כתב נושא: איך לשמור על הפרטיות שלכם ולדאוג שלא יעקבו/יפרצו/יאזינו לכם למחשב  (נקרא 17282 פעמים)

0 משתמשים ו- 1 אורח נמצאים בנושא זה.

מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
        במהלך שימוש באינטרנט, נמסר לרוב מידע אודותיך, בין אם על ידך, ובין אם על ידי המחשב ודפדפן האינטרנט באופן אוטומטי. באמצעות מידע זה ניתן:
        • לאתר את המיקום הפיזי שבו נמצא המחשב
        • לזהות את פרטיך האישיים
        • לפרוץ למחשב או להתקין בו תוכנת ריגול
      • לדעת לאיזה אתרים אתה גולש ובאיזה תכנים אתה צופה


    כל כניסה לכל אתר אינטרנט חושפת את הפרטים הללו ועוד. סביר להניח שבשעה שאתה קורא שורות אלה, גורם זדוני כלשהו כבר מסוגל לעקוב

מספרי IP

כדי להגן על פרטי המחשב, ראשית צריך להכיר מושג בסיסי באינטרנט:

הגדרה:
מספר IP (Internet Protocol) הוא בעצם סוג של "תעודת זהות" אלקטרונית של כל מחשב ואתר אינטרנט המחוברים לרשת. IP הנו ייחודי ואישי לכל מחשב, והוא מיוצג ע"י מספר כמו זה: 83.179.17.18. כדי לדעת מה מספר ה-IP של המחשב שלך, אתה יכול לגלוש לכתובת הזאת:
www.ip-adress.com


שימוש רגיל באינטרנט

כאשר אתה יושב מול המחשב, ופותח את דפדפן האינטרנט, המחשב שולח הודעה לדף הבית שלך, שכוללת את מספר ה-IP של מחשבך. האתר שאליו אתה מנסה להיכנס שולח לך בחזרה את המידע המוצג בו, אל ה-IP שנשלח אליו, ומידע זה מוצג על מסך המחשב. לרוב האתר שומר יומן כניסות שבו רשומה השעה שבה נכנסת לאתר וכן מספר ה-IP של מחשבך. מכיוון שמספר ה-IP הנו חיוני לפעילות האינטרנט, אין אפשרות לבטלו לחלוטין, אך ניתן לשנותו.

שינוי מספר ה-IP

אחת השיטות לשנות את מספר ה-IP המוצג לאתרי אינטרנט, הנה שימוש בשרתי פרוקסי (Proxy Server). שרת פרוקסי הוא שרת שלמעשה מעביר דרכו את התקשורת בין המחשב לבין אתר האינטרנט.
שרת פרוקסי

כאשר אתה משתמש בשרת פרוקסי, התקשורת עוברת מספר שלבים:

    המחשב שלך שולח בקשה להצגת האתר אל שרת הפרוקסי,
    השרת מבקש במקומך מהאתר את התוכן המבוקש.
    השרת שולח אליך את התוכן, והוא מוצג על המחשב כרגיל.

בצורה כזאת, האתר יכול לקבל רק את כתובת ה-IP של שרת הפרוקסי, ואתה מסוגל ליהנות מאנונימיות כלפי האתר. כמובן, קיימים שירותים שאליהם לא תוכך לגשת באמצעות שרתי פרוקסי, כגון עריכה בוויקיפדיה, כניסה לתוכנות דואר אלקטרוני מסוימות ועוד, אך למרבית השירותים הללו יש תחליף.

סוגי שרתי פרוקסי
קיימים שלושה סוגי שרתי פרוקסי:

    שרתים שקופים (חשופים); שרתים אלו מנתבים את התקשורת מהמחשב, אך מעבירים לאתר האינטרנט את מספר ה-IP של מחשבך. שרתים כאלה קיימים לרוב במקומות עבודה על מנת למנוע מהעובדים גישה לאתרים שאינם קשורים לתפקידם (כמו פייסבוק לדוגמה).
    שרתים אנונימיים; שרתים מסוג זה מעבירים דרכם את התקשורת לאתר האינטרנט, אך חוסמים את העברת כתובת ה-IP של מחשבך. שרתים כאלו מספקים לרוב אנונימיות ברמה טובה.
    שרתים מתחזים; שרתים אלו הנם יותר נדירים, ופועלים בצורה דומה לשרתים האנונימיים, אך בשונה מהם, אינם חושפים את העובדה שהם שרתי פרוקסי, אלא מתנהגים כאילו הם מחשבים רגילים, ובכך מספקים אבטחה ברמה הגבוהה ביותר.

שימוש בשרתי פרוקסי
TOR דפדפן

קיימים באינטרנט שירותי פרוקסי רבים בחינם, אך האופציה המומלצת היא שימוש בתוכנה קטנה שנקראת TOR the onion router

התוכנה פותחה על ידי מחלקת המחקר של הצי האמריקני, לשימושם של חייליה ושל אזרחים בארצות בהן הממשלה מצנזרת את תכני האינטרנט ומונעת גישה לאתרים מסוימים, ואף עוקבת אחרי פעילות באינטרנט של גופים חתרניים.

באמצעות התוכנה ניתן להתחבר לרשת גדולה של שרתי פרוקסי חינמיים ואנונימיים, אשר אינם שומרים את פרטיכם לאחר ההתנתקות מהרשת. כל גלישה באמצעות המערכת עוברת דרך מספר שרתי פרוקסי, ומאפשרת לאתרי האינטרנט אליהם אתה ניגש לראות רק את כתובתו של השרת האחרון בשרשרת. מפעילי המערכת כיום הנם ארגון לשמירה על זכויות אדם במרחב הווירטואלי, ששמו Electronic Frontier Foundation "קרן החזית האלקטרונית", אשר מתחייבים לשמור על אנונימיות מוחלטת של המשתמשים ברשת TOR, ושהשרתים במערכת לא שומרים שום מידע על המשתמש.

ניתן להוריד את התוכנה בגרסה להתקנה על המחשב הביתי, ובגרסה לשימוש על דיסק נייד (Disk On Key), שאותה מפעילים מתוך הדיסק הנייד ללא צורך בהתקנה, ובכל מחשב שהוא (הסבר על ההתקנה בהמשך).

חשוב לזכור: TOR אינו פועל כמו קסם! אם תפרסם באינטרנט את פרטיך האישיים, שימוש ב-TOR לא יסתיר אותם, ואם תמסור את פרטי כרטיס האשראי שלך לאתר בלתי אמין, TOR לא יוכל למנוע את גניבתם! יש למסור את פרטיך לאתר אמין בלבד.

הורדה התקנה ושימוש

    הכנס לאתר www.torproject.org/.
    בתפריט ההורדה בחר את גרסת ה - TOR Browser Bundle for Windows
    שחרר את הקבצים מהכיווץ (מומלץ לבצע פעולה זו לדיסק נייד. דפדפן TOR יפעל ממנו בכל מחשב אליו תחברו אותו).
    הפעל את הדפדפן
    אם מוצגת על המסך הכתובת "Congratulations. You are using TOR", אתה מחובר לרשת.
    נסה לגלוש שנית לאתר שהוצג קודם לזיהוי מספר ה-IP. אם המספר שמוצג כעת שונה מקודם, אתה יכול להיות בטוח ש-TOR פועל כנדרש.
    קרא באתר של פרויקטTOR עוד על הסכנות שאינן נמנעות או מטופלות על ידי TOR.

הפנייה

כאשר אתה עובר מאתר אחד לשני במהלך הגלישה, האתר אליו אתה עובר מקבל את כתובתו של האתר ממנו הגעת.

לעתים, קיימת בעייה עם זיהוי כזה, ולכן ניתן להשתמש בתוסף מיוחד לדפדפן, אשר מאפשר לך לשנות את ההגדרה של כתובת האתר ממנו הגעת.

התוסף נקרא refspoof, והוא זמין בגירסאות לפיירפוקס ולאינטרנט אקספלורר. ניתן להוריד אותו מהאתר https://addons.mozilla.org/en-US/firefox/addon/4513/ .
« עריכה אחרונה: נובמבר 30, 2014, 21:54:25 על ידי Torah »

מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
דוא"ל אנונימי

כאשר שולחים דוא"ל, מופיעה בו כתובת ה-IP שלך, שמך, ועוד פרטים מזהים עליך, כגון טלפון וכתובת במקרים מסוימים. אם ברצונך לשלוח דוא"ל שיהיה אנונימי לחלוטין, או לקבל דוא"ל בלי לתת כתובת שדרכה ניתן יהיה לזהות אותך, קיימות מספר אפשרויות בהן אתה יכול להשתמש:

האפשרות הראשונה

היא לפתוח חשבון דוא"ל באחד השירותים החינמיים באינטרנט, כגון:

    וואלה! בכתובת www.walla.co.il
    Gmail בכתובת www.gmail.com
    Yahoo בכתובת www.yahoo.com

ועוד רבים אחרים. בהרשמה לאתר כזה ניתן (אך לרוב אסור) למסור פרטים אישיים חלקיים, כוזבים, מזויפים, בדויים או סתם כינוי שאין אפשרות לזהות אותך באמצעותו.

כמובן שכדאי להשתמש בכתובת זו רק באופן אנונימי, ולהיזהר בעיקר מהדברים הבאים:

    מסירת פרטים העלולים להביא לזיהויך, בין אם לאתר ובין אם לאנשים עמם אתה יוצר קשר.
    יצירת קשר עם אדם אותו אתה מכיר, אשר תוביל בהכרח לחשיפת זהותך.
    לאתרים כאלה ניתן לפרוץ בקלות יחסית, ולכן מומלץ לא להשתמש בהם למכתבים פרטיים או סודיים.

באופן כללי, מעקב וקריאה של הדוא"ל שלך הינה פשוטה יחסית, מכיוון שכל הודעה נשמרת גם אצלך, גם אצל הנמען, וגם על מספר שרתי דואר בדרך. לכל אחד מאלה ניתן לפרוץ וכך לקרוא את הודעותיך. אין זה משנה כמה תגן על תיבת הדואר שלך, אם פורץ חכם מספיק יוכל לפרוץ לדוא"ל של האדם עמו אתה מתקשר. בשיטה זו ניתן כמובן לצרף קבצים להודעת הדואר.

האפשרות השנייה

האפשרות השנייה לשליחת וקבלת דוא"ל אנונימי היא להשתמש בשירותים ייעודיים לשליחה וקבלה של דוא"ל אנונימי באינטרנט. שירותים אלה מופעלים בחינם ואינם דורשים מסירת פרטים אישיים.
לשליחת דוא"ל אנונימי ניתן להשתמש בשירות הבא: [1]. כדי לקבל דואר אנונימי ניתן להשתמש בשירות mailinator המאפשר קבלת דוא"ל לכל כתובת שתבחר. חשוב לזכור שהכתובת נגישה לכל אחד, ולכן כדאי לחשוב על כתובת קשה לניחוש ([email protected] לא תהיה כתובת בטוחה במיוחד...). האתר נמצא בכתובת www.mailinator.com.

הדבר שהכי חשוב לזכור בעת שימוש בדוא"ל אנונימי, הוא שכאשר תשלח אותו לאדם מוכר לך, זה עשוי לעורר חשד כלפיך או ליצור מצב שבו לא ידע המקבל ממי נשלחה ההודעה, וציון שמך בהודעה יגרום לאובדן האנונימיות. עצתנו היא להשתמש במספר כתובות שחלקן אנונימיות וחלקן מזוהות ככתובתך האישית.

ברוב האתרים המספקים שרות זה לא ניתן לצרף קבצים להודעת הדוא"ל האנונימית, ולכן אם צריך לצרף קובץ גרפי (למשל) זה לא ניתן.

מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
הגנה על המחשב

קבצים הנמצאים במחשב שלך אינם מוגנים. אדם שיפרוץ למחשב יוכל לקרוא את מרבית המסמכים שלך, לצפות בתמונות, ולהתקין תוכנות ריגול, ווירוסים, סוסים טרויאניים ועוד רעות חולות. מלבד זאת יתכן מצב שבו הפורץ ישמיד את כל הקבצים במחשב, ויגרום לך בכך נזק עצום.

הצפנת קבצים


כדי להגן על המחשב מפני פריצה, אין זה מספיק לקבוע סיסמה למחשב. האקרים רבים כבר הוכיחו שניתן לפרוץ ולעקוף את מערכת הסיסמה המשולבת ב-windows. מעבר לכך ניתן להחדיר למחשב תוכנת סוס טרויאני אשר תעקוף את סיסמת המחשב. ברגע שהפורץ יעבור את מכשול הסיסמה, כל הקבצים שלך יהיו זמינים בידיו, לשבט או לחסד. כדי לפתור בעיה זו, רצוי להתקין על המחשב תוכנה נוספת שתאפשר להצפין את הקבצים החשובים לך ביותר.

התוכנה המובילה בתחום זה הינה True Crypt, המאפשרת יצירת כונן ווירטואלי שבו ניתן לשמור קבצים, להתקין תוכנות ולהשתמש לכל שימוש שיעלה על דעתך, אשר בלחיצת כפתור יוצפן כל המידע שבו וישמר מוגן עד שתיכנס אליו עם הסיסמה הפרטית שלך.
את התוכנה ניתן להוריד חינם מהכתובת הבאה: www.truecrypt.org .
תוכנה נוספת שמשמשת להצפנת קבצים בודדים היא DSCrypt אשר ניתנת לשימוש בגרסה לדיסקים ניידים. הבעיה הבולטת בתוכנה זו היא האפשרות למחוק את הקבצים המוצפנים באמצעותה, ובכך לגרום לך נזק.

ניתן להוריד אותה מהכתובת הבאה: www.brothersoft.com/dscrypt-91347.html .
אפשרות נוספת המיועדת להצפנת טקסט הנה Java Scrypt, המאפשרת הצפנה של כל טקסט: הודעות דוא"ל, מסמכי וורד, הודעות בפורומים, הודעות בתוכנות מסרים מידיים ואפילו אתרי אינטרנט שלמים.

התוכנה פועלת מתוך דף אינטרנט, אך כל פעולות ההצפנה מתבצעות על גבי המחשב שלך. ניתן לגשת לאתר בכתובת הבאה: http://www.fourmilab.ch/javascrypt/jscrypt.html

הגנה מפני ווירוסים

כדי להגן על המחשב מפני ווירוסים, ניתן להשתמש בתוכנות אנטי ווירוס חינמיות כמו AVG Free, Avast, AntiVir, ועוד. מומלץ להגדיר לתוכנה שעה קבועה בכל יום שבה תבוצע סריקה אוטומטית של המחשב, ולהתקין כל עדכון לתוכנה שמופץ.
ניתן להוריד את התוכנות האלה מהכתובות הבאות:

    AVG Free - www.AVG.com
    Avast - www.avast.com

הגנה מפני רוגלות

כדי להגן על המחשב מפני תוכנות ריגול, סוסים טרויאנים, ותוכנות הקלטת מקלדת (key loggers), ניתן להוריד את התוכנות הבאות ולהגדיר להן זמן סריקה אוטומטי בכל יום.

    - Spybot search & destroy www.safer-networking.org
    - Spyware doctor www.pctools.com/spyware-doctor

דיסקים ניידים (disk on key)


למי שמשתמש בדיסק נייד ובמחשבים שאינם שלו, ישנן תוכנות אבטחה ניידות, שאותן ניתן להפעיל הישר מהדיסק הנייד. כדאי לסרוק את המחשב עליו אתה עובד לפני תחילת השימוש בו.

    אנטי ווירוס ClamWin Portable - http://portableapps.com/apps/utilities/clamwin_portable
    אנטי רוגלות SpyDLLRemover - http://portableapps.com/apps/utilities/spydllremover_portable

הגנה מתוכנות הקלטת מקשים (KEY LOGGERS)

אם אתה משתמש במחשב שאתה חושד שמותקנת בו תוכנת הקלטת מקלדת, ואתה צריך להקליד סיסמאות לאתרים או פרטים אישיים אחרים, ישנן שתי שיטות פעולה אפשריות:

    להקליד את הסיסמה כאשר בין תו לתו נמצאות אותיות או מספרים נוספים, ואחרי כן למחוק אותם.
    במקרה שהמחשב שייך לך, ניתן לשקול לבצע גיבוי של המסמכים החשובים לך ולפרמט את המחשב. פעולה זו תמחק כל תוכנה זדונית המותקנת במחשב, אך עשויה לגרום נזק גדול עבורך.

מחיקת קבצים מלאה

עובדה נוספת אליה רצוי לשים לב היא שגם לאחר מחיקת קובץ מסל המחזור, עדיין ניתן לשחזר אותו באמצעות תוכנה מתאימה. כדי להתמודד עם בעיה זו, ניתן להתקין תוכנה אשר משמידה קבצים באופן סופי לחלוטין וללא שום אפשרות שחזור. פורץ שיחטט לך במחשב לא יוכל לקרוא את המסמכים שהשמדת באמצעות התוכנה הזאת.
ניתן להוריד את התוכנה בגרסה ניידת מהכתובת הבאה: http://portableapps.com/apps/utilities/eraser_portable
אמצעי מעקב נוספים

אמצעי ריגול נוסף הנו כמובן האזנה לחיבור האינטרנט, לרשת האלחוטית, האזנה פיזית בתוך המחשב ועוד. השיטה היעילה ביותר נגד אמצעי ריגול אלה היא כמובן הסרתם. במידה שאין הדבר אפשרי יש להיזהר בתכנים שמפעילים במחשב ו/או לפנות לאיש מקצוע ולמשטרה.

התעדכנות
הדבר החשוב ביותר בהגנה על המחשב הנו התקנת כל העדכונים שמופצים לתוכנות ההגנה שלך. עולם ההאקרים מתפתח במהירות, וכל כמה ימים מומצא ווירוס חדש. רק התקנה מיידית של עדכונים לתוכנות שבידך תאפשר לך הגנה משמעותית על המחשב.

מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
סיסמאות ואיך לשמור עליהן

למי מאיתנו אין סיסמאות? לאתר האינטרנט של הבנק, לחשבון הדוא"ל, לפייסבוק ולעוד עשרות שירותים. סיסמאות אלה אינן קיימות סתם ככה. הן קיימות כדי למנוע מפורצים להשתמש בזהותך או לגנוב את פרטיך האישיים.

בפרק זה תלמד לא רק איך לבחור סיסמה בטוחה יחסית, שלא תהיה קלה לגילוי, אלא גם כיצד לשמור עליה.

בחירת סיסמה חזקה

לבחירת סיסמה בטוחה, נהוג להשתמש בכללי המפתח הבאים:

    אורך הסיסמה: ככל שהסיסמה ארוכה יותר, כך גודל הקושי לגלות אותה. במקרה שידוע לנו שאורך הסיסמה הוא רק שלוש ספרות, יהיה מספר מוגבל של אפשרויות, ופורץ מתוחכם יוכל לנסות את כולן ולפרוץ אותה.
    הרכב הסיסמה: סיסמה שתהיה מורכבת מספרות בלבד, או מאותיות בלבד, תהיה קלה יותר לזיהוי מאשר סיסמה שבה קיימות ספרות ואותיות בערבוביה.

רצוי שאורך הסיסמה יהיה בין 10 - 25 ספרות לפחות.

    אקראיות הסיסמה
: בחירה של סיסמה שקל לזכור אותה, מאפשרת לפורץ לגלות אותה בקלות רבה, במקרה שיערוך תחקיר אודתיך. דוגמאות לסיסמאות גרועות:
        תאריכי לידה שלך או של קרוביך וחבריך
        שמות של מכרים, קרובים או חברים
        שמות של ספרים, סרטים, שירים וכו'
        ועוד...

במקרה שהפורץ יערוך תחקיר מקיף עליך ועל עברך, הוא עשוי לגלות את הסיסמה.

    סיסמה אקראית באמת ניתן להפיק באמצעות מחשב, באתרים כמו אלה:
        http://strongpasswordgenerator.com/
        http://www.passwordchart.com/

סיסמה כזאת קשה מאוד לפרוץ, אך מצד שני, קשה גם לזכור אותה.

    ניתן לבחון חוזק סיסמה על-ידי אתר דוגמת
        https://www.microsoft.com/protect/fraud/passwords/checker.aspx

ניהול סיסמאות

רצוי שהשימוש בסיסמאות יתנהל לפי הכללים הבאים:

    אין להשתמש באותה סיסמה למספר שירותים
    אין להשתמש בסיסמה שאורכה קצר מ-10 תווים
    יש להחליף את הסיסמה אחת לשבוע - שבועיים
    יש לשמור על סודיות הסיסמה


שמירה על סיסמאות

אם תשתמש בסיסמאות לפי הכללים האלה, תגלה במהרה שמצטברות באמתחתך הרבה סיסמאות ארוכות וקשות לשינון, ואף יותר קשה מזה, קשה לשייך איזו סיסמה קשורה לאיזה שירות...
הפתרון לבעיה זו הנו בעיה בפני עצמו.
בצורה פשוטה, ניתן לרשום את כל הסיסמאות על דף נייר, לשים אותו בארנק, ולשכוח מהבעיות... (ויום אחד לגלות שחרב עליך עולמך, הגרוע מכל קרה, וכייסו אותך).
אם כך, זה אינו פתרון המניח את הדעת.
ברמת העיקרון, רצוי לשנן את הסיסמאות בהן אתה משתמש, ולא להשאיר שום תיעוד של מהותן.
גם פתרון זה אינו יעיל (נסה לשנן את הרצף הבא, ותבין למה: kj4fg56ghjd58k3ln6duigh8g. עכשיו נסה לשנן עשרה כאלה).

תוכנות לניהול סיסמאות
KeePass


קיימות תוכנות יעודיות המאפשרות יצירת סיסמאות אקראיות, שמירתן בצורה מסודרת, גיבוי שלהן, והגנה עליהן באמצעות סיסמה ראשית אחת.

יתרונות וחסרונות

יתרונות:

    שימוש נוח
    אפשרות לשמירה של עשרות סיסמאות ארוכות ומסובכות לשינון
    הצפנת הסיסמאות השמורות (קיים בחלק מהתוכנות בלבד)
    כניסה אוטומטית לאתרי אינטרנט (קיים בחלק מהתוכנות בלבד)

חסרונות:

    סיסמה ראשית אחת:
        אם תשכח או תאבד אותה, אתה נעול בחוץ!
        אם פורץ יצליח לגלות אותה, אתה נעול בחוץ, והוא שולט בכל הסיסמאות שלך!
    כללי:
        אם הקובץ המכיל את הסיסמאות נמחק או ניזוק באיזו שהיא דרך, לא תוכל להשתמש בשירותים שדורשים סיסמה!
        אם המחשב ניזק בצורה כלשהיא, יתכן שלא תוכל להשתמש בשירותים שדורשים סיסמה!

תוכנות מומלצות
KeePass

    KeePass - תוכנה פופולארית לניהול סיסמאות. כוללת:
        מחולל סיסמאות אקראיות
        אפשרות לכניסה אוטומטית לאתרים
        גיבוי אוטומטי

להורדה מהכתובת: http://keepass.info/
(עבור מ"ה חלונות, ומכשירים ניידים) להורדה בגירסה ניידת (לדיסק און קי): http://portableapps.com/apps/utilities/keepass_portable

    עבור מערכת הפעלה OS X (מקינטוש)
        תוכנת Keychain Access המאפשרת יצירה, ניהול ושמירה של סיסמאות.
        מגיעה מובנית במערכת ההפעלה.

    בלינוקס אובונטו
        תוכנת ניהול סיסמאות מובנית.

גיבוי סיסמאות בטוח

אם ישנו צורך בגיבוי של מפתח הצפנה ארוך (מפתח PGP פרטי לדוגמה), ניתן לחלקו למספר חלקים, ולהעביר כל אחד מהם לאדם אחר, לשמירה.

אף אחד מה"שומרים" לא יוכל להשתמש במפתח, אך במקרה חירום תוכל לפנות אליהם לצרכי שחזור.

שים לב להמלצות הבאות:

    תן את המפתח או חלקו למשמורת רק לאדם בו אתה בוטח ב-100%, או לעו"ד שאין אפשרות לשחדו.
    אל תתן לאיש מה"שומרים" לדעת על האחרים. בטחון השיטה כרוך בכך!.
    דאג לכך שאף אחד מהשומרים לא יוכל לשחזר את המפתח מתוך החלק שיש בידו.


מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
פישינג(להיות נידוג)


פישינג (מאנגלית: phishing), או בעברית, "דיוג", היא טכניקה לגניבת מידע מהגולש. המידע הזה יכול להיות סיסמאות, כרטיסי אשראי, או כל מידע אחר שאתם מוסרים לאתרים שאתם סומכים עליהם. בקצרה, יוזם מתקפת הפישינג (phishing attack) יוצר אתר שמתחזה לאתר שאתה מכיר וסומך עליו.

המטרה בדר"כ היא לגנוב מידע אישי עליך כדי למכור אותו, או לגנוב ממך כסף.

אתה יכול לצפות בסרטון הזה (באנגלית), או לקרוא מאמר מצוין בנושא פישינג כדי להבין איך התופעה עובדת.
למה אכפת לך?

אתה יכול להתקל בפישיג ב-2 צורות:

    אתה תכנס לאתר שאתה סומך עליו, למשל האתר של הבנק שלך. בפועל, אתה תכנס לאתר שמתחזה, ולמעשה רק נראה כמו האתר של הבנק שלך. כשתקליד את הסיסמא שלך, האתר המתחזה יגנוב אותה, וישלח אותה ליוזם מתקפת הפישינג. התוצאה - אם מדובר בסיסמא לבנק שלך, עלולים לגנוב לך כסף.
    סוס טרויאני שיהיה על מחשבך, יהפוך את מחשבך לשרת ממנו מתבצעות מתקפות פישינג. התוצאה כאן היא לא יותר נעימה - העניין יכול להדרדר למפגש עם המשטרה.

הסבר מפורט
תרחיש ראשון - גניבת פרטים אישיים


יש לך פרטי מידע מסויימים שאתה רוצה לשמור בסוד. למשל, הסיסמא לאתר הבנק שלך, מספר הכרטיס האשראי שלך, הסיסמא לחשבון הדואר האלקטורני שלך, ועוד...

פושעי אינטרנט, מבצעים מתקפות פישינג, כדי לגנוב ממך את פרטים אלו, לצורך רווח כלכלי.

באופן בסיסי, כאשר יוזמי פעולת הפישינג רוצים לגנוב את פרטי המשתמש של אתר פופולרי מסויים, הם מעלים לרשת "אתר מתחזה" שנראה חיצונית מאוד דומה לו. לאחר מכן הם מפנים משתמשים לאתר הזה, בתקווה שיאמינו שהאתר המתחזה הוא האתר האמיתי, וימסרו לו את פרטי החשבון שלהם.

נשמע מסובך? הנה דוגמא:

אתר paypal הוא אתר מאוד פופלרי של תשלומים נפוץ באינטרנט, שניתן לבצע דרכו תשלומים מבלי לחשוף את פרטי האשראי של הרוכש. אתר paypal נפל קורבן למתקפת פישינג מושקעת במיוחד.

אלפי לקוחות של אתר זה, קיבלו במייל שאומר להם שהם שילמו סכום כסף גדול, ושכדי לבטל את העסקה, הם צריכים להכנס לאתר. בהודעה הכילה גם קישור לאתר, כדי לקצר את תהליך הכניסה לאתר. בהקשה על הקישור בהודעה, הייתה מגיע לאתר מתחזה, שנראה מאוד דומה לאתר paypal המקורי. האתר המתחזה הזה שולח את השם והסיסמא שנותנים לו ליוזם המתקפה.

מה שהפך את התקיפה של paypal למושקעת, זה שהאתר המתחזה היה בכתובת paypai.com. כל ההבדל, שהוא שבסוף השם יש i ולא L. אם כותבים זאת עם i גדולה, כך: paypaI.com, ועם הפונט הנכון, קשה מאוד לראות את ההבדל.

כך תכננו יוזמי המתקפה לגנוב חשבונות paypal רבים.

בהמשך נסביר איך לזהות ולהתגונן מסוג זה של מתקפה.
תרחיש שני - שימוש במחשב שלך למתקפה

אמנם תרחיש מסוג זה נשמע לא מציאותי, או שלקוח מאיזשהו סרט, אך נתקלנו גם במקרים כאלה, ואפילו פה בארץ.

כדי להרים תרמית פישינג לאוויר, יש צורך בשרת - זה בעצם מחשב, שמתחזה לאתר שרוצים לגנוב את פרטי המשתמשים שלו (לדוגמא, שרת שמתחזה לשרת של paypal). כמובן שיוזמי התרמית לא רוצים להשתמש בשרתים ששייכים להם חוקית, כדי שלא יעלו עליהם.

הפתרון לבעיה זו, הוא להשתמש להדביק מחשב באינטרנט בסוס טרויאני, ולהשתמש בו בתור שרת מתחזה.

ז"א, שיכול להיות שעל המחשב שלך יושבת תוכנת סוס טרויאני, שמריצה שרת שמאוד דומה לשרת של שירות גדול שממנו רוצים לגנוב מידע (כמו paypal). בנתיים נשלחים מיילים לאנשים, שמזמינים אותם להכנס לשרת הזה. שהוא בעצם המחשב שלך.

כתוצאה מכך, ללא ידיעתך והסכמתך, והפכת שותף למזימת פישינג. במקרה הטוב זה יגמר בכך שתרגיש האטה בחיבור האינטרנט. במקרה הרע משטרת ישראל תגיע אליך הביתה בחשד שאתה מנסה לבצע מתקפת פישינג.

זיהוי הודעות פישינג

איך נזהה שאימייל/הודעה שנשלחת אלינו היא הודעת פישינג?

בהודעת פישינג יש מספר אלמנטים:

    מסר שיגרום לך לרצות להכנס לאתר כמה שיותר מהר:
        "החשבון שלך עומד להיסגר תוך 24 שעות!"
        "כרגע הועברו לך 10,000 שקלים, הכנס כדי לאשר את ההעברה"
    קישור ישיר לאתר. אם מסתכלים טוב, רואים שהכתובת אליה הקישור מפנה אינה האתר האמיתי.
    לעיתים קרובות, הודעת פישינג תכיל שגיאות כתיב/תרגום.

דוגמא להודעת פישינג, שנשלחה לגולשים ישראליים:
"הרישומים שלנו מראים כי הפגישה המקוונת שלך כבר נעולים בשל הסיבה הבאה.

1. היכנס ניסיונות עם מידע לא חוקי.

2. עדכון לקוי על חשבון מקוון סמ"ק שלך.

אנו מפצירים בך כדי לשחזר את חשבון הבנק שלך באינטרנט אוצר מיד כדי למנוע כיבוי הסופי של החשבון שלך.

לחץ על הקישור להלן כדי לשחזר את חשבון הבנק שלך אוצר באינטרנט"


איך להתגונן

דפדפנים ואתרים רבים תומכים כיום בהצגת זהות האתר, באופן שקשה מאוד לזייף. מגנון זה נקרא Extended Verification, או בקיצור, EV.

שימו לב להבדל בין שני האתרים הבאים:
אתר אמיתי

אתר מזויף

אתר למעלה הוא האתר המקורי. האתר למטה הוא אתר שמתחזה אליו. נשים לב ש:

    האתר המקורי מצג בירוק - הוא מוצג כך כי הדפדפן הצליח לאמת את הזהות שלו
    הכתובת של האתר המזויף שונה במקצת מזו של האתר המקורי.

תמיכה בהצגת זהות האתר קיימת החל מ-Firefox 3 ו-Internet Explorer 7.

לא כל אתר תומך באימות הזהות שלו באופן כזה. שימו לב אם האתר שאתם משתמשים בו תומך בזיהוי מורחב. אם כן, הקפידו לוודא זאת בכל גלישה לאתר, באמצעות הפס הירוק.

עבור משתמשי אינטרנט אקספלרור, קראו הסבר על אימות מורחב באקספלורר.

אם האתר שלכם לא תומך זיהוי מורחב (EV), דרך יעילה להתגונן מפני התקפות פישינג, היא להכנס לאתר דרך המועדפים שלכם, ולא דרך הקישור ניתן בהודעה האימייל.

כאשר מקבלים אימייל עם קישור לאתר שאתם משתמשים בו, וודאו שהקישור הוא אכן לכתובת האתר, ולא לאתר מתחזה.

בנוסף, לכל מני אתרים יש אמצעיי הגנה נגד פישינג. לדוגמא - משתמשי Yahoo יכולים ליצור לעצמם sign in seal. זהו טקסט שיופיע כל פעם שאתם מתחברים לאתר Yahoo. אם אתם מתחברים לאתר ולא רואים את ה-seal שקבעתם, יכול להיות שזהו אתר מתחזה.


מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
הצפנת קבצים במחשב

ברגע שפורץ למחשבך, כל הקבצים שלך יהיו זמינים בידיו, לשבט או לחסד. כדי לפתור בעיה זו, רצוי להתקין על המחשב תוכנה שתאפשר להצפין את הקבצים החשובים לך ביותר.

התוכנה המובילה בתחום זה הינה True Crypt, המאפשרת יצירת כונן ווירטואלי שבו ניתן לשמור קבצים, להתקין תוכנות ולהשתמש לכל שימוש שיעלה על דעתך, אשר בלחיצת כפתור יוצפן כל המידע שבו וישמר מוגן עד שתיכנס אליו עם הסיסמה הפרטית שלך.

את התוכנה ניתן להוריד חינם מהכתובת הבאה: www.truecrypt.org.

תוכנה נוספת שמשמשת להצפנת קבצים בודדים היא DSCrypt אשר ניתנת לשימוש בגרסה לדיסקים ניידים. הבעיה הבולטת בתוכנה זו היא האפשרות למחוק את הקבצים המוצפנים באמצעותה, ובכך לגרום לך נזק.

ניתן להוריד אותה מהכתובת הבאה: www.brothersoft.com/dscrypt-91347.html.

אפשרות נוספת המיועדת להצפנת טקסט הנה Java Scrypt, המאפשרת הצפנה של כל טקסט: הודעות דוא"ל, מסמכי וורד, הודעות בפורומים, הודעות בתוכנות מסרים מידיים ואפילו אתרי אינטרנט שלמים.

התוכנה פועלת מתוך דף אינטרנט, אך כל פעולות ההצפנה מתבצעות על גבי המחשב שלך. ניתן לגשת לאתר בכתובת הבאה: http://www.fourmilab.ch/javascrypt/jscrypt.html
הצפנה ידנית

ניתן להצפין ידנית טקסטים על ידי שימוש בצופן ויז'נר, או להשתמש באתר הבא: http://img2.tapuz.co.il/forums/1_94784909.htm?input=%F9%EC%E5%ED+%F8%E1&key=%F1%EC%EE%F0%E3%F8%E4&output=

מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
מערכות הפעלה מומלצות במקום windows
ציטוט
אי אפשר לאבטח לחלוטין מערכת חלונות כנגד התקפות פריצה; הקוד והארכיטקטורה מכילים יותר מדי בעיות, שהופכות את המשימה לאבטח מערכת חלונות לקשה כמו להשיט סירה עם חוט במקום משוט.

הדרך האמינה ביותר למנוע פריצה היא לעבור למערכת לינוקס או מערכת הפעלה אחרת שתוכננה עם מחשבה על אבטחה(מתוך -- איך להיות האקר מאת אריק ס. ריימונד)
במקרים רבים, ניתן להתגבר על בעיות מסוימות באמצעות שימוש במערכת הפעלה אחרת מ-Windows. תוכנות ריגול, ווירוסים, תוכנות להקלטת מקלדת, סוסים טרויאניים ועוד "בעיות" רבות, אינן מסוגלות לפעול ללא Windows.

Linux

מערכת ההפעלה המומלצת למשתמש הביתי במקום windows הינה לינוקס אובונטו (linux ubuntu). זוהי מערכת הפעלה בקוד פתוח המופצת חינם באינטרנט, ומהווה תחליף מספק ל-windows. ניתן למצוא הסברים על השימוש וההתקנה של המערכת במחשבך בלינוקס לכל מי שרוצה לדעת ובמיומנויות בסיסיות בלינוקס.
דיסק חי Live CD


ניתן להפעיל את לינוקס אובונטו הישר מתוך דיסק ללא כל צורך בהתקנה, בדרך הבאה:

    הכנס את הדיסק לכונן
    הפעל מחדש את המחשב
    עם ההפעלה, הכנס ל-Boot menu (לרוב בלחיצה על F12 או על DEL בהפעלה)
    בחר ב-Boot from CD
    המתן שהתוכנה תעלה (עשוי לקחת אפילו 15 דקות במחשבים איטיים)
    בחר בעברית ולחץ על "נסה ללא התקנה"
    כעת אתה יכול להשתמש במערכת באופן חד פעמי, אך כל שינוי שתבצע ימחק עם כיבוי המחשב.

צורת שימוש זו יעילה במיוחד כאשר אתה משתמש במחשב שאינו שלך, או שאינך מורשה לערוך בו שינויים כלשהם. לדוגמה: כאשר אתה משתמש במחשב בספרייה, שאתה חושד שקיימים בו ווירוסים או תוכנות ריגול, ואתה צריך להיכנס לאתר שדורש סיסמה.
הורדה וצריבה

    הורד את התוכנה מהאתר http://www.ubuntu.com/
    פתח את קובץ ה-ZIP
    בתוכנת הצריבה, בחר באופציה "צריבת תמונה" או "צריבת ISO".


מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
דפדפני אינטרנט מומלצים במקום אינטרנט אקספלורר

בקרב משתמשים רבים באינטרנט קיימת גישה יחסית "חשדנית" כלפי Internet Explorer,
מכיוון שהוא נחשב לאחד הדפדפנים הכי פחות בטוחים, וזאת מהסיבות הבאות:

  • דפדפן זה זוכה לנתח השוק הגדול ביותר בתחום.

עובדה זו הופכת אותו באופן מידי לנתקף ביותר ע"י האקרים המחפשים פרצות באבטחה שלו.

  • מרבית הווירוסים יכולים לפעול רק על IE, עקב בעיות תאימות (בדיוק כמו שאתרים מסוימים פועלים רק ב-IE).

בפרק זה נדון בדפדפני אינטרנט אחרים מומלצים, אשר מספקים רמת אבטחה גבוהה יותר.
בכל מקרה, רצוי לשקול להשתמש במספר דפדפני אינטרנט, בדרגות אבטחה שונות, לשימושים שונים. (לדוגמה: דפדפן TOR לגלישה אנונימית, פיירפוקס מאובטח לשירותים שאינם תומכים ב-TOR, ולשימוש יומיומי).

TOR Browser
דפדפן TOR הנו דפדפן אינטרנט בקוד פתוח המבוסס על Firefox ומחבר אותך אוטומטית לרשת גדולה של שרתי פרוקסי אנונימיים חינמיים, ומאפשר גלישה אנונימית כמעט לחלוטין. ניתן לקרוא הסבר על השימוש בו בפרק גלישה אנונימית.
ניתן להוריד אותו בגירסה ניידת או גירסה להתקנה על המחשב מהכתובת http://www.torproject.org/
רצוי להתקין עליו גם את תוספי האבטחה המומלצים לפיירפוקס.

Mozila FireFox
הגדרות אבטחה
תוספי אבטחה מומלצים:
 HTTPS Everywhere - תוסף שמחבר אותך באופן אוטומטי לאתרים התומכים בחיבור מאובטח. ראה גם אבטחת מידע/רשתות אלחוטיות.

מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
תוכנות ניידות portable apps

מכירים את זה שהמחשב לא עולה, בגלל איזה הגדרה לא נכונה? שכחתם את סיסמת המשתמש במחשב ? או אולי איזה וירוס רשום שאתם לא מצליחים להסיר ? במקרים כאלו, תמיד טוב שיהיה בידכם disk-on-key שמכיל תוכניות שיעזרו לכם לתפעל את המחשב כשהוא לא עובד.

נפרט כאן על מספר תוכניות כאלה. כל התוכניות הכתובות בעמוד זה, לא עולות כסף. אפשר להכין את הכל בחינם!

תוכנות ניידות הנן תוכנות הבנויות לפעול מתוך דיסק און קי. תוכנות אלו הינן:

  • קטנות
  • מבוססות על תוכנות מוכרות (לדוגמה: firefox, gimp, keepass ועוד...)
  • פועלות ללא כל צורך בהתקנה. המחשב עבורן הוא רק "צינור"

והחשוב ביותר עבורנו:

  • כמעט אינן משאירות עקבות על המחשב שבו השתמשת בהן
  • אינן חשופות לתוכנות ריגול כמו התוכנות שמותקנות על המחשב
בפרק זה נסקור כמה מהאתרים המספקים תוכנות ניידות, ונסקור כמה תוכנות מומלצות.

אוספי תוכנות ניידות באינטרנט
Portable Apps

אתר שימושי ביותר המכיל אוסף גדול של תוכנות ניידות בקוד פתוח בחינם. האתר בכתובת: http://portableapps.com/
The portable freeware collection

אתר המכיל מאות תוכנות ועשרות קטגוריות של תוכנות ניידות בחינם, אשר מרביתן בקוד פתוח. האתר בכתובת: http://www.portablefreeware.com/
תוכנות מומלצות

את התוכנות המומלצות ניתן למצוא באתרים שהוצגו קודם

  • KeePass Portable  - תוכנת ניהול סיסמאות פופולארית.
  • Firefox Portable - דפדפן אינטרנט קטן ואיכותי, עם אלפי תוספים אפשריים.
  • Firefox Portable - דפדפן אינטרנט קטן ואיכותי, עם אלפי תוספים אפשריים.
  • Spy DLL Remover - תוכנה ניידת לזיהוי רוגלות.
  • ClamWin Portable - אנטיווירוס נייד איכותי.
  • Ereaser Portable - תוכנה למחיקה בטוחה של קבצים.

כל התוכנות האלו פועלות ב-windows בלבד.

  • PGP Portable - תוכנת PGP ניידת המאפשרת את כל הפונקציות של תוכנת PGP.
  • TOR Brouser - דפדפן אינטרנט מאיבטח שמתחבר ישירות לרשת שרתי פרוקסי בינלאומית חינמית. פעיל על כל המערכות הפעלה
   


מערכת הפעלה ניידת

ניתן ליצור על דיסק או הֶחְסֵן נַייָּד מערכת הפעלה ניידת, לרוב מבוססת לינוקס, דיסק זה יוכל לשמש אתכם אם המחשב לא עולה - בגלל ששכחתם את הסיסמא, התקנתם משהו לא נכון, או שנפל החשמל באמצע עדכון מערכת קריטי - אתם יכולים להפעיל את המחשב מה"לייב דיסק". המערכת הניידת הנפוצה והמומלצת היא אובונטו (פשוט להוריד ולצרוב, ראה גם אבטחת מידע/מערכות הפעלה מומלצות במקום windows הוראות התקנה על USB והנחיות איך לגרות לו "לזכור" אותך - באתר הזה, רשימה מלאה של כל הלייב דיסקים הקיימים נמצאת כאן)

ניתן להפוך כמעט כל תוכנה לניידת על ידי CAMEYO: http://www.easy-time.info/%D7%9E%D7%97%D7%A9%D7%91/%D7%90%D7%99%D7%9A-%D7%9C%D7%94%D7%AA%D7%A0%D7%99%D7%99%D7%93-%D7%A2%D7%9D-%D7%94%D7%AA%D7%95%D7%9B%D7%A0%D7%95%D7%AA-%D7%94%D7%90%D7%94%D7%95%D7%91%D7%95%D7%AA-%D7%A2%D7%9C%D7%99%D7%A0%D7%95

מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
רשימת תוכנות אבטחה מומלצות

windows
תוכנות הגנה מפני ווירוסים

    avg free - אנטי ווירוס הזמין בגרסה חינמית ובגירסה בתשלום, וניתן להורדה מהכתובת הבאה: www.avg.com
    avast - אנטי ווירוס חינמי להורדה מהכתובת הזאת: www.avast.com
    ClamWin - אנטי ווירוס פופולארי. קיים לו מדריך: הגדרת ClamWin

תוכנות הגנה מפני רוגלות (spyware)

    spybot serch & destroy - תוכנה חינמית לניקוי וסריקת המחשב נגד רוגלות. להורדה מהכתובת הזאת: http://www.safer-networking.org/
    spyware doctor - תוכנה חינמית להגנה מרוגלות. להורדה מהכתובת: http://www.pctools.com/spyware-doctor

תוכנות פיירוול

    ZoneAlarm FireWall - הפיירוול הראשון שהומצא. זמין בכתובת http://www.zonealarm.com/security/en-us/zonealarm-pc-security-free-firewall.htm
    Comodo FireWall - פיירוול איכותי ופופולארי. זמין בכתובת http://personalfirewall.comodo.com/

תוכנות לגלישה אנונימית באמצעות פרוקסי

    TOR The Onion Router - תוכנה מעולה המחברת את מחשבך לאינטרנט דרך רשת ענקית בכל העולם של שרתי פרוקסי אנונימיים וחינמיים. התוכנה הנה בקוד פתוח ומופצת חינם. ניתן להוריד אותה בגרסה רגילה וניידת מהאתר הבא:

http://www.torproject.org/
תוכנות הצפנה

    TRUE Crypt - תוכנה מעולה שמשתמשת במספר שיטות הצפנה במשולב, ומאפשרת ליצור דיסק ווירטואלי שכל המידע הנמצא עליו יוצפן בלחיצת כפתור. להורדה מהכתובת: http://www.truecrypt.org/

תוכנות ניהול סיסמאות
KeePass

    KeePass - תוכנה פופולארית וחינמית לשמירת, ניהול, גיבוי ושימוש בסיסמאות.

להורדה מהכתובת: http://keepass.info
תוכנות לשימוש ברשת אמון

    PGP
    PGP PORTABLE
    GPG4WIN

דפדפני אינטרנט
פיירפוקס

    פיירפוקס - דפדפן אינטרנט איכותי ובטיחותי (יחסית) בקוד פתוח.

ניתן להורדה חינם בכתובת: http://mozilla.org.il/firefox/
linux
תוכנות הגנה מפני ווירוסים

    ClamWin - אנטי ווירוס פופולארי. קיים לו מדריך: הגדרת ClamWin




תוכנות לגלישה אנונימית באמצעות פרוקסי

    TOR The Onion Router - תוכנה מעולה המחברת את מחשבך לאינטרנט דרך רשת ענקית בכל העולם של שרתי פרוקסי אנונימיים וחינמיים. התוכנה הנה בקוד פתוח ומופצת חינם. ניתן להוריד אותה בגרסה רגילה וניידת מהאתר הבא:

http://www.torproject.org/
תוכנות הצפנה

    TRUE Crypt - תוכנה מעולה שמשתמשת במספר שיטות הצפנה במשולב, ומאפשרת ליצור דיסק ווירטואלי שכל המידע הנמצא עליו יוצפן בלחיצת כפתור. להורדה מהכתובת: http://www.truecrypt.org/


תוכנות לשימוש ברשת אמון

    PGP
    PGP PORTABLE
    GPG

דפדפני אינטרנט

    פיירפוקס - דפדפן אינטרנט איכותי ובטיחותי (יחסית) בקוד פתוח.

ניתן להורדה חינם בכתובת: http://mozilla.org.il/firefox/
מערכות הפעלה חלופיות ל-windows
לינוקס

    לינוקס אובונטו - http://www.ubuntu.com/
או לינוקס מינט  http://www.linuxmint.com/

מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
רשתות אלחוטיות

במהלך גלישה באמצעות רשת אלחותית לא מוצפנת (כמרבית הרשתות החופשיות) בבתי מלון, קניונים, בתי-ספר ועוד, קיימות בעיות אבטחה שונות, אשר חושפות מידע פרטי, למשל, סיסמאות בהן נעשה שימוש באתרי אינטרנט.

מכיוון שהתקשורת עוברת באוויר ללא הצפנה, כל אחד יוכל לקלוט אותה ממרחק של עד עשרות מטרים. שאלת החוקיות בנושא עדיין לא הוכרעה - בעניין זה קיימת מחלוקת בין המשפטנים. ראי לציין בהקשר זה את התביעה שהיתה נגד גוגל, באשמה שהפעילה רכבי "איסוף" ששוטטו ברחובות וקלטו את התשדורות הלא-מוצפנות. גוגל טענו שזה נעשה רק על מנת לדעת את שמות הרשתות על מנת למפות אותן עבור שירות המפות של גוגל, אך הראיות מראות שגוגל שמרה בנוסף לשמות גם את המידע עצמו.

אם כך, הפתרון הטריוואלי הוא להצפין את המידע.
הצפנת רשת אלחוטית ביתית

קיימים מספר תקנים להצפנה. מומלץ להשתמש בהצפנה WPA או WPA2.

בעבר היתה נהוגה שיטת הצפנה WEP אך היום ידוע שבשיטה זו יש בעיות אבטחה, והיא אינה נחשבת בטוחה.

פרק זה לוקה בחסר. אתם מוזמנים לתרום לוויקיספר ולהשלים אותו. ראו פירוט בדף השיחה.
הצפנה ברשת ציבורית
שים לב שסמל המנעול מופיע בתחתית המסך
HTTPS Everywhere

כאשר מתחברים לרשת אלחוטית ציבורית (למשל, בבתי מלון, בתי קפה, קניונים, אוניברסיטאות וכו'), לא ניתן לשנות את הצפנת התשתית, כי אין לנו שליטה על הגדרות הרשת (הן שייכות לבית-המלון, למשל, ולרוב מוגדרות להיות ללא הצפנה). במקרה זה, ניתן להוסיף הצפנה בשכבת האפליקציה. הרשת לא תהיה מוצפנת, אבל תוכנת הדפדפן תצפין את התשדורות שעוברות דרכה.

הפתרון הנו שימוש בדפדפן פיירפוקס, בשילוב עם התוסף HTTPS Everywhere , שמצפין אוטומטית את התקשורת למגוון אתרים, ביניהם:

    מגוון שירותי google
    מיזמי קרן וויקימדיה
    טוויטר
    פייסבוק
    paypal
    בלוגים של Wordpress
    אמאזון
    ועוד

ההצפנה מתאפשרת רק אם האתר אליו מתקשרים תומך בהצפנה (HTTPS). ניתן לזהות זאת, לפי סימן ה"מנעול" בחלון הדפדפן. התוסף פעיל כרגע רק בפיירפוקס, אבל מתוכננת הרחבה שלו גם לדפדפנים נוספים.

מפיצי התוסף הם אותה קבוצה שהביאה לנו את TOR, ארגון ה-EFF, שדוגל בחופש ובזכויות האזרח במרחב הווירטואלי.

ניתן להוריד את התוסף מהאתר https://www.eff.org/https-everywhere.

מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
טלפונים ניידים(הוספה:ייתכן שהדבר השתנה מאז כתיבת המאמר)

פגיעותם של טלפונים ניידים

טלפונים ניידים הנם פגיעים במיוחד למעקב, מהסיבות הבאות:

    אין תוכנות אבטחה המיועדות לטלפונים ניידים
    טלפונים משוכללים הנם פגיעים במיוחד, מכיוון שהם ניתנים להתחברות אלחוטית
    לחברות הטלפונים הניידים ישנה אפשרות לזהות את מיקומו של כל טלפון סלולרי, ובעקבות זאת גם את מיקומו של בעליו.
    מספר הטלפון משוייך לאדם מסוים, בין אם ע"י בעלות ובין אם ע"י תשלום חשבונות בכרטיס אשראי

הגנה על טלפון נייד

ההגנה על טלפון נייד צריכה להתבצע במספר מישורים:

    בחירת מכשיר טלפון מאובטח
    שימוש במספר טלפון אנונימי

בחירת מכשיר טלפון מאובטח

בעת בחירת מכשיר טלפון, יש לשים לב לנתונים הבאים:

    B.T. - במדה שהמכשיר כולל חיבור BT, ישנה אפשרות לפרוץ אליו באמצעות חיבור זה.וכן תוכנות השתלטות וגניבת נתונים אישים מהסולולרי באמצעות BT .

רצוי לבחור מכשיר ללא חיבור BT, לנטרל את האפשרות להתחברות חיצונית, או להגן על החיבור בסיסמה.

    אינטרנט סלולרי - רצוי להמנע במדת האפשר משימוש באינטרנט, מכיוון שכבר עכשיו ישנם מספר וירוסים למכשירים סולולרים המופצים באינטרנט.
    באופן כללי, ככל שתבחר דגם מכשיר ישן יותר, כן תגדיל את הבטחון שאין אפשרות לפרוץ אליו.

מספר טלפון אנונימי

ניתן לקבל מחברות הסלולר מספר טלפון שאינו משוייך לשום שם ספציפי, וכך לשמור על אנונימיות בשיחות מסוימות.

המחיר של קו טלפון כזה הנו לרוב כ-60 ש"ח, והתשלום בעבור השיחות הנו מראש, באמצעות טעינה.

יש לשים לב לטעון את הכרטיס במזומן בלבד, מכיוון שטעינה באשראי תאפשר לזהות אותך.

מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
מצלמות אבטחה

מצלמות אבטחה נמצאות בימינו בכל פינה - בתחנות דלק, בחנויות, בקניונים, במוסדות ציבוריים, ברחובות, באוטובוסים, בכבישים, בשדות תעופה, וכמעט בכל חלל ציבורי, סגור או פתוח.

תחום זה, שעד לפני מספר שנים לא היה כה מפותח בישראל, צובר כיום תאוצה, עקב המחירים הזולים של ציוד הצילום ויעילותו.

מצלמות נסתרות הפכו פופולאריות לצורכי אבטחה ולצורכי מעקב סמוי. מצלמות נסתרות רבות מובנות כיום בתוך חפצים ביתיים נפוצים כגון גלאי עשן, שעוני רדיו, גלאי תנועה, כובעים, משקפי שמש, צמחים, וטלפונים סלולרים.

הבעיות העיקריות עם מצלמות אבטחה ומצלמות נסתרות (וצריך לשים לב להבדל) הן:

    פגיעה בפרטיות - כיום ישנם מקומות בהם מצלמות נסתרות מותקנות במלתחות ובחדרי שירותים. מובן שהדבר אינו חוקי, אך החוק לרוב אינו נאכף או שלא ידוע על קיומן של המצלמות.
    מעקב - ניתן לעקוב אחרי אנשים באמצעות מצלמות, ובמקרה כזה האדם אפילו לא ידע שעוקבים אחריו. אדם שבידו גישה למצלמות האבטחה יוכל בקלות לבצע מעקב כזה.

מצלמות אבטחה?

מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
תגי רדיו (.R.F.I.D)

מה זה תגי רדיו?

RFID (ראשי תיבות של: Radio Frequency Identification) היא טכנולוגיה של תיוג אלקטרוני באמצעות גלי רדיו. הטכנולוגיה מבוססת על התקנים קטנים (תגיות) המוצמדים לעצם אותו מעוניינים לזהות, ומאחסנים מידע הניתן לקריאה על ידי מכשיר מתאים באופן אלחוטי תוך שימוש בגלי רדיו. קיימות תגיות פסיביות - ללא מקור כוח ואקטיביות - הכוללות סוללה.
סוגים

ישנם שלושה סוגים של תגים אשר משדרים לקורא: אקטיבי, פסיבי ופסיבי למחצה:

    תג פסיבי – לתג זה אין כל מקור מתח משל עצמו. כלומר, במצב רגיל הוא לא משדר דבר, והוא כמו כל מעגל אלקטרוני אחר. כאשר תג זה נכנס אל תוך השדה האלקטרו-מגנטי של הקורא, הוא "מופעל" על ידי ההשראה האלקטרו-מגנטית מהקורא והופך להיות "אקטיבי" ומתקשר עם הקורא.
    תג אקטיבי – תג בעל מקור מתח פנימי (סוללה), הכולל יחידת משדר המחולל תדר ומסוגל לשדר תדר לקורא ללא השראה אלקטרומגנטית מהקורא. תגים אקטיביים הם לרוב בעלי טווח גדול יותר וזיכרון גדול יותר מאשר תגים פאסיביים, כמו גם היכולת לשמור מידע המגיע מהקורא. כיום קיימים תגים אקטיביים שגודלם כגודל מטבע.‏‏
    תג פסיבי למחצה - תג הדומה מאוד לתג הפסיבי אך הוא משתמש בסוללה קטנה אשר מאפשרת לתג להיות טעון תמידית ולהניע את השבב, אלא שתג פסיבי למחצה מתקשר כתוצאה מהאנרגיה המתקבלת מהשריית השדה האלקטרומגנטי של הקורא עליו.

שימושים

שימוש בכרטיסים אלו כבר קיים לצורך בקרת כניסה ופתיחת דלתות, מבלי שהעובד יצטרך להעביר את הכרטיס בחריץ של קורא הכרטיס המגנטי. שימוש נוסף יכול להיות בבדיקת נוכחות של אנשים, כמו תלמידים או חיילים ולדעת באופן מידי מי חסר, כאשר עולים לאוטובוס, או יוצאים לפעולה, כדי לייתר ספירה ידנית מסורבלת. בכביש 6 נעשה שימוש בתיוג RFID כמו במנהרות הכרמל, כמו גם בתחנות דלק, ובצבא ארצות הברית נעשה שימוש בתיוג אלחוטי על גבי מכולות. מתוכנן גם שימוש בתגי רדיו ברכבת הקלה בירושלים ובת"א.
קמעונאות

התגים שנבחרו לשימוש על ידי ענקית הסופרמרקטים וול-מארט, צבא ארצות הברית, טסקו באנגליה ומטרו בגרמניה הם מסוג EPC - התגים הזולים ביותר כיום שמחירם (בכמויות גדולות) מתחת ל-10 סנט אמריקאי. הפרויקטים המתבצעים היום בעולם מתוכננים על מנת שבקניה בסופרמרקט לא יהיה צריך להעביר את המוצרים אחד אחד לפני הסורק, אלא יהיה אפשר להעביר את כל הסל כהרף עין מבלי להוציא את המוצרים מהסל. יהיה אפשר לנהל מחסן גדול, מבלי לערוך בדיקת מלאי, ולהיות מעודכן בזמן אמת כאשר אחד מהפריטים מוצא החוצה. דבר הנותן יכולת בניהול מלאי טובה יותר.

אחת החברות המובילות בעולם היא חברת ארוסקאוט ( AeroScout) הישראלית, אשר תגי ה-RFID שפיתחה מתחברים לרשת התקשורת WiFi. מוצרים אלו מותקנים בחברות משלוחים מובילות כדוגמת TNT או CityLink הבריטית, חברות תעופה כמו Boeing, מפעלי תעשייה, בתי סוהר ובתי חולים .
סיכונים

באמצעות תגי רדיו, כמו אלו המופעלים בכביש 6 ובמנהרות הכרמל, ניתן לגלות האם אתה נמצא במקום מסויים, גם מעבר לסביבה שבה הם אמורים לפעול.

למעשה, ניתן להציב קוראים של תגי רדיו ברחובות, לא על מנת לבצע תשלום על נסיעה, אלא כדי לגלות לאן אנשים נוסעים.

בחלק מכרטיסי האשראי החדשים מוטמעת הטכנולוגיה המאפשרת להשתמש בהם ע"י קירוב לקורא בקופה בלי צורך לקרוא את הפס המגנטי. ניתן בכרטיסים אלה לקרוא מרחוק את המידע שלהם, כולל מספר וכרטיס ותאריך תוקף.

בכרטיסי רב-קו המשמשים לתחבורה ציבורית נשמר מידע על החוזים המוטענים, הנסיעות האחרונות ולעיתים גם מידע אישי (מס' ת"ז, תאריך לידה, ועוד). גם מידע זה ניתן לקריאה מרחוק ללא נגיעה בכרטיס עצמו.

פתרונות אפשריים: ניתן להסיר את תגי הרדיו, באופן זמני או קבוע, או לוותר עליהם. ניתן לפגוע באפשרות לקרוא את תגי הרדיו ע"י עטיפתם ברדיד אלומיניום (נייר כסף) או שימוש בארנק מיוחד (RFID Blocking Wallet). כמו כן ניתן לנטרל תגי רדיו שאי אפשר להסיר, על ידי חימום שלהם במיקרוגל כ-30 שניות (יש לשים לב שלא תתפתח שריפה!).

מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
הגורם האנושי
« להגיב #14 ב- : נובמבר 30, 2014, 22:29:08 »
הגורם האנושי

הנדסה חברתית היא מושג מתחום האבטחה ובפרט מתחום אבטחת מידע שמשמעותו שילוב של טכניקות הונאה, התחזות ושכנוע הגורמות לאנשים לציית לבקשת הפורץ. למשל, לספק לו מידע רגיש כגון שמות משתמשים וסיסמאות או לבצע עבורו פעולות כגון הרצת תוכנה לבקשתו. ההאקר הידוע, קווין מיטניק, משתמש רבות במונח וטוען שהנדסה חברתית היא הטכניקה האפקטיבית ביותר ב-"ארגז הכלים" שלו.

כיום, מנהלי אבטחת מידע רבים מעריכים כי איום זה לחיסיון המידע הארגוני, גדול משמעותית מכל איום טכנולוגי "קלאסי".

הנדסה חברתית הינה שיטה להונות את משתמשי הרשת תוך כדי התחזות לעובדי החברה ועקיפת כל מנגונני האבטחה המקובלים כגון FireWall-IDS-AntiVirus ועוד ציוד אבטחה רב. הדרכים המקובלות להתמודד ולהגן בפני תופעות אלו הינם העלאת המודעות בקרב עובדי הארגון מפני סוגי התקפה של הנדסה חברתית (קיימות מספר רב של התקפות).

אנשים תמימים נוטים להיות קורבנות קלים לפושעים המנצלים את יחסם הטוב ואת תמימותם.

ישנן שיטות רבות בתחום, אך העיקריות הן:

    התחזות לאדם, מה שמקל על הפושע לקבל פרטים נוספים אודותיו
    פישינג - גניבת פרטים אישיים או סודיים של מישהו, ע"י אתר אינטרנט מתחזה
    פישינג טלפוני - הפושע מתקשר לאדם ומבשר לו ש"זכה" בפרס, וע"מ לתת לו את הפרס זקוקים לפרטי חשבון הבנק שלו

התגוננות

הנה כמה כללים מועילים להתגוננות מפני הנדסה חברתית:

    אל תסמוך על כל אחד - היה חשדן כלפי אנשים זרים. אם זה מתאים לילדים שלך זה מתאים גם לך.
    היה זהיר באינטרנט - אל תפרסם באינטרנט פרטים אישיים או מידע אודותיך - למה לעשות לפושעים חיים קלים?
    אם מישהו מציג את עצמו בטלפון, וודאו שהוא אכן מי שהוא טוען שהוא. דרשו הוכחה מספקת.
    אם מתקשרים אליך ממוקד התמיכה ומבקשים פרטים כמו סיסמת המחשב - אל תתן! אם הם באמת מהתמיכה, יש להם את הפרטים.

מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
זיהוי ביומטרי

זיהוי ביומטרי מתייחס למכלול השיטות המשמשות לזיהוי בני אדם אשר מבוססות על זיהוי תכונה או תכונות פיזיות או התנהגותיות. בתחום טכנולוגיית המידע, בפרט, הזיהוי הביומטרי משמש לצורך ניהול בקרת גישה. הזיהוי הביומטרי משמש גם לצורך זיהוי קבוצות של אנשים הנמצאים תחת מעקב.

ניתן לחלק את המאפיינים הביומטרים לשתי קבוצות עיקריות:

    תכונות פיזיולוגיות הקשורות לצורת גופו של אדם. לדוגמה, זיהוי טביעות אצבע, זיהוי תווי פנים, זיהוי DNA, זיהוי כף יד, וזיהוי קשתית או רשתית בעין.
    תכונות ההתנהגות אשר קשורות להתנהגות של אדם. לדוגמה, זיהוי קצב הקלדתו של אדם, זיהוי אופן הליכתו של אדם וזיהוי קולו של אדם.

החששות העיקריים הכרוכים בשימוש באמצעים ביומטריים

    חשש מאפליה - קיים חשש כי יעשה שימוש לרעה במידע האישי המצוי במאגרים. לדוגמה, שהמאגר הביומטרי ישמש את הממשלה על מנת לקבוע תכונות פיזיולוגיות שאינן רצויות לצורך שליטה בתנועת האוכלוסייה הגלובלית לשטחה. קיים גם חשש כי יעשה שימוש בנתונים אשר הושגו באמצעים ביומטריים בדרכים אשר הפרט איננו נתן את הסכמתו להם.
    סכנה לבעלי רכוש מאובטח - קיים חשש שכאשר גנבים אינם יכולים לקבל גישה לנכסים מאובטחים הם יתקיפו את בעל הנכס על מנת לקבל גישה לרכוש. במידה והרכוש מאובטח בהתקן ביומטרי הפגיעה עלולה להיות בלתי הפיכה, ועלולה לגרום יותר נזק מן ההפסד הכספי. לדוגמה, בשנת 2005, גנבי מכוניות ממלזיה כרתו את האצבע של הבעלים של מכונית מרצדס בנץ בעת שניסו לגנוב את המכונית.
    ביומטריה בת ביטול - אחד היתרונות של שימוש בסיסמאות על פני שימוש באמצעים ביומטריים הוא שתמיד ניתן לשנותן. אם הסיסמה נשכחת או נגנבת, תמיד יש אפשרות להחליפה בחדשה. תכונה זו איננה קיימת בשימוש באמצעים ביומטריים. בשל כך עולה הדרישה לפתח את היכולת לשנות בעת הצורך את הנתונים הביומטריים כאמצעי הגנה עבור האנשים אשר המידע אודותם מצוי במאגרים הביומטריים.
    הפללה - קיים חשש שגורם עברייני אשר ישיג מידע ביומטרי על אזרחים שומרי חוק - לדוגמה על ידי שוחד - יוכל לסבך אותם עם החוק אותם באמצעות מידע זה, על ידי שתילת המידע הביומטרי של אותם האזרחים בזירת הפשע.

שימוש באמצעי זיהוי ביומטריים בעולם
ארצות הברית

ממשלת ארצות הברית הפכה בשנים האחרונות לאחת התומכת העיקריות ביותר בעולם בשימוש באמצעים ביומטרים כאמצעי למלחמה בטרור בעקבות פיגועי ה-11 בספטמבר 2001. ארגון ה-FBI עובד כיום על הקמת מאגר ביומטרי אשר עלותו קרובה למיליארד דולארים, ובו יאוחסנו נתוני DNA, טביעות אצבע ונתונים ביומטריים נוספים. המחשבים אשר יהיו בעלי גישה לנתונים יאוחסנו באזור תת-קרקעי מאובטח בגודל של מגרש פוטבול. גם המחלקה לביטחון המולדת של ארצות הברית ויחידת המחקר DARPA עוסקים כיום בפיתוח מערכות זיהוי תווי פנים מתקדמות. מחלקת טכנולוגיית עיבוד מידע (Information Processing Technology Office) עסקה בשנים האחרונות בפיתוח טכנולוגיה מתקדמת אשר באמצעותה ניתן לזהות אדם ממרחק של 150 מטר לפי תווי הפנים שלו בלבד.

במהלך 2008 הוציא ג'ורג' בוש הוראה נשיאותית אשר קראה לשיתוף פעולה הדדי ב"איסוף, אחסון, שימוש, ניתוח ושיתוף של נתונים ביומטריים, מידע ביוגרפי ומידע נלווה של אנשים" בקרב המחלקות והסוכנויות של הממשל הפדרלי האמריקאי. בשנת 2005 התקבלה ההחלטה להנפיק בעתיד דרכונים ביומטרים (מבוסס תמונה). ארגונים במדינות רבות בעולם אשר פועלים לשמירת פרטיות הביעו ביקורת על פוטנציאל השימוש לרעה בטכנולוגיה זו, לצורך פגיעה בחירויות האזרח ובפרטיות, והם מדגישים את הסיכון שכרוך בגניבת זהויות. בשלב זה, ישנן חששות חלקיים בארצות הברית (ובאיחוד האירופי), כי המידע עלול לדלוף לגורמים פליליים אשר ישתמשו בנתונים כדי לזהות אנשים מרחוק לביצוע פשעים שונים, ובהם חטיפת אישים.

כיום נעשה שימוש בתעודת זהות מתקדמות בקרב קבלני כוח אדם ובקרב הכוחות הצבאיים במתקנים הצבאיים האמריקנים. כרטיס זה מכיל נתונים ביומטריים המבוססים על דיגיטציה של צילומי פנים. הכרטיס מכיל צילומים והולוגרמות מיוחדות אשר מצמצמות באופן משמעותי את הסיכון שבזיוף הכרטיסים. למעלה מ-10 מיליון כרטיסים מסוג זה הונפקו עד היום.

לדברי ג'ים ואיימן, מנהל המרכז הביומטרי הלאומי באוניברסיטת סן חוזה, אתר הנופש דיסניוורלד בפלורידה הוא האתר בו נעשה השימוש באמצעים ביומטריים בקנה המידה הגדול ביותר בארצות הברית. עם זאת, מערכת בקרת הגבולות האמריקנית אמורה לעבור בעתיד הקרוב את דיסניוורלד בהיקף השימוש בה.
ישראל

במרץ 2008 אישרה ממשלת ישראל הצעת חוק הקוראת ליצירה מאגר ביומטרי לכל אזרחי ישראל. בעקבות כך, אזרחי ישראל יחויבו בעתיד למסור את טביעות אצבעותיהם ותמונתם תילקח לצורך זיהוי תווי פנים. מתנגדי החוק הזהירו כי קיומו של מסד נתונים מסוג זה עלול לפגוע בחירויות האזרח וכי דליפה אפשרית של המאגר תשמש עבריינים או גורמיים עוינים כלפי אזרחי ישראל. החוק אושר בדצמבר 2009.

הצעת החוק עוררה דיון ציבורי, עקב החשש לפגיעה בפרטיות בעקבות מימושה.
טענות המצדדים בהצעת החוק

תומכי הצעת החוק טוענים כי:

    המאגר הביומטרי ישים קץ לזיוף תעודות הזהות והדרכונים הישראלים הנאמד במאות אלפי תעודות זהות מזויפות. זיופים אלה משמשים עבריינים וגורמים עוינים, וכן תושבים זרים שחלקם מתחזים לאזרחים ישראלים ובדרך זו קיבלו במרמה למעלה ממיליארד שקל מקצבאות המוסד לביטוח לאומי.
    המצב הנוכחי בו לא ניתן לזהות באופן מוחלט את אזרחי ישראל בעזרת תעודות הזהות והדרכונים הישראלים הקיימים מסוכן בהרבה לביטחון מדינת ישראל מאשר דליפה אפשרית של מאגרי המידע.
    המאגר הביומטרי יסייע להלחם בפשיעה בישראל משום שגורמי אכיפת החוק יוכלו באמצעותו לאתר חשודים בפלילים בעזרת טביעת אצבעות שהחשודים השאירו בזירת הפשע או באמצעות תמונות של החשודים שצולמו במצלמות אבטחה הממוקמות בזירת הפשע.
    במדינות מערביות שונות מפעילים כיום מאגרי מידע דומים, אף על פי שלא מדובר במאגרי מידע הכוללים את הנתונים הביומטריים של כלל תושבי מדינתם.
    הקמת מאגר שיכיל את כל הנתונים הביומטריים של תושבי ישראל בנוסף להנפקת תעודות הזהות הביומטריות הינו חיוני, משום שהמאגר ישמש אמצעי גיבוי וזיהוי במקרה שתעודות הזהות הביומטריות יאבדו.

טענות המתנגדים להצעת החוק

מבקרי החוק טוענים כי:

    על-פי חוק-יסוד: כבוד האדם וחירותו, "כל אדם זכאי לפרטיות ולצנעת חייו". למדינה הזכות להחזיק מידע על אזרחיה במידה הדרושה בלבד ולצורך תכלית ראויה, אך איסוף פרטים ביומטרים פירושו שהמדינה מתייחסת אל האזרח כחשוד כל עוד לא הוכחה חפותו, ולטענת המתנגדים מדובר בפגיעה לא-מידתית בפרטיות.
    הרשויות בישראל אינן מסוגלות או ראויות להחזיק ולנהל מאגר נתונים המכיל מידע אישי ורגיש מסוג זה. הם מדגימים את כישלון המדינה להחזיק במאגרי מידע כאלו בדליפתם לאורך השנים של מאגרי מרשם האוכלוסין של משרד הפנים, לידיים פרטיות ולאינטרנט, ומצביעים על אוזלת ידה של המשטרה בהתמודדות עם הבעיה. [1]
    קיימת סכנה שהמאגר ידלוף בעתיד. מהרגע בו הנתונים שבמאגר יהיו גלויים לכל הדליפה תהיה בלתי הפיכה (לא ניתן להחליף טביעות אצבע) ותפגע באופן חמור בפרטיותם של כלל אזרחי ישראל – במיוחד במידה והמאגר ידלוף לגורמים מסחריים, לגורמים פליליים או לגורמים עוינים שעלולים להשתמש במאגר הנתונים בין היתר לצורך זיהוי ישראלים בחו"ל לשם חטיפתם.
    הקמת מאגר שיכיל את כל הנתונים הביומטריים של תושבי ישראל איננו חיוני וניתן יהיה לעבור להשתמש בתעודות זהות ודרכונים דיגיטליים גם ללא הקמת המאגר הביומטרי.
    קיימת סכנה כי השלטון ירחיב את שימושו במאגר, לאחר שיבנה, למטרות אליהן לא נועד. למשטרים ריכוזיים יש נטייה היסטורית להגדיל את השליטה והשיטור של הציבור שלהם, עד לעלייתה של ממשלה פאשיסטית.
    ישראל תהייה המדינה הראשונה בעולם אשר המפעילה מאגר נתונים מסוג זה לכלל תושביה.
    הקמת המאגר תעלה מיליארדי שקלים ותועלתו מפוקפקת.
    תהליך הבחירה של החברה הפרטית אשר זכתה במכרז, כמו גם הסמכויות אשר ניתנו לגופים פרטיים לתחזוקה ושמירה על מידע ציבורי, העלו סימני שאלה של מנהל תקין [2]. ח"כ שטרית איים להגיש תביעת דיבה נגד הגורמים אשר העלו סימני שאלה אלו.
    החקיקה התבצעה בהליך מהיר, ויו"ר הוועדה, מאיר שטרית, גירש צלמים ועיתונאים מהדיונים.


דרכון/תעודת זהות ביומטרית
דרכון ביומטרי הוא דרכון המשלב נתונים כתובים ואלקטרוניים-ביומטריים על מנת לזהות את נושאו. המידע החיוני בדרכון מאוחסן במעגל משולב זעיר בטכנולגיית RFID, המאפשרת קריאה באמצעות קרינה אלקטרו-מגנטית ללא מגע, ומאובטח באמצעות חתימה דיגיטלית.

הארגון הבינלאומי לתעופה אזרחית קובע את נתוני הקובץ הביומטרי ואת פרוטוקול התקשורת שישמש לקריאתו, והמידע מאוחסן במעגל המשולב בצורת קובץ JPEG או אחר. מפרט הדרכון הביומטרי כפוף לתקינה בינלאומית (ISO/IEC 14443) המבטיחה תאימות בין דרכונים של מדינות שונות ומתוצרתם של יצרנים שונים.
הנתונים המאוחסנים על השבב

הדרכונים הביומטריים הנמצאים כיום בשימוש מכילים לרוב את הפרטים הבאים: שם, מספר דרכון, לאום, תאריך לידה, מין, תאריך תוקף, תמונות פנים, טביעות האצבעות וקשתית העין. השבב מכיל גם מספר קבצים אשר מסייעים לאמת שהשבב מקורי ושהנתונים על השבב לא שונו.
אבטחה

דרכונים ביומטרים מצוידים במספר מנגנוני אבטחה על מנת למנוע שימוש לרעה בטכנולוגיה החדישה מצד גורמים חיצוניים:

    בקרת גישה בסיסית (Basic Access Control) - מספק הגנה מפני גישה לנתונים שבשבב בנוסף לאבטחת ערוץ התקשורת לשבב. גישה לנתונים אפשרית רק לאחר הזנת את המפתח הנכון עבור שבב זה.
    אימות פסיבי (Passive Authentication) - מונע שינוי של הנתונים המאוחסנים בשבב. השבב מכיל קובץ מיוחד בו מאוחסנים מספרי שליטה. במידה וקובץ בשבב השתנה (לדוגמה תמונת פנים) ניתן לגלות זאת באופן מיידי.
    אימות אקטיבי (Active Authentication) - מאפשר להבחין בין שבבים מקורים ושבבים מזויפים. השבב מכיל קוד סודי אותו לא ניתן לקרוא או להעתיק.
    בקרת גישה מורחבת (Extended Access Control) - פונקציה נוספת המשמשת הגנה מפני גישה לנתונים. פונקצייה זו משמשת בדרך כלל לצורך הגנה מפני דליפה של מידע רגיש כמו טביעות אצבעות.

פריצת מנגנוני האבטחה בדרכונים הביומטריים

לאורך השנים הוצגו והודגמו פריצות של מערכות האבטחה של הדרכונים הביומטריים על ידי גורמים שונים:

    בשנת 2008 צוות מחקר הצליח להוכיח שניתן לקבוע מהיכן השבבים בדרכון מבלי לדעת את הקוד אשר נדרש לצורך קריאת הנתונים. הצוות ביצע רישום של הודעות השגיאה של שבבי הדרכונים מהמדינות השונות. המידע שהצטבר שימש לצורך אימות המקום ממנו הגיע השבב.
    בשנת 2005 מארק ויטמן ציין כי הקוד של הדרכונים הביומטריים ההולנדיים ניתן לפיענוח, דבר אשר יאפשר לגורמים עוינים לקרוא את השבב.
    בשנת 2006 לוקאס גרינוולד הוכיח כי ניתן להעתיק נתונים משבב דרכון ביומטרי לכרטיס זיכרון סטנדרטי מתקן ISO 14443 באמצעות ממשק קריאת דרכונים אלחוטי ותוכנת העברת קבצים פשוטה.
    בשנת 2008 יורן ואן ביק הוכיח כי לא כל מערכות בדיקת הדרכונים בודקים את חתימת ההצפנה בשבבי הדרכון.
    בשנת 2005 מארק ויטמן הדגים כי ניתן לאחזר את קוד האימות האקטיבי.

אופוזיציה

הדרכון הביומטרי עורר מחאה מצד פעילים למען הזכות לפרטיות במדינות רבות בעולם אשר מחו כנגד העמימות באשר להיקף המידע שמאוחסן בשבבי הדרכונים ובאשר להשפעתו על חירויות הפרט. פעילים אלה ומומחים מתחומי הטכנולוגיה והמחשוב הביעו דאגה במיוחד מכך שהנתונים אשר מאוחסנים על גבי המעגל המשולב שבדרכונים ניתנים לקריאה באמצעות טכנולוגיית RFID אלחוטית. על אף שהשימוש בטכנולוגיה זו מאפשרת לעמדות הזיהוי לקרוא את המידע שמאוחסן בדרכונים, היא תהיה עשויה גם לאפשר לכל אדם שברשותו ציוד קריאה מתאים לבצע את אותה הפעולה. במידה והפרטים האישיים ומספרי הדרכון המצויים על השבב אינם מוצפנים, המידע עשוי בסופו של דבר להגיע לידיים הלא נכונות.

ב-15 בדצמבר 2006, ה-BBC פרסם מאמר על שעסק בדרכונים הביומטרים בבריטניה, אשר ציין כי:
   "כמעט בכל מדינה בה מונפק דרכון זה ישנם מספר מומחי אבטחה אשר צועקים בקולי קולות: 'הדרכונים אינם מאובטחים. זה לא רעיון טוב להשתמש בטכנולוגיה זו'".    

כמו כן, במאמר מצוטט מומחה אבטחה אשר מציין כי:
   "ישנם מקומות בהם היישום נעשה באופן לא טוב - בשלב הראשון מתבצעת קריאת נתונים, לאחר מכן ניתוח הנתונים, עיבוד הנתונים ולבסוף אימות של הנתונים. ישנם פגמים טכניים רבים ביישום הטכנולוגיה וישנם פונקציות שלא יושמו, כך שבעצם הם לא עושים את מה שהם אמורים לעשות. הם אמורים לספק רמת אבטחה גבוהה יותר. דבר אשר לא מתבצע בפועל."    

צוות המחקר של ארגון Future of Identity in the Information Society (גוף מומחי אבטחה אשר ממומן על ידי האיחוד האירופי) הביע גם כן מחאה נגד הדרכונים הביומטרים של בריטניה וציין כי קיים חשש שהדרכונים ישמשו לצורך גניבת זהות.דרכון ביומטרי הוא דרכון המשלב נתונים כתובים ואלקטרוניים-ביומטריים על מנת לזהות את נושאו. המידע החיוני בדרכון מאוחסן במעגל משולב זעיר בטכנולגיית RFID, המאפשרת קריאה באמצעות קרינה אלקטרו-מגנטית ללא מגע, ומאובטח באמצעות חתימה דיגיטלית.

הארגון הבינלאומי לתעופה אזרחית קובע את נתוני הקובץ הביומטרי ואת פרוטוקול התקשורת שישמש לקריאתו, והמידע מאוחסן במעגל המשולב בצורת קובץ JPEG או אחר. מפרט הדרכון הביומטרי כפוף לתקינה בינלאומית (ISO/IEC 14443) המבטיחה תאימות בין דרכונים של מדינות שונות ומתוצרתם של יצרנים שונים.
הנתונים המאוחסנים על השבב

הדרכונים הביומטריים הנמצאים כיום בשימוש מכילים לרוב את הפרטים הבאים: שם, מספר דרכון, לאום, תאריך לידה, מין, תאריך תוקף, תמונות פנים, טביעות האצבעות וקשתית העין. השבב מכיל גם מספר קבצים אשר מסייעים לאמת שהשבב מקורי ושהנתונים על השבב לא שונו.
אבטחה

דרכונים ביומטרים מצוידים במספר מנגנוני אבטחה על מנת למנוע שימוש לרעה בטכנולוגיה החדישה מצד גורמים חיצוניים:

    בקרת גישה בסיסית (Basic Access Control) - מספק הגנה מפני גישה לנתונים שבשבב בנוסף לאבטחת ערוץ התקשורת לשבב. גישה לנתונים אפשרית רק לאחר הזנת את המפתח הנכון עבור שבב זה.
    אימות פסיבי (Passive Authentication) - מונע שינוי של הנתונים המאוחסנים בשבב. השבב מכיל קובץ מיוחד בו מאוחסנים מספרי שליטה. במידה וקובץ בשבב השתנה (לדוגמה תמונת פנים) ניתן לגלות זאת באופן מיידי.
    אימות אקטיבי (Active Authentication) - מאפשר להבחין בין שבבים מקורים ושבבים מזויפים. השבב מכיל קוד סודי אותו לא ניתן לקרוא או להעתיק.
    בקרת גישה מורחבת (Extended Access Control) - פונקציה נוספת המשמשת הגנה מפני גישה לנתונים. פונקצייה זו משמשת בדרך כלל לצורך הגנה מפני דליפה של מידע רגיש כמו טביעות אצבעות.

פריצת מנגנוני האבטחה בדרכונים הביומטריים

לאורך השנים הוצגו והודגמו פריצות של מערכות האבטחה של הדרכונים הביומטריים על ידי גורמים שונים:

    בשנת 2008 צוות מחקר הצליח להוכיח שניתן לקבוע מהיכן השבבים בדרכון מבלי לדעת את הקוד אשר נדרש לצורך קריאת הנתונים. הצוות ביצע רישום של הודעות השגיאה של שבבי הדרכונים מהמדינות השונות. המידע שהצטבר שימש לצורך אימות המקום ממנו הגיע השבב.
    בשנת 2005 מארק ויטמן ציין כי הקוד של הדרכונים הביומטריים ההולנדיים ניתן לפיענוח, דבר אשר יאפשר לגורמים עוינים לקרוא את השבב.
    בשנת 2006 לוקאס גרינוולד הוכיח כי ניתן להעתיק נתונים משבב דרכון ביומטרי לכרטיס זיכרון סטנדרטי מתקן ISO 14443 באמצעות ממשק קריאת דרכונים אלחוטי ותוכנת העברת קבצים פשוטה.
    בשנת 2008 יורן ואן ביק הוכיח כי לא כל מערכות בדיקת הדרכונים בודקים את חתימת ההצפנה בשבבי הדרכון.
    בשנת 2005 מארק ויטמן הדגים כי ניתן לאחזר את קוד האימות האקטיבי.

אופוזיציה

הדרכון הביומטרי עורר מחאה מצד פעילים למען הזכות לפרטיות במדינות רבות בעולם אשר מחו כנגד העמימות באשר להיקף המידע שמאוחסן בשבבי הדרכונים ובאשר להשפעתו על חירויות הפרט. פעילים אלה ומומחים מתחומי הטכנולוגיה והמחשוב הביעו דאגה במיוחד מכך שהנתונים אשר מאוחסנים על גבי המעגל המשולב שבדרכונים ניתנים לקריאה באמצעות טכנולוגיית RFID אלחוטית. על אף שהשימוש בטכנולוגיה זו מאפשרת לעמדות הזיהוי לקרוא את המידע שמאוחסן בדרכונים, היא תהיה עשויה גם לאפשר לכל אדם שברשותו ציוד קריאה מתאים לבצע את אותה הפעולה. במידה והפרטים האישיים ומספרי הדרכון המצויים על השבב אינם מוצפנים, המידע עשוי בסופו של דבר להגיע לידיים הלא נכונות.

ב-15 בדצמבר 2006, ה-BBC פרסם מאמר על שעסק בדרכונים הביומטרים בבריטניה, אשר ציין כי:
   "כמעט בכל מדינה בה מונפק דרכון זה ישנם מספר מומחי אבטחה אשר צועקים בקולי קולות: 'הדרכונים אינם מאובטחים. זה לא רעיון טוב להשתמש בטכנולוגיה זו'".    

כמו כן, במאמר מצוטט מומחה אבטחה אשר מציין כי:
   "ישנם מקומות בהם היישום נעשה באופן לא טוב - בשלב הראשון מתבצעת קריאת נתונים, לאחר מכן ניתוח הנתונים, עיבוד הנתונים ולבסוף אימות של הנתונים. ישנם פגמים טכניים רבים ביישום הטכנולוגיה וישנם פונקציות שלא יושמו, כך שבעצם הם לא עושים את מה שהם אמורים לעשות. הם אמורים לספק רמת אבטחה גבוהה יותר. דבר אשר לא מתבצע בפועל."    

צוות המחקר של ארגון Future of Identity in the Information Society (גוף מומחי אבטחה אשר ממומן על ידי האיחוד האירופי) הביע גם כן מחאה נגד הדרכונים הביומטרים של בריטניה וציין כי קיים חשש שהדרכונים ישמשו לצורך גניבת זהות.
דוגמא שבב המשולב בדרכון ביומטרי בריטי

מנותק Torah

  • חבר(ה) V.I.P
  • חבר(ה) מקצועי(ת)
  • *
  • הודעות: 912
לא מומלץ להשתמש בחיפוש גוגל  או כל מה שקשור אליהם(בניהם יוטיוב),הם שומרים את המידע עליכם, לכן מומלץ או להשתמש במנוע חיפוש אחר,או להשתמש בדפדפן TOR שמשנה IP

הינה מנועי חיפוש מומלצים
1. http://duckduckgo.com
2. http://ixquick.com
3. http://startpage.com
4. http://Blekko.com
5. http://ask.com