שתף קטע נבחר

האקרים: לא לסמוך על אתרים "מאובטחים"

בכנסי האבטחה Black Hat ו-DefCon חשפו האקרים פרצת אבטחה בטכנולוגית SSL, בה משתמשות חברות רבות כדי לאבטח את האתרים שלהן. "זו הולכת להיות בעיה עצומה", אמר מומחה בתחום

סוג חדש ועוצמתי של מתקפת אינטרנט עובד כמו ציתות לקו טלפון, רק שבמקום לצותת לשיחות היא מצותת למידע שמועבר בין משתמשי מחשבים לבין אתרי האינטרנט עליהם הם סומכים.

 

האקרים שהשתתפו בכנסי האבטחה Black Hat ו-DefCon חשפו כשלים משמעותיים בדרך בה הדפדפנים קובעים על איזה אתרים ניתן לסמוך ואיזה מהם צריך לחסום. גורמים עוינים שיפרצו לרשתות, יוכלו להטמין בהם תוכנות שיצותתו למידע הנשמח בין המחשב לאתרים, וכך להצליח להוציא מידע רגיש כמו ססמאות, מספרי כרטיסי אשראי ועוד - זו גם אם הדפדפן יטען שהאתרים בטוחים.

 

בנוסף, יוכל האקר "לחטוף" את אפשרות העדכונים האוטומטיים במחשבים, ובכך לגרום למשתמשים להוריד וירוסים ותוכנות זדוניות במסווה של עדכוני תוכנה לגיטימיים.

 

התקפה כזו הודגמה במהלך הכנסים על ידי שלושה מומחי אבטחה. הדגמה אחת נערכה על ידי מומחה האבטחה העצמאי מוקסי מרלינספייק, והדגמה נוספת הוצגה על ידי דן קמינסקי מחברת IOActive וחוקר האבטחה לן ססמן.

 

בשתי ההדגמות, הגיעו המציגים לאותן מסקנות: יש בעיות מהותיות בדרך בה הדפדפנים מתקשרים עם טכנולוגית ה-SSL, שהיא טכנולוגיה נפוצה בכל הקשור לאבטחת אתרים המעבירים מידע רגיש.

 

הטכנולוגיה מאפשרת לבעלי האתרים לרכוש "אישור SSL". הטכנולוגיה מאפשרת לאתר להצפין את המידע הנשלח אליו, ומאשרת לדפדפנים שהמידע מוצפן ובטוח (הדפדפן יציג במקרים אלה צלמית של מנעול קטן סמוך לכתובת האתר). החברות המוכרות את אישורי ה-SSL מוודאות שמי שרוכש אותם הם אכן הבעלים החוקיים של האתרים.

 

החברות כבר מתקנות

מיקרוסופט, מפתחת דפדפן Explorer, אמרה שהיא חוקרת את המקרה. מוזילה, שמפתחת את הדפדפן Firefox, אמר שרוב הבעיות כבר תוקנו בגירסה 3.5 של הדפדפן, וששאר הבעיות יתוקנו בעדכון הקרוב שישוחרר השבע.

 

חברת VeriSign, אחת מהחברות הגדולות ביותר לאישורי SSL, אמרה שהאישורים שלה אינם פגיעים, וציינה שה"ציתות" המדובר לא יעבוד ב"אישורי SSL מורחבים" שהחברה מוכרת במחיר פרימיום, וכוללים הטמעה מאובטחת יותר של הטכנולוגיה באתרים.

 

ג'ון מילר, מומחה לטכנולוגית ה-SSL, אומר שהוא צופה למספר משמעותי של התקפות נגד תאגידים שמשתמשים ב-SSL במהלך החודשים הקרובים. הוא צופה שפושעים שמשתמשים בהונאות "פישינג", בהן המשתמש נשלח לאתר מתחזה, בו הוא מתבקש להזין את פרטיו האישיים, ישתמשו בכשלי האבטחה.

 

"מה שהופך את כל העניין לרעידת אדמה של ממש היא העובדה שלא מדובר בהתקפות הכי מתוחכמות בעולם. זו הולכת להיות בעיה עצומה", הוא הוסיף.

 

לפנייה לכתב/ת
 תגובה חדשה
הצג:
אזהרה:
פעולה זו תמחק את התגובה שהתחלת להקליד
מומלצים