פיירפוקס שומר עליכם יותר

פיירפוקס לא זוכר כבררת מחדל את ההרשאה

לפני מספר ימים פרסם רן בר־זיק רשומה המציגה פרטים על סכנת אבטחה ופרטיות שהוא גילה, המאפשרת לאתרים להתחבר למיקרופון ולמצלמה (וגם באנגלית, וגם באתר „הארץ”) דרך הדפדפן ללא חיווי ברור על הפעולה אצל המשתמשים. כצעד מקדים, נדרש אישור ראשוני מהמשתמש לגישה לאמצעים אלו. אישור זה ניתן לאתרים כאשר הם מבקשים למשל לצלם תמונה עבור פרופיל המשתמש, ביצוע שיחות וידאו או קוליות וכדומה. מה שלדעתי לא נכתב בשום מקום בצורה מספיק בולטת הוא שהבאג הזה, קריטי ככל שהוא יהיה, פשוט לא קיים בפיירפוקס.

לאחרונה צפיתי בכתבה שפורסמה בנושא זה בתכנית ”חי בלילה” בערוץ השני. הכתבה לדעתי התמקדה מידי בבעיה עצמה, ופספסה פרט די חשוב – גוגל כרום אינו הדפדפן היחיד. למעשה, אני מחזיק בדעה כי דפדפן פיירפוקס מציע פתרונות מוצלחים יותר במישור האבטחה והפרטיות של הגולשים. במקביל, התפרסמה כתבה גם בתכנית ”הצינור” בערוץ 10 (החל מדקה 24:35), שמביאה פרטים נוספים ופחות נועדה לשדר פחד ואימה, אבל עדיין לא נאמר בה ואף לא נרמז שהבעיה שתוארה מתרחשת בדפדפן אחד ויחיד.

כדי לממש את הבעיה שהתגלתה, יש צורך לבצע שני שלבים, הראשון הוא אישור הגישה למצלמה, ובשלב השני האתר חוזר על פעולה זו, כאשר הפעם הוא כבר מצויד באישור המשתמש לגישה למצלמה ולכן לא נדרש לבקש שוב את אישור המשתמש.

כך נראית בקשת הגישה למצלמה בדפדפן Google Chrome:

בקשת גישה למצלמה בדפדפן גוגל כרוםלעומת זאת, כך נראית ההודעה המקבילה בדפדפן פיירפוקס:

בקשת גישה למצלמה בדפדפן מוזילה פיירפוקסלכאורה שני הדפדפנים מציגים הודעה די דומה המבקשת את אישור המשתמש לעשות שימוש במצלמה, עם הבדל קטן ומשמעותי מאד – פיירפוקס מאפשר למשתמש להחליט אם הוא מעוניין לתת לאתר גישה למצלמה באופן חד פעמי או קבוע, בעוד דפדפן גוגל כרום מאפשר שני מצבים בלבד, לאשר את הבקשה או לדחות אותה.

פיירפוקס לא זוכר כבררת מחדל את ההרשאהההבדל הפעוט בין שתי בקשות הגישה הוא פעוט אך משמעותי מאד, ומשקף בצורה יפה את הבדלי הגישה. בעוד בדפדפן של גוגל כבררת מחדל מתן גישה לאתר תאפשר לו להפעיל את המדיה בכל עת כל עוד המשתמש לא בחר באופן יזום להסיר את הגישה של אותו אתר, בפיירפוקס כבררת מחדל הגישה היא חד פעמית, ואם האתר יבקש גישה חוזרת לאמצעי זה, תופיע הודעה נוספת, כל עוד המשתמש לא הודיע מיוזמתו שברצונו לבטל את הגישה של האתר לאמצעי זה.

בשימוש שוטף בפייסבוק, למשל, המשתמש לא עושה כנראה שימוש במצלמה או במיקרופון, ולכן אין טעם לתת לאתר זה גישה מלאה לרכיבים אלו. ייתכן שהמשתמש ירצה באופן יזום לבצע שיחות דרך האתר או לצלם תמונת פרופיל דרך המצלמה המובנית במחשב, ואז יש טעם לאפשר גישה לרכיבים אלו, אבל כל עוד זו אינה פעולה שגרתית, לא יקרה שום דבר אם המשתמש יצטרך לאשר באופן פרטני את הגישה הזו. למעשה, אישור קבוע יכול להוות פתח לתחבולות נוספות; למשל אתר יזהה שהמשתמש לא פעיל במשך זמן ממושך, ויפעיל אמצעי האזנה מתוך ההנחה שהמשתמש לא ליד המחשב ולכן לא יבחין בחיווי פעולת הרכיב.חיוויים לשימוש במצלמה בגוגל כרום

כאשר אתר מבקש לעשות שימוש במצלמה, גוגל כרום מציג חיווי על השימוש במצלמה על הלשונית וכן גם בשורת הכתובת. החיווי על הלשונית גם מהבהב עם תחילת השימוש במצלמה, ככל הנראה כדי למשוך את תשומת ליבו של המשתמש, אבל כדי להפסיק את המצלמה, עליו למצוא את את סמל המצלמה בקצה שורת הכתובת וללחוץ עליו כדי לבטל את הגישה של האתר למצלמה, וכן לטעון מחדש את הדף כדי שפעולת המצלמה תופסק. אם מדובר באתר לגיטימי, סביר שהוא יציג כפתור בולט בדף לכיבוי המצלמה, אבל אם מדובר באתר עם כוונות קצת פחות טהורות, סביר שהוא לא ימקם שום אמצעי כזה. החיווי על הלשונית מאד מועיל, אבל סביר שניתן יהיה לזייף חיווי פיקטיבי שייראה מספיק דומה באמצעות סימני אימוג׳י.

הרשאות גישה למצלמה בגוגל כרוםהתופעה שרן בר־זיק מצא היא שאם פותח חלון נוסף קטן מספיק, לא יוצג החיווי למשתמש, ומכאן שהאתר יוכל להקליט וידאו ואודיו ללא ידיעת המשתמש. באופן דומה, אפשר להשתמש גם בטכניקת פתיחת חלונות ברקע, הידועה גם בשם pop under ובה נעשה שימוש (לצערנו!) בעיקר למטרות פרסומיות – בצורה זו הגישה למצלמה תתבצע מחלון אחר שאינו חשוף למשתמש, ולכן המשתמש לא יבחין בשום חיווי גם אם הוא אכן מוצג באותו חלון. זו בהחלט בעיה חמורה, אבל כפי שכבר כתבתי, אם האתר מפעיל את המצלמה לאחר זמן מסוים של חוסר פעילות ולא באופן מידי כתגובה לפעולת משתמש, ייתכן שהמשתמש יהיה עם יישום אחר פעיל או בלשונית אחרת בדפדפן ולא יבחין כלל בפעילות החשודה.

בפיירפוקס, לעומת זאת, חשבו על מקרים אלו, ולכן החיווי על פעילות זו מרחף מעל החלון, כך שהוא יהיה חשוף גם אם הווידאו יופעל בלשונית אחרת או בחלון אחר, וגם אם המשתמש נמצא כעת ביישום אחר. לחיצה על החלון המרחף החיווי תעביר את המיקוד אל הלשונית הרלוונטית ותציג את הרשאות האתר, משם בלחיצה אחת המשתמש יוכל לבחור לחסום את האתר שהעז לגשת לרכיבים אלו. כאשר הפעילות מתבצעת בלשונית הפעילה יוצג חיווי בשורת המיקום, והוא יהבהב לסירוגין כדי לרמוז למשתמש על פעילות זו, ואם הפעילות מתבצעת בלשונית אחרת, סמל האתר באותה הלשונית יתחלף לסירוגין עם חיווי המצלמה כדי לרמוז למשתמש היכן מתבצעות פעילות זו.הרשאות שימוש במצלמה בדפדפן פיירפוקס

מקרה זה מדגים לדעתי את הבדלי הגישות של יצרני הדפדפנים. גוגל מייצרים דפדפן שעובד טוב, אבל פחות מקדישים תשומת לב לפרטים הקטנים כמו נוחות עבודה או פרטיות המשתמש. מוזילה, כארגון בו השקיפות והקוד הפתוח הנם בין עקרונות היסוד של הארגון כולו מקדישים הרבה יותר חשיבה על פרטים אלו, ויעשו הכל כדי לשמור את פרטיות משתמש הקצה. אז במקום להילחץ מכך שהדפדפן שלכם לא מכבד את הפרטיות שלכם, למה שלא תעברו לדפדפן מוצלח יותר?

 

מי מפחד מכבשת האש?

FireSheep היא הרחבה חדשה לדפדפן Firefox שעושה פעולה מסובכת בצורה פשוטה – מאפשרת לאנשים רגילים לעשות משימה שעד כה היתה גוזלת זמן גם ממומחי אבטחה מיומנים.

FireSheep עובדת בצורה הבאה – היא סורקת את הנתונים שעוברים ברשת האלחוטית, וברגע שהיא מוצאת חבילות מידע "מעניינות" היא שומרת אותן בצורה מקומית ומאפשרת למפעיל התוכנה להשתיל את ההזדהות של משתמשים אחרים ברשת על הדפדפן שלו, ובצורה זו לשלוח בשמם עדכונים בפייסבוק ובאתרים דומים. ההרחבה לא אמורה לשאוב את הססמאות שלכם באתרים, אבל קחו בחשבון שאם העברת המידע הזה אינה מוצפנת ייתכן מאד ואדם מיומן יושב ברגעים אלו ומאזין לססמאות שלכם.

מה כן אפשר לעשות בנידון?

  • לאתרים רבים ישנה אפשרות להתחבר ב־https. טוויטר, לדוגמה, יכול לעבוד עם ssl אם נכנסים אליו דרך הכתובת https://twitter.com, אבל כל עוד זו לא אפשרות ברירת המחדל רק מעטים ידעו על היתרונות של חיבור מוצפן לאתר, וגם טוויטר עצמם לא ממהרים להעביר את כל המערכות לחיבור מוצפן למרות הדרישה מהציבור. ישנן הרחבות דוגמת Force TLS ו־HTTPS everywhere שיכולות לסייע, אבל קחו בחשבון שהן טרם הותאמו לגרסה החדשה של פיירפוקס.
  • לא להתחבר לרשתות פתוחות. במידת האפשר, עדיף להימנע משליחת מידע פרטי ברשתות ציבוריות. אני, למשל, מחזיק פרופיל מיוחד של פיירפוקס עבור רשתות פתוחות, כדי להעביר מינימום מידע פרטי ברשתות אלו. במידה ויש לכם דיבור עם איש ה־IT של הארגון, אולי כדאי להביא את הנושא לידיעתו ולייעץ לו להצפין את תעבורת הרשת.
  • אם שום דבר אחר לא עוזר, ניתן תמיד לתעל את התקשורת דרך שרת מאובטח. השרת המאובטח יכול להיות אפילו המחשב שלכם בבית עם פרוקסי או חיבור VPN ישירות אליו. אפשר גם להשתמש ב־SSH בשביל לחסוך את עלויות הפריסה בהנחה שיש לכם שרת לינוקס נגיש.

טוויטר טיפ: הצפנת החיבור ל־Twitter

נניח ואתם מעוניינים לסקר אירוע כלשהו דרך טוויטר, אבל לא חשקה נפשכם לחשוף את שם המשתמש והסיסמה שלכם באוויר לכל העולם. מה תעשו?

ישנם אנשים שמעדיפים לשלוח הודעות דרך טלפון סלולרי כדי להתחמק מחשיפת המידע דרך חיבורי אינטרנט אלחוטי המשותפים לכל באי האירוע, ואחרים משתמשים בכל מיני פתרונות מוזרים בדמות שימוש בשירותי צד שלישי כדי להתגבר על המגבלה. הדרך בה אני נוקט ומתברר שהיא אינה ידועה למרבית המשתמשים היא שימוש ב־SSL מול טוויטר.

מזה תקופה ארוכה שיש אישור אבטחה חוקי לטוויטר. לא ברור לי למה הם לא מפרסמים אותו, ולא משתמשים בו אפילו במסך ההתחברות למערכת כברירת מחדל. למרות זאת, ביומיים האחרונים יש לי את ההרגשה כי החיבור ב־SSL הוא פחות יציב ותמונת הלוויתן המעופף מופיעה אצלי בתדירות גבוהה יותר מאשר בחיבור רגיל. אני משתמש בהצפנה של טוויטר באופן קבוע, גם כאשר אני בחיבור נייח לרשת; עדיף לנקוט באמצעי זהירות מאשר להצטער על כך מאוחר יותר.

בפעם הבאה שאתם רוצים להתחבר לטוויטר מבלי שהשכנים יוכלו לראות את הסיסמה שלכם או להשתלט על החשבון שלכם, היכנסו לטוויטר מכאן – https://twitter.com.

רישומי שמות המתחם של דומיין דה נט חשופים להשתלטות?

ידיעה שעלתה הבוקר ב־ynet בישרה רעות ללקוחות אחד הבנקים הגדולים בארץ, ולאתרים נוספים כגון האתר האנגלי של ynet. מסתבר כי מישהו חיבל בשרתים של רשם הכתובות Domain The Net והגולשים הופנו לאתר בגנות ישראל במקום לאתר המבוקש.

שם המתחם של בנק דיסקונט נחטף. צילום מתוך ynet
שם המתחם של בנק דיסקונט נחטף. צילום מתוך ynet

מה שקרה בפועל הוא שהאתרים שנפרצו נרשמו בעבר דרך חברת Domain The Net, והוגדרו להם שרתי שמות בשליטת הגופים הרלונטיים. בנק דיסקונט, עם כל הכספים שהוא יוציא על אבטחת האתר והמערכות הנלוות, ועם כל מומחי האבטחה שהוא יעסיק לא יוכל למנוע השתלטות על הדומיין אם הפריצה הייתה בצד של הרשם שלו.

חברת דומיין דה נט כשלה באבטחת המערכות שלהם, ומישהו הצליח להיכנס לרישומים שלהם. גם אם נצא מנקודת הנחה שהפריצה לא הייתה לכלל מאגר השמות אלא נקודתית לכתובות מסויימות (bankdiscount.net, ynetnews.com ואולי עוד מספר אתרים שלא ידוע לנו כרגע שנפרצו באותה השיטה), יש פה פוטנציאל למחדל. כיצד רשמי השמות שלנו שומרים עלינו מפני סכנת גניבת בעלות על הכתובת? כיצד אשן בשקט אם בכל רגע גורם עויין יכול להשתלט על הכתובת שלי ללא ידיעתי ואישורי?

כאשר שרת האיחסון נפרץ ומושחת, בעלי האתרים יכולים לשחזר אותו מגיבוי ולסגור את הפרצה דרכה נכנסו הפורצים. הכתובת עצמה נשארת בבעלות שלהם, והם יכולים בכל רגע נתון להעבירה לשרת אחר מאובטח ומוגן יותר. להבדיל, כאשר גורם עויין משנה את פרטי הבעלות על הכתובת אצל הרשם עצמו, הוא הופך להיות הבעלים על הכתובת, והבעלים החוקיים למעשה ננעלים בחוץ ללא שום יכולת הגנה והתאוששות מהירה. למעשה, כלל לא בטוח שתהיה לו יכולת להוכיח את בעלותו על הכתובת בפני נציגי הרשם בפרק זמן סביר.

ואיך בכלל התאפשר לרשם הכתובות להיפרץ? האם סייבר-טרוריסטים עשו Brute Force Attack מול האתר של Domain The Net עד שהם הצליחו לגלות את סיסמת הגישה לחשבון של כל אתר ואתר? האם הם הצליחו לעשות זאת, איך שום מערכת אצל דומיין דה נט לא זיהתה את הסכנה מבעוד מועד וחסמה את הגישה שלהם בזמן?

והכי מדאיג – איך זה שלחברת דומיין דה נט לא מתפרסמת במקום בולט בדף הראשי באתר ההבטחה שלהם לאבטחת המערכות שלהם בפני השתלטות, אבל יש להם את האומץ לנסות ולמכור לנו שירות "אבטחת מותג"?