בעקבות פוסט של xslf (היא דורשת כמה דרישות שבעיני הן מוגזמות כדי להגיב, אז אני לא) על אתרים שמבקשים מספר כרטיס אשראי בצורה לא מוצפנת. רק רציתי שיירשם בפרוטוקול שאני, באופן אישי, לא מהסס לתת מספר כרטיס אשראי בגלל סיבה שכזו (סיסמאות דווקא כן).
למי שמופתע איך זה שפרנואיד מדופלם כמוני מוותר ככה על האבטחה, הרשו לי לנסות להעמיד אתכם בעמדת התוקף. אילו אתם מנסים לאסוף מספרי כרטיסי אשראי, מה הייתם מעדיפים? להאזין לתעבורה של אתר, או לפרוץ אליו ולגנוב את מספרי הכרטיסים ששמורים אצלו במאגר?
התשובה היא “ב”, ללא יוצא מין הכלל, וזו הסיבה – במאגר רשומים כל מספרי כרטיסי האשראי של כל מי שאי פעם שילם דרך האתר. בפעולה אחת (שהיא, בד”כ, לא מאוד מסובכת) אתם מקבלים את כל מה שאתם צריכים. שיטת ההאזנה, מצד שני, היא בעייתית. ראשית, אתם צריכים להגיע לנקודה שממנה אתם בכלל יכולים להאזין לתנועה. זה אומר או להשתלט על נתב לאורך הדרך (פעולה לא טריויאלית, גם אם לא בלתי אפשרית), או להצליח להתחבר לרשת משותפת עם אחד מהנתבים הללו (או עם השרת). שנית, גם אם עשיתם את זה, הרווחתם רק את אותם הכרטיסים שעברו דרכם. במילים אחרות, כדי שההתקפה הזו תהיה שווה משהו, אתם צריכים למשוך אותה לאורך פרק זמן לא מבוטל. בסופו של דבר, מספרי כרטיס האשראי שלכם נמצאים הרבה פחות בסכנה בדרך לשרת מאשר על השרת עצמו
אם הסכנות לכרטיס כל כך חמורות, אתם עשויים לשאול את עצמכם מדוע אני מוכן לקנות בכרטיס אשראי באינטרנט בכלל. התשובה היא – חברת כרטיסי האשראי מבטחת אותי. אני מוכן לקנות באינטרנט בגלל שאם קורה משהו, אני מודיע לחברת כרטיסי האשראי והיא מבטלת את החיוב. הנזק לי הוא מינימלי. מכיוון שזה המצב, מי שצריך לדאוג מזה שפיצה האט מקבלת תשלומים דרך אתר לא מוצפן (לא מאובטח זה שיפוט שאני לא חושב שאני כשיר לעשות ללא בדיקה הרבה יותר מעמיקה ממה ששוש עשתה) זו בעיה של ויזה, לא שלי.
כמובן שזו גם הסיבה שאני הרבה יותר מקפיד על תקשורת מוצפנת כאשר מדובר בסיסמאות שלי, או בשירותים אחרים שעלולים להסב לי נזק. שם אני לא מבוטח, ועל כן חשוב לי הרבה יותר שהתקשורת תהיה מאובטחת ככל שאפשר, וזה כולל גם האזנה.
שחר
התפרסם גם ב-NRG
כן, רק שאפשר להניח שאתר שלא מתייחס למרכיב כזה (הצפנת מידע רגיש) יתכן וגם בהחלט לא שם דגש כללי על אבטחת המידע.
ד”א גם אתרים בד”כ לא אמורים להחזיק את המידע הזה על מחשב באינטנרט, לכל עסקה הם אמורים לקבל אישור מחברת כרטיס האשראי ולהחזיק את הקוד ההוא בלבד.
בנוסף כדאי לתת את הפרטים האלו רק לאתרים עם ביקורת של VERISIGN או משהו…
וגם בכלל, דומינוס עדיף על פיצה האט, אז יצא רק טוב מהסיפור 🙂
כמו שהבחור מעלי מציין, הבעיה היא בדרך כלל שנתוני האשראי נשמרים בצורה לא מוצפנת על השרת לאחר השימוש בהם. כבר נתקלתי בכמה חברות כאלה.
מצד שני, אפשר להתייחס לטופס הזה כאל סמן- אם את הטופס הם לא טרחו לאבטח, למה שאסמוך עליהם שיאבטחו את נתוני האשראי שיגיעו אליהם?
שחר, לדעתי אתה עושה טעות אחת גדולה בקשר לביטחון שאתה נותן בחברות האשראי! החברות הללו הם לא חברות ביטוח או שמיועדות להיות חברות ביטוח שלך. במקרה הזה אתה יכול להתחמק ולציין כי לא אתה ביצעת את הקניה הזו (מדובר על קניה במסמך חסר – כי אין דוגמת חתימה שלך ולכן עפ”י החוק יכול להצהיר שלא אתה ביצעת את הקניה ואז לקבל את ההחזר), אבל רק שתדע מספר עובדות על חברות האשראי… הם עובדים עם עסקים שבסיכון מאוד גבוה, מעקלים להם את כל הנכסים (כולל שוברים של אשראי) ללא שום התייחסות להשלכות של הפעולות האלה על הלקוחות שלהם… דוגמה: קניתי פעם סלון מחברה שחברות האשראי (בצווי בית משפט) עיקלו להם את כל הסחורה. אני התחלתי לשלם עבור הסלון (באשראי לצערי) ולאחר 4 חודשים הבנתי שהעסק נסגר. כמובן שלא קיבלתי את הסלון ואז פניתי לחבר’ האשראי שיחזירו לי את הכסף ששילמתי עבור המוצר. חב’ האשראי סירבה ואמרה לי בעדינות שאני צריך ללכת ללמוד את החוק… היו לי שתי טענות מרכזיות לחברת האשראי ולכן פניתי במכתב רשום למנכ”ל שלהם: מדוע הם עובדים עם חברות שעל סף פשיטת רגל ובכך מסכנים את הלקוחות שלהם? 2. מדוע אינני יכול לקבל החזר עבור מוצר שלא קיבלתי. התשובה שלו הייתה (לשתי הטענות שלי) אחת: ללכת ללמוד את החוק, והוא צירף למכתבו חוברת עבה של החוק וייעץ לי בעדינות ללכת ללמוד אותה. שחר: העניינים מאוד פשוטים. אם חייבו אותך בטעות על קניית פיצה שעשית/לא עשית וחוייבת ב- 70 ש”ח אז הם יחזירו לך את הכסף (גם כשהחוק לא לצידך), אך אם ההסתבכות היא באלפי שקלים אז אתה די אבוד! שים לב מה קרה בפרשת הבנקים וחפציבה. הבנקים המשיכו לעבוד כרגיל עם חברה שבפשיטת רגל, ולסכן את כל הלקוחות שלהם (שאכן הסתבכו לבסוף). הבנקים עבדו לפי החוק מפני שהם לא חברות הביטוח של הלקוחות שלהם! מבחינתם זה כשר וחוקי, מבחינתנו זה מסריח.
אבל זו כל הנקודה שלי. אני לא יכול להניח שאתר שלא מצפין את התעבורה הוא מאובטח, אבל אני בוודאי ובוודאי שלא יכול להניח שאתר שכן מצפין את התעבורה הוא כן. אני פשוט יוצא מתוך נקודת הנחה שכל האתרים לא מאובטחים, ומסתמך על זה ש:
1. הסיכוי שישתמשו דווקא בפרטים שלי לרעה הוא נמוך
2. גם אם כן, אני מבוטח.
שחר
הדבר היחידי שבו אני מסכים איתך זה שאתה צריך לדעת מה מכוסה ומה לא.
לא מכוסה:
קניה מספק בסיכון או מספק שקיבל הקפאת הליכים או נמצא בפירוק
קניה שבה המוצר שהתקבל שונה מהמוצר שהוזמן או התקבל פגום, או כל קניה שהתחרתת עליה
כן מכוסה:
קניה מספק שלא מספק כלל מסיבה שאיננה חוקית
כל קניה שמישהו אחר ביצע בשימך, בין אם במסמך חסר ובין אם במסמך מלא
כל הדוגמאות שציינת אכן לא מכוסות (ולא היו מכוסות גם אם היית משלם בצ’ק או במזומן, גם אם היית פונה לבית משפט. לך תלמד את החוק).
כל הדוגמאות שאני ציינתי דווקא כן מכוסות.
שחר
את התשובה נתתי למגיב הראשון, אבל בשבילך יש לי נקודה למחשבה.
איך את יודעת שאתר שכן מצפין את הנתונים מאבטח אותם בקצה?
ואם את לא יודעת, האם זה אומר שלא תשתמשי?
ואם את כן משתמשת, בהנחה שלפעמים את משתמשת בכרטיס האשראי שלך מול אתר שלא מאבטח את הנתונים כמו שצריך, איך את מגינה על עצמך?
האם ההגנה הזו מספיק טובה בשביל אתר שמצפין את הנתונים אבל לא מאבטח אותם, למה היא לא מספיק טובה בשביל אתר שלא מצפין את הנתונים?
שחר
אני מסכים עם שוש. לא להדליק SSL (ןביננו, זה עולה $100 לשנה פלוס שורה בקובץ ההגדרה של אפאצ’י) זה כמו לבוא לראיון עבודה באחור. זה לא אומר שהעובד בטלן, ולא בטוח שמי שמגיע בזמן יהיה גם קפדן בזמן העבודה, אבל זה בהחלט סמן.
הטיעון שלי היה אחר. אני מסכים שיש פה אינדיקציה, אם נמשיך עם האלגוריה שלך, לעובד עצלן. מה שאני אומר הוא זה:
מה אם אתה יודע שיש עובדים שאתה יכול לאתר, כבר בשלב הראיון, שהם עצלנים, אבל יש גם עובדים שיעברו ראיון בהצלחה מזהירה, למרות שהם עצלנים. מה אם, בגלל העובדה הזו, פיתחת שיטה להעסיק עובדים ככה שאתה מקבל מהם את מלוא התמורה גם אם הם עצלנים? מגיע אליך לראיון עובד שברור לך שהוא עצלן, אבל אתה יודע שאתה יכול להפיק ממנו תועלת למרות שהוא עצלן. לא תעסיק אותו?
אני לא אומר שאתרים שלא מפעילים הצפנה הם מאובטחים. אני אומר שאני מרגיש בטוח להשתמש בכרטיס האשראי שלי מול אתר גם אם אני יודע שהוא לא מאובטח מספיק. בשלב זה כבר לא משנה לי אם הסיבה שאני חושב שהוא לא מאובטח היא שהוא לא מוצפן, או סיבה אחרת.
שחר
ובעצם
למה לי נדמה שהרבה יותר פשוט לעובד של החברה לגנוב פרטי כרטיסי אשראי? כולל עובדים בסופרמרקט וכיו”ב מקומות בהם אנשים לא חושבים פעמיים אם לתת את כרטיס האשראי שלהם או לא?
בנוסף למה שיואב ענה לך (אם אתר לא טרח להפעיל את אמצעי ההגנה הכי גלוי לעין, יש הרבה פחות סיכוי שאסמוך עליו על מה שסמוי מעיני), יש גם את הקטע של חברת האשראי-
בתיאוריה, אני מבוטחת.
בפועל, כבר קרו מספיק מקרים (לשמחתי לא לי אישית) בהן חברות האשראי חיפשו תירוצים להתנער מהאחריות ולגבות את הכסף בכל זאת.
לא בא לי להתחיל להתווכח עם חברת האשראי בדיעבד למה נתתי את מספר הכרטיס באתר לא מוצפן.
ברור שזה הרבה יותר פשוט, וזה גם הרבה יותר נפוץ.
זו גם לא הנקודה.
איך הפוסט הזה הפך לכתבה ב-NRG?
שחר
הרשה לי לא להסכים איתך בנקודה אחת: אתה לא מכוסה על קנייה עליה חתמת (מסמך מלא). בנוסף (עפ”י החוק) עליך לשמור על הכרטיס ולא להעביר אותו לאף אדם אחר, ולכן אין מושג כזה שמישהו עשה עסקה בשימך… אם יש חתימה שלך העניין סגור לטובת חברת האשראי. אסיים ואומר שגם אם אתה יושב במסעדה ומוסר את האשראי דרך המלצר לקופה אתה לא מכוסה בסכומי החיוב שיחייבו אותך, כי לפי החוק אסור לך להיות במצב בו הכרטיס לא בפיקוח שלך אפילו לשנייה אחת.
שחר: ביטול התג strong לא עבד (כנראה בגלל העברית). אודה אם תשאיר מודגש רק את “לא מכוסה” ותמחק את ההודעה הנוכחית. תודה!
סתם נזכרתי בימי כיתה א’ בבית ספר זיו….
שלם לך וכבוד עלייך !!
תומר.
אתה יודע מהן שתי הפעולות הבסיסיות בתכנות?
Copy ו-Paste
שחר