שימוש הוגן: עוד כשל אבטחה באתר "פרסי"

1. מה קורה עם הדואר האלקטרוני ב-013 ברק?

הגולש ד., מנוי של חברת 013 ברק, התלונן כי על תקלות ובעיות בשירות הדואר האלקטרוני של החברה, שנמשכות מספר ימים. לדבריו, חלק מההודעות שהוא שולח אינן מגיעות ליעדן, ואילו אחרות מגיעות אמנם, אך באיחור ניכר. אישור לתלונתו קיבלנו בעת שיחת טלפון למוקד התמיכה הטכנית, בה שמענו הודעה מוקלטת בזו הלשון: "גולשים יקרים, עקב עומס בשרתי הדואר, ייתכנו בעיות בשליחת וקבלת דואר אלקטרוני".

כאשר פנינו לחברת 013 ברק ותהינו לגבי התקלה, נאמר לנו כי "הפניה נבחנת ביסודיות על ידי החברה. אנו מניחים כי הסיבה לתלונות שהוזכרו נקודתיות, ונובעות מהתקפות דואר זבל ווירוסים המתרחשות ברשת האינטרנט ומשפיעות על כל ספקי האינטרנט כאחד בארץ ובעולם. אנו עושים כמיטב יכולתנו על מנת להתגונן מההתקפות ולספק ללקוחות את השירות המהיר והמקצועי ביותר".

שאלנו אם החברה אינה רואה בשיבושים בני כשבוע בשרותי הדואר האלקטרוני בעיה חמורה, ונעננו כי, "אמנם דואר אלקטרוני ואינטרנט הוא כלי עבודה חשוב, אך זוהי הטכנולוגיה המותקפת ביותר ונתונה לשינויים דחופים עקב כך". למרות שכולנו ערים לכך שדואר אלקטרוני הוא כלי עבודה ראשון במעלה בימינו, מספר תלונות בנושא זה שהגיעו אלינו בתקופה האחרונה מעוררות את השאלה אם נעשה די כדי להבטיח זמינות השירות במשך 24 שעות ביממה.

2. אבטחת מידע בעיריית חיפה

הגולש ש. התלונן כי בניגוד לכתוב, אתר התשלומים של עיריית חיפה אינו מאובטח, והנתונים המועברים בו אינם מאובטחים באמצעות SSL. מבדיקה שערכנו מסתבר כי ככל הנראה מדובר בבעיה תדמיתית יותר מאשר טכנולוגית.

ינון אקסלרוד מצוות הפיתוח של האתר, הבהיר כי כתובת האתר אותה רואים הגולשים מתייחסת ל"אתר תוכן המאוחסן בחוות השרתים של חברת נטוויז'ן ומאובטח על ידה. שרת זה אינו כולל SSL ואין עליו יישומים הדורשים אבטחה שכזאת. באתר זה מערכת התשלום מוצגת בחלון צף באמצעות טכנולוגיית Iframe, המציגה את דף התשלום מתוך שרת אחר". 

לדבריו, לא ניתן לגלוש למערכת התשלום שלא בתצורת https (תצורת גלישה מאובטחת) ושרת זה כולל תעודת SSL בתוקף". הוא מסביר כי ניתן לראות את אישור האבטחה גם ב"חלון המארח", באמצעות קליק ימני על דף התשלום, בחירה ב-Properties ולחיצה על כפתור Certificats.

"הבעיה כאן היא למראית עין בלבד", אמר אקסלרוד. "מדובר בבעיה בשימושיות (הנדסת אנוש) ולא באבטחה. מכיוון ואנו מציגים חלון בתוך חלון, המשתמש מקבל את ההרגשה שהוא בחלון לא מאובטח. בפועל ההפך הוא הנכון, שכן "התשלום" מתבצע במסגרת חלון פנימי מאובטח ובשרת אחר".

"עיריית חיפה אינה מאחסנת נתונים היכולים לפגוע בפרטיות הלקוחות על שרתי האינטרנט שלה. הטרנזקציה מתבצעת בזמן אמת ולא נשמר כל מידע שעלול לשמש או לגרום נזק ללקוחות". בכל מקרה, המצב הנוכחי הוא זמני וישופר עם העלאת האתר החדש בקרוב, הוא הבטיח. 

3. מעקב: אתר "פרסי"

בשבוע שעבר פרסמנו ידיעה אודות פירצת אבטחה באתר "פרסי", שאפשרה למשתמש מרוחק לפרסם נתונים בדף ספציפי באתר. הפירצה סייעה לכל גולש להזין נתונים בשורת הכתובת של הדפדפן, ולהציגם באתר עצמו, בצורה מקוונת. קיים חשש כי הנתונים הללו הוזנו אל בסיס הנתונים של האתר, ואם כך, מתעורר חשש כי גורמים זדוניים יגשו למסד הנתונים וייצפו בנתונים המאוחסנים בו.

השבוע קיבלנו תלונה נוספת המתייחסת לפירצה דומה, המאפשרת לשלב קוד בשורת הכתובת בדפדפן, שבאמצעותו ניתן לגנוב קבצי Cookie של משתמשים רשומים באתר, בהם מאוחסנים בדרך כלל פרטים מזהים כגון שם משתמש וסיסמה, וכך ניתן לבצע login מבלי שהמשתמש ידע, ולעיתים אף לבצע רכישות על חשבונו.

על פי אבירם חניק, מנכ"ל חברת האבטחה Beyond Security, "ההתקפה נקראת בשפה הטכנית cross site scripting ומוגדרת כהתקפה בסיכון בינוני". לדבריו, "הקוד רץ בצד הלקוח ולא בצד השרת, ולכן כנראה שאי אפשר לחדור איתו לשרת".

חניק מתאר את תסריט לדוגמה: שליחת קישור על מבצע חדש באתר למשתמש רשום, שלוחץ על הקישור ובינתיים, ללא ידיעת המשתמש ומבלי שיוכל להתגונן, הקוד שנשתל בדף לקח את קובץ ה-Cookie מהדפדפן ושלח אותו לתוקף. כעת מסוגל התוקף לעשות login למערכת, ולקנות על חשבון המשתמש הרשום, בתוך שהוא משנה את כתובת המשלוח כדי שהמוצר יגיע לביתו שלו.

לדברי חניק, הפריצה מאפשרת לבצע מתקפה נוספת, פשוטה יותר, אך בו בזמן גם מסוכנת יותר, כפי שהדגים בתרחיש הבא: "נניח שגורם זדוני ישלח לגולש קישור והוא ילחץ עליו. הקישור יוביל אותו לדף שבו כתוב כי אתר "פרסי" זקוק לפרטי כרטיס האשראי שלו, ומבקש ממנו לעבור לאתר matkif.com כדי להזינם. מכיוון שהגולש מכיר את אתר 'פרסי' ורכש מהם בעבר, הוא אינו חושד. בשלב הבא, הוא עלול לעבור לאתר matkif.com ולתת למתקיף את הפרטים האישיים שלו".

חניק מסביר כי אין צורך בידע רב על מת לבצע מתקפה כזו, ומצד שני, לא מסובך לתקנה. "זו פירצה טריוויאלית, שצריך היה לתקן אותה לאחר שנתגלתה הפירצה הקודמת. הדבר אינו כרוך בפיתוח מחודש של האתר, אך כן מחייב בדיקה יסודית של האבטחה", הוא אמר.

מה יכולים הגולשים לעשות נגד מתקפה כזו?

"הלקוח לא יכול להתגונן. הלקוח אפילו לא מודע לכך שהפרצה קיימת, ואולי גולש זה או אחר כבר הותקף".

מאתר פרסי נמסר "אתר פרסי שם בראש מעייניו את נושא אבטחת המידע באתר. כל פניה אלינו בנושא נבדקת ומטופלת מיידית על ידי מחלקת אבטחת המידע".

נפגעתם משירות לקוי של ספק האינטרנט? קניתם מודם או מעבד וגיליתם שעבדו עליכם? שלחו את תלונתכם אלינו ל-computers@y-i.co.il.