התרגיל האירני שנכשל

בימים האחרונים פורסמו בכל אתרי חדשות הטכנולוגיה הודעות על התעודות המזוייפות שיוצרו עבור הדומיינים Google.com ועוד כמה עשרות דומיינים פופולריים. רבים תהו עבור מה התעודות האלו נוצרו בעצם ומה בעצם הסיפור מאחורי זה.

הסיפור הולך כך:

בהולנד יש חברה DigiNotar שהיא חברה שמייצרת תעודות רשמיות הולנדיות עבור אתרים שונים, כולל חברות ועסקים הולנדיים (DigiNotar יוצרת תעודות SSL לרוב אתרי הממשל ההולנדי לדוגמא). מטבע הדברים, תעודות SSL צריכות להיות מיוצרות ע"י חברה שאבטחה בראש העדיפויות שלה, אולם כפי שגילו מספר חוקרים עצמאיים, DigiNotar מאוד מאוד רחוקה מאבטחה. כמה רחוקה? איראנים פרצו לאתר שלהם מספר פעמים ואף השאירו מספר הודעות Defacement בחלקים שונים של האתר, הודעות שנשארו עד היום בחלקים שונים של האתר, כלומר DigiNotar כלל לא טיפלו בנידון.

אז מה לאיראנים ולתעודות SSL מזוייפות? אירן הרי לא יכולה להשתמש בתעודות האלו מול כל העולם, מכיוון שהדפדפן פונה לכתובת האתר של גוגל (במקרה של Google.com ומבקש "לראות" את התעודה מגוגל, לא מהאיראנים).

התשובה פשוטה: האיראנים מאוד מעוניינים במידע על תושבים שונים, מידע על המייל, עם מי הם מתכתבים, מה הם מתכננים וכו'. אף אדם שפוי כמובן שלא יפתח חשבון מייל בתוך אירן מתוך ידיעה שה"אח הגדול" בהחלט מאזין ושומר עותקים של הכל, ולכן האיראנים פותחים חשבונות בגוגל, אבל כאן יש בעיה לשלטונות האיראנים: גוגל מאפשרת וממליצה בחום לעבוד ב-HTTPS, מה שלא מאפשר לשלטונות להאזין למייל, לרשת החברתית גוגל+ או לצ'אט. אין שום ציוד כיום שיכול להאזין באמצע בין דפדפן לשרת בתקשורת מוצפנת.

אז מה החליטו השלונות באיראן לעשות? צעד מתוחכם אבל מטומטם לחלוטין:

  • קודם כל הם שוב פורצים ל-DigiNotar ומזייפים מס' תעודות לדומיינים פופולריים.
  • מכיוון שאירן שולטת לחלוטין בתקשורת האינטרנט במדינה (כל הספקים הם בבעלות ממשלתית), הם יכולים לנתב תקשורת כרצונם לאיזה שרת מקומי, כך שכל מי שיכתוב gmail.com או google.com/mail יגיע בעצם לשרת המקומי
  • בשרת המקומי יש דף זהה לדף GMAIL בו המשתמש מתבקש להקיש שם משתמש וסיסמא.
  • לאחר שהוא מקיש, המשתמש מועבר לשרת ה-GMail האמיתי. לשלטונות יש את פרטי ההתחברות ל-GMAIL ולשאר השרותים של גוגל. מכאן הם כבר יכולים להשיג מידע רב על כל מיני "חשודים" פוטנציאליים.

אז היכן בעצם הטמטום? או, טוב ששאלתם:

  • הדפדפנים היום חכמים: הם יודעים לבדוק בבדיקה חיצונית היכן אמורה להיות התעודה ועוד הרבה פרטים לגבי התעודה, כך שגם אם תיצור תעודה אצל רשם כלשהו שהיא בעצם תעודה מזוייפת למקור, דפדפנים כמו Firefox וכרום, אותם דפדפנים יעלו על כך מיידית. הם יתנו אזהרה לכל המשתמשים שינסו להיכנס. כמה אנשים לא יחשדו אם פתאום צץ להם מסך אדום מפחיד במקום הגלישה הרגילה שהיתה להם עד כה? לא הרבה.
  • כל יצרני הדפדפנים פעלו במהירות: מיקרוסופט, גוגל, מוזילה, אופרה, אפל – כולם החליטו לעשות את הפעולה הכי לוגית: במקום לחפש איזה תעודות מזוייפות הוציאו לאיזה דומיינים, ובהתחשב בכך ש-DigiNotar די "שמה קצוץ" על כל עניין האבטחה, פסלו את כל התעודות של DigiNotar. אם התחום העיקרי ש-DigiNotar מרוויחה ממנו כסף, הם יכולים עתה לפשוט רגל. אף דפדפן לא תומך בתעודות שלהם יותר.
  • לאיראני חובב הגלישה שדי בטוח שהמדינה מחפשת את המידע שלו – תהיה עוד סיבה לבדוק ב-7 עיניים כל אזהרה.

לסיכום: מי שהגה באירן את התוכנית יצא מפגר ולא מבין בטכנולוגיה. זה כמובן לא אומר שהאיראנים לא ימשיכו לרגל אחר אזרחיהם עם מיטב הטכנולוגיה בחסות טכנולוגיה מערבית (יש סנקציות? תסמכו על האיראנים שימצאו מספיק מדינות לייבא את הציוד דרכם). אחרי הכל, השלטון הנוכחי בחסות המנהיגים הרוחנייםרוצה להשמיד איזו מדינה או שניים (בטווח הרחוק) ולקבל שליטה על כל אזור המפרץ הפרסי (בטווח הקרוב), ואם כל העם שלהם ירקב, זה לא יזיז להם.