פרשת כרטיסי האשראי – מחדל חמור שניתן היה למנוע

רבות כבר נאמר ונכתב על פרשת כרטיסי האשראי, במסגרתה חשף האקר סעודי (לכאורה) את פרטיהם האישיים של כ- 400,000 ישראלים, ואת מספרי כרטיסי האשראי של כ- 25,000 ישראלים, עד כה. בשעת כתיבת שורות אלה, מאיים ה- "האקר הסעודי" להמשיך ולשחרר כמיליון מספרי אשראי נוספים שיש לטענתו ברשותו, כך שיתכן מאוד שמספר נפגעי הפרשה ימשיך ויעלה בעתיד הקרוב.

לדעתי ישנן עדיין שלוש נקודות חשובות ביותר שטרם נאמרו כלל בתקשורת, או שנאמרו בצורה חלקית בלבד, ולכן מצאתי לנכון לכתוב מאמר זה.

כמעט לעולם אין שום הכרח, לא הכרח מבחינה טכנית ולא הכרח מבחינת פרקטיקה או נוחות למשתמש, שבעל אתר אינטרנט יחזיק במאגר המכיל מספרי כרטיסי אשראי של המשתמשים הרשומים באתר, לאורך זמן ממושך. השאלה הראשונית, ולפעמים המהותית יותר, איננה צריכה להיות האם אתרים מאבטחים כראוי את המידע שהם מחזיקים בו, אלא – מדוע בכלל הם מחזיקים בו מלכתחילה, והאם מצב זה מוצדק, וחוקי?

האם הציבור היה מקבל מצב בו כל עסק מסורתי, הפועל מחוץ לרשת האינטרנט, היה מחזיק בידיו לנצח את מספרי כרטיסי האשראי שלו – שמא ירצה הלקוח לשוב ולרכוש אצלו בשלב כלשהו, לא ידוע עדיין, בעתיד הנראה או הלא נראה לעין? מובן שלא. לכן לא ברור מדוע הציבור הרחב נוטה למסור את אותם מספרי כרטיסים בדיוק לידי גורם כלשהו, פעמים רבות גורם שזהותו איננה ברורה לחלוטין ואמינותו מוטלת בספק, בעולם הווירטואלי – וזאת מבלי שהובהר לו האם המידע נשמר לאורך זמן, ובאיזה אופן.

המקרה היחיד הריאלי שניתן לחשוב עליו, בו אכן ישנה הצדקה חלקית לשמירת מספרי כרטיסי האשראי אצל בעל האתר בטווח הזמן הארוך, הוא מקרה בו מתבצעת הוראת קבע לחיוב חודשי של הכרטיס. במקרה שכזה יוכל אולי בעל האתר לטעון שמדובר בצעד שמטרתו לחסוך אי נוחות למשתמש, בכל הנוגע להקלדה מחודשת של המספר באתר, מידי חודש בחודשו.
למיטב ידיעתי, לא זה היה המצב במקרה דנן, שכן אופי העסקאות באתרים ששמם עלה לכותרות בפרשה אינו מחייב בשום צורה ואופן הוראת קבע לחיוב חודשי קבוע של כרטיס האשראי.

בכל מקרה, קיימת קלות בלתי נסבלת בנטייה של הגולש הממוצע למסור מידע אישי רגיש, כגון: מספר כרטיס אשראי, קוד האבטחה לכרטיס האשראי (3 ספרות בגב הכרטיס), ולפעמים גם מספר ת.ז., לידי גורמים זרים באינטרנט – וקלות בלתי נסבלת עוד יותר לאגירת מידע זה, על ידי בעלי האתרים, רק "כי הם יכולים".

נקודה שנייה שברצוני להעלות, היא שאם כבר הוחלט על ידי בעל אתר להחזיק בפרטים רגישים כגון מספרי אשראי במאגר – חובה עליו להצפין מידע זה, וזאת תוך שימוש באלגוריתם הצפנה חזק ביותר, אשר לא ניתן לפצח כלל, לפחות לא באמצעים העומדים לרשות הרוב המוחלט של ההאקרים.

עובדה פשוטה היא, שהמאגר שנפרץ ב-"פריצה הסעודית" הועלה לאינטרנט כשהוא בלתי מוצפן בעליל. לא היתה שם הצפנה וגם לא חצי הצפנה, על אף שדה, במאגר מידע מקיף ביותר, אשר הכיל בצורה מסודרת להפליא את כל המידע שנאסף מן המשתמשים במהלך תהליך ההרשמה לאתר, ובמהלך ביצוע ההזמנות באתר: שמות מלאים, כתובות מגורים, טלפונים, תאריכי לידה, כתובות מייל, סיסמאות הכניסה לאתר (האם מדובר בסיסמה זהה לזו בה משתמש בעל החשבון גם בחשבון ה- Gmail שלו? בחשבון הבנק המקוון שלו? להאקרים הפתרונים!), מספרי כרטיסי אשראי, מספרי קודי האבטחה לכרטיסי האשראי (CVV שלוש הספרות שבגב הכרטיס), פירוט הערות המשתמש בנוגע להזמנה שבוצעה, ופרטים מסויימים אודות משלוח ההזמנה – הכל היה שם, מאורגן ומקוטלג בבסיס נתונים של תוכנת Access. הצפנה? הצפנה ממש לא היתה שם, ואפילו לא משהו שדומה לה.

קראתי שהועלתה טענה על ידי חלק מן המעורבים בפרשה שהיתה הצפנה, אך שהיא "פוצחה על ידי ההאקרים". בנוגע לטענה זו, כל שיש לי לומר הוא, שהצפנה אמיתית וחזקה בפירוש לא ניתנת לעולם לפריצה על ידי האקרים אשר אינם עובדים ב- NSA האמריקאי, ולא עומדים לרשותם מחשבי על, ותקציבי עתק. מידע שמוצפן בתקן ההצפנה המוכר והידוע AES, למשל – לעולם לא יפרץ על ידי האקרים מן השורה, ולא משנה עד כמה טובים ומתוחכמים הם יהיו.

נקודה שלישית ואחרונה שברצוני להעלות, הינה תשובה אפשרית לשאלה החשובה, מדוע נוטים גולשים כה רבים למסור בקלות כה רבה את פרטיהם האישיים לידי בעלי אתרים באינטרנט?

התשובה נעוצה לדעתי במשמעות השגויה מן היסוד, שמייחסים גולשים רבים מאוד למושג "אתר מאובטח".

מהו, אם כן, אתר מאובטח? רבים מהגולשים יאמרו שמדובר באתרים שלגביהם מופיע בדפדפן סמל של מנעול צהוב (לצד שורת כתובת האתר באינטרנט אקספלורר, בשלב בו ממלאים את הפרטים האישיים בזמן אמת, לפני המשלוח שלהם לשרת המרוחק) – וגולשים בעלי ידע טכני רחב יותר יוסיפו ויאמרו שמדובר באתרים בהם פרטי ה- SSL Certificate (תעודת ה- SSL) שלהם הופק על ידי מקור מהימן, והינו בעל תאריך תפוגה בתוקף. האומנם זהו המצב? התשובה היא, שאתר שכזה אכן יחשב מאובטח, כל עוד מדובר בשלב החשוב, אך החלקי והראשוני מאוד, של העברת הפרטים האישיים אל השרת המרוחק דרך האינטרנט. כלומר, כל עוד מדובר באותן שניה או שתיים של משלוח המידע ממחשבו של הגולש אל השרת המרוחק.

דוגמא לאתר מאובטח. לאחר שכרטיס האשראי הגיע אל היעד- האבטחה תלויה בבעל האתר.

מה קורה מן הרגע בו המידע כבר הגיע בהצלחה לשרת המרוחק והלאה – זו כבר שאלה אחרת לחלוטין. סמל המנעול הצהוב, וה- SSL Certificate, כבר לחלוטין אינם קשורים לשלב זה, בשום אופן.

אתר יכול להיות בעל תעודת SSL מקצועית, שהופקה על ידי גורם מוכר ומהימן, ההצפנה המאושרת על ידה מצויינת, והתעודה אכן בתוקף שנים קדימה – אך מיד לאחר שהמידע כבר הגיע בהצלחה ליעדו בצד השני של המרחב הווירטואלי, אותו מידע בדיוק נשמר באופן גלוי לחלוטין, לא מוצפן ולא מוסווה בשום צורה, גלוי לעיני כל מי שצופה במאגר המכיל אותו (עובד בחברה בה נשמר המידע, או אולי האקר מסעודיה?).

לא צריך להיכנס לפאניקה, ולא צריך להימנע באופן גורף ממסירת פרטים באתרים המציעים מסחר אלקטרוני באינטרנט. יחד עם זאת, חשוב לזכור שרק לעיתים רחוקות מאוד, ישנה הצדקה מלכתחילה לקיומו של מאגר המכיל פרטים רגישים כמו מספרי אשראי.

אם כבר קיים מאגר שכזה – יש צורך לדעת לאבטח את המידע שבו כראוי, וזאת בראש ובראשונה על ידי הצפנת המידע הרגיש הנמצא בו, תוך שימוש באלגוריתם הצפנה חזק מאוד, שנחשב בלתי ניתן לפיצוח באמצעים מקובלים (כגון הצפנת AES).

בנוסף, חשוב שהציבור הרחב יבין מהו בעצם "אתר מאובטח" – וזאת תוך מודעות לכך שקיים הבדל מהותי וחשוב, בין העברת הפרטים באופן מאובטח אל השרת המרוחק בזמן ביצוע ההזמנה עצמה, לבין שמירת הנתונים בצורה מאובטחת על גבי השרת המרוחק, מרגע קבלת הנתונים והלאה.

הכותב הינו אינטגרטור אבטחת מידע, המתמחה באבטחת רשתות מחשבים.