אבטחת מידע

חדירה למחשב לא מאובטח כראוי, קלה ולא מצריכה ידע רב.

לא חייבים להיות האקרים וישנן מתודיקות שונות לתקיפה וכלים חינאמיים לשם חדירה למערכת.

כאשר המטרה לשמה מבוצעת החדירה משתנה ותלויה באופי הפורץ \ או הנפרץ...

חדירה למחשב יכולה להתבצע מתוך סקרנות, שיעמום ויש לצרכי ריגול תעשייתי.

להלן מספר שיטות תקיפה:

• גניבה או פיצוח סיסמא

• חשיפת מידע

• ניצול שגיאות תוכנה ושימוש בדלתות אחוריות  (Exploiting vulnerabilities and Backdoors)

גניבת סיסמאות

הדרך הראשונה והקלה לכניסה למערכת היא על-ידי הזנת שם וסיסמא.

לצורך כך נזדקק לחשבון כניסה (Account) המורכב משם משתמש (user name) וסיסמא (password) הרשומים במערכת והמזהים אותו בפניה. כיום ניתן בקלות יחסית, להשיג את שם המשתמש. לדוגמה: רוב הארגונים תחילית כתובת המייל של משתמש משמשת את אותו משתמש גם כשם המשתמש ככניסה למערכת.

להשיג את שם המשתמש המהווה 50% מהאינפורמציה הנדרשת לשם כניסה חוקית למערכת וברגע שיש בידינו 50% מהמידע הרצוי, כל שנותר הוא למצוא את החצי החסר, הסיסמא.

ישנן שיטות שונות לפיצוח או גניבת סיסמאות, אך תחילה יש להדגיש את נושא מדיניות הסיסמאות.

מדיניות סיסמאות עבור ארגונים הוא אחד הדברים החשובים (והמעצבנים) שיש להקפיד עליהם מרמת המנכ"ל ועד העובד האחרון בארגון.

מחקר שפורסם לאחרונה גילה כי רוב המשתמשים בארגונים השונים כמו גם בתיבות המייל שלהם (גוגל, וואללה, יאהו וכדומה), משתמשים בסיסמאות כגון: 12345, 55555, מספר ת.ז. תאריך לידה שלהם או של בן זוגם או של אחד הילדים וכדומה...

למשתמשים יש נטייה להמציא סיסמאות כשמות בני המשפחה, חיות מחמד, מספר בית, תאריכי לידה של קרובים ועוד, גם נתונים אילו עשויים להחשף מי שירצה לפרוץ כדי לחשוף פירטי חשבון ועל כן, יש לנסות ולהמנע משימוש בפרטים אילו בעת בחירת הסיסמא.

מניעה כדי למנוע תופעות חמורות כאלו יש להקפיד להמציא מדיניות סיסמאות החלטית, ברורה ולא מסובכת מידי עבור המשתמשים. מדיניות סבירה תחייב את כל משתמשי הארגון להחליף פעם במספר חודשים (ההמלצה בדרך-כלל כל חודשיים-שלושה) סיסמא חדשה שעונה על הכללים מסוימים:

1. מספרים או תווים (*,$, @... 1,2,3,).

2. בעלת לפחות 7 תווים.

3. אותיות (a,b,c...) או (A,B,C...).

4. הסיסמא לא תהיה זהה לשם המשתמש.

5. חזרה על אותה סיסמא רק אחרי סבב של נניח 6 סיסמאות שונות.

חשוב לזכור, כי סיבוך הכללים והקשחת המדיניות יגרמו לנזק כפול - בעמדות העובדים בסוף נימצא מדבקות שעל מסכי המחשבים ועליהן יהיו רשימות של סיסמאות למערכת ולתוכנות השונות.

חשיפת מידע

הנה סיפור שמצאתי באינטרנט, גם אם הוא לא הכי מדוייק-הוא ממחיש את הבעייתיות באבטחת מידע.

אחת מהחברות בארץ, מקפידה בצורה יוצאת דופן על נושא אבטחת המידע. עובדי החברה מודעים ללא יוצאים מהכלל, לכל הנהלים הקשורים באבטחה, מנשיאת תג עובד ועד גריסת כל המסמכים עם סיום יום העבודה.

בתום יום עבודה אחד, מצא קצין האבטחה של הארגון מסמכים סודיים שנזרקו לפח האשפה הרגיל ולא לפח המיועד לגריסת ניירת. לצורך בדיקה בלבד, נסע קצין האבטחה למתקן האשפה האזורי ושם להפתעתו, גילה שיש כמות נכבדה של ישראלים שיודעים לעשות כסף והרבה כסף מאשפה של אחרים. מולו נראו מספר גברים, העסוקים במיון סוגים שונים של אשפה כגון זכוכית, פחיות, פלסטיק וכמובן, גם מסמכים של חברות היי-טק. לדאבונו, לאחר בירור קצר התברר שאותם מסמכים מוצעים למכירה לכל אחד שרק יהיה מוכן לנקוב במחיר הגבוהה מבין כל המבקשים. קצין האבטחה נאלץ לרכוש את כל ערמת המסמכים הסודיים של הארגון בטרם ירכשו ע"י חברה מתחרה.

המסקנה מסיפור זה, ידע זה כוח, וכוח שווה כסף.

אין לי שום ספק שלשם איסוף מידע אותו גורם ימלא את משרדו בערמת אשפה של הארגון שלנו. וכן, חובה לגנוז או לגרוס מסמכים גם אילו הנראים כחסרי חשיבות.

ניצול שגיאות תוכנה והשימוש בדלתות אחוריות - חדירה למערכת המחשוב, יכולה להתבצע ברמות השונות של הרשת. רמת האפליקציה פרוצה מעצם היותה כתובה על-ידי בני-אנוש שעושים לפעמים טעויות בכתיבת הקוד.

כל באג (טעות כתיבה בקוד התוכנה) עשוי להוות פתח לפריצת המערכת או הפלתה. סיבה נוספת היא מורכבות הטיפול בנתונים שמתקבלים.

חדירות למחשבים על-ידי ניצול לרעה של חולשות המערכת (Vulnerability) מאוד נפוצות בקרב האקרים וכדי להגן מבפניהם יש צורך בפעולת הקשחת שרתים (הסרת השירותים הלא רלוונטים והעלאת רמת האבטחה של השרת), כמו גם, בניית שכבות הגנה נוספות כמו: אנטי וירוס, עדכון מערכת ההפעלה וכדומה. לרוב, ארגונים מסתפקים בהתקנת שרת Firewall. שרת Firewall נועד בתכליתו לסגירה ופתיחה של Ports (כל Port מיצג שרות במערכת) בהתאמה לסט חוקים (Rules/Policies) שנקבע מראש. לדוגמא, מנהל הרשת יכול להגדיר אם לאפשר או לא לאפשר כניסה ויציאה דרך פורט 25 המיצג את פרוטוקול SMTP (שירות דואר) או אם לאפשר כניסה ויציאה של תעבורת הרשת בפורט 80 המייצג את פרוטוקול HTTP.

כיום שרתי Firewall הרבה יותר מתוחכמים ומסוגלים לספק פתרונות אבטחה מתקדמים. כמעט כל ארגון מאפשר לעובדיו לגלוש באינטרנט באופן שוטף ועל כן, במידה וקיים שרת FireWall יוגדר חוק המאפשר כניסה ויציאה של תעבורת רשת בפורט 80 (HTTP).

לסיכום - קשה מאוד לשמור על המידע הדיגיטאלי שלנו, אך בעזרת חשיבה מקדימה ניתן למנוע זליגת מידע שלנו אל העולם שבחוץ.

גניבת סיסמאות - חשיפת מידע - ניצול שגיאות תוכנה