מסננת וירטואלית.

משה למפרט, י' בטבת תשס"ו,

לבן ריק
לבן ריק
צילום: ערוץ 7

הפעם, בניגוד להרגלי כאן בבלוג, אני בוחר לעסוק בנושא קצת טכני וממוחשב. חורי אבטחה. גם מי שאינו איש טכני או שאינו רוצה להיות כזה, חייב להיות מודע לסכנות העולות מהחורים הללו לו ולפרטיותו.

בחרתי שלא לכתוב על הדברים הרגילים והמוכרים,על וירוסים, על אבטחת מחשב אישי ודברים דומים אלא על אבטחת אתרי אינטרנט ושרתים שעליהם מאוחסן המידע הפרטי שלנו. השתדלתי גם להימנע ככל הניתן מעיסוק במינוחים טכניים, אלא בחרתי להתמקד במה שמעניין את הגולש הפשוט וזה המעט מתקדם יותר -  מה אפשר לעולל לו. בלי קצת טכני אי אפשר, כך שלפני כן אסביר כמה מושגים פשוטים.

קוד מקור - קוד מקור של האתר. ניתן לצפות בו בלחיצה על מקש ימני > הצג מקור.
מספר/ID - מספר רציף שנוצר על ידי מסד נתונים לרשומה בטבלה. המספר יכול להיות שייך למסתמש, פורום, הודעה או דבר דומה. למשל, מספר הבלוג שאתם קוראים בו עכשיו הוא 1.

חשוב לציין שאני לא חושף כיצד ניתן לנצל חורי אבטחה קיימים, אלא רק חורים שכבר תוקנו או ניתן למנהל האתר מספיק זמן על מנת לתקנם. אין לי עניין לקלקל אלא להכריח את אותם בעלי אתרים לתקן ולהפסיק לזלזל לנו בפרטיות.

כל מי שכותב באופן קבוע בפורומים הדורשים הרשמה, ודאי יודע שיש לכל גולש במערכת מספר. המספר נוצר אוטומאטית בעת ההרשמה שלו לאתר, והוא מספר קבוע, חד-ערכי המייצג את הגולש במערכת האתר. מספר חד-ערכי כזה יש גם לפורומים, הודעות, בלוגים וכל מערכת "חכמה" אחרת. את המספר הזה כל אחד יודע (בדרך כלל) וניתן להפיק אותו מהקישור לכרטיס האישי של הגולש.

לעיתים מערכת האתר אינה מאובטחת כמו שצריך, וניתן לנצל את העובדה הזו לרעה.

מקרה "כיפה".
אתר כיפה, שהוקם בשנת תש"ס הינו דוגמא מאלפת למסננת מלאת חורים שניתן לכתוב עליה ספר שהכותרת שלו היא "כך לא בונים אתר".

באמצע שנת תשס"ד נתקלתי באחד הפורומים בגולש ששמו א. שקיבל לפתע צבע סגול של מנהל בפורום. הבן אדם עצמו לא ידע להסביר במה מדובר, אולם זה סיקרן אותי לחקור. הצצתי בקוד המקור של דף שליחת ההודעה בפורומים, ולפתע צדה עיני את הדבר הזה:


אני יודעת שיש חור אבל אל תפרסם את זה.
 -מנהלת אתר ידוע

<input type="hidden" name="userid" value="3054">

לא צריך להיות מומחה בשביל להבין מה כתוב פה. כתוב פה (בתוך מקור הדף !!) את המספר של הגולש השולח את ההודעה. כלומר, השרת סומך על הגולש, שיחזיר לו את המספר שלו.

בשלב הזה החלטתי לנסות לשנות את המספר. נעזרתי ב-"שמירה בשם" ופתחתי את הדף בפנקס רשימות. עוד מספר שינויים והדף המזוייף מוכן. כתבתי בתוכו 2 מילים ולחצתי על "שלח".
ההודעה נשלחה לפורום, כשלידה מתנוסס שמה של מנהלת שאת מספרה אני כתבתי שם (מה שגרר תגובה נזעמת של א., אחר כך מישהו סיפר לי שהוא חשש שהצצתי לה למסרים האישיים ואני תהיתה מה הקשר. לימים - התחתן עם אותה המנהלת.).

יהיו עכשיו כאלו שיגידו שחורים כאלו הם בעייתו של בעל האתר בלבד. אני חושב שמדובר בבעייה של הגולשים שניתן לכתוב בשמם הודעות.

עוד חור אבטחה בכיפה שלא נחקר די הצורך: שימו לב שניתן לשלוח הודעות בפורומים מוגנים בסיסמא, על ידי שינוי המספר של הפורום בכתובת של טופס הודעה חדשה (http://www.kipa.co.il/community/newm.asp?id=43 למשל). דיווחתי להם על החור הזה לפני שנה וחצי והם עדיין לא תקנו אותו.

עד למועד פירסום המאמר - לא ניתן היה להשיג את תגובת הנהלת הקהילות בכיפה. ביקשתי, שלחתי עותק ולא עזר. תגובתם תתקבל בברכה במערכת התגובות.

מורשת, חור ברשת
כמה שנים קודם לכן, חשפתי חור אבטחה פשוט עוד יותר לניצול באתר מורשת. כתבתי אז בפורום של עזרא וניסיתי (בתמימות) לנסות להדגיש כותרת של הודעה. אז לא שלטתי כ"כ באבטחה ולא ידעתי שניתן לנצל את זה לרעה כ"כ כמו שאני יודע היום. באותה התקופה התחלתי לשחק עם הפורומים של עזרא ופירסמתי שם (בפורום הגוסס) את הקישור לאתר.

אולם, במקום לשים קישור כמו כל אחד, ניצלתי את החור הנ"ל וכך כתבתי בכותרת ההודעה:

</a><a href=http://www.ezraygccjb.net>פורום חדש לעזרא

היום לא פועל אתר בכתובת הזו, אבל כך בערך זה היה. כל מי שלחץ על ההודעה חשב לתומו שיפתח את ההודעה שלי, כשלמעשה הוא הוקפץ לדף האתר.
לאחר מכן קיבלתי מייל מנומס של אחת העובדות במורשת (כמדומני ששמה היה ציפי) שביקשה ממני יפה "לא להשתמש יותר בטריקים של HTML", זאת במקום לצעוק על האידיוט שכתב את הקוד של הפורומים על כך שהוא מסכן את הפרטיות של הגולשים ושל אנשי המערכת.

בתקופה הזו היה ידוע גם שניתן להיכנס לתפריטי הניהול של האתר בעזרת זיוף עוגיות. אני באופן אישי לא בדקתי את זה כך שאני לא יודע איפה זה היה ומה יש שם היום. אני בהחלט מקווה שהחור הזה כבר נסתם וב-"מורשת" לא מזלזלים בפרטיות הגולשים.

הבעיה הקשה במקרים הללו ודומיהם לא היתה חור האבטחה עצמו (שנגרם, אגב מהרגלי תכנות גרועים במיוחד) אלא התגובה של הנהלת האתר. רק איום בפרסום גרם להם לתקן חורים, וישנם כאלו שלא תוקנו עד היום.

ולא מדובר רק באתר כיפה ומורשת, רק שאת כיפה על מעלליו אני מכיר לעומק ואת השאר אני לא חקרתי ולא מכיר. את זה עשו אחרים. ידוע לי בעבר על חורי אבטחה חמורים במיוחד שהיו (ואולי עדיין קיימים) גם במערכות פופולאריות אחרות. רק קצת (ובאמת קצת !) ידע טכני ואתה בפנים.

נכון שזה לא נעים שכל אחד עם קצת ידע יכול להציץ לכם בתיבת המסרים האישיים באיזה אתר? או לשנות/לגנוב את הסיסמא ולפרוץ אחר כך לעוד מקום ? או סתם לשנות פרטים אישיים ? או לשלוח הודעות בשמכם ?

בשבוע הבא בעז"ה - מה זה עוגיות, מה זה הרגלי תכנות גרועים, חור באתר של עמותת שירות לאומי וחור אבטחה נוסף של אתר "כיפה".