אתרי הדואר האלקטרוני האינטרנטיים למיניהם פורחים. שירותים כגון Gmail, יאהו מייל, הוטמייל נוחים לשימוש, נגישים מכל מקום, וכמובן חינמיים. רבים מאיתנו למדו להתבסס עליהם מבלי להקדיש לנושא יותר מדי מחשבה.
אולם לטענת מומחי אבטחה וחסידי הגנת הפרטיות, כדאי דווקא לעצור ולחשוב פעמיים. מעטים מודעים לעובדה ששירותי הדוא"ל האינטרנטיים שונים באופן מהותי משירותים סטנדרטיים מבוססי POP3 (פרוטוקול נפוץ לשליפת הודעות דוא"ל) - הן ברמת הפגיעות למתקפות האקרים, והן בסוג העזרה לה ניתן לצפות במקרה של בעיה.
מדובר על הבדלים שנראים לכאורה לא משמעותיים, אבל זכרו ששירותי הדוא"ל האינטרנטיים מהווים מטרה מועדפת על האקרים למיניהם, ומרבית המשתמשים של השירותים הללו כלל אינם יודעים איפה המידע שלהם מאוחסן, לכמה זמן, או אפילו כמה טוב הוא מוגן.
כמה פרטי הדוא"ל שלכם?
שירותי הדוא"ל האינטרנטיים ניתנים אמנם ללא תשלום, אולם גם במקרה הזה נכונה האמרה הישנה "אין מתנות חינם". למרות שאינכם נותנים לספקיות כסף מזומן, אתם בהחלט עושים סחר חליפין: המידע האישי שלכם תמורת שימוש בשירות.
כאשר אישרתם את תנאי השימוש - אותה תיבת טקסט שלא טרחתם לקרוא - ככל הנראה נתתם רשות להשתמש במידע האישי אותו הזנתם במהלך ההרשמה. לדוגמא, הסכם הגנת הפרטיות של גוגל מציין באופן מפורש שהחברה אוספת מידע אישי כגון שמכם, כתובת הדוא"ל שלכם, אתרים בהם ביקרתם, ושלל מידע נוסף הנאסף מהטקסט של ההודעות אותן אתם כותבים.
"שם המשחק הוא איסוף מידע על המשתמש", אומר רוב דאגלס, יועץ אבטחה ועורך האתר InsideIDTheft.info. "השירותים הללו ניתנים 'חינם', אבל במקביל הם אוספים על המשתמשים מידע בעל ערך רב בעולם השיווק והפרסום".
אנשים עלולים להיות מופתעים לגלות כמה מידע אודותיהם נחשף ברשת, במיוחד כאשר חברות משלבות נתונים משירותי דואר אלקטרוני אינטרנטיים עם אתרי ווב 2.0 אחרים, כגון הרשתות החברתיות למיניהן. "אתם משאירים אחריכם שובל של מידע ברשת", אומר סטפן נורת'קאט, נשיא SANS Technology Institute.
מי קורא את ההודעות שלי?
די קל (למי שמצויד בידע המתאים) להשיג גישה לחשבונות דואר אלקטרוני של אנשים אחרים, טוען ג'רמיה גרוסמן, המייסד וסמנכ"ל הטכנולוגיה של חברת WhiteHat Security, המתמחה בזיהוי נקודות תורפה באתרי אינטרנט. "אסור לחשוב על דוא"ל אינטרנטי כעל משהו פרטי", הוא אומר. "ישנן דרכים רבות בהן ניתן לקרוא אותו, בין אם מדובר על האקר חטטן, איש תמיכה טכנית סורר של ספקית השירות עצמה, או אפילו רשויות אכיפת החוק המצוידים בצו בית משפט".
ואסור לשכוח את שלל הרשויות הממשלתיות, כמו למשל אלה שאמורות להילחם בטרור. "אם תקראו את האותיות הקטנות של הסכמי הרישוי למשתמש, כמעט תמיד יש סעיף המאפשר לממשלה להתערב", אומר לארי פונמון, המייסד והיו"ר של Ponemon Institute, חברת מחקר המתמחה בנושאי פרטיות וניהול מידע.
המדיניות של גוגל, לדוגמא, היא ליידע כל משתמש במידה ורשויות ממשלתיות הורו לה למסור לידיהן את רשומות הדוא"ל שלו, "למעט במקרים בהם החוק מונע מאיתנו לעשות זאת מחשש לפגיעה בחקירה שעדיין מתנהלת", מסביר דובר מטעמה של גוגל.
שימו לב שלא מדובר על בעיה תיאורטית. בשנת 2006 נמסר לגוגל צו בית משפט מטעם משרד המשפטים האמריקני במסגרתו היא נתבקשה למסור שאילתות שבוצעו על ידי משתמשים שונים יחד עם כמיליון כתובות אינטרנט, כל זאת במסגרת חקירה בתיק שעסק בפורנוגרפיה.
גוגל אינה ספקית שירותי הדוא"ל היחידה שמצאה את עצמה בבית משפט. יאהו למשל זכתה ללא מעט כותרות כאשר סוכנויות הידיעות דיווחו שהחברה מסרה את תוכנם של חשבונות דוא"ל פרטיים לממשלת סין, מה שהביא למעצרם וכליאתם של כמה וכמה מתנגדי שלטון.
בעיית אבטחה ארגונית
הפופולריות הגבוהה של שירותי דוא"ל אינטרנטיים מעמידה גם לא מעט אתגרים בפני מחלקות ה-IT של ארגונים רבים.
מרבית הודעות הדוא"ל הארגוניות מועברות באמצעות שרת SMTP, שסורק אותן הן בכניסה (על מנת לסנן תוכנות זדוניות) והן ביציאה (על מנת למנוע הפרה של מדיניות אבטחת המידע של החברה). אולם זה אינו המצב במקרה של שירותים אינטרנטיים, שנעים דרך שרת ה-HTTP, ובמרבית המקרים אינם עוברים בחינה מדוקדקת, מסביר צ'נשי וואנג, אנליסט בחברת Forrester Research. המשמעות היא שניתן לעשות שימוש בשירותים הללו על מנת להחדיר פנימה סיכוני אבטחה או להבריח החוצה מידע רגיש.
יתרה מכך, יש חברות שגורמות לעצמן נזק מיוחד עקב בורות ומדיניות שגויה. חברות מסוימות אוסרות על העובדים לעשות שימוש בחשבון הדוא"ל הארגוני לטובת הודעות אישיות, מה שלא מותיר להם ברירה אלא לעשות שימוש בחשבון אינטרנטי. "אפילו אם אין זו מדיניות רשמית, אנשים רבים חושבים שזה הדבר הנכון לעשות - להשתמש בחשבון הארגוני להודעות מקצועיות ובחשבון ה-Gmail להודעות פרטיות", מסביר פונמון.
במקרים אחרים חברה עשויה להקשות כל כך על עובדים שרוצים להתחבר לחשבון הדוא"ל שלהם מרחוק, שהם יעדיפו לעשות שימוש בחשבון אינטרנטי, אומר דיוויד קווינגס, מנהל תפעול בכיר בחברת סימנטק. ומחלקות IT רבות מגבילות את הגודל המקסימלי של קבצים מצורפים, כך שאם עובד צריך להעביר קובץ של 2 מגה-בייט, הוא נאלץ לפנות לשירות חיצוני.
מצד שני, הטבע הדינמי של שירותי דוא"ל אינטרנטיים יכול במקרים מסוימים להיות דווקא יתרון, טוענת ג'ן גרנט, מנהלת שיווק בגוגל. "היתרון של שירותים מסוג זה הוא היכולת שלהם להגיב במהירות, כך שברגע שמופיע סוג חדש של תוכנה זדונית, אנו יכולים לעדכן את המערכת שלנו בהתאם, זאת בניגוד למערכות הסטטיות הפועלות על מחשבים ארגוניים. על מנת להתעדכן, הם צריכים להוריד משהו ולהתקין אותו. זה לא מספיק מהיר", אומרת גרנט.
אז איך בכל זאת תגנו על עצמכם?
אם בכל זאת, כמו רבים אחרים, החלטתם לעשות שימוש באחד משירותי הדוא"ל האינטרנטיים, להלן מספר כללי אצבע של "עשה ואל תעשה":
עשה: עשו שימוש בסיסמא חזקה ומיוחדת, ושנו אותה לעיתים מזומנות (אתם יכולים להיעזר בשירותים כגון יישומון ה-Password Security של חברת Security Stats Com על מנת לבדוק את חוזקה של הסיסמא שלכם).
עשה: שנו את הסיסמא שלכם וצרו קשר באופן מיידי עם ספק השירות במידה ואתם חושדים שהחשבון שלכם נפרץ.
עשה: שמרו גיבוי נפרד של חשבון הדוא"ל האינטרנטי שלכם. דרך אחת לעשות זאת היא להגדיר משלוח אוטומטי של כל הודעה נכנסת או יוצאת לחשבון דוא"ל נוסף. לחילופין, גוגל פרסמה הנחיות כיצד לבצע גיבוי של הדוא"ל שלכם לחשבון POP3 חיצוני.
עשה: בררו כיצד ספק השירות מגן על המידע שלכם בתהליך האחסון וההעברה. לדוגמא, האם הוא מאפשר שימוש בהצפנת SSL? האם הוא מצפין את המידע הנשמר על השרתים? האם ישנם גיבויים למקרה של כשל?
אל תעשה: אל תשתמשו בכתובת הדוא"ל שלכם על מנת להירשם לשירותים אחרים. אם תעשו זאת, וחשבון הדוא"ל שלכם ייפרץ, ההאקר יקבל גישה מיידית לכל אותם שירותים.
אל תעשה: אל תשתמשו בשירות האינטרנטי על מנת לשמור הודעות ישנות. עדיף לגבות את ההודעות על כונן מקומי ואז למחוק אותן מהשירות.
עשה: היו זהירים כאשר אתם בודקים את חשבון הדוא"ל האינטרנטי שלכם ממחשבים ציבוריים במקומות כגון שדות תעופה, ספריות וכדומה. וודאו שלא הותרתם אחריכם שום קבצי cookie ושמחקתם את כל המידע האישי. ואל תשכחו שגם המחשב בעבודה למעשה אינו שלכם.
עשה: מתי שניתן, עשו שימוש בחיבור HTTPS מאובטח.
כך תגנו על הדואר האלקטרוני שלכם
IDG
29.4.2008 / 15:26