חוקרים חשפו פרצה באבטחת אתרים

מומחי אבטחה, מומחי הצפנה וחוקרים מהאקדמיה, מהולנד, שווייץ וארה"ב, אמרו כי מצאו דרך שבה יכולים אתרים זדוניים לחקות את הזיהוי הדיגיטלי. ההדגמה בוצעה על ידי חברה בשם RapidSSL, שמספקת שירותי אבטחה ברשת לאתרי מסחר, אתרים ממשלתיים ואתרים אחרים הכוללים פרטים אישיים או כספיים. אתרים מסוג זה משתמשים באישורים (certificates) אלקטרוניים של RapidSSL, בשילוב עם טכנולוגיית ההצפנה SSL, שמטרתה להסוות מידע רגיש העובר ממחשב הגולש לאתר האינטרנט.

כאשר האישורים האלו ניתנים רק אחרי שהחברות או הגופים המבקשים אותם עברו בדיקות רקע מקיפות. דפדפנים כמו Internet Explorer ו-Firefox מתוכנתים לקבל את האישורים אוטומטית. כאשר התקשורת של RapidSSL (אחת מחברות רבות העוסקות בתחום) מזוהה על-ידי דפדפנים כמאובטחת ולגיטימית.

 כך ניתן לחדור את מנגנוני האבטחה של רוב הדפדפנים הפופולריים. הבעיה היא, לדברי קבוצת החוקרים, היא שההצפנה שחברת RapidSSL ודומיה משתמשים בה מבוססת על שיטה בשם MD5, שסובלת ממספר חולשות. מחקר אחר פירסם כי ניתן לנצל של MD5 לרעה. החוקרים הצליחו לייצר העתק מזוייף של החתימה הדיגיטלית ש-RapidSSL משאירה על אישורי SSL.

"הבעיה היא שאנחנו בוטחים אוטומטית באתרים של חברות שיש להם אישורים כאלו", אמר ג'ייקוב אפלבאום, אחד מחברי הצוות."אולי אנחנו צריכים לחשוב פעמיים". לדבריו, הסיכון הנובע מחור האבטחה מיידי: "מתכנת מנוסה מאוד יכול לשכפל את הממצאים שלנו תוך חודש אם יתחיל מאפס. אדם מוכשר שינסה לעשות זאת, מבלי להכיר מראש את הטכניקות שבהן השתמשנו, יכול להגיע לתוצאות תוך שלושה חודשים בערך".

עוד ציין אפלבאום כי השיטות המדוייקות בהן השתמשו לא ייחשפו, כדי למנוע מצב בו ינוצלו לרעה.