מדריך: כל הטיפים לגלישה מאובטחת
רשת ביתית, בין אם קווית או אלחוטית, שאינה מאובטחת כהלכה - עשויה להוות פתרון אידיאלי לתוקפים. מה צריך לעשות כדי למנוע חדירות ומתקפות בעד עבודה ברשת וגלישה באינטרנט? כתבה שנייה בסדרה
בכתבה הראשונה: כל הטיפים המועילים לאבטחת המחשב שלכם
הכתבה השנייה: שימוש בטוח בדואר אלקטרוני מהבית ובדרכים
עד כמה אתם מאובטחים?
בדקו את עצמכם. יש כלים שונים לאיתור נקודות תורפה במערך אבטחה. הם סורקים את המחשב ואת הרשת בחיפוש אחר פרצות, וחלקם אפילו מספקים מידע על הדרך לסגור את הפרצות.
יש כלים מסחריים מצוינים למטרה זו, דוגמת eEye, ISS Internet Scanner ו-AppDetective של חברת Application Security.
כלים אלה מחפשים מספר רב של בעיות מוכרות, ומתעדכנים כשמתגלות בעיות חדשות. אפשר להורות להם לסרוק מחשב מסוים, או תחום כתובות ברשת.
היישומים הללו עלולים להיות קשים לשימוש עבור משתמש ביתי. במקומם תוכלו להשתמש בסורק האבטחה NeWT, כלי תוכנה חינמי מבית Tenable Network Security. מיקרוסופט מציעה כלי חינם בשם Microsoft Baseline Security Analyzer שסורק מחשבים בחיפוש אחר בעיות תצורה נפוצות ועדכוני אבטחה חסרים. תוכלו להשתמש בם בנוסף לכלים המסחריים.
- סריקה מבפנים ומבחוץ - סריקות מתוך הרשת מחפשות נקודות תורפה מנקודת המבט של המשתמש המחובר. אם יש לכם פיירוול, הרי שהסביבה הפנימית אמורה להיות מוגנת מפני מתקפות שמגיעות מבחוץ. הריצו את הסורק מחוץ לרשת והורו לו לסרוק את כתובת ה-IP החיצונית. חפשו יציאות (Ports) פתוחות, וודאו שהן בשימוש של יישומים לגיטימיים.
- התראות - סורקי פרצות יכולים ליצור שטף בלתי פוסק של התרעות. רוב ההתרעות רק מספרות על פעולה לגיטימית שביצעתם מרצונכם, דוגמת פתיחת Port 80 בשרת אינטרנט. אל תצאו מהנחה שהסורקים יודעים יותר מכם, בייחוד כשמדובר בהתרעות ברמת סיכון נמוכה. ראו בהתראות של התוכנות המלצות ולא הוראות.
רשת אלחוטית? השתמשו ב-WPA
אפילו האנשים שפיתחו את WEP (ראשי תיבות של Wired Equivalency Privacy, הדור הראשון של פרוטוקולי האבטחה לרשת אלחוטית) מסכימים שהוא חלש מדי וקל לפיצוח. פרוטוקול הדור השני WPA (קיצור ל-Wi-Fi Protected Access) הוא פתרון טוב בהרבה, למרות שאם ציוד ה-Wi-Fi שברשותכם אינו חדש, לא בטוח שהוא תומך בו.
פרוטוקול WPA תומך ב-Enterprise Mode, שבו משתמשים מזינים במהלך ההתחברות שם משתמש וסיסמה, שנבדקים על ידי שרת מיוחד. הוא גם תומך ב-Personal Mode בו כל המשתמשים מזינים סיסמה משותפת כדי להתחבר לרשת. סיסמה זו משמשת מפתח להצפנת כל המידע ברשת. מניסיוננו למדנו שסיסמה משותפת מתאימה כמעט לכל העסקים הקטנים והרשתות הביתיות.
פרוטוקול WPA2 החדש מפעיל הצפנה חזקה אפילו יותר מזו של WPA ויש כבר מוצרים שמיישמים אותו. השיפור באבטחה במעבר ל-WPA2 לא חיוני למשתמשים הביתיים, אבל מאחר של-WPA2 תאימות לאחור ל-WPA, אין בעיה לקנות מוצרים שתומכים בו.
כדי לקבל את ההגנה הטובה ביותר, השתמשו בסיסמה עם 20 תווים לפחות ורשמו אותה במקום בטוח.
להתגונן מ-Windows Messenger
ברירות המחדל של סביבות XP ו-Windows 2000 כוללות הפעלה אוטומטית של השירות Windows Messenger Service. למרות השם, אין קשר בין השירות הזה לבין תוכנת המסרים המיידים מסנג'ר.
השירות נחוץ להפעלה של היישום Net Send, שמאפשר תקשורת דמויית מסנג'ר ברשת הארגונית.
הוא שימושי למנהלי רשתות שרוצים לשלוח הודעות למשתמשים בארגון, ויכול גם לשמש כתחליף למסנג'ר. כמובן שאם מדובר במחשב הביתי - זהו שירות מיותר ומטריד. בזמן שאתם מחוברים לאינטרנט, הוא יכול לשמש ספאמרים כדי לשלוח פרסומות שנראות כמו הודעות מערכת.
בטלו את Net Send - כדי לנטרל את Messenger Service היכנסו לשורת הפקודה, הקלידו Services.msc ולחצו Enter. בחלון שיופיע, גללו את התצוגה עד שתמצאו את השירות Messenger.
הקלקה כפולה על השם תציג את החלון Messenger Properties. לחצו על Stop כדי לעצור את השירות. לאחר מכן, היכנסו לתפריט Startup Type, בחרו Disabled ואשרו. החיווי בחלון ישתנה ל"Disabled".
ייתכן שהשימוש ב-Net Send הכרחי כדי לקבל התרעות מתוכנת האנטי וירוס בה אתם משתמשים, או ממכשיר האל פסק שלכם.
אם אינכם רוצים לנטרלו, תוכלו לחסום הודעות Messenger Service שמגיעות מבחוץ באמצעות הפיירוול. אופן הביצוע ישתנה בהתאם לתוכנה בה אתם משתמשים, אבל העיקרון דומה: חסמו את תעבורת inbound Net BIOS ו-UDP protocol broadcast traffic. אם אתם מפעילים רשת ביתית, אולי תרצו להגדיר חריגים למחשבים ברשת.
בעיות Winsock
חלק מאיומי האבטחה האקטואליים הם מהסוג שמכונה "חוטפי דפדפן" (Browser Hijackers). אלו תוכנות ריגול שמשתלטות על חלק מהגדרות הדפדפן, משנות את עמוד הבית, ועושות עוד דברים מעצבנים.
חלקם נשתלים ברכיבי Winsock (קיצור ל-Windows Sockets, המנגנון בו משתמשים יישומים לצורך התקשרות לאינטרנט). אם מסירים אותם, הם מותירים אחריהם רכיב שבור, שאינו מסוגל להתחבר לאינטרנט.
Winsock 2 החדש (מותקן בגירסאות מתקדמות של IE ומהווה חלק מ-XP) משלב את תכונת Layered Service Provider (או LSP). תכונה זו מאפשרת לספקי צד שלישי להכניס את הקוד שלהם, לצורך ניטור או סינון תוכן, לתוך זרם הנתונים של ה-Winsock.
בתכונה הזו בדיוק עושים שימוש מפתחי תוכנות הריגול. כשמסירים מהמחשב תוכנה לגיטימית לסינון תוכן (דוגמת Net Nanny או Cybersitter), היא מטליאה וסוגרת את ה-Winsock. תוכנות ריגול לא תמיד מפגינות רוחב לב דומה. אם תסירו אותן החיבור עלול לעשות בעיות.
כש-Winsock "נשבר" התוצאה היא שאפשר לשלוח מסרים מיידיים, אבל אי אפשר לגלוש. ההתנהגות המוזרה הזו מקשה על פתרון הבעיה, שכן המחשב מחובר לאינטרנט ומצויד בכתובת IP, ובכל זאת, הדפדפן לא עובד.
הדרך הקלה ביותר לתקן Winsock היא באמצעות כלי העזר החינמי LSP-fix, שיודע "לאחות" את ה-Winsock וברוב המקרים מתקן את הנזק לחלוטין. התוכנה פותחה במקור ל-Windows 98, אבל עובדת גם בגירסאות חדשות, וניתן הלורידה מ-CounterExploitation, המוקדש לזיהוי והסרת תוכנות ריגול ומזיקים אחרים.
אבטחת הגלישה באינטרנט
ברירות המחדל של דפדפן אינטרנט אקספלורר מאפשרות לגולש ליהנות מכל פלאי הרשת, אבל משאירות אותו חשוף לצד האפל שלה. הנה כמה עצות להידוק האבטחה:
- היכנסו פנימה - היכנסו ל-Internet Options, מתפריט Tools בדפדפן או מלוח הבקרה. בחלונית Internet Properties בחרו את ב-Security ולחצו על Custom Level. שם תוכלו לשנות הרשאות, לנטרל או להגביר מרכיבי אבטחה שונים.
- נטרלו ברירות המחדל - ברוב המקרים הטוב ביותר הוא לנטרל הגנות שאינכם בטוחים לגביהן.
אם תגבירו יכולות אבטחה מסוימות, אתם עלולים למצוא את עצמכם עם הרבה מאד התרעות מעצבנות. מה שאפשר לעשות הוא לשנות מדי פעם אחת מהגדרות האבטחה, ולראות עד כמה זה מפריע. אם הכל פועל כשורה - השאירו את ההגדרה החדשה.
- חסימת חלונות קופצים - חסימה מוחלטת של Active Scripts היא צעד קיצוני למדי, משום שאתרים רבים משתמשים בהם למטרות לגיטימיות. מצד שני, אם אתם מבקרים לעיתים קרובות באתרים עם חלונות קופצים רבים, נסו את זה: גללו מטה את רשימת Security Settings עד ל-Scripting, ונטרלו את כל ההגדרות (ב-IE6 יש שלוש כאלה).
אפשר גם לנטרל את בקרי ActiveX (לא כדאי להתיר שימוש אוטומטי לחלוטין). אפשר גם להתיר בקרים שקיבלו אישור (Signed Controls). במצב אבטחה בינונית נחסמים בקרים ללא אישור, ובקרים מאושרים פועלים ללא בעיה.
- בנו אמון - מה אם רוצים לנטרל Scripting ברוב האתרים, אבל רוצים לצפות באתר מורשה בלי לקבל גשם של התרעות? אקספלורר מאפשר "לבטוח" באתרים מסוימים, מבלי להתפשר על האבטחה כנגד שאר העולם. על מנת להוסיף אתרים מוכרים ובטוחים סמנו בחלון Security את האייקון Trusted sites ולחצו על Sites. הקלידו את כתובת האתר בו אתם בוטחים, למשל ebay.com, ולחצו Add.
יתכן שתצטרכו להסיר את הסימון מ-Require server verification (https:) for all sites in this zone בתחתית החלון. IE יוסיף את התו הכללי * לכתובת האתר (תראו זאת רק לאחר יציאה וכניסה מחדש). אתרים בהם אתם בוטחים זוכים ליחס סלחני מצד מנגנוני האבטחה של IE. הם מורשים לטעון בקרי ActiveX, Cookies, scripts ותוספים. הדפדפן עדיין יחסום בקרי ActiveX ללא אישור.
למה אני ממשיך לקבל התרעות? אם הגדרתם רמת אבטחה מוגברת (Prompt) ל-scripting ולבקרי-ActiveX, אתם עלולים להמשיך לקבל התרעות אבטחה גם ב-Trusted sites. זה עלול לקרות, למשל, אם האתרים מושכים את הפרסומות משרת פרסומות של צד שלישי שלא הגדרתם כאתר בטוח.
גישות חלופיות
- החליפו דפדפן - רוב כותבי הווירוסים, התולעים ותוכנות הריגול בוחרים במטרות גדולות ונייחות. לכן, אם אתם משתמשים ב-Windows וב-IE תותקפו הכי הרבה. תרגישו קצת יותר מוגנים אם תעברו לפיירפוקס או אופרה. אבל זכרו: מעבר לשימוש בדפדפן פחות פופולרי לא פותר את כל הבעיות. עדיין יהיה עליכם ללמוד ולהשתמש במנגנוני האבטחה של הדפדפן החדש.
- החליפו מערכת הפעלה - צעד מרחיק לכת יותר הוא מעבר ללינוקס, או ל-Mac OS. לא בטוח שסביבות שאינן מיקרוסופטיות יהיו בטוחות יותר מכל הבחינות, אבל בטוח שיש הרבה פחות וירוסים ותוכנות ריגול שתוקפים אותן.
- שנו את ארגון הדפדפן - טכניקה פשוטה למדי בה משתמשות רמאויות Phishing היא שינוי כתובת ה-URL המוצגת, או הצגת חלון קטנטן עם כתובת מזויפת מעל הכתובת האמיתית. השיטה הזו עובדת משום ששדה הכתובת נמצא במיקום שנקבע בברירת המחדל. אם משנים את מיקום השדה, החלון עם הכתובת המזויפת ימשיך להופיע, אבל יהיה לכם ברור שהיא מזויפת בגלל המיקום השגוי.
- הזיזו רכיבים - אפשר להזיז את סרגלי הכלים של הדפדפן על ידי הקלקה על צדם השמאלי וגרירה. אם אינכם מצליחים, כנראה שהם נעולים - הקליקו בכפתור ימין על מקום פנוי בסרגל הכלים והסירו את הסימון מהאפשרות Lock the Toolbars.
להיזהר מחטיפות
חטיפת דפדפן (Browser Hijacking) היא לאו דווקא מהאיומים המסוכנים ביותר, אבל היא ללא ספק אחד המטרידים. זה הולך כך: אתם גולשים לאתר כלשהו, ופתאום הדפדפן עובר למנוע חיפוש לא מוכר, ודף הבית משתנה. האנשים שאחראים לכך מוסיפים חטא על פשע ותופרים לכם פרסומות "מותאמות אישית" ללא רשותכם.
רוב חוטפי הדפדפנים מנסים לקדם מכירות של שירותים ומוצרים שונים, אבל כדאי לדעת שלחלקם מתלווים גם סוסים טרויאניים ותוכנות שפותחות backdoors במחשב. גם אם חטיפת הדפדפן לא נועדה להזיק, אלא רק לחלץ מידע מהמחשב, לעיתים קרובות היא מספקת את התשתית לפעולתן של תוכנות ריגול אכזריות יותר.
- היו ספקנים - רוב חטיפות הדפדפן דורשות לפחות מידה מסויימת של שיתוף פעולה מצד המשתמש. אם אתם רואים חלון קופץ שמציע להוריד או תוכנת חינם כלשהי - סרבו. למעשה, יש סיכוי שכשתלחצו על "No", האתר ינסה בכל זאת לחטוף את הדפדפן או להתקין תוכנה לא רצויה. התקנת SP2 תספק הגנה מסויימת, אבל במקרים חריגים עדיף לסגור את הדפדפן ולא ללחוץ על כלום. חלק מהאתרים יהיו מנומסים יותר, וישאלו אם אתם רוצים לשנות את דף הבית - ברור שלא.
- הישארו מעודכנים - ודאו שיש ברשותכם עדכונים אחרונים של מערכת ההפעלה, ושהאנטי וירוס מעודכן בחתימות הווירוסים הטריות ביותר. שמירה על עדכניות יכולה למנוע חטיפות רבות לפני שהן מתחילות.
- נקו את השטח - אם נפלתם קורבן לחטיפה, השתמשו בתוכנת אנטי ריגול, דוגמת Microsoft Antispyware, SpyCatcher Express או Ad-Aware כדי לטפל בבעיה.
מייקל ג'. סטיינהארט, PC Magazine
לפנייה לכתב/ת 
