Law, Firesheep & Order

לאחרונה שוחרר תוסף לפיירפוקס שנקרא Firesheep. התוסף מאפשר פריצה לחשבונות כגון אי-מיילים, פייסבוק וכדומה כל-כך בקלות, כך שלא צריך להיות פצחן (=האקר) מיומן כדי לעשות את זה. כך זה עובד: המשתמש מתקין את התוסף Firesheep על המחשב שלו ויוצא ל"ציד" במקומות בהם ישנה רשת אלחוטית לא מאובטחת כגון בתי קפה, שדות תעופה וכולי. ה-Firesheep "מרחרח" באותה רשת לא מאובטחת, וכשהוא מוצא קבצי cookies (קבצים אשר שומרים נתונים מסוימים בזמן הגלישה) באתר ספציפי כגון פייסבוק, טויטר או אמזון, הוא מעתיק אותם ומאפשר למשתמש בו את הגישה לחשבון הלגיטימי של גולש אחר. לדוגמה: אתה גולש ברשת אלחוטית חינמית (שלא מצריכה שם משתמש וסיסמה) בבית קפה, ואתה נכנס לחשבון הפייסבוק שלך. אני יושב בשולחן שלידך באותו בית קפה ומריץ את ה-Firesheep. עכשיו יש לי גישה לחשבון שלך, אני יכול לשלוח הודעות בשמך ולראות את כל מה שאתה רואה, כולל רשימת החברים וכולי. אם אתה משתמש בטוויטר, אני יכול "לצייץ" בשמך. רוב האתרים שמצריכים שם משתמש וסיסמה יכולים להיפרץ על-ידי שימוש ב-Firesheep. זמן קצר אחרי שהתוסף Firesheep שוחרר, אדם אחר כתב תוכנה אחרת וקרא לה Idiocy (אידיוטיות). בעיקרון, Idiocy עושה בדיוק את אותו הדבר, רק שהיא מוגבלת לחשבונות טוויטר בלבד. אחרי שהתוכנה זיהתה את קבצי ה-cookies של הגולש, היא שולחת הודעה שאומרת: "גלשתי בטוויטר בצורה לא מאובטחת ברשת ציבורית, וכל מה שקיבלתי הוא 'ציוץ' עלוב". הרעיון שעומד מאחורי Firesheep ו-Idiocy הוא העלאת המודעות לבעיות המהותיות של אבטחה ופרטיות. אתרים כמו פייסבוק, טוויטר, יאהו, אמזון וכל אתר אחר שדורש סיסמה, צריכים להשתמש בפרוטוקול HTTPS כל הזמן, לא רק במסך הכניסה. ישנה גם השאלה החוקית והאתית בשימוש בתוכנות כאלו. החוק משתנה ממדינה למדינה ואפילו יכול להשתנות בין מדינות בתוך ארה"ב. אני מנחש (לא מבטיח) שלא בלתי חוקי להשתמש ב-Firesheep כדי להעתיק קבצי cookies. אך ברגע שעשיתם דאבל-קליק על תמונת המשתמש כדי להיכנס לחשבון שלו, קרוב לוודאי שעברתם על החוק. כרגע המומחים בנושא החוק ואבטחת המידע עדיין חלוקים בדעתם לגבי חוקיות השימוש בתוסף. באופן אישי, אני לא אתקין את התוכנה Idiocy כיוון שבאופן אוטומטי היא תבצע חדירה בלתי חוקית לחשבון אחר. לפני שאתה מתקין ו/או משתמש ב-Firesheep בדוק את החוקים המקומיים שמתייחסים לכך. יש סיכוי גבוה שבעצם התקנת התוכנה אתה עובר על החוק. אני חושב שזה לא יהיה אתי לעשות את זה, אפילו מתוך הכוונה הטובה ביותר של להזהיר את חבריך מפני הסכנות שבגלישה לא בטוחה. ובלי קשר, Firesheep הפכה את השימוש ברשתות ציבוריות למסוכנות יותר מבעבר. ניתן לקרוא מידע נוסף על התגוננות ברשתות ציבוריות במאמר Fly-by-Wireless.