Law, Firesheep & Order

מאת רנדי אברמס, דיירקטור לחינוך טכנולוגי, חברת ESET

לאחרונה שוחרר תוסף לפיירפוקס שנקרא Firesheep. התוסף מאפשר פריצה לחשבונות
כגון אי מיילים, פייסבוק וכו' כל כך בקלות כך שלא צריך להיות האקר מיומן כדי לעשות את
זה. כך זה עובד: המשתמש מתקין את התוסף Firesheep על המחשב שלו ויוצא ל"צייד"
במקומות בהם ישנה רשת אלחוטית לא מאובטחת כגון בתי קפה, שדות תעופה וכו'.
ה Firesheep "מרחרח" באותה רשת לא מאובטחת, וכשהוא מוצא קבצי cookies (קבצים
אשר שומרים נתונים מסוימים בזמן הגלישה) לאתר ספציפי כגון פייסבוק, טויטר או אמזון,
הוא מעתיק אותם ומאפשר למשתמש בו את הגישה לחשבון הלגיטימי של גולש אחר.
לדוגמא, אתה גולש ברשת אלחוטית חינמית (שלא מצריכה שם משתמש וסיסמא) בבית
קפה ואתה נכנס לחשבון הפייסבוק שלך. אני יושב בשולחן שלידך באותו בית קפה ומריץ
את ה Firesheep. עכשיו יש לי גישה לחשבון שלך, אני יכול לשלוח הודעות בשמך, ולראות
את כל מה שאתה רואה כולל רשימת החברים וכו'. אם אתה משתמש בטויטר, אני יכול
"לצייץ" בשמך. רוב האתרים שמצריכים שם משתמש וסיסמא יכולים להיפרץ על ידי שימוש
ב Firesheep.

זמן קצר אחרי שהתוסף Firesheep שוחרר, אדם אחר כתב תוכנה אחרת וקרא לה Idiocy
(אידיוטיות). בעיקרון Idiocy עושה בדיוק את אותו הדבר רק שהיא מוגבלת לחשבונות טויטר
בלבד. אחרי שהתוכנה זיהתה את קבצי ה cookies של הגולש היא שולחת הודעה שאומרת
"גלשתי בטויטר בצורה לא מאובטחת ברשת ציבורית, וכל מה שקיבלתי הוא 'ציוץ' עלוב".
הרעיון שעומד מאחורי Firesheep ו- Idiocy הוא העלאת המודעות לבעיות המהותיות של
אבטחה ופרטיות. אתרים כמו פייסבוק, טויטר, יאהו, אמזון וכל אתר אחר שדורש סיסמא
צריך להשתמש בפרוטוקול https כל הזמן, לא רק במסך הכניסה.

ישנה גם השאלה החוקית והאתית בשימוש בתוכנות כאלו. החוק משתנה ממדינה למדינה
ואפילו יכול להשתנות בין מדינות בתוך ארה"ב. אני מנחש (לא מבטיח) שלא בלתי חוקי
להשתמש ב Firesheep כדי להעתיק קבצי cookies. אך ברגע שעשיתם דאבל-קליק על
תמונת המשתמש כדי להיכנס לחשבון שלו, קרוב לודאי שעברתם על החוק. כרגע המומחים
בנושא החוק ואבטחת המידע עדיין חלוקים בדעתם לגבי חוקיות השימוש בתוסף. באופן
אישי אני לא יתקין את התוכנה Idiocy כיוון שבאופן אוטומטי היא תבצע חדירה בלתי חוקית
לחשבון אחר.

לפני שאתה מתקין ו/או משתמש ב Firesheep בדוק את החוקים המקומיים שמתייחסים לכך.
יש סיכוי גבוה שבעצם התקנת התוכנה אתה עובר על החוק. באופן אישי אני חושב שזה
לא יהיה אתי לעשות את זה, אפילו מתוך הכוונה הטובה ביותר של להזהיר את חבריך מפני
הסכנות שבגלישה לא בטוחה.

ובלי קשר, Firesheep הפכה את השימוש ברשתות ציבוריות למסוכנות יותר מבעבר.

על הדרכים להתגוננות מפני התוסף החדש ניתן לקרוא במאמר הבא (זיו)

..

באמת אחד הדברים היותר טובים שקרו באבטחה לאחרונה, אבל אני לא בטוח שהכותרת נכונה, זה שילוב של אי שימוש בהצפנה בנתב האלחוטי ואי שימוש של הצפנה עם האתר.

יש 99% שכל מה שרשמתי הוא טעות.

אוקיי, קודם כל תודה על ההערה, הכותרת תוקנה מעט. שנית, אתה מודע לכך שלך בתור משתמש אין השפעה על פרוטוקול ההצפנה/אי-הצפנה של אתרים (ברוב המקרים. לא תמיד אתה יכול לבחור בשימוש בhttps) ולכן נקודת התורפה הניתנת לתיקון היא רק אבטחת הרשת/מחשב.

בנוגע ל"אחד הדברים הטובים", זה מה שאני אוהב אצל חבורת הקוד הפתוח; היכולת לשחרר כלי האקינג במסווה של "טובת הציבור" עלק.

..

יש מעט השפעה בתור משתמש, כי אם אתה (כמו Facebook) מאפשר לי לגשת אליו ב SSL אבל לא מחייב זאת אז אני יכול לבחור.
אבל לי בתור משתמש אין גם הרבה השפעה על אם יש או אין הצפנה בנתב של ארומה.
יש לי רק את האפשרות שלא להשתמש אם אין, שזו דווקא אפשרות דיי טובה.
בנוגע ל"אחד הדברים הטובים", הכלי הזה לא מחדש משהו שאי אפשר היה לעשות עד עכשיו, הוא רק הופך אותו להרבה יותר נגיש.
באמת שאני לא רואה שום סיבה למפתח של התוסף לשחרר אותו חוץ מכדי לגרום לאתרים/אנשים שאחראים על רשת אלחוטית לא מוצפנת להצפין את התעבורה.

יש 99% שכל מה שרשמתי הוא טעות.

אתה יודע שזה לא כך. מי שלא מצפין את הרשת שלו, זה אחד משנים; או שהוא מעוניין/לא אכפת לו שיגלשו דרכו, או שאין לו מושג בשיט. מי שמעוניין/לא אכפת לו, גם לא יצפין. ומי שאין לו מושג בשיט, גם לא יהיה לו כזה. הרי גם היום חלק גדול מאוד מאלו שכן טרחו להגן על הרשת שלהם, משתמשים באבטחת WEP, שניתנת לפריצה בתוך דקות (באדיבות תוכנה מתוצרת הקוד הפתוח שעסוקה בלהגן על העולם מפני פורצים כמובן...).

..

תראה, זה נכון שהבעיה היא לא בפרוטוקול ה WiFi, כי הוא אמור לעבוד ככה.
ומה לעשות, אם אתה מחובר לנתב אחלוטי שלא ב WPA אתה שולח מידע (כולל את שם המשתמש והסיסמא שלך לכל אתר שאליו אתה מתחבר) באופן גלוי לכל מי שבסביבה.
יש מספר פתרונות, אחד הוא להשתמש בגרסא המוצפנה של האתר, כלומר SSL, אם הוא מספק לך את האפשרות.
הפתרון השני הוא להצפין את החיבור לנתב ב WPA. אתה אומר שמי שהיה יודע שזה חשוב היה עושה את זה כבר עכשיו? זה נכון.
אבל לדוגמא במסעדות ומקומות ציבוריים שבהם ה WiFi מסופק כשירות, ופתוח בכוונת תחילה הפתרון של WPA יכול לעבוד, שכן כל מה שצריך זה להגדיר סיסמא ולהדביק דף עם הסיסמא על הקיר של המקום.
ככה Firesheep לא יעבוד שם, וכולם יוכלו לגלוש.


ובקשר ל:"באדיבות תוכנה מתוצרת הקוד הפתוח שעסוקה בלהגן על העולם מפני פורצים כמובן."
אתה אומר שעדיף שאף אחד לא היה יודע שWEP הוא פרוטוקול שניתן לפרוץ תוך דקה, ורק כמות מאוד מצומצמת של אנשים שעלו על כך לבד פשוט יסתובבו בעולם עם הכלים לפרוץ אותו?
זה מגוחך, זו היא ההגדרה המדוייקת של לטמון את הראש בחול.

יש 99% שכל מה שרשמתי הוא טעות.

אוקיי, אתה מציג מצג של עולם מתוקן, שבו כולם עושים מה שצריך, ואף אחד לא גולש דרך שכניו. אוטופיה. זה לא קרה, לא קורה, ולא יקרה. מה שכן יקרה, זה שחבורה (ועכשיו גם לא מצומצמת) תעסוק בגניבת זהויות לא להם. וזה יהיה להם קל מתמיד. הרי גם כדי לפרוץ הגנת WEP כיום זה לא דבר פשוט; צריך להוריד תוכנה מסויימת שפועלת על לינוקס, לקמפל, ולהריץ אותה על כרטיסי רשת מאוד מסויימים. מה ששוב משאיר אותנו עם חבורה מצומצמת של אנשים שאשכרה עושים את זה.
אני לא אומר לטמון את הראש בחול, אבל הצדקנות הזו לא נראית אמיתית... מה שקורה בפועל זה שלחבורה של ילדים יהיה קל יותר לפרוץ ולעצבן.

..

אתה צודק, והפתרון הוא פשוט. שכל נתב אלחוטי יגיע עם WPA מוגדר אוטומטית ושהמשתמש יצטרך לקבוע את הסיסמא מחדש בהפעלה הראשונית.
זה אפשרי, אבל זה יעלה לחברות שמיצרות את המכשירים יותר (בתמיכה) ולכן אולי זה לא יקרה באופן גורף כפי שהיה רצוי.
אז האפשרות השניה היא שפשוט כל אחד יאבטח את עצמו ואת מי שהוא מכיר ואכפת לו ממנו, ומי שלא - שיהיה חזק, אבל אני לא מסכים שפתרון אפשרי הוא לא לשחרר כלים כאלה.

יש 99% שכל מה שרשמתי הוא טעות.