webbug  ווב באג: באג האינטרנט
24/04/2003 |   גיליון מספר 9

halemo

ווב באג (באג האינטרנט), הוא תמונה גרפית זעירה המצורפת להודעות דואר אלקטרוני ומיועדות לעקוב אחרי מי שנשלחה אליו ההודעה והוא פתח וקרא אותה. ווב באג הוא בדרך כלל בלתי נראה, הוא למעשה תמונה בגודל פיקסל אחד על פיקסל אחד. הווב באגס (או ווב באגים) נמצאים בהודעות דואר אלקטרוניות שנכתבו כקוד HTML ולא כטקסט רגיל. הווב באגים נמצאים תחת התג שמציין תמונה, תג ה IMG של שפת HTML.

הנה דוגמת קוד ל"תמונה" כזו שמצורפת למכתב זבל שנשלח ע"י תוכנת מייל פיינדר העברית:

<img border="0" width="0" height="0" src="http://62.219.161.23/emaildata/counters.asp? RAND=37479.6345601852&action=2&code=11112212">

בדוגמת הקוד לעיל, יש קישור אל תמונה. הקישור אל התמונה נמצא תחת המאפיין src. בדוגמה, ה"תמונה" גורמת לתוכנת הדואר האלקטרוני ליצור תקשורת עם השרת שכתובתו רשומה ולהביא משם את התמונה המבוקשת ע,י תוכנת הדואר. למעשה, הפנייה של תוכנת הדואר האלקטרוני להביא תמונה, גורמת ל hit אצל שרת המחשב המרוחק, וכן יכולה להירשם בעצם בקשה של אדם שפתח את הדואר האלקטרוני שנשלח אליו וקרא אותו.

בכתובת שנשלחת, בכתובת ה URL (הכתובת המלאה של הקישור), נמצא גם קוד שמציין את שם המבקש, וזה בעצם ציון מספרי של האדם שאליו נשלח הדואר והוא פתח וקרא אותו. כך למעשה יודע שולח הדואר האלקטרוני כי האדם ששלח אליו את המכתב, פתח וקרא אותו, ולא רק זה, אלא שהוא מקבל פרטים נוספים על אותו אדם.

ומדוע הווב באג הוא נסתר בדף? כדי להסתיר את העובדה שעוקבים אחריכם ואחרי פתיחת המכתב שלכם. אבל לא כל ווב באג חייב להיות נסתר ולהכיל "תמונה" בגודל פיקסל על פיקסל. שרת מחשב יכול לשלוח לכם מכתב שבו דווקא כן מופיע תמונה אמיתית, אבל נועדה לעקוב אחרי פותח המכתב. ברגע שהמכתב נפתח, נשלחת בקשה ע"י תוכנת הדואר האלקטרוני לקבלת התמונה. בקשה זו נשלחת אל השרת המרוחק שעליו נמצאת התמונה (בקשת GET של פרוטוקול HTTP), וברגע שמתקבלת הבקשה, השרת יכול לשמור את הפניה של תוכנת הדואר אליו, כולל תאריך ושעה ומידע נוסף, כמו כתובת ה IP של המחשב המבקש.

לא כל תמונה שקופה מציינת ווב באג. לפעמים תמונות GIF שקופות נועדו ליישור הטקסט והטבלאות בהודעה המעוצבת.

התמונה המצורפת היא בגודל מינימלי של אחד על אחד ולא אפס על אפס, על מנת שתוכנות דואר מתקדמות לא יתעלמו ממנו כאשר יגלו שהתמונה בגודל אפס על אפס ולא יפנו לשרת המחשב המרוחק להביא אותה. למרות זאת, רוב תוכנות הדואר כן פונות לשרת המרוחק על מנת לקבל את ה"תמונה".

מקור השם ווב באג

מקור המושג ווב באג אינו דווקא מבאג של המערכת. פירוש המילה "באג" בביטוי היא ציון שמו של מתקן זעיר שנועד לציטוט ומוצמד לאובייקט שרוצים לצוטט לו, וזה לקוח מעולם הריגול. מלבד הביטוי Webbug ישנם ביטויים נוספים שמציינים את אותו דבר. בין השאר קיים המונח Clear GIF (תמונת גיפ שקופה. גיפ הוא פורמט גרפי שמאפשר ליצור שקיפות). כמו כן קיימים המושגים beacon GIF (גיפ מאותת) וגם invisible GIF (גיפ נסתר).

המידע שנשלח באמצעות ווב באג

כאשר נעשית פנייה בפרוטוקול HTTP אל שרת מחשב מרוחק, הן ע"י דפדפן כלשהו והן ע"י תוכנת דואר אלקטרוני שמנסה להציג דף אינטרנט בפורמט HTML (ולא טקסט), נשלחים נתונים רבים אל השרת המרוחק. זה חלק בלתי נפרד מהפרוטוקול ולא משהו שנעשה בצורה זדונית.

המידע שנשלח אל השרת המרוחק כולל:

1. כתובת IP של המחשב

2. כתובת המידע, תמונה, טקסט או קוד לביצוע

3. תאריך ושעה של הבקשה

4. סוג הדפדפן או תוכנת הדואר ברשות הגולש

5. עוגיות שנמצאות במחשבו של המשתמש וקשורות רק למידע באתר המבוקש

המידע שנאסף ע"י המחשב המרוחק יכול לשמש ככלי רב עוצמה לניתוח ולבניית פרופיל של הקורבן שפתח את הדואר האלקטרוני. החל מכתובת ה IP שלו שלא היה ניתן להשיגה באמצעים אחרים. כתובת ה IP מציינת מי הגולש, דרך איזו ספקית אינטרנט הוא מחובר ובעצם מי המחשב/גולש האמיתי שמסתתר.

כך למשל, ניתן לבנות פרופיל על גולש באינטרנט שפותח את תוכנת הדואר שלו כדי לקרוא מכתבים רק בשעות מסוימות של היום או הלילה. משלוח דואר אל קבוצת משתמשים, יכולה לבנות פרופיל של קבוצת אוכלוסייה.

כך למשל, יכולה חברת פרסום המעונינת לשווק פרסומות רק לאנשים שקוראים את הדואר שלהם בשעות הבוקר, לשלוח באנר מתאים בדואר זבל אחר שהיא מתכוונת לשלוח אל הקורבן.

התחקות אחרי גולשים אנונימיים

שימוש אחר לווב באגים הוא התחקות אחר גולש שאת זהותו רוצים לוודא, דבר שלא ניתן למשל לעשות אם הוא כותב בפורום ואתם אינכם הבעלים של אותו פורום. כך למשל, אם גולש כלשהו משמיץ אתכם ואתם רוצים לוודא את זהותו, אבל יש לכם רק את כתובת הדואר האלקטרוני שלו ותו לא, אתם יכולים ליצור דף עם ווב באג ולשלוח לו את המכתב. ברגע שיפתח את המכתב, תישלח בקשה אל שרת מחשב בשליטתכם ותרשם הבקשה לקבלת ה"תמונה" הנסתרת שצירפתם.

התמונה הנסתרת למעשה מפעילה קוד CGI שמייצר את את נתוני הבקשה ורושם אותה במקום כלשהו בשרת מחשב בשליטתכם. כמובן שאתם צריכים שרת מחשב כזה או אתר התומך בסקריפטים. CGI הוא שיטה להחליף נתונים בין הגולש לבין האתר שאליו נכנס. בשיטה זו, הגולש אינו רק קורא את דף האינטרנט, אלא מגיב אליו ותגובתו נרשמת ויכולה להיות מוצגת. יישומים ידועים ל CGI הם טוקבקים (תגובות) של גולשים לכתבות, כתיבת בפורומים ובקבוצות דיון, חתימה בספר אורחים וכדומה.

כיצד ניתן לראות האם נשלח אליי ווב באג ?

כדי לראות האם נשלח אליכם דואר המכיל ווב באג, יש לפתוח את המאפיינים של המכתב ולצפות בקוד עצמו, קוד של דואר אלקטרוני המכיל מלבד טקסט ההודעה, גם מידע ראשוני על שולח המכתב.

בטקסט המכתב עצמו, יש לחפש את התג IMG. במאפיינים של התג הזה, יש לוודא שהפרמטרים של אורך ורוחב התמונה הם זעירים, למשל 1 פיקסל על 1 פיקסל. המאפיין WIDTH מציין את רוחב התמונה בפיקסלים, והמאפיין HEIGHT מציין את גובה התמונה. במאפיין SRC נמצא הקישור אל התמונה, ואם קישור זה אינו מכיל תמונה שהסיומת שלה היא פורמט גרפי ידוע כמו GIF או JPG, ככל הנראה זו בקשה לרישום פתיחת המכתב שלכם על ידכם.

לעיתים, לא ניתן למצוא את התגים הללו, כי המכתב נשלח בקידוד פשוט שמשמש תוכנות דואר אלקטרוני. קידוד ידוע כזה הוא base64, שנראה כגוש טקסט ברוחב 76 תווים ובגובה שנקבע על פי גודל המידע. כך למשל נשלחים קבצי מולטימדיה ותמונות באמצעות תוכנות דואר אלקטרוני. הקובץ מתורגם לגושי טקסט באורך 76 תווים ומצורף כגוש טקסט.

ניתן לתרגם את גושי הטקסט הללו למידע אמיתי בעזרת תוכנות חיצוניות שנית למצוא ברשת.

השימושים העיקריים בווב באג בדואר אלקטרוני

1. מציאת גולש המבקש להישאר אנונימי ככזה שפתח וקרא את הדואר שנשלח אליו

2. קבלת כתובת IP אמיתית של גולש שמנסה להישאר אנונימי.

3. ניתוח סטטיסטי של מספר הפעמים שדואר כלשהו נקרא ונפתח מחדש (או נמחק, אם הסתכלו עליו פעם אחת בלבד).

4. השוואת מידע על גולש אנונימי מול גולש לא אנונימי. כך ניתן להצליב מידע ולוודא זהות של גולש שכותב בשני כינויים בפורום כלשהו, משתמש בשני כתובות דואר שונות. המידע שמתקבל מלבד כתובת ה IP, הוא גם סוג הדפדפן של הגולש, שעת הפתיחה של המכתבים והעוגיות שלו.

5. ווידוא שהמשתמש עם כתובת הדואר האלקטרוני אכן קיים ואכן קורא את המכתב. שולחי דואר זבל מורידים כתובות דואר של גולשים שאינם טורחים לקרוא את המכתבים, כדי לא ליצור עומס אצלם. לרוב, אם קראת פעם אחת, אתה בפנים, ותקבל דואר זבל בהמשך.

6. סינכרון של קבצי העוגיות אצל הגולש עם כתובת דואר אמיתית שבה הוא משתמש. כך למשל, אתרי אינטרנט הדורשים רישום של דואר אלקטרוני, וגם כאלו שלא, יכולים לוודא ולאסוף את כתובות הדואר האלקטרוני של גולשים שביקרו אצלם באתר ונרשמה עוגיה אצלם, עם מכתב ששלוח והללו פתחו וקראו אותו.

האם ניתן להימנע מווב באגים ?

כמעט ולא ניתן להימנע מווב באגים. ווב באגים מנצלים בפשטות את שיטת העבודה ברשת האינטרנט. תוכנות הדואר האלקטרוני המודרניות מאפשרות קבלה ומשלוח של טקסט בפורמט HTML, ופורמט זה מאפשר משלוח תמונות וקבלת תמונות, ולכן לא ניתן למנוע זאת כליל.

קיימות מספר פעולות שניתנות לביצוע:

1. הגדירו את תוכנת הדואר האלקטרוני שלכם כך שתפתח כל הודעה רק בצורה טקסטואלית טהורה, ללא HTML. בשיטה זו חסרון גדול בכך שאתם מפסידים את חווית הגלישה וקריאת הדואר האלקטרוני בצורה המתקדמת שלו (טקסט מעוצב בצבעים, פונטים ובתמונות).

2. יצירת מסנן (פילטר) או "כלל" (rule) על מכתבי דואר אלקטרוני שמכילים כתובות ידועות של שולחי דואר זבל, כמו דואר שנשלח דרך תוכנת מייל פיינדר הישראלית. תוכנת מייל פיינדר הישראלית משתמשת בכתובת IP מספרית ולא בכתובת דומיין טקסטואלית.

3. קריאת הדואר האלקטרוני רק לאחר התנתקות מהאינטרנט או במצב עבודה offline. כך, לא ישלח אל השרת המרוחק בקשה לקבלת "תמונה" שנמצאת בדואר כזה. החסרון הוא שוב הפספוס של חוויית הגלישה המתקדמת וקריאת דואר שחלק מקבציו כמו תמונות, נמצאות בשרת מרוחק, ולא צורפו למכתב רק על מנת לא להכביד וליצור מכתב בגודל ענק (כל תמונה מצורפת למכתב מגדילה באופן משמעותי את גודלו ואת הזמן להוריד אותו משרת הדואר של ספק השירות).

4. הגדרה של הדפדפן לעבודה עם שרתי PROXY. שרתי פרוקסי הם מחשבי ביניים המתווכים בין בקשות הדפדפן שלכם לקבלת דפים לבין האתר שצריך לספק את הדפים ולמלא את הבקשה. בעבודה עם שרתי פרוקסי, הצד שהפעיל את הווב באג יקבל את כתובת ה IP של שרת הפרוקסי ולא את כתובת ה IP האישית שלכם. למרות זאת, זה לא ימנע את רישום התאריך והשעה ואת העובדה שפתחתם את המכתב.

האם ווב באג הוא חוקי ?

זו שאלה מורכבת ועדיין לא עמדה למבחן משפטי בישראל ובעולם, ככל הידוע לי. כל משפטן מבריק יכול למצוא טיעונים בעד ונגד. בעקרון, כל מעשה התחקות אחרי אדם לשם הטרדה, הוא מעשה לא חוקי. לעומת זאת, שליחת ווב באג אינה שונה בפועל ממשלוח מכתב רשום עם אישור מסירה דרך רשות הדואר.

כאשר אדם, מוסד ציבורי או בית המשפט שולחים מכתב רשום עם אישור מסירה לכתובתו של אדם, פקיד הדואר מחתים את הנמען על כך שקיבל את המכתב. אישור מסירה זה נשלח אל שולח המכתב וכך שולח המכתב יודע בעזרת חותמת הדואר את תאריך קבלת המכתב ואת שמו של הפקיד שמסר את המכתב לנמען.

טיעון אחר יכול להיות שהשיטה של התחקות אחרי אדם והשגת מידע שאותו אדם לא מסר, הוא ההתחקות של חברות התקשורת הסלולאריות אחרי מיקומו של אדם ברחבי מדינת ישראל. גם כאן מדובר בפריטי מידע שאותו אדם לא תמיד מעוניין למסור לאותן חברות, על אף שהוא מחזיק טלפון נייד סלולארי ברשותו וזה פועל יוצא מהטכנולוגיה הסלולארית שמבוססת על מיקום מכשיר הטלפון הנייד.

בחוק המחשבים של מדינת ישראל משנת 1995 קיימים סעיפים כוללניים מדיי לגבי עבירות מחשב. הסעיפים כל כך כוללניים, כך שכל פעולה שעשיתם במחשב, יכולה לקבל פרשנות משפטית מוטעית ע"י שוטרים ממפלג עבירות מחשב של משטרת ישראל או ע"י התובע המחוזי. המילה אינטרנט אינה מוזכרת כלל בחוק זה.

הסעיפים הרלוונטיים בחוק המחשבים שיכולים לשמש כל שוטר ומשפטן ביחס למישהו שהשתמש בווב באג הם הסעיפים הבאים:

2. שיבוש או הפרעה למחשב או לחומר מחשב

העושה שלא כדין אחת מאלה, דינו - מאסר שלוש שנים:

(1) משבש את פעולתו התקינה של מחשב או מפריע לשימוש בו;

(2) מוחק חומר מחשב, גורם לשינוי בו, משבשו בכל דרך אחרת או מפריע לשימוש בו.

4. חדירה לחומר מחשב שלא כדין

החודר שלא כדין לחומר מחשב הנמצא במחשב, דינו - מאסר שלוש שנים; לענין זה, "חדירה לחומר מחשב" - חדירה באמצעות התקשרות או התחברות עם מחשב, או על ידי הפעלתו, אך למעט חדירה לחומר מחשב שהיא האזנה לפי חוק האזנת סתר, התשל"ט 1979.

5. חדירה לחומר מחשב כדי לעבור עבירה אחרת

העושה מעשה האסור לפי סעיף 4 כדי לעבור עבירה על פי כל דין, למעט על פי חוק זה, דינו - מאסר חמש שנים.

סעיף 6 בחוק המחשבים המדבר על נגיפי מחשב (וירוסים) אינו רלוונטי לעניינו מכיוון שווב באג אינו וירוס במובנו המעשי והמשפטי.