על חוק, כבשים וסדר

לאחרונה שוחרר תוסף לפיירפוקס שנקרא Firesheep, המאפשר פריצה לחשבונות כגון דואר אלקטרוני, פייסבוק וכו’ בקלות רבה כל-כך שלא צריך להיות האקר מיומן כדי לעשות את זה

לאחרונה שוחרר תוסף לפיירפוקס שנקרא Firesheep, המאפשר פריצה לחשבונות כמו דואר אלקטרוני, פייסבוק ועוד בקלות כה רבה שלא צריך להיות האקר מיומן כדי לעשות את זה. כך זה עובד: המשתמש מתקין את התוסף Firesheep על המחשב שלו ויוצא ל”צייד” במקומות בהם ישנה רשת אלחוטית לא מאובטחת כגון בתי קפה, שדות תעופה וכו’. ה-Firesheep “מרחרח” באותה רשת לא מאובטחת, וכשהוא מוצא קבצי cookies (קבצים אשר שומרים נתונים מסוימים בזמן הגלישה) לאתר ספציפי כגון פייסבוק, טויטר או אמזון, הוא מעתיק אותם ומאפשר למשתמש בו את הגישה לחשבון הלגיטימי של גולש אחר.

לדוגמא, אתה גולש ברשת אלחוטית חינמית (שלא מצריכה שם משתמש וסיסמא) בבית קפה ואתה נכנס לחשבון הפייסבוק שלך. אני יושב בשולחן שלידך באותו בית קפה ומריץ את ה Firesheep. עכשיו יש לי גישה לחשבון שלך, אני יכול לשלוח הודעות בשמך, ולראות את כל מה שאתה רואה כולל רשימת החברים וכו’. אם אתה משתמש בטויטר, אני יכול “לצייץ” בשמך. רוב האתרים שמצריכים שם משתמש וסיסמא יכולים להיפרץ על ידי שימוש ב Firesheep.

זמן קצר אחרי שהתוסף Firesheep שוחרר, אדם אחר כתב תוכנה אחרת וקרא לה Idiocy (אידיוטיות). בעיקרון Idiocy עושה בדיוק את אותו הדבר רק שהיא מוגבלת לחשבונות טויטר בלבד. אחרי שהתוכנה זיהתה את קבצי ה cookies של הגולש היא שולחת הודעה שאומרת “גלשתי בטויטר בצורה לא מאובטחת ברשת ציבורית, וכל מה שקיבלתי הוא ‘ציוץ’ עלוב”.

הרעיון שעומד מאחורי Firesheep ו- Idiocy הוא העלאת המודעות לבעיות המהותיות של אבטחה ופרטיות. אתרים כמו פייסבוק, טויטר, יאהו, אמזון וכל אתר אחר שדורש סיסמא צריך להשתמש בפרוטוקול https כל הזמן, לא רק במסך הכניסה.

ישנה גם השאלה החוקית והאתית בשימוש בתוכנות כאלו. החוק משתנה ממדינה למדינה ואפילו יכול להשתנות בין מדינות בתוך ארצות הברית. אני מנחש (לא מבטיח) שלא בלתי חוקי להשתמש ב Firesheep כדי להעתיק קבצי cookies. אך ברגע שעשיתם דאבל-קליק על תמונת המשתמש כדי להיכנס לחשבון שלו, קרוב לודאי שעברתם על החוק. כרגע המומחים בנושא החוק ואבטחת המידע עדיין חלוקים בדעתם לגבי חוקיות השימוש בתוסף. באופן אישי אני לא יתקין את התוכנה Idiocy כיוון שבאופן אוטומטי היא תבצע חדירה בלתי חוקית לחשבון אחר.

לפני שאתה מתקין ו/או משתמש ב Firesheep בדוק את החוקים המקומיים שמתייחסים לכך. יש סיכוי גבוה שבעצם התקנת התוכנה אתה עובר על החוק. באופן אישי אני חושב שזה לא יהיה אתי לעשות את זה, אפילו מתוך הכוונה הטובה ביותר של להזהיר את חבריך מפני הסכנות שבגלישה לא בטוחה.

ובלי קשר, Firesheep הפכה את השימוש ברשתות ציבוריות למסוכנות יותר מבעבר. ניתן לקרוא מידע נוסף על התגוננות ברשתות ציבוריות במאמר Fly-by-Wireless.

Avatar

רנדי אברמס

הצטרף ל- ESET ביולי 2005 בתפקיד הדירקטור לחינוך טכנולוגי. במסגרת תפקידו מעביר רנדי הדרכות לעובדי ומפיצי ESET בכל העולם. לפני שהצטרף ל- ESET עבד רנדי בחטיבת אבטחת המידע של מיקרוסופט במשך 12 שנים בפיתוח תהליכים שמטרתם למנוע ממיקרוסופט לשחרר תוכנות נגועות.

הגב

1 תגובה על "על חוק, כבשים וסדר"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אלי
Guest

כותבים “אני אתקין” ולא “אני יתקין”.

wpDiscuz

תגיות לכתבה: