כשחברי כנסת לא מבינים באבטחת מידע (השוד הגדול של מרצ)

אני מאוד מעריך את מרצ בתור מפלגה ומאמין שיש לה ולחברי הכנסת שלה רק כוונות טובות. הבעיה היא, כמובן, שעם כוונות טובות אי אפשר לקנות במכולת. מה שמרצ עשתה בשבוע האחרון מראה לי, אבל, שכמפלגה היא לא מוכנה לעידן הדיגיטלי ועשויה לגרום לעצמה ולבוחריה נזק עצום. בקצרה, כפי שמובא בסיפור שמתפרסם ב'הארץ', מרצ רצתה לגרום לאזרחים לשלוח הודעות דואר אלקטרוני לשר יובל שטייניץ וחברי כנסת אחרים שקוראים להם להצביע נגד חוק הרווחים הכלואים (הצעת חוק שמאפשרת לבעלי הון לקבל הרבה כסף ולא לשלם מס, באמת בקצרה). מרצ למדה מטעויות עבר (לשיטתה) וראתה שכאשר הודעות הדואר כולן נשלחו משרת אחד, שירות האבטחה הממשלתי ראה את הדואר כזבל ופשוט חסם אותו.

מה היה הפתרון של מרצ? אם כן, מרצ החליטה לבצע את השליחה ישירות מחשבונות המשתמשים. לכן, בעמוד הקמפיין, התבקשו המוחים לתת את שם המשתמש והססמא שלהם לחשבון הדואר האלקטרוני על מנת לבצע שליחה באמצעות פרוטוקול SMTP. נכון לעכשיו (08:55) עמוד הקמפיין למטה, יכול להיות שהסיבה היא הביקורת, אבל זו יכולה להיות גם סתם תקלה רגעית.

לצורך העניין, פתחתי חשבון נוסף בGmail על מנת להרשם לשירות ולראות כיצד השליחה מבוצעת; העניין הוא כזה: כפי שאפשר לראות, מרצ מבצעת את השליחה מכתובת IP בשם 81.218.238.131, כתובת שמתארחת בבזק בינלאומי. אפשר לראות שנפתחו מספר חיבורים, כלומר מרצ ביצעה שליחה לחוד לכל כתובת דואר, ושאותו שרת ששלח את הדואר הוא שרת הWeb של מרצ: כלומר, השליחה בוצעה משרת אשר מחובר לרשת.

עכשיו, בפעילות של מרצ יש לא מעט בעיות; העיקרית שבינהן היא שמרצ מבקשת את שם המשתמש והססמא שלך. תגובת דוברת מרצ כי " אנו מבקשים שהשליחה תיעשה דרך חשבון המייל של המשתמש על מנת שתגיע לחברי הכנסת, מבלי שכל גולש ייאלץ לשלוח 120 מיילים בנפרד, בדומה לדרישת אפליקציית הארץ באייפון לסיסמה לפייסבוק או לטוויטר כדי לאפשר הפצת סיפורים עיתונאיים חשובים כמו סיפור זה" לא רק שאינה נכונה (הרי שהאימות באפליקציות Facebook לא מתבצע באמצעות העברת שם משתמש וססמא אלא באמצעות מערכת OAuth שמיועדת בדיוק כדי לא להעביר את שם המשתמש והססמא) אלא שהיא בעייתית מאוד: החיבור לשרת של מרצ לא מבוצע בפרוטוקול HTTPS, כך שלא רק שניתן להאזין לתעבורה שעוברת אל השרת של מרצ וממנה על ידי ניהול הרשת, אלא גם שניתן להתחזות לאתר הזה יחסית בקלות ולבצע Phishing.

הבעיה השניה היא הבורות שנובעת מכל העניין: מרצ מציגה עצמה כמפלגה מודרנית; למעט הצעת חוק מוזרה ב2006 שנועדה לקדם DRM, חברי הכנסת של מרצ נחשבים מודרניים, ומאוד פרו-אינטרנטים. השימוש במערכת כזו שערורייתית מבחינת אבטחת מידע ונוגד את כל העקרונות הבסיסיים עליהם המפלגה בנויה. העניין הוא שמפלגה שמתייחסת למערכות המידע שלה כך, ולא יושבת ובוחנת את השימוש במידע הפרטי, לא נועצת באנשי אבטחת מידע ולא בודקת האם יש פרקטיקות מקובלות.

זה מדאיג אותי במיוחד כי אלה האנשים ששולטים במדינה: מרצ היא רק סימפטום. אם, בבחירות הקרובות, נניח, מרצ תנצח בצורה כזו שתגיע לראשות הממשלה, האם זה אומר שכשיגיעו החלטות טכנולוגיות חשובות הם יפעילו את אותו שיקול הדעת שהביא אותם להחלטה הזו? האם מערכות מחשוב ממשלתיות יקבלו את אותה הרצינות כמו הפרטיות שלנו כאן?

אז נכון, מרצ טוענת שהססמא לא נשמרת על ידה. אבל זה לא מספיק: הססמא משוגרת באמצעות הרשת ועוברת בדרך כמה שרתים. אפשר להעתיק אותה, לשמור אותה, להאזין ולדאוג לפגיעה. זו בדיוק הבעיה כאן: השוד הגדול הוא הפרטיות שלכם.

19 thoughts on “כשחברי כנסת לא מבינים באבטחת מידע (השוד הגדול של מרצ)

  1. חנן,
    מבחינתי אלו חברי הכנסת. הם מי שמקבלים את התהילה והם מי שנושאים באחריות על פעילות של המפלגה.

  2. ולאנשי מרצ שיגיעו לפוסט הזה בלי להבין מה כל כך נורא גם אחרי שהם קוראים אותו, הנה הסבר פשוט יותר:
    מה שעשיתם (לכאורה, לכאורה) דומה לכך שבשביל שחברי מפלגה ישלמו את דמי החבר שלהם, תעמידו נציג ליד כספומט שיבקש מהמתפקדים לתת לו את מספר כרטיס האשראי שלהם ולומר לו בקול רם את המספר, התוקף והקוד הסודי כדי שהוא יוכל להוציא בשבילם כסף מהכספומט ולשלם.
    הנציג יטען שהוא לא רושם את הקוד הסודי, אבל יש אנשים מסביב שיכולים להקשיב, לרשום, להזיק אח״כ והכל בשל השיטה המטומטמת והמעוותת שתוארה. (אם זה אכן כך, כמובן).

  3. יהונתן שלום,
    בעקבות הפרסומים שקיבלנו הורדנו את האפליקציה לבקרה עמוקה יותר.
    וידאנו כי לא נעשתה שום פריצה או שימוש שאיננו נאות באפליקציה עצמה – ואנו מבטיחים כי הכול כשורה. כפי שהדגשנו סיסמאות לא נשמרות בשרתי מרצ. בהתייעצות מוקדמת עם מתכנתי ווב המתנדבים אצלנו הם הבטיחו לנו כי הכול כשורה. אך כאמור אנו בתהליך ביקורת.

    אנו מודים לך ולכל המגיבים האחרים על תשומת הלב והשמת הדגש. אם בהליך הביקורת נגלה שהאפליקציה לא עומדת בתקנים הרלוונטיים, שינויי אבטחה יבוצעו. מדובר בכלי שאנו מאוד מאמינים בו, בכל הקשור למתן כלים לתומכים להביע דעתם מול נבחרי ציבור.
    בכל מקרה, אנו שמחים שלקחת את הזמן לכתוב את הביקורת הזו, לנתח אותה ואנו מקווים שתתגייס גם כן, בתור מי שרץ בפריימריז בעבודה, למאבק בחוק הרווחים הכלואים, שהוא שערוריה לא קטנה.

    בברכה,
    צוות האינטרנט של מרצ

  4. בהשלכה לא פרועה מדי אפשר להניח שזו רמת ההבנה והידע של מי שדוחף את המאגר הביומטרי ומתייחס להתראות של אנשי מדעי מחשב מובילים בעולם כאל משהו שניתן לזלזל בו בטיעוני נגד שההגנה תיבנה ע"י "מיטב המומחים" :(

  5. ובכן… אם ״מתכנתי ווב מתנדבים״ *הבטיחו* שהכל כשורה, אז למה אתם מתאמצים להלחם בחוק הרווחים הכלואים? שהרי ביבי ואנשי האוצר *מבטיחים* לנו שזה טוב לכלכלה והם אפילו לא מתנדבים…

  6. עוד משהו – הידיעה של שי פוגלמן הועלתה ב 5.09.2012 בשעה 18:59. נראה שכמו דוברת מר"ץ גם העיתונאי והעורכים לא הפנימו כלל את המשמעויות שלה ולא העלו קישור אליה במקום בולט – התגובה הראשונה היא רק ב 07.09.12 בשעה 09:26 .

    "פרצי צחוק", עאלק ומעורר מחשבות נוגות על מודעות הציבור לנושאי אבטחת מידע. בהחלט ניתן לצפות מדובר שייתיעץ עם בר-סמכא בנושא לפני תשובה כזו. גם כעת לאחר ההורדה לא ניתן לדעת האם הייתה זליגה – מומלץ לשלוח מייל בנושא לכל מי שאכן נפתה לתת סיסמא עם התנצלות והמלצה לשינוי סיסמא מיידי (אם כי יש בזה הודאה מסויימת ופתח לתביעה).

    למי שרוצה להרים פעילות פוליטית ברשת בלי להמציא את הגלגל ע"י מתנדבים – מערכת הבחירות וגיוס הכספים המקוונת של אובמה מ 2008 הצליחה להפליא והיא כעת בדור שני שלה. מן הסתם היבטי אבטחה שלה נבדקים היטב.

  7. "מרצ" שלום; אני אשמח אם תזדהו בשם מלא, ולא כתנועה, ככה יותר קל לדבר איתכם.

    בכל מקרה, ברור שחוק הרווחים הכלואים הוא בעיה, אבל ההתנהלות של מרצ כאן לאורך כל הדרך בעייתית. זה התחיל בכך שמרצ בנתה את הקמפיין שלא אושר על ידי גוגל, ועכשיו זה.

    אני לא קונה את העניין: להעביר ססמאות ללא HTTPS (שלא נדבר על אי השימוש בOAuth) זה לא רציני. אתם לא הייתם רוצים שנתנהל ככה עם מידע רגיש שלכם, נכון?

  8. יש מספר דרכים נכונות לבצע את זה, אף לא אחת מהן כוללת לבקש את שם המשתמש והססמה של המשתמש.
    אופציה אחת שעולה לראש היא לספק למשתמש רשימת אימיילים מפוסקת של כתובות חברי הכנסת לביצוע העתק-הדבק לתוך לקוח האימייל. רשימה שכזאת היתה מועילה בכלליות לאנשים שרוצים לשלוח אימייל לכל חברי הכנסת.

    במידה ויש חשש שזה מסובך מדי לחלק מן הפונים, אפשר לספק מדריך צעד-צעד בתמונות לכל לקוחות האימייל הנפוצים.

  9. יהונתן, מעריכים את הביקורת.
    הקמפיין על הרווחים הכלואים שלא אושר בגוגל – לא אושר בגלל אינטרסים של גוגל. הוא עמד בכל התקנון של גוגל ולא היה להם דבר וחצי דבר לומר נגד זה.

  10. קלינגר פספסת שהם גם בטח מאחסנים את הסיסמאות..

    האתר שלהם מתנהג בדיוק כמו תולעת, ולא הייתי מתפלא אם השרתים של הכנסת היו מזהים גם את זה ומונעים גישה… רק שהפעם השרתים ימענו גישה מכתובות לגיטימיות של אנשים לגיטימיים – בגלל שזה נראה בדיוק כאילו שהם נדבקו בתולעת.

    גם לא הייתי מתפלא אם גוגל היו מזהים את הפעילות הזו כ"התקפה" וחוסמים לאנשים הללו את החשבונות – ובצדק שהרי זה נוגד את "הסכם המשתמש" של גוגל…

  11. וואו, פשוט לא מאמין לרמת הטמטום שהופגנה פה. למה הם לא ביקשו מפתחות לבית בשביל שאנשים מטעם מרץ יוכלו לבוא ולשלוח מייל?

    אני מקווה שהקמפיין יורד בגלל שמספר האנשים שמטומטמים מספיק למסור פרטים כאלו הוא בסביבות האפס.

    והקמפיין מטוטם גם מבחינה אחרת, הרי הם לא מודאים בשום צורה שמתבצעת שליחה יחידה עבור כל אדם. ביב פשוט יגיד שמרץ השתמשה בבוט שיוצר חשבונות מייל ושולח את המיילים מהם ומרץ לא תוכל להפריך את זה (ראה הלייקים בפייסבוק של ביבי)

  12. ולכל הרוחות, כמה מסובך ליצור תוסף לדפדפן או תוכנה (אפליקציה במחשבית מודרנית) שעושה את השליחה מהמחשב הפרטי בלי להתקשר לכל מיני שרתי ביניים?

  13. אני לא מבין למה מלכתחילה לשלוח את ההודעות מצד השרת. נכון, לא לכולם יש תוכנת דואר אלקטרוני מוגדרת על המחשב, אבל בזכות שיפורים רבים שבוצעו בדפדפנים בשנים הארונות, אפשר להשתמש בקישורי mailto בשביל לשלוח דואר אלקטרוני גם משירותי דואר אלקטרוני מבוססי דפדפן במידה שאלו מוגדרים על הדפדפן כמו שצריך (כלומר לא וואלה, כי הם מתעצלים להוסיף לאתר שלהם ממשק תואם).

    לא הרבה יודעים, אבל בקישורים מסוג mailto ניתן להעביר מידע נוסף כפרמטר, כמו למשל תוכן ההודעה ונמענים נוספים. נכון, זה עדיין יצריך מהמשתמש ללחוץ ידנית על כפתור השליחה בתיבת הדואר האלקטרוני שלו, אבל יאפשר לו לשנות את תוכן ההודעה כך שהיא לא תיחסם אוטומטית אצל הנמען בהסתמך על הודעות דומות שסומנו על ידו כדואר זבל, וכמובן גם לא ימנע מכל מיני קלינגרים להשתמש בשירות ללא חשש.

Comments are closed.