אמנם יש לה שם של להקת רוק או אלבום, ולוגו שבוודאי ימצא את עצמו על חולצות, מחברות ושאר מוצרי צריכה, אבל למעשה מדובר בפרצת אבטחה חמורה שמשפיעה על (כמעט) כל משתמשי האינטרנט בעולם, בדרך זו או אחרת.
Heartbleed היא פרצת אבטחה בספריית התוכנה החופשית OpenSSL, שמשמשת להצפנת נתונים בתקשורת מאובטחת באתרים רבים, כ-17% מאתרי האינטרנט בעולם. בעקבות הפרצה, שמות משתמש וסיסמאות של משתמשים באתרים שמשתמשים ב-OpenSSL היו חשופים, וקיים חשש שהאקרים או בעלי עניין אחרים אספו או יאספו אותם, ולא ברור מתי ישתמשו בהם בעתיד.
איך הפרצה משפיעה עליכם?
כמו רבים אחרים, אני עוקבת אחרי הפרסומים השונים, ובינתיים קראתי בעיקר מידע שמתייחס למשתמשים פרטיים או שמכוון למומחי אבטחת מידע. לכן, בפוסט הזה אני רוצה להתייחס גם לעובדים, פעילים ומנהלים בארגונים, ולאוכלוסיות בעלות נגישות לאינטרנט אבל עם אוריינות טכנולוגית נמוכה. שימו לב שמדובר בהמלצות כלליות ולא ביעוץ מקצועי או הנחיות רשמיות.
כמשתמשי קצה:
יכול להיות שהסיסמאות שלכם בשירותים שונים חשופת לאנשים שהם לא אתם, ויש צורך להחליף סיסמה. תוכלו למצוא ברשת רשימות של אתרים שצריך או מומלץ להחליף בהם סיסמה. באתר Lastpass תוכלו לבדוק סטטוס של אתרים נוספים לפי בחירתכם, לראות האם האתר חשוף לפרצה ואיך היא מטופלת (אם האתר חשוף לפרצה אך לא הותקן בו עדכון התכנה – החלפת סיסמה עכשיו לא ממש תעזור), ומה ההמלצה להחלפת סיסמאות.
כמנהלי אתרים או מנהלי ארגונים בעלי אתרים:
אם באתר שלכם יש אפשרות לאנשים להירשם כדי לקבל שירותים מסוימים, צריך לבדוק באיזה מנגנון אבטחה אתם משתמשים, ואם זה OpenSSL – יש להתקין עדכון.
גם אם אתם לא משתמשים ב-OpenSSL, כדאי לשלוח מייל למשתמשים הרשומים שלכם, לציין שלא נפגעתם מפרצת האבטחה (אחרי שבדקתם זאת בקפידה, כמובן) אבל להמליץ לעדכן סיסמאות ולהשתמש תמיד בסיסמאות חזקות וייחודיות. הרבה אנשים נוטים להשתמש באותה סיסמה בשירותים מקוונים שונים, וכשזה בא עם אותם שמות משתמש או כתובות אימייל – זוהי נקודת תורפה שקוראת להאקרים.
כעובדים או פעילים בארגונים וקהילות חברתיות:
סביר להניח שיצא לכם לפתוח חשבון בשירות מקוון כזה או אחר לצורך העבודה או פעילות חברתית שאתם מעורבים בה. בין אם זאת כתובת ג’ימייל שפתחתם לפרויקט או לכנס מסוים, דף פייסבוק שאתם מנהלים, חשבון בדרופבוקס לשיתוף קבצים וכיו”ב. גם אם אתם בוחרים שלא לעדכן את הסיסמאות בחשבונות האישיים שלכם, חשוב מאוד להחליף סיסמאות בחשבונות הלא פרטיים האלה. יכול להיות שקיים שם מידע פרטי של לקוחות שלכם, שזכאים לחיסיון – במיוחד כשמדובר ביחסים טיפוליים, או מידע רגיש אחר. כמנהלים בארגונים, ודאו שהעובדים שלכם החליפו סיסמאות בחשבונות הארגוניים שלהם.
כמו כן, זאת הזדמנות מצויינת לנהל רשימה של השירותים והחשבונות השונים שברשותכם ולעשות סדר (במה אנחנו משתמשים? איפה יש לנו חשבון אבל מי שפתח אותו כבר לא עובד איתנו ואין לנו גישה לחשבון הזה?). כמובן שאין לשמור את פרטי החשבונות ואת הסיסמאות במסמך / קובץ אחד.
הושיטו יד לאחרים:
יכול מאוד להיות שיש לכם מכרים, עמיתים, או קרובי משפחה שחשופים לפרצת האבטחה כמשתמשי קצה, אבל לא מודעים לכך. למשל, בעלי סמארטפונים מבוססי אנדרויד שלא יודעים שיש להם חשבון בגוגל, או שיודעים שיש להם חשבון בג’ימייל ושומרים בו מייל אחד עם סיסמאות של הרבה חשבונות אחרים. נסו לעזור להם להחליף סיסמה, בלי פאניקה ועם הסברים כלליים אך לא מתחמקים. יכול להיות שיצא לכם לפגוש אותם במפגשי פסח והחופשה הקרובה, ויכול להיות שעדכוני סיסמאות כאלה יהיו תחליף מעניין לשיחות המשפחתיות הרגילות.
עוד מידע והמלצות על ניהול סיסמאות אחראי:
- הנחיות לבחירת סיסמאות חזקות מבית LifeHacker
- חנן כהן שיתף כאן וכאן מניסיונו בבחירת סיסמאות משמעותיות ואפקטיביות
- כלים לניהול סיסמאות, רשימה באתר LifeHacker
מידע נוסף על הפרצה:
- אתר מידע על הפרצה, כולל רשימת שאלות ותשובות
- רשימת אתרים פופולאריים והמלצות האם לעדכן סיסמאות באתר Mashable. המידע התפרסם גם בעברית ב”חורים ברשת”
- ידיעה ב”דה מרקר”
- ויש גם ערך בויקיפדיה (באנגלית) ומידע על הפרצה בערך על OpenSSL בעברית.
- פוסט שמיועד לארגוני מגזר שלישי בבלוג של טקסופ. הם מבטיחים לעדכן בנושא גם בהמשך.
אם יש לכם הצעות, המלצות, שאלות ומידע שימושי נוסף – מוזמנים לשתף כאן בתגובות.
חג שמח וחופשה נעימה :)
מקור תמונת הכותרת: Danya, Flickr.
