האקרים חכמים בעלי יכולת לשבש מערכת בחירות ודאי היו משתמשים ביכולת הזו להביא לבחירתם של אנשים שהם רוצים מבלי למוטט את המערכת, ולא לגרום לביטול סתמי של הבחירות.
יותר מכל דבר אחר, באם זה ציטוט האשמת ההאקרים מדויק, אולי הוא מצביע על כך שהבעיה האמיתית של עריכת בחירות "דיגיטליות" בישראל אינה קשורה לבחירת טכנולוגיה מתאימה אלא בכך שחברות הIT הגדולות בישראל הרבה יותר טובות בלשכור עובדים בשכר נמוך מאשר בפיתוחים מורכבים.
פרוטוקול הSSL בסך הכל היה צריך להבטיח שני דברים:
בשביל לזהות את האתר ולתאם את ההצפנה, האתר שגולשים אליו שולח הודעה קצרה החתומה על ידי חברה שהורשתה לכך* המאשרת שמי ששולח את ההודעה הוא הבעלים של האתר.
הכל טוב ויפה, אבל בשבוע שעבר התברר שהשאלה "ומי ישמור על השומרים?" רלוונטית מאין כמותה לSSL. מסתבר שהיתה פריצה למחשבים של חברה הולנדית שעסקה בהנפקת ה"אישורים" לאתרים, והפורצים הצליחו להנפיק לעצמם אישורים לאתרים שבברור לא שייכים להם, כמו אתרי גוגל.
עד כאן זה סיפור ממש לא טוב, אבל זו לא הפעם הראשונה שבצורה דומה יותר או פחות, גורמים לא מאושרים הצליחו לקבל אישור בדרכים לא "חוקיות", אבל נסיון ההשתקה של החברה גרם לכך שעכשיו כאשר הסיפור התגלה אין ברירה אלא לשאול את עצמנו האם כל המקרים עד היום היו באמת יוצאי דופן כמו שהיה נוח להאמין.
לפי המאמר של אחד מאנשי מוזילה, האישורים הלא חוקיים החלו להיות מונפקים ב10 ביולי. למרות שהחברה ידעה על הפריצה כבר ביולי אך נדרש גילוי של שימוש לא חוקי באישור שלה באירן בכדי שהענין יתגלה וחברות הדפדפנים ישנו את ההגדרות כך שהדפדפנים לא יסכימו יותר לקבל את האישורים של אותה חברה.
אני חושב שבשבוע שעבר יצאו עדכוני אבטחה לכל הדפדפנים, אבל כמה פעמים בחודש הזה נכנסתם לאתר שחשבתם שהוא גוגל ושלחתם כרגיל את שם המשתמש והסיסמא שלכם? מי יודע מה הסיכוי שלפחות פעם אחת במקום להגיע ישירות לגוגל הם נשלחו דרך שרת מתחזה וכרגע לבעלים שלו יש את שם המשתמש והסיסמא שלכם והוא יכול לקרוא את כל תכתובות הדואל שלכם מהגימייל שבטח מכילות גם סיסמאות לשירותי רשת אחרים?
יותר גרוע, זה שעכשיו יודעים שהבעיה קיימת בכלל לא אומר שאנשים לא יפלו יותר בפח מאחר שהרבה אנשים לא מוכנים לשדרג את הדפדפנים שלהם.
מילא אם זו היתה בעיה מקומית והחברה ההולנדית היתה מנפיקה אישורים רק לאתרים הולנדיים, אבל מאחר שכל חברה יכולה להנפיק אישור לכל אתר תוכלו לראות שבין האישורים המזויפיםם יש גם אישור לוואלה, האתר של המוסד וגם לאתרים של חברות אחרות שמנפיקות אישורים.
נסיון ההסתרה שנחשף לחלוטין במקרה, מעורר את השאלה למה בעצם שהחברות האלו יגלו שיש להן בעיות אבטחה? וכמה פעמים כבר הוסתרו מקרים כאלו בעבר על ידי חברות אחרות?
המסקנה שאני מסיק מכל הענין הוא שמי שמסתמך על זה שהוא מוגן ברגע שהוא רואה ציור של מנעול סגור (או אמצעי ויזואלי אחר בו משתמשים הדפדפנים לציין שהאתר אושר), הוא חצי מטורף. אנחנו יודעים שברשימת האתרים הנוכחיית לא היה אף בנק ישראלי, אבל האם מישהו יכול להשבע שמחר לא יפרצו לספק אישורים ויצליחו להנפיק אישור מתחזה לאתר של בנק הפועלים, או שיותר גרוע – שזה כבר קרה? אני יודע שאני חוזר על עצמי, אבל במיוחד לאור הגילוי הזה השיטה של הבנקים בה הם מסתמכים רק על אישור חתום שלהם ושם משתמש וסיסמא שנשלחים מהדפדפנים היא פשוט הפקרות.
* מי שבפועל מאשר את החברות המאשרות הוא יצרני הדפדפנים שביכולתם להחליט האם האישורים שמנפקת חברה מסוימת יחשבו לאמינים או לא.
ארבע שעות עמדו עשרות, מאות ואולי אלפי שרתים, באחד מחוות השרתים שממוקמת בסנטלואיס. הסיבה – מישהו (אני מנחש שהיה לו מידע פנימי) הצליח למחוק את ההגדרות ומערכת ההפעלה משלושה נתבים של סיסקו שחיברו את חוות השרתים לעולם. כמה נזק נגרם לבעלי האתרים איש כנראה לא יודע, אבל יש לי הרגשה שבעלי האתרים הגדולים יותר ידרשו פיצוי, או לחלופין יוציאו את השרתים שלהם.