אם יש לכם לפטופ קצת ישן, אל תשמעו מוזיקה בזמן העבודה. מתברר שהשמעת השיר של ג'נט ג'קסון מ-1989, Rhythm Nation, עלול לפגוע בהארד-דיסקים, בגלל התהודה שהתדרים שלו מייצרים. זו לא דאחקה מוזרה לפתיחת הכתבה, אלא בעיית אבטחה אמיתית, ואתם יכולים לגגל את המספר הסידורי שלה: CVE-2022-38392.
הבעיה הזניחה הזאת היא הזדמנות מצוינת לדבר על כך שבעיות אבטחה חמורות יותר מתגלות חדשות לבקרים. אפל, למשל, כתבה בעדכון האחרון שלה: "כנראה שכדאי לכם לעדכן את הגרסה הזאת, עכשיו!". אבל למה כל כך חשוב לענקית המחשוב שנעדכן את גרסת המכשיר? ובכן, הכול טמון בבעיה מוחשית שקיימת בעולם אבטחת המידע שכולנו נחשפנו אליה ביתר שאת בשנים האחרונות - תקיפות סייבר.
אותן התקיפות לא מתרחשות בחלל הריק, והן מיועדות נגד מוצרים ותוכנות שאנחנו משתמשים בהן מדי יום. איך תוקפים מוצרים כאלה? כמו בכל מבנה בצור, גם לתוכנה בנויה היטב יש נקודות תורפה, שנקראים בשפה המקצועית "פגיעויות" (Vulnerabilities). הנה כמה דוגמאות לפגיעויות מעניינות שזוהו בתקופה האחרונה.
• באפליקציית זום (זו שאנחנו מדברים בה מדי יום, כן?) למחשבי מקינטוש נמצאה חולשה שאפשרה לתוקפי סייבר לקבל הרשאות מלאות לשליטה על המחשב. היא אותרה על ידי חוקר אבטחה שזיהה אותה כבר בחבילת ההתקנה של התוכנה.
• בדפדפן גוגל כרום התגלו בשנה ארבע פרצות חמורות מאוד שחלקן אפשרו לתוקף להריץ קוד זדוני במחשב לאחר ביצוע פעולות יומיומיות בדפדפן, כמו גלישה לאתרים מסוימים או שימוש בתוספים.
• במערכות ההפעלה של אפל התגלתה פרצת אבטחה מסוג "יום אפס" (הסבר בהמשך) שאפשרה לתוקף להריץ קוד זדוני במכשירי אייפון ובמחשבים ובכך חשפה אותם להשתלטות עוינת מרחוק.
• ברכיב GPS הקיים ביותר ממיליון רכבים ברחבי העולם התגלתה פרצת אבטחה שנתנה לתוקף אפשרות להשתלט עליו, לשבש את עבודתו ואפילו לגרום לניתוק אספקת הדלק למנוע.
גוגל, אפל, מיקרוסופט, תאגידים, בנקים ועוד המון חברות נוספות דואגות לנושא אבטחת המידע של המשתמשים. הן מעסיקות חוקרי אבטחה, האקרים עם "כובע לבן", ואוספות מידע עלינו בכל דרך חוקית אפשרית על מנת לייצר את פרופיל המשתמש שלנו שדרכו בסופו של דבר אפשרי לדעת מתי אנחנו משתמשים במוצרים שלהם, מה השימוש שאנחנו עושים בהם ביום יום, ואפילו מאיפה אנחנו משתמשים בהם. כך, לצורך העניין, מתאפשרת מניעת פריצות לחשבונות שלנו.
אני עדיין חייב לכם הסבר על "יום אפס" (Zero Day Attack). המשמעות של פרצה כזו, היא שהיא תמיד קיימת. כלומר, תמיד תהיה פרצה חדשה שלא הייתה מוכרת עד כה. זה הופך אותה למסוכנת מאוד, מכיוון שהתוקף שמצא אותה יכול בעצם להשתמש בפרצה ולבצע את זממו בכל חומרה פוטנציאלית לפרצה הזאת (במילים אחרות: לגנוב מידע אישי, לנצל אותה עבור מתקפת כופרה או פשוט כדי להשבית אותה לגמרי). זה יכול לקרות למכשיר סלולרי, לכל סוגי המחשבים ואפילו לאביזרי בית חכם.
אז מה אפשר לעשות?
• שמירה על עדכניות מערכת ההפעלה: שימו לכם תזכורת חודשית לבדוק אם יש עדכונים חדשים במחשב, בסמארטפון. ובציוד בבית שמחובר לאינטרנט כמו הראוטר, שעון חכם, מצלמת אבטחה, טלוויזיה חכמה - וכל מה שיש לו את המילה "חכם" בשם.
• לא להתעלם או לדחות עדכונים של תוכנות במחשב: דפדפן הכרום, לדוגמה, מציג לנו כפתור עדכון בולט בפינה הימנית-העליונה כשיש עדכון חשוב. בנוסף, אפשר לפתוח את חנות האפליקציות ולראות איזה עדכונים מחכים לכם שם.
• הורדת אפליקציות מחשב רק מאתרים רשמיים: אתרי הורדות ("טורנטים") למיניהם מפיצים אפליקציות פרוצות, ורובם מסתמכות על מקורות לא אמינים. ישנה סבירות גבוהה שהאפליקציה שתורידו תכיל נוזקה העלולה לקלקל את המחשב שלכם.
אז בברכת זהירות מקסימלית - אני מאחל לכם שימוש בטוח במחשב מעתה ואילך. בהצלחה!