יומן אבטחה

באחד המאמרים האהובים עליי של ברוס שנייר הוא כותב על Snake Oil. המונח מתאר תרופות פלא שפותרות כל דבר ומבוססות לרוב על מים קדושים (מרמת חובב). בעברית המונח המקביל הוא כנראה בבל"ת. המאמר המקורי מומלץ לקריאה, הוא קליל ומהנה ושווה את זמנכם. נזכרתי במאמר כשקראתי ידיעה על חברה שפיתחה מוצר אנטי Keylogger. למען הסר ספק - לא בחנתי את המוצר ולא קראתי תיעוד מעמיק שלו (אין באתר). ובכל זאת אני ארשה לעצמי להשתעשע קצת על חשבון אחרים.

המוצר מספק הגנה כנגד האזנה להקשות מקלדת על ידי הצפנת הנתונים העוברים בין המקלדת לדף האינטרנט. איך זה עובד (על פי אתר החברה):

הבעיה המרכזית היא שתוכנות הריגול מאזינות לנתונים העוברים מהמקלדת לאתר ולכן התוכנה מצפינה את הנתונים ברמת הדרייבר של המקלדת, עמוק בתוך מערכת ההפעלה (זה מה שהם כותבים) ופותחת את ההצפנה רק בדפדפן.

עכשיו בוא נראה את העניין מנקודת מבט אבטחתית:

1. איך בדיוק הם מצפינים את הנתונים ברמת הדרייבר, כלומר התוכנה מחליפה את הדרייבר בדרייבר משלה? נראה לי לא סביר, כי הם בכלל לא מדברים על סוגיות של תאימות לחומרה.
2. איך הנתונים מועברים מוצפנים לדפדפן.
3. השאלה הכי גדולה - מה זה נותן? הרי בתוך דף הדפדפן הנתונים נשמרים גלויים כדי שיוכלו לעבור לאתר. זה שהמשתמש רואה כוכביות זה לא בדיוק מנגנון הצפנה שנועד למנוע האזנה של תוכנות, זה סתם מנגנון שמונע מעובר אורח לראות מה כתוב שם.
4. כמובן שלא כתוב באיזה אלגוריתם הצפנה נעשה שימוש.
5. עוד נתון מעניין הוא שהגרסה החינמית מצפינה רק נתוני הזדהות בעוד שהגרסה בתשלום מצפינה את כל הנתונים. עכשיו איך בדיוק הדרייבר יודע להבדיל בין הנתונים? הרי (ואני מקווה שאני לא טועה בנקודה זו) הפרשנות של הנתונים היא לא ברמת הדרייבר (כלומר, האם זה סיסמא או משהו אחר) אלא ברמת היישום. מה קורה באתרים בהם יש שם משתמש,סיסמא ומזהה נוסף (כמו שעשוי להיות ב-OTP, באתרי בנקאות וכדומה).

יש פתרונות להצפנת נתונים העוברים מהמקלדת, אך אלו דורשים למיטב ידיעתי חומרה ייעודית.

בקיצור, זה מוצר אבטחה שמעלה אצלי יותר שאלות מתשובות ואם למי מהקוראים יש תשובות אשמח לשמוע.

נזכרתי במשפט הידוע של ברוס שנייר - כל אחד יכול לתכנן מערכת אבטחה שהוא עצמו לא יכול לפרוץ.