רשתות אלחוטיות פתוחות: סכנה ממשית לפרטיות שלכם
בכל פעם שאתם מעדכנים סטטוס בפייסבוק תוך שימוש ברשת אלחוטית פתוחה, אתם חושפים את המידע האישי שלכם לכל מי שנמצא בטווח קליטה. כעת, תוסף קטן לפיירפוקס הופך את העניין לפשוט במיוחד גם עבור משתמש חטטן ממוצע. כך תוכלו להגן על פרטיותכם
סביר להניח שהנתב האלחוטי בבית הקפה המקומי אינו תחת שליטה של מישהו בעל כוונות זדוניות, ובנוסף פריצה למחשב דרך הרשת עדיין מצריכה שימוש בכלים וידע שעולה על זה של האדם הממוצע מהרחוב. כמו כן נדמה כי רוב האתרים החשובים כיום עברו להשתמש בתקשורת HTTPS מאובטחת ומוצפנת. הלא כן?
לרוע המזל, המצב שונה לחלוטין ממה שמניחים הרוב. לאריק בטלר, מפתח תוכנה מסיאטל, היה מה להגיד בנושא - והוא לא רק אמר, הוא גם ביצע.
בכנס אבטחת המידע "Toorcon 12" בסאן דייגו, המתקיים בימים אלה, הציג בטלר את "כבשת האש", Firesheep, תוכנה שצפויה לגרום ללא מעט שריפות בחברות הגדולות שמאחורי האתרים הפופולריים ביותר, דוגמת פייסבוק וטוויטר.
מדובר בתוכנת פריצה קטנה ופשוטה לשימוש המאפשרת לכל גולש שיושב איתכם בבית הקפה לחטט בחשבון שלכם בפייסבוק, בזמן שאתם טורחים לעדכן את העולם על כמות הקצף במשקה שלכם.
התוכנה מבוססת על כך שאתרים רבים המאבטחים את שלב הכניסה לאתר אינם טורחים לאבטח חלק אחר, אך חשוב לא פחות: את העוגיה (Cookie) שמכילה את המידע של
עם זאת, האופן בה פועלת התוכנה מעט מסובך: היא מותקנת כתוסף עבור הדפדפן פיירפוקס ו"מאזינה" לתעבורת הנתונים ברשת האלחוטית אליה מחובר המחשב, בניסיון לאתר קבצי Cookies הנשלחים לדפדפנים של מחשבים אחרים באותה הרשת.
שלא כמו רשתות מאובטחות, רשתות אלחוטיות פתוחות מפרסמות את המידע המועבר דרכן לכל כרטיסי הרשת המחוברים אליהן - כולל מידע שלא היה אמור כלל להגיע אליהן מלכתחילה. בעוד שבדרך כלל המחשב שלכם מתעלם מהמידע הבלתי נחוץ הזה מכיוון שהוא לא נוגע לכם באופן אישי, Firesheep עושה בדיוק את ההפך.
ובמילים פשוטות יותר: התוכנה "מחטטת" במידע שמועבר למחשבים אחרים בשביל לאתר את ה-Cookies הנשלחים מאתרים המוכרים לתוכנה.
אבל הסיפור לא נגמר כאן: ברגע ש-Firesheep מאתרת Cookie שהיא מזהה, התוכנה פותחת עבור המשתמש שלה את האפשרות להתחבר אל אותו אתר באמצעות המידע הגנוב, ולמעשה להתחזות לאדם אשר אליו נועדה העוגיה מלכתחילה, זאת בעוד המשתמש האמיתי נמצא באתר ואינו חושד בדבר.
עם זאת נציין כי לתוכנה יש כמובן גם מגבלות, זאת מכיוון שמדובר בהעתקה בלבד, ולא בגניבה של סיסמאות או השתלטות מלאה על מנויים. למשתמש של Firesheep יש למעשה חלון זמן מוגבל לנצל גישה תחת זהות שאולה לאתר כלשהו.
במידה והמשתמש ינסה לשנות משהו באתר שידרוש את סיסמת בעל המנוי, ייתקל החטטן בבעיה. אך פעולות אחרות, כמו פרסום הודעות, עריכה ומחיקה וכמובן צפייה במידע האישי בפרופיל, יהיו זמינים בהחלט - דבר שעלול לגרום לגניבת מידע, פרסום הודעות כוזבות וכמובן חשיפה של מידע אישי ופרטי
לחטטנים אקראים או חלילה סטוקרים.
הפתרון הפשוט ביותר כמובן, הוא לא להשתמש ברשתות פתוחות. מעבר לכך, ישנם פתרונות הדורשים הבנה בנושא: שימוש בפרוטוקול HTTPS על גבי HTTP בלתי מוצפן עד כמה שרק אפשר, לדוגמה.
לפיירפוקס יש פתרון לאלו מבינינו שאינם בורכו בידע הדרוש: התקנת תוסף בשם HTTPS Everywhere יפנה אתכם אל הגרסה המאובטחת של אתרים באופן אוטומטי. זה אמנם נשמע מעט מסובך, אך הרבה יותר מסובך יהיה לתקן את הנזק שייגרם במקרה שיפרצו לכם לפרופיל בפייסבוק.
הכתבה פורסמה לראשונה באתר newsgeek.
נא להמתין לטעינת התגובות
אקו"ם