זהירות "התקפת זיקית": כמשתלטים לכם על הרשת החברתית ואין לכם מושג



הרשתות החברתיות הן כר פורה למתקפות סייבר ופתח לפגיעה בפרטיות. לקראת יום הגנת הפרטיות שיצוין ב-28 בינואר מסביר אביעד אלישר - חבר סגל המחלקה למדעי המחשב ב-SCE המכללה האקדמית להנדסה ע"ש סמי שמעון, איך פוסט תמים בפייסבוק, בטוויטר, או בלינקדין עלולים לפתוח תיבת פנדורה

אביעד אלישר. צילום: שי שמואלי

אבטחת מידע היא תחום העוסק בהגנה מפני גישה, שימוש, חשיפה או השמדה של מידע ומערכות מידע מצד גורמים אינטרסנטים זדוניים. מטרת העל של תחום זה הינה לאפשר לגופים, ארגונים שונים כמו גם אנשים פרטיים לפעול בבטחה תוך שמירה על סודיות, שלמות וזמינות המידע שברשותם. בד בבד, תחום זה הפך אבן שואבת לצעירים רבים המעוניינים להשתלב בעולם המעניין והמאתגר הזה.

כך, למשל, המועצה להשכלה גבוהה (מל"ג) אישרה בימים אלה את פתיחתה של המחלקה החדשה למדעי המחשב במכללה האקדמית להנדסה ע"ש סמי שמעון. צעד מבורך זה יכול לספק מענה לביקוש הרב בשוק העבודה למומחי סייבר.

במסגרת התוכנית הוגדר מסלול ייחודי ללימודי סייבר המכשיר את הסטודנטים לזהות ולהעריך סיכוני סייבר ולהתמחות בתחום אבטחת מידע ורשתות תקשורת. הדרישה ההולכת וגוברת למומחים בתחום הסייבר תאפשר לבוגרי המסלול להשתלב בעתיד כמומחים בתחום הסייבר ואבטחת תוכנה בתעשייה ובאקדמיה ובמגזר הציבורי והפרטי.

במאמר זה אני מעוניין להפנות זרקור למקום שלכאורה נתפס בקרב הציבור הרחב כבטוח יותר ממתקפות סייבר קלאסיות. אני מדבר על הרשתות החברתיות. בעשורים האחרונים, כמות המשתמשים הפעילים ברשתות החברתיות השונות כדוגמת פייסבוק, טוויטר, טיק טוק ואינסטגרם רק עולה. מיליארדי משתמשים פועלים באותן הרשתות לצרכיהם באופן יומיומי.

הסיבות לפופולריות הגואה שלהן קשורות למאפייני פלטפורמות אלו שבבסיסן עידוד המשתמשים להכיר חברים חדשים, לתחזק חברויות ותיקות, להתעדכן בנעשה במולדותיהם ובעולם, להגיב לפוסטים של משתמשים אחרים, לחלוק את דעותיהם, רעיונותיהם וכו'. 

עם זאת, לצד היתרונות הרבים הגלומים באותן רשתות, ישנם גם לא מעט איומים: הרשתות החברתיות הפכו מכשיר להפצת מידע כוזב (פייק-ניוז), ולעיתים קרובות הן משמשות ככר פורה למשתמשים זדונים כדוגמת בוטים, טרולים וסייבורגים לביצוע פשעי סייבר רבים.

בשנתיים האחרונות, צוות שכלל בנוסף אליי גם חוקרים מאוניברסיטת בן גוריון הצליח לזהות חולשה במנגנון עריכת הפוסטים במספר רשתות חברתיות המובילה לפגיעה בשמו הטוב של משתמש ברשתות החברתיות. קראנו למתקפה: "התקפת זיקית" – מצב בו התוכן משתנה לאורך זמן כדי לא למשוך תשומת לב לפני ביצוע התקיפה.

דמיינו לעצמכם פוסט תמים בפייסבוק המציג תינוק חמוד עם צחוק מתגלגל. אתם צוחקים יחד אתו ומשתפים עם כל חבריכם את הפוסט החביב. לאחר מכן, אתם ממשיכים לגלול מטה במעבר על פוסטים נוספים וחוזרים לעיסוקיכם.

יום למחרת אתם מקבלים שיחה תמוהה מחבר השואל מדוע שיתפתם אתמול קטע וידיאו הקורא לתמיכה בדעא"ש ומציג הוצאה להורג פומבית של חטוף? אתם בתגובה לא מבינים על מה הוא מדבר וממהרים לפתוח את הפייסבוק. אתם מביטים בציר הזמן שלכם ומגלים ששיתפתם קטע וידיאו התומך בדעא"ש. סיטואציה מביכה זו יכולה לפגוע בשמכם הטוב.

כדי לספק שירות למשתמשים, חלק מהרשתות החברתיות מתירות לערוך או למחוק תוכן שכבר פורסם. בנוסף, הרשתות החברתיות המוכרות כדוגמת פייסבוק, טוויטר ולינקדין תומכות בשינוי הניתוב של קישורים (לינקים) קיימים כמו גם בעדכונים של תצוגה מקדימה של אותם לינקים.

תצוגה מקדימה של לינקים הוא מאפיין נפוץ וחשוב בכל פלטפורמה חברתית המאפשר למשתמשים להתרשם מהפוסט בטרם יקליק עליו. אפשור עריכת הלינקים לאחר שפורסמו מצד הרשתות החברתיות פותח את הצוהר לשנות את הדרך בה מוצג הפוסט הנתון בלי לספק אינדיקציה למשתמש שתוכן הקישור השתנה.

במסגרת המחקר, סקרנו את עמידותן של שבע רשתות חברתיות ל"התקפת זיקית". על מנת להוכיח את אמיתות ההתקפה, הדגמנו את ההתקפה באמצעות חדירה של משתמשים לקבוצה סגורה בפייסבוק.

המסקנה הנדרשת היא שגם לרשתות החברתיות צריכה להיות מידה רבה של אחריות. לכן, על מנת להימנע ממתקפות שכאלה, ולצד ההתנהגות הזהירה הנדרשת מצד המשתמשים ברשת, טוב יעשו גם הרשתות החברתיות אם יחזקו את מנגנוני האבטחה הקיימים ויפתחו מנגנוני הגנה נוספים שימנעו פגיעה בפרטיות המשתמשים ויחזקו בהם את אמון הציבור.

הכותב הוא חבר סגל במחלקה למדעי המחשב, ב-SCE המכללה האקדמית להנדסה ע"ש סמי שמעון


 
 
x
pikud horef
פיקוד העורף התרעה במרחב אשדוד 271, אשדוד 271, אשדוד 271
פיקוד העורף מזכיר: יש לחכות 10 דקות במרחב המוגן לפני שיוצאים החוצה