בעבודה היומיומית שלי בתור האקר אתי (אני מעדיף את המונח בודק חדירה, אבל מה שלא מרחף את הסירה שלך) אני נתקל בכמה טעויות אבטחה נפוצות שמאפשרות לי לקבל גישה לא מורשית למערכות המחשב שלך. זה מקל בהרבה על יום העבודה שלי כשמישהו השאיר סיסמה רשומה על שולחנו – אבל אני לא היחיד שמתעצל ואוהב ניצחון קל.
האקרים בעלי כובע שחור מונעים בדרך כלל מחפשים את הפירות הנמוכים ביותר, ועם כמה שינויים קלים, אתה יכול להקשות בהרבה על מישהו להפר את האבטחה שלך כלאחר יד ולפלוש לפרטיות שלך. לשם כך, ריכזתי רשימה של חמשת ההרגלים המובילים שאתה צריך לשנות בזמן השימוש באינטרנט – מנקודת מבט של האקר. אולי אתה כבר מכיר זוג, אבל האחרים יכולים להיות ההבדל בין שאתה נפרץ לבין שמירה על עצמך.
1. השתמש ב-VPN
הצפנה היא חשובה, ובעולם אידיאלי, כל אתר ישתמש ב-TLS עם HTTP Strict Transport Security לכל הפחות. למרבה הצער, זה לא עולם מושלם, אז לכל השאר, יש לנו רשתות וירטואליות פרטיות (VPNs) . הם יוצרים מנהרה מוצפנת שמנתבת את תעבורת האינטרנט שלך בין המכשיר שלך לשרתי ה-VPN של ספק, וזה חיוני אם אתה מטייל ומתחבר הרבה לנקודות Wi-Fi פתוחות. ברצינות. צא יום אחד עם עותק של Wireshark מותקן על המחשב הנייד שלך יום אחד וראה איזה סוג של מידע אתה מפיץ דרך Wi-Fi חינם של נמל תעופה דרך הטלפון שלך. זה לא יפה.
יש להודות, יש ויכוח בין מומחי אבטחה אם כדאי להשתמש ב-VPN. קיימים טיעונים תקפים נגד שימוש ב-VPN, בעיקר סביב הפקדת ניתוב הנתונים שלך לצד שלישי שעלול להיות בלתי מהימן. הטענה שלי היא כזו: אתה כבר סומך על ספק שירותי האינטרנט שלך, שאינו יכול לפעול ללא הסכמת הממשלה. הממשלה שלך כנראה גם מרגלת אחריך. למה לא לעשות את זה רק קצת יותר קשה? אמנם לא הייתי תומך בשימוש באף ספק VPN שנתקלת בו, אבל בחירה ב- VPN מבוקר ללא יומן יכולה לספק מידה של הגנה מפני מעקב ממשלתי שלא היה לך אחרת.
חשוב מכך, VPN איכותי מציע שני יתרונות מרכזיים: ראשית, הוא מטשטש את כתובת ה-IP שלך , ומסבך משמעותית את הניסיונות להתחקות אחר מיקומך בפועל; שנית, הוא מסנן מפיצי תוכנות זדוניות נפוצות ומפרסמים שנפגעו באמצעות חסימות DNS. חסימת מודעות כבר מפחיתה וקטור תוכנה זדונית ענקית, אז אני ממליץ על אחד בשביל זה בלבד.
2. השתמש בחוסם JavaScript או ברשימת היתרים
הארכיטקטורה של האינטרנט פירושה שחלק גדול מהתוכן שאתה נתקל בדפדפן שלך מועבר באמצעות JavaScript. בעוד ש-JavaScript יכול לגרום לאתרים להיראות ולהרגיש טוב יותר, הוא גם משמש כווקטור למגוון עצום של התקפות, כולל חטיפת קליקים, מניעת שירות, סקריפטים חוצי אתרים וזיוף בקשות, ואפילו ביצוע קוד שרירותי במקרים מסוימים.
על ידי שימוש בחוסם JavaScript או ברשימת הלבנים, אתה יכול לאפשר באופן סלקטיבי סקריפטים ממקורות מהימנים תוך הפחתת הסיכונים הקשורים לסקריפטים זדוניים או פולשניים. זה מפחית התקפות שמקורן בפרסומות זדוניות ומפחית באופן דרסטי את הסיכוי לגניבת אישורי הפגישה שלך בהתקפת Drive-by. NoScript הוא עדיין תקן הזהב עבור חבילות חסימת Javascript. אני משתמש בזה וב- uBlock Origin כדי לכסות את רוב הבסיסים שלי באינטרנט.
3. עקוב אחר עצמך
למעט מאוד אנשים יש מושג כמה מידע על החיים האישיים שלהם נמצא באינטרנט, רק מחכים שמישהו יחבר את הנקודות. לעתים קרובות אני משתמש בלינקדאין כדי לגרד מידע על העובדים, הטכנולוגיות והמיקומים הפיזיים של החברה, אבל התמודדות עם האקרים ממוקדים דורשת גישה קצת אחרת.
קח פיסת מידע שזמינה לציבור, כגון כתובת הדוא"ל שלך או שם משתמש שאתה משתמש בו. על ידי שימוש בטכניקות מודיעין בסיסיות בקוד פתוח וקצת חיפוש בגוגל ייעודי, תופתע לגלות כמה נתונים אישיים נגישים בקלות, כולל שמך האמיתי, כתובתך ועוד.
אם אתה יכול לראות את זה, גם מישהו אחר יכול. התמודד עם הנוכחות המקוונת שלך וקצץ כל מה שאתה לא רוצה שאדם זר יראה. אל תזלזלו בכוחה של הנדסה חברתית בכל הנוגע לפריצה למכשירים שלכם.
ברגע שיש לך מושג לגבי הצעדים שמישהו יצטרך לנקוט כדי לקשר את הזהות המקוונת והאמיתית שלך, הסרה או מחיקה של מידע זה מהחשבונות המקוונים שלך יכולה לנתק את הקישור. זה הופך את זה להרבה יותר מאתגר עבור שחקנים זדוניים לנצל את המידע האישי שלך (בתורו, מה שמפחית בהרבה את הסיכוי שתהיה קורבן של שחקן Call of Duty מטורף עם יותר מדי זמן בידיים שלהם).
זה חשוב במיוחד עבור פלטפורמות כמו פייסבוק וטוויטר. תתפלאו כמה תשובות לשאלות אבטחה תוכלו למצוא מגלילה מהירה בקיר הפייסבוק או בטוויטר של מישהו. בזמן שאתה בזה, הקפד לחקור את הגדרות הפרטיות המוצעות על ידי אתרי מדיה חברתית כדי להבטיח שרק אנשים שאתה מכיר יוכלו לגשת למידע האישי שלך. להפוך למאסטר של מודיעין קוד פתוח (OSINT) לא קורה בן לילה, אבל אפילו מאמץ קטן עדיף מכלום.
4. עדכן את האפליקציות שלך
כן, זו עצה משעממת. לרוע המזל, אמצעי הזהירות הבסיסיים הם שעושים לרוב את ההבדל הקריטי בין הצלחה לכישלון באבטחת סייבר. גרסאות תוכנה מיושנות גורמות לכאבי ראש לאנשי אבטחה בכל מקום, אז בבקשה, עדכן באופן קבוע את מערכת ההפעלה והתוכנה שלך (במיוחד אם היא מתחברת לאינטרנט). עצם הצצה ברשימת הפגיעויות והחשיפות הנפוצות תיתן לך מושג על השפע העצום של ניצול תוכנה בחוץ.
ניצול של יום אפס הוא כאשר פגיעות נחשפה אך עדיין לא תוקנה, אז פושעי סייבר קופצים עליה. עדכוני האבטחה האלה במחשב שלך הם בדרך כלל מה שמתקן את הבעיות האלה, אז אל תזלזל בהם.
זה חשוב אפילו יותר עבור מכשירים ניידים, שהם לרוב מאגרים של מידע רגיש במיוחד – גן עדן של האקרים. בטח שמעתם על תוכנת הריגול Pegasus בשלב מסוים, אשר מינפה מספר ניצולים מורכבים בתוך מערכות ההפעלה iOS ואנדרואיד כדי לפרוץ טלפונים של דמויות מדיה בולטות מרחוק לחלוטין באמצעות הודעות טקסט.
עם זאת, טלפונים אינם המקום היחיד בו מתרחשות התקפות אלו. דפדפנים ישנים, במיוחד, הם יעדים קלים להתקפות תוכנות זדוניות בלחיצת אפס, אשר משאירות את המחשב שלך בסיכון רק עם ביקור בקישור חשוד.
אם עליך לתחזק מערכת הפעלה ישנה למטרות מדור קודם, כגון הפעלת גרסאות תוכנה שהוצאו משימוש, שקול לבודד אותן כמכונות וירטואליות או מערכות מרווחות אוויר חסרות קישוריות לאינטרנט.
5. הפסק לעשות שימוש חוזר בסיסמאות שלך
אני בטוח שאמרו לך את זה אלף פעמים, אבל יש לזה סיבה. יש אינספור אתרים ואפליקציות לא מאובטחות בחוץ שאתה מפקיד את הסיסמאות שלך בהן. חלקם עדיין שומרים את הסיסמאות שלהם בטקסט רגיל או ב-MD5 ללא מלח (בעצם, הצפנה חסרת ערך שאינה מגינה עליך).
אם אתה עושה בהם שימוש חוזר, זו פצצת זמן מתקתקת אם אחת מהפלטפורמות הללו נפרצה, והסיסמה שלך מתחילה לצוף ברשת האפלה. ברגע שזה יקרה, זה רק עניין של זמן עד שמישהו ינסה את שילוב הדוא"ל והסיסמה שלך מול אתרים פופולריים ויקבל מכה.
גם אם האישורים שלך לא דלפו, שימוש בסיסמאות נפוצות הופך אותך לחשוף להתקפות. התקפות כוח אכזריות משתמשות לעתים קרובות ברשימות סיסמאות מורכבות מפריצות נתונים, ומצמצמות באופן מסיבי את הזמן שלוקח למעשה למצוא אישורי כניסה שעובדים.
כשאני מנסה לפרוץ למערכת, אני לא מסתכל על משתמש אחד ומנסה כל סיסמה שאני מכיר. אני מנסה את שלוש הסיסמאות הנפוצות ביותר נגד כל משתמש במערכת. זה מדכא באיזו תדירות זה עובד. שנה את סיסמתך!
עם זאת, זה יכול להיות קשה לזכור סיסמה עבור כל אתר שאתה מתכוון להיכנס אליו. כדאי לשקול להשתמש במנהל סיסמאות (או, לכל הפחות, לאפשר אימות דו-גורמי). אתה יכול גם לבדוק אם אחד מהחשבונות שלך נפרץ או אם אתה משתמש בסיסמה המנוצלת בדרך כלל באמצעות כלים כמו haveibeenpwned .
לא לסמוך על כלום
ישנם אמצעים רבים אחרים שתוכל לנקוט באינטרנט כדי להגן על המידע האישי שלך, אך חמשת השלבים שלמעלה הם בעלי חשיבות עליונה. מניסיוני, האקרים מצליחים לעתים קרובות לא בגלל כושר טכני יוצא דופן או הישגים הנדסיים מתוחכמים, אלא על ידי ניצול עצלות ופיקוח אנושיים. אם מישהו השאיר את הדלת האחורית פתוחה, למה לטרוח ולנסות לנעול? על ידי ביצוע מספר שינויים בהרגלים שלך, אתה יכול להפחית באופן משמעותי את הסבירות ליפול קורבן להתקפת פריצה (ולהפוך את העבודה שלי להרבה יותר קשה).
הנה טיפ בונוס: אם אי פעם תקבל אימייל מוזר ממישהו שאתה סומך עליו המבקש ממך לבדוק קובץ, לך תתקשר אליו וודא שהוא שלח אותו. תאמין לי בעניין הזה. דיוג בחנית פועל הרבה יותר ממה שהוא צריך.
