רשתות אלחוטיות פתוחות: סכנה ממשית לפרטיות שלכם

בכל פעם שאתם מצייצים בטוויטר או מעדכנים סטטוס בפייסבוק ומשתמשים ברשת אלחוטית פתוחה, אתם חושפים את המידע האישי שלכם לכל מי שנמצא בטווח קליטה. כעת, תוסף קטן לפיירפוקס הופך את העניין לפשוט במיוחד גם עבור משתמש חטטן ממוצע ולא רק מומחי אבטחת מידע. אור בוטון מסביר כיצד תוכלו להגן על פרטיותכם גם ברשתות ציבוריות

כמו שכל משתמש מתחיל יודע, אבטחת מידע אינה דבר שיש לזלזל בו. כולנו כבר שמענו על סיפורי האימים של אלו שלא נקטו באמצעים בשביל לשמור על המידע שלהם וביטחונם ברשת. אבל עם זאת, לרובנו עדיין ישנם הרגלים מגונים שקשה להפטר מהם ואחד מהם הוא שימוש ברשתות אלחוטיות ציבוריות פתוחות.

לכאורה, לא מדובר בעניין של מה בכך – סביר להניח שהנתב האלחוטי בבית הקפה המקומי אינו תחת שליטה של מישהו בעל כוונות זדוניות והאזנה לתקשורת אלחוטית עדיין מצריכה שימוש בכלים וידע שעולה על זה של האדם הממוצע מהרחוב. מה שגם, נראה שרוב האתרים החשובים כיום עברו להשתמש בתקשורת HTTPS מאובטחת ומוצפנת בכל הנוגע לשלב הכניסה לאתר עם שם המשתמש והסיסמא, דבר שמוריד את הסיכון בצורה משמעותית. הלא כן?

זאב בעור כבש-אש

לרוע המזל, המצב הוא שונה לחלוטין ממה שמניחים הרוב ולאריק בטלר, מפתח תוכנה מסיאטל, יש מה להגיד בנושא – והוא לא רק אמר, הוא גם ביצע.

בכנס אבטחת המידע Toorcon 12 בסאן-דיאגו, המתקיים בימים אלה, הציג אריק בטלר את “כבשת האש”, Firesheep, שצפוייה לגרום ללא מעט שריפות בחברות הגדולות שמאחורי האתרים הפופולריים ביותר כמו פייסבוק וטוויטר. מדובר בתוכנת פריצה קטנה ופשוטה לשימוש, המאפשרת לכל דיכפין לשבת איתכם בבית הקפה ולחטט בחשבון שלכם בפייסבוק בזמן שאתם טורחים לעדכן את העולם על כמות הקצף במשקה שלכם. אופן פעולת התוכנה  מתבסס על כך שאתרים רבים המאבטחים את שלב הכניסה לאתר, רובם אינם טורחים לאבטח חלק אחר אך חשוב לא פחות: את העוגיה (Cookie) שמכילה את המידע של הביקור (סשן) שלכם באתר.

התוכנה מותקנת כתוסף עבור הדפדפן פיירפוקס ומאזינה לתעבורת הנתונים ברשת האלחוטית אליה מחובר המחשב בניסיון לאתר תשדורת של קבצי Cookies הנשלחים לדפדפנים של מחשבים אחרים באותה הרשת. שלא כמו רשתות מאובטחות, רשתות אלחוטיות פתוחות מפרסמות את המידע המועבר דרכן לכל כרטיסי הרשת המחוברים אליהן – כולל את התעבורה שלא היתה אמורה כלל להגיע אליהם מלכתחילה. בעוד שבדרך כלל המחשב שלכם מתעלם מהמידע הבלתי נחוץ הזה שלא נוגע אליו באופן אישי, Firesheep עושה בדיוק את ההפך: התוכנה מחטטת בתעבורה שיועדה למחשבים אחרים בשביל לאתר את ה-Cookies הנשלחים מאתרים המוכרים לתוכנה.

ממשק FireSheep (מקור: אתר התוסף)

אבל הסיפור לא נגמר כאן: ברגע ש-Firesheep מאתרת Cookie שהיא מזהה, התוכנה פותחת עבור המשתמש שלה את האפשרות להתחבר אל אותו אתר באמצעות המידע הגנוב ולמעשה להתחזות לאדם אשר אליו נועדה העוגיה מלכתחילה בעוד המשתמש האמיתי נמצא באתר ואינו חושד בדבר.

לתוכנה יש כמובן מגבלות: מכיוון שמדובר בהעתקה של העוגיה בלבד, לא מדובר בגניבה של סיסמאות או השתלטות מלאה על מנויים. למשתמש של Firesheep יש למעשה חלון זמן מוגבל לנצל גישה תחת זהות שאולה לאתר כלשהו. במידה והמשתמש ינסה לשנות משהו באתר שידרוש את סיסמת בעל המנוי, ייתקל החטטן בבעיה. מה שכן, כל שאר הפעולות – פרסום הודעות, עריכה ומחיקה וכמובן צפויה במידע האישי בפרופיל יהיו זמינים בהחלט – דבר שעלול לגרום לגניבת מידע, פרסום הודעות כוזבות וכמובן חשיפה של מידע אישי ופרטי למני חטטנים אקראים או חלילה סטוקרים.

איך לא ליפול ברשת

הפתרון הפשוט ביותר כמובן, הוא לא להתשמש ברשתות פתוחות. אבל מכיוון שלא תמיד מדובר באפשרות מעשית, במיוחד אם אנחנו מנסים לשכנע משתמשים אחרים המבינים קצת פחות בנושא אבטחת מידע או ידינו אינה משגת רכישת מודם סלולרי למחשב הנייד, ניתן לנסות ולבצע שימוש בפרוטוקול HTTPS על גבי HTTP בלתי מוצפן עד כמה שרק אפשר.

Firesheep מתבסס על ההנחה שמידע שרץ בין המחשב לאתר אינו מוצפן. שימוש ב-HTTPS יטפל בבעיה במספר רב של מקרים אלא אם האתר המדובר יתעקש לשלוח לכם את העוגיות ללא הצפנה ויש כאלה. לפיירפוקס כרגיל, פתרונות: תוסף בשם HTTPS Everywhere ידאג להפנות אותכם אל הגרסה המאובטחת של אתרים ידועים באופן אוטומטי שלא ידרוש מכם כל פעולה או התערבות. עבור אלו שאוהבים לעשות את העבודה בעצמם, יש גם את התוסף Force-TLS אשר יעשה את אותה עבודה, אך יצפה ממכם לכוונן אותו באופן ידני לפני השימוש.

אור בוטון

גיק וגיימר מהסוג הישן שזוכר ימים טובים יותר. תושב קבע בכפר הגלובלי של הרשת ואובססיבי לגבי טכנולוגיה, חדשנות ותרבות רשת. בעל חיבה בלתי מובנת למציאות מדומה וכל הקשור בכך.

הגב

11 תגובות על "רשתות אלחוטיות פתוחות: סכנה ממשית לפרטיות שלכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
דורון
Guest

תודה רבה, נושא מאוד חשוב.
כמובן שיש עוד מלא פתרונות לאבטח גלישה ברשת לא מאובטחת ופתוחה, אבל הם מסובכים ומסורבלים למשתמש הממוצע… יש המון פתרונות ברשת… התחום הכי פרוץ כמובן זה עולם המוביילז, שם בכלל סדום ועמורה…

איתן כספי
Guest

וכמובן, בזמן שהפורץ משתמש באתר בעזרת העוגיה, הוא יכול גם לשנות את הסיסמה ואת שאלת ההזדהות… ואז כל החשבון בידיו והבעלים המקורי נשאר בחוץ… וכך הזמן הקצר הופך לקבוע…

ים מסיקה
Guest

איתן, אני מאמין שאתה טועה.
קשה מאוד טכנולוגית להסיק את הסיסמה מהעוגיות, ומכיוון שפייסבוק מבקש להזין שוב את הסיסמה הקודמת על מנת להחליף את הנוכחית (מנגנון הזדהות מוכר) אין אפשרות להחליף את הסיסמה.

אמיר
Guest

ים, אם כבר הגענו עד הלום, הרי כבר בטח השתלטנו על חשבון הג’ימייל של המסכן\נה (או כל ווב מייל אחר..) ובמקרה כזה אבקש מפייסבוק – forgot my password והופ כל מה שאתה צריך נמצא במייל..

ים מסיקה
Guest

gmail (שלדעתי הספק הכי גדול לחשבונות מייל בעולם כיום) משתמש ב-SSL by default אם אני לא טועה, בניגוד לפייסבוק, כך שהשתלטות על המייל לא עד כדי כך בטוחה.

גילעד
Guest

חבל שאין פייסבוק עם HTTPS שיהיה יותר מאובטח

miko
Guest

בטח שיש, פשוט גלוש ל:
https://login.facebook.com/login.php

שמור את זה כבוקמארק בלפטופ שלך ככה שגם מבתי קפה מפוקפקים תתחבר בדיוק מהכתובת הזו! כך גם לגבי GMAIL למקרה שלא הגדרת אותו כHTTPS מראש.

אגב שאלה קטנה – אם במכשיר הסלולרי שלי אני תמיד מחובר ככה שכשאני בבית קפה או WIFI פתוח אני לא נאלץ להקיש סיסמא, האם עדיין אפשר ליירט ולהסניף את הסיסמא? כלומר האם עוגייה של מכשיר סלולרי ניתנת ליירוט בדומה למחשב?

ערן
Guest

יש את https://www.facebook.com
חשוב לשים לב שאין בגרסא המאובטחת של פייסבוק אפשרות לצ’ט…

איתן כספי
Guest

צודק ים, אם יש צורך בהזנת הסיסמה הקודמת, אז זה קשה.

גיאגיא
Guest

בדיוק ראיתי סרטון ביוטיוב שמסביר על זה ומסביר איך להתגונן

“Hacking Facebook: Stay off public wifi… OR ELSE!

רואה חשבון
Guest

חצי עולם כבר גולש על השכנים! חצי שני על הסלולר של החברים! ממש כמו הסיפור “דירה להשכיר” – רק בגרסת האינטרנט האלחוטי. נו שויין…

wpDiscuz

תגיות לכתבה: