יותר ויותר אנו נתקלים בעמודים בפייסבוק שבכלל לא דורשים שנשעה "לייק". רק תחלצו כאן שנוכל לוודא שאתם בני אדם ולא רובוטים ויהיה בסדר.

אני מפנה כאן לפוסט מרתק של ים מסיקה שדן בנושא, מסביר את הטכניקה וגם את הסכנות הכרוכות.

לצערי, על מנת שלא לפגוע בים, לא העתקתי לכאן את כל הפוסט אבל אשמח אם למי שיש משהו להסביר או לחדש לנו יכתוב אותו גם כאן.

ולאחרים - תהנו. חשוב לקרוא. מכאן הציטוט של ים -

הגעתי לכתוב את הפוסט הזה בעקבות עמוד ב-Facebook שידידה טובה שלי נרשמה אליו. אני לפעמים מתעניין, וחייב לעשות קליק אחד או שניים כדי לראות על מה באמת הרעש (כמובן שעבדכם הנאמן אף פעם לא עושה סתם "לייק" – יחי הסקריפט שעוקף את זה). היה זה יום קיצי במיוחד, והזדרזתי ללחוץ על Like כדי לבדוק מה מציעה הקבוצה החביבה שפורסמה בפרופילים של כל כך הרבה אנשים – אולם הסקריפט האוטומטי שלי לא עבד. "לצפייה בתוכן לחצו כאן – שיטה חדשנית למניעת ספאם. 100% אמיתי". לחצתי. "בעקבות הכניסות הרבות והספאם, עלינו לוודא כי את/ה בן אנוש. לשם כך יש לבצע את הפעולות: ללחוץ על הצבע הכחול, ואח"כ על הצבע האדום". לא לחצתי, כמובן, אולי מכיוון שאני כבר מכיר את ההתקפה, אולי מכיוון שזה סתם נשמע חשוד:

מילות הפוסט הראשונות היו כתובות כבר, וישבו במגירה (טוב נו, בפאנל הניהול) בערך כחודש. ואז, כשהתכתבתי עם רן בן-זיק הוא העלה קבוצה מעניינת בפייסבוק שהציגה את אותו קונספט. רן טען שלמרות שלא לחץ לייק בשום מקום – הפייסבוק טען שהוא דווקא כן, ואפילו הציג לכל החברים שלו שעשה Share. מיד עלינו על מה העניינים, ועל זה הפוסט: מה גורם לכך שאפילו חבר-כנסת נכבד יהיה ממש חייב לעשות לייק.

על בעיות ובלבולים של תוכנות (או: Confused deputy problem)

הרעיון ה"מתוחכם" לכאורה שמתחבא מאחורי אותו קונספט, הוא ממש ממש לא מורכב כמו שהוא נראה. על מנת להבין אותו, אולי עדיף יהיה להסביר לפני-כן את המושג Confused deputy problem (שברשותכם, לא אתרגם לעברית).

האזכור הראשון לבעיית ה-Confused deputy problem שמצאתי היה עוד בשנת 1988, והוא נעשה על ידי נורמן הארדי (שאת שמו, למרבה הצער, לא תמצאו בגוגל בעברית). נורמן אמר דבר יפהפה, שמשמש כמעט כל אחד היום בתחום אבטחת המידע. לפי גישתו הפשוטה למדי יש תוכניות מחשב שניתן לרמות על ידי "גורמים" מסוימים, כך שאותם גורמים ינצלו את הגישות שיש לתוכנית שהם מנצלים. (הערה לחבר'ה היותר מנוסים: יש סיכוי שממש כרגע צווחתם "Privilege escalation!", ואתם צודקים לחלוטין. Confused deputy problem הוא מקרה פרטי של הסלמה).

ניתן דוגמה: בואו נניח שיש לנו תוכנה שנקראת SuperNotepad. אותו SuperNotepad, כמו שאולי כבר ניחשתם, הוא עורך טקסט סופר-משוכלל, ממש ממש שווה, כזה שכל אחד היה רוצה להשתמש בו. אחת מהפונקציות של אותו עורך היא לשמור את הטקסט שכתבנו בעזרתו על כל קובץ שמתחשק לי, אבל קצת קשה להשיג עורך טקסט כזה משוכלל סתם ככה: עלות השימוש עבור כל פנקס טקסט שניצור היא דולר אחד. פרטי החשבון שלנו שמורים על קובץ בשם PaymentInfo, ומשם אותה תוכנה משוכללת לוקחת את המידע על אמצעי התשלום. רק לSuperNotepad יש גישה לכתוב אל PaymentInfo – למשתמש הרגיל אין. אז נגיד שאני אדגר אלן פו, והחלטתי לרשום את הספר חיפושית הזהב, כמובן שבעזרת SuperNotepad. כשהתעייפתי והחלטתי לפרוש לישון, בחרתי באופציית השמירה והחלטתי לשמור את הסיפור שלי בשם… PaymentInfo. ניחשתם נכון – השתמשתי בתוכנה כדי להשמיד את פרטי החשבון, אליהם לא הייתה לי גישה קודם לכן. חכם האלן פו הזה.

החטיפות של היום… – על חטיפות קליקים (ClickJacking)

הנקודה החשובה פה היא שרכבתי על הגישות שנתתי לתוכנה, ורימיתי אותה כך שתכתוב על קובץ טקסט אליו לא היה לי גישה בתור משתמש רגיל של המערכת. זהו קונספט בסיסי אך חכם, שמשמש בהתקפות רבות, כמו CSRF, ו…

Clickjacking (או בעברית "חטיפת קליקים"), הוא מונח שנחקק על ידי חוקר האבטחה RSnake (או בשמו האמיתי: רוברט הנסן) בשנת 2008. כיום מקובל להשתמש גם בביטוי UI redressing (שמשמעו User Interface redressing). נתחיל בהסבר הטכני, הנחוץ על מנת להבין את המתקפה: על מנת לבנות דפי אינטרנט יש צורך בלדעת HTML, שזו שפה בסיסית מאוד שניתן ללמוד בכמה שעות. הדפדפן קורא את קוד ה-HTML שבעל האתר כתב, ומציג, לפי אותו קוד, את דף האינטרנט שהמשתמש ביקש לראות. פונקציה מעניינת בשפה נקראת iframe, והיא מאפשרת לבונה האתר להכניס מעין מסגרת בתוך דף האינטרנט. בתוך המסגרת, בעל האתר יכול לשים דף אינטרנט אחר.

נניח שכתבתי דף אינטרנט חביב, שבו יש כפתור שאומר "לחץ כאן וקבל 500 ש"ח ללא הגרלה!". בנוסף, אני אבנה iframe בלתי נראה (יש אופציה כזו), ובו אני אטען את פרופיל הפייסבוק של הקבוצה של Mesicka.com (אהא, יש לנו אחת כזאת, ואתם ממש רוצים להירשם אליה). כאן מגיע השטיק: אני איישר את כפתור ה-Like כך שיהיה בדיוק על הכפתור של "קבל 500 ש"ח ללא הגרלה". רציתם 500 ש"ח? קיבלתם Mesicka.com. למרות שבדוגמה הזו דווקא יצאתם מרווחים, במקרים אחרים זה יכול להיות יותר ממזיק.

האינטיליגנטיים מבינכם כבר הצליחו לקשר את הבעיה לקבוצות המוזרות בפייסבוק. גללו קצת למעלה, ותראו את הכפתורים הצבעוניים והמגניבים, אלו שכל-כך מתחננים שילחצו עליהם כדי לראות את התוכן… אז חברים, אני גאה להציג – הנה התוצאה של ניתוח הקוד, הסרת הכפתורים ומה שמסביב, וחשיפת ה-iframes שהסתתרו מתחת:

לקריאת הפוסט כולו ראו במקור כאן - תרמית קליקים בפייסבוק.

היש סיכוי לאכיפה משפטית כלשהי [בעיקר שלטונית - אבל גם פרטית] בגין התרמיות האלה- או שהשטח הפך לשטח הפקר גמור מבחינת הסכוי להחיל בו את החוק שמחוץ לאינטרנט?

יורם,

מאז שהעלית את הרשימה הזו, נהייתי מודעת לשפע החידות המהבהבות והמשחקים שבשולי הכתובים [ולמה לא להניח אותו דבר גם לגבי פרסומות שיש בהן הפניות ללינקים נוספים] - ביחוד, אבל לא רק,  בעיתונים שאינם הארץ.

הרי מתחת לכל חידון  או משחק כזה יכול להסתתר טקסט אחר לפי האמור לעיל- ואין למקליק שום אפשרות לדעת מה נעשה מתחת לפסדה אליה הוא מגיב. 

איך יתכן שדבר כזה עובר בשלום וללא כל תגובה?

צטט: pbhba 2010-10-02 08:40:38

יורם,

מאז שהעלית את הרשימה הזו, נהייתי מודעת לשפע החידות המהבהבות והמשחקים שבשולי הכתובים [ולמה לא להניח אותו דבר גם לגבי פרסומות שיש בהן הפניות ללינקים נוספים] - ביחוד, אבל לא רק,  בעיתונים שאינם הארץ.

הרי מתחת לכל חידון  או משחק כזה יכול להסתתר טקסט אחר לפי האמור לעיל- ואין למקליק שום אפשרות לדעת מה נעשה מתחת לפסדה אליה הוא מגיב. 

איך יתכן שדבר כזה עובר בשלום וללא כל תגובה?

אכן ישנם מקרים רבים בהם קיימת או עשוייה להיות קיימת תרמית כאמור (לעוד מקרים אחרים של תרמית, ראו באותו בלוג פוסט על פישינג ואמנון לוי) ואכן הדבר אינו מעורר את המהומה שראוי שיעורר.