שפה היא וירוס?

צנזורה למען אבטחה: יאהו! מודה ששינתה טקסטים בהודעות שנשלחו באמצעות מערכת הדואר אלקטרוני שלה מבלי ליידע את המשתמשים. זאת, כדי לחסום פקודות מסוימות בג'אווה סקריפט

אם אי פעם שלחתם הודעת דואר באנגלית באמצעות מערכת הדואר האלקטרוני של אתר יאהו! (Yahoo! Mail), בה ביקשתם מהמרצה שלכם באוניברסיטה כי יבדוק עבודה שחיברתם, בנושא ספרות אנגלית בימי הביניים, ולא קיבלתם תשובה, כעת תבינו למה.

יאהו! אישר אתמול (ד') כי הוא מפעיל תוכנה במערכת הדואר האלקטרוני הפופולרית שלו, שמשנה אוטומטית מלים מסוימות בהודעות דואר אלקטרוני של גולשים למלים נרדפות, על מנת לשמור על אבטחת המערכת ומחשבי הנמענים.

יאהו! סרב למסור באילו מלים מדובר, אך על פי דיווח באתר חדשות הטכנולוגיה Cnet, התוכנה משנה מלים כמו mocha (מוקה) ל- espresso (אספרסו), eval ל-review ו-JavaScript ל java-script.

על כן, כל מי ששלח מסמך קורות חיים באמצעות דואר אלקטרוני וביקש מהנמען לבדוק (evaluate) אותו, המלה שונתה ל- reviewuate. מלה כמו medieval (של ימי הביניים) שונתה ל-medireview.

דוברת יאהו! מסרה כי התוכנה שמשנה מלים היא אמצעי אחד מתוך כמה שמשמשים את החברה כדי להבטיח אבטחה נאותה במערכת הדואר אלקטרוני. הבעיה עם מלים כמו mocha, אמרה הדוברת, היא כי מלבד סוג קפה, הן משמשות כפקודות בשפת ג'אווה סקריפט, שעלולות לשמש פורצים כדי להפעיל יישומים מזיקים במחשב האישי של הנמען מתוך הודעות דואר אלקטרוני בפורמט HTML.

ג'אווה סקריפט היא שפת תכנות בסיסית באינטרנט, אשר כוללת פקודות המורות לדפדפן לפתוח חלונות נוספים ולבצע פעולות נוספות.

למשל, הפקודה Mocha, שניתנת להרצה מדואר אלקטרוני, עשויה לגרום לדפדפן לפתוח חלון נסתר שיאפשר לפורץ לשנות סיסמאות של הגולשים ללא ידיעתם. כדי למנוע פגיעה מסוג כזה במשתמשי הדואר האלקטרוני, התוכנה של יאהו! סורקת הודעות דואר אלקטרוני של משתמשים ומחליפה את מלות המפתח. זאת, מבלי להודיע להם על כך.

בעוד חלק ממומחי האבטחה, בהם אלכס שיפ מחברת האנטי וירוס MessageLabs, סבורים כי התוכנה שהפעיל יאהו! היא אמצעי סביר לשמירה על אבטחת המערכת, אחרים מצביעים על כך שאף שירות דואר אלקטרוני לא מצא לנכון להשתמש בשיטה דומה.

"התוכנה שמשנה מלים עושה רושם של תוכנה מבוגגת ולא תוכנת אבטחה", אמר ריצ'ארד סמית, מנהל אתר האבטחה ComputerBytesMan.com. לדבריו, חברות אבטחה אינן נוהגות לשנות טקסט בהודעות והן חוסמות האקרים בשיטות קונבנציונליות יותר.

דובר מיקרוסופט מסר, כי "הוטמייל", שירות הדואר האלקטרוני המקוון של החברה, חוסם הפעלה של קודים זדוניים במערכת, ובהם קודים בג'אווה סקריפט, כדי להגן על המשתמשים, וזאת, מבלי לשנות מלים שכלולות בהודעות הדואר אלקטרוני.

ניסיון למצוא מלים לא אנגליות כמו "reviewuate" ו-"medireview" במנוע החיפוש "גוגל" הניב אלפי תוצאות. למשל, חיפוש המלה Medireview מעלה 1,170 תוצאות. הדבר מספק יותר מרמז לגבי כמות המלים והמכתבים ששינתה מערכת הדואר האלקטרוני של יאהו! עד היום.

עם זאת, הודעת ניסיון עם המלים eval ו- mocha שנשלחה באמצעות יאהו מייל אתמול (ד') התקבלה ללא שינוי. עם זאת, יאהו! לא מסר אם חדל להשתמש בתוכנה שמשנה מלים בהודעות.