אחד מהטרנדים המאוסים שיש בשנים האחרונות הוא קמפיין ׳הפתעה׳. מה זה אומר? במשך שבועות מפציצים אותך בפרסומות מסקרנות ומעניינות על מנת לייצר שיח. הפרסומות האלו אמורות לסקרן ולעניין (בפועל הן בדרך כלל מעצבנות ומשעממות) ואז, כשהמטרה האמיתית תחשף הו-הו-הו יהיה רעש ובאזז ציבורי.
לא מזמן החל בישראל קמפיין מסוג זה שכנראה נשפך עליו לא מעט כסף כי גם אני הצלחתי להחשף אליו למרות שאני לא ממש רואה טלוויזיה, שומע רדיו והיו בלוק שלי עובד שעות נוספות. הקמפיין הוא ׳ביו חכם לכולם׳. האם זה פרסומת ליוגורט חדש? לטלפון חכם? לזרוע ביונית שתשטוף כלים? אנחנו לא אמורים לדעת, לפחות כרגע.
שלא כמקובל, יחד עם קמפיין ההפתעה הזה הושק גם אתר שכרגע אין בו הרבה. כתובת האתר היא bio.org.il.
כל דומיין שנרשם בישראל ובעולם כולל רישום של שם הבעלים. אם זה אתר פרטי, כמו האתר הזה, רשם הדומיינים שהוסמך לכך מטעם חברת ICANN שזה ראשי תבות של Internet Corporation for Assigned Names and Numbers ירשום את השם שלי והפרטים שלי ברשומות. על מנת לשלוף את הנתונים הצמודים לכל שם דומיין אני צריך פשוט לשלוח שאילתה פשוטה למאגר הנתונים המתאים. יש לא מעט אתרים המאפשרים שליחת שאילתה כזו בקלות. שם השאילתה נקרא whois. על מנת לגלות מי עומד מאחורי אתר אינטרנט, כל מה שאני צריך לעשות זה לגלל whois כדי לגלות ים של אתרים המציעים את שירות השאילתה, לרשום את כתובת הדומיין ולראות מי עומד מאחוריו.
בדרך כלל לאתרים פרטיים ולאתרי חברות אין מה להסתיר. אבל למי שלא רוצה ששמו וכתובתו יהיו גלויים לכל מען דבעי יכול לשלם כמה דולרים בודדים לרשם הדומיינים ולהפוך את הרשומה לפרטית. זה נעשה באמצעות רישום פרוקסי, רישום שנעשה על שם החברה המארחת ולא על שם מי שרשם את הדומיין. וכך שאילתת ה-whois לא תציג את פרטי מי שרשם את הדומיין. מדובר בהליך מקובל מאוד בדומיינים של קמפייני הפתעה מהסוג הזה.
באופן מפתיע משהו (או לא, תמשיכו לקרוא) באתר הזה הרישום הפרטי לא נעשה למרות שהאתר עלה לאוויר (ונשאלת השאלה למה הוא עלה לאוויר). שאילתת whois הראתה לי שמי שעומד מאחורי הקמפיין הזה הוא לשכת הפרסום הממשלתית – כלומר לפ״מ:
descr: Israeli Government Advertising Agency descr: 9 Ehad Haam descr: Tel Aviv
גם אתם יכולים להריץ שאילתת whois למי שבא לכם או לבדוק את אתר bio.org.il בקישור הזה ובעשרות הדומים לו ברשת.
קמפיין על ׳ביו׳ שמאורגן על ידי לשכת הפרסום הממשלתית? מה-זה-יכול-להיות-?!? רק דבר אחד: קמפיין לטובת המאגר הביומטרי. וכך ההפתעה נחשפה מוקדם מהצפוי, כמה חבל.
כמובן שהדבר מעורר מחשבות נוגות על אבטחת המידע שיש בממשלת ישראל ועד כמה באמת המאגר הביומטרי יהיה מאובטח אם אפילו את הקמפיין שלו הוא לא מסוגל לאבטח כמו שצריך.
באופן אישי, לא הייתי נותן לארגון שמתנהל כך את השם הפרטי שלי, שלא לדבר על טביעת האצבע שלי. שדרוג חכם? בואו נדבר על אבטחת מידע מינימלית שלא תחשוף את ההפתעה שלכם מוקדם מהצפוי.
הערה: זו קצת נבזות כמובן להסיק על רמת האבטחה של המאגר הביומטרי מכשל שמי שאחראי לו הוא סוכנות פרסום ממשלתית. אבל המאגר הזה הוא תאונה מתמשכת של פאשלות שקורות בכל שלב שהוא, אפילו בקמפיין. הזדמנות מצוינת לומר שעדיף מאוד שלא לשתף איתו פעולה וגם ללמוד מעט על whois.
נ.ב. אפילו לא דיברתי על חוסר ההטמעה של תגיות בסיסיות שגורמות לאתר להראות כך בחיפוש בגוגל:
הערה נוספת – לביא שיפמן מנטצ׳יף ציין ש:
״רישום שם מתחם בסיומת IL תחת PROXY אינו אפשרי. הדבר קיים בעיקר בסיומות COM ו-ORG אבל לא ב-ccTLD.״.
זה מסביר למה כל קמפייני ההפתעה השונים נעשים תחת דומיין .com או שפשוט לא מרימים את האתר עד שההפתעה נגלית. דבר שלא נעשה פה.
לא לגמרי מסכים איתך.
כן מסכים שהמאגר הזה ככל הנראה לא מאובטח. כן מסכים שכל עוד אני יכול, האצבע שלי לא נכנסת לשם.
לא מסכים שבגלל שגילית מי הפעיל את הקמפיין, וחשפת את ההפתעה, זו ראיה לכך שהמאגר לא מאובטח, אתה בוודאי יודע שמדובר בגוף אחר לחלוטין.
ברור, בגלל זה הוספתי הערה:
״זו קצת נבזות כמובן להסיק על רמת האבטחה של המאגר הביומטרי מכשל שמי שאחראי לו הוא סוכנות פרסום ממשלתית. אבל המאגר הזה הוא תאונה מתמשכת של פאשלות שקורות בכל שלב שהוא, אפילו בקמפיין. הזדמנות מצוינת לומר שעדיף מאוד שלא לשתף איתו פעולה וגם ללמוד מעט על whois.״
אם אתה חושב שאפשר לנסח את זה יותר ברור, רק תגיד 🙂
מאמר משעשע ומחכים. תודה.
לא ניתן לעשות רישום ע״י חברת פרוקסי, אבל בהחלט ניתן לרשום על שמות בדויים למשל…