשים בגוגל: בעיקר RFI וגם קצת SQL Injection).
מאגרי הססמאות הגנובים, משמשים ספאמרים, ונמכרים בין פושעים בשוק השחור האינטרנטי בעבור חופן דולרים. מירב הסיכויים שכך גם המצב כאן – ייתכן וטורקי פלוני החליט לתקוף דווקא את האתר הומלס הישראלי, אבל הסיכויים הם שהרשימה של הסיסמאות פשוט נפלה לידי האקר תורכי במקרה.
הפרסום והדיון בפורום התורכי שבו פורסמו הססמאות נחמד לעין, אבל לא רואים שם דברים כאלה באופן קבוע - ומאחר והשוק השחור מונע כספית מאשר אידיאולוגית, רוב הסיכויים כי הרשימה אכן הגיעה לידי ההאקרים הטורקים במקרה. אלה שמוכרים את המידע ימכרו אותו לכל אחד, בין אם הן ספאמרים או האקטיביסטים.
במקרה של הרשימה השניה של שבעים אלף הססמאות, עדיין לא ברור מה הוא היקפה ומהיכן היא מגיעה, אבל ככל הנראה מדובר במקרה דומה. ייתכן ומדובר בססמאות ממספר אתרים (אתר פיצה האט כבר הודה כי נפרץ).
ידוע לי בוודאות כי אלפי ססמאות של משתמשים ישראלים לאתרים שונים (מדואר אלקטרוני ועד בנקים) נגנבות מידי יום, ואנחנו לא מיוחדים בכך. לכן, למרות שאפשרי שנגנב מאגר מידע ספציפי, גם במקרה השני, איננו יכולים להיות בטוחים בכך בשלב זה.
האם צריך לדאוג ומה עושים?
כן, צריך לדאוג. זה לא משנה אם הססמא שלכם נגנבה במקרה הזה כי – שוב – הוא רק אחד מאלפי אתרים שנפרצים בצורה דומה יום ביומו ברחבי העולם. לכן, עדיף שתשערו כי ססמאות אינן נשארות בטוחות ותחליפו אותן מידי פעם (אחת לכמה חודשים, או אפילו אם אתם מוכנים להסתכן אחת לשנה, זה בסדר). אם אתם שוכחים, תחליפו אותה כל
פעם שאתם קוראים כתבה בנושא אבטחת מידע ב-ynet, לדוגמא, עכשיו.
כשאתם מחליפים סיסמא, צרו סיסמא קצת מסובכת. שהיא תהיה ארוכה זה הכי חשוב, שלא תהיה מורכבת ממילים כי אם מתצריף אותיות זה גם כן חשוב. אם יש לכם אפשרות, תערבבו גם סימנים ואותיות גדולות וקטנות. אל תשתמשו בתאריכי לידה, כתובות, מספרי טלפונים וכולי. ואם אתם מפחדים שלא תזכרו את הססמא, תכתבו אותה ותכניסו לארנק. אל תשימו אותה מתחת למקלדת או במגירה.
בנוסף, חשוב גם לבצע את הפעולות הבסיסיות הרגילות. להתקין אנטי וירוס ולדאוג שהוא מעודכן. לעדכן את מערכת ההפעלה, להפעיל פיירוול, ואם אתם טכניים כדי להתעסק קצת יותר לעומק, להשתמש ביוזר (משתמש במערכת ההפעלה) שאינו בעל הרשאות אדמיניסטרטור. בנוסף, שקלו שלא להשתמש בדפדפן אינטרנט אקספלורר – המון אנשים משתמשים בו ולכן פושעים פורצים אליו יותר.
מדוע אני משועמם מכל הסיפור?
אני משועמם כי למרות שגילינו עכשיו מקרה פומבי שבו גנבו אלפי ססמאות, זה קורה כל יום. זה סטטוס קוו מבחינת עולם אבטחת המידע, אם כי גם בתוך התחום המידע לא מפורסם באופן גלוי בשל סכנה מודיעינית שהפושעים ישנו שיטות עבודה. לדוגמא, אני בטוח כי בפורום הטורקי שבו פורסמו הססמאות יפתח בקרוב פתיל שיחה על כך שישראלים
קוראים להם את הפורום ושהם צריכים להיזהר מלדבר שם.
מומחי אבטחת מידע עובדים על פי סיכונים. מה עלול לקרות? מה קורה לאחרים? מתי זה יקרה לי, ואיך אני יכול לדחות את המועד? אבל אבטחה לא מכניסה כסף לעסק, ולכן מבלי לשים לב מומחים במקרים רבים משתמשים בשפה של הפחדה. בארה"ב ובעיקר בארופה, מנהלי אבטחת מידע מתעסקים בכיצד להפוך את אבטחת המידע לחלק מהעסק המרוויח – זה לא קל, אבל זו בהחלט דרך חכמה יותר להתייחס לנושא.
כשמשתמשים בשפה של הפחדה (FUD – Fear, Uncertainty, and Doubt), מאבדים אמון, וכך מאבדים את היכולת להשפיע ולגרום לשינוי ארגוני בתחום. לצערי, גם העתונות אינה חפה מפשע, ומפרסמת דברי הפחדה כאלה ואחרים בעקבות אנשי אבטחת המידע.
זה מפחיד, ואפילו מפחיד מאוד כשמגלים שגנבו לכם את הססמא. הפתרון? לקחת את הכוח חזרה לידיים שלכם ולעשות את המינימום ההכרחי כדי להגן על עצמכם ברשת, כפי שהסברתי מעלה. אין דבר כזה 100 אחוז אבטחה, אבל בהחלט אפשר להגיע ל-90% ולהימנע מרוב הצרות.
לסיכום, כן, זה מעניין שהאקרים טורקים מדברים על לפרוץ אלינו, אבל כבר ראינו אותם פורצים. זה גם מעניין לראות הוכחה חיה לפריצות, כמו גם שזה מפחיד כשאנו מגלים שפרצו אלינו. זה מחדד את הסיכונים ומעלה מודעות. אבל זה לא סוף העולם, זה הסטטוס קוו.
אם זה מפחיד אתכם לחשוב שהאינטרנט אינו בטוח, אז חבל, כי זה כך. אבל אתם יכולים להמשיך לגלוש בשקט יחסי אם תנקטו בצעדים הפשוטים הנדרשים, כפי שהסברתי.
גדי עברון הוא מומחה אבטחה, לשעבר מנהל אבטחת המידע של תהיל"ה ומקים ה-CERT הממשלתי