בעקבות פרשת הפריצה לחשבונות הענן של דוגמניות: כיצד תגנו על המידע שלכם מפני פורצים?

Name: בעקבות פרשת הפריצה לחשבונות הענן של דוגמניות: כיצד תגנו על המידע שלכם מפני פורצים?
Uploaded: 2016-07-21T10:29:00+03:00
Description: כולנו שמענו על הענן, וחלקנו אף משתמשים בתוכניות ענן שמציעות חברות המדיה ויצרני הטלפונים החכמים שלנו. אבל מה עומד מאחורי המונח, והאם המידע שלנו בענן אכן מאובטח?

כולנו שמענו על הענן, וחלקנו אף משתמשים בתוכניות ענן שמציעות חברות המדיה ויצרני הטלפונים החכמים שלנו. אבל מה עומד מאחורי המונח, והאם המידע שלנו בענן אכן מאובטח?

נענע10 Online | 21.07.2016

האקר, סייבר | צילום: fotlia

בעקבות הפרשיה האחרונה של גניבת תמונות ידוענים משירותי ענן, במסגרתה הוגש היום (רביעי) בצהריים כתב אישום - פנינו לעודד ואנונו, ראש מחקר חולשות מוצרים בחברת צ'ק פוינט, כדי שיפזר את העננה סביב המושג:

מהו שירות ענן?

שירותי ענן הם למעשה שירותי מחשוב הניתנים למשתמשים באמצעות מחשב מרוחק, אליו הם מתחברים דרך רשת האינטרנט או באמצעות קו תקשורת ייעודי. מהפכת הטלפון החכם איפשרה זמינות מידע וקלות שיתוף מידע, אשר שינו את אורח חיינו מהקצה לקצה. המידע הפך זמין ואין סופי, ובעקבות כך נוצרו הזדמנויות עיסקיות המציעות למשתמשים לאחסן כמויות גדולות של מידע בלחיצת כפתור, מבלי להזדקק לתשתית איחסון מיוחדת. ענן הוא בסופו של דבר מחשב לכל דבר, אשר נמצא בחוות שרתים של חברה המספקת את שירותי הענן. אותה חברה היא זו שמציגה את המודל העסקי, במסגרתו היא מנהלת את המידע שלכם ואחראית על גיבויו ואבטחתו.

עד כמה המידע שלכם מאובטח?

כיום, הרגולציה מתייחסת הן לאבטחת תשתית הענן והן להבטחת פרטיות המשתמש, ובכלל זה איסור על חברות הענן לשמור מידע שנמחק על ידי המשתמש. לכאורה, חברות הענן משקיעות משאבים רבים בכדי לפרוס כמות נרחבת של שרתים, וזאת במטרה לתת שירות מהיר וזמין ללקוחות. אך האם השרתים הללו עומדים בסטנדרטים הדרושים ומוגנים בפני תקיפה? התשובה אינה חד משמעית.

האם כל החברות מקיימות את ההוראה, ודואגות למחוק את המידע שהפקידו בידיהם המשתמשים? על סמך האירועים הקשורים לגניבה או זליגה של מידע שמאוחסן בשירותי הענן, גם כאן התשובה אינה חד משמעית. על בסיס ניתוח ההתקפות שבוצעו על חברות הענן, המסקנה החד משמעית היא שהחברות לא תמיד מצליחות לשמור על רמת אבטחה הרמטית בחוות שירותי הענן - גם אם הן מאוד משתדלות. הסיבות לכך שהמידע המאוחסן בענן אינו מוגן במאת האחוזים מגוונות; לעיתים, מדובר בפרצת אבטחה חדשה שנתגלתה בתעשייה, ועדיין לא נמצא לה התיקון. במקרים אחרים, מדובר בחולשה לוגית הקיימת בתוכנת הענן עצמה ומאפשרת להאקרים (פצחנים) לנצלה בכדי להשיג מידע שלא אמור להיות נגיש עבורם. וכמו בכל תקרית אבטחה, לעיתים מדובר פשוט בטעות אנוש בהגדרת תשתיות הענן.

הגורם האנושי

הנתון הבא אולי יפתיע אתכם, אבל מרבית פרצות האבטחה בתעשיית הענן אינן תוצאה ישירה של ליקויי אבטחה אצל ספקית שירות הענן, אלא דווקא אצל המשתמשים. לא משנה עד כמה ספקית שירות הענן תהיה מאובטחת - כאשר המשתמש אינו נוקט אמצעי בטיחות בסיסיים, המידע שהוא מאחסן הופך להיות פגיע. אם כך, מה באפשרותכם לעשות בכדי להגן על המידע שלכם? הנה כמה אפשרויות:

1. בחירת סיסמא יחודית לכל שירות שאליו אתם רשומים. אמנם לכולנו קל יותר לזכור סיסמא אחת ולהשתמש בה עבור כל החשבונות הדיגטליים שלנו, אבל חשוב להימנע ממצב שסיסמא אחת משמשת לכל שירותי המיחשוב שלכם. מספיק שהאקרים יצליחו לפרוץ אותה בשירות אחד - והם כבר יוכלו לפרוץ לכל שאר החשבונות המקוונים שלכם.

2. שימוש בשירות הענן רק מהמחשב או מהטלפון הפרטי שלכם - הנחת היסוד צריכה להיות שאתם סומכים אך ורק על המחשב האישי והטלפון החכם שלכם. כניסה לשירותי הענן, הכוללת הזדהות ממכשירים מזדמנים, מעלה את הסיכויים לגניבת הזהות שלכם.

3. שימוש בשרתי ענן מוכרים בעלי מערך אבטחה משמעותי. אם המידע שלכם יקר ללבכם, הקפידו להשתמש בשירותיהן של חברות מוכרות, שצברו ניסיון באבטחת מידע.

4. ביטול העלאת תכנים אוטומטית לענן. הגדרות ברירת המחדל מעלות לענן תכנים בצורה אוטומטית. הסרת אפשרות זו מחזירה למשתמש את היכולת לבחור איזה מידע לעלות לענן באופן אקטיבי ואיזה לא.

5. עירנות והקפדה לא ללחוץ על לינקים מפוקפקים. אחת הטכניקות השכיחות ביותר לגניבת זהויות כיום נקראת "מתקפת דיוג" (Phishing). מטרת התקיפה היא להונות את המשתמשים להכניס את פרטיהם האישיים לאתר מתחזה, ובאופן זה לגנוב את שם המשתמש והסיסמא שלהם.

לצורך המחשה, הבחינו בדוגמה מטה. לשני האתרים מראה פחות או יותר זהה, ושניהם מזדהים כאתרים השייכים לחברת אפל. האמנם?

ענן מול ענן: מי המקורי? (התשובה: השמאלי) | צילום: צילום מסך -

נלמד מה הם הדברים הבסיסיים שעליהם אנחנו צריכים להסתכל, במקרה שאנחנו לא בטוחים אם האתר אותנטי או מתחזה.

1. שורת כתובת האתר

אתר הדיוג:

האתר המקורי:

2. שימוש בביטויים מוכרים/ משחקי איות - כפי שניתן לראות, כתובת אתר הדיוג (תמונה 1) מנסה להטעות את המשתמש באמצעות כך שהיא משתמש בכתובת המכילה שם של שירות מוכר המסופק על ידי חברת אפל.

3. חתימה דיגיטלית - לעומת זאת, כתובת האתר האמיתי (2) מגובה במנעול ירוק (הדפדפן מאשר את החתימה הדיגטלית)

ניתן לראות שכתובת האתר הראשון הינה payppal.com (עם שני p), כאשר כתובת האתר השני הינה paypal.com (משחקי איות). כמו כן, ניתן להבחין שלאתר הראשון ישנה חתימה דיגיטלית מאושרת בדפדפן (התקשורת מאובטחת), בעוד שבאתר השני אין.

לסיכום, כדאי לזכור ששירותי הענן עוזרים לקבל שירותים חיוניים מכל מקום בעולם (המחובר לרשת). בתור משתמשים, יש ביכולתכם לשמור על כמה כללי אצבע, שיסייעו לשמור על המידע שלכם מפני איומי סייבר:
1. בחירת ספק שירותי ענן מוכר וגדול - בדרך כלל לספק גדול ישנם צוותי אבטחת מידע, המנטרים את השירות.
2. כניסה לשירותי הענן ממחשב או מטלפון חכם פרטי, בכדי למנוע זליגה של פרטי ההתחברות.
3. עדכון הדפדפנים או האפליקציות שלכם - חברות הדפדפנים ואפליקציות הענן מוציאות עידכונים תכופים, שכוללים תיקונים לפרצות אבטחה שהתגלו.
4. עדכון תוכנת האנטי-וירוס שלכם על גבי המחשב הפרטי.
5. עירנות מפני אתרי דיוג שמתחזים לשירותי ענן.
6. ביטול העלאת תכנים אוטומטית לענן.

הכותב הינו ראש מחקר חולשות מוצרים בחברת צ'ק פוינט
סייע בהכנת הכתבה - רומן זאיקין, חוקר אבטחה בחברת צ'ק פוינט