הקץ למבוכות: איך תגנו על הנייד מפני פריצות?
לא צריך לגנוב את הטלפון שלכם, כפי שאירע השבוע לשדרנית שרון פרי, כדי לשאוב ממנו את המידע הרגיש שמצוי עליו. גם כשהוא צמוד אלינו בכל עת, המכשיר האישי הוא טרף קל לפורצים מסוגים שונים
נתחיל בחדשות הרעות: אם מישהו מחפש אתכם אישית ורוצה לפרוץ דווקא לטלפון הסלולרי שלכם, 99 אחוז שהוא יצליח. לשם כך הוא לא צריך לגנוב את המכשיר - כפי שקרה השבוע לשדרנית הספורט שרון פרי, שתמונות אינטימיות שלה הופצו - או אפילו לגעת בו.
עוד כותרות:
- אובמה לא ייזום מו"מ לשלום עד תום כהונתו
- דאעש ירה טיל כימי לעבר כוחות אמריקאים בעיראק
- בן 17 נהרג לאחר שנפל ממגלשה בגובה 2 מטרים
ישנו מגוון רחב של כלים שדרכם אפשר להשיג במאמץ לא רב את המידע שנמצא במכשירכם. החדשות הטובות הן שהסיכוי שמישהו יתמקד דווקא בכם הוא נמוך. רוב גנבות המידע מטלפונים סלולריים נעשות באופן אקראי, ובעזרת כמה צעדים פשוטים תוכלו להיות מוגנים באופן יחסי מפני המתקפות הללו.
כלל האצבע הפשוט ביותר, אבל אולי גם הקשה ביותר, הוא לא להחזיק בסלולרי שום מידע שעשוי לפגוע בכם או לחשוף ולהביך אתכם. "הטלפון הסלולרי שלך הוא ככל הנראה המקום הכי גרוע להחזיק עליו מידע אישי", אומר גורם שעוסק בתחום אבטחת המידע. "יש לאנשים איזו אשליה שמכיוון שהמכשיר צמוד אליהם כל הזמן, מדובר במקום מוגן. בפועל, המצב הפוך לגמרי. אם כעיתונאי אתה עושה תחקיר על מישהו, הדרך היחידה להבטיח שהוא לא יוכל לחשוף עליך מידע אישי היא להגיע למצב שבו אתה יכול למסור בידיו את הטלפון שלך ולתת לו להסתכל על מה שהוא רוצה. הנחת היסוד צריכה להיות שזה ממילא מה שהוא יכול לעשות גם בלי ידיעתך".
איך הוא יכול לעשות את זה?
"לא חסרות דרכים. פריצה למכשיר סלולרי של אדם אחר וגנבת מידע מנוגדות כמובן לחוק, אבל תמורת כמה אלפי שקלים יש מי שיעשה את זה. אפשר למשל להשיג בקלות את כתובת המייל או את מספר הטלפון של אשתך, ההורים, הבוס או חבר שלך, ואז יש כלי שבאמצעותו אפשר לשלוח לך מסרון או מייל שכאשר תקבל אותו לא תהיה לך כל דרך לדעת שהוא הגיע מהפורץ ולא מהם. לא צריך בשביל זה לפרוץ אליהם, מספיק להשתמש במידע ציבורי חשוף וקל להשגה כמו מספר טלפון או כתובת מייל.
"באותה הודעה שתקבל ייכתב 'תסתכל רגע על הכתבה הזו', ויצורף קישור. ברגע שתיכנס לקישור יישתל בטלפון שלך כלי שבאמצעותו הפורץ מקבל גישה למידע שבמכשיר שלך. כל מה שאני צריך לעשות זה לגרום לך ללחוץ על קישור או להוריד קובץ, ומאותו רגע אני בפנים. אם המכשיר נמצא ביד שלי לכמה שניות, אני יכול כמובן ללחוץ על אותו קישור בעצמי.
"זוהי רק דוגמה אחת אפשרית. ברגע שמישהו מתמקד בך, ברוב מוחלט של המקרים הוא ימצא את נקודת התורפה שלך. זה יכול להיות אפילו לגרום לילד שלך ללחוץ על משהו כשהוא משחק בטלפון שלך. יש להם יתרון מובנה בכך שאתה לא יודע שכרגע מישהו מנסה לפרוץ לך, ולכן תמיד כלי התקיפה יהיו חזקים יותר מכלי ההגנה.
"זה יכול להיות קל יותר או פחות, לקחת כמה שעות או כמה ימים, אבל בסופו של דבר מי שירצה לעשות זאת יפרוץ למכשיר שלך. לכן הכלל הוא לא להחזיק שום דבר אישי על המכשיר. אגב, הגורמים הכי מוגנים כנראה הם ארגוני הפשע, שמודעים לכך שהם תחת מעקב ומשתמשים בעיקר בטלפונים 'טיפשים'".
"אם יש לך תמונות או מידע רגיש, אל תשמור אותם בטלפון הסלולרי", מסכים גם גדי גילאון, יו"ר 'מוביסק טכנולוגיות' העוסקת בתחום. "או שתמחק את החומר או שתעביר אותו למקום אחר, אבל אל תשאיר אותו בטלפון. רוב הפריצות למידע אישי נעשות דרך הטלפון".
לצד החשש מהתקפות אישיות שנוגע אולי למעטים יחסית, האיום הנפוץ יותר הוא התקפות רחבות ואקראיות שעלולות לפגוע בכל אחד מאיתנו. "אם מישהו מכיר אותך ומתכנן את ההתקפה עליך באופן אישי, הוא ידע לפתות אותך באותן חשיפות שכנראה תשתמש בהן", מסביר גילאון.
"אבל רוב מה שקורה היום זו עבודה הרבה פחות מקצועית של אנשים שעוסקים בהשגת מידע כמו כתובות וסיסמאות, שלאחר מכן נמכרות בשוק כדאטה-בייס (בסיס נתונים). הרי מהיכן מגיע כל דואר הזבל? מאיפה מגיעות כל ההתקפות שנכנסות לך פתאום למייל או לפייסבוק ומשנות את הפרטים שלך? אלה אנשים שלא מתעניינים בך באופן אישי. הם פורצים בצורה רוחבית למספר גדול של מכשירים כדי להשיג מידע שהם יכולים למכור. כל מי שיש לו פייסבוק או מייל נתקל שוב ושוב באנשים שפרצו להם לחשבון ושלחו או פרסמו דברים בשמם. אתה אולי לא מעניין את הפורץ, אבל הנזק שנעשה לך באופן אישי יכול להיות ענק".
לדברי גילאון, קיימים שלושה משתנים שהופכים את המכשיר הסלולרי לחשוף מאוד לפריצה: "המרכיב הראשון הוא המכשיר עצמו. לכל מכשיר, ולא משנה אם זה אנדרואיד או אפל, יש חולשות בתחום מערכת ההפעלה או בצורת ההתקשרות והעברת המידע שלו. נקודה נוספת היא העובדה שבניגוד למחשוב שבו משתמשים בדרך כלל בתקשורת מאובטחת, בבית או בעבודה, המכשיר הנייד שמסתובבים איתו בכל מקום חשוף הרבה יותר לתקשורת אלטרנטיבית כמו אינטרנט אלחוטי, שהיא מראש חלשה יותר. החולשה השלישית, שהיא הגדולה והמשמעותית ביותר, היא הטבע האנושי. אלמנטים שקשורים למשתמש עצמו, ויוצרים נקודות תורפה נוספות.
"טלפון נייד הוא מכשיר חלש. זה לא מחשב, והוא לא מתנהג כמו מחשב. מעבר לזה, גם רמת השימוש של הטלפון הנייד שונה מאוד ממה שאנחנו עושים עם המחשבים שלנו. אנחנו מחזיקים בסלולרי מידע אישי ופרטי, שיכול לחשוף את סיפור החיים שלנו כולל נושאים פרטיים ואינטימיים, את הסיפור של החברה שאנחנו עובדים בה, ובעצם כמעט כל אלמנט שנוגע לחיים שלנו. הוא מכיל מידע אפילו על התנועה שלנו ואיפה היינו בכל רגע ורגע. בין אם אנחנו רוצים בכך ובין אם לא, המכשיר הזה נמצא איתנו כל הזמן ומשדר את המידע הזה. מי שמעוניין לפגוע בנו או רוצה להשיג מידע שהוא לא אמור לקבל, עלול לנצל בקלות את החולשות הללו".
גילאון מציג דרכים נוספות שבהן אפשר לגנוב בקלות יחסית מידע מהסלולרי שלנו: "אפשרות ראשונה ופשוטה יחסית היא לנצל את חולשת רשת התקשורת. גם אם אני לא פורץ למכשיר עצמו, אני יכול להשיג לא מעט מידע מעצם זה שאני יושב על הרשת שהמכשיר מוצא, ופשוט 'מאזין'. דוגמה נפוצה היא אדם שנכנס לבית קפה, וכשהוא רוצה להתחבר לרשת, שבדרך כלל דורשת סיסמה, הוא רואה שיש רשת בעלת אותו שם של בית הקפה, רק בלי סיסמה. הוא מתחבר לאותה רשת כי זה נוח יותר, אלא שבפועל הוא לא התחבר לרשת האלחוטית של בית הקפה אלא לרשת מזויפת שמישהו הקים תחת אותו שם. אותו אדם יושב ומפעיל כלי התקפה שיודעים לקחת את כל התקשורת שעוברת מהטלפון ולפענח אותה.
"זה כמו שהתחברת לטלפון קווי והתחלת להאזין לכל מילה שנשמעת שם. אדם יכול לשבת בבית קפה ולגלוש להנאתו, ובינתיים כל המידע שעובר בטלפון נמצא בידי הפורץ, ייתכן שאפילו סיסמאות למייל או לאפליקציית הבנק שלכם. חשוב לדעת שהתקפות מהסוג הזה נפוצות במיוחד בשדות תעופה. אנשים שמגיעים ממדינות זרות, או סתם נמצאים בעצירת ביניים של כמה שעות, פעמים רבות לא מחזיקים בחבילת גלישה סלולרית ומתפתים לגלוש דרך רשתות אלחוטיות שהם מאתרים בשדה התעופה.
"אפשרות אחרת היא לפתות משתמשים להתקין משהו במכשיר שלהם, אפילו בלי ידיעתם", ממשיך גילאון. "זה יכול להיות תמונה, קובץ, או סתם קישור שנשלח אליך ומרגע שפתחת אותו אתה חשוף. אותו דבר לגבי יישומים. אנשים מורידים כל מיני אפליקציות ואומרים לעצמם 'טוב, בוא נוריד אותה, נסתכל, ואם זה לא מעניין נמחק'.
"הבעיה היא שברגע שאני מוריד את אותה אפליקציה מזיקה היא מנצלת את החולשות המובנות של המכשיר, ומאותו שלב יש מעין סוכן ששולף מידע מתוך המכשיר ומשדר אותו לשרתים של אותו פורץ. יש גם כל מיני אתרים שלוקחים אפליקציות שנמכרות בתשלום, ומציעים לך את אותה אפליקציה בחינם. ברור לחלוטין שכשאני מקבל בחינם תוכנה שעולה כסף, למתנה הזו יש מחיר של כלים נוספים שנמצאים באפליקציה וחושפים אותך. המשמעות היא שמעבר לנקודות התורפה המובנות של המכשיר - החולשה הכי גדולה היא החולשה האנושית".
בעצם אתה אומר שכולנו חשופים כל הזמן, ואין לנו איך להגן על עצמנו.
"אם אתה מדבר על התקפות אקראיות, אז בכמה צעדים פשוטים אפשר בהחלט להגיע למצב שבו הטלפון שלך במצב אבטחה הרבה יותר טוב. קודם כול אתה לא חייב להתחבר בחינם לרשת ציבורית אלחוטית כאשר חבילת התקשורת שלך מספיק גדולה ומאפשרת לך לגלוש בכל מצב. דבר נוסף זה יישומים, קישורים וקבצים - אל תוריד יישומים ממקור בלתי מזוהה או יישומים שהם בחינם במקום בתשלום. קיבלת קישור, הפניה, או תמונה מגורם לא ידוע? אל תוריד את זה למכשיר. אלו צעדים שגם אם הם פוגעים לכאורה בחופש שלך, הם מייצרים לך עמדה הרבה יותר בטוחה.
"מעבר לזה יש גם תוכנות הגנה בלי תשלום, שאולי לא מספקות את כל השירותים אבל נותנות חלק מהם. תוכנה אחת שאני עובד איתה היא סקיי-קיור (skycure), חברה ישראלית שמתמחה בנושא ואתה יכול להוריד מהחנות אפליקציה שלהם בלי תשלום. ככה כבר יצרת עוד שכבת הגנה. אלה שמחזיקים בטלפון של העבודה הם בדרך כלל יותר מוגנים, מכיוון שבארגונים מתקדמים בדרך כלל מתקינים תוכנות שמעניקות הגנה לטלפון וגם מאפשרות לארגון לדעת אילו מכשירים הותקפו, וכך לדעת אם מישהו פועל נגד החברה או נגד בעל תפקיד ספציפי. פה נכנסת גם הסוגיה של הפרטיות האישית שלך מול החברה".
לא כל תוכנות ההגנה יעשו את העבודה, מדגיש גילאון: "כשאתה מוריד תוכנה של הגנה, חשוב שזו לא תהיה תוכנה שיודעת רק לפתור את הבעיות של אתמול, אלא כזו שיודעת לאתר בזמן אמת פעילות לא רגילה של המכשיר. לפעמים אנחנו מבחינים שקורה משהו בטלפון ולא מבינים למה זה קורה. מערכות שמסוגלות לזהות בזמן אמת איומים שאינם מוכרים, הן המערכות המתקדמות. מי שהולך לאנטי-וירוס בתפיסה הקודמת שלו מגן על עצמו מהתקפות מוכרות, אבל רוב ההתקפות היום הן מתוחכמות יותר, כאלה שאנחנו מפענחים את המהות שלהן רק בדיעבד".
מה לגבי ארגוני ביון ומודיעין? מספרים ששם רמת היכולות היא כמעט דמיונית.
"אנחנו לא מדברים על פעילות של מדינות. שם הכלים, השיטות והפעילויות הם אחרים לגמרי וזה לא נוגע לדיון הרגיל. כשהמשטרה רוצה לקבל מידע היא יודעת לעשות את זה באמצעים מוכמנים. אני מדבר על כלים שלא נמצאים בידי רשות מוסמכת. אנשים לא מוסמכים, שעושים שימוש לא ראוי בנתונים שהם גונבים מאיתנו".
חולשה אנושית נוספת, שנוגעת לא רק לטלפון החכם, היא אופן השימוש שלנו בסיסמאות. "בגלל המגבלות האנושיות שלנו אנחנו משתמשים במגוון סיסמאות מאוד צר. שתיים-שלוש סיסמאות לכל היותר, שעוברות כחוט השני לאורך כל הפעילויות שלנו, מקסימום עם שינוי של אות או מספר אחד", מתאר גילאון.
"גוגל, פייסבוק ויתר החברות הגדולות משקיעות הרבה מאוד מאמץ כדי לשמור לנו על הסיסמאות, אבל אז אנחנו נכנסים לאיזה אתר חדש, שולי לחלוטין, והרי לא נמציא סיסמה חדשה, אז אנחנו משתמשים באותה סיסמה של המייל. ברגע הזה יצרנו נקודת חולשה במקום הכי רגיש שלנו, ואחר כך מתפלאים שהמייל שיש בו מידע רגיש כל כך פשוט נפרץ. לבעיה הזו יש פתרונות שלא עולים כסף או שעולים מעט מאוד, אבל אנשים בקושי משתמשים בהם. אנשים חושבים שאם הטלפון נמצא בכיס שלהם הוא בלתי פריץ ובלתי גניב, אבל זה ממש לא המצב. יכול להיות שברגע הזה ממש, כשאתה יושב וקורא עיתון והסלולרי מונח לידך, מישהו יושב אי-שם ומוריד ממנו את כל המידע שיש בו".
היכנסו לעמוד הפייסבוק החדש של nrg
אקו"ם