לפני מספר שבועות התקשר אלי חבר ושותף לעסקים, מורן זבדי מחברת מוזהטק, ששיתף אותי בנושא הבא:
"עם יד על הלב, כמה פעמים קנית באתרי אינטרנט בשנה האחרונה וחשבת שהכרטיס אשראי שלך מאובטח? לא תאמין כמה חשופים אתרי המכירות הפומביות להתקפות שונות ובאיזו קלות עלולות ה'עסקות' להסתיים כאשר פרטי כרטיס האשראי שלך בידיים לא רצויות".
אכן, הרבה זמן עבר מאז שקניתי on-line, עד שבוע שעבר, בו נשרפה הטלוויזיה והתחיל החיפוש אחר טלוויזיה חדשה. הרבה אתרים מציעים מכירות on-line, כולם, ללא יוצא מן הכלל, מאובטחים, כך לפחות הם טוענים. בכל אתר נתבקשתי למסור את פרטי כרטיס האשראי, בחלקם אף ביקשו את המידע עוד בשלב ההרשמה, לפני הרכישה. עד לנקודה זו כולנו מכירים את המצב. כולם מרוצים ואלפים קונים מדי יום.
עבורנו, משתמשי הקצה, המושג (Security Service License) SSL מהווה את ההבדל בין "לקנות ולהיות מרוצה" לבין "לקנות ולהיות מטורטר". אלה מאיתנו שלרוע מזלם השתייכו לקטגוריה השנייה, העבירו שעות ארוכות בשיחות פינג-פונג, במשלוח פקסים, בהצהרות, בחתימות, בבירורים ובמעקבים מול נציגי חברות כרטיסי האשראי בניסיון לשכנע שמישהו משתמש בכרטיס שלנו ומגיע לנו החזר.
רוב צרכני האינטרנט מכירים את כלל היסוד של אבטחת המידע ברשת - אם מופיע ציור המנעול בתחתית המסך, משמע שפרטינו מאובטחים. אבל האם הציור של המנעול הקטן אכן מבטיח שאנו יכולים לסמוך על האתר? האם בכוחו של המנעול הקטן הזה להשאיר אותנו בקטגוריית הצרכנים הראשונה, של "הקונים והמרוצים"?
טוב, אמרתי למורן, בוא נתחיל לחפש. נתחיל בהגדרה פשוטה של SSL במילים שאפשר להבין ובלי סיבוכים...
SSL זאת תעודה של בעל האתר אשר מאמתת את הזהות שלו. כאשר מישהו קונה מאתר אשר יש לו SSL בתוקף, הוא יכול לאמת את זהות האתר ולדעת שהוא אכן קונה ממנו ולא מאתר מזוייף אשר נועד למשוך את כרטיס האשראי שלנו.
בנוסף לכך המשתמש גם יודע ש-SSL מצפין את התקשורת על-מנת לוודא כי אף אחד לא יכול "לצותת" לתנועה שעוברת ולקלוט את נתוני כרטיס האשראי.
כאשר מבקשים לקבל SSL מאחת החברות הגדולות, הן מתעקשות לדבר עם האדם ולאמת את זהותו. הדעה הרווחת היא שאם SSL הונפק על ידי אחת החברות הגדולות אזי סביר להניח שבוצעה מראש בדיקה בסיסית, ואפשר לדעת שהפרטים שיעברו יהיו מוצפנים ברמת אבטחה המספקת את הדעת.
במהלך החיפוש אחר טלוויזיה באחד האתרים קפצה הודעת אזהרה. מתברר שה -SSL של האתר פג לפני חודשים ואף אחד לא טרח לחדש אותו (מיותר ויקר לחדש, הרי כולם חושבים שיש לאתר הצפנה ואפשר להשאיר את הבאנר שמראה אותו). הנחתי כי נתקלתי באתר בעייתי וחריג והמשכתי את מסע ציד הטלוויזיות באתרים אחרים.
לא עבר זמן רב ונמצאה טלוויזיה מעולה באתר אחר. עלה טופס פרטי כרטיס האשראי שיש למלא ובאתר צויין שהטופס מאובטח. יופי, חשבתי, נגמר המסע. ניגשתי למילוי הפרטים כשלפתע שמתי לב לכך שציור המנעול המרגיע נעדר ממקומו. למרות חיפושיי, לא מצאתי אפילו רמז לקיומו של SSL או כל טכנולוגיה אחרת אשר תגן על הנתונים.
אנחה עמוקה של אי שביעות רצון, והמשכתי בחיפושיי. אחרי הכל, אני מודה, אוותר בשמחה על כאבי הרגליים שמלווים את הקניות האלו, עם שקית ניילון כבדה תלויה על כל אצבע ועוד שעתיים של חיפוש הרכב בחנייה התת-קרקעית. טוב, ממשיכים לחפש. ושוב, נמצאה טלוויזיה מפתה במחיר סביר. הפעם חייבים לקנות. יש סימן של מנעול, יש SSL בתוקף, הכל נראה מעולה. באמת? רק בעיה אחת קטנה, הכתובת של תעודת ה-SSL אינה הכתובת של החנות שממנה אני קונה.
ומה זה אומר?
מתברר שעל-מנת לחסוך בכסף, מציעות חברות מסחריות SSL משותף תחת השם שלהן. בפועל, נכנס הצרכן וקונה באתר X שטוען שהנו מוצפן ומאובטח אבל למרבה הפלא, נתוני כרטיס האשראי נשלחים לבעליו של אתר Y, שהינו אתר שונה לגמרי ומציע לעוד עשרות אתרים הצפנה בחינם. במקרה הטוב, יבחין המשתמש העירני שמשהו מוזר, אבל כלל לא יידע מי או מה עומד מאחורי אתר Y, מי בעליו וכיצד בדק את אתר X. במקרה הגרוע, פרץ מישהו לאתר Y, שתל בו תוכנה קטנה המקליטה את נתוני כרטיסי האשראי, שולחת אותם למפעיל התוכנה ובמקביל מבצעת את העיסקה.
האם כל מה שנכתב כאן ממצה את כלל הסכנות בקניה מקוונת?
ממש לא. כרטיס האשראי עובר בצורה מוצפנת, אבל קיימת בעיה נוספת. שם המשתמש והסיסמה שלכם לא עוברת באופן מוצפן כמעט בשום אתר. לכן אולי התוקף לא יוכל לדעת את מספר הכרטיס באופן ישיר, אבל באמצעות טכניקות שונות של ציתות, יוכל לאתר את שם המשתמש והסיסמה שלכם, ומשם שוב קצרה הדרך לארנק שלכם.
והמשתמש, מה הוא אומר? המשתמש מצידו התנחם בציור הקטן של המנעול ומבחינתו הכל בסדר.
ולאחר שנאמר הכל, יעלה ויבוא המשתמש המתחכם ויגיד:
"כן , אבל הכל תיאורטי. קיים סיכוי נמוך שמישהו יקליט אותי או יעשה שימוש בתוכנה מתוחכמת שתקליט כרטיסי אשראי דרך אתר שלישי או בדרך אחרת".
והתשובה תהיה שגם טרם סערת הסוסים הטרויאנים איש לא חשב שאפשר לבצע פעילות ריגול בקלות רבה כל כך ובהיקפים כה גדולים.
תמשיכו לקנות מאתרים שאיש לא מכיר... ניפגש בתור של חברת האשראי.