יום שני השחור

פרשת ההדלפות באתר וויקיליקס (WikiLeaks) האמריקני, שזעזעה חצי עולם בסוף השבוע האחרון, צפויה להגיעה לשיאה מחר (ב') – דווקא ב-"Cyber Monday" השנתי. המדובר ביום שבו מציעים כל אתרי המסחר באינטרנט את מבצעי המכירות הגדולים של השנה – אירוע המזכיר את "יום שישי השחור" שנערך בחנויות ברחבי ארה"ב רק שלושה ימים קודם לכן. צירוף המקרים האירוני הזה יגרום לכך שמחר תשומת הלב המקוונת תופנה דווקא לוויקיליקס, ולא לאתרי הקניות. אם תרצו, יהיה זה יום שני שחור במיוחד להרבה מאוד ממשלות ופוליטיקאים.

כמו בפעם הקודמת שבה עורר וויקיליקס מהומה, גם הפעם עולה שוב השאלה הנצחית: האם אפשר למנוע את הדלפות המידע הללו? כיום ברור לכולם שהתשובה ברוב המקרים שלילית. ישראל היא בין המדינות הבודדות בעולם החופשי והדמוקרטי שעדיין מפעילה צנזורה צבאית על כלי התקשורת בה. בשאר העולם החוק מתירני הרבה יותר. על כן, המסקנה המתבקשת היא, שארגונים חייבים להפעיל מנגנונים קפדניים יותר כדי לשמור על המידע שלהם, ולמנוע מצבים שבהם בעלי גישה למידע רגיש יוכלו לעשות בו ככול העולה על רוחם.

בכל דיון בנושא ביטחון ואבטחת מידע, הודגש מאז ומעולם שאבטחת מידע אינה רק עניין טכנולוגי – אלא תהליך ארגוני. המדובר במדיניות שצריכה להיות מרתיעה, אך מבלי להפריע לעבודה השוטפת של הארגון. מצד שני, יש את המהפכה שחוללה רשת האינטרנט ותרומתה לדמוקרטיה. כך, אחד העקרונות המרכזיים בדמוקרטיות מערביות הוא שקיפות המידע. המידע הוא הכוח שניתן בידי האזרחים בכדי לפקח על מנהיגיהם. ככל שהאזרח יודע יותר – יש לו יותר כוח.

המציאות הזו משנה לחלוטין את מערכת היחסים שבין האזרח לרשות. יש לכך השלכות גם על ניהול מדיניות של ממשלות – הן כלפי פנים והן כלפי חוץ. עקרון החשאיות, שהוא אבן יסוד בדיפלומטיה, נשחק עד מאוד וכנראה זקוק לפורמט חדש. אם המחיר שצריך לשלם תמורת זה הוא לחשוף את פרצופם האמיתי של שליטים ומנהיגים שחשבו שניתן לרמות את העולם, זה מחיר נסבל ואף ראוי.

שם המחלה: סיסמאות חלשות

רשת האינטרנט היא הפלטפורמה העיקרית לדליפות מידע היום – כמו גם לפרסום אותו המידע. יתרה מכך, כיום כבר לא צריך עורך אתר בעל אג'נדה, כי כל אחד יכול לפרסם מה שהוא רוצה, מתי שהוא רוצה. אפילו לא צריך אתר לשם כך, כי יש רשתות החברתיות. באותן רשתות הבעיה חמורה עוד יותר, כי המידע עשוי להיות מידע אישי, שכל חשיפה לא נאותה שלו יכולה להוביל להרס הפרטיות של הגולש וקרוביו.

השבועון האמריקני InformationWeek התייחס לנושא במהדורה המודפסת האחרונה שלו. על פי השבועון, אחת הסיבות העיקריות לדליפת מידע וחדירה לפרטיות של גולשים ברשתות חברתיות, היא העדר מודעות מצד הגולשים להגן על המידע שלהם בסיסמאות "חזקות". כלומר, כאלו שלא בקלות כל כך ניתן לפרוץ אותן.

אבל גם זה לא מבטיח חסינות. בשנה שעברה אירע מקרה פריצה מפורסם לבסיס הנתונים של אתר בשם Rock You, שמספק אפליקציות ומשחקים לגולשים ברשתות חברתיות. המידע, שכנראה לא היה מוגן כראוי, הגיע לידיהם של האקרים מתוחכמים, שפרצו בקלות לשרת ה-SQL וגנבו 32 מיליון סיסמאות. הם לא היו צריכים לעבוד קשה מדי – הסיסמאות היו שמורות כטקסט רגיל.

היעדר מודעות ומוטיבציה הם בעיה חמורה. על בעלי האתרים לעמוד על כך שהמשתמשים ינכסו לעצמם סיסמאות "חזקות" ככל האפשר וכמובן להגן על אותן סיסמאות. מעיון בסיסמאות של משתמשי Rock You, עולה תמונה די עגומה, המשקפת עד כמה אנו לא יצירתיים בבואנו לבחור סיסמאות, ואולי גם קצת עצלנים. הסיסמאות הפופולאריות יותר היו רצפי מספרים עולים מ-1 עד 4, מ-1 עד 5 ומ-1 עד 9. במקום הרביעי, בדירוג שביצע השבועון האמריקני, נמצאת הסיסמה "Password"..

העיתון מגלה למי שעוד לא ידע זאת, שכאשר האקרים מנסים לפרוץ לבסיס נתונים מסוים, הם בדרך כלל מנסים את 20 האפשרויות הפופולאריות קודם. אם חשבתם ששימוש בשמות משפחה, תאריכי לידה ושמות של ילדים מהווים את שיא התחכום – דעו לכם שההאקרים כבר מכירים את הטריק הזה.

המסקנות לפעולה מהפרטים הללו לא קשות לניחוש. השאלה היא מה עוד צריך לקרות כדי שגם אנו וגם מנהלי האתרים הגדולים יזיזו את עצמם ויוודאו שכאש אנו נרשמים לאתר שלהם, נהיה קצת יותר יצירתיים. זה לא מזיק בכלל.