Heartbleed - "הבאג המשמעותי בהיסטוריה" שישנה את האינטרנט - Markerweek - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

Heartbleed - "הבאג המשמעותי בהיסטוריה" שישנה את האינטרנט

גילויה של פרצת האבטחה Heartbleed עורר פאניקה בקרב מיליונים, אבל לפחות בינתיים 
נראה שזו לא הקטסטרופה שהובטחה לנו ■ מה שכן, 
הגילוי עשוי לרדוף את האינטרנט שנים ולשנות את התפישות שלנו לגבי אבטחת מידע ופרטיות

28תגובות

זה התחיל בסטיבן ארתורו סוליס־רייס, סטודנט בן 19 מאוניברסיטת ווסטרן שבאונטריו, קנדה - והאקר. רייס, ממושקף ומשופם־קלות בתמונה ישנה שלו שנחשפה בתקשורת הקנדית, כנראה לא היה הראשון שניסה לנצל את פרצת הענק Heartbleed ("דימום לב"), שהכניסה בשבוע האחרון אלפי מהנדסים ברחבי העולם לפאניקה וגרמה למיליוני גולשים לחרוד לגורל 
המידע האישי שלהם, אבל הוא היה - בהחלט - הראשון שנתפס.

רייס, בנו של מרצה בכיר למדעי המחשב באוניברסיטת ווסטרן, נעצר ביום שלישי, לאחר שלכאורה גנב את פרטיהם האישיים של כמה מאות אזרחים מהאתר של רשות המסים הקנדית (CRA). הוא ניסה לנצל את Heartbleed - 
שנחשפה לראשונה לפני כשבוע - כדי לפרוץ לאתר, שהורד באופן זמני לפני כמה ימים עד שהפרצה תתוקן.

האקר צעיר שפועל לבדו ונתפס בקלות, כמו רייס, רחוק מלהיות האיום המיתי שממנו חשש האינטרנט עם גילויו של Heartbleed, אבל ה״מתקפה״ שלו היתה בכל זאת אחת מהראשונות שדווחו שבה ניסו לנצל את פרצת האבטחה כדי לגנוב את פרטיהם האישיים של משתמשים. קדמה לה המתקפה המדווחת של האקרים סיניים (המונח המאיים ״האקרים סיניים״ תואם יותר, באופן כללי, את רמת החששות שיצרה Heartbleed מאשר טינאייג׳ר קנדי) על שרתיה של אוניברסיטת מישיגן.

רויטרס

יום לאחר גילויה של פרצת האבטחה, דיווח ג׳יי אלכס הלדרמן, פרופסור למדעי המחשב באוניברסיטה, שמחשבים סיניים ניסו לתקוף את אחד משרתי האוניברסיטה. השרת המדובר היה ״סיר דבש״, כלומר מלכודת שהושארה חשופה במכוון כדי למשוך מתקפות, לצורכי מחקר. יום לאחר חשיפת הפרצה כבר דיווח הלדרמן על 41 ניסיונות להתקיף את השרתים שלו באמצעות Heartbleed, מחצית מהם מסין. כמה ימים לאחר מכן דיווח גם אתר ההורות הבריטי הפופולרי Mumsnet כי ייתכן שמידע אישי של גולשים באתר נגנב.

למרות הפחד המיידי שמעורר המונח ״האקרים סיניים״ ולמרות הסכנה לפגיעה ב–1.5 מיליון אימהות בריטיות (מספר המשתמשים 
ב–Mumsnet), האיומים המדווחים עד כה רחוקים מלהצדיק את רמת ההיסטריה שעוררה חשיפת Heartbleed. פרצת האבטחה, שכונתה ״קטסטרופלית״ על ידי אתר הטכנולוגיה המוערך 
Ars Technica ואינספור גופי תקשורת אחרים, עוררה פאניקה בקרב מיליוני גולשים, שמיהרו להחליף את הסיסמאות המקוונות שלהם על רקע דיווחים שהיא עשויה להשפיע על יותר מ–60% מהאינטרנט.

גורו אבטחת המידע ברוס שנייר, בבלוג שלו, כינה את Heartbleed ״באג קטסטרופלי״. לדבריו, ״בסולם של 1 עד 10, מדובר (בקטסטרופה) ברמה 11. חצי מיליון אתרים פגיעים, כולל שלי״. פרויקט Tor, הארגון שאחראי לתוכנת ההצפנה הפופולרית שמאפשרת גלישה אנונימית, ייעץ אחרי חשיפת הפגם ״לכל מי שמעוניין באנונימיות או פרטיות באינטרנט להתרחק מהאינטרנט לחלוטין לכמה ימים, עד שהמצב יירגע״. בתוכניתו "The Colbert Report", לקח הקומיקאי סטיבן קולבר את המחשב שלו, עטף אותו במסקינג טייפ, אטם אותו בקופסת קרטון, ואז קשר את הקופסה בחבל - והוא רק קצת הגזים.

"דלת אחורית שלא נפתחה"

Heartbleed, למי שחי מתחת לסלע בשבוע האחרון, הוא פגם ב–OpenSSL, תוכנת ההצפנה הפופולרית ביותר באינטרנט, שבה משתמשים כשני שלישים מהשרתים באינטרנט. הפגם נמצא באחד הפיצ׳רים של OpenSSL, המכונה ״פעימת לב״ (Heartbeat), שמאפשר למחשב בקצה האחד של קו מוצפן לשלוח אות למחשב שני כדי לבדוק שהוא עדיין מקוון. SSL הוא פרוטוקול האבטחה שאחראי למנעול הקטן שאתם רואים בדפדפן כשאתם מבקרים באתרים מסוים. הדרך שבה הוא מאבטח את הנתונים שלכם היא באמצעות המרת המידע שלח לאות מוצפן, שרק המחשב בקצה השני של הקו יוכל לפענח. מה שהתגלה לפני כשבוע על ידי ניל מהטה מגוגל וחברת אבטחת המידע קודנומיקון הוא שהאקר מיומן יכול לשכפל את האות הזה, ובכך לחדור לשרת ולגנוב נתונים מהמחשב המרוחק, ממספרי כרטיסי אשראי ותעודות זהות ועד, פוטנציאלית, נתוני חשבון הבנק שלנו.

אבטחת מידע
REUTERS רויטרס

הפגם מסכן את המידע שנמצא בכל אתר שהשתמש ב–OpenSSL, וכאלה, לפי הערכות, יש כחצי מיליון. ג׳ימייל, פייסבוק, יאהו, אינסטגרם, דרופבוקס ורבים אחרים נחשפו גם הם. החלק המטריד יותר הוא שהפרצה הזאת התקיימה יותר משנתיים לפני שהתגלתה. כלומר, פוטנציאלית, המידע שלנו היה חשוף לכל דורש במשך שנתיים לפחות. באופן אירוני, הדרך להגיע אליו היתה דרך המנגנון שנועד לאבטח את הגלישה שלנו.

״אנשי אבטחה מכנים את זה הבאג המשמעותי ביותר שהתגלה אי פעם - ובצדק. מדובר בסופו של דבר בשכבת הבסיס שמגנה עלינו, בשכבת האזהרה, שבגלל פגם ביישום שלה כל התעבורה שלנו פוטנציאלית היתה יכולה להיות גלויה״, אומר ד״ר נמרוד קוזלובסקי, שותף בחממת הסייבר של קרן ההון סיכון JVP ומרצה לסייבר באוניברסיטת תל אביב. ״מדובר בפרצת אבטחה דרמטית״, הוא אומר, ״אבל אנחנו לא יודעים כמה באמת היא נוצלה, עד כמה ממשלות או גורמים פליליים הצליחו לנצל את החולשה לפני שהיא נחשפה, וייתכן שלעולם לא נדע״.

מכיוון שמדובר בבאג שתאורטית קל יחסית לאיתור אבל מעולם לא אותר - ״דלת אחורית שמעולם לא נפתחה״ היתה אחת המטאפורות שבהן נעשה שימוש כדי לתאר את התקלה, "מנעול מפואר על דלת זכוכית" היתה אחרת - היו שטענו שמדובר בפגם מכוון, בדלת אחורית שהושארה פתוחה כדי שסוכנויות ממשלתיות, למשל, יוכלו לנצל אותה כדי לעקוב אחרי המשתמשים.

השבוע, למשל, דיווחה בלומברג כי הסוכנות לביטחון לאומי האמריקאית (NSA) - זו שהציתותים שלה לגולשי אינטרנט שלא נחשדו בדבר נחשפו עם הדלפת המסמכים של אדוארד סנודן - ידעה על Heartbleed במשך שנתיים לפחות ובחרה שלא ליידע את המשתמשים, כדי שתוכל להשתמש בפרצת האבטחה לאיסוף מידע. מאוחר יותר הכחישה ה–NSA את הדיווח, וטענה שנחשפה לבעיה רק כאשר היא נחשפה לציבור, 
בשבוע שעבר.

רובין סגלמן, המהנדס שגרם לתקלה, הפריך במידה מסוימת את גירסת הקונספירציה, כשטען בראיון שהעניק השבוע ל״גרדיאן״ שהעדכון שהוביל לתקלה היה ״טעות״. סגלמן, שמתגורר בגרמניה, הוא זה שהיה אחראי לעדכון שהכניס לפעולה את Heartbeat, ולכן הוביל ל–Heartbleed, בדקה לחצות בערב ראש השנה האזרחית, 2011. האם התאריך החגיגי היה קשור לתקלה? האם ייתכן שסגלמן היה מבושם קלות? בראיון ל״גרדיאן״ טען סגלמן שלא. לדבריו, ״הקוד היה תוצר של עבודה בת כמה שבועות. רק במקרה הוא עודכן בתקופת החגים. אני אחראי לטעות, כי אני זה שכתב את הקוד ופיספס. לצערי, הטעות הזאת עברה גם את תהליך הבקרה ונכנסה לגירסה ששוחררה לציבור״.

רויטרס

הפגם, הוא הסביר בראיון ל״סידני מורנינג הראלד״, היה ״טריוויאלי למדי״, אבל הוביל להשלכות חמורות. מה שמקשה על מציאת אשמים, או תשובות, היא העובדה ש–Open SSL היא לא תוכנה מסחרית, אלא פרויקט קוד־פתוח שמתוחזק על ידי קבוצה קטנה של מתנדבים ועובדים מסורים. התוכנה שהם מתפעלים אולי פופולרית, אבל יחדיו הרוויחו מפעיליה קצת פחות ממיליון דולר בשנה שעברה, חלק גדול מזה בתרומות. היו גם כאלה שהשתמשו ב–Heartbleed כהזדמנות לנגח את תנועת הקוד הפתוח כולה בשם חסידי התוכנות המסחריות.

מה שמקשה על הערכת הנזק שיצרה Heartbleed הוא העובדה שקשה עד בלתי־אפשרי לדעת אם הותקפתם על ידי האקרים שניצלו את הפרצה. לפני שהפרצה נודעה לציבור לא היתה לאף אחד סיבה לחשוד שיש משהו לא בסדר בפרוטוקול הקיים, וגם לאחר גילויה, לפי חברת האבטחה Hut3, כמעט בלתי אפשרי לאבחן מתקפה, מכיוון ש–95% מהכלים הפופולריים שמבטיחים לאבחן אם הושפעתם מהתקלה אינם אמינים.

הגילוי של Heartbleed שלח בימים האחרונים המוני מהנדסים ומומחי אבטחה לעבודה קדחתנית על מציאת תיקון לבעיה. גוגל (שחשפה את התקלה, ולפי דיווחים שונים ידעה עליה חודש לפני כולם ותיקנה אותה בחשאי לפני שיידעה את העולם על קיומה), פייסבוק, יאהו ואתרים אחרים כבר הוציאו עדכוני תוכנה שתיקנו את התקלה. משתמשי אינטרנט בכל העולם צוו להחליף סיסמאות ומהר, אבל במקביל הוזהרו שאין הרבה שביכולתם לעשות. מיליוני משתמשי אנדרואיד שמשתמשים בסמארטפונים עם גירסה ישנה יותר של מערכת ההפעלה הסלולרית, טען מומחה האבטחה מארק רוג׳רס, נמצאים בסכנה.

ובינתיים, השאלה הגדולה שכולם שואלים את עצמם היא: אם הפרצה היתה קיימת שנתיים, מי הספיק לנצל אותה? חוקרים במעבדת לורנס ברקלי של משרד האנרגיה האמריקאי השמיעו צפירת הרגעה חשובה השבוע, כשטענו שבדיקה שביצעו בתעבורת האינטרנט ברשתות של המעבדה והמעבדות השותפות לה בימים האחרונים העלתה
שלפחות מאז ינואר 2014 לא התרחשו מתקפות האקרים שניסו לנצל את Heartbleed.

כך שלמרות הפאניקה, האפוקליפסה, כנראה, לא הגיעה. זה לא אומר שהיא לא תגיע בהמשך, אבל בינתיים, Heartbleed, למרות היותו אולי הבאג המשמעותי והחמור ביותר שהתגלה אי־פעם, לא הוביל למתקפת האקרים חסרת תקדים או לפגיעה בביטחונם האישי של גולשים. אבל גם אם תוצאות הבאג היו מתונות עד כה, זה לא אומר שההשלכות של גילויו יהיו כאלה. בטווח הקצר והארוך, Heartbleed - הבאג עצמו וההד הציבורי שלו זכה - עשוי לרדוף את האינטרנט במשך שנים.

מתעוררים שוב 
לאשליית הפרטיות

בטווח הקצר, האינטרנט עשוי להיות אטי יותר. המאמצים לתקן את נזקי Heartbleed צפויים להימשך כמה שבועות, מה שאומר שאלפי אתרים ינסו בו זמנית לתקן את מערכות ההצפנה שלהם, כך שחוויית המשתמש של הגולש הממוצע צפויה להיות קצת פחות מהירה וקצת פחות נוחה מזו שהוא התרגל אליה בשנים האחרונות.

הסיבה לכך היא ש–Heartbleed מאפשר להאקרים לגנוב את אישורי האבטחה של אתרים, דבר שיכול לאפשר להם, תאורטית, לפתות גולשים לאתרים מתחזים שנראים ומתנהגים כמו האתר המקורי, במטרה לדוג את פרטיהם האישיים (בדומה להונאת פישינג). לדפדפנים של כולנו יש רשימת אתרים מאובטחים, שבהם בטוח לגלוש, אך מכיוון שמאות אלפי אתרים נחשפו ל–Heartbleed, מאות אלפי אתרים יצטרכו כעת, בו זמנית, לעדכן את אישורי האבטחה שלהם, והדפדפנים של כולנו יצטרכו להוריד רשימות חדשות של אתרים מאובטחים שיתעדכנו בזמן אמת - דבר שעשוי לקחת זמן, ולהפוך את הגלישה לאטית יותר לזמן מה.

דבר שני שעשוי לקרות הוא שהאינטרנט יהיה הרבה פחות בטוח, לזמן מה. למרבה המזל, השירותים שרוב הגולשים משתמשים בהם מדי יום והאתרים הגדולים מיהרו לעדכן את מערכות האבטחה שלהם. אלא שמאות אלפי אתרים קטנים יותר, כאלה שאין להם מחלקות IT גדולות שעומדות לרשותם 24 שעות ביממה, כנראה לא יעשו זאת כל כך מהר, אם בכלל. ובמקרים שבהם משתמשים נעזרים באותה סיסמה לכמה אתרים - קטנים וגדולים כאחד - הדבר עלול להוביל לנזק מתמשך, שלא ייעלם כל כך בקלות.

אבל מעבר לנזק לטווח הקצר והבינוני, בטווח הארוך עשויות להיות ל–Heartbleed השפעות מרחיקות לכת לא רק על חוויית הגלישה שלנו בחודשים הקרובים, אלא גם על דברים רחבים יותר, כמו התפישות שלנו לגבי אבטחת מידע ופרטיות ברשת. במובן מסוים, אפשר לראות בפרשת Heartbleed עוד חוליה בשרשרת של אירועים שהחלה עם הדלפות סנודן, ושבמסגרתה לומד הציבור עד כמה המידע שלו חשוף ברשת ועד כמה המושג ״פרטיות״ כפי שאנחנו מכירים אותו ריק מתוכן.

״שוב אנחנו מתעוררים להכרה שההנחה שלנו שהאינטרנט מוגן כי יש פרוטוקולי אבטחה היא אשליה״, אומר קוזלובסקי. ״הכשל הקטסטרופלי הזה מלמד אותנו מה מידת החשיפה שהיינו בה. בזמן שחיינו באשליה של הצפנה ופרטיות, חלק גדול מהתעבורה שלנו היה, פוטנציאלית, חשוף. זה חושף את הנאיביות שבה אנחנו מדברים על אבטחת מידע. כל סיפור כזה הוא כמו חתיכה בפאזל שמאפשרת לנו להבין, גם בגלל אינטרסים מדינתיים וגם בגלל אינטרסים מסחריים, עד כמה ההנחה שלנו שיש לנו פרטיות היא שגויה״.

אי-אף-פי

לדברי קוזלובסקי, סיפור Heartbleed חושף עד כמה הגולש הממוצע הוא חלש ונטול הגנה. ״בכל פעם שיש איזה האקר סעודי או מתקפה ממליצים לנו להחליף סיסמאות, להצטייד בסיסמאות חזקות יותר - אבל מה שהפרשה הזאת מגלה היא שברוב המקרים זה בכלל לא בשליטתו של המשתמש הבודד. הוא יכול להיות הכי זהיר שיש, להשתמש בסיסמאות הכי חזקות, אבל כדי לחשוף את המידע המוצפן מספיק שתהיה פרצת אבטחה בתשתית שבה הוא גולש, בארכיטקטורה עצמה, כמו במקרה של Heartbleed״.

ייתכן, אומר קוזלובסקי, שהבעיה נמצאת לא בפגם בפרוטוקול מסוים, אלא במשהו רחב בהרבה, בהיגיון המבני של האינטרנט, שבנוי על בסיס טלאים־טלאים - סותרים לעתים - של קוד. במידה מסוימת, האופן שבו עוצבה הרשת מראשיתה סותר את היכולת להגן על מידע לאורך זמן. הפרטיות היא גורם זר במבנה של הרשת - אלמנט זר שמושתל בו שוב ושוב, ובכל פעם הגוף דוחה את ההשתלה. ״האינטרנט לא נבנתה לאבטחה. אבטחה היא טלאי על גבי הרשת״, מסביר קוזלובסקי. ״האינטרנט זה טלאים על גבי טלאים של קוד שהורכבו יחד. הארכיטקטורה היא ארכיטקטורה שבורה.

"במידה מסוימת, ההצלחה של האינטרנט ב–20 השנים האחרונות תפסה אותנו בהפתעה. בנינו ארכיטקטורה שאנחנו לא יודעים להגן עליה. אחת מהמסקנות של הסיפור הזה היא שאולי צריך לבנות ארכיטקטורה חדשה, שבה האבטחה תוטמע מההתחלה ולא תתווסף אחר כך. אבל מכיוון שאנחנו לא הולכים להחליף את האינטרנט, אנחנו צריכים לקבל כהנחת מוצא את העובדה שאנחנו עובדים עם ארכיטקטורה שהיא שבורה בהגדרה״.

בשבועות הקרובים, הוא אומר, עד שרוב אתרי האינטרנט יטמיעו את התיקון 
ל–Heartbleed, ינסו האקרים להשתלט על המידע של גולשים. ״אחת הבעיות הגדולות כיום בתחום האבטחה היא שמהרגע שהתגלתה חולשה ועד שהשירותים באינטרנט מחסנים את עצמם עובר חלון זמנים מאוד ארוך, ולכן ממשיכים לחיות תקופה ארוכה עם אותה חשיפה. חלק מזה הוא גם עניין רגולטורי: אין לאתרים תמריץ אמיתי להתחסן, ולכן הם מגלגלים את הסכנה לציבור. לא נבנה סט התמריצים הנכון שיגרום לאתרים לבדוק את רמת האבטחה שלהם ולדווח על חולשות אבטחה״.

במידה מסוימת, לדברי קוזלובסקי, Heartbleed משמשת עוד מקרה מבחן לאמיתות התפישות שלנו לגבי פרטיות ברשת. ״יש את הגישה שאומרת ׳את מי אני מעניין?׳: חלק מהאנשים מבינים שהאינטרנט פרוץ לפרטיות, אבל מה אני מעניין מישהו? כביכול, החשיפה צריכה להטריד את מי שיש לו מה להסתיר. במובן הזה, אולי אפילו טוב שאין לנו פרטיות. הגישה האחרת אומרת שאסור לנו לוותר על הפרטיות. אז אנחנו רואים פריחה בפרוטוקולים כמו Tor, שמאפשרים גלישה אנונימית. אלא שכיום הכלים האלה ברובם מסורבלים ולא נמצאים בשימוש המוני, אלא נפוצים רק בקרב אלה שחשובה להם הפרטיות, כמו אקטיביסטים. נקודת המבט הזאת באה מההנחה שהאינטרנט הוא כלי לא אמין ומלא חורים. השאלה שהגישה הראשונה מעלה היא כמה אנשים זה באמת מעניין. השאלה שהגישה השנייה פותרת היא איך תנהג כשאין לך פרטיות. אתה תתנהג אחרת, אתה תפעל אחרת".

עמיחי שולמן, ממייסדי אימפרבה והטכנולוג הראשי של החברה, מסרב מצדו להתרגש מסערת Heartbleed. ״אני חייב להגיד שאני לא מצליח להבין למה הדבר הזה זכה להייפ כל כך משמעותי״, הוא אומר. ״אין ספק שהתגלתה פה בעיית אבטחה קשה בקוד שהוא מאוד נפוץ בהרבה מערכות, אבל אני לא חושב שזאת הפרצה הכי משמעותית שהתגלתה. אני גם חושב שהמספרים האמיתיים נמוכים יותר מהדיווחים עד כה. היו לא מעט פרצות בשנתיים האחרונות שהיו להערכתי משמעותיות יותר".

עופר וקנין
עמיחי שולמן

עם זאת, לדבריו, ״מה שמעניין זה שעוד פעם קיבלנו שיעור מאלף באיך קורות בעיות של אבטחת מידע. הרי מה קרה? היה סטנדרט, SSL, שקיים הרבה שנים. יש לו פונקציונליות מאוד בסיסית שכולם משתמשים בה, בוחנים אותה ובודקים אותה, והיא מאוד בשלה וחזקה ויציבה. ואז בא מישהו ואומר, נוסיף איזו תכונה שתהיה מאוד חשובה לאיזה תרחיש שאף אחד לא משתמש בו. הכניסו איזה קוד שאף אחד לא בדק ברצינות, ושכב שם מאז יחד עם הפונקציונליות החשובה והחיונית. וכמובן שהסתבר בסוף ששם נמצאת בעיית האבטחה הקריטית שדופקת את כל העניין״.

העולם שאחרי ההצפנה

השאלה הגדולה היא אם הכשל המהותי שהתגלה בפרשת Heartbleed - לא רק בתוך פרוטוקול OpenSSL עצמו, אלא גם בגישה של תאגידים לאבטחת מידע - ישנה במובן מסוים את תעשיית הסייבר, או את הביקוש לפרטיות והגנה על מידע לא רק מצד תאגידים וממשלות, אלא מצד הגולשים עצמם. ״עד כה הנחנו שיש פרדוקס פרטיות: אנשים רוצים פרטיות, אבל לא מוכנים לשלם עליה״, אומר קוזלובסקי. Heartbleed, הוא אומר, עשויה לשנות את זה, או לפחות להאיץ שינוי שכבר מתרחש.

״רוב האבטחה שהיתה עד כה רצתה להגן על תאגידים, ולא שמה במרכז את משתמש הקצה. אתה ואני היינו מוגנים על ידי פרוטוקולים שונים, אבל הערך של הפרטיות או חשאיות המידע שלנו לא היה במרכז המחשבה. פתאום, אנחנו רואים דרישה גוברת והולכת של משתמשים למוצרים שיגנו על הפרטיות שלהם. מוצרים חדשים שצומחים, שכל התפישה שלהם היא שהם מחויבים להגן על פרטיות המשתמשים. אפילו בסנאפצ׳ט אפשר לראות מוצר פרטיות - בראשונה, אנחנו רואים גל של מוצרים לפרטיות שעליהם אנשים מוכנים לשלם. מה שיכול לקרות זה שכתוצאה מהתהודה שמקבל הסיפור הזה תגבר הדרישה למוצרי אבטחה ופרטיות, וייווצר שוק״.

שולמן, מצדו, לא מסכים עם התחזיות שטוענות ש–Heartbleed, חשיפות סנודן ואירועים דומים יובילו לדרישה מוגברת לפרטיות. ״להגיד שהפרצה הזאת תשנה משהו בהרגלי הגלישה שלנו זה להערכתי מוגזם ולא מציאותי. הרגלי הגלישה שלנו מעולם לא הושפעו מענייני אבטחת מידע, ואני אומר את זה בתור אדם שמגיע מתחום אבטחת המידע״, הוא אומר. ״פעם אמרו 'יהיה SSL, הדפדפן יציג מנעול קטן וכך תדע שאתה בטוח'. אבל אז הסתבר שהמשתמשים לא מסתכלים על המנעול, אז אמרו 'נעשה את זה באדום, נקפיץ פופ־אפ', ועדיין אנשים לא שמו לב. זה בגלל שהרגלי הגלישה לא מושפעים מענייני אבטחה, הם מושפעים ממה שטוב לנו ברשת.

בלומברג

״אם אתה שואל אותי, אני מסתכל על הדור שצעיר ממני ב–15 שנה, וכל המושג שלהם של פרטיות ברשת מאוד מעורפל. אדם שמעלה את כל החיים שלו לפייסבוק ולרשימות תפוצה אדירות בווטסאפ, קשה לי להתייחס לתפישת הפרטיות שלו. סנאפצ׳ט, למשל, זאת דוגמה נהדרת לאשליית הפרטיות של דור הפייסבוק. מה הפרטיות שמספק סנאפצ׳ט? מישהו מבטיח לך שהוא ימחק את התמונה. אותו אדם כבר אמר שזה לא ככה, שלפחות חצי שעה היא לא נמחקת, שגם אז היא לא בדיוק נמחקת, אבל אתה עדיין חושב שיש לך פרטיות״.

על דבר אחד קוזלוסקי ושולמן כן מסכימים: אם פרשת Heartbleed מוכיחה משהו, הרי זה שהעולם זקוק כיום ליותר מהצפנה. בכך מתעלים השניים את דבריו הקריפטוגרף הישראלי פרופ׳ עדי שומר, שטוען שעולם אבטחת המידע נע לכיוון של פוסט־הצפנה. ״אני חושב ש–Heartbleed מסמן תופעה שאנחנו טיפה מנסים להדחיק בעשור האחרון, והיא שאנו זקוקים למנגנוני הגנה שהם לאו דווקא הצפנה. הצפנה היא נדבך אחד, אבל אנחנו צריכים גם דברים שהם מעבר לזה. זה לקח שכולנו, כל מי שמתעסק באבטחת מידע, לומד שוב ושוב לאורך השנים.

"התרגלנו לומר ׳אם זה מוצפן - זה בטוח׳. אז לא. ההצפנה שאנחנו משתמשים בה היא הצפנה טובה, היא מספקת את ההגנה, הבעיה היא שהיא לא יישות מתמטית מופשטת. צריך לפתח איזה מכשיר או לכתוב איזו תוכנה שעושים את ההצפנה, וכל ההתקפות, כל הדרכים לעקוף, הן על ידי ניצול של פגמים במכשירים ובתוכנות האלה, ולא בהצפנה שהם מספקים״.

לדברי קוזלובסקי, אחת התפישות השגויות שאנחנו צריכים להיפרד מהן היא המחשבה שיש פתרון אולטימטיבי לבעיית האבטחה ברשת. ״לא נראה תרופת פלא במוצרי האבטחה. אנשים מניחים שבגלל שיש פלדלת שסוגרת הכל והכל מוגן, או איזו כיפת ברזל שמיירטת הכל, אז גם באינטרנט יהיה מנגנון אבטחה אחד שיגן על הכל - וזה ממש לא נכון. מכיוון שהאזורים של הפגיעות, של החשיפה, הם כל כך רבים, והשכבות כל כך שונות, גם עולם אבטחת המידע נראה כמו לקט שבו כל דבר מגן על שכבה אחרת. אין פתרון אחד גורף״.

השאלה היא כיצד ינהג ציבור הגולשים בעולם שאחרי Heartbleed. האם יש בכלל עולם שאחרי Heartbleed? כלומר, האם היא באמת חשובה כל כך שהיא תשנה את הרגלי הגלישה או העדפות הפרטיות של גולשים? קוזלובסקי מאמין שהחשיפות האחרונות לגבי רמת האבטחה והגנת המידע ברשת יובילו לדרישה מוגברת לפרטיות וייצרו שוק חדש של חברות שיציעו פתרונות אבטחה אמיתיים למשתמשים רגילים.

שולמן, מצדו, לא מסכים. לדבריו, ״אני ספקן בנושא הזה. כשאתה עובד מול נותן שירות, אתה בסופו של דבר צריך לסמוך על נותן השירות שלך שיעשה את הדברים הדרושים. אתה צריך כמובן לעשות את הדברים הסבירים, לבחור סיסמה ראויה, אבל בסופו של דבר נותן השירות הוא שצריך לספק לך את אבטחת המידע. אתה מסתכל ימינה ושמאלה לפני שאתה חוצה את הכביש, אבל אתה לא חי כל הזמן בתודעה שדברים רעים יקרו לך - אתה פשוט מצפה מהמשטרה לעשות את העבודה שלה.

"אי אפשר לצפות שאנשים יתנהלו אחרת ברשת. אני לא מאמין שזה ישתנה. אני לא מאמין שהתעשייה תשתנה. יש איזו אמונה שחברות ינסו למכור אבטחת מידע למשתמשי קצה. אני לא מאמין בזה. אתה יכול למכור לי דלת סבירה, אבל לא תוכל למכור לי הביתה דלת פלדה בעובי
2 מטר עם שירות פריסת מוקשים בגינה. אני גם לא חושב שאפשר לזרוק את האחריות על אבטחת המידע על האדם הפרטי. הוא נלחץ לשבוע, אבל לא לאורך זמן. אנחנו לא מתנהלים ככה בחיים הרגילים שלנו, ואי אפשר לצפות שנתנהג ככה במלחמות הסייבר״.

קוזלובסקי, מצדו, מסכים שלא הכל נמצא בידי האדם הפרטי, אבל מזהה דיון ציבורי שעשוי להוביל לפתרונות מוחשיים יותר למצב שכיום הוא, בפועל, פרוץ לחלוטין. לדבריו, ״כל פרשה מעירה עוד פעם את הציבור להבין כמה אני חשוף, כמה האינטרנט כרגע לא מאובטח. ובכל פעם מתעוררת אותה שיחה: ׳מה זה משנה לחיים שלי?׳. ובכל פעם יש קולות שאומרים 'בואו נזנח את האינטרנט' ובכל פעם יש קולות יותר ריאליים ששואלים: ׳איך מתקנים?׳. ובכל פעם, הגילוי הזה תורם להבנה של כמה אנחנו חשופים כחברה.

"אני חושב שמתחילה להיווצר פה שיחה חשובה בשאלות כמו: באיזו חברה אנחנו רוצים לחיות? מה מידת הפרטיות שאנחנו חושבים שאנחנו זכאים לה? עד כמה פרטיות היא ערך חשוב? עד כמה המחוקק או השיטה צריכים לחוקק או להגן על הפרטיות שלנו? עד כמה צריך שיהיה להם את התמריץ הנכון? אני לבדי לא יכול לייצר לעצמי פרטיות, זה נכון. אבל אני צריך לדעת למה אני מצפה מהמדינה או המחוקק, שינסו לתקן לי את הסביבה שבה אני חש כל כך בעוט״.



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#