הרצאות בנושא  דיני עבודה

אבטחת מידע : האפשרויות לשיפור התנהגות האבטחה, כולל עצות פרקטיות. שי כהן

חזור לרשימת הרצאות בנושא דיני עבודה

אבטחת מידע

האפשרויות לשיפור התנהגות האבטחה, כולל עצות פרקטיות. שי כהן

אתר עוקץ, טסטמי שנרשמתם, קריירה, אז עבדתם דרך דברים שאני אחראי עליהם. אז לי קוראים שי כהן והנושא שלנו היום הוא לא אתר טסטמי אלא הוא אתר, איך אנחנו שומרים על האבטחה כדי שיישאר לכם מחשב לעבוד, לעשות את כל הדברים הנהדרים ששמענו מקודם, עדיין צריך מחשב.

לכן אנחנו היום נעשה הרצאה שהיא מאד פרקטית, בלי יותר מידי סיפורים עם דברים מעשיים שאתם לוקחים איתכם הביתה, זוכרים ויודעים מה לעשות. זה מסך מחשב שאני בדרך כלל בכל הרצאה שאני נמצא, יש איזה כמה שהיה להם את העונג הלא מכובד להיפגש במסך הזה. אני לא יודע אפילו אם יש פה כמה, אם יש פה מישהו שנתקל בזה מוזמן להגיד.

זה מחשב שנחטף. אתם קמים בבוקר, באים לעבודה, מדליקים את המחשב, או בבית דרך אגב, אתם רואים הודעה מבהילה מהסוג הזה שאומרת לכם: "תשמעו", דרך אגב, יש להם שירות לקוחות מעולה אתם רואים, כתוב פה איך אפשר לשלם, איך פונים אליהם, איפה מעבירים, חשבון בנק. לא יחזירו לכם כלום, לא צריך לשאול יותר כלום. והם רוצים כסף.

עכשיו, כל המחשב שלכם נעול, אוקי? אתם לא תוכלו לעבוד איתו. הוא מה שנקרא מוצפן. זאת אומרת, החומר בפנים לא נגיש. אפשר לשלם ויש דרך אגב גופים שלרוע המזל נאלצו לעשות את זה. לא בטוח שיפתחו לכם את המחשב, זאת אפשרות, אבל זה לא מובטח שיפתחו לכם את המחשב. בכל מקרה, למסך הזה אתם לא רוצים להגיע. כדי לא להגיע למסך הזה אנחנו חייבים-

שאלה מהקהל: זה קורה גם כשהמחשב כבוי?

זה לא קורה כשהמחשב כבוי אבל זה קורה, תכף מיד אנחנו נראה מתי זה כן קורה.

עכשיו, לפני שאנחנו נתחיל להגיע לאיך להימנע מהמסך המבהיל שנועל לנו את כל המחשב, יש לי בשבילכם חידוש.

אתם לא ידעתם אבל המידע שאתם מחזיקים ומחזיקות הוא המידע המבוקש ביותר על ידי עובדים אחרים בחברה. ותשמעו, זה עניין אנושי, כולנו יודעים שהיינו נורא רוצים לדעת כמה מרוויח השני. כמובן שחשבות וחשבי שכר לא צריכים לדעת כמה מרוויח השני כי הם יודעים הכל, אבל אלה שהם לא, מאד מתעניינים לדעת כמה מרוויח מישהו אחר וזה באמת אחד מהמידעים שאנשים מאד רוצים לדעת ולכן זה אומר שהמידע שלכם הוא מטרה.

כמובן שאם אני חוזר למסך האדום, תדעו לכם שזה בעלייה מתמדת משום שזה אחד מסוגי הפשע הקלים ביותר לעבודה. שולחים לכם אימייל, שולחים לכם תמונה, אנחנו עוד מעט נראה דוגמאות. שולחים לכם קישור מפייסבוק, חבר חדש הגיע אליכם ויש שמה איזה לינק ללחוץ, אתם לוחצים על זה ובזה הרגע ירדה תוכנה למחשב בלי שאתם יכולים לעשות איזשהו משהו נוסף והיא מתחילה בלשון שלנו לטחון את הדיסק.

היא מתחילה פשוט לשמור קובץ אחר קובץ, היא מפעילה עליו נעילה ובזה נגמר המחשב. הדבר הזה עולה משום שמאד קל לעשות את זה.

שולחים אימייל, בתוך האימייל יש תוכנה ואם אנחנו נראה, אני לא יודע אם זה משמעותי אבל כיום כולם מדברים על זה, אז גם אנחנו נדבר על זה.

אם תשימו לב, יש פה איזה מילה קטנה: how do I pay?, איך אני משלם? ביט כהן. אתם רואים, היום כולם מדברים על ביט כהן אז גם אני הבאתי ביט כהן להרצאה שלנו. ולמה ביט כהן? כי זה כסף ללא עקבות. אז יש לנו פה פשע שהוא נורא קל לביצוע.

שולחים אימייל, מישהו לא שם לב, לוחץ עליו, המחשב ננעל. עכשיו אתם צריכים להעביר להם כסף, הכסף עובר בצורה שאין לו עקבות. אי אפשר למצוא את הבן אדם. לביט כהן אין אפשרות לעקוב אחריו. זה לא איזה העברה בנקאית, כרטיס אשראי, אין לאן ללכת.

לכן הדברים האלה כמו שראיתם בגרף, הם בעלייה והם ימשיכו לעלות עוד ועוד. פשע הכי קל שאפשר. עכשיו, ניתן לעשות הרבה דברים כדי למנוע את הדברים האלה, ושני הדברים בעיקר מתחלקים לשני סוגים.

סוג אחד זה מה יכול לעשות הארגון, החברה, המקום שאתם עובדים בו, המוסד, זה מחוץ לתחום ההרצאה שלנו משום שזה לא בידיים שלנו כרגע ולכן אני רוצה להתעסק רק בדברים שמעניינים את ההתנהגות האישית שלנו. מה אנחנו יכולים לעשות כדי למנוע את זה. ותתפלאו, אנחנו יכולים לעשות המון.

החוליה החלשה ביותר באבטחת מידע בהינתן שלא כל אמצעי האבטחה מותקנים בארגון ובצדק, יש להם עלות פנטסטית. 7 ספרות בעניינים של אבטחה זה לא מספר מופרך, ויש מספרים מטורפים, עלויות מטורפות בנושא אבטחה באמת עד הסוף. ולכן אם לא הכל מותקן, יש לנו את האחריות האישית שלנו ועליה אנחנו הולכים היום להתרכז.

ועוד פעם אני אומר, כללים פשוטים, שום דבר טכני, שום דבר מסובך לזכור. דברים פשוטים שתקחו אותם איתכם ותלכו הלאה. יש לנו פה בחור ידוע, מישהו מכיר אותו? יפה, אני אספר לך, לזה קוראים מרק צוקרברג והוא הבעלים של פייסבוק. עכשיו תראו, למה שמתי אותו? כי אם הייתי שם תמונה שלי זה לא היה אומר לכם כלום, הייתם אומרים "טוב נו". אבל הוא בחור ידוע ותראו מה הוא עושה הבחור הזה וזה לא פלא. שימו לב, סימנתי לכם בעיגולים שיהיה קל. כאן יש סלוטייפ, איזוליר-באנד, וכאן יש איזוליר-באנד. שני האיזוליר-באנד האלה, לא תאמינו ולא עשיתי את זה לכבודכם. כל המחשבים שלי ככה, רואים?

שאלה מהקהל: במחשב נייח איפה שמים?

במחשב נייח יש לך מצלמה בצד. שימי עליו מגבת. מגבת, משהו.

זאת מצלמה. ואני לא מעוניין שהמצלמה שלי תהיה גלויה ולכן אין מחשב אצלי שאין עליו איזוליר-באנד. וכמו שאתם רואים, יש עוד כמה שחושבים שזה נכון.

עכשיו, למה הוא שם מדבקה בצד? בצד אין מצלמה. אנחנו עוד נגיע למה, אל תדאגו, זה בהרצאה שלנו. זה נכון לעשות את זה, כמובן שזה קצת פרימיטיבי אבל זה יותר טוב מכלום. המדבקה למטה. אוקי? מדבקה למעלה כמו שאתם רואים, גם אני עושה. תראו, למה הוא באמת שם את זה ולמה באמת אני שם את זה? כי איש אבטחה אמיתי יודע שאחרי כל ההגנות שאנחנו נעשה, יכול להיות שתהיה איזושהי פרצה שעד שאנחנו נחסום אותה היא תקרה. אוקי? מישהו יצליח לחדור. וסביר להניח שבחור מפורסם מהסוג הזה כמובן לא רוצה תמונות אינטימיות שלו רצות בכל האינטרנט כי מישהו הצליח לחדור למצלמה ולצלם שמה חופשי.

עכשיו, לא רק מצלמים תמונות מהסוג הזה שהוא פחות מעניין מבחינה עסקית או מהבחינה שאנחנו מדברים עליה בחברה, אפשר פשוט לצלם את החברה כולה, מסמכים, מי מגיע. יש חברות שעושות את זה.

עד לפני דרך אגב, תתפלאו, עד לפני לא הרבה שנים היה מאד קל לשלוט על כל המצלמות. אז חלק מהחברות תפסו את עצמם והתחילו להגביל גישה, אבל פעם הדפדפן הפשוט שלנו, אינטרנט, כרום, פיירפוקס, היו פשוט מאפשרות גישה חופשית אוטוסטרדה ישר למצלמה שלכם, ואנשים עשו את זה.

עכשיו תראו, כל הנושא הזה, אנחנו מיד נגיע אליו. גם למה יש איזוליר-באנד פה, כבר אמרתי במצלמה, ותכף נגיע למה יש איזוליר-באנד שמה למטה, זה כניסת USB, כבר אמר פה ציקי יפה ואני חוזר על זה, כן, אני אסביר גם למה בכניסת USB. עכשיו, אנחנו נעבור באמת איך להימנע מכל הדברים האלה ואנחנו נדבר על מושג שאולי שמעתם שנקרא הנדסה חברתית.

עכשיו, הנדסה חברתית זה נשמע נחמד, מהנדסים פה ושם אבל באמת שאנחנו מתכוונים לביטוי העממי של "בא'נה, הנדסתי אותו". בעברית פשוטה "בא'נה, סידרתי אותו. הצלחתי לעבוד עליו בעיניים, הוא האמין לי, עשיתי את זה". אחד הדברים, אני אראה לכם פה דוגמאות זה מיד בשקופיות הבאות, אחד הדברים שיש לנו זה הונאות דרך האימייל.

האימייל הפשוט, הרגיל שאנחנו מכירים. תכף תראו כמה דברים, הבאתי כמה דוגמאות שהם לא מייצגות. יש כל כך הרבה אפשרויות. גוגל טוענת ש-50% נופלים. אני רוצה לגלות לכם סוד, אני לא גוגל, אני לא מתווכח איתם, זה יותר קרוב ל-90%, ויש חברים שעובדים בתחום שטוענים שיש להם חברות שמצליחים להפיל 100% מהעובדים. אמיתי לגמרי.

אז גוגל יותר נדיבה, אני אומר לכם שהמציאות היא יותר קשה. עכשיו תראו, יש לנו את רפאל, כולם מכירים, רפאל, רשות לפיתוח אמצעי לחימה. חברה גדולה, עושה טילים, עניינים, אבל היא גם עושה סייבר ומוכרת דרך אגב במאות מיליונים את הסייבר שלה. הנה הם בעצמם אומרים שזה 90%, ואני אומר לכם שבמציאות שאני מכיר פישינג מפיל 90% ואל תחשבו שלכם זה לא יקרה.

אני אתן לכם דוגמא קטנה, אתן רגילות לטפל, רגילים/ות לטפל בתלונה של מישהו, למה את לא עונה לי? איפה התשובה שלי? כבר שלחתי לכם פעמיים, אני לא מקבלת תשובה. נכון? מסתכלת, רואה, נכנסות ללחץ, מה נעשה? יש שמה לינק, אתם לוחצות עליו, בזה נגמר העניין, לא צריך יותר. הלינק הקטן הזה גמר את המחשב, הלינק הקטן הזה.

שאלה מהקהל: זה יכול להיות מייל שאתה מכיר?

יכול להיות מייל שאתה מכיר בהחלט עם אפילו שם שאתה מכיר. אפשר לשנות גם את הכתובת, אפשר לעשות הכל. הקטע הוא הלהנדס אותו הוא להכניס אתכם רגע לאיזשהו בלאק-אאוט מוכר, כמו למשל "למה את לא עונה לי? איפה התשובה שלי?" אתם נכנסים ללחץ, בום לוחצים על זה, נגמר המחשב.

צריך להזמין עכשיו את אנשי אבטחת המידע שיבואו לעשות כל מיני עניינים ובינתיים יש בלאגן שלם. אז הנה כמו שאתם רואים, החבר'ה פה, הרשות שלנו לפיתוח אמצעי לחימה גם יודעת את זה, עושה את זה. כאן הבאתי איזושהי דוגמא של בחור שהצליח.

זאת דוגמא קטנה דרך אגב בסכום קטן. בואו נראה רגע אימייל, לפני שאני אראה לכם את האימיילים אני רוצה, אמרתי שהשיעור הזה הוא פרקטי עם עצות פשוטות שקלות לזכירה. אתם לא לוחצים על לינקים באימייל שקיבלתם, אלא אתם מתקשרים למקום ששלח לכם. שזה נורא קל.

אחרי שמבינים את זה, זה נורא קל לעשות את זה. אתם הופכים את זה להרגל שלכם משום שכל מי ששלח לכם, אם זה אמיתי, זה מופיע אצלו באתר. אם לדוגמא, עיריית תל אביב, זאת דרך אגב, זה אימייל אמיתי. עיריית תל אביב שלחה לכם הודעה. דרך אגב, זה אימייל מזויף לחלוטין. שיהיה ברור, זה אימייל פישינג אמיתי.

שולחים אותו עם הלוגו של עיריית תל אביב ועם דף רשמי ועם הכל, הרי מה זה? קלי קלות. לוקחים איזה מכתב ששלחה עיריית תל אביב, יש שמה את הלוגו, הופ שמים את זה, מדביקים על זה טקסט, ווי, נראה עיריית תל אביב. עכשיו תראו, אנחנו יודעי מה קורה בתל אביב. לא הספקת להגיד 1-2-3 יש לך דו"ח. שמת את האוטו, דו"ח.

כל אחד יודע שיש דו"ח בעיריית תל אביב. חנית פעם, בום, קיבלת דו"ח. שולחים לך תשמע, יש לך דו"ח. אתה נכנס כבר ללחץ, ווי, בחיים לא הייתי בתל אביב, לא הייתי בשנתיים האחרונות בתל אביב, מה הם רוצים ממני? כבר אנשים נכנסו לבלאק-אאוט.

תבינו, זה אמיתי, זה ככה עובד. ואז הם אומרים לך: "תקשיב, אנחנו נפתח לך תיק בהוצאה לפועל 72 שעות". מה שנקרא אוי ואבוי. תיכנס לאתר הגביה. אתם רואים את הכחול הזה? זה מה שהם מחפשים שתעשו. ולכן הכלל שאמרתי, לא לא לא לא, יש לעיריית תל אביב אתר, תיכנסו בפנים, יש להם גם שירות לקוחות.

תאמינו לי, כשרוצים לשלם להם כסף הם עונים מה זה מיד, בשניה הם עונים. אין לכם מה לדאוג, כסף הם תמיד עונים. יש שם תמיד מלא אנשים שעונים לכם. אתם נותנים את התעודת זהות שלכם, גם באתר דרך אגב, נותנים תעודת זהות, אומרים לכם שלום, תעודת זהות זאת טטם כן, יש לך דו"ח כזה וכזה. אתה רוצה לשלם אותו? או שפשוט לא מופיע כלום. לחצתם על הלינק הזה, סידרתם לעצמכם באפשרות די גדולה, ללינק הזה הספציפי כן, כי זה לינק אמיתי, זה אימייל אמיתי של רמאות. לחצתם על הלינק הזה, סידרתם לעצמכם ים של בלאגן. אמיתי, וגם דרך אגב, ים של הוצאות.

שאלה מהקהל: אז אף פעם לא ללחוץ למייל ששולחים לי?

לא. להתקשר אליהם. עכשיו תראו, אני תכף אתן לכם עוד דוגמאות. אתם צריכים להבין שהדבר הזה לובש המון פנים. אני לא יכול לכסות את כל הפנים כי הניסיונות לרמות את האנשים הם אינסופיות. הרי לכל אחד יש המצאה שהוא יעשה. יש אינסוף אפשרויות. לדוגמא, קיבלתם מתנה. כמה פעמים ראיתם אימייל שקיבלתם הנחה, מתנה ורק תלחצו פה.

עכשיו תשמעו, אני לא אומר שזה לא אמיתי, הרי כל הרעיון של ההתחזות הוא להיות כמו משהו שמכירים. כן, יש הנחות ששולחים. אבל תבינו, אם אמזון תתן לכם הנחה, זה מופיע בגדול באתר, תאמינו לי. תיכנסו לאתר שלהם, זה מופיע. זה מופיע.

למה אני אומר את זה? אני אומר את זה כי יש סוג של מרצים שכבודם במקומם מונח והם סבבה לגמרי שמנסים ללמד את הקהל מה שנקרא: "בואו אני אלמד אתכם איך לזהות אימייל מזויף". הבעיה היא שכמו שראיתם, גוגל אומרת 50% נופלים ואני אמרתי 90% ורפאל גם אומרת, אני אומר לכם שמספר האפשרויות להטעות אתכם הוא כל כך גדול שאין טעם ללמד את זה.

החל מהכתובת וזה, את כל זה אפשר לזייף ולכן אין טעם להתחיל, בואו תעשו סימנים. היה לי את זה פעם, הייתי אומר לאנשים: "תקשיבו, בואו תראו, הכתובת היא לא ככה, פה האות שמה, פה יש אפס, פה ככה, אל תיכנסו" לא לא לא. אני אומר לכם זה הדרך הבטוחה לזה שבאחד השלבים אתם דורכים על מוקש, בום, נגמר הסיפור. אל תיכנסו לדברים האלה, תיכנסו לאתר. לאמזון יש אתר, נכון? תיכנסו תראו, אם יש הנחה, מבטיח לכם, הם לא ישמרו את ההנחה, הם ירצו שתקנו. ההנחה שם.

אם יש לכם קנס בעיריית תל אביב, זה גם שם. זה לא נסתר, זה לא רק באימייל. והנה דוגמא מדהימה דרך אגב, של אימייל אמיתי שאם הייתי, זה לא זיוף, זה אימייל אמיתי. שאם הייתי צריך ללמד אתכם סימנים לאימייל מזויף, הייתי לוקח אותו בתור דוגמא. אמיתי לגמרי ואני אראה לכם למה.

זה אימייל של מחלקת האבטחה, לא תאמינו, של סלקום, נטוויז'ן. הם קנו את נטוויז'ן. זה אימייל אמיתי. כשקיבלתי אותו בהתחלה הייתי בטוח: תקשיב, מישהו עלה על רעיון מדהים. גילו דרך אגב, אני לא יודע אם אתם יודעים, זה חומר מקצועי, לא נראה לי שזה עניין אתכם אי פעם או ששמעתם את זה או שטרחתם לזכור את זה, לפני בערך כשלושה חודשים התפרסם שהראוטרים, ראוטרים זה מה שמזרים לנו את האינטרנט, הראוטרים שנמצאים אצלכם בבית או במשרד, יש בתוכם פרצת אבטחה כבר ברמת החומרה, ברמת הברזלים ממש וצריך לעדכן את זה. אוקי? אני בטוח תכף שבכתה הזאת אין מצב שיש פה ארגון אחד שאין את זה. מבטיח לכם.

אלא אם כן יש לכם איזשהו איש אבטחה ממש עירני. אבל ברוב המקרים שאני אומר אתם לא עדכנתם את זה. Anyway, החבר'ה החליטו לעשות טוב, הם שלחו אימייל. הם שלחו אימייל שאומר לאנשים: "תקשיבו, בואו תעדכנו את החומרה שלכם כי זה חשוב". אבל איך הם שלחו את האימייל? שלום. אין שם. הרי הם שלחו את זה אלי, יש לי חשבון. אין "שלום שי" "שלום שי כהן". אין כלום, שלום. כבר משהו פה לא בסדר. אם הייתי צריך ללמד אתכם איך לזהות אימיילים כאלה.

אחר כך אתם רואים שהם למטה כותבים איזשהו משהו בלתי ברור, הברכה שלהם אפילו לא זה, רק את הלוגו. אני בכוונה לא עמדתי על כל האימייל, אבל גם אם הייתם רואים את הכתובות, אפילו לא כתוב סלקום, כתוב איזושהי שם של איזה אבטחה של איזה מחלקה שמה, בקיצור הזוי לגמרי. עדיין, אתם וזה דרך אגב אימייל מאד חשוב. אתם מקבלים אימייל כזה, אתם מרימים טלפון לסלקום או פשוט נכנסים לאתר, נטוויז'ן, כן? סלקום-נטוויז'ן, נכנסים לאתר ואתם רואים מה באמת הם רוצים.

דרך אגב, תקבלו בונוס נוסף כי סביר להניח שאם אתם מנויים שלהם אז כבר יש לכם שירות תמיכה שידריכו אתכם בדיוק איך לעשות את זה, אוקי? זה לא רק ללחוץ על הלינק הזה, צריך לעשות פה עוד קצת עבודות ויש פה כלים שאני לא חושב שאדם מן השורה רגיל שזה לא המקצוע שלו יצליח להתמודד איתם. אז כבר הרווחתם פעמיים. גם תגלו שזה אמיתי וגם תקבלו הדרכה איך לעשות את זה. אז זאת אחת הדוגמאות למה לא לנסות לחפש אם האימייל הזה מזויף? פשוט תתקשרו לכל מיני אימיילים מפתיעים.

שאלה מהקהל: אם אנחנו מגיבים למייל שקיבלנו?

ההגבה לא מעניינת. הדבר היחידי, שאלו פה, אם אנחנו מגיבים לאימייל, האם קורה איזשהו נזק איום ונורא? התשובה היא: "לא". הרעיון מאחורי האימיילים האלה הוא הלינקים. אתה לוחץ על הלינק, יורדת תוכנה, התוכנה גמרה את המחשב. זה עד כדי כך קל.

התוכנה ירדה, למחוק, למחוק ולעשות עוד משהו, אני מיד אגיע לזה, למחוק ולהודיע למחלקת המחשוב. לא סתם, למחוק ולהודיע לאיזשהו מישהו. אוקי? שקרה דבר כזה. עכשיו תראו, זה דוגמא ל-SMS. את ה-SMS  הזה שלחה חברה מאד ידועה שקוראים לה "מיטב דש". דיברתם על פנסיה, הנה, מיטב דש שלחה פנסיה.

ומה היא שלחה? אנא הכנסו לרישום החשבון שלך במיטב ד"ש. ללינק הזה אנחנו קוראים "לינק מקוצר", ללינק הזה אנחנו קוראים לינק מקוצר, באמת כתוב פה tiny, זה קטן. URL קטן. למה משתמשים בו? במקום לכתוב meitav-dash בלבלבלה שעה שלימה כזה, אומרים: יהיה משהו קטן שהם יוכלו לזכור אותו.

עכשיו, אני לא יודע אם יש לכם טלפונים, אבל אני לפחות יודע שבחלק מהמכשירים שאני ראיתי, LG, טלפונים בטוח יש לכולם, בלי טלפון זה כמו שאין יד. אבל טלפונים שלפחות אני מכיר, אני ראיתי LG, כשאתם מנסים ללחוץ על SMS שיש בתוכו לינק, LG עושה מעשה דרך אגב גדול, היא פותחת מסך התראה רציני ואומרת לכם: "אתה בטוח שאתה רוצה ללחוץ? זה יכול להיות מסוכן- בטל".

עכשיו, יש את זה בעוד חברות, אני לא עושה פרסומת ל-LG, זה לא LG, ה-LG נשבר אז לקחתי לי את התחליף, תחליף אחר, אני לא עושה פרסומת ל-LG, אבל אני פשוט רוצה להזהיר אתכם: טלפונים זה כמו מחשב ואפילו יותר מזה. כי תזכרו שלפעמים אתם מבקשים דברים מאד רגישים בטלפונים.

תן לי את הסיסמא, תעביר לפה, תעשה לי את ההוא, את העניינים האלה אל תלחצו על הלינק הזה. מיטב דש רוצה לעשות, והם לא היחידים, כן? חס ושלום אני לא מתלבש עליהם, יש הרבה שעושים את זה, חברה רוצה לעשות שטויות מהסוג הזה, אתם זהירים, זהירות, מתקשרים אליהם, רואים מה הם רוצים. לא דרך הזה. אם הדבר הזה הוא אכן תוכנת כפר או נוזקה מסוג אחר, היא משתלטת לכם על הטלפון ובלי פורמט מלא של הטלפון, לא תקבלו אותו בחזרה ותזכרו שיש להם בטלפון אפשרויות לחייג לחוץ לארץ, לעשות הרבה דברים מועילים שעולים הרבה כסף, אתם לא רוצים את זה בטלפון שלכם. חוץ מזה שטלפון זה דבר כמו יד היום, אתם לא רוצים לאבד את הטלפון. לפעמים לא אכפת לכם שהמחשב ילך, את הטלפון אתם לא רוצים לאבד, אוקי? אז לא ללחוץ על לינקים מקוצרים מהסוג הזה ב-SMS. מיטב דש יש לה משהו ממכם, תתקשרו אליה. זה שהיא שולחת לינקים כאלה, בעיה שלה. תציפו לה את השירות לקוחות או תיכנסו לאתר, אתם לא לוחצים על זה.

שאלה מהקהל: זה לא היא שלחה.

מה זה משנה? מי שאמר לשלוח, שלח. לא עושים את זה ככה. אני בכל אופן מבחינת אבטחת מידע ממש אומר לכם חד וחלק, לא ללחוץ על לינקים כאלה, זה ממש יכול להיגמר באובדן מלא של הטלפון וזה קורה כל הזמן.

יש לנו עוד סוג של הנדסה חברתית שזה הסוג שמתקשרים אליכם וכאילו מכירים אתכם. עכשיו עוד מעט אנחנו נגלה למה מכירים אתכם ממש טוב. בסוג הזה הם רוצים שתעשו איזשהו משהו במחשב. עכשיו תקשיבו, זה נשמע לכם משהו הזוי, מה מתקשר אלי אני עושה במחשב? לא עושה כלום. מתקשר אליך משה הטכנאי מחברת, שם של חברה מכובדת.

תקשיב, אנחנו עושים כרגע שדרוג כולל לתוכנת שכר או לתוכנת משכורות או לתוכנה לא יודע איזושהי תוכנה שלכם, או למחשב כולו. כן, זה ייקח ממך בדיוק שתי דקות. אני שולח לך משהו,  תגיד לי אם קיבלת? ואז הוא שולח לך משהו שטותי, כן כתוב פה שלום. אוקי, מה כתוב פה? בום, זהו נגמר. אוקי? ככה זה עובד.

אז אם אתם מקבלים מישהו כזה, אני יודע שזה לא נעים. בא בן אדם מדבר איתכם, אתם רוצים לעזור. כולנו אנשים ידידותיים, רוצים לעזור לזה, במקרה הזה אתה אומר לו: "סליחה, אני לא מכיר, הולך לשאול". תבדקו את זה, יש המון דברים כאלה. אבל המון.

אתם רואים "לא מכיר אותך". כתבתי פה. לא מכיר, הולך לברר. עכשיו תראו, בדיוק דיברתי על המשה הזה שמתקשר והוא נשמע מאד מכיר אותנו. עכשיו אתם מבינים שאין לזה פלא היום. לפני שאני אדבר על הרשתות החברתיות, אני רוצה לספר לכם שבאתי עכשיו, הייתי בפגישה בתשע בקרית עתידים. כולנו מכירים את זה.

עכשיו אני מגיע לשם אני כבר יודע אין מה, ישר אני נכנס לחניון הגדול של האורחים. יש להם חניון אורחים שש קומות, ישר אני נכנס לשם. אבל כשאני הולך בדרך ברגל אני רואה את כל החניות, תבינו יש שמה קטע לא נורמאלי, כל חניה שמה יש את המספר רכב ואת השם.

שולה כהן, כל השמות של העובדים עם הטלפונים על המדרכה. אחר כך מדברים איתי על אבטחת מידע וכותבים את הכל על הכביש, אוקי? עכשיו זה מדהים כאילו. מדהים כאילו אתה פשוט לא מאמין. אותו דבר אנחנו עושים ברשתות החברתיות.

עכשיו, אמרתי שההרצאה הזאת היא פרקטית. אני לא מתכוון להגיד לכם לסגור את הפייסבוק. לא מתכוון. אני בן אדם עם מידה מסוימת של היגיון, אתם לא הולכים והולכות להפסיק להשתמש בפייסבוק. אבל אתם צריכים לזכור כמה דברים וכמה דברים קטנים לא לעשות. אחד, תבינו שהיום מכירים אתכם. אם מישהו רוצה לשבת ולעשות עליכם מחקר קטן, הוא יודע מי אתם. דרך חבר של חבר של זה, הנה תמונה ווי האירוע, הבת, הבן, הבעל. יודעים הכל. הכלב, החתול, הכל יודעים, אוקי? לא בעיה למצוא תקשורת כי המידע שלכם שם. אז להיזהר.

אם פעם היה מספיק שמישהו יגיד לכם שתי מילים ואתם תגידו: "וואלה, אני מכיר אותו, ההוא מכיר אותי". היום זה לא ככה. היום אפשר לעשות עליכם מלא מחקרים ולהגיע מה שנקרא מתורגטים. עכשיו תשאלו שאלה, מה אני הקטן או אני הקטנה, מה פתאום שיתרגטו אותי? מה, אני מהמוסד? התשובה היא: לא, אתם לא צריכים להיות מהמוסד.

מספיק שאתם עובדים נניח בגוף שמעניין מישהו שהוא רוצה להשתלט לו על המערכת מחשוב. הוא לא צריך ללכת למנכ"ל, מספיק שהוא מחפש לו איזשהו מישהו שם, אוסף עליו קצת מידע. כל מה שצריך, אני מזכיר שוב, כל מה שצריך זה שאתם תעשו את הטעות הקטנה, תלחצו על איזשהו לינק שיגרום לזה שהמחשב שלכם איננו. כלומר, הוא ישנו אבל לא שלכם.

אוקי? דרך אגב, ברוב המקרים לא יקרה כלום. אני חייב להגיד לכם. אתם תלחצו על הלינק ולא תחשבו שקרה כלום. שום דבר. למה? משום שהיום הפורצים הם הרבה פחות טפשים ממה שהם היו פעם. מה שאומר שהם מתקדמים, אתם רואים, אבולוציה. בהתחלה הייתם נכנסים ואז הם היו כותבים לכם: "חה חה, הרסתי לכם את האתר" ושמים כל מיני תמונות זה, ויאללה ביי. הייתם קוראים לאיש מחשוב, הוא היה מסלק את זה, תודה רבה שלום. באותו רגע גומר את כל הסיפור עם נזקים כאלה ואחרים, גיבוי, שחזור, הכל סבבה.

היום הם הרבה יותר מתוחכמים. הם משתלטים על המחשב ומשאירים את זה ככה בשקט. הם מתחילים להזרים חומר החוצה. כל מיני חומרים. או שהם פשוט נותנים לזמן לעבור וקופצים מהמחשב שלכם למחשבים אחרים. לכן אני עוד פעם אומר, הדברים האלה הם כולם תלויים בנו. אנחנו לא לוחצים על לינקים שאנחנו לא מכירים.

אנחנו לא לוחצים על לינקים באימיילים, לא עונים לאסמסים שיש להם קיצורים וגם לא אימיילים שיש להם קיצורים. אנחנו  פשוט יכולים להתקשר למקום ולראות מה קורה. בסדר? עכשיו תראו, כמו שאמרתי, אין לי שום כוונות לבוא עם דרישות הזויות כמו לא להשתמש בפייסבוק ודומיו. פייסבוק, בי-קונטקט, כל מה שאתם רוצים.

אבל תשתדלו לפחות כמה עצות לעשות. כמה פרטים אישיים תשתדלו טיפה לצמצם. זה לא ממש יעזור, בסדר, לפחות לא על העבודה ותפקיד כי אז יותר קל לאנשים להינעל עליכם ישירות למה שאתם עושים. אירועים בזמן אמת, זאת הנקודה הכי חשובה. אירועים בזמן אמת זה עוד שיטה, היום הפורצים הם גם פורצי הייטק, ודרך אגב, תבינו, זה קורה כל הזמן. במקום להיכנס לבית ואז פתאום אני פוגש את הבעל בית, כמו הסיפורים שאתם קוראים לפעמים בעיתון "פורץ נכנס לבית והאישה התעוררה" או "הילד התעורר" או כל מיני דברים מבהילים מהסוג הזה.

היום הם אומרים: בשביל מה אנחנו צריכים את הצרות האלה? הם מסתכלים בפייסבוק, הנה יש תמונות בלייב, אתם עכשיו בתור האירוע, הודעתם שאתם הולכים לחתונה. סימנתם אירוע, אני בחתונה הזאת. הוא מסתכל, ווי, אתם גרים בראשון, החתונה באילת. איזה יופי, יש מלא שקט. יאללה מביאים את המשאית.

דרך אגב, זה קורה, מביאים משאית, אתם מגיעים, הבית ריק. כמובן שאם אתם בחו"ל הבאתם לו סבבה, הוא מביא סמי-טריילר, לוקח את הכל. אוקי? אז לפחות לא בזמן אמת. עכשיו תראו, אני יודע, לשתף תמונות, הרי בשביל מה נסענו לטיול אם לא בשביל הסלפי שלנו עם הטיול? אבל בואו נעשה את זה אחרי שחזרנו.

שאלה מהקהל: שמעתי שחברת ביטוח לביא לא פיצתה אנשים שהודיעו.

חברות ביטוח עושות כל מיני צרות. הרי כל הרעיון שלהם הוא להשאיר את הכסף כמה שיותר אצלהם ולקחת כמה שיותר, אז אני לא נכנס למה היה בזה. אבל כן, בעיקרון יכול להיות שהם יבואו יגידו: תקשיב, אתה שותף פעיל לזה שהצליחו לרוקן לך את כל הבית. בית, משרד, עסק, מה שאתם רוצים. לגבי דברים שקורים בעבודה, זה באמת, טוב זה היגיון שכל ישר.

אם יש לכם איזה משהו שאתם הולכים להכניס, בבקשה לא בפייסבוק, לא ברשת החברתית, כי מה שכתבתם כבר לא שלכם, שיהיה ברור. לא שלכם, נעלם, מופץ לחברים. החברים של החברים ולכאלה שאפילו לא ידעתם שהם חברים. אולי הם גם אויבים.

הנה, יש לנו דוגמא, יש לנו מהנדס אפל חביב, לא יודע אם שמעתם על זה. הביא את הילדה החמודה שלו לעבודה, אתם יודעים, חברות הייטק זה חברות נורא מתקדמות. תביא את הילדה, תביא את הכלב, תביא את החתול נעשה לך פינה, יש גננת. הביא את הילדה, הילדה באה עם אני מקווה עם טלפון של אפל, בכל אופן חברת אפל, אני לא חושב שהוא קנה לה משהו אחר. והתחילה לצלם את אבאל'ה בעבודה כשבמקרה על המסך שלו יש את המכשיר החדש שאפל היתה צריכה להוציא בעוד איזה חודשיים. ואז היא כמובן אמרה לחברות שלה, תראו איזה יופי, איזה דברים חשובים אבא שלי עובד. ואבא שלה, אני לא יודע, בישראל יש שימוע ועניינים אבל בארה"ב יש ארגז, הארגז בדלת, הביתה. אין שימוע.

עכשיו, יש פה שני דברים מאד חשובים. אמרתי עצות מעשיות. יש לנו את המודעה הזאת. המודעה הזאת יש לה שני סוגי נזקים, אני תכף אסביר מה היא. נזק קטן שאני בכלל לא מתייחס אליו, אני אתייחס אליו אבל עזבו, הלוואי שזה ייגמר בזה. נזק גדול.

זאת פרסומת "בוא תקנה משקפי ray-ban. כמו שאתם רואים, וואלה, איזה לינק. לא דומה לרייבאן. אפילו אחד שלא יודע אנגלית יודע שזה לא רייבאן. אוקי? יש אמנם R מזכיר רייבאן אבל זה לא זה. אוקי? עכשיו תבינו, דרך אגב זה עובד ככה על המוח.

תתפלאו, זה עובד ככה על המוח. הם לא במקרה שמו את זה. רייבאן, שמו לכם R, תבינו, המוח משלים אוטומט. למוח יש השלמה אוטומטית של המון דברים שאנחנו אפילו לא שמים לב. השלים לכם את זה, זה נראה לכם רייבאן. וואלה, יש בחור, יש משקפיים, יש מחיר מדהים, אוקי? ואתם קונים. עכשיו תראו, אם קניתם 16 פאונד והכסף התאדה, וואלה, יש נזקים יותר גרועים מאשר לאבד 16 פאונד, יורו, שקל, דולר, כסף קטן.

הערה מהקהל: כרטיס האשראי אצלם.

כרטיס האשראי אצלם זה כבר, תכף אנחנו נראה איך זה לא יקרה. אבל נגיד שהתאדה הכסף, נו, 16 דולר אנחנו נחיה. הנזק האמיתי הגדול, אם עשיתם את זה בבית או בעבודה וזה התקין לכם תוכנה מהסוג שדיברתי עליה לפני דקה, אז הנזק הוא כבר לא ב-16 דולר, הוא לפעמים בלשחזר את כל המחשב ומי יודע אם לא כמה מחשבים, גיבויים, אלפי דולרים אם לא יותר.

הדבר השני, אז תיזהרו מהדברים האלה. עוד פעם אני אומר, קיבלתם דבר כזה, עצה מעשית אמרתי: תגלשו לאתר. רייבאן הציעו לכם? תגלשו בבקשה לאתר. אתם לא תגלו את המבצע כי המבצע הזה הוא זיוף במאה אחוז, כן? זה גם לא הכתובת של האתר שלהם. אבל תגלשו, תעשו לכם את הזהירות הזאת לא להגיב לדברים מהסוג הזה אלא להיכנס לאתרים.

הציעו לכם משהו, תיכנסו לאתר. בואו נדבר על מה שיש לנו פה בצד הזה. בצד הזה כולנו מכירים, הודעות פייסבוק. שולחים לנו את מה שאני הזהרתי מקודם, שולחים לנו לינק. וואטס-אפ, פייסבוק, אותו דבר, בצ'אט שלהם, אותו דבר בדיוק.

נראה לי פייסבוק, נראה לי, לא משנה. זה דרך אגב לא משנה, זה בדיוק דוגמא מדהימה. זה לא משנה אם זה פייסבוק, הודעת SMS או וואטס-אפ או איזו שטות אחרת חדשה שתקום היום או מחר. אתם לא מגיבים ללינקים משום שהסיבות האלה, תראו זה באנגלית, oh my god, ואצלכם זה יו וואו לא תאמינו איזו פצצה, תראו את תאונת דרכים שהיתה היום, תראו איזה יופי היה עם המחבל ההוא שם.

תראו איזה סרט שאין לאף אחד. אתם לוחצים על זה, זה סיים את המחשב. הדבר הזה הוא מאה אחוז, מאה אחוז תוכנה שמחפשת להשתלט לכם על המחשב. אוקי? איך אני יודע את זה? לא כל לינק. אם היה כל לינק, היה פשוט. הייתי אומר לך: "אל תגיב". ההתחזות רוכבת על העיקר. אבל מה נעשה שאם יש לי 100 אנשים בסדר ואחד לא, יש לי בעיה. אני אף פעם לא יודע להבדיל מי מהם, לכן אני צריך להיזהר. עזוב, נגיד יש 99 טובים אחד לא בסדר, אנחנו לא רוצים ליפול איתו כי המשמעויות הם באמת חמורות ובאמת יקרות.

עכשיו תראו, בהונאות האלה של לא משנה מה, פייסבוק, וואטס-אפ מה שתרצו. יש גם כן שתי שיטות. השיטה הראשונה, נגנב לכם החשבון, בום. בטח מכירים חברים שלכם, "לא, זה לא אני שלחתי את זה, זה החשבון השתלטו לי עליו". קיבלתם כאלה? בטוח. אני לא חושב שיש מישהו שלא ראה את זה. השתלטו לי על החשבון, אל תקשיבו להודעות ששלחתי. פתאום התחילו להגיע אליכם כל מיני תמונות מוזרות. אתם אומרים לעצמכם, בא'נה, מה קרה לבחורה הזאת? מה קרה לבחור הזה? לא יודע מה זה, השתגע. אבל לא, הוא שולח לכם: "לא, זה לא אני".

אז הדבר הכי קל שיכול לקרות, שמישהו השתלט על החשבון. אוקי? בתקווה שיש לכם איזשהו אמצעי שפייסבוק תוכל לזהות אתכם כמו אימייל ייעודי אז היא תשלח אליכם ואז היא תעשה לכם ריסט למחשב ותקבלו את הפייסבוק האהוב שלכם בחזרה, אבל זה הנזק הכי קטן. הנזק היותר גדול באמת זה שהמישהו הזה הראה לכם סרט. אתם לא תאמינו, הראה. אמר שיש סרט, עומד במילה, אמר שיש סרט, יש סרט. רק שהסרט הזה כולל מתנה נוספת שזה ההשתלטות על המחשב שלכם. שאם הוא יותר מתוחכם, בדרך כלל היותר מתוחכמים זה אלה, זה מה שהוא רוצה באמת. לא מעניין אותו להשתלט לכם על המחשב ולכתוב לכם: "איזה יופי, לקחתי לכם את המחשב".

שאלה מהקהל: זה יכול להיות גם מישהו מאנשי הקשר שיש לי בטלפון?

וודאי. וודאי וודאי.

שאלה מהקהל: אם חברה שלי שלחה לי לינק?

יש פה שאלה מצוינת, אני אענה עליה בשתי מישורים. האם זה יכול להיות גם עם מישהו מהרשימה שלי? התשובה היא כן, כי השתלטו לו על המחשב. התשובה, היא כן, כי השתלטו לו על המחשב, על החשבון. אז זה דבר ראשון.

דבר שני, שימו לב, במיוחד אני רוצה להדגיש את זה לגבי פייסבוק. בפייסבוק החברים שלכם, ויש להם גם חברים של חברים ולכן זה יצא לגמרי מהמעגל שאתם יכולים לעקוב. יש כל מיני אנשים שאתם לא מכירים שכן יכולים לשלוח לכם הודעה. אוקי? אבל באופן כללי, כן אפשר להשתלט על החשבון של מישהו אחר, ואני בטוח שכולם קיבלו איזו הודעה בשלב זה או אחר ממישהו שהשתלטו לו על החשבון, וכן הם ישלחו דרכו הודעות אחרות.

אני לא יודע אם אתם יודעים אבל היתה מגפה לפני בערך כשנתיים, היו מופיעות כל מיני בקשות בפייסבוק של בחורות מדהימות. מה זה מדהימות? דוגמניות מכוערות לידם. אתם לא תאמינו, נשמע לכם מטורף. והם מבקשות חברות, לא סתם. גם יפות גם מבקשות חברות. לא תאמינו, נפלו המון בפח. זה לא בדיחה, המון נפלו בפח.

ומה היתה המטרה שלהם? זה במקרה דרך אגב, השב"כ היה מעורב פה, זה היה החמאס, ותכף הכל היה בתוך העיתונים אז אין פה שום דבר סודי. אתם יכולים לחפש את זה בעצמכם. המטרה שלהם היתה אחת ויחידה, שהם יצליחו לצלם מהטלפון. הם לא רצו לעשות כלום, רק לצלם מהטלפון. עכשיו אתה חייל נחמד מסתובב, אהלן, מה נשמע אמא? מאחורה אתה מצלם לך את כל הבסיס, הכל עובר, וואלה, איזה סבבה. כמובן אתם יודעים שלמצלמה לכל תמונה יש, אלא אם כן ביטלתם את זה במיוחד, ולא נראה לי שמישהו ממכם אי פעם טרח לבטל או יודע בכלל איפה האופציה הזאת, ביטל בתמונות את המיקום, שהיא לא תשלח את המיקום. כי יש נתוני GPS בכל תמונה, אוקי? אני לא חושב שמישהו עשה את זה. זה מה שהם רצו. כי אז הם יודעים איפה האנשים ויודעים איזה ציודים יש. נהדר? לא?

שאלה מהקהל: אז לאפליקציה לא להיכנס?

לא אמרתי את זה. להיכנס לאתר הרשמי. אם את מקבלת אימייל מדהים, במיוחד לא.

שאלה מהקהל: בלינקד-אין שולחים הרבה זהויות שאנחנו לא יודעים מי אלה, זה נראה לנו מהתחום.

הנה חברויות שאנחנו לא יודעים מי אלה.

שאלה מהקהל: בלינקד- אין.

בלינקד- אין, אנשים מכובדים, כולם בעלי מקצוע. אם דרך אגב, אני לא הבאתי את זה היום, אבל אני מזמין את כולם בטלפון ככה בדרך מההרצאה לאוטו, תסתכלו מה אתמול פרסם, אתמול בדיוק בשבילך, משרד ההגנה של גרמניה, שלפי דעתו הצבא הסיני משתמש בלינקד-אין על מנת לגנוב מידע. אתמול.

שאלה מהקהל: מה לעשות עם כל אנשי הקשר בלינקד-אין שאנחנו לא-

זהירות, לא לינקים. לדבר איתו סבבה, לינקים לא.

שאלה מהקהל: אבל לאשר חברויות.

לאשר חברויות אין לי בעיה. כל עוד אתם לא לוחצים על כל מיני דברים שהם מעבירים לכם, הכל סבבה. כשאתם מתחילים לקבל דברים מהסוג שהראיתי מקודם, אתם לא מגיבים.

שאלה מהקהל: אין סכנה בלאשר חברויות.

לא.

שאלה מהקהל: אתה לא יודע מי נכנס אחר כך, חברים של חברים.

תקשיבו, אנחנו לא הולכים עכשיו להיכנס פה לסופר-פרנויה, אוקי? כי בכל זאת גם אלה שמפעילים את לינקד-אין ופייסבוק יודעים-

שאלה מהקהל: גם... תיכנסו ללינק ותעשו-

שימי לב ללינקים שלנו, הם שלמים. את לא תקבלי לינקים קצרים אצלי. הלינקים שלנו הם ארוכים. כתוב עוקץ.

שאלה מהקהל: אמרת לא רק, אמרת רגע לינק ארוך-

לינק כזה מוזר שאתם לא יודעים מה זה, לא.

שאלה מהקהל: לינק שמכירים זה כן בסדר?

לינק שלנו כן. אבל אני מציע דרך אגב באופן עקרוני, אם קיבלתם מתנה מעוקץ, בבקשה להיכנס לאתר. אם יש הודעה על מתנה, על איזה משהו מיוחד שנראה לכם הגיוני, תיכנסו בבקשה לאתר. תקשיבו שניה, אני חייב להגיע לאחת הנקודות, יש לנו פה בחור, שתי שניות לחץ, נגמר המחשב. יש את זה כל הזמן בכל הרצאה.

עכשיו תקשיבו שניה משהו חשוב שפה באמת אני רוצה שתקחו את זה איתכם בתוך הזיכרון ולא תעשו משהו אחר בשום פנים ואופן. ואני מדבר על הדבר שנקרא wifi ובמיוחד free wifi. עכשיו תראו, אני אתחיל קודם כל בסוף. בואו נתאר סיטואציה, אני בטוח שזה לא קרה לאף אחד מכם, כולנו אנשים אחראיים. אבל מה לעשות, אתם מחוץ למשרד, היום השביעי לחודש, השמיני לחודש, צריך לשדר את המשכורות, בדיוק הייתם בזה, רוצים לשדר, אתם לא במשרד. מה עושים? מה נשאיר את כל המשרד בלי המשכורות? נכנסים בית קפה, יאללה שולחים, נכון? יופי. עכשיו, את זה אתם לא הולכים לעשות אף פעם. אל תדאגו אני אתן לכם איך כן לעשות. אבל דרך WiFi אתם לא שולחים קבצים.

והסיבה היא ש-WiFi זה דבר שכל מי שיש לו ככה ניסיון יכול לראות כל דבר שאתם שולחים כל עוד אתם באותה רשת. אני רוצה להדגיש את זה שוב, כדי שהנושא הזה יהיה ברור. אתם יודעים בבית קפה, יש WiFi חינם, את מתחברים ל- WiFi, אתם שולחים קובץ. יחד איתכם בבית קפה, בואו נגיד שזה בית קפה ממש מצליח יש עוד 100 אנשים. ואתם יודעים, היום איך עושים מפגש עם חברים? כל אחד עם הטלפון שלו, לא יודע בשביל מה הם באו לשבת ביחד, לשתות קפה, אבל כל אחד עם הטלפון כולם גולשים. יש 100 אנשים, 100 אנשים עם הטלפון, 100 אנשים ב- WiFi.

אני מודיע לכם את זה כדי שתקחו את זה מפה הלאה. כל דבר שאתם מעבירים ב- WiFi בדגש על קבצים, זמין לכולם. ככה הגדירו את ה- WiFi. זה זמין, אתם נכנסים, הקובץ שלכם נמצא אצל כולם. לא צריך הרבה, צריך מישהו שמפעיל תוכנה פשוטה שמורידים אותה והוא פשוט שותל לכם מה שהוא רוצה.

שאלה מהקהל: גם סיסמאות?

הכל. כל מה שעובר לא מאובטח. והדבר האחרון שאתם רוצים, שרשימת המשכורות הנהדרת ששלחתם למשרד, תופיע מחר באינטרנט. נכון שלא תרצו את זה? או נתונים, דרך אגב זה קורה, חברים זה קורה. חברות זה קורה.

ה- WiFi הוא דבר מסוכן מאד. WiFi חינם, WiFi חופשי. אבל, כיוון שאני לא מתכוון להשאיר אתכם בלי WiFi או בלי תקשורת אינטרנטית, אני רוצה להדגיש כמה דברים. בישראל במיוחד, אין צורך בשום WiFi מהסיבה שאני לא מכיר היום בן אדם שאין לו חבילת אינטרנט. זה התקבע כסטנדרט.

היה היגיון מסוים, הייתי מסביר איך להשתמש ב- WiFi, בכל זאת אני לא אעשה את זה עכשיו כי זה באמת חורג מהשיעור וגם אין צורך. היה פעם באמת היגיון כשהאינטרנט עלה המון כסף, ובאמת אנחנו זוכרים את הימים שכל שיחה עלתה כסף וכל SMS עלה כסף והיה מגבלות וחבילות וככה, חרגתי לא חרגתי, עולה לי ככה, בסדר, אני מבין. אבל זה כבר נגמר. זה נגמר אי שם אם אני זוכר נכון ב-2012. 2017-18 שש שנים חלפו, הגיע הזמן מה שנקרא בלשון העממית לדפדף קדימה. אנחנו לא צריכים WiFi, יש לכם חבילה.

שאלה מהקהל: אבל בעדכונים שאנחנו עושים-

לא לא לא, יש לכם חבילה. להשתמש בחבילת סלולר, אם אתם רוצים לשלוח קבצים או דברים נוספים למשרד. מתי כן להשתמש ב- WiFi? שימו לב, אני משתמש במילה free WiFi, הכוונה כשאתם נמצאים ברחוב, בבית קפה, אומרים לי: יש לי אינטרנט חינם. למרות שהיום אני אומר עוד פעם, אין לזה שום היגיון.

אנשים תקשיבו לי, אין היגיון יותר ל- WiFi חינם כי לכולם יש חבילת גלישה. זה היה נכון עד לפני, גם במלון, מה אתם צריכים אותו? יש לכם גלישה משלכם. מה אתם צריכים את הגלישה של המלון? יש לכם גלישה בטלפון. היא ענקית, את לא מאמינה.

ישראל בגלל התחרות הם כל כך נדיבות, את לא תגמרי את זה. היא ענקית. יש חברות יותר טובות, פחות טובות. עכשיו בעיקרון אני מדבר על free WiFi ברחוב. ה- WiFi בבית הוא בדרך כלל, אני מדבר על 99.9 הוא בסדר גמור. לא בזכותנו, לא בזכותנו אלא בזכות זה שמי שמספק לכם את האינטרנט בזק והוט, למרות שגם שם יש כל מיני טריקים, אבל בזק והוט לא מתקינות, לא מאפשרות התחברות שהיא לא WiFi מאובטח. ה- WiFi שיש לכם בבית הוא מאובטח. שם אפשר להשתמש. לא ברחוב. הוא סגור עם סיסמא ומוצפן.

הסיסמא היא בפרוטוקול, אני לא רוצה לבלבל לכם את השכל wpk2, עזבו לא מעניין, זה לא רלוונטי. הוא מוצפן, הוא לא פשוט לפציחה הוא גם לא קל. הוא מוצפן, הוא חזק. אין בעיה עם WiFi בבית. יש בעיה עם ה- WiFi חינם בחוץ. כי שם בכוונה פתחו את זה. כיוון שפתחו את זה, כל אחד יכול לקחת כל דבר שיש לכם בטלפון. אתם לא רוצים את זה? ממש לא.

תשתמשו, אם ממש חירום, תכבו את ה- WiFi. נכנסים להגדרות של הטלפון, מכבים את ה- WiFi, הטלפון אוטומטית משתמש בגלישה של החבילת גלישה. יש לכם לשלוח דברים למשרד, בבקשה תשלחו. כשהטלפון שולח זה הרבה יותר אבל דרמטית הרבה יותר מאובטח מה- WiFi החינם כשהוא לא מאובטח בכלל, הוא לא מאובטח.

בבית, עדכונים דברים מהסוג הזה, הכל סבבה. בבית אין לי שום התנגדות, תעשו בבית כי זה כן מוצפן, אוקי? לא להשתמש ב- WiFi של הטלפון הנייד, לא להשתמש. מחשב וטלפון זה אותו דבר. להפך, אותו דבר בדיוק.

שאלה מהקהל: צריך לציין גם משהו, אם אתה נותן פרטים באתר, צריך להיות אתר מאובטח.

תראה איזה יופי, הנה אני בנושא. אני משלים בשבילך. אמר לנו הבחור כאן נעים, אמר לנו: תקשיב, כששולחים פרטים באתר אני יודע שצריך לשלוח בצורה מאובטחת. רבותי, הבאתי לכם לדוגמא את עוקץ אבל זה כמובן עוקץ, טסטמי, קריירה, כל אתר שאי פעם תגיעו ששייך לקבוצת עוקץ אתם תראו את המנעול הירוק הנהדר הזה שמכיל את כל הדפים באתר. אנחנו לא מתפשרים באבטחה. זה אומר, לא רק בדפים שבהם צריך למלא טפסים, כמו שחלק גדול מהאתרים עושים היום, כל האתרים מאה אחוז מהגלישה מאובטחת. זה אומר שכל מה שאתם שולחים הוא מוצפן ולא ניתן לקריאה מבחוץ. בסדר? לא יעזור לך כלום נעול. אפשר ללחוץ פה על הכל, אם הוא ירוק, סימן שהכל תקין. אם הוא ירוק דרך אגב אתם נכנסים לאתר, אם הוא ירוק, הוא תקין. אם הוא מופיע צהוב או איקס עליו או עיגול, יש באתר הזה בעיה. בסדר? ירוק זה הסימן שלכם. אדום חבל לך על הזמן, המלכודת מחכה לך, רק תיכנס.

עכשיו תשמעו, לצערי, בטח קראתם שמה בזה שאני מפעיל איזה פרויקט מחקר ישראלי על כל האבטחה של האתרים. אז לא תאמינו, לא באתי לעשות פרסומת לעצמי, לכן לא הבאתי את כל האתר אלא רק חתיכה קטנה, אני בשעות העבודה, רציתי להגיד בשעות הפנאי כי האמת זה גם תחביב בשבילי, אבל בשעות העבודה אני עובר על כל האתרים שיש בישראל, ככה סבבה, כל אחד יש לו תחביב שלו.

עברתי עד היום על כמעט 87,000 אתרים והמנוע שלי ממשיך לטחון כל הזמן. דרך אגב, מכרו בסך הכל בישראל 235,000 שמות דומיינים ומתוכם 50% לא פעילים או כפולים, לכן כמעט כל הרשת הישראלית בידיים שלי, אני מכיר אותה. אני מודיע לכם שב-SSL, כלומר הפרוטוקול המאובטח שדיברתי עליו הרגע, 17%, כמעט 20%, כל אחד חמישי לא מוגדר נכון. אבל אל דאגה, בדיוק הפרויקט אבטחה שלי רוצה לשנות את זה. עד אז תיזהרו, כן? כי למרות שהם אומרים שהם מאובטחים, זה לא מאובטח. טלפון נייד-

שאלה מהקהל: בהתחברות מהבית?

עדיף שהמשרדים שלכם כולם יהיו עם המפתח הירוק הנהדר שלנו. תראו, אני רוצה רגע להדגיש משהו אחד כדי שזה יהיה לכם נכון לבית, לעבודה, לאתר קניות. נכנסתם לאתר קניות, אין לו מפתח ירוק, אתם יוצאים משם ולא קונים. לא משנה בכלל איזה מבצע יש לו. אתם צריכים למלא פרטים, שלום שמי שם, שלא לדבר על תעודת זהות חס ושלום. מספר טלפון, אפילו בלי כרטיס אשראי, אין מפתח ירוק, צאו מהאתר. זה אתר מסוכן.

שאלה מהקהל: גם אתר של חו"ל?

כל דבר. מה זה משנה חו"ל? אינטרנט זה בינלאומי.

שאלה מהקהל: הזייפנים לא יודעים את זה?

הזייפנים יכולים לדעת אבל אתה יודע, אין להם מה לעשות, מה הם יעשו? או שיש מפתח ירוק או שאין. אי אפשר לזייף את זה. המפתח ירוק לא נדלק סתם, הוא נדלק רק כשזה צריך.

תקשיבו עכשיו באמת, זאת עצה ממש חשובה, אולי באמת לא הדגשתי את זה מספיק טוב, אתם לא ממלאים שום פרטים ושום טופס בשום אתר אם אין לכם את ה-secure עם המנעול הירוק. מאותה סיבה שדיברתי מקום על ה- WiFi שהוא פרוץ לכולם.

אני אומר לכם שמי שאין לו SSL, כלומר, מפתח ירוק, לא צריך את המילה SSL, אין לו את המפתח הזה, הפרטים שלכם גלויים לכולם. כתבתם, ואני דר אגב רואה, טופס, שם, תעודת זהות, טלפון, כתובת, מספר חשבון אני כבר בכלל נראה לי אני זורק את המחשב. אבל לא כל האתרים, היום דווקא הרבה עושים. אני רואה דברים כאלה והם עוד רוצים שתמלאו פרטים. תבינו, הפרטים שלכם בעצם זה כמו שפיזרתם אותם לרוח. העפתם אותם לרוח, מי יודע מתי זה יבוא ויכה בכם באיזה בום? רק כאלה. לא כאלה לא עשיתם.

שאלה מהקהל: אבל אי אפשר.

אפשר.

שאלה מהקהל: לא לקנות איזה מכנסיים, אתה נכנס לאתר של לשכת רואי חשבון אין את המנעול הזה, הם רוצים פרטים.

אל תמלא פרטים. תתקשר אליהם. אני רציני דרך אגב. תתקשר אליהם. אני לא ראיתי את האתר שלהם אני לא יודע. אני רק יכול להמליץ לכם לאן אתם כן מכניסים פרטים. מי שמכניס פרטים, דרך אגב, אם אין להם תתלוננו.

שאלה מהקהל: זה בכל דף צריך להופיע?

בכל דף שצריך למלא פרטים מינימום. בדף שלא צריך למלא פרטים, אני ממליץ, האתרים של עוקץ, כל האתרים של עוקץ הם כאלה, אין שום דף שהוא לא כזה, אבל זה לא חובה. מי שרוצה להיות ממש סבבה, אני אומר הכל עם מנעול. מי שלא, לפחות איפה שיש פרטים, אתם לא ממלאים איפה שאין מנעול.

טלפון נייד אין לי מה לספר לכם לא להשאיר את הטלפון כי פשוט מאד יגנבו לכם אותו. אבל יותר חשוב, תראו, בתוך הטלפונים בכולם יש אמצעי אבטחה, אוקי? אמצעי אבטחה, אני יודע שרובנו לא משתמשים בהם אבל ממש כדאי, כי אם הטלפון שלכם נופל למישהו אחר ואין לכם אמצעי אבטחה, אתם מבינים שהוא פשוט קורא שמה, לוקח מעתיק.

 פה בפלאפון הזה שום דבר לא יעזור אלא אם כן אני אשים את האצבע. ויש לכם את זה, זה היום לא מכשיר נדיר. מכשירים של 800 שקל כבר שמו את זה. פשוט תיכנסו להגדרות, תגידו כן, אני רוצה לוג-אין על המסך. אני רוצה כניסה מאובטחת. שימו את האצבע או משהו אחר שיש להם שם, סיסמא, מה שאתם רוצים, רק אל תשאירו את זה פתוח כי אם הטלפון שלכם מגיע לידיים אחרות, הסודות שלכם שם. אוקי? וזה חשוב.

וירוסים, פה אני מקצר כי אני אמרתי, כל מה שאמרתי לגבי המחשב עם הלינקים הקצרים, עם הזה שרוצים להטעות אתכם, הטלפון והמחשב זה אותו דבר. מסך גדול, מסך קטן אותו דבר. את המצלמה תתפלאי, את המצלמה הזאת כאשר אני מגיע, אני מסתיר אותה בבית, אני מכסה אותה ולא רק את זאת, גם את האחורית. לא לשכוח, בטלפון יש שתי מצלמות ואפילו 3. הנה אחת, הנה שניה. סלפי, איך נעשה סלפי בלי מצלמה קדמית? יש גם קדמית וגם אחורית. וכמו שאתם מבינים, גם פה הגרף מזנק קדימה כי אנשים רוצים להגיע למידע שלכם בטלפון.

כיוון שאנחנו די קצרים בזמן, האמת תכף אם אני אמשיך את כל ההרצאה אנחנו באמת נגיע לשעה מאוחרת, אז אני רק אקצר, הדבר האחרון שמתחבר להתחלה של ההרצאה הזאת שזה אותו מרק צוקרברג עם הפלסתר מופיע פה. הפלסתר שמופיע פה מונע כניסה של דיסק און קי.

יש לי בקשה אליכם, אל תעבדו עם דיסק און קי, זה אחד הדברים שמסייעים להדביק את המחשב בצורה הכי יעילה. אתם מכניסים אותו למחשב הזה, מכניסים אותו למחשב ההוא, בום בום טח, נגמר הסיפור. אתם רוצים להוריד קובץ? בבקשה, תשלחו אותו לאיזשהו אתר, תורידו משם למחשב שלכם.

שאלה מהקלה: זה יותר בטוח לשלוח ככה?

הרבה יותר בטוח. איך? אני אסביר. אני אסביר למה, אם את משתמשת למשל בג'ימייל, ג'ימייל עושה בשבילך עבודה חינם. היא מפעילה שירותי סינון מאד חזקים על הקובץ. אני יכול להגיד לכם שג'ימייל עושה עבודה מעולה, וירוסים וגם הרבה מאד הונאות פישינג זה, הם עוצרים כמעט את כולם.

הערה מהקהל: בגלל זה המיילים לא מגיעים.

וטוב שלא הגיעו. תארי לך שהיה מגיע אליך, מה היה קורה? כן, ג'ימייל עושה עבודה מעולה ושווה להשתמש בהם, זה שירות חינם. האימייל שלהם מאד מאד מסונן. כדאי להשתמש בו, זה חינם. וג'ימייל בוודאי יותר מוצלח מלשבת ולשים דיסק און קי. דיסק און קי זה רק לספור את הרגעים עד שאתם תקבלו את הוירוס.

עכשיו תקשיבו, עדכונים לתוכנה, אני יודע, אתם עובדים/ות פתאום בום, צריך לעדכן את התוכנה או את המחשב. עכשיו אני עושה משכורות, עזוב אותי בשקט. זה לא מה שצריך. זה פרקטיקה גרועה. אתם חייבים לעדכן מהסיבה הפשוטה, העדכון לא נולד סתם. הוא לא נולד רק לשפר איזו אנימציה או איזו תמונה.

הוא נולד קודם כל לסגור לכם פרצות אבטחה. אם לא עדכנתם אותם, אתם חשופים. אני מסיים את ההרצאה למרות שיש לי עוד הרבה שקופיות. אנטי וירוס להשאיר אותו דלוק תמיד ולעדכן אותו. עכשיו תקשיבו, זה קרה ובזה אנחנו מסיימים את ההרצאה.

זה קרה לחברה אמריקאית מאד גדולה שמנהלת אשראי של 800 מיליון איש. הם השאירו בסך הכל את המחשב שלהם לא מעודכן שלושה חודשים כי המדיניות שלהם היתה, דרך אגב, כולם שם פוטרו, אמיתי, אתם יכולים לראות את זה באינטרנט.

 AQFax, כולם פוטרו, זה היה במאי. כולם פוטרו, חבל על הקריירות. היתה להם מדיניות מטופשת, אל תשאלו אותי למה, אנחנו פעם בשלושה חודשים עושים עדכון לתוכנה. זאת אומרת מתקבל: "אתה צריך לעדכן", אוקי בום, לא רוצים. פעם בשלושה חודשים. זה הספיק בשביל שתיה הפה פריצת ענק.

עכשיו תקשיבו, הדבר הזה הוא גם הסתבכות עם הרשויות. זה כבר לא רק פיטרנו את המנהלים, זה כבר הסתבכות עם הרשויות. יש פה מידע רגיש, יש פה דברים שהם חייבים, יש פה בלאגנים, קריירות נגמרות.

כמו שאתם רואים החולשה התגלתה כבר במרץ. הם לא עשו את זה. אמנם שמתי פה ילד אבל תדעו לכם שרוב העוסקים בתחום האבטחה הם דווקא לא ילדים. מה לעשות? עובדים על האנשים רובם מבוגרים, שמים תמונות של ילדים. אבל יש פה ילד ששם ביוטיוב את הפרצה הזאת. כמה חודשים, חודשיים לפני שהם הצליחו לגנוב להם. אם ילד יודע שיש את הפרצה הזאת, תעשו לעצמכם טובה, יש בקשה לעדכן את התוכנה, תעדכנו.

שאלה מהקהל: הילד הזה בטח קיבל הצעת עבודה.

הוא בטח קיבל הצעת עבודה, כנראה שהוא מסודר, אמא שלו שמחה. כולם מבסוטים ובזה אני אגיד לכם תודה שהייתם איתי. בהצלחה.