איגוד האינטרנט הטמיע שכבת הגנה נוספת לאתרים שמסתיימים ב-il.
האיגוד סיים אתמול (ג') את השלב הראשון של פרויקט DNSSEC, שמטרתו לוודא שהאתרים שאנחנו גולשים אליהם הם אמיתיים ולא אתרים שנבנו לצורך מתקפות פישינג
איגוד האינטרנט הישראלי סיים אתמול (ג') את השלב הראשון של פרויקט DNSSEC. מדובר בשכבת הגנה נוספת על מתחם שמות האתרים הישראלי il., שאמורה להבטיח, על ידי שימוש במפתחות אימון, שהאתרים אליהם פונים במתחם הישראלי הם אלה האמיתיים. המטרה העיקרית של הפרויקט היא למנוע מתקפות פישינג, שבהן מצליחים האקרים ופושעים אחרים להפנות משתמשים תמימים לאתרים שמתחזים ללגיטימיים, במטרה להוציא מהם פרטים אישיים, סיסמאות, פרטי כרטיס אשראי ועוד.
אתמול, כאמור, בוצע הצעד הראשון – בחוות השרתים של MedOne, שמאחסנת את שרתי איגוד האינטרנט. המערך, באמצעות רכיב חומרה שלפי האיגוד רמת ההגנה שלו היא הגבוהה שאישרו אי פעם גופי תקינה בעולם, ייצר זוג מפתחות ראשוניים גדולים מאוד שמהם יוצר מפתח ציבורי שבסופו של התהליך הועבר ל-ICANN – הארגון העולמי המנהל את שמות המתחם וכתובות האינטרנט. מפתח זה הוא החלק הראשון של שרשרת האימון ובמהלך השנה ימשיכו הגופים האחראיים לשמות המתחם הישראליים, קרי – האיגוד ברוב המקרים וממשל זמין עבור כתובות gov.il – לדאוג ליצירת מפתחות מתאימים עבור כל האתרים שכתובתם מסתיימת ב-il. בסופו של דבר יוכל כל אתר, גם באמצעות 10 החברות הרשאיות למכור דומיינים בארץ, להגדיר את מפתח האימון שלו, שיהווה חלק משרשרת האימון כולה. היעד הוא להגיע למצב הזה עוד לפני סוף השנה הנוכחית.
מעבר לכך, נבנתה במסגרת הפרויקט מערכת אבטחת מידע טכנולוגית ומנהלית. "המטרה שלה היא לוודא שלא יהיה אדם אחד שתהיה לו שליטה בלעדית על המערך הזה", אמר מנכ"ל איגוד האינטרנט, עו"ד יורם הכהן. "אם המערך הזה ייפגע, כנראה שלא תהיה גלישה ברוב אתרי האינטרנט בישראל, בוודאי בחשובים בהם. לכן, אסור שלמישהו תהיה שליטה מוחלטת על המערך הזה. מכיוון שכך, הוגדרה קבוצה של תשעה אנשים מתנדבים שנמצאים מחוץ לאיגוד האינטרנט. לגבי כל פעולה מיוחדת יהיה צורך בשלושה מהם, שיוכלו לבצע באמצעות כרטיסים חכמים פעולות רגישות".
יצוין כי התהליך לווה על ידי משרד התקשורת ומטה הסייבר הלאומי, כמו גם על ידי נציג של ICANN.
"יש עוד הרבה מאוד לעשות"
"ישראל נכללת מעכשיו במערך האימון העולמי. זו ההתחלה של תהליך ה-DNSSEC. יש עוד הרבה מאוד לעשות. האיגוד צריך עדיין לפתח את יכולת מימוש החתימה בסיומות שנמצאות תחתיו, ולממש בתוך מערכות המרשם את האפשרות של בעלי אתרים לחתום את המידע שלהם במסגרת תהליך הרישום של שמות המתחמים. התהליך אמור להסתיים עד סוף השנה", ציין עו"ד הכהן.
לדבריו, "זו לא רק משימה של האיגוד אלא גם של הרשמים שמנהלים את האינטראקציה מול בעלי האתרים, ואנחנו מקיימים פגישות החל משבוע זה. הם יצטרכו לשווק את חליפת הגנת המידע הזה לבעלי האתרים".
הוא פנה לראש מערך הסייבר הלאומי, ד"ר אביתר מתניה, ולמנכ"ל משרד התקשורת, שלמה פילבר, שנכחו בטקס סיום השלב הראשון של הפרויקט ואמר שלרגולטורים יש תפקיד חשוב בנושא. "גופים מיישמים בהרבה מאוד מקרים נושאים כאלה רק אם הרגולטורים מורים להם לעשות זאת, ואני פונה אליכם", אמר. "לפעמים צריך לכפות על גופים דברים כאלה. DNSSEC מגן על הגולש ולא על האתר ולכן אין לאתרים אינטרס ישיר להטמיע אותו, מעבר לפגיעה במוניטין שלהם. זו מערכת הגנה שפועלת בצורה סמויה על הגולשים, וצריך לדאוג שזה אכן יהיה לכל אורך ורוחב שם המתחם".
לדברי נאוה גלעד שלומוביץ', נשיאת האיגוד, מדובר בצעד אבטחתי משמעותי. "אנחנו עסוקים בשני דברים עיקריים, והם ניהול הדומיינים ופעילויות ציבוריות וחברתיות ברשת, המבוססות על ערכי הליבה של קהילת האינטרנט והמדינה. המטרה היא לספק את האימון לגורמים הכי בסיסיים, והם הגולשים. אנחנו רוצים שכל משתמש יוכל להתחבר, לשתף ולהעביר דברים שמותנים ברמת האימון של המשתמשים, תוך שהוא מרגיש בטוח באופן מוחלט", אמרה.
אמון trust ולא אימון practice צירה חסר