גוגל לסימנטק: פעלו בשקיפות או שתמותגו כלא בטוחים

גוגל (Google) הציבה אולטימטום לסימנטק (Symantec): פעלו בשקיפות או שתישאו בתוצאות. ענקית הטכנולוגיה דורשת זאת מענקית אבטחת המידע בעקבות כאוס שנגרם בשל אבטחת אישורי הצפנה ברשת.

תפקודה של סימנטק זוכה לחוסר שביעות רצון ניכר מצידה של גוגל בכל הקשור באבטחת תעודות מזהות ברשת. מטרת רשימת הדרישות שהציבה גוגל לסימנטק היא אחת: למנוע הישנות של אותה הטעות. בספטמבר פיטרה סימנטק כמה מעובדיה לאחר שגילתה מספר שגיאות בולטות בתחום ה-TLS (ר"ת Transport layer security) שבפיקוחה. פרוטוקול TLS מספק הצפנה יחד עם חתימה דיגיטלית שמייצרות מעין תעודות מזהות. במקרה שהתגלה סיפקו הכשלים – שסיבתם, לפי טענת החברה, הייתה "טעות אנוש" – אפשרות להאקרים לפרוץ לאישורי ההצפנה, מבלי שגוגל או סימנטק ידעו על כך כלל. הדברים אפשרו, בתיאוריה, לתוקפים להתחזות לדפי גוגל המוגנים ב-HTTPS.

כפי שניתן לשער, סוג כזה של כשל אבטחה אינו "שגיאה קטנה" שניתן להניח מאחור. אם אישורי ההצפנה היו מורשים לחדירה מבלי שיבחינו בכך, האקרים וגורמים תוקפניים נוספים ברשת יכולים היו לנצלם, להתחזות במבחר תחומים ולהופיע כדפי גוגל לגיטימיים. מצב שכזה עלול היה להציב את משתמשי האינטרנט בסיכון של מעקב, גניבת מאגרי נתונים ואינפורמציה חסויה – כל זאת תוך תליית האשם והאחריות על גוגל.

פרצה אחת ליום אחד – אבל היו נוספות

פרצת אבטחת המידע המחרידה הותירה פתח להשתלטות על דפים רבים שנמצאים תחת הדומיין www.google.com, אולם זה לא קרה. לאחר שהתגלתה הפרצה, היא נחסמה מיד על ידי סימנטק עצמה. לטענת החברה, היא הייתה זמינה רק במהלכו של יום אחד, ולכן אין כל סיבה להאמין שהיא הספיקה להיות מנוצלת כדי לפגוע במשתמשים ולסכנם.

ואולם, דו"ח המספק עיון מעמיק בסוגיית האבטחה המדוברת חשף עוד תעודות מזהות ללא הרשאה. הפעם לא רק תחת הדומיין גוגל אלא גם לאופרה (Opera) ולשלושה גופים אחרים, שנותרו חסויים. "מקרים אלה לא היוו מעולם סיכון לאף ארגון או אדם, מכיוון שהתעודות מעולם לא עזבו את מעבדות הניסוי המאובטחות של סימנטק או את עינו של צוות ה-QA שלנו, ומעולם לא היו חשופות למשתמשי קצה", מסרה החברה. "יתר על כן, התעודות מעולם לא נוסו על מערכת QA. בנוסף, המפתחות הפרטיים המקושרים לתעודות הושמדו כולם במסגרת כלי הבדיקה שבו השתמשנו כדי להירשם לתעודות המזהות".

בפוסט שפרסם ריאן סלבי, מהנדס תוכנה בחברה, נכתב שחקירה פרטית שניהלה גוגל בנוגע לאבטחת המידע האמורה העלתה "מספר תעודות מזהות נוספות שלגביהן יש ספק", וזאת לאחר מספר דקות של עבודה בלבד. הבעיה כעת אינה עוד שלל תעודות מזהות שנותרו חשופות בזמנו בגלל מספר מועסקים. מדובר באלפי תעודות שלא רק שנדרשים כמה מבדקים כדי לגלותן, אלא שהן מהוות פוטנציאל לחשיפתם של מיליוני משתמשים לסיכון, אם הדברים לא יתוקנו. המהנדס טוען שכדי שהכשלים יתוקנו לחלוטין מצפה גוגל מסימנטק לשקיפות מלאה בדרכי הטיפול שלה באישורי ההצפנה ובתעודות המזהות, החל מ-1 ביוני 2016. אם סימנטק לא תעשה כן, ייאלץ דפדפן כרום (Chrome) לסמן אתרים המשתמשים באישורים אלה כמהווים סיכון בפוטנציה, ואזהרה שכזו ללא ספק מאיימת מספיק כדי להבריח גולשים ומשתמשים.

דובר מטעם סימנטק הגיב על הדברים ואמר כי "בספטמבר נודע לנו שמספר קטן של אישורי הצפנה ששימשו לצרכים פנימיים של סימנטק זכו להתייחסות לא נכונה. התחלנו מיד בחקירת ההיסטוריה של הדברים ומצאנו תעודות נוספות, אבל מרביתן היו לאתרים שאינם קיימים או לדומיינים לא רשומים. על אף שאין הוכחה לכך שנגרם נזק כלשהו למשתמש פרטי או לארגון, עדיין אין מדובר על סטנדרט אבטחה שאנחנו מורגלים בו".