פרוטוקול הSSL בסך הכל היה צריך להבטיח שני דברים:
- האתר אליו אתה גולש הוא אכן האתר שכתובת שלו מוצגת בשורת הכתובת של הדפדפן
- כל המידע שנשלח לאתר מוצפן בצורה כזו שגם אם מישהו "יאזין" למידע הוא לא יוכל לפענח אותו אם הוא לא בעל האתר.
בשביל לזהות את האתר ולתאם את ההצפנה, האתר שגולשים אליו שולח הודעה קצרה החתומה על ידי חברה שהורשתה לכך* המאשרת שמי ששולח את ההודעה הוא הבעלים של האתר.
הכל טוב ויפה, אבל בשבוע שעבר התברר שהשאלה "ומי ישמור על השומרים?" רלוונטית מאין כמותה לSSL. מסתבר שהיתה פריצה למחשבים של חברה הולנדית שעסקה בהנפקת ה"אישורים" לאתרים, והפורצים הצליחו להנפיק לעצמם אישורים לאתרים שבברור לא שייכים להם, כמו אתרי גוגל.
עד כאן זה סיפור ממש לא טוב, אבל זו לא הפעם הראשונה שבצורה דומה יותר או פחות, גורמים לא מאושרים הצליחו לקבל אישור בדרכים לא "חוקיות", אבל נסיון ההשתקה של החברה גרם לכך שעכשיו כאשר הסיפור התגלה אין ברירה אלא לשאול את עצמנו האם כל המקרים עד היום היו באמת יוצאי דופן כמו שהיה נוח להאמין.
לפי המאמר של אחד מאנשי מוזילה, האישורים הלא חוקיים החלו להיות מונפקים ב10 ביולי. למרות שהחברה ידעה על הפריצה כבר ביולי אך נדרש גילוי של שימוש לא חוקי באישור שלה באירן בכדי שהענין יתגלה וחברות הדפדפנים ישנו את ההגדרות כך שהדפדפנים לא יסכימו יותר לקבל את האישורים של אותה חברה.
אני חושב שבשבוע שעבר יצאו עדכוני אבטחה לכל הדפדפנים, אבל כמה פעמים בחודש הזה נכנסתם לאתר שחשבתם שהוא גוגל ושלחתם כרגיל את שם המשתמש והסיסמא שלכם? מי יודע מה הסיכוי שלפחות פעם אחת במקום להגיע ישירות לגוגל הם נשלחו דרך שרת מתחזה וכרגע לבעלים שלו יש את שם המשתמש והסיסמא שלכם והוא יכול לקרוא את כל תכתובות הדואל שלכם מהגימייל שבטח מכילות גם סיסמאות לשירותי רשת אחרים?
יותר גרוע, זה שעכשיו יודעים שהבעיה קיימת בכלל לא אומר שאנשים לא יפלו יותר בפח מאחר שהרבה אנשים לא מוכנים לשדרג את הדפדפנים שלהם.
מילא אם זו היתה בעיה מקומית והחברה ההולנדית היתה מנפיקה אישורים רק לאתרים הולנדיים, אבל מאחר שכל חברה יכולה להנפיק אישור לכל אתר תוכלו לראות שבין האישורים המזויפיםם יש גם אישור לוואלה, האתר של המוסד וגם לאתרים של חברות אחרות שמנפיקות אישורים.
נסיון ההסתרה שנחשף לחלוטין במקרה, מעורר את השאלה למה בעצם שהחברות האלו יגלו שיש להן בעיות אבטחה? וכמה פעמים כבר הוסתרו מקרים כאלו בעבר על ידי חברות אחרות?
המסקנה שאני מסיק מכל הענין הוא שמי שמסתמך על זה שהוא מוגן ברגע שהוא רואה ציור של מנעול סגור (או אמצעי ויזואלי אחר בו משתמשים הדפדפנים לציין שהאתר אושר), הוא חצי מטורף. אנחנו יודעים שברשימת האתרים הנוכחיית לא היה אף בנק ישראלי, אבל האם מישהו יכול להשבע שמחר לא יפרצו לספק אישורים ויצליחו להנפיק אישור מתחזה לאתר של בנק הפועלים, או שיותר גרוע – שזה כבר קרה? אני יודע שאני חוזר על עצמי, אבל במיוחד לאור הגילוי הזה השיטה של הבנקים בה הם מסתמכים רק על אישור חתום שלהם ושם משתמש וסיסמא שנשלחים מהדפדפנים היא פשוט הפקרות.
* מי שבפועל מאשר את החברות המאשרות הוא יצרני הדפדפנים שביכולתם להחליט האם האישורים שמנפקת חברה מסוימת יחשבו לאמינים או לא.