פרסומות שהן פרצת אבטחה: על פרשת סופרפיש.

הסיפור של SuperFish בסוף השבוע האחרון מסביר לנו כמה חשוב לבדוק כל מכשיר שנכנס הביתה, וכמה צריך לדאוג שמערכות ההפעלה של המוצרים שאתה מקבל אינן ממשיכות לרוץ אלא יש להריץ מערכת נקיה במיוחד; הסיפור גם מלמד אותנו שלא משנה מה, כוונות טובות מאפשרות לפגוע לא פחות מכוונות רעות.

העניין התחיל ככה: חברת Lenovo, שמייצרת מחשבים ניידים, חתמה על הסכם עם חברת SuperFish כך שכל מחשב נייד שמשווק על ידה יגיע עם תוכנת השוואת המחירים של SuperFish; אותה תוכנה היא תוכנת פרסום, שמתפרנסת על ידי הזרקת פרסומות בחלק מהאתרים שאתם גולשים בהם, וברוב המקרים מסומנת כPotentially Unwanted Program, תוכנה שבדרך כלל מותקנת יחד עם דברים אחרים. ישראל היא חממת גידול לתוכנות רבות כאלו, כמו בבילון ופריון, שמשווקות "סרגלי כלים" שמותקנים על המחשב ברוב המקרים על ידי ניצול של תמימות המשתמשים.

SuperFish לא התכוונה לרע. היא פשוט גילתה יום אחד שכאשר המשתמשים גולשים בתעבורה מאובטחת (SSL), אז היא לא יכולה להציג להם פרסומות. לכן, ובהתחשב במיליוני הדולרים שהיא יכולה להכניס מהצגת הפרסומות, היא חקרה וגילתה דרך לפרוץ את ההצפנה הזו, ולהתקין למשתמשים מערכת שמאפשרת "אדם באמצע", כלומר, להגדיר את כל התעבורה של SuperFish המתחזה להיות מהאתר המאובטח, ככזו שמגיע בפועל מהאתר המאובטח.

אותה טכנולוגיה יכולה לשמש להזרקת פרסומות, אבל היא יכולה לשמש גם לריגול אחרי אנשים שחושבים שהם גולשים בסביבה מאובטחת, או להצגת עמודים פיקטיביים כדי להשיג מידע להתחברות. לדוגמא, על ידי שימוש בפרצת האבטחה של SuperFish, אפשר לזייף את דף הכניסה לחשבון הבנק שלך, ולקחת את ססמאת ההתחברות; אפשר גם להתחזות לכל דף שבו אתה מזין את כרטיס האשראי, להאזין לו ולגזול את הפרטים.

הפרצה הזו נובעת לא מרוע לב, לא מרצון לשבור את האינטרנט וגם לא מטפשות. היא נובעת מהרצון להתפרנס.

היום כבר הוכח שהפרצה הזו ניתנת לניצול לרעה. רוברט גרהאם הצליח להציג כיצד הוא הרים נקודת גישה אלחוטית שגונבת תעבורה, בלי מאמץ משמעותי.

אותה תעשיה, שחלק ניכר מהשחקנים שבה מתפרנסים מניצול של חולשות צרכניות, צריכה לשנות מודל. המודל לפיו מפתחים תוכנה בעלת תועלת (כמו תוכנת תרגום) ומתפרנסים מהתקנת סרגלי פרסום רבים לאחר מכן, הוא מודל רע. הוא מודל שלא מתגמל מפתחי תוכנה עבור עמלם הראוי בצד האחד, וגוזל משאבי מחשוב רבים ממשתמשים. מחשבים שמגיעים עם תוכנות כאלו מותקנות סובלים לא רק מפרצות אבטחה, אלא גם מהאטה משמעותית, מפרסומות קופצות והופכים להיות לא שימושים בכלל.

הסיפור כאן הוא פשוט: כל פעם שסוגרים פרצה אחת (כמו היכולת להזריק פרסומות בעמודים) נפתחת אחרת על ידי השקעה של יותר כספים. המשחק הוא של חתול ועכבר, והדרך היחידה לעצור אותו הוא להפוך את הפעילות הזו ללא כלכלית בעליל.

נחזור, ברשותכם, לבעיית האבטחה. בעיית האבטחה המודעת והנחזית מראש היא כזו שיכולה להטיל על יוצרה אחריות משפטית פלילית ואזרחית. האחריות הפלילית היא במישור של סיוע, או התרשלות, בעבירות של חדירה לחומר מחשב (סעיף 4 לחוק המחשבים); האחריות האזרחית תתבטא במקרה שבו מישהו ניצל את אותה פרצת אבטחה והצליח לגנוב מידע. במצב כזה, גם Lenovo וגם SuperFish שהיו מודעות לאותה פרצה, ואפשרו שימוש בה, יכול שיהיו אחראיות לנזקים שיגרמו.

עכשיו, לכאורה, אותן חברות יטענו שהסכמי השימוש שלהן מחריגים אחריות מהסוג הזה. כלומר, כתוב שם באותיות גדולות מאוד שהן לא אחראיות לשום דבר, לא משנה מה, ולא נושאות בנזקים שנגרמים מהתוכנה. אבל: דווקא כאן חובת הגילוי שלהן צריכה להיות משמעותית. כלומר, לא כזו שרק מודיעה בהסכם "אנחנו עשויים לערוך שינויים במערכת" אלא כזו שמודיעה בצורה ברורה כי יש סיכון ונזק. הכלל הוא שכל הסכמה לתנאי שימוש, במיוחד כאלה שמחריגים אחריות, צריכה להעשות בצורה ברורה ומיודעת (תא 1963-05-11 אווא פיננסי בע"מ נ' מלכה).

בניגוד לפרצת אבטחה לא מכוונת, שמתגלה מדי פעם ומתוקנת, כאן אין רצון לתקן: הפעילות עצמה היא פעילות בעייתית, לא ראויה ולא נועדה למטרה ראויה. לא מדובר במצב שבו אדם מוריד מרצונו החופשי את רמת האבטחה אלא במצב בו הדבר נעשה במחשכים.

יתר על כן, עצם ההתחזות לאתר אחר על ידי שינוי התעודה יכול שיהיה מעשה פלילי של "שיבוש חומר מחשב" לפי סעיף 2 לחוק המחשבים. אבל קונסטרוקציה תדרוש קביעה מעניינת, לפיה שיבוש של תוכן, בניגוד לחסימה שלו, היא פעולה אסורה, וחסימה (כמו חסימת פרסומות) היא דווקא מותרת.

בעולם סרגלי הכלים גוגל וחברותיה פיתחו כללים ברורים להתקנה של תוכנות. אבל כאשר התוכנה באה מותקנת מראש, הרי שלא תמיד יודעים שהיא שם. הכלל הנכון היה לאמץ עקרונות דומים על ידי חברות המחשבים, או לעשות פעולה נכונה, והיא להפריד את התקנת מערכת ההפעלה ממכירת המחשב. כלומר, אולי לסבך את תהליך רכישת המחשב, אבל לאפשר לכל משתמש להתקין לבד תוכנות, בלי להיות חשוף להפתעות.

5 תגובות ל-“פרסומות שהן פרצת אבטחה: על פרשת סופרפיש.

  1. כל זה אכן דוחף לקניית מחשב נייח או נייד ערום (שבאים ללא מ"ה או עם FREEDOS) והתקנה עצמאית של מערכת הפעלה עליו. מאבדים אי-אלו תכונות ותוכנות ייעודיות ומרוויחים שקט יחסי (ע"ע ביוס, כוננים, כרטיסי רשת), וחשיפה רק לחולשות מיקרוסופט או לינוקס.

  2. תודה על הפוסט יונתן . אני רק לא מצליח להבין : מי שמתקין תוכנה , עם כל מיני מרכיבים מוכמנים , כמו סרגלי כלים , חיפוש וכו…. הרי יכול לבצע התאמה אישית בתהליך ההתקנה , ולהסיר מרכיבים לא רצויים או פרזיטיים . לכאורה יונתן , ניתן היה לטעון , שעצם קיומה של האופציה , ברמה מושגית , מסיר אחריות פלילית או אזרחית ( לגבי פלילית קצת סבוך הדבר ) .

    מקסימום : האי סבירות או אי חוקיות , תתמצא בכך , שמשתמש , לא מייצר תמהיל בהנדסה צוברת , אלא : בהנדסה חוזרת , כלומר , הוא צריך להסיר מרכיבים , שמראש מובנים, ולא לבחור או לבנות אותם מראש כפי רצונו האישי .

    אגב יונתן , הלינק הבא , לא היית רוצה לפספס :

    http://www.chinalawblog.com/2015/02/beijing-touts-cyber-sovereignty-in-internet-governance-global-technology-firms-could-mine-silver-lining.html

    תודה

  3. אני תוהה האם יש דרך אחרת לחברות תוכנה כמו סופרפיש להתפרנס? אני מסכים שהמודל של להרוויח כסף תוך ניצול תמימות של משתמשים הוא בעייתי, אבל בתנאי השוק הנוכחיים איזה עוד אפשרויות עומדות לחברות כמו בבילון, סופרפיש ודומיהן?

  4. נניח שאכן כתוב משהו בתנאי השימוש – חוץ ממך ועוד בערך שלושה אנשים בארץ, כמה אנשים טרחו לקרוא את תנאי השימוש? וגם – אם קניתי מוצר במיטב כספי, למה אני אמור לחשוד בו שהוא פועל נגדי? אני מבין למשל שאם המוצר ניתן בחינם או במחיר מאד נמוך משהו צריך לעורר חשד, אבל מדובר פה בלקוחות שרכשו מחשבים מתקדמים במחיר של אלפי שקלים; האם הם אמורים לחשוד בכך שיצרנית המחשבים רקמה תכניות מסחריות מאחורי גבם?

    בימים האחרונים התפרסמה הפרשה הזו והתפוצצה מהר מאד. יאמר לזכותם של לנובו שהם עצמם התבטאו כנגד הרוגלה הזו, וכולי תקווה שאכן יש להם כלים המאפשרים להגיע באופן מיידי לכל הלקוחות ולהסיר ממחשביהם את התוכנה הזו. כן גם צריך להגיד מילה טובה לחברת מיקרוסופט שמנסה לרכוב על הגל והציעה אפשרות להסיר את סופרפיש בתוכנת הסרת הרוגלות שלה שמופצת יחד עם מערכת ההפעלה וכנראה נפוצה מאד בקרב משתמשים שאינם מתעסקים הרבה במחשבים.

    ברשותי מחשב של לנובו די חדש, אבל לא מהדגמים שככל הנראה שולבה בהם תוכנת הריגול הנ״ל. אני לא מתרגש במיוחד מכך מאחר שמהר מאד המחשב הזה זכה למערכת הפעלה טובה בהרבה מזו שסופקה כבררת מחדל, אם כי עדיין יש לו מחלות ילדות ומידי פעם דביאן לא מצליח להוציא את המחשב כראוי ממצב המתנה. אני חושב ששימוש בלינוקס אכן יכול לשפר את המצב הקיים, במיוחד לאור כך שיצרניות מחשבים כיום לא נוהגות לספק עם המחשב דיסק התקנה של מערכת ההפעלה אלא אפשרות לשחזור המערכת להתקנת בררת המחדל שלה, שכוללת לא מעט הדגמות מוצרים ורוגלות כגון זו שתוארה מעלה ואחרות.

  5. הי,

    מההתרשמות שלי אף אחד שם (בלנובו או בסופרפיש) לא ממש הבין את ההשלכות, וזו הסיבה שהסיפור התפוצץ כך. לצורך העניין מהנדסי סופרפיש יכלו להשתמש במפתחות נפרדים לכל מחשב והפירצה היתה נמנעת (עדיין היית צריך לסמוך על סופרפיש עם המידע האישי שלך, אבל זה הרבה פחות חמור מהמצב היום בו נוטרל לחלוטין מנגנון TLS).
    גם השימוש שלהם במילה komodia בתור סיסמא לתעודה נראה תמוה בעיניי.
    אין ספק שהנוהג של להכנס לאנשים למחשב ולשתול רוגלות, עם מסמך תנאי שימוש שאף אחד לא קורא, הוא מעצבן, אבל לא כל רוגלה מנטרלת מנגנוני אבטחה חיוניים.
    בכל מקרה כתבתי גם אני פוסט בנושא עם הסבר טכני על מה קרה שם, איזה מנגנון נוטרל ואיך היו יכולים לכתוב את הרוגלה הזו בצורה יותר מאובטחת. קישור:
    https://www.tocode.co.il/blog/02-2015-lenovo-superfish

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *