הצפנת ססמאות ואחריות מנהל מאגר מידע ברמה הפלילית

0.
ארז וולף מדווח על בעיית אבטחה חמורה שכוללת פריצה לאתר ישראלי וגניבה של כ32,561 חשבונות. מסד הנתונים של אותו אתר מסחרי הכיל פרטי משתמש: שם משתמש, כתובת דואר וססמא, ומתוך הנחה שהמשתמשים מחזיקים את אותו שם משתמש וססמא בכל האתרים, הצליחו האקרים טורקים לפרוץ לחשבונות. באתר הטורקי עצמו ישנה אינדיקציה לעוד לא מעט אתרים שנפרצו, ובין היתר גם רשימה של כ70,000 חשבונות מייל והססמאות שלהן.

1.
ניתן להצביע כאן על שתי בעיות: הראשונה, שכולם חוטאים בה, היא שימוש באותה הססמא בכל האתרים. אני יכול לומר שגם אנשי אבטחת מידע עושים זאת (ססמא זונה) באתרים שאינם חשובים. הבעיה היא שלרוב האנשים אין את היכולת לזכור לכל אתר ססמא שונה וחלק ניכר מהאנשים משתמשים באותן הססמאות: 5,000 ססמאות קבועות מהוות כ-20% מכלל הססמאות. מעבר לכך, חלק מהאנשים משתמשים בתאריך הלידה, מספר הזהות או הטלפון שלהם.

2.
הבעיה הראשונה, אבל, היא בעייתו של האדם הפשוט. הבעיה השניה היא הבעיה של רשויות החוק: האתר שנפרץ החזיק את הססמאות בצורה שמאפשרת שחזור של הססמא במקרה שהמשתמש שכח אותה. כלומר: הססמא נשמרה בטקסט גלוי במסד הנתונים, כך שהיא היתה נגישה. השיטה המקובלת היא Password Hashing, מה שאומר שההסמאות מוצפנות בצורה חד-כיוונית שמאפשרת רק לאמת את הססמא אך לא לשחזר אותה. בצורה כזו, במסד הנתונים לעולם לא נשמרת הססמא בשרת, אלא רק הערך המוצפן שלה. אם המשתמש שוכח את הססמא, לא ניתן לשחזר את הססמא אלא רק לשלוח לו לינק לאיפוס הססמא, אשר מאפשר לו לבחור ססמא חדשה. הדרך הזו גם מגבירה את הקשר בין חשבון הדואר האלקטרוני לבין החשבון האמיתי, כיוון שצריך לבצע אימות של חשבון הדואר, על מנת לודא שלמשתמש תהיה היכולת לשחזר את הססמא.

במצב כזה, בו הססמאות מוצפנות בצורה חד כיוונית, גם אם מסד הנתונים נפרץ אין דבר שניתן לעשות עמו (יש לזה חריג קטן, אם אתה יודע לעבוד עם Cain & Able, אבל גם הוא תלוי בחוזק הססמא שלך). ולכן, אתה יכול להיות בטוח שגם אם מסד הנתונים שלך יפרץ, אתה תהיה במצב טוב יחסית ותוכל למנוע נזקים.

3.
אלא מה, הבעיה מתחילה להיות משפטית. חוק הגנת הפרטיות קובע בסעיף 7 הגדרה לאבטחת מידע: "הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין". סעיף 17 לחוק קובע כי "בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע". כלומר, הבעלים של אותו אתר, ומי שהוא מינה כמנהל המאגר, אחראים לשמור שלא יעשה שימוש, העתקה או חשיפה של המידע. אולם, אם הם לא עמדו באחריות הזו, ישנן סנקציות פליליות נגדם. אכן, עד היום לא ננקטו הליכים פליליים נגד מי שהפר את הוראות אבטחת המידע בחוק, אולם ראוי שדווקא הפעם הרשות למשפט, טכנולוגיה ומידע תפעיל את הסנקציות המותרות לה בחוק.

4.
כאשר הרשות רוצה עוד ועוד סמכויות, בין היתר כדי לחפש במאגרי מידע, היא מראה שהיא רצינית בנוגע לאכיפה. מצד שני, המחיר של דליפת המידע, דליפה של קובץ אחד עם מעל ל30,000 ססמאות, מראה כמה חיים של 30,000 בני אדם עשויים להפגע בגלל נהלי אבטחה שגויים של חברה מסחרית שאגרה את המידע. בכל מקרה אחר, בו 30,000 אנשים היו נפגעים, היתה יכולה להיות כאן פגיעה משמעותית לא פחות. במקרה של חפציבה 4,300 בעלי דירות נפגעו. כאן, כנראה הפגיעה נמוכה יותר אבל עשויה להיות שוה בחומרתה: לחלק מאותם משתמשים יש אמצעי תשלום, יחסים אישיים ומידע פרטי.

5.
המידע שמופיע בקבצים הוא אישי ביותר, הוא מסוכן ויש אחראים לדליפה שלו. האם אותם אחראים ילכו לכלא? אני בספק. המחזיקים במידע לא הפעילו אמצעים כדי להגן עליו. עד כדי כך שאף מנהל אבטחת מידע סביר לא היה מכיר בפרקטיקה שלהם כמשהו הגיוני.

14 thoughts on “הצפנת ססמאות ואחריות מנהל מאגר מידע ברמה הפלילית

  1. יש אתרים שבהם אין שום מידע אישי, ולכל היותר אפשר לבצע בהם עסקאות ארעיות (למשל תשלום חשבון חשמל, זאפ וכו'). כאן אין בעיה אמיתית, גם אם נפרץ מאגר המידע לא קרה שום דבר.
    הבעיה מתחילה עם בנקים שמאפשרים גישה למידע מאוד אישי ופרטי. שיטת האבטחה של אתרי בנקים בישראל מבוססת על אותה שיטת סיסמאות – בניגוד למקובל בחו"ל, שם מחלקים ללקוחות אמצעי זיהוי פיזיים (מפתח USB או SecureID כלשהו). לדעתי, את זה צריך לתקן באמצעות חקיקה: לחייב כל עסק שמאפשר ללקוחותיו גישה און-ליין למידע אישי (או מחזיק מאגר אמצעי תשלום, כמו פייפאל) – לזהות את הלקוח באמצעי פיזי שלא ניתן לשכפול.
    לא ביומטרי, לא מאגר ממשלתי, ולא תעודת זהות חכמה. סתם אמצעי זיהוי פיזי פשוט וזול שהעסק מספק ללקוחותיו.

  2. יאיר, אתה לא ממש יודע מה שאתה מדבר עליו.

    רוב המשתמשים משתמשים באותה סיסמה לכמה וכמה אתרים, כולל חשבון הדואר האלקטרוני שלהם. רוב המשתמשים גם משתמשים באותה סיסמה לכמה וכמה אתרים.
    קל לאבטח את האתר כך שגם אם הוא ייפרץ הססמאות נשמרות מוצפנות. מתכנת שלא ביצע את זה, צריך לשאת באחריות וגם אחריות פלילית.

  3. רן, אני מאוד יודע על מה אני מדבר.
    האחריות הפלילית היא על הפירמה ולא על המתכנת, אבל חוץ מזה כל מה שאמרת נכון.

    הענין הוא שלא יקרה כלום לחשבון שלך בפיצה האט אם הסיסמא תיפול לידיים הלא נכונות. ואפילו בוואלה-שופס המקסימום שיוכלו לראות זה את ההזמנות האחרונות שלך ואם הן נשלחו בדואר או לא. דואר אלקטרוני אתה יכול להחזיק ולגבות על המחשב האישי ולא רק ברשת. אפילו פייסבוק – מי ישמע – דודה שלך תתעצבן מזה שתייגת אותה על דגל טורקיה?
    סה"כ הנזק שתספוג אם ישיגו את הסיסמא הקבועה שלך – מינורי, יחסית למה שיקרה אם יחדרו לחשבון הבנק שלך.

    כשמדובר בפורום חתולים באינטרנט, יש סוג של caveat emptor – בעל האתר אולי לא נוקט מספיק אמצעים להגן עליו, אבל אתה כמשתמש צריך להיזהר ולהבדיל בין אתר מאובטח ואתר עממי. כמו שיהונתן כתב, ספק אם בעל אתר כזה ילך לכלא בגלל חוסר אבטחה; ואם לא מדובר ב-sha512 אלא בסתם ערבול, למקים אתרים סביר זה נראה מספיק מאובטח, וקשה להוכיח כאן כוונה פלילית.

  4. אין לי ספק שאין כאן כוונה פלילית, אבל יש כאן לעניות דעתי רשלנות שהיא אולי פלילית.

    לשמור סיסמאות ב plaintext זה רשלנות. לא מדובר באתר של ילד בין 14 שבמקרה הצטרפו אליו הרבה משתמשים. מדובר באתרים מסחריים, שהיו צריכים לדעת את האחריות המוטלת עליהם ע"פ חוק.

  5. הערה שולית לדיון היא ש-hashing של סיסמאות בדרך כלל לא עובד מי יודע מה, משום שהפורץ שהוריד את קובץ הסיסמאות למחשב שלו יכול לפרוץ אותו בסבלנות , שלא לדבר על המקרים שבהם ל-hash יש rainbow table מוכן ואז הפריצה היא מיידית.

    יחד עם זאת, אין ספק שזה מקשה קמעה, והופך את העניין לתלוי ב"חוזק הסיסמה", וזה כבר עניין לדיון אחר שקשור לכמה נכון לנג'ז למשתמש בנושא חוזק סיסמה וכו'.

    בכל מקרה, אין ספק שחלק מרמת אבטחה סבירה (כזו שתוכל למנוע טיעון של רשלנות), מחייבת חישוש הסיסמאות כאמור.

    יום אחד נעבוד כולנו עם שירותי אימות חיצוניים ורציניים, ונחסוך את כל הדיון הזה.

  6. ישי: סתם לשם השעשוע שבענין, עשיתי ניסוי לא מזמן.
    ביקשתי מחבר להמציא סיסמא בת 7 תוים (a-zA-Z0-9), להגדיר אותה על שרת כלשהו, ולהתחבר תוך שימוש ב-HTTP Digest authentication – שזה MD5 כפול שאי אפשר לעשות לו rainbow. האזנתי לרשת שלו, חילצתי מזה את ההאש, וניסיתי למצוא את הסיסמא בכוח.
    עם כמה PC-ים וכמה חומרות אחרות שהיו לי בסביבה, זה לקח 5 ימים.
    לו הייתי משתמש במעבדים של כרטיסים גרפיים, זה היה יכול להיות הרבה יותר מהיר ואפילו לא יקר במיוחד.

    המשמעות היא שגם אם "הומלס" היו עושים האש, קבוצת האקרים בעלת אמצעים שמשיגה את קובץ ההאשים יכולה לפצח חלק גדול מהסיסמאות בזמן סביר בהחלט.

    לגבי הטיעון של רשלנות, זה לא ממש ריאלי כל זמן שאין רגולציה בנושא. אני לא מכיר בישראל סטנדרט עדכני ומתעדכן (כמו FIPS 140 למשל), שאפשר להתייחס אליו בקשר לאבטחה של אתר זה או אחר. בלי תקן קשה לתת ציון לאבטחה של האתר, ובלי ציון קשה לקבוע רף רשלנות.

  7. ברור שעל מנהל מאגר המידע יש אחריות פלילית על כך…
    הרי הנזק שיוכל להגרם מדליפה של אפילו חלק קטן מהססמאות והמידע שנמצא שם עלול לגרום לנזק משמעותי ובכמות הגדולה יותר זה עלול לגרום לנזק כלכלי גדול לחברות ולפרטים ביחד..

Comments are closed.