אחרי הרבה זמן שלא הייתי שם, אתמול יצאתי לעבוד קצת בקפה הנרייטה*. פתחתי את המחשב, התחברתי לרשת, ולאחר שעברתי ב"דף נחיתה" מטופש גלשתי לאתר כלשהו. הייתי די בהלם כאשר ראיתי שאת ראש האתר מעטר באנר של המסעדה, דבר שלא יצא לי לראות ולשמוע עליו יותר מ5 שנים לפחות. הסתקרנתי מאוד ובדקתי את קוד הHTML. תוך מספר שניות היה לי ברור שמדובר בהזרקת קוד שמתבצעת על ידי הנתב האלחוטי לתוך הדף שמתקבל מהאתר, ובאותו רגע כמעט קמתי וברחתי מהמקום.
גם אם אנשים מקבלים בתור הנחת עבודה שכאשר הם עובדים דרך רשת פתוחה, כל המידע שהם שולחים באופן לא מוצפן נגיש לבעל הרשת, עדיין הם מצפים שהצפנה תגן עליהם, אבל הזרקת קוד משנה את כל חוקי המשחק.
בהנרייטה בסך הכל מזריקים באנר, אבל באותה צורה יכלו להזריק קוד javascript שקורא את שם המשתמש והסיסמא גם מדפים המוגנים בSSL ושלח אותם לנתב דרך פניה לכתובות מיוחדת או על ידי הוספת פרמטרים לכתובת שאליה נשלחת טופס הכניסה לאתר. למעשה יכול להיות יותר גרוע ומאחר שאני כבר בתוך האתר, הקוד שמוזרק "יעזוד" לי לבצע כל מיני העברות כספים לאנשים שממש זקוקים להם.
הבעיה היא שלמרות שמתקפות נגד SSL ברשת ציבורית, כמו הרעלת DNS, היו ידועות מזמן, הן דרשו מעט תחכום והבנה. הזרקת קוד מורידה את סף הידע הדרוש לרמה של ילדי סקריפטים**.
בכל פעם מחדש מפחיד אותי לחשוב על כמות האנשים שניגשים לחשבון הבנק שלהם מבתי קפה ומקום העבודה…. לא הגיע הזמן שהבנקים הישראלים יקחו את נושא אבטחת המידע טיפה יותר ברצינות?
*ארלוזורוב פינת הנרייטה סולד קרוב לדרך נמיר בתל אביב, למי שממש מתענין, מקום ממש נחמד לטעמי.
** ילדי סקריפטים הוא מינוח שמתיחס לאנשים שאין להם את היכולת הטכנית למצוא פרצות אבטחה בעצמם ומה שהם עושים הוא פשוט שימוש בסקריפטים שהם מוצאים ברשת, הרבה פעמים בלי להבין אותם.
לא הבנתי, איך הם יכולים להזריק לך קוד לאתר מוגן בSSL מבלי להקפיץ לך אזהרת invalid certificate?
יש לי הרגשה שאתה צודק ואני אדיוט. אני אצטרך לחזור לזירת הפשע ולבדוק שוב את הענין.
לא הבנתי מה הכוונה ל"לא הגיע הזמן שהבנקים הישראלים יקחו את נושא אבטחת המידע טיפה יותר ברצינות?"
מה ההצעות שלך?
אוי, אני צריך למחוק את הפוסט הטפשי הזה או לכתוב לו תיקון.
הענין הוא שכרגע כשאתה עושה פעולה דרך האינטרנט בבנק ישראלי, הבנק לא באמת יודע שאתה עשית אותה, הוא רק יודע שמי שעשה אותה ידע את הסיסמא שלך.
מה שאני רוצה שהבנק יודא את תקפות הפעולה על ידי שליחת SMS לפלאפון שלי, או על ידי העזרות במכשירים שמיצרים קוד חד פעמי שלבנק יש דרך לצפות את הקוד שהם מנפיקים בכל רגע נתון.
הרעיון הוא שמידע כמו סיסמא קל להשיג, אבל הרבה יותר קשה להשיג חפץ פיזי שנדרש להזדהות. אלו דברים שנעשים בהרבה בנקים בעולם ומהבחינה הזו הבנקים בישראל נמצאים לפחות בפיגור של דור.
תודה על הסבר.