גולשים ישראלים מדווחים בימים האחרונים על בעיות בגישה לשורה ארוכה של אתרים, כולל כאלה השייכים לגופים ממשלתיים ולחברות וארגונים מרכזיים. אזרח שניסה להיכנס למשל לבנק הדואר בשעת כתיבת שורות אלו, נתקל בתמרור אדום, שלווה באזהרה בולטת: "החיבור שלך אינו פרטי". ואם זה לא היה מפחיד מספיק, מתחתיו נכתב גם כי "ייתכן שתוקפים מנסים לגנוב את המידע שלך".
כך קרה למשל למי שנכנס לאתר של בנק הדואר אתמול, על פי דיווחים של אזרחים רבים ברשת, גם ניסיון להגיע לאתרים אחרים הסתיים לאזהרות דומות. הארגון האחראי להשבתה הודיע שבעוד שישה שבועות, אתרים רבים נוספים בישראל יושבתו כליל.
האם מדובר בתוצאה של טרור רשתי? האקרים מאנונימוס שמצליחים לשם שינוי לגרום נזק של ממש?
לא בדיוק. מי שעומד מאחורי המתקפה הזאת הוא באמת ארגון חזק. אחד החזקים ברשת למען האמת, ויכול להיות שהשם שלו יישמע לכם מוכר. שמעתם פעם על חברה בשם גוגל? היא האחראית.
עם זאת, הפעם קשה להאשים אותה בהתנהגות זדונית, למרות שאין ספק שהיא מנצלת פה את הכוח שלה כדי לכפות שינוי על הרשת, הפעם היא באה בטוב. לגוגל וגם למוזילה שאחראית לפיירפוקס, נמאס מההפקרות בכל הנוגע לאבטחה ברשת, וזה חלק מהפעילות שלהן לעידוד חיבורים מוצפנים אמינים. אז את מי אפשר להאשים? את החלמאות והחובבנות הישראלית הרגילה, כמובן.
אבל מה זה אומר בעצם?
כל העולם מדבר על גלישה מאובטחת ומוצפנת, אבל לא תמיד מסבירים מה זה. אם אתם גולשים בפיירפוקס או בכרום, הציצו למעלה, לשורת הכתובת. רואים מנעול ירוק חביב ליד? זה אומר שכל התעבורה בין הדפדפן שלכם לבין האתר מוצפנת. זה חשוב אם צד שלישי (למשל בעל בית הקפה המפעיל את הרשת האלחוטית שדרכה אתם גולשים) מנסה להציץ לכם. אם התעבורה מוצפנת, הוא לא יכול לעשות את זה. אתר מוצפן מתחיל בכתובת https (ולא http) ויש לידו מנעול ירוק.
מה שקריטי לענייננו, הוא מה שמכונה "תעודת האבטחה" או "תעודת ה-SSL". כדי שהדפדפן יהיה בטוח שהאתר שייך למי שהוא טוען שהוא שייך, ועל כן ההצפנה שלו אמורה להיות בטוחה הוא צריך לקבל אישור מגורם חיצוני. הגורם הזה הוא שורה של חברות שזוכות להכרה של הדפדפנים.
כדי לקבל את ההכרה, או ׳חתימת האמון׳ הזו הגוף המנפיק את תעודת האבטחה צריך לעמוד בקריטריונים קשוחים. אם אתר משתמש בתעודת אבטחה שאינה בתוקף או שאינה נחשבת אמינה, הדפדפן לא יאפשר לגולש להיכנס אליה. מה שנראה זה הודעה שתעודת האבטחה לא בתוקף.
ישנן לא מעט חברות כאלו ואחת הגדולות שבהן היתה חברת האבטחה סימנטק – וכאן מתחילה הבעיה. בחקירה, שתוצאותיה פורסמו באוקטובר 2017, התגלו פגמים מהותיים (ורבים) בתהליך החתימה בחברת סימנטק. החקירה הובילה לצעד חריף וחריג: חוקרי אבטחה וארגונים רבים קבעו חד משמעית שהתעודות של סימנטק מהוות סיכון אבטחה, וקראו לארגונים להחליף אותן לאלתר.
גוגל וגם פיירפוקס הודיעו שהן מפסיקות לתמוך בתעודות אבטחה של הארגון הזה (בינתיים, פעילות תעודת האבטחה שלו נמכרה). כיוון שמדובר בשינוי משמעותי, החברות הודיעו שלמרות שהן מעודדות את כל הארגונים להחליף את תעודות האבטחה שלהן. אבל, זה לא מספיק, והן הזהירו שהחל מגרסה כרום 66 ופיירפוקס 60 שיצאו ממש עכשיו, הן יפסיקו לתמוך בתעודות של סימנטק שהונפקו לפני הראשון ליוני 2016. זה כולל גם חברות בנות שלה (כמו Thawte, VeriSign, Equifax, GeoTrust ו-RapidSSL) יפסיקו להיתמך.
ההכרזה הזו יצאה לפני כמה חודשים על מנת שחברות, ארגונים וממשלות המשתמשים בתעודות האבטחה האלו יוכלו להחליפן ללא לחץ. ובכן, נחשו מי לא החליף את התעודות האלו? ארגונים מובילים בישראל שברגע שמשתמשים בישראל קיבלו את העדכון של כרום 66 (או פיירפוקס 60) הפסיקו לעבוד.
כצפוי, עם שחרור גרסה 66 של כרום בשבוע שעבר החלו לצוץ האתרים הבעייתיים. בנק הדואר משתמש בתעודת אבטחה מיושנת מ-2015, כך שכל מי שמשתמש בגרסה האחרונה של כרום חסום מלגשת לחשבונו.
אין כאן שום תירוץ פרט לחוסר מקצועיות מצד בנק הדואר.
ותודה ל-@gal_sha_sha על הדיווח pic.twitter.com/l3gCYkFYCh— Noam R (@noamr) April 24, 2018
בנק הדואר, אתר הרכבת ועוד אתרים רבים בישראל שמתחילים לא לעבוד עכשיו הם רק טעימה,. בהמשך, זה רק יהיה יותר גרוע, כי כפי שגוגל הודיעה – מכרום 70 ופיירפוקס 63 שאמורות לצאת באוקטובר 2018 – שום תעודת אבטחה של סימנטק לא תתמך יותר. נחשו איזו שורה של ארגונים מובילים עדיין לא שינתה את תעודות האבטחה למרות ההתרעה החמורה? חברת החשמל, משרד הבריאות, משרד החינוך, הבורסה לניירות ערך ועוד גופים רבים שלא נערכו.
גם אתר הרכבת. סלחו לי על הצילום, אמא שלחה לי pic.twitter.com/8gpJQcrJCs
— roi shikler (@roishik) April 24, 2018
איך רואים אם התעודה לא תקינה או תפסיק להיות תקינה?
לוחצים על המנעול הירוק ומתחת ל-certificate לוחצים על המילה valid. האם אתם רואים את השם של סימנטק או Thawte, VeriSign, Equifax, GeoTrust ו-RapidSSL? זו תעודה שתפסיק לעבוד באוקטובר 2018 ותגרום לאתר לא לעבוד.
מי שלא רוצה להתאמץ, יכול לבדוק את האתר באמצעות SSL Checker – מכניסים את הכתובת ומקבלים חיווי מתי תעודת האבטחה תפסיק לעבוד. מה שיפה הוא, שאם תכנסו לבית החולים רמב״ם, תגלו שהתעודה נקנתה באוגוסט 2017 למשך 3 שנים, שזה חודשים ארוכים אחרי שיצאה ההודעה על הפסקת התמיכה בתעודות מהסוג הזה. מדהים, לא?
מנהלי האבטחה של הארגונים האלו היו צריכים להחליף את התעודה כבר עם ההכרזה של גוגל ופיירפוקס שהתעודות האלו לא בטוחות. ואם לא, הם היו צריכים להחליף את התעודה ברגע שהודיעו על כך שהדפדפנים מפסיקים לתמוך בהם. אבל כאמור, כבר עכשיו אתרים מובילים מתחילים ליפול ובאוקטובר 2018 שורה עצומה של אתרים ממשלתיים מובילה תפסיק לעבוד. לא צריך האקרים אנונימיים. כל מה שצריך זה רק קצת פרטאץ׳ ישראלי.
מה עושים על מנת לא להכנס לסטטיסטיקה
אם אתם מתכנתים, בוני אתרים, מנהלי אתרים או בעלי אתרים, בידקו עכשיו אם התעודה שלכם עומדת לפוג. (באמצעות SSL Checker או ידנית כפי שהסברתי לעיל). במידה והתעודה לא תקינה – החליפו אותה עכשיו. אפשר להחליף את התעודה בחינם באמצעות השירות lets encrypt – ארגון הנתמך על ידי החברות הגדולות בתעשיה ומעניק תעודות אבטחה ללא עלות. תעודת האבטחה שלי היא מהארגון הזה.
אני מודה מאוד לאקטיביסט נעם רותם על המידע במאמר ובכלל על ההשראה הכללית.
עדכון: יאפ, גם אתר הכנסת….
7 תגובות
איך לא שמעתי על זה קודם? ???
אם אני רוצה להכנס לאתר של הרכבת ומקבל את ההודעה הזאת, אין שום דרך לעקוף את זה?
יש,
לוחצים על ADVANCED ואז על Proceed to … בהודעה שמופיעה בהמשך
נו, בטח.
אם האתר שלך בכל מקרה עובד רק עם מיקרוסופט אקספלורר בגרסאות 6 עד 9, למה שיהיה לך איכפת עם פיירפוקס 63 לא מקבל את תעודת האבטחה שלך?
הבעיה היחידה שנתקלתי עם lets encrypt זה שלא מצליח לעשות את החידוש באופן אוטומטי. משהו דפוק עם ה cron Jobs.
החלום שלי הוא להיות אקטיביסט. מישהו יודע מהם הקריטריונים לקבלת התואר הזה?
המקרה הכי אירוני הוא שגם אתר חיל המודיעין נפל בזה…
https://www.aman.idf.il/