תוכנה ישראלית המתקיפה זבלנים מעוררת סערה
ביקורת קשה בעולם המיחשוב על חברת Blue Security, שהשיקה השבוע את תוכנת Blue Frog, המציפה אתרים של זבלנים בתלונות מרובות, במעין מתקפת DoS
בעוד שהמלחמה בדואר הזבל נמצאת במגמת הסלמה, החברה הישראלית Blue Security רוצה לאפשר לאלפי משתמשים לשתף פעולה בנסיון למנוע מזבלנים להשתמש באתרי אינטרנט לצורך מכירת תוכנותיהם. זאת, באמצעות תוכנה חדשה בשם Blue Frog (סוג של צפרדע ארסית), שהושקה השבוע וכבר הספיקה לעורר ביקורת עזה בעולם אבטחת המידע.
Blue Security, שהוקמה ב-2004 על ידי ערן רשף ואמיר הירש, מפתחת פתרונות ללוחמה בדואר זבל ותוכנות ריגול. המערכת החדשה, הפועלת בגירסת בטא, מתוארת על ידי החברה כ"גישה מהפכנית ואקטיבית, להרתעת ספאמרים מפני משלוח דואר זבל לכל אחד מהחברים הרשומים בקהילה".
כיצד פועלת התוכנה?
לאחר הורדת התוכנה והתקנתה, המשתמש מוסיף את כתובת הדואר האלקטרוני שלו לרשימת ה-Do Not Spam ('אל תזבל אותי'), והחברה יוצרת כתובות דואר נוספות עבורו, שהן 'מלכודות דבש' (Honeypots), ומטרתן היחידה היא ללכוד זבלנים. אם מתקבלת הודעת דואר זבל בכתובות אלה, Blue Security מנסה להזהיר את הזבלן.
במידה והזבלן לא שעה לאזהרות המוקדמות, תוכנת Blue Frog שולחת מספר רב של תלונות אוטומטיות לספאמר. שליחת אלפי תלונות כאלו בבת אחת עשויה להפיל את השרת, וכך תגרום לזבלנים להפסיק לשלוח הודעות לכתובות שברשימת Do Not Spam.
עם זאת, בחברה טוענים כי הם עוצרים צעד אחד לפני הפלת מחשבים ובסך הכל מאיטה מאוד את פעולתם. על פי הודעת Blue Security, "מדובר בשיטה אתית ויעילה, היוצרת הפרעה משמעותית דיה לאתר האינטרנט, כדי למנוע מלקוחות פוטנציאליים את הגישה לאתר של הספאמרים. כדי להימנע מהזרמת תלונות נוספות, נדרשים הספאמרים להשתמש בכלים שמספקת החברה, כדי למחוק כתובות של חברי הקהילה מרשימותיהם".
על פי ההודעה, מניסויים שבוצעו בתוכנה, הוכח כי הזבלנים מגיבים לתלונות, גם אם לא תמיד בצורה הרצויה. חלקם ניסו לשנות את ההגדרות בשרת שלהם, על מנת להימנע מקבלת תלונות נוספות, ואחרים, "אשר הושפעו מהלחץ שהפעילה קהילת המשתמשים, פעלו בהתאם להנחיות, והורידו את כלי התוכנה של החברה, שמיועדים להסרת כתובות הדואר של חברי הקהילה מרשימות התפוצה של הזבלנים".
באתר החברה נכתב עוד, כי החברה מגדירה דואר זבל כהודעות התואמות לחוק CANSPAM מ-2003, ועונות על ה'דרישות' הבאות: נשלחות באמצעות כתובות שנקצרו ממקורות שונים, נשלחות ממחשב זומבי, כוללות Header מזויף או מטעה, שורת כתובת מטעה ואינן כוללות מנגנון המאפשר לגולש להסיר את שמו מהרשימה.
התקפת DoS לכל דבר?
אך ג'ון לוין, לוחם מוביל בדואר הזבל, טען בראיון לסונכות הידיעות "איי פי" כי Blue Frog היא לא יותר מאשר מתקפת DoS, המשמשת האקרים להפיל שרתים באמצעות הצפתם בתעבורה מזויפת.
לדברי לוין, חבר מועצה ב-Coalition Against Unsolicited Commercial E-mail (או CAUCE), ארגון התנדבותי הפועל למען חקיקה בתחום, "הגישה הזו היא נקמנות מהסוג הגרוע ביותר. מתקפות מכוונות כלפי אתרי אינטרנט הן בלתי חוקיות".
זאת ועוד, מאחר וספאם נשלח פעמים רבות מ"זומבים", מחשבים של גולשים תמימים, שנפרצו על ידי תוכנות זדוניות, ומשמשים למשלוח דואר והפצת וירוסים ללא ידיעת בעליהם, יתכן שהם יהוו יעד מועדף למתקפות של הצפרדע הארסית, ויגרמו לנזק רק מן התועלת.
Lycos שילמה ביוקר
לוין סבור שהיוזמה החדשה מזכירה מאוד את שומר המסך שהפיץ הפורטל Lycos בנובמבר. מטרת התוכנה, Make Love Not Spam, היתה להציף אתרי אינטרנט שזוהו על ידי Lycos ככאלו המוכרים מוצרים המיועדים להפצת ספאם.
Lycos, שחזרה בה מכוונותיה לאחר שזכתה לביקורת מחד, ואתרה נפל קורבן לפריצה של האקרים, שביצעו נגדו מתקפת DoS, מאידך, טענה אז כי היא מוודאת שרק דפים מסוימים בשרת מסוים יסבלו מהעומס, ואינה מפילה את השרת במתקפת DoS, פעולה בלתי חוקית.
"המערכת עלולה לפגוע במוניטין של ישראל"
"חברות כאלה אינן מועילות למוניטין שרכשו חברות ישראליות בתחום האינטרנט", אמר גדי עברון מצוות החירום של האינטרנט (CERT) בפרויקט תהיל"ה, והוסיף כי "הדבר עלול להוביל לכך שכולנו נסומן כזבלנים, ואפשרות משלוח הדואר האלקטרוני שלנו לעולם תחסם".
לדברי עברון, "מתקפות שפוגעות באינטרנט, מסבות נזק לאינטרנט אפילו אם הן נעשות מתוך כוונה טובה. אנחנו עובדים קשה כדי לשפר את המוניטין של ישראל באינטרנט, ולהציג אותה כמדינה אחראית ומכובדת. זה לא עוזר לנו, ואנחנו בוחנים את המעמד המשפטי של מתקפות Denial of Service על פי החוק הישראלי".
המערכת הוכיחה את עצמה
ערן רשף הודף את הביקורת, ומציין כי Blue Frog בסך הכל מתירה לגולשים להתלונן יחדיו, במקום לפנות לזבלנים באופן אישי. לדבריו, טכניקת הפעולה של התוכנה יעילה רק במקרה שמשתמשים רבים - נניח 100,000 - יקחו חלק ביוזמה.
"השימוש במערכת הדואר האלקטרוני היה, עד לפני כמה שנים, חוויה שלווה וידידותית. כמה מאות ספאמרים הרסו את החוויה הזו לכל המשתמשים באינטרנט. אם מספיק אנשים יזנחו את הניסיון הכושל להריץ פילטרים פסיביים על הודעות הדוא"ל שלהם, ויבינו כי יש צורך לנקוט בפעולה אקטיבית, נוכל כולנו יחדיו לעמוד על זכויותינו, ולהחזיר לעצמנו את חווית השימוש בדואר אלקטרוני", אמר רשף.
לדברי רשף, התוכנה זמינה כיום בחינם, והמשתמשים שיקדימו להירשם לגיסת הבטא לא ויחויבו בתשלום, אולם בעתיד מתכננת החברה לגבות דמי מנוי מגולשים, שלא יידרשו להוריד תוכנה.