אפוקליפסת ה-cert מתחילה בישראל

אל תהיו חלק מהסטטיסטיקה, בידקו את תעודת האבטחה שלכם עוד היום
תעודת האבטחה של אינטרנט ישראל

גולשים ישראלים מדווחים בימים האחרונים על בעיות בגישה לשורה ארוכה של אתרים, כולל כאלה השייכים לגופים ממשלתיים ולחברות וארגונים מרכזיים. אזרח שניסה להיכנס למשל לבנק הדואר בשעת כתיבת שורות אלו, נתקל בתמרור אדום, שלווה באזהרה בולטת: "החיבור שלך אינו פרטי". ואם זה לא היה מפחיד מספיק, מתחתיו נכתב גם כי "ייתכן שתוקפים מנסים לגנוב את המידע שלך".

החיבור שלך אינו פרטי - צילום מסך
החיבור שלך אינו פרטי – צילום מסך

כך קרה למשל למי שנכנס לאתר של בנק הדואר אתמול, על פי דיווחים של אזרחים רבים ברשת, גם ניסיון להגיע לאתרים אחרים הסתיים לאזהרות דומות. הארגון האחראי להשבתה הודיע שבעוד שישה שבועות, אתרים רבים נוספים בישראל יושבתו כליל.

האם מדובר בתוצאה של טרור רשתי? האקרים מאנונימוס שמצליחים לשם שינוי לגרום נזק של ממש?
לא בדיוק. מי שעומד מאחורי המתקפה הזאת הוא באמת ארגון חזק. אחד החזקים ברשת למען האמת, ויכול להיות שהשם שלו יישמע לכם מוכר. שמעתם פעם על חברה בשם גוגל? היא האחראית.

עם זאת, הפעם קשה להאשים אותה בהתנהגות זדונית, למרות שאין ספק שהיא מנצלת פה את הכוח שלה כדי לכפות שינוי על הרשת, הפעם היא באה בטוב. לגוגל וגם למוזילה שאחראית לפיירפוקס, נמאס מההפקרות בכל הנוגע לאבטחה ברשת, וזה חלק מהפעילות שלהן לעידוד חיבורים מוצפנים אמינים. אז את מי אפשר להאשים? את החלמאות והחובבנות הישראלית הרגילה, כמובן.

אבל מה זה אומר בעצם?
כל העולם מדבר על גלישה מאובטחת ומוצפנת, אבל לא תמיד מסבירים מה זה. אם אתם גולשים בפיירפוקס או בכרום, הציצו למעלה, לשורת הכתובת. רואים מנעול ירוק חביב ליד? זה אומר שכל התעבורה בין הדפדפן שלכם לבין האתר מוצפנת. זה חשוב אם צד שלישי (למשל בעל בית הקפה המפעיל את הרשת האלחוטית שדרכה אתם גולשים) מנסה להציץ לכם. אם התעבורה מוצפנת, הוא לא יכול לעשות את זה. אתר מוצפן מתחיל בכתובת https (ולא http) ויש לידו מנעול ירוק.

מה שקריטי לענייננו, הוא מה שמכונה "תעודת האבטחה" או "תעודת ה-SSL". כדי שהדפדפן יהיה בטוח שהאתר שייך למי שהוא טוען שהוא שייך, ועל כן ההצפנה שלו אמורה להיות בטוחה הוא צריך לקבל אישור מגורם חיצוני. הגורם הזה הוא שורה של חברות שזוכות להכרה של הדפדפנים.

כדי לקבל את ההכרה, או ׳חתימת האמון׳ הזו הגוף המנפיק את תעודת האבטחה צריך לעמוד בקריטריונים קשוחים. אם אתר משתמש בתעודת אבטחה שאינה בתוקף או שאינה נחשבת אמינה, הדפדפן לא יאפשר לגולש להיכנס אליה. מה שנראה זה הודעה שתעודת האבטחה לא בתוקף.

ישנן לא מעט חברות כאלו ואחת הגדולות שבהן היתה חברת האבטחה סימנטק – וכאן מתחילה הבעיה. בחקירה, שתוצאותיה פורסמו באוקטובר 2017, התגלו פגמים מהותיים (ורבים) בתהליך החתימה בחברת סימנטק. החקירה הובילה לצעד חריף וחריג: חוקרי אבטחה וארגונים רבים קבעו חד משמעית שהתעודות של סימנטק מהוות סיכון אבטחה, וקראו לארגונים להחליף אותן לאלתר.

גוגל וגם פיירפוקס הודיעו שהן מפסיקות לתמוך בתעודות אבטחה של הארגון הזה (בינתיים, פעילות תעודת האבטחה שלו נמכרה). כיוון שמדובר בשינוי משמעותי, החברות הודיעו שלמרות שהן מעודדות את כל הארגונים להחליף את תעודות האבטחה שלהן. אבל, זה לא מספיק, והן הזהירו שהחל מגרסה כרום 66 ופיירפוקס 60 שיצאו ממש עכשיו, הן יפסיקו לתמוך בתעודות של סימנטק שהונפקו לפני הראשון ליוני 2016. זה כולל גם חברות בנות שלה (כמו Thawte, VeriSign, Equifax, GeoTrust ו-RapidSSL) יפסיקו להיתמך.

ההכרזה הזו יצאה לפני כמה חודשים על מנת שחברות, ארגונים וממשלות המשתמשים בתעודות האבטחה האלו יוכלו להחליפן ללא לחץ. ובכן, נחשו מי לא החליף את התעודות האלו? ארגונים מובילים בישראל שברגע שמשתמשים בישראל קיבלו את העדכון של כרום 66 (או פיירפוקס 60) הפסיקו לעבוד.

בנק הדואר, אתר הרכבת ועוד אתרים רבים בישראל שמתחילים לא לעבוד עכשיו הם רק טעימה,. בהמשך, זה רק יהיה יותר גרוע, כי כפי שגוגל הודיעה – מכרום 70 ופיירפוקס 63 שאמורות לצאת באוקטובר 2018 – שום תעודת אבטחה של סימנטק לא תתמך יותר. נחשו איזו שורה של ארגונים מובילים עדיין לא שינתה את תעודות האבטחה למרות ההתרעה החמורה? חברת החשמל, משרד הבריאות, משרד החינוך, הבורסה לניירות ערך ועוד גופים רבים שלא נערכו.

איך רואים אם התעודה לא תקינה או תפסיק להיות תקינה?

לוחצים על המנעול הירוק ומתחת ל-certificate לוחצים על המילה valid. האם אתם רואים את השם של סימנטק או Thawte, VeriSign, Equifax, GeoTrust ו-RapidSSL? זו תעודה שתפסיק לעבוד באוקטובר 2018 ותגרום לאתר לא לעבוד.

מי שלא רוצה להתאמץ, יכול לבדוק את האתר באמצעות SSL Checker – מכניסים את הכתובת ומקבלים חיווי מתי תעודת האבטחה תפסיק לעבוד. מה שיפה הוא, שאם תכנסו לבית החולים רמב״ם, תגלו שהתעודה נקנתה באוגוסט 2017 למשך 3 שנים, שזה חודשים ארוכים אחרי שיצאה ההודעה על הפסקת התמיכה בתעודות מהסוג הזה. מדהים, לא?

מנהלי האבטחה של הארגונים האלו היו צריכים להחליף את התעודה כבר עם ההכרזה של גוגל ופיירפוקס שהתעודות האלו לא בטוחות. ואם לא, הם היו צריכים להחליף את התעודה ברגע שהודיעו על כך שהדפדפנים מפסיקים לתמוך בהם. אבל כאמור, כבר עכשיו אתרים מובילים מתחילים ליפול ובאוקטובר 2018 שורה עצומה של אתרים ממשלתיים מובילה תפסיק לעבוד. לא צריך האקרים אנונימיים. כל מה שצריך זה רק קצת פרטאץ׳ ישראלי.

מה עושים על מנת לא להכנס לסטטיסטיקה

אם אתם מתכנתים, בוני אתרים, מנהלי אתרים או בעלי אתרים, בידקו עכשיו אם התעודה שלכם עומדת לפוג. (באמצעות SSL Checker או ידנית כפי שהסברתי לעיל). במידה והתעודה לא תקינה – החליפו אותה עכשיו. אפשר להחליף את התעודה בחינם באמצעות השירות lets encrypt – ארגון הנתמך על ידי החברות הגדולות בתעשיה ומעניק תעודות אבטחה ללא עלות. תעודת האבטחה שלי היא מהארגון הזה.

תעודת האבטחה של אינטרנט ישראל
תעודת האבטחה של אינטרנט ישראל

אני מודה מאוד לאקטיביסט נעם רותם על המידע במאמר ובכלל על ההשראה הכללית.

המאמר פורסם בהארץ לראשונה.

עדכון: יאפ, גם אתר הכנסת….

אתר כנסת ישראל לא עובד
אתר כנסת ישראל לא עובד

פוסטים נוספים שכדאי לקרוא

צילום מסך של סוואגר
יסודות בתכנות

openAPI

שימוש בתשתית הפופולרית למיפוי ותיעוד של API וגם הסבר בסיסי על מה זה API

מיקרו בקרים

חיבור מצלמה למיקרובקר

חיבור מצלמה למיקרו בקר ויצירה של מצלמת אבטחה מרחוק בעלות של 20 שקל.

רספברי פיי

התקנת OpenCanary על רספברי פיי

מה זה OpenCanary ואיך אפשר להתקין אותה על רספברי פיי ולשדרג את אבטחת הרשת הביתית או המשרדית.

גלילה לראש העמוד