העיתונאי דן גילמור מאתר theguardian נשלח השבוע לסקר את כנס ההאקרים DEF CON, שבדומה לכנס ההאקרים Black Hat, נערך בלאס וגאס. היום הוא חושף את ההנחיות שקיבל (כמו גם, קרוב לוודאי, שאר העיתונאים), לגבי דרכי ההתגוננות מפני מתקפות האקרים במהלך הכנס.
ההנחיות הללו טובות, למעשה, לכל מי שנוסע לכנסים, לאוו דווקא של האקרים, או לפגישות מחוץ למשרד בארץ ובמיוחד בחו"ל. כמובן, שההתגוננות חייבת להיות החזקה ביותר בכנס של האקרים. כל אחד צריך להיות מודאג. אולם, כדי לקבל החלטות לגבי הפעולות לאבטחת המידע יש קודם כל להבין ולחשב מול אילו איומים עתידים לעמוד. זאת מאחר, שלפי סוג האיומים צריכות להינקט דרכי ההתגוננות.
כל שנה, אלפי האקרים ומומחי אבטחה נוהרים לתוך לאס וגאס ל-2 כנסים החשובים ביותר בתחום המסובך והמדאיג של אבטחת מידע ברשת. העיתונאי
דן גילמור סיקר את כנס DEF CON. הוא עשה זאת כמה פעמים בעבר. אולם, הפעם חל חידוש: לפני עזיבתו השבוע לכיוון לאס וגאס, שלחו לו המארגנים דואר אלקטרוני עם רשימה ארוכה של דרכי התגוננות, שהוא כעיתונאי חייב למלא לפני ההגעה, במשך הכנס ולאחר חזרתו הבייתה.
דן גילמור טוען, שזו רשימה "מפוכחת" והוא מפרסם היום כמה הנחיות מתוך רשימה מאד ארוכה, שכל אחד יכול ללמוד ממנה כיצד להתנהג. להלן ציטוט של כמה מההנחיות שקיבל בכתב:
היזהר מ-WiFi ציבורי. אל תשתמש ברשתות אלחוט בכנס עצמו וגם לא בשדה התעופה של לאס וגאס אלא אם אתה רוצה שהאקר יפרוץ למחשב שלך באופן מיידי.
כנסים הם מערבולת של מידע ואירועים ויש לוודא, שכל חשבונות הדוא"ל מאובטחים ובפיקוח שלך. עליך ליצור ולהשתמש באסטרטגיית סיסמאות כדי לוודא, שדוא"ל חסוי המכיל "חדשות מתפרצות ובלעדיות" יוגן ולא יפרץ. להלן כמה טיפים כדי ליצור אסטרטגית סיסמא כזו והגנות נוספות:
השתמש בתבנית במילת מפתח ולא במילה אמיתית מהמילון.
החלף אותה באופן קבוע. יש לשנות סיסמא אחרי כל ועידה.
השתמש בסיסמא שונה ומיוחדת עבור כל חשבון חשוב.
הישמר כאשר אתה בוחר רמזים לסיסמא או לתשובות לשאלות ביטחון. זאת, מאחר, שלעיתים קרובות קל מאד לנחש את התשובות כאשר משתמשים במידע שנתת ברשתות החברתיות.
אין לשלוח סיסמאות בטקסט גלוי. (הסיסמא חייבת להיות מוצפנת בטקסט מוסתר).
שנה את הסיסמאות בתום הכנס או מיד אחרי חזרתך הבייתה.
הגנת RFID: השאר את כרטיסי אשראי ומסמכים מזהים בבית ככל שניתן או בארנק מיוחד. אפשר לסרוק אותם ממרחק 200 רגל.
השאר מידע חשוב ומכשירים חשובים בבית. זו הדרך הבטוחה ביותר לשמור עליהם. הנח מלכתחילה, שכל המידע והמכשירים שאתה מביא לאירוע יוכלו להיפרץ. משתתפים רבים מביאים מחשבים ניידים וטלפונים סלולריים. אם אתה מוחק מידע מהמכשירים, וודא שאכן המידע "נגרס" ונעלם. מומלץ להביא
נייר ועט. לא ניתן להתקיף ולפרוץ סיכומים הנכתבים בעט במחברת.
דן גילמור כותב, שכל ההנחיות הנ"ל התייחסו לכנס ההאקרים, ושהוא לא מציע לנקוט בכל ההגנות הללו כל הזמן, אלא אם מודאגים ויש סיבה לדאגה, שנמצאים תחת מעקב. אולם, כן צריך לשקול מה שמומחי האבטחה מכנים "
מודל איום" - מהם האיומים האפשריים, על בסיס המציאות ולא על סמך פארנויה, על המחשב או הסלולר על בסיס יומיומי. כמובן, שפעילים פוליטיים בדיקטטורה נמצאים במודל האיום בדרגה הרצינית ביותר. אך אזרחים רגילים (וגם אזרחים אמריקאים רגילים, למרות פרשת סנואדן) לא חייבים להתנהג באופן המחמיר הנ"ל, ולאמץ את כל הפעולות הללו.
לאור הרשימה המפחידה והמרתיעה שקיבל, העיתונאי השאיר את המחשב הנייד שלו בבית, הביא לאירוע מחשב ישן עליו הטעין מערכת הפעלה חדשה ללא מסמכים אישיים. כשחזר לביתו הסיר את מערכת ההפעלה והשמיד את הקבצים לאחר שהשתמש בהם. הוא לא השתמש כלל ב-WiFi של הכנס ושילם במזומן בכל מקום במקום בכרטיס אשראי. הוא פחות מודאג כשהוא בנסיעת עסקים. אולם, משמיעת ההרצאות והדיונים בכנס הוא מבין, שהאבטחה היא לא וודאית במקרה הטוב וזוועתית ומעוררת חלחלה במקרה הגרוע. מלבד כמה מקרים יוצאים מן הכלל, התעשייה בתחום זה עשתה עד כה עבודה גרועה. קשה יותר ויותר להתגונן מול הפיתוחים הרבים של "האנשים הרעים".
