אתמול יצא לי לראות שאינטרנט רימון ו"אתרוג" הוסיפו בקודש שירות חדש, או ליתר דיוק שיפור לשירות קיים. "בשורה משמחת ללקוחות אינטרנט "אתרוג": פיתוח חדש וייחודי – סינון כל האתרים כולל אתרי SSL", כך נכתב בהודעה באתר אתרוג.
"מדובר באפליקציה המאפשרת סינון תוכן בתוך אתרים מאובטחים דוגמת SSL ו HTTPS. הפיתוח הינו היחיד בעולם ומהווה פריצת דרך מקצועית בעולם סינון התוכן באינטרנט. אפליקציה זו פותחה ע"י אינטרנט רימון עבור חטיבת אתרוג המספקת אינטרנט מסונן ומבוקר בהמלצת גדולי ישראל ורבנים שליט"א." כתב מגיב משולהב בפורום ב"חדרי חרדים".
ובמקום התחילה התנצחות של השערות, לגבי אופן הפעולה (והסיכונים?) של השירות החדש.
כמובן שהעניין הצית את יצר הסקרנות שלי, שכן סינון SSL אמנם אינו בלתי אפשרי אך מדובר במשימה לא פשוטה בכלל, אז יצאתי לבדוק ולחטט קצת בעצמי.
אז איך זה עובד?
כדי שהסינון יתאפשר, אינטרנט רימון ממליצים ללקוחותיהם להתקין במחשבים שלהם קובץ המכיל רשומת registry, המתקינה Trusted Root Certification Authority. כלומר, רשות מאשרת חדשה.
למה זה נחוץ? - מכאן זו השערה.
זה נראה שאינטרנט רימון מבצעים "התקפת" האדם באמצע על פרוטוקול SSL. ע"י המרת חתימת SSL המקורית של האתר באחרת – שלהם. כדי להבין את התהליך, קודם צריך להבין מה זה SSL, למה הוא משמש ואיך הוא עובד.
מה זה SSL?
SSL (וTSL) הן שכבות מתחת לפרוטוקול HTTP שהופכות תקשורת בין שרת ולקוח למאובטחת. פרוטוקול HTTP על גבי SSL נקרא HTTPS.
פרוטוקול תקשורת נחשב לבטוח אם מתקיימים בו 3 הכללים הבאים:
- צד ג' לא יכול לפענח את ה"שיחה"
- ניתן לוודא שההודעה לא שונתה ע"י צד ג'
- ניתן לוודא את זהות השולח
פרוטוקול SSL מבטיח את שלושת ההבטחות האלו.
איך SSL עובד?
זה מתחיל ברגע שהלקוח פונה לשרת. דבר ראשון צריכים להבטיח שצד ג' לא יוכל להקשיב (או לשנות) לשיחה. שני תנאים אלו מובטחים ע"י תהליך "לחיצת יד" (handshake).
בתהליך הhandshake משתמשים בשני מפתחות הצפנה. הראשון אסימטרי, והשני סימטרי.
- השרת שולח ללקוח מפתח ציבורי
- הלקוח מצפין בעזרתו מפתח סימטרי (שהוא עצמו מייצר) ושולח את התוצאה לשרת
- מכאן המשך ה"שיחה" בין הצדדים כולה מוצפנת בעזרת המפתח הסימטרי שייצר הלקוח
היות והלקוח הצפין את המפתח הסימטרי ע"י המפתח הציבורי שקיבל מהשרת, גורם שמקשיב ל"שיחה" לא יוכל להשיג את המפתח הסימטרי ובעזרתו לפענח את השיחה, שכן הוא לא יודע את המפתח הפרטי שרק בעזרתו ניתן לפענח את המפתח הסימטרי.
בשלב הבא, על מנת להבטיח את זהות השרת (לדוגמה, כדי למנוע מאתר זדוני להתחזות לבנק) לשם כך האתר שולח ללקוח מספר אישור שהוא קיבל מרשות מאשרת ואת שם הרשות, בגדר אם אתה לא מאמין לי - תשאל את אבא שלי.
היות ווידוי הזהות תלוי בבדיקה מול ראשות מאשרת, לכך כדי שאישור הSSL יוכר בכל הדפדפנים ניתן לרכוש SSLים ממספר מצומצם ומוכר של "רשמים" כשבמקרים רבים הם הם הרשות המאשרת. לכל אחת מרשויות אלו יש Certificate הנקרא root "שורש" שמותקן בכל מערכת הפעלה בעולם. כך בכל חתימת SSL תלויה ברשות מאשרת מוכרת ע"י מערכת ההפעלה.
נחזור לפתרון של אינטרנט רימון.
הבעיה והפתרון
הבעיה שמונעת ספקי סינון מלסנן תוכן המועבר כHTTPS היא, שאין להם דרך לדעת את המפתח הסימטרי כדי שבעזרתו הם יוכלו לפענח ו"לראות" את התשדורת. ולכן, בעצם, אין להם מושג מה מעביר השרת ללקוח, וכן להפך.
הפתרון, בא בצורת "פריצה" של מנגנון הhandshake.
כשהרשת שולח ללקוח את המפתח הציבורי, אינטרנט רימון, מחליפה אותו במפתח ציבורי שלהם, וכך כשהלקוח מצפין בעזרתו את המפתח הסימטרי שלו, אינטרנט רימון יכולים לפענח אותו ומכאן את כל ההמשך התקשורת ביניהם.
הבעיה היא שישנו עוד מנגנון שנותר להם "לפרוץ", והוא מנגנון האימות. שכן, היות ואינטרנט רימון לא יכולים לדעת מהו המפתח של השרת המקורי ולכן לא יוכלו לשלוח ללקוח כמו שצריך את מספר האישור לשם אימות…
על הבעיה הזו הם התגברו בעזרת התקנת Root Certificate חדש במחשבי הלקוחות, כך שבעצם מעתה הם יכולים "להמציא" מספר אישור עבור כל אתר ולצרף את שם הרשות המאמתת שלהם, וכך כשיבוא הלקוח לאמת את הזהות השרת זה יהיה מולם ולא מול הרשות המאמתת המקורית!
פתרון מקורי של אינטרנט רימון?
לא בטוח. החתימה שאינטרנט רימון ממליצים להתקין שייכת לnetspark.com, וייתכן שבעצם גם הפתרון. כמו שניתן לראות, ב"פתרונות" של netspark מופיע פתרון בשם Secure Site Inspection, המתואר פתרון זהה, בתוספת אפשרות של חסימת אתרים מסוימים מפני סריקה – אפשרות שלא קיימת באינטרנט רימון.
זה טוב או רע ליהודים?
כמו שכבר תהו רבים, מה יהיה על הפרטיות של הגולשים? שכן, בתהליך הסינון תוכן האתר גלוי ללא שום הצפנה.
כמו"כ, יש את שאלת האחריות. בדרך כלל אחריות על בטיחות חתימת SSL מוטלת על מנפיק החתימה והביטוח מגיע לכ100,000$ עבור חתימות מסויימות, במקרה של אינטרנט רימון, שהתחימות המקריות מוחלפות בחתימות שהנפיקה אינטרנט רימון, האחריות, לכאורה, תיפול עליהם. בקיצר, טוב או רע, תחליטו אתם…
איך ניתן להסיר את ההתקנה של רימון?
החלטתם להסיר את ההתקנה? רימון אמנם לא מציעים באתר שלהם תוכנת הסרה, אבל זה די פשוט. - בדיוק בשביל זה הכנתי קובץ להסרת התוסף של אינטרנט רימון פשוט להוריד ולהריץ.