מאיפה להתחיל?

מאז שהתחברתי לאינטרנט בפס-רחב, אני זוכה להתקפות שונות ומשונות על בסיס יומי. דף הבית שלי הפך לדף הבית של אתר סקס, תוכנות ריגול החלו לעקוב אחרי הגלישה שלי, ובתוך יממה אחת נשתלו אצלי שלושה סוסים טרויאניים. אינני יוצא דופן כמובן - לפי הסטטיסטיקה, מחשב ממוצע המחובר לאינטרנט מסביב לשעון עובר לפחות 12 סריקות ביממה לאיתור פרצות או במסגרת ניסיונות חדירה. כל שרת חדש שמתחבר לאינטרנט, זוכה לסריקה בתוך 15 דקות בממוצע.

מי שהנתונים הללו מרתיעים אותו, וחושב להישאר עם המודם, כדאי שיחשוב על זה שוב. רוב ספקי האינטרנט מחברים את לקוחותיהם בפרוטוקול אימות ששמו PAP. הפרוטוקול הזה, שולח את השם וסיסמת המשתמש באופן גלוי, ללא כל הצפנה. כל מי שמצוייד ב-Sniffer יכול "לדוג" את הנתונים האלה. יוצאי הדופן היחידים הם בזק בינלאומי וברק, שמשתמשים באימות מסוג CHAP, המצפין את שם וסיסמת המשתמש.

הבעיות העיקריות עם חיבור בפס-רחב הן שהוא קבוע, ושהוא משתמש בכתובת IP קבועה, כך שמלאכתו של ההאקר הופכת פשוטה יותר. הפער שקיים היום בין קלות הפריצה לבין המודעות של המשתמשים, הוא פרצה שקוראת לגנבים רבים. מובן שתוכנות האנטי-וירוס והגדרות האבטחה של הדפדפנים אינן מספיקות. ולמי שחשב אחרת זו הזדמנות טובה לשבור מיתוס - מערכות לינוקס אינן מוגנות יותר, לפחות לא בהשוואה למערכות ההפעלה האחרונות של Windows (שרתי לינוקס חדשים נפרצים בממוצע בתוך 72 שעות מרגע שחוברו לאינטרנט. מערכות Windows 9x, לשם השוואה, נפרצות בממוצע כחמש פעמים בשבוע). מצד שני, אם אתה משתמש ממוצע במוצרי מיקרוסופט, ישנן כמה ברירות מחדל מסוכנות שכדאי לך לתקן ופרצות שכדאי לך לסגור:

פרוטוקולים מיותרים

אצל רוב המשתמשים מופעלים ללא צורך הפרוטוקולים NetBIOS/NetBEUI ו/או IPX/SPXשל נובל. מלבד היותם מיותרים כמעט תמיד, הם הופכים את המחשב קל יותר לפריצה ולכן כדאי להסיר אותם (בחלון Network בלוח הבקרה).

שיתוף משאבים

משתמשי Windows 9x שמופעלת אצלם האופציה File & Print Sharing (באותו חלון כמו הסעיף הקודם), אינם יודעים כי היא מאפשרת להאקרים לחדור בקלות לדיסק הקשיח שלהם. ברשתות מקומיות היא גם מאפשרת לעבור בקלות ממחשב אחד לאחר.

ברירות מחדל של הדפדפן

ישנן שתי ברירות מחדל של IE שעושות חיים קלים להאקר:

* Enable Page Hit Counting (או Enable Profile Assistant בגירסה 5.5, או הפעל את מסייע הפרופילים בגירסה 6.0). אופציה שמאפשרת לבעלי אתרים לאסוף מידע על הרגלי הגלישה שלך, ובהזדמנות זו מאפשרת להאקרים לשוטט בחופשיות בדיסק הקשיח שלך.

* Enable Cookies. רק החל מ-IE 5.5 יש אפשרות מסויימת לשלוט בעוגיות, וממילא רוב הגולשים אינם יודעים איך לעשות זאת. חסימה מוחלטת של העוגיות אינה מומלצת, משום שהן חיוניות באתרים שעושים פרסונליזציה. לעומת זאת, מומלץ להשתמש באחד מעשרות הכלים המאפשרים לנהל Cookies.

במה חשוב לטפל

כעת ניתן להמשיך הלאה, ובשלב הראשון להגדיר את חמשת האלמנטים של האבטחה אליהם ראוי להתייחס:

* הגנה מפני וירוסים באמצעות תוכנות אנטי-וירוס.

* הגנה מפני חדירות והצפות (DoS) באמצעות Firewall.

* סינון תכנים (Content Filtering).

* זיהוי תקיפות (Intrusion Detection)

* הגנה על הפרטיות (Privacy)

למי שמשתמש במחשב בביתו לעבודה מרחוק על מחשב בחברה, כדאי להתייחס גם למרכיב שישי: VPN. הרשת הפרטית הוירטואלית (Virtual Private Network) היא בעצם אלטרנטיבה לחיבור הנל"ן המסורתיים (Leased Line). היא משתמשת בחלק מהסגמנט של התווך הציבורי, לתעבורת מידע מאובטחת וזולה משמעותית מאשר עורק ייעודי. יישום VPN, בחומרה או בתוכנה, מאפשר לחברה לקיים קשר מאובטח עם עובדים, ספקים, שותפים עסקיים וכן הלאה, בשבריר העלות.

במגזר העיסקי מקובל היום להשתמש בחבילות Firewall, שכוללות כבר מזה זמן את כל או רוב אמצעי האבטחה האחרים, והיום גם VPN. ההבדל העיקרי הוא בין הגישה שדוחפת צ'קפוינט הישראלית, שהפתרונות שלה מיושמים (בעיקר) בתוכנות שמותקנות על שרת בכניסה לרשת; לבין הפתרונות של סיסקו, שמיושמים בחומרה - לרוב במתגים או נתבים בקצות הרשת הארגונית. פתרונות נוספים, הזמינים כחלק מאותם מוצרים או בנפרד, משמשים לבדיקת מצב האבטחה בזמן-אמת, לאיתור פרצות ולזיהוי ניסיונות חדירה.

הפתרונות הללו אינם מתאימים למשתמש הביתי, משום שהם יקרים מדי. אבל ישנן הרבה אלטרנטיבות שוות לכל נפש, שזמינות כחלק ממערכות ההפעלה של מיקרוסופט או במסגרת מוצרי צד-שלישי. Windows מגיעה החל מגירסת 98 עם תמיכה מובנית ב-VPN, וגירסת XP מגיעה עם מנגנון Firewall אינטגרלי (הוא אינו מופעל כברירת מחדל, ורצוי לתקן זאת מייד לאחר ההתקנה). כדאי מאד גם להתקין את גירסה 6.0 של Explorer, שכוללת שיפורי אבטחה חשובים, כולל טיפול טוב יותר בנושא ההגנה על הפרטיות. שיטה נפוצה ויעילה כדי להתגונן טוב יותר מפני רוב האיומים, ובמיוחד מפני Sniffing, היא להשתמש ב-NAT, שירות הנתמך היום בכל הנתבים, וגם במערכות ההפעלה האחרונות של מיקרוסופט (ראה הרחבה במסגרת להשתמש ב-NAT). מומלץ מאד למי שידו משגת, להוסיף נתב בין המחשב לבין חיבור האינטרנט שלו. מחירי הנתבים הביתיים מתחילים היום בכ-$200, וזו תוספת חשובה שתורמת גם לאבטחה וגם לאיכות ונוחות החיבור.

בהמשך הכתבה נסקור כמה כלים חשובים נוספים, וכמה אסטרטגיות וטיפים להתגוננות טובה יותר.

בין הכלים שכדאי להביא בחשבון: תוכנות Firewall אישיות, מוצרי אנטי-וירוס וכלים נוספים, שאפשר לרכוש או להוריד חינם מאינטרנט (פירוט אפשר למצוא בכתבה לשמור על הבית המופיעה בגיליון זה).

בינתיים, אם תרצה לבדוק את רמת האבטחה של החיבור שלך, תוכל להשתמש לשם כך באחד מכמה שירותי חינם מקוונים. השירותים הללו בודקים את ערוצי התקשורת (Ports), מזהים את נקודות התורפה, וגם מציעים הסברים ופתרונות. הבולטים בתחום זה (מומלץ לבצע בדיקה מול שני אתרים לפחות): סטיבן גיבסון, אתר נורטון, Hacker watch, DSLReports, Trend Micro.