Co-authored-by: Crowdin Bot <support+bot@crowdin.com> Co-authored-by: Jonah Aragon <jonah@triplebit.net>
25 KiB
title | icon |
---|---|
איומים נפוצים | material/eye-outline |
באופן כללי, אנו מצמצמים את ההמלצות שלנו לתוך איומים או מטרות החלות על רוב האנשים. ==ייתכן שאתה מודאג עם אף אחד, אחד, כמה, או כל האפשרויות האלה ==, ואת הכלים והשירותים שבהם אתה משתמש תלויים מה המטרות שלך. ייתכן שיש לך איומים ספציפיים מחוץ לקטגוריות אלה גם כן, וזה בסדר גמור! החלק החשוב הוא לפתח הבנה של היתרונות והחסרונות של הכלים שאתה בוחר להשתמש, כי כמעט אף אחד מהם לא יגן עליך מפני כל איום.
- :material-incognito: אנונימיות - הגנה על הפעילות המקוונת שלך מהזהות האמיתית שלך, הגנה עליך מפני אנשים שמנסים לחשוף את זהותך באופן ספציפי.
- :material-target-account: התקפות ממוקדות - הגנה מפני האקרים או שחקנים זדוניים אחרים שמנסים לקבל גישה לנתונים או מכשירים *שלך * באופן ספציפי.
- :material-bug-outline: התקפות פסיביות - הגנה מפני דברים כמו תוכנות זדוניות, פרצות נתונים והתקפות אחרות שנעשות נגד אנשים רבים בו-זמנית.
- :material-server-network: ספקי שירות - הגנה על הנתונים שלך מפני ספקי שירותים (למשל באמצעות E2EE, שהופך את הנתונים שלך לבלתי קריאים לשרת).
- :material-eye-outline: מעקב המוני - הגנה מפני סוכנויות ממשלתיות, ארגונים, אתרי אינטרנט ושירותים הפועלים יחד כדי לעקוב אחר הפעילות שלך.
- :material-account-cash: קפיטליזם מעקב - הגנה על עצמך מפני רשתות פרסום גדולות, כמו גוגל ופייסבוק, כמו גם ממספר עצום של אוספי נתונים אחרים של צד שלישי.
- :material-account-search: חשיפה ציבורית - הגבלת המידע אודותיך הנגיש באינטרנט - למנועי חיפוש או לציבור הרחב.
- :material-close-outline: צנזורה - הימנעות מגישה מצונזרת למידע או מצונזר בעצמך כשאתה מדבר באינטרנט.
חלק מהאיומים הללו עשויים להיות חשובים לך יותר מאחרים, בהתאם לדאגות הספציפיות שלך. לדוגמה, מפתח תוכנה עם גישה לנתונים חשובים או קריטיים עשוי להיות מודאג בעיקר ב:material-target-account: מתקפות ממוקדות, אבל כנראה שהוא עדיין רוצה להגן על נתונים אישיים שנסחפו בתוכניות :material-eye-outline: מעקב המוני. באופן דומה, אנשים רבים עשויים להיות מודאגים בעיקר מ:material-account-search: חשיפה ציבורית של הנתונים האישיים שלהם, אך הם עדיין צריכים להיזהר מבעיות ממוקדות אבטחה, כגון :material-bug-outline: התקפות פסיביות—כמו תוכנות זדוניות המשפיעות על המכשירים שלהם.
אנונימיות מול פרטיות
:material-incognito: אנונימיות
אנונימיות לעתים קרובות מבולבלת עם פרטיות, אבל הם מושגים שונים. בעוד שפרטיות היא מכלול של בחירות שאתה בוחר לגבי אופן השימוש והשיתוף של הנתונים שלך, אנונימיות היא ניתוק מוחלט של הפעילויות המקוונות שלך מהזהות האמיתית שלך.
לחושפי שחיתויות ועיתונאים, למשל, יכול להיות מודל איום הרבה יותר קיצוני, שדורש אנונימיות מוחלטת. זה לא רק מסתיר את מה שהם עושים, מה הנתונים שיש להם, ולא נפרצים על ידי שחקנים זדוניים או ממשלות, אלא גם מסתיר מי הם לחלוטין. לעתים קרובות הם יקריבו כל סוג של נוחות אם זה אומר להגן על האנונימיות, הפרטיות או הביטחון שלהם, כי חייהם יכולים להיות תלויים בכך. רוב האנשים לא צריכים ללכת כל כך רחוק.
אבטחה ופרטיות
:material-bug-outline: התקפות פסיביות
גם אבטחה ופרטיות מתבלבלים לעתים קרובות, מכיוון שאתה זקוק לאבטחה כדי להשיג כל מראית עין של פרטיות: השימוש בכלים - גם אם הם פרטיים בעיצובם - הוא חסר תועלת אם הם יכולים להיות מנוצלים בקלות על ידי תוקפים שישחררו מאוחר יותר את הנתונים שלך. עם זאת, ההפך אינו בהכרח נכון: השירות המאובטח ביותר בעולם אינו בהכרח פרטי. הדוגמה הטובה ביותר לכך היא מתן אמון בנתונים של גוגל, שבהתחשב בקנה המידה שלהם, היו להם מעט תקריות אבטחה על ידי העסקת מומחי אבטחה מובילים בתעשייה כדי לאבטח את התשתית שלהם. אף על פי ש - גוגלמספקת שירותים מאובטחים מאוד, מעט מאוד אנשים היו מחשיבים את הנתונים שלהם כפרטיים במוצרי הצריכה החינמיים של גוגל(ג'ימייל, יוטיוב וכו ')
כשמדובר באבטחת יישומים, אנחנו בדרך כלל לא יודעים (ולפעמים לא יכולים) אם התוכנה שבה אנו משתמשים היא זדונית, או עלולה יום אחד להיות זדונית. אפילו עם המפתחים האמינים ביותר, אין שום ערובה לכך שלתוכנה שלהם אין חולשה רצינית שיכולה להיות מנוצלת מאוחר יותר.
כדי למזער את הנזק שתוכנה זדונית יכולה לעשות זאת, אתה צריך להשתמש באבטחה על ידי מידור. לדוגמה, זה יכול לבוא בצורה של שימוש במחשבים שונים עבור עבודות שונות, באמצעות מכונות וירטואליות כדי להפריד קבוצות שונות של יישומים קשורים, או באמצעות מערכת הפעלה מאובטחת עם דגש חזק על ארגז חול יישום ובקרת גישה חובה.
!!! tip "טיפ"
למערכות הפעלה של פלאפון יש בדרך כלל ארגז חול יישומי טוב יותר ממערכות הפעלה שולחניות: יישומים לא יכולים לקבל גישה לשורש, ודורשים הרשאה לגישה למשאבי המערכת.
מערכות הפעלה שולחניות בדרך כלל מפגרות אחרי ארגז חול מתאים. ל - ChromeOS יש יכולות ארגז חול דומות ל - אנדרואיד, ול - MacOS יש בקרת הרשאות מלאה למערכת (והמפתחים יכולים להצטרף לארגז החול עבור יישומים). עם זאת, מערכות הפעלה אלה כן משדרות מידע מזהה ל - OEMs שלהם. לינוקס נוטה לא לשלוח מידע לספקי המערכת, אך יש לה הגנה גרועה מפני ניצולים ויישומים זדוניים. ניתן למתן זאת במידת מה עם הפצות מיוחדות העושות שימוש משמעותי במכונות או מכולות וירטואליות, כגון [Qubes OS](../../desktop /# qubes - os).
:material-target-account: התקפות ממוקדות
התקפות ממוקדות נגד אדם מסוים הן בעייתיות יותר להתמודדות. התקפות נפוצות כוללות שליחת מסמכים זדוניים באמצעות דוא"ל, ניצול נקודות תורפה (למשל בדפדפנים ובמערכות הפעלה) והתקפות פיזיות. אם זה מדאיג אותך, אתה צריך להפעיל אסטרטגיות מקלות איום מתקדמות יותר.
!!! tip "טיפ"
לפי התכנון, ** דפדפני אינטרנט **, ** לקוחות דוא"ל ** ו ** יישומי משרד ** בדרך כלל מריצים קוד לא מהימן שנשלח אליך מצד שלישי. הפעלת מספר מכונות וירטואליות - אפליקציות נפרדות כמו אלה מהמערכת המארחת, כמו גם זו את זו - היא טכניקה אחת שאתה יכול להשתמש בה כדי להקטין את הסיכוי של לנצל ביישומים אלה לסכן את שאר המערכת שלך. לדוגמה, טכנולוגיות כגון Qubes OS או Microsoft Defender Application Guard ב - Windows מספקות שיטות נוחות לביצוע פעולה זו.
אם אתה מודאג מהתקפות פיזיות חזקות עליך להשתמש במערכת הפעלה עם יישום אתחול מאומת ומאובטח, כגון Android, iOS, macOS או Windows (עם TPM). עליך גם לוודא שהכונן שלך מוצפן, ושמערכת ההפעלה משתמשת בביטוי סיסמה TPM או Secure Enclave או Element כדי למגר את מספר הניסיונות להזנת משפט הסיסמה המוצפן. עליך להימנע מלשתף את המחשב שלך עם אנשים שאינך בוטח בהם, מכיוון שרוב מערכות ההפעלה השולחניות אינן מצפינים נתונים בנפרד לכל משתמש.
פרטיות מספקי שירותים
:material-server-network: ספקי שירותים
אנחנו חיים בעולם שבו כמעט הכל מחובר לאינטרנט. ההודעות "הפרטיות" שלנו, הודעות הדוא"ל והאינטראקציות החברתיות מאוחסנות בדרך כלל בשרת, איפשהו. בדרך כלל, כאשר אתה שולח למישהו הודעה היא מאוחסנת בשרת, וכאשר החבר שלך רוצה לקרוא את ההודעה השרת יראה לו אותה.
הבעיה הברורה עם זה היא שספק השירות (או האקר שסיכן את השרת) יכול לגשת לשיחות שלכם מתי ואיך שהם רוצים, מבלי שתדעו. זה חל על שירותים נפוצים רבים, כגון הודעות SMS, טלגרם ודיסקורד.
למרבה המזל, E2EE יכול להקל על בעיה זו על ידי הצפנת תקשורת בינך לבין הנמענים הרצויים שלך לפני שהם אפילו נשלחים לשרת. סודיות ההודעות שלך מובטחת, בהנחה שלספק השירות אין גישה למפתחות הפרטיים של אחד מהצדדים.
!!! note "הערה על הצפנה מבוססת אינטרנט"
בפועל, היעילות של יישומי E2EE שונים משתנה. יישומים, כגון [Signal](../real-time-communication.md#signal), פועלים באופן מקומי במכשיר שלך, וכל עותק של היישום זהה בכל ההתקנות השונות. אם ספק השירות היה מציג [backdoor](https://en.wikipedia.org/wiki/Backdoor_) ביישום שלו - בניסיון לגנוב את המפתחות הפרטיים שלך - הוא יכול להתגלות מאוחר יותר באמצעות [הנדסה הפוכה]( https://en.wikipedia.org/wiki/Reverse_engineering).
לעומת זאת, מימושים מבוססי אינטרנט של E2EE, כגון דואר האינטרנט של Proton Mail או *Web Vault* של Bitwarden, מסתמכים על השרת שמשרת באופן דינמי את קוד JavaScript לדפדפן כדי לטפל בקריפטוגרפיה. שרת זדוני יכול למקד אותך ולשלוח לך קוד JavaScript זדוני כדי לגנוב את מפתח ההצפנה שלך (ויהיה קשה מאוד להבחין בכך). מכיוון שהשרת יכול לבחור לשרת לקוחות אינטרנט שונים לאנשים שונים - גם אם שמת לב להתקפה - יהיה קשה מאוד להוכיח את אשמתו של הספק.
לכן, עליך להשתמש ביישומים מקומיים על פני לקוחות אינטרנט במידת האפשר.
גם עם E2EE, ספקי שירות עדיין יכולים לעשות לך פרופיל על בסיס מטא נתונים, שבדרך כלל אינו מוגן. בעוד שספק השירות אינו יכול לקרוא את ההודעות שלך, הוא עדיין יכול להבחין בדברים חשובים, כגון עם מי אתה מדבר, באיזו תדירות אתה שולח להם הודעות ומתי אתה פעיל בדרך כלל. הגנה על מטא נתונים היא נדירה למדי, ואם היא במודל האיום שלך - עליך לשים לב היטב לתיעוד הטכני של התוכנה שבה אתה משתמש כדי לראות אם יש בכלל מזעור או הגנה על מטא נתונים.
תכניות מעקב המונים
:material-eye-outline: מעקב המוני
מעקב המוני הוא המאמץ המורכב לנטר את "ההתנהגות, הפעילויות הרבות או המידע" של אוכלוסייה שלמה (או חלק ניכר מאוכלוסיה).1 לעתים קרובות זה מתייחס לתוכניות ממשלתיות, כמו אלה נחשף על ידי אדוארד סנודן ב-2013. עם זאת, היא יכולה להתבצע גם על ידי תאגידים, בין אם מטעם סוכנויות ממשלתיות ובין אם ביוזמתם.
!!! abstract "אטלס המעקב"
אם ברצונך ללמוד עוד על שיטות מעקב וכיצד הן מיושמות בעירך, תוכל גם לעיין ב [אטלס המעקב]( https://atlasofsurveillance.org/) של [קרן החזית האלקטרונית]( https://www.eff.org/).
ממשלות לעיתים קרובות מצדיקות תוכניות מעקב המוניות כאמצעי הכרחי להילחם בטרור ולמנוע פשע. עם זאת, הפרת זכויות אדם, זה משמש לעתים קרובות ביותר למקד באופן לא פרופורציונלי קבוצות מיעוט ומתנגדים פוליטיים, בין היתר.
!!! quote "ACLU: שיעור הפרטיות של 9/11: מעקב המוני הוא לא הדרך קדימה"
לנוכח [הגילויים של אדוארד סנודן על תוכניות ממשלתיות כגון [PRISM](https://en.wikipedia.org/wiki/PRISM) ו- [Upstream](https://en.wikipedia.org/wiki/Upstream_collection)], גורמי מודיעין גם הודו כי ה-NSA אספה במשך שנים בחשאי רשומות על כמעט כל שיחות הטלפון של אמריקאי - מי מתקשר למי, מתי השיחות האלה נעשות וכמה זמן הן נמשכות. מידע מסוג זה, הנצבר על ידי הסוכנות לביטחון לאומי יום אחר יום, יכול לחשוף פרטים רגישים ביותר על חייהם של אנשים ואסוציאציות, כגון האם הם התקשרו לכומר, ספק הפלות, יועץ התמכרות או קו חם להתאבדות.
למרות המעקב ההמוני הגובר בארצות הברית, הממשלה מצאה שלתוכניות מעקב המוניות כמו סעיף 215 היה "ערך ייחודי מועט" ביחס לעצירת פשעים אמיתיים או מזימות טרור, כאשר המאמצים מכפילים במידה רבה את תוכניות המעקב הממוקדות של ה-FBI עצמו.2
באינטרנט, אתה יכול להיות במעקב באמצעות מגוון רחב של שיטות:
- כתובת ה - IP שלכם
- קובצי Cookie של דפדפן
- עוגיות דפדפן
- טביעת האצבע של הדפדפן או המכשיר שלך
- מתאם לאמצעי תשלום
אם אתם מודאגים מתוכניות מעקב המוניות, אתם יכולים להשתמש באסטרטגיות כמו מידור הזהויות המקוונות שלכם, מיזוג עם משתמשים אחרים, או, במידת האפשר, פשוט להימנע מלתת מידע מזהה.
אם אתם מודאגים מתוכניות מעקב המוניות, אתם יכולים להשתמש באסטרטגיות כמו מידור הזהויות המקוונות שלכם, מיזוג עם משתמשים אחרים, או, במידת האפשר, פשוט להימנע מלתת מידע מזהה.
:material-account-cash: קפיטליזם מעקב
קפיטליזם במעקב הוא מערכת כלכלית שמרכזה הוא הלכידה והסחורות של נתונים אישיים למטרות ליבה של עשיית רווחים.3
עבור אנשים רבים, מעקב ומעקב על ידי תאגידים פרטיים הוא דאגה גוברת. רשתות מודעות פרובוקטיביות, כגון אלה המופעלות על ידי גוגל ו - פייסבוק, משתרעות על פני האינטרנט הרבה מעבר לאתרים שבהם הן שולטות, ועוקבות אחר פעולותיך לאורך הדרך. שימוש בכלים כמו חוסמי תוכן כדי להגביל בקשות רשת לשרתים שלהם, וקריאת מדיניות הפרטיות של השירותים שבהם אתה משתמש יכולים לעזור לך להימנע מיריבים בסיסיים רבים (אם כי זה לא יכול למנוע לחלוטין מעקב).4
בנוסף, אפילו חברות מחוץ AdTech או מעקב בתעשייה יכול לשתף את המידע שלך ברוקרים של נתונים (כגון קיימברידג' אנליטיקה, Experian או Datalogix) או צדדים אחרים. אינך יכול להניח באופן אוטומטי שהנתונים שלך בטוחים רק משום שהשירות שבו אתה משתמש אינו שייך למודל העסקי הטיפוסי של AdTech או למעקב אחר. ההגנה החזקה ביותר מפני איסוף נתונים ארגוניים היא להצפין או לטשטש את הנתונים שלך במידת האפשר, מה שמקשה על ספקים שונים לתאם נתונים זה עם זה ולבנות עליך פרופיל.
הגבלת מידע ציבורי
:material-account-search: חשיפה לציבור
באתרים שבהם אתה משתף מידע, בדיקת הגדרות הפרטיות של חשבונך כדי להגביל את התפוצה הרחבה של נתונים אלה חשובה מאוד. לדוגמה, הפעל "מצב פרטי" בחשבונות שלך אם תינתן לך האפשרות: פעולה זו מבטיחה שהחשבון שלך לא יוכנס לאינדקס על ידי מנועי חיפוש, ושלא ניתן לצפות בו ללא אישורך.
באתרים שבהם אתה משתף מידע, בדיקת הגדרות הפרטיות של חשבונך כדי להגביל את התפוצה הרחבה של נתונים אלה חשובה מאוד. לדוגמה, הפעל "מצב פרטי" בחשבונות שלך אם תינתן לך האפשרות: פעולה זו מבטיחה שהחשבון שלך לא יוכנס לאינדקס על ידי מנועי חיפוש, ושלא ניתן לצפות בו ללא אישורך.
אם כבר שלחת את המידע האמיתי שלך לאתרים שלא אמורים לקבל אותו, שקול להשתמש בטקטיקות של דיסאינפורמציה, כמו שליחת מידע פיקטיבי הקשור לזהות מקוונת זו. זה הופך את המידע האמיתי שלך לבלתי ניתן להבחנה מהמידע הכוזב.
הימנעות מצנזורה
:material-close-outline: צנזורה
ניתן לבצע צנזורה מקוונת (בדרגות שונות) על ידי גורמים הכוללים ממשלות טוטליטריות, מנהלי רשתות וספקי שירותים. מאמצים אלה לשלוט בתקשורת ולהגביל את הגישה למידע תמיד לא יעלו בקנה אחד עם זכות האדם לחופש הביטוי.5
צנזורה על פלטפורמות תאגידיות נפוצה יותר ויותר, כאשר פלטפורמות כמו טוויטר ופייסבוק נכנעות לביקוש הציבורי, ללחצי השוק וללחצים מצד סוכנויות ממשלתיות. לחצים ממשלתיים יכולים להיות בקשות סמויות לעסקים, כמו הבית הלבן המבקש הסרה של סרטון יוטיוב פרובוקטיבי, או גלויים, כמו למשל שממשלת סין דורשת מחברות לדבוק במשטר קפדני של צנזורה.
אנשים המודאגים מאיום הצנזורה יכולים להשתמש בטכנולוגיות כמו Tor כדי לעקוף אותו, ולתמוך בפלטפורמות תקשורת עמידות לצנזורה כמו Matrix, שאין לה רשות חשבונות מרכזית שיכולה לסגור חשבונות באופן שרירותי.
!!! tip "טיפ"
אמנם התחמקות מהצנזורה עצמה יכולה להיות קלה, אבל הסתרת העובדה שאתה עושה את זה עלולה להיות בעייתית מאוד.
אתה צריך לשקול אילו היבטים של הרשת היריב שלך יכול לצפות, והאם יש לך הכחשה מתקבלת על הדעת למעשיך. לדוגמה, שימוש ב -[ DNS מוצפן](../advanced/dns-overview.md#what-is - encrypted - dns) יכול לעזור לך לעקוף מערכות צנזורה בסיסיות המבוססות על DNS, אך הוא לא יכול באמת להסתיר את מה שאתה מבקר מספק האינטרנט שלך. VPN או Tor יכולים לעזור להסתיר את מה שאתם מבקרים אצל מנהלי הרשת, אבל לא יכולים להסתיר שאתם משתמשים ברשתות האלה מלכתחילה. משלוחים הניתנים לחיבור (כגון Obfs4proxy, Meek או Shadowsocks) יכולים לעזור לכם להתחמק מחומות אש שחוסמות פרוטוקולי VPN נפוצים או Tor, אבל עדיין ניתן לזהות את ניסיונות העקיפה שלכם בשיטות כמו בדיקה או [בדיקת מנות עמוקה]( https://en.wikipedia.org/wiki/Deep_packet_inspection).
אתה חייב תמיד לשקול את הסיכונים בניסיון לעקוף את הצנזורה, את ההשלכות האפשריות ועד כמה מתוחכם עלול להיות היריב שלך. עליך להיות זהיר בבחירת התוכנה שלך, ולהצטייד בתוכנית גיבוי למקרה שתיתפס.
-
ויקיפדיה: מעקבים המונים ומעקבים. ↩︎
-
מועצת הפיקוח על הפרטיות וחירויות האזרח של ארצות הברית: דיווח על תוכנית רישומי הטלפון שנערכה לפי סעיף 215 ↩︎
-
ויקיפדיה: מעקב קפיטליזם ↩︎
-
"ספירת רעות" (או, "רשום את כל הדברים הרעים שאנו יודעים עליהם"), כפי שעושים חוסמי פרסומות ותוכנות אנטי-וירוס רבות, לא מצליח להגן עליך כראוי מפני איומים חדשים ולא ידועים מכיוון שהם עדיין לא נוספו לרשימת המסננים. אתה צריך גם להשתמש בטכניקות הפחתה אחרות. ↩︎
-
האומות המאוחדות: הכרזה אוניברסלית על זכויות אדם. ↩︎