איך גוגל השתלטה על האינטרנט

בעוד בית הנבחרים והנשיא האמריקני מתווכחים על הזכות על ה”שאלטר של האינטרנט”, גילינו השבוע כי השאלטר נמצא כבר מזמן בידיים פרטיות, אי שם במאונטיין וויו שבקליפורניה, מאחורי כמה שולחנות ביליארד וערמת כדורים צבעוניים

מוקדם יותר השנה החלו דיונים בבית הנבחרים האמריקאי על הזכות של ממשלת ארצות הברית על האינטרנט ועל האפשרות של מתן הוראה ממשלתית “לסגור את השאלטר” במקרה חירום. באופן אירוני למדי, על אף העובדה שהתשתית הבסיסית של רשת האינטרנט מחולקת בין מספר מוסדות ציבוריים ופרוסה ברחבי ארצות הברית, נראה כי השאלטר האמיתי יושב לו אי שם ב-Mountain View שבקליפורניה, מאחורי כמה שולחנות ביליארד והרבה כדורים צבעוניים.

קשה לי להאמין שמישהו מקוראי האתר עדיין לא מבין היום את עוצמתה של גוגל כאחת הכוחות החזקים ברשת האינטרנט, אך השבוע קרה מקרה שגרם לי להבין שגוגל אכן מחזיקה בידה צרור של מפתחות שיכול בהינף אצבע לסגור עליך את הדלת מבחוץ.

אין מי שיאכוף סטנדרטים? מסתבר שיש

תקנים בתחום אבטחת המידע הם דבר נפוץ במיוחד בעולם העסקי ובייחוד בכל מה שקשור למוסדות פיננסיים ובטחוניים. בתחום האזרחי בכלל ובמגזר הפרטי בפרט, נושא אבטחת המידע הינו בגדר המלצה יחסית מאחר ואין באופן מעשי מי שיוכל לאכוף כל סוג של הנחיות בנושא. כך לפחות חשבנו גם אנחנו, עד שהשבוע נפל גם ניוזגיק קורבן לפירצת אבטחה שנוצלה על-ידי תוקף אלמוני וגרמה למנגנון הסריקה של גוגל לסמן את האתר כאתר “נגוע” ומסוכן למחשבי הגולשים.

השרת של ניוזגיק, רץ על-גבי מערכת הפעלה מוקשחת מבוססת קוד פתוח ומריץ מספר מערכות תוכנה המפעילות את השירותים השונים שאנחנו מספקים. אחד מהשירותים הללו הוא מערכת פרסום החסויות שלנו, המבוססת אף היא על מערכת קוד פתוח והינה אחת ממערכות הפרסום הנפוצות יותר הקיימות ברשת. כפי שהסתבר בדיעבד, מערכת הפרסום שלנו סבלה מפירצת אבטחה שאפשרה לתוקף להטמיע קוד HTML בתוסף לפרסומים שהופיעו באתר. הפירצה עצמה תוקנה על-ידי טלאי אבטחת מידע מיוחד שיצא לפני כמה שבועות, רק מספר ימים אחרי שהפריצה הראשונה שבה נוצלה הפירצה נחשפה לציבור.

מה שקרה השבוע הוא שתוקף (שלפי האיתור שלנו הגיע מפאראגוואי – כנראה כעס שהעיפו אותם מהמונדיאל) הצליח לנצל את הפירצה המדוברת ולהשתיל בבאנרים המופיעים באתר קוד IFRAME שהפנה לאתר המכיל סוס טרויאני (שלמזלנו כבר מוכר לרוב גרסאות האנטי-וירוסים). המזל הגדול שלנו הוא שיש לנו גולשים נאמנים שדיווחו לנו על הבעייה, דקות ספורות לאחר התקיפה ושתילת הקוד כך שיכולנו לטפל בבעייה באופן מהיר למדי. אף על פי כן, נראה שהטיפול היחסית מהיר שלנו בבעייה לא היה מהיר מספיק, שכן לאחר מספר שעות, התחילו דפדפנים שונים כגון פיירפוקס וכרום למנוע כניסת גולשים לאתר עקב דיווח על פעילות של קוד זדוני שנתגלתה באתר.

רק בדיעבד מסתבר שגם פיירפוקס וגם כרום מתבססים על מנגנון סינון האתרים של גוגל ו-Stopbadware.org אשר עובדים יחדיו לצורך הגנה על משתמשים תמימים ובעלי אתרים שנופלים קורבן לפריצות מהסוג המדובר. אז חשבתם שאין מי ששומר עליכם? מסתבר שיש. השאלה היא רק מה המחיר שבעלי האתרים צריכים לשלם.

מה עושים כשגוגל סוגרת עליך את הדלת?

לא עזרה העובדה שהאתר כבר מזמן מעודכן ומשודרג לגרסאות העדכניות ביותר ולא עזרה העובדה שהאתר נקי מאיומים ונבדק על-ידי מספר מנגנוני אבטחה שונים על-מנת לוודא זאת. בגוגל כמו בגוגל, על מנת להודיע להם שהאתר שלך כבר נקי ומתוקן, עליך להירשם לשירות ה-Webmaster Tools של החברה, לרשום לתוכו את האתר שלך (מה שדורש עדכון של האתר עצמו או של שירות ה-DNS לצורך וידוי שייכות) ולאחר מכן לחכות שהמערכת “תזהה” שהאתר שלך נגוע על-מנת שתוכל להגיש בקשה לבחינה מחדש של האתר. האבסורד הוא שהזמן שבין הזיהוי שהאתר נגוע והחסימה של האתר על-ידי מנוע החיפוש והדפדפנים ועד שהמערכת של גוגל מזהה את העובדה שהאתר נגוע ומאפשר להגיש בקשה לבחינה מחדש עלול להגיע לכמה שעות. באותן כמה שעות, אין לכם יותר מדי מה לעשות בנושא חוץ מלשבת ולטפס על הקירות בתקווה שבפעם הבאה שתרפרשו את המסך, המערכת כבר תזהה את האתר כנגוע (וכל זה, שעות אחרי שכבר ניקיתם אותו).

שירות לקוחות הוא לא מילה גסה

שירות הלקוחות של גוגל בכל מה שאינו קשור באופן ישיר להכנסות מפרסום הוא החיסרון הגדול ביותר שלה. לא רק שאין שום אפשרות ליצור קשר עם נציגים ולשאול שאלות, גם אם וכאשר תגיעו לטופס כלשהו ליצירת קשר בנושא מסוים (ויצא לנו למלא כמה עשרות כאלה בשנים האחרונות) הסיכוי שתקבלו משהו חוץ ממענה אוטומטי (במקרה הטוב) שואף לאפס.

בחובשי כובע של איש אבטחת מידע, אני מאוד שמח ללמוד שיש שכבה נוספת של הגנה המאפשרת גם למשתמשים תמימים וחסרי אנטי-וירוס להימנע מלהגיע לאתרים בעייתיים, אך בכובע של בעל אתר המשרת אלפי גולשים ביום ופרנסתו תלויה בכך, אני חושב שאם כבר מנסים לעשות משהו טוב, צריך לעשות אותו עד הסוף. רק האפשרות ליצור קשר עם אותו מערך שירות המטפל באתרים שנחסמים הייתה יכולה להוסיף כאן המון.

סוף טוב הכל טוב

בסופו של יום, גם המערכת של ה-Webmaster tools זיהתה את האתר כנגוע (מספר שעות אחרי שכבר ניקינו אותו) והצלחנו להגיש בקשה לבחינה מחדש של האתר, אשר אושרה בזמן מכובד יחסית של פחות מ-12 שעות. חשוב לציין שבעלי אתרים שאינם בקיאים בטיפול בבעיות מהסוג המדובר והינם בעלי קצת פחות תושייה, עלולים לעבור גם כמה שבועות וחודשים עד שגוגל תחליט באופן עצמאי לבחון את האתר מחדש.

אחד הדברים החשובים שלמדנו מהמקרה הזה (למעט העובדה שגם עבור מערכות קוד פתוח יוצאים עדכונים תכופים וחשובים) הוא את המשמעות של הכוח האדיר שנמצא בידיים של חברה אחת והיכולת שלה להרים והפיל עסקים שלמים בהינף אצבע.

אובמה, רצית גישה לשאלטר של האינטרנט? לך תעבוד בגוגל, הרבה יותר פשוט.

Avatar

יניב פלדמן

לשעבר העורך הראשי של גיקטיים ומייסד שותף של האתר. יזם, טכנולוג, כלכלן בהשכלה והיסטוריון חובב. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

15 תגובות על "איך גוגל השתלטה על האינטרנט"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אור
Guest

אני חושב כמוך שטוב שיש את המנגנון הזה להגנה על המשתמשים. בנוסף אני חושב שהאחריות המלאה צריכה להיות על בעל האתר לחלוטין.

שמתי לב שהאתר שלכם הפך להיות לא זמין, אומנם אני משתמש באובונטו והפרצה הספציפית הייתה כנראה מכוונת למשתמשי חלונות – אבל אני שמח שהאזהרה הייתה שם.

הרישום שלכם ב stopbadware מוצג כ http://www.newsgeek.co.il. אני לא באמת יודע איך זה עובד אבל אני מניח שהם לא מכלילים גם תת דומיינים כדי לא לפגוע בלקוחות/מוצרים/שירותים אחרים של אותו דומיין.
אתם יכולים להפוך את האתר לזמין תחת תת דומיין ולפרסם את הקישור אליו בטוויטר, לפחות זה יתן אפשרות לאלו שעוקבים אחריכם גישה כלשהי לאתר.

יניב
Guest

אני מסכים לחלוטין עם אור. מה עם משתמש שלכם נדבק? במיוחד אם היה פאטצ’ זמין כבר לבעית האבטחה, היה עליכם להיות איתו, ו/או להיות מוגנים בדרך אחרת.
אני לא בטוח שנורא נפגעתי מכמה שעות שלא הייתם זמינים, הייתי נפגע הרבה יותר אם הייתי נדבק באיזה כולרה.

חוצמזה, בגדול, חסימת ‘אח גדול’ שכזו (שלא היתה גם false positive ד”א), מורידה את שיעורי ההדבקה האפקטיביים של הכולרות, וזהו יתרון ענק.

אורח
Guest

חחחח אהבתי את השורה הזאת:
“אובמה, רצית גישה לשאלטר של האינטרנט? לך תעבוד בגוגל, הרבה יותר פשוט”.

מדהים כמה כוח יש לגוגל אה? עוד דבר מדהים זה שעם כל האבטחה, ועם האנטי וירוס/ספאם ועם כל התוספים בפיירפוקס שאמורים לחסום אתרים עם קוד זדוני בסופו של דבר מה ש*מציל* אותך זה המנגון סינון אתרים של גוגל. הייתי שמח לקבל איזושהי אזהרה מאחד התוספים האחרים אבל כלום, נאדה.
אני מניח שזה בגלל שנתתי לניוזגיק אישור תמידי בתור אתר לגיטימי כי בד”כ הם עובדים יופי…

אורח
Guest

ד”א, עוד שאלה שלא קשורה לכתבה, למה חובה להכניס דוא”ל כשמכניסים תגובה?

חן לבקוביץ
Guest

אם תירשם ב gravatar גם האתר יציג את התמונה שלך

דוד
Guest

הבעיה מוכרת כבר כמה שנים
http://www.javalobby.org/java/forums/t87997.html
נראה לי שהשירות השתפר לפי זמני התגובה שאתה מתאר

רואה חשבון
Guest

יש איזשהי פופולריות בלרדת על גוגל לאחרונה…
אני חושב שהם חברה מדליקה שעושה דברים מדהימים.

ענת
Guest

יניב, אני בהחלט מסכימה איתך. לגוגל יש עוד הרבה מה לשפר בצד של בעלי האתרים. אני גם נתקלתי במקרה בו כנראה חברה מתחרה “הפציצה” בקליקים לא חוקיים על קמפיין בגוגל, על מנת לגרום לנו להוריד את אותו קמפיין מסוים. פנינו ל”גוגל”, ולתדהמתי וצערי, הם שלחו לנו בתגובה (וגם זה לאחר תזכורות וניג’וסים), שהם לא מצאו פעילות שאינה חוקית בקליקים על הקמפיין, שזה היה בערך כמו להגיד שהשמש זורחת בלילה…

גשם
Guest

יניב, האישה אפרת שהתחילה לעבוד לאחרונה בגוגל, לא עזרה?

גיל
Guest

הנה עוד סיבה לתאוריה ארוכה למה כדאי שדוגל תקרוס וחברות כמו פייסבוק אפל ועוד ישחקו תפקיד כשהכוונה קצת לא ברורה אבל הכוונה שלי היא חברות קטנות יותר שעובדות בשרשרת של חומרה תכנה ואינטרנט ככה שלא ממש תהיה הזדמנות לאגור יותר מדי מידע על משתמש אחד …( כמובן שזה דורש המשך במגמת השיפור של הפרטיות בפייסבוק )
נשמע מדע בדיוני עם גוגל …
בכל מקרה אני דיי סבור שמאוד כדאי שאובמה יקח את השאלטר של האינטרנט ואם אפשר גם את השלטר של אריק שמידט….

אני
Guest

מצבכם טוב.
אני מכיר חברה ישראלית , שכל ההנהלה נסעה לארה”ב לפגישה עם גוגל , אחרי שהם קיבלו “בעיטה” בחיפושים האורגנים. מטרת הפגישה היתה ליישר את ההדורים.

wpDiscuz

תגיות לכתבה: