דו"ח 2009 של מקאפי, חברת טכנולוגיות אבטחה מקליפורניה, הוא כתב-אישום חריף נגד מנועי החיפוש הגדולים: תוצאות החיפוש שאתם מקבלים מ"גוגל" ועמיתיו מסוכנות למחשב שלכם, חשבון הבנק והפרטיות שלכם
הדו"ח של מקאפי (McAfee) בדק כ-2,600 מילות חיפוש בחמשת מנועי החיפוש הגדולים: גוגל, אמריקה אונליין (AOL), יאהו, לייב (של מיקרוסופט, כיום "בינג") ו"אסק" (או אסק ג'יבס, בחלק מן המדינות). על כל ביטוי נבדקו חמשת העמודים הראשונים של התוצאות, ובסה"כ ניתחה החברה כ-413,000 כתובות אתרים ייחודיות. ניתן להוריד את הדו"ח בפורמט PDF כאן.
המסקנות בקיצור:
1) תוצאות של אתרי ליריקה (מילים של שירים, או "ליריקס" בלעז) הם בין המסוכנות ביותר ברשת (26% סיכון)
2) המילה "חינם" מבטיחה סכנה לכל הנעזרים במנועי חיפוש כדי לקבל מוצרים ושירותים ללא תשלום (21% סיכון)
3) חיפושים נפוצים על הורדות מוסיקה פיראטית, צ'יטים של משחקים (ומשחקים חינם), שומרי מסך ושמות של אתרים מפורסמים - מסוכנים ביותר למחפשים
4) חיפוש "עבודה מהבית", מסתבר, מוביל גולשים רבים מאוד לזרועותיהם של נוכלים מתוחכמים
5) עברייני-רשת מגלים, מנתחים, צופים מראש, חוקרים ומשתמשים במילות חיפוש אקטואליות (סלבריטאים חדשים, אירועי ספורט ואופנות זמניות) ומפציצים את מנועי החיפוש בתכנים זדוניים שכל מטרתם היא השתלת תוכנות זדוניות וסוסים טרויאנים על מחשבים רבים ככל האפשר
6) אי אפשר לסמוך על מנועי החיפוש שיסננו את התוצאות, ולכן יש צורך בתוכנות אבטחה מיוחדות כדי להתגונן
ניתוח הדו"ח
הממצאים של מקאפי, בחלקם, אינם חדשים: כבר ב-2006 הופיע דו"ח שהראה עד כמה תוצאות חיפוש יכולות להיות מסוכנות. המצב לא השתפר כלל, ולמעשה החמיר: כיום, העבריינים עובדים מהר יותר כדי לנצל מגמות חולפות, לעשות רווח גדול בזמן קצר, ואז להיעלם מן הרשת. לכן הם מנצלים אירועים קצרים ורבי-ביקוש כגון אולימפיאדה, כוכבים שנכנסו לכותרות העיתונים לאחרונה, ולא רק עובדים סביב מלכודות קלאסיות כגון "שומרי מסך" (Screensavers).
הלקח מן הדו"ח של 2009 הוא שלא מספיק להיזהר מפני תוכנות חינמיות, שומרי מסך מחייכים או אתרים שמציעים ליריקה ללא תמורה. ביקורת על הדו"ח שפורסמה ע"י מומחה אבטחה ב-ZDnet טוענת כי המצב גרוע בהרבה ממה שנראה - העבריינים השתלטו על מאות אלפי מילות חיפוש פופולריות, ולכן הרשימה של מקאפי אינה ממצה כלל. מעבר לכך, מרבית מקרי ההונאה והפריצה מתרחשים דווקא באתרים אמינים וידועים, שאותם מנועי החיפוש אינם רוצים כלל לחסום, כדי לא לאכזב את המשתמשים שלהם.
במקרים רבים משתמשים האקרים, המבצעים פרויקטים גדולים של פריצה ומירמה, בשיטות כמו השתלת SQL באתרים בלתי-מוגנים. מסתבר ששיטה זו, המכונה באנגלית SQL Injection, פגעה בכמות גדולה מאוד של אתרים בכל העולם, כולל ישראל. כל מי שיגיע לאתרים הללו דרך תוצאות חיפוש, ייפול קורבן בלי להוריד תוכנה, בלי להבין מה קרה, ובלי לדעת כיצד לפתור את הליקוי.
גוגל, יאהו ומיקרוסופט לא ממהרים לספר לצרכנים שלהם שתוצאות החיפוש שלהם מסוכנות. חיפוש תמים של ילד קטן על וובקינז (Webkinz) עלול להסתיים במחשב פרוץ, נזק כספי וסיוע בלתי-מודע לביצוע מעשים פליליים חמורים. ברוב תוצאות החיפוש אין שום אזהרה, לא גרפית ולא טקסטואלית, על כך שאתר כלשהו נחשב מסוכן בעיני תוכנות אבטחה כגון "סייט-אדבייזור" (SiteAdvisor) של מקאפי.
רק במאי 2008 החל מנוע החיפוש של יאהו להשתמש בשירות סרץ'-סקן (SearchScan) שאותו אכן מספקת מקאפי. השירות של יאהו אמור להזהיר את המחפשים מפני תוצאות מסוכנות במיוחד. עם זאת, התוצאות המסוכנות אינן מסוננות החוצה, אפשר להשתמש בהן, ואין כל אופציה לחסום או להסיר אותן מראש.
לעומת יאהו, ההודעה של גוגל "אתר זה עלול להזיק למחשב שלך" היא נדירה, ולעתים רבות גם שגויה. גוגל אכן חוסם אתרים שעלו ברשימה השחורה שלו, אבל 99% מן האתרים אינם זוכים להיכנס לתוכה.
רבים כבר שמעו על "רוגלות" (Spyware), תוכנות שעוקבות אחרי הגולש ושולפות מידע אינטימי. רבים אחרים מכירים כבר את ה"אדוורים" (Adware), תוכנות שמקפיצות פרסומות במהלך גלישה. גם אתרי "דיוג" ("פישינג", ובאנגלית: Phishing) ידועים לחלק ניכר מן הגולשים, בעיקר כאשר הם מתחזים לאתרים מפורסמים כגון פייפאל, איביי, אמזון וכדומה. כל אלו מושתלים במחשבים של משתמשים גם דרך תוצאות חיפוש זדוניות.
רק מיעוט מכיר את ה"קי-לוגרים" (Key-loggers), תוכנות שעוקבות אחרי תנועות המקלדת והעכבר של הגולש, ומשיגות סיסמאות ומספרי כרטיסי אשראי. אך הרבה פחות מוכרות הן תוכנות מסוג "פוחדות" (Scareware), שמטרתן להפחיד את הגולש ולגרום לו להאמין שהמחשב שלו נגוע בוירוס בדיוני; הגולש ההיסטרי מקבל "המלצה" לקנות תוכנה פיקטיבית כלשהו תמורת תשלום מופקע. אתרים רבים המופיעים בתוצאות החיפוש של גוגל דואגים להשתיל "הפחדות" שכאלה למחשב שלכם.
ביקורת ופתרונות
אפשר תמיד לטעון שדווקא חברות כמו מקאפי עסוקות בהפצת "פוחדות" משלהן, כדוגמת "סייט-אדבייזור" המפורסמת והפופולרית שלה. מצד שני, האיומים שעליה מצביעה מקאפי הם אמיתיים לגמרי. משתמשים בלתי-מנוסים מבצעים חיפושים בלי לחשוב על הסיכון הכרוך בגלישה באתרים מפוקפקים. רוב המשתמשים במנועי חיפוש כמו גוגל סומכים על טוהר תוצאות החיפוש בצורה עיוורת, כמעט ילדותית. המצב הזה חייב להיפסק, כמובן, כיוון שהנושא מורכב מאוד מבחינה טכנולוגית, והציבור רחוק מאוד מלהבינו.
הבעיה האמיתית היא שלמנועי חיפוש גדולים אין אינטרס חזק בחסימת אתרים מזיקים. ברוב המקרים, הגולשים ירצו להיכנס לאתרים האהובים עליהם, גם אם מדובר במפגע-אבטחה דיגיטלי שעלול לגרום למחשב שלהם להפוך ל"עבד" (slave) של כמה "בוטים" המנוהלים על ידי כנופיות האקרים. במקרים אחרים, הגולשים יפגינו אדישות מפחידה כלפי כל אזהרה או המלצה להימנע משיטוט באתרי ליריקה, עבודה מהבית, צ'יטים, שומרי מסך, הורדות פיראטיות ומשחקים חינם. אין ספק שקהל-היעד הפגיע ביותר הוא ילדים: אין להם מושג קלוש עד כמה העולם שבחוץ יכול להיות קטלני, והם מאמינים לכל פרסומת שהם רואים ברשת.
הפתרון המתבקש הוא שיתוף פעולה רציני הרבה יותר בין מנועי החיפוש הגדולים, חברות טכנולוגיות אבטחה ורשויות החוק הרלוונטיות (FBI, אינטרפול ומקבילותיה בעולם) שאמורות להגן על הציבור הרחב, ובעיקר על השכבות החלשות: ילדים וילדות, משפחות בעלות השכלה נמוכה, קבוצות עניות שנזקי-מחשב עלולות למוטט אותן, קשישים וטכנופובים למיניהם. חובה לציין כי חלק ניכר מן הקורבנות כלל לא יודע שנגרם לו נזק, ושהמחשב שלו נפל קורבן לתרמית.
גוגל או יאהו רחוקות מאוד מלהיות מומחיות-אבטחה. המבחנים שמשתמש בהם "גוגל" כיום, למשל, כדי לסנן אתרים מזיקים לא נחשבים מהימנים, והדו"ח של מקאפי מוכיח כי הם נכשלו. התוצאה היא חברות חיפוש למעשה הפקירו את הציבור בידיהן של רשתות נוכלים. מישהו חייב לרסן ולהגביל את מנועי החיפוש, ולדרוש מהם מבחני אבטחה מחמירים הרבה יותר - תוך תשלום מחיר מצידם בגין אובדן פוטנציאלי של תנועה, מפרסמים ומזומנים.
פוסטים קודמים באותו עניין:
הדו"ח של מקאפי (McAfee) בדק כ-2,600 מילות חיפוש בחמשת מנועי החיפוש הגדולים: גוגל, אמריקה אונליין (AOL), יאהו, לייב (של מיקרוסופט, כיום "בינג") ו"אסק" (או אסק ג'יבס, בחלק מן המדינות). על כל ביטוי נבדקו חמשת העמודים הראשונים של התוצאות, ובסה"כ ניתחה החברה כ-413,000 כתובות אתרים ייחודיות. ניתן להוריד את הדו"ח בפורמט PDF כאן.
המסקנות בקיצור:
1) תוצאות של אתרי ליריקה (מילים של שירים, או "ליריקס" בלעז) הם בין המסוכנות ביותר ברשת (26% סיכון)
2) המילה "חינם" מבטיחה סכנה לכל הנעזרים במנועי חיפוש כדי לקבל מוצרים ושירותים ללא תשלום (21% סיכון)
3) חיפושים נפוצים על הורדות מוסיקה פיראטית, צ'יטים של משחקים (ומשחקים חינם), שומרי מסך ושמות של אתרים מפורסמים - מסוכנים ביותר למחפשים
4) חיפוש "עבודה מהבית", מסתבר, מוביל גולשים רבים מאוד לזרועותיהם של נוכלים מתוחכמים
5) עברייני-רשת מגלים, מנתחים, צופים מראש, חוקרים ומשתמשים במילות חיפוש אקטואליות (סלבריטאים חדשים, אירועי ספורט ואופנות זמניות) ומפציצים את מנועי החיפוש בתכנים זדוניים שכל מטרתם היא השתלת תוכנות זדוניות וסוסים טרויאנים על מחשבים רבים ככל האפשר
6) אי אפשר לסמוך על מנועי החיפוש שיסננו את התוצאות, ולכן יש צורך בתוכנות אבטחה מיוחדות כדי להתגונן
ניתוח הדו"ח
הממצאים של מקאפי, בחלקם, אינם חדשים: כבר ב-2006 הופיע דו"ח שהראה עד כמה תוצאות חיפוש יכולות להיות מסוכנות. המצב לא השתפר כלל, ולמעשה החמיר: כיום, העבריינים עובדים מהר יותר כדי לנצל מגמות חולפות, לעשות רווח גדול בזמן קצר, ואז להיעלם מן הרשת. לכן הם מנצלים אירועים קצרים ורבי-ביקוש כגון אולימפיאדה, כוכבים שנכנסו לכותרות העיתונים לאחרונה, ולא רק עובדים סביב מלכודות קלאסיות כגון "שומרי מסך" (Screensavers).
הלקח מן הדו"ח של 2009 הוא שלא מספיק להיזהר מפני תוכנות חינמיות, שומרי מסך מחייכים או אתרים שמציעים ליריקה ללא תמורה. ביקורת על הדו"ח שפורסמה ע"י מומחה אבטחה ב-ZDnet טוענת כי המצב גרוע בהרבה ממה שנראה - העבריינים השתלטו על מאות אלפי מילות חיפוש פופולריות, ולכן הרשימה של מקאפי אינה ממצה כלל. מעבר לכך, מרבית מקרי ההונאה והפריצה מתרחשים דווקא באתרים אמינים וידועים, שאותם מנועי החיפוש אינם רוצים כלל לחסום, כדי לא לאכזב את המשתמשים שלהם.
במקרים רבים משתמשים האקרים, המבצעים פרויקטים גדולים של פריצה ומירמה, בשיטות כמו השתלת SQL באתרים בלתי-מוגנים. מסתבר ששיטה זו, המכונה באנגלית SQL Injection, פגעה בכמות גדולה מאוד של אתרים בכל העולם, כולל ישראל. כל מי שיגיע לאתרים הללו דרך תוצאות חיפוש, ייפול קורבן בלי להוריד תוכנה, בלי להבין מה קרה, ובלי לדעת כיצד לפתור את הליקוי.
גוגל, יאהו ומיקרוסופט לא ממהרים לספר לצרכנים שלהם שתוצאות החיפוש שלהם מסוכנות. חיפוש תמים של ילד קטן על וובקינז (Webkinz) עלול להסתיים במחשב פרוץ, נזק כספי וסיוע בלתי-מודע לביצוע מעשים פליליים חמורים. ברוב תוצאות החיפוש אין שום אזהרה, לא גרפית ולא טקסטואלית, על כך שאתר כלשהו נחשב מסוכן בעיני תוכנות אבטחה כגון "סייט-אדבייזור" (SiteAdvisor) של מקאפי.
רק במאי 2008 החל מנוע החיפוש של יאהו להשתמש בשירות סרץ'-סקן (SearchScan) שאותו אכן מספקת מקאפי. השירות של יאהו אמור להזהיר את המחפשים מפני תוצאות מסוכנות במיוחד. עם זאת, התוצאות המסוכנות אינן מסוננות החוצה, אפשר להשתמש בהן, ואין כל אופציה לחסום או להסיר אותן מראש.
לעומת יאהו, ההודעה של גוגל "אתר זה עלול להזיק למחשב שלך" היא נדירה, ולעתים רבות גם שגויה. גוגל אכן חוסם אתרים שעלו ברשימה השחורה שלו, אבל 99% מן האתרים אינם זוכים להיכנס לתוכה.
רבים כבר שמעו על "רוגלות" (Spyware), תוכנות שעוקבות אחרי הגולש ושולפות מידע אינטימי. רבים אחרים מכירים כבר את ה"אדוורים" (Adware), תוכנות שמקפיצות פרסומות במהלך גלישה. גם אתרי "דיוג" ("פישינג", ובאנגלית: Phishing) ידועים לחלק ניכר מן הגולשים, בעיקר כאשר הם מתחזים לאתרים מפורסמים כגון פייפאל, איביי, אמזון וכדומה. כל אלו מושתלים במחשבים של משתמשים גם דרך תוצאות חיפוש זדוניות.
רק מיעוט מכיר את ה"קי-לוגרים" (Key-loggers), תוכנות שעוקבות אחרי תנועות המקלדת והעכבר של הגולש, ומשיגות סיסמאות ומספרי כרטיסי אשראי. אך הרבה פחות מוכרות הן תוכנות מסוג "פוחדות" (Scareware), שמטרתן להפחיד את הגולש ולגרום לו להאמין שהמחשב שלו נגוע בוירוס בדיוני; הגולש ההיסטרי מקבל "המלצה" לקנות תוכנה פיקטיבית כלשהו תמורת תשלום מופקע. אתרים רבים המופיעים בתוצאות החיפוש של גוגל דואגים להשתיל "הפחדות" שכאלה למחשב שלכם.
ביקורת ופתרונות
אפשר תמיד לטעון שדווקא חברות כמו מקאפי עסוקות בהפצת "פוחדות" משלהן, כדוגמת "סייט-אדבייזור" המפורסמת והפופולרית שלה. מצד שני, האיומים שעליה מצביעה מקאפי הם אמיתיים לגמרי. משתמשים בלתי-מנוסים מבצעים חיפושים בלי לחשוב על הסיכון הכרוך בגלישה באתרים מפוקפקים. רוב המשתמשים במנועי חיפוש כמו גוגל סומכים על טוהר תוצאות החיפוש בצורה עיוורת, כמעט ילדותית. המצב הזה חייב להיפסק, כמובן, כיוון שהנושא מורכב מאוד מבחינה טכנולוגית, והציבור רחוק מאוד מלהבינו.
הבעיה האמיתית היא שלמנועי חיפוש גדולים אין אינטרס חזק בחסימת אתרים מזיקים. ברוב המקרים, הגולשים ירצו להיכנס לאתרים האהובים עליהם, גם אם מדובר במפגע-אבטחה דיגיטלי שעלול לגרום למחשב שלהם להפוך ל"עבד" (slave) של כמה "בוטים" המנוהלים על ידי כנופיות האקרים. במקרים אחרים, הגולשים יפגינו אדישות מפחידה כלפי כל אזהרה או המלצה להימנע משיטוט באתרי ליריקה, עבודה מהבית, צ'יטים, שומרי מסך, הורדות פיראטיות ומשחקים חינם. אין ספק שקהל-היעד הפגיע ביותר הוא ילדים: אין להם מושג קלוש עד כמה העולם שבחוץ יכול להיות קטלני, והם מאמינים לכל פרסומת שהם רואים ברשת.
הפתרון המתבקש הוא שיתוף פעולה רציני הרבה יותר בין מנועי החיפוש הגדולים, חברות טכנולוגיות אבטחה ורשויות החוק הרלוונטיות (FBI, אינטרפול ומקבילותיה בעולם) שאמורות להגן על הציבור הרחב, ובעיקר על השכבות החלשות: ילדים וילדות, משפחות בעלות השכלה נמוכה, קבוצות עניות שנזקי-מחשב עלולות למוטט אותן, קשישים וטכנופובים למיניהם. חובה לציין כי חלק ניכר מן הקורבנות כלל לא יודע שנגרם לו נזק, ושהמחשב שלו נפל קורבן לתרמית.
גוגל או יאהו רחוקות מאוד מלהיות מומחיות-אבטחה. המבחנים שמשתמש בהם "גוגל" כיום, למשל, כדי לסנן אתרים מזיקים לא נחשבים מהימנים, והדו"ח של מקאפי מוכיח כי הם נכשלו. התוצאה היא חברות חיפוש למעשה הפקירו את הציבור בידיהן של רשתות נוכלים. מישהו חייב לרסן ולהגביל את מנועי החיפוש, ולדרוש מהם מבחני אבטחה מחמירים הרבה יותר - תוך תשלום מחיר מצידם בגין אובדן פוטנציאלי של תנועה, מפרסמים ומזומנים.
פוסטים קודמים באותו עניין:
- אתר זה עלול להזיק למחשב שלך - כך מונע גוגל כניסה לאתרים חשודים
- גוגל דסקטופ הוא מחדל אבטחה מתמשך - פירצה קוראת לגנב, וגוגל הבין את זה בדרך הקשה
- מנועי חיפוש - האם הם בטוחים? דו"ח מ-2006 אומר שלא, ומסכם: "זה ג'ונגל שם בחוץ"
תגובה 1:
לטעמי,
זו נקודת התורפה המשמעותית ביותר של גוגל כיום וזו שפוגעת הכי הרבה באיכות תוצאות החיפוש. ולכן זו יכולה להיות הפרצה דרכה מייקרוסופט יצליח לחזור לתמונה. אם הם ימתגו את bing כמנוע חיפוש בטוח יחסית, הם יוכלו לתפוס לעצמם נתח יפה בשוק ויפה שעה אחת קודם.
זה קצת מזכיר את הסיפור של מק ו- pc. משתמשי מק נהנים ממחשב בלי וירוסים, הם מרפים להם בלה לה לנד של שימושיות ואבטחה ויעלה כמה שיעלה.
Bing מציג אחלה ממשק, ממש עבודה יפה, אולם נשען עדיין על תוצאות מחורבנות וסובל מבעיות של לוקליזציה. אז את השימושיות יש לו, שיתנו לו בראש עם האבטחה ובא למייקרוסופט גואל.
אבל מי אני שאתן עצות למייקרוסופט הא!?
הוסף רשומת תגובה