אחרי הרבה זמן שלא הייתי שם, אתמול יצאתי לעבוד קצת בקפה הנרייטה*. פתחתי את המחשב, התחברתי לרשת, ולאחר שעברתי ב"דף נחיתה" מטופש גלשתי לאתר כלשהו. הייתי די בהלם כאשר ראיתי שאת ראש האתר מעטר באנר של המסעדה, דבר שלא יצא לי לראות ולשמוע עליו יותר מ5 שנים לפחות. הסתקרנתי מאוד ובדקתי את קוד הHTML. תוך מספר שניות היה לי ברור שמדובר בהזרקת קוד שמתבצעת על ידי הנתב האלחוטי לתוך הדף שמתקבל מהאתר, ובאותו רגע כמעט קמתי וברחתי מהמקום.
גם אם אנשים מקבלים בתור הנחת עבודה שכאשר הם עובדים דרך רשת פתוחה, כל המידע שהם שולחים באופן לא מוצפן נגיש לבעל הרשת, עדיין הם מצפים שהצפנה תגן עליהם, אבל הזרקת קוד משנה את כל חוקי המשחק.
בהנרייטה בסך הכל מזריקים באנר, אבל באותה צורה יכלו להזריק קוד javascript שקורא את שם המשתמש והסיסמא גם מדפים המוגנים בSSL ושלח אותם לנתב דרך פניה לכתובות מיוחדת או על ידי הוספת פרמטרים לכתובת שאליה נשלחת טופס הכניסה לאתר. למעשה יכול להיות יותר גרוע ומאחר שאני כבר בתוך האתר, הקוד שמוזרק "יעזוד" לי לבצע כל מיני העברות כספים לאנשים שממש זקוקים להם.
הבעיה היא שלמרות שמתקפות נגד SSL ברשת ציבורית, כמו הרעלת DNS, היו ידועות מזמן, הן דרשו מעט תחכום והבנה. הזרקת קוד מורידה את סף הידע הדרוש לרמה של ילדי סקריפטים**.
בכל פעם מחדש מפחיד אותי לחשוב על כמות האנשים שניגשים לחשבון הבנק שלהם מבתי קפה ומקום העבודה…. לא הגיע הזמן שהבנקים הישראלים יקחו את נושא אבטחת המידע טיפה יותר ברצינות?
*ארלוזורוב פינת הנרייטה סולד קרוב לדרך נמיר בתל אביב, למי שממש מתענין, מקום ממש נחמד לטעמי.
** ילדי סקריפטים הוא מינוח שמתיחס לאנשים שאין להם את היכולת הטכנית למצוא פרצות אבטחה בעצמם ומה שהם עושים הוא פשוט שימוש בסקריפטים שהם מוצאים ברשת, הרבה פעמים בלי להבין אותם.