ביטול HTTPS במדינות רגישות

תקלה שנמשכה כיממה מנעה ממשתמשים רבים בהוטמייל מלהשתמש בשירות בצורה מאובטחת. בצורה מעניינת, המדינות המושפעות כוללות מדינות שנמצאות בחדשות לאחרונה.

מקור: צילום מסך מאתר החברה

במהלך הימים האחרונים התרחשה סאגה לא פשוטה בכלל סביב סוגיית האבטחה של שירות הדואר של חברת מיקרוסופט, הוטמייל . מסתבר שלפני מספר ימים בוטלה האפשרות של משתמשים במדינות מסוימות, שבמקרה יש להן מספר מכנים משותפים, להשתמש בפרוטוקול HTTPS כאשר הם מתחברים לחשבון ה-HOTMAIL שלהם. לכאורה, זה נראה כמו מהלך מכוון של מיקרוסופט, במטרה לתמוך באותן מדינות או להקל על גופי הביון לרגל אחרי התושבים. האמת, כמו במקרים רבים, מסובכת יותר. להלן הפרטים הידועים עד כה.

תחילת הסיפור

הסיפור מתחיל כאשר לפני מספר ימים דיווח ה-EFF כי במספר מדינות ברחבי העולם, מתקשים התושבים להתחבר לשירות הדואר של החברה הוטמייל. המדינות שסבלו מהתופעה המוזרה הזאת כללו את תושבי בחריין, מרוקו, אלג’יריה, סוריה, סודן, איראן, לבנון, ירדן, קונגו, מיאנמאר (לשעבר בורמה), ניגריה, קזאחסטן, אוזבקיסטן, טורקמניסטן, טג’יקיסטן וקירגיסטן, איי פיג’י ועוד. אם נפריד מהקבוצה את מדינות מרכז אסיה, בחלק גדול מהמדינות האחרות שמענו לאחרונה על מרי אזרחי או התקוממות אזרחית כנגד השלטונות.

תושבי מדינות אלו שניסו להתחבר לחשבון ההוטמייל שלהם ורצו לעשות זאת בצורה מאובטחת עם פרוטוקול ה-HTTPS, יכלו בעבר להגדיר אותו כברירת מחדל (החל מדצמבר 2010). המצב החדש איתו הם התמודדו בימים האחרונים היא לא זו בלבד שאין להם יותר את האופציה הזו כברירת מחדל, אלא שאם אם מכריחים את הדפדפן ידנית לגלוש לכתובת של הוטמייל דרך פרוטוקול ה-HTTPS, הם קיבלו הודעת שגיאה שאומרת להם שעבור “סוג החשבון” שלהם, אין להם אפשרות להתחבר לשרתי החברה דרך פרוטוקול ה-HTTPS.

הפתרון שהציעו ב-EFF למי שסובל מהתקלה היא פשוט להיכנס להגדרות החשבון ולשנות את מדינת השיוך של החשבון למדינה אחרת, שבה אין את הבעיות הללו. מי שעשה את זה, יכול היה שוב להתחבר אל חשבון ההוטמייל שלו באמצעות פרוטוקול ה-HTTPS.

זו היתה תקלה

למיקרוסופט לקח זמן, אבל יממה לאחר מכן השיבו ל-EFF כי מדובר בתקלה במערכות החברה, והתקלה תוקנה, ולכל המשתמשים מאותן מדינות שהושפעו חזר השירות לעבוד בצורה תקינה, כולל שימוש בפרוטוקול HTTPS. עוד מסרה מיקרוסופט בתגובת הרשמית, כפי שהתפרסמה באתר ה-EFF, כי אבטחת חשבונות המשתמשים היא בעדיפות עליונה עבור הוטמייל והתמיכה בפרוטוקול ה-HTTPS. החברה מסרה בנוסף כי היא אינה מגבילה בכוונה אזור גיאוגרפי כזה או אחר, וכי התקלה השפיעה על מדינות רבות מכל רחבי העולם.

בהנחה שזו באמת תקלה, זו בהחלט תקלה מוזרה. כיצד זה יתכן שבקבוצת המדינות המושפעות מהתקלה ישנן מדינות כה רבות אשר נמצאות היום במצב של civil unrest? כיצד זה ייתכן שזו תקלה כזו שניתן לתקן אותה פשוט על-ידי שיוך מחדש של החשבון למדינה אחרת? האם מישהו ביקש או דרש ממיקרוסופט לעשות צעד כזה, והיא הסכימה כל עוד זה נשאר חסוי? כנראה שלא, אבל זה לא אומר שהתקלה הזאת לא נראית יותר ויותר כמו חלק ממשהו גדול יותר.

מה אתם חושבים על התקלה המוזרה הזאת, תקלה מקרית, או חלק ממשהו גדול יותר?

Avatar

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

10 תגובות על "ביטול HTTPS במדינות רגישות"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
איתי נחום
Guest

נו באמת
אתה באמת מאמין שזו תקלה ?
כי אם כן זוהי תקלה חמורה מאוד ש”במקרה” פגעה באותן מדינות

בני
Guest

זו קונספירציה מתוחכמת מדי בשבלי מיקרוסופט , זו כנראה באמת תקלה :)

אמיר מנחם
Guest

תקלות כאלו גורמות לחשוב מה קורה בשירותי ה”ענן” שמוכרת מיקרוסופט לחברות
האם גם שם נעלמת פתאום ההצפנה ?
ומה יגידו על כך הלקוחות… מעניין

יניב
Guest

קונספירצייה יותר שווה לדעתי היא שלמי שצריך שיהיה, או למי שדרש ממיקרוסופט, יש את ה-private key של הסרטיפיקט, ולכן זה ממש לא משנה https או לא.

יוסי
Guest

עזוב אותך קונספירציה שווה – זה שרצה את המפתח הפרטי כנראה גנב אותו מקומודו לפני כמה ימים.
כנראה בגלל זה הם מתעסקים שם בהחלפת התעודות.

http://www.crn.com/news/security/229400284/comodo-attack-sparks-ssl-certificate-security-discussions.htm

תומר
Guest

אל תדאג למי שביקש מספיק “יפה” ממיקרוסופט
יש את ה Private Key כבר ממזמן…

חלב סויה
Guest

אלא אם אתה חובב קונספירציות אובססיבי, זה לא באמת רלוונטי אם זה מכוון או מקרי, החלק החשוב הוא הלקח שיש ללמוד מכך לגבי הסתמכות על שירותי ענן.

שחר
Guest

אני לא יודע אם זאת תקלה או לא, אני רק יודע שהחשיבה ש”מיקרוסופט איפשרה למדינות האלו לעקוב אחרי אזרחים” היא מטופשת, אם מיקרוסופט רצתה לאפשר את זה למדינות, היא פשוט הייתה נותנת להם גישה לחשבונות. ואפילו לדברים שכבר נמחקו כביכול ע”י המשתמשים. מבחינתה זה גם היה יותר פשוט מבחינה טכנית וגם פחות חושף את המשתמשים שהם לא רוצים לחשוף.

DD
Guest
המממ… מעניין… ניכר שמדובר בתקלה. כנראה שזה קשור לגניבת הסרטיפיקייטס של קומדו ונקיטת צעדים של מיקרוסופט. אבל אם זו באמת לא תקלה, כל עוד מדובר בשירות ענן, זה לא משנה אם השירות שהלקוחות מקבלים מוצפן בHTTPS או לא, הHTTPS נועד כדי למנוע פיענוח נתונים ע”י סוס טרויאני או הסנפת מידע שעובר מהמחשב הנייד שלך לראוטר המארח בזמן שאתה בWIFI ציבורי, בית קפה, רחוב , אוטובוס וכו. כל עוד מדובר בשירות ענן, לא משנה אם זה מיקרוסופט או גוגל, המידע שלך יושב אצלם, זה אומר שהמידע שלך מופקד לידיים של חברות / תאדידים גדולים שאתה מראש חתמת על הצהרת הפרטיות שלהם… Read more »
wpDiscuz

תגיות לכתבה: