פורסם ביום 29.12.2011 באתר "חורים ברשת"
היום פורסם ששני תחקירנים בתכנית ריאליטי חדרו (לכאורה) לחשבונות אימייל ופייסבוק של בכיר הפקה ב-”אח הגדול”, וכשמצאו סקופים ואייטמים מעניינים, שלחו אותם לפרסום בתוכנית בידור. נראה שמדובר בשני תחקירנים ששכחו שלמרות שמן, לא כל מה שמותר בתכניות ריאליטי מותר גם במציאות, ובתור אדם שיודע להעריך אירוניה טובה, אני לא יכול להגיד שהעובדה שריגלו אחרי עובד התכנית “האח הגדול” לא מעלה לי צל של חיוך.
פורמט חדש: עורך דין אחד נגד מאה
מבחינה משפטית, אין ספק ששני “בני הטובים” האלה – ומעניין שרק נאשמים הם “בני טובים” – הסתבכו מאוד. ראשית, חדירה לחשבונות אימייל ופייסבוק של אדם אחר, ללא רשותו, מהווה עבירה חמורה למדי של פגיעה פרטיות, שהעונש עליה יכול להגיע לחמש שנות מאסר (לכל עבירה).
שנית, משהם נכנסו לחשבונות האימייל והפייסבוק ללא רשות, ועל אחת כמה וכמה אם עשו שימוש בתוכנות פריצה לצורך כך, הרי שהם אשמים בחדירה למחשב שלא כדין, מה שמקנה להם עוד שלוש שנים לכל עבירה על החשבון. כבונוס, בגלל שהם חדרו לחומר המחשב במטרה לבצע עבירה של פגיעה בפרטיות, הם מקבלים עוד שנתיים. לבסוף, אם שני הליצנים גם במקרה צותתו לשיחות צ’אט של אותו מפיק בפייסבוק, אז אפשר לזרוק פנימה עוד חמש שנים על האזנת סתר.
אבל אם אתם חושבים שההליך הפלילי הוא בעייתי, אז זה רק בגלל שטרם סיפרתי ש”האח הגדול” צפויה לטעון שהמידע שנגנב הוא סוד מסחרי. תכניות ריאליטי חיות מפרסום, ולסקופים רבים יש ערך כלכלי משמעותי עבורן – מה שהופך אותם לסודות מסחריים. במצב עניינים זה, נטילת המידע ופרסומו בתכנית בידור מהווה גזל סוד מסחרי ומאפשרת להגיש תביעה אזרחית על ידי התכנית, שמן הסתם תצטרף לתביעה של המפיק שלחשבונותיו פרצו, לכדי סכומים שמגיעים למיליוני שקלים. בקיצור, שני החבר’ה האלה צריכים להתחיל לעשות תחקיר מעמיק על עורכי דין, ולמצוא אחד שיקטין במעט את הברוך שבו הם נמצאים.
איך לבחור סיסמה שלא תהפוך אתכם לכותרת בעיתון?
מהבחינה הטכנולוגית, המקרה הזה מבהיר איזה חוסר מודעות קיים בארץ (ובעולם) לאבטחת המידע האישי והעסקי של כל אחד ואחד מאיתנו. בהנחה הסבירה שלא מדובר בשני האקרים מדופלמים, הרי שלאותו מפיק יש ככל הנראה אחריות לא קטנה לנזק שנגרם למקום עבודתו.
כולנו מכירים את המדד הזה שאומר לנו, כשאנחנו בוחרים סיסמה לחשבון מייל או לרשת חברתית שאומר לנו, בצבע אדום, שהסיסמה שבחרנו “חלשה” (מי לא בחר פעם את הסיסמה 123456?). בניגוד לתפיסה הכללית, לא מדובר באיזה גימיק חמוד אלא במידע רב ערך שיש לשים אליו לב: כמעט בלתי אפשרי לפרוץ לתיבת מייל של אדם שבחר סיסמא ‘נכונה’.
איך בוחרים סיסמה נכונה? יש כמה כללי אצבע, שרובם ככולם כתובים ליד אותו מדד אדום ממנו התעלמנו בהפגנתיות עד כה.
ראשית, היא צריכה להיות ארוכה, ולכלול ערבוב של אותיות קטנות, אותיות גדולות ומספרים, בסדר שאינו יוצר מילה או משפט כלשהו. פורצים רבים מנסים מילים נפוצות ורצפי מספרים נפוצים בניסיון לחדור לחומרים של משתמשים לא זהירים. אז זה שהסיסמא שלכם היא Password, 123123, Melon (כן, אני מדבר לטולקינאים שביניכם) או Incorrect (לאלה שאוהבים שהאתר מזכיר להם את הסיסמה כשהם טועים בהקשתה), זה אולי חמוד, קל ושנון, אבל זה לא ממש מגן עליכם.
שנית, לפחות לשירותים החיוניים והחשובים שלכם (אימייל, פייסבוק, חשבון בנק וכדומה), תבחרו בסיסמאות ייחודיות ואל תשמשו בסיסמאות ששימשו אתכם באתרים אחרים. לא מאמינים לי? תשאלו את אלף המסכנים שהשתמשו באותה סיסמה לאתר “הומלס” ולחשבון המייל שלהם. כש”הומלס” נפרץ, האקרים הטורקים לקחו את הסיסמאות של כל המשתמשים באתר ובדקו אם הן מתאימות לחשבונות הדואר שלהם. כאלף ברי מזל זכו בטורקי זועם בחשבון האימייל שלהם, בגלל שלא טרחו לזכור יותר מסיסמה אחת.
שלישית, אל תשמשו בסיסמאות שקשורות אליכם, ושכוללות את השם, תאריך הלידה או מספר הטלפון שלכם. הסיסמה Daniel1975 אולי מורכבת מאותיות ומספרים והיא באורך המתאים, אבל היא אחת הקלות לפריצה (אם קוראים לכם דניאל ונולדתם ב-1975). למעשה, יש היום אתרים שמציעים ‘שירותי פריצה’, כלומר, מאפשרים לכם להזין שם משתמש או אדם שלחשבון שלו מעוניינים לפרוץ. בכדי למצוא את הסיסמה המבוקשת של אותו חשבון, אותם אתרים מריצים חיפוש על עמודי פרופיל של הקורבן המיועד בפייסבוק, ומנסים סיסמאות שמורכבות משילובים של פרטים אישיים אודות אותו אדם (שם, שנת לידה, שם בן/בת הזוג וכדומה). שימוש בסיסמה שמורכבת מפרטים אישיים הופכת אתכם למטרה קלה לסגנון פריצה זה.
לבסוף, דאגו להחליף את הסיסמה פעם בכמה חודשים. כאשר אתרים נפרצים, לעיתים קרובות לא נעשה שימוש בסיסמאות הגנובות באופן מיידי, אלא הן מועלות לרשת למנועי חיפוש שמאפשרים מציאת סיסמאות של אדם ספציפי בתשלום. החלפת סיסמה הופכת מידע זה ללא שמיש, ויכולה לחסוך לכם חדירה לא מורשית, שלעיתים תתרחש שנים אחרי הפריצה הראשונית לאתר.
ארבעה כללים אלה מגנים מפני מרבית הפריצות. צריך להבין שהאקרים הם כמו פורצים בחיים האמיתיים: לרוב הם סתם משוטטים ברשת ומחפשים מטרות קלות. השארתם את דלת האוטו פתוחה? סיסמת המייל שלכם היא 123456? סימנתם את עצמכם בתור מטרה לפשע.
כמובן, שיש פורצים יותר מתוחכמים, שעושים שימוש בכלים ייעודים דוגמת Sniffers או KeyLoggers. אלה לרוב פועלים למול מטרות מסוימות ובחירת סיסמה מורכבת פחות יעילה כנגדם. הדרך להתמודד איתם שונה, מסובכת ופחות רלוונטית לענייננו – כיוון שספק אם שני הלא-יוצלחים (לכאורה) היו כה מתוחכמים בפעולותיהם.
עשו לעצמכם טובה – החליפו סיסמה
בהנחה שאכן מדובר בפריצה ‘חובבנית’, אני מאוד מקווה שאותו מפיק-קורבן לא התרשל יותר מדי בבחירת הסיסמה. בהנחה ש-”האח הגדול” כבר שכרה סוללת עורכי-דין נשכניים במיוחד במטרה לתבוע את כל העולם ואשתו (פרסום חינם, לא יתבעו?), אז המרחק לתביעה נוספת כנגדו על התרשלות בשמירת אותם סודות מסחריים קצר. אז הנה לכם עוד סיבה לקפוץ רגע לתיבת הדואר שלכם ולבחור סיסמה קצת יותר טובה מ-”סומסום היפתח”.