מדריך: איך לקרוא את האזהרות של Windows?

יש להניח שיותר מפעם אחת, ראיתם – במהלך גלישה או כשניסיתם להפעיל תוכנה – הודעה השואלת אם אתם בטוחים שברצונכם להפעיל קובץ מסויים (תמונה מספר 1).

ייתכן גם שנתקלתם בהודעה המתריעה כי מערכת ההפעלה אינה מזהה מפיץ מסויים (תמונה מספר 2) או מסך שבו מערכת ההפעלה מוודאת כי ברצונכם להפעיל תוכנה כלשהי (תמונה מספר 3). ההודעות הללו, שרבים אינם טורחים לעיין בהם, הן ניסיון של מערכת ההפעלה להגן על המחשב מפני וירוסים, תולעים ושאר מרעין בישין שכל מטרתם לגרום נזק.

רוב משתמשי המחשב, מתעלמים מסימני האזהרה, ומאשרים גם לתוכנות שנקראות kill-the-computer וחתומות על ידי היצרן I-Am-Going-to-get-you-this-time, לרוץ באופן חופשי על המחשב שלהם.

המכנה המשותף

לכל ההודעות האלה מכנה משותף.

הן מנסות לומר לכם משהו על היצרן של התוכנה אותה אתם מפעילים, מה שמכונה בשפה המקצועית, בהשאלה מעולם הספרים וכתבי העת, Publisher – המוציא לאור של התוכנה (או המוציא לחושך, במקרה של וירוס).

XP בטוחה יותר

חדי העין שבין הקוראים, יכולים להסיק מהתמונות הללו, מהי סביבת הריצה שבה השתמשתי בזמן שקיבלתי את ההודעות. התמונה של המגן הצבעוני (אדום או צהוב) בתחתית כל הודעה, מסגירה את העובדה, שמערכת ההפעלה המותקנת על המחשב, היא XP Service Pack 2.

גם במערכות ההפעלה הקודמות היו הודעות כאלה, רק הרבה פחות. וחשוב לציין שהמידע המופיע במאמר זה מתאים גם למערכות הפעלה ישנות יותר.

יש סיבה טובה לכך שאני נטפל לקטנות, כמו מהי מערכת ההפעלה שלכם. מבחינת אבטחה, XPSP2 בטוחה בצורה משמעותית יותר מקודמותיה (ואפילו קהילת ההאקרים נאלצת, למגינת ליבה, להודות בכך). למי שחשוב לו שהמחשב שלו יהיה מאובטח ועדיין משתמש במערכות הפעלה היסטוריות כמו win9x, Me או NT, כדאי שישקול שוב לשדרג את מערכת ההפעלה.

אז במי אפשר לבטוח?

בואו נתחיל מהיסודות. כמה חוקי יסוד במתן אמון בתכנת מחשב.

1. חוק מספר 1 – אל תבטחו באף אחד.

2. חוק מספר 2 – יש לבדוק אם שולח התוכנה מוכר לכם (או האתר ממנו הורדתם את התוכנה). יש לוודא כי אתם סומכים עליו מספיק עד כדי רכישה של מכונית משומשת ממנו.

3. אזהרה לפני התקנת תוכנה של יצרן מוכר

גם אם האתר מוכר לכם ואתם סומכים עליו לחלוטין, זה לא מבטל את חוק מספר 1, כי כמו שכבר ראינו, אם הדואר לא חתום דיגיטלית, אי אפשר להיות בטוחים ממי הוא הגיע. וגם אם קיבלתם דואר אלקטרוני חתום דיגיטלית, זה לא אומר שהשולח הוא זה ששלח אותו ולא איזה וירוס שנתקע במחשב שלו.

3. חוק מספר 3. יש לבדוק אם התכנית עברה סריקה על ידי אנטי וירוס מוכר ועדכני. גם אם התכנית עברה סריקה שכזו, אין פירוש הדבר שאין בה וירוס, אלא רק שאין בה וירוס מוכר וידוע. נוסף על כך, גם אם אין בה וירוס, זה לא מבטל את חוק מספר 1, כי גם תוכנות שאינן כוללות וירוסים, יכולות לגרום נזק.

4. חוק מספר 4. יש לבדוק אם אתם סומכים על יצרן התוכנה. האם מדובר ביצרן תוכנה מוכר? האם הייתם קונים ממנו את התוכנה שאתם גונבים ממנו (סתם בדיחה, כי ברור שאף אחד לא גונב תוכנות)? גם אם כן, זה לא מבטל את חוק מספר 1, כי מאיפה לכם שזו התוכנה המקורית, ושהתוכנה לא עברה שינוי בדרך אליכם, ומניין לכם שאותו יצרן חתם באמת על התוכנה שלו?

5. חוק מספר 5. האם אתם יודעים מה התוכנה הולכת לעשות במחשב שלכם? גם אם כן, זה לא מבטל את חוק מספר 1, כי בעצם אי אפשר לדעת מהן כוונותיה האמיתיות. מה שאני רוצה לומר בעצם, זה שכל החוקים והכללים לא יעזרו אם המשתמש במחשב לא יפעיל שכל ישר, זה שנמצא בדרך כלל בין האזניים שלכם. הבעיה מתחילה כשמשאירים את המוח במצב מכובה, גם שכל הנורות האדומות נדלקות.

בסופו של דבר אתם המהמרים במשחק הפוקר הזה. הקלפים בידיים שלכם ועליכם להכריע לגבי גובה ההימור. וכמו שיודע כל שחקן פוקר, נכונות המידע והמודיעין המוקדם יכולים להשפיע רבות על הסיכוי שלכם לא להפסיד. גם אם התוכנה חתומה, לא תוכלו לסמוך עליה בצורה מוחלטת, אך הסיכון שתקחו קטן יותר. כל הפרטים הקטנים האלה בסופו של דבר משתכללים ללחיצה שלכם על מקש ה-run ועל ההשלכות של אותה לחיצה על המחשב (אם ייגרם נזק או לא נזק).

הבלתי ידוע מפחיד הרבה יותר

שימו לב שההודעה בתמונה מספר 2 מסומנת באדום, ויש לכך סיבה – יצרן התוכנה אינו ידוע. התאור "Unknown Publisher" אומר שיצרן התוכנה לא חתם על התוכנה שלו. בדרך-כלל זה סימן לא טוב: יצרן תוכנה צריך להיות גאה בשם שלו והסתרת השם מעוררת תהיות.

ההודעות בתמונות מספר 1 ו-3 מסומנות בצהוב, שם כבר רשום מי יצרן התוכנה, והשמות נראים מרשימים, עם Inc ו-Corporation, אבל בעצם מאיפה לכם, שחתום על התוכנה הוא באמת מי שחתום על התוכנה?

בלחיצה על הקישור של ה-Publisher, אתם מקבלים את החתימה הדיגיטלית (איור מספר 4). שימו לב לשורה השניה בחתימה הדיגיטלית שאומרת This Digital Signature is OK.

פירושו של המשפט הוא אמנם שהחתימה תקינה, אולם אין זה אומר כי התוכנה תקינה. המשמעות היא, שהתוכנה עברה תהליך שנקרא חתימה דיגיטלית, שהוא מאד דומה לתהליך החתימה הדיגיטלית על מכתב,

שכבר הוסבר פה בעבר – התוכנה נחתמה באמצעות תעודה תקינה ובצורה תקינה.

מי שימשיך ויחקור וילחץ על View Certificate יוכל לראות את התעודה, שממנה נעשתה החתימה (תמונה מספר 5). כמו כל מסמך נוטריוני, על התעודה יהיה כתוב מה היא מאשרת. ובמקרה כזה היא מאשרת שני דברים חשובים, הראשון שהחותם הוא החברה ששמה מופיע בכותרת והשני הוא שהתוכנה לא עברה שינוי מאז שנחתמה. אלה שני משפטים חשובים מאד למשתמש, בעיקר המשפט השני, שמבטיח שאף אחד לא הוסיף לתוכנה המקורית קטעי קוד, שלא היו כלולים בה במקור.

גוף רישוי עולמי מאשר תעודות

למי שעוסק בתחום המשפטי נדלקה כבר מנורה אדומה,

וכל האחרים ודאי ידליקו את אותה מנורה אדומה מייד לאחר המשפט הבא: מי הרשות שמספקת תעודות? איפה היא יושבת, איך מקבלים תעודה, האם ניתן לזייף תעודה? מאיפה אני יודע שהפרטים שרשומים בתעודה נכונים?

נתחיל בגישה חיובית, אי אפשר לזייף תעודה, ומובטח לכם שהתעודה המוצגת לכם לא עברה שינוי, מרגע שייצרן התעודה ייצר אותה. עד כאן זה נשמע טוב, ואפילו מבטיח.

אבל מיד מגיע הקטע הפחות חיובי: כל אחד שיש לו מחשב יכול לייצר תעודה, והוא יכול למלא בה איזה פרטים שהוא רוצה (תמונה מספר 6).

יופי נחמה, אם כל אחד יכול לייצר תעודה, אז גם כותב וירוסים יכול לייצר תעודה ולחתום בה את התוכנה שלו, וגם הוא יכול לרשום בתעודה שהוא מיקרוסופט ועכשיו לך ותוכיח שאין לך אחות. מסתבר שלא בדיוק. אם תשימו לב ליד הציור של התעודה יש X אדום ויש גם הערה נבזית שאומרת שזו תעודה שאינה אמינה.

מה שמוליך אותנו לשורה השניה בתמונה מספר 4 שאומרת את המשפט הקצר This Digital Signature is OK. על מנת שהתעודה שייצאת במו ידיך תהיה מוכרת בעולם היא צריכה לעבור תהליך "רישוי" שבסופו של דבר יחתום על התעודה שלכם "גוף רישוי" עולמי שמאשר שהתעודה שלכם באמת נכונה.

תעודה תעודה תרדוף

למי שאיבד אותנו מרוב מי אמר למי והיכן, להלן התהליך כולו:

• שלב ראשון – אני מייצר תעודה שבה אני כותב את כל הפרטים שלי.
  
• שלב שני – גוף רישוי עולמי חותם על התעודה שלי ומאשר שהיא נכונה.
  
• שלב שלישי – אני משתמש בתעודה החתומה שלי כדי לחתם על התוכנה שאני מייצר.
  
• שלב אחרון – המשתמש בתוכנה יכול להסתכל על החתימה ולראות את ההכשר: OK.
  
  

כלומר ה-OK אומר שהתעודה היא לא סתם תעודה, אלא תעודה כשרה, שאושרה על ידי רשות מוסמכת, ולא סתם תעודה שמישהו המציא בעצמו. מי שהכשיר את התעודה, רשום בבירור בקוביה התחתונה בתמונה מספר 4, ולא יפתיע אתכם לגלות שמופיעה שם חברת Verisign.

נדרשת חתימה של Verisign

על-מנת ש-Verisign תחתום לכם על התעודה עליכם לשלם לה כסף. אחרי שהיא מקבלת את הכסף, מבצעת החברה גם בדיקות משפטיות, שמאשרות שאתם באמת אתם (כן כן, עם נוטריונים ומשרד המשפטים והכל) ואם מישהו יצליח לעבוד עליה אז אתם יכולים לתבוע אותם לדין ולזכות. רק חשוב לזכור,

אם כבר מזכירים בית-משפט, שכל מה שהיא מאשרת למשתמש בתעודה החתומה, זה שהפרטים בתעודה נכונים ולא שהתוכנה החתומה לא תגרום לכם נזק.

ואם אתם סקרנים לדעת מאיפה המחשב שלכם יודע שהוא יכול לסמוך על verisign, אתם מוזמנים לפתוח את הדפדפן (Internet Explorer) בתפריט Tolls, Internet Options. בטופס שייפתח בחרו ב-Content Tab ושם לחצו על כפתור ה-Publishers.

פעולה זו תפתח טופס חדש לחלוטין, עם הכותרת Certificates. המידע המעניין נמצא ב-Trusted Root Certification Authority Tab (ראו תמונה מספר 7) כל מי שמופיע בכרטיסייה הזו, נחשב במחשב שלכם, כגוף המוסמך לחתום על תעודות והחתימה שלו נחשבת חוקית.

יש שם המון גופים, מסתבר ש Verisign היא לא החברה היחידה בעולם המוסמכת לאשר תעודות, יש עוד הרבה חברות שיש להם את התשתית הנדרשת למתן אישורים כאלה, והדפדפן שלכם מכיר את כולם.

סיכום

נסכם מה קיבלנו בסופו של דבר:

א. אל תבטחו באף אחד.

ב. אם אתם מנסים להריץ תכנית ומופיעה תיבת אזהרה המודיעה שהתוכנה אינה חתומה, תחשבו פעמיים לפני הפעלת התוכנה.

ג. אם אתם מנסים להריץ ומופיעה תיבת אזהרה שאומרת שהתוכנה חתומה אבל יש בעיה עם החתימה, חשבו עשר פעמים לפני הפעלת התוכנה.

ד. אם אתם מנסים להריץ תוכנה ומופיעה תיבת אזהרה שאומרת שהתוכנה חתומה כיאות, בדקו מי חתום על התוכנה, בדקו אם אתם מכירים את היצרן, ותחליטו אם אתם מוכנים לקחת את הסיכון.

ה. זכרו: רק פרנואידים שורדים, וזה שאתם פרנואידים לא אומר שמישהו לא רודף אחריכם.

ו. אין כמו שכל ישר, הוא נמצא לכל אחד בין האוזניים, כל מה שצריך לעשות זה להפעיל אותו.

גד מאיר הוא מנהל מו"פ בחברת ידאג בע"מ, www.idag.co.il