תל אביב
16°- 9°
- קצרין 10°- 5°
- צפת 9°- 4°
- טבריה 16°- 9°
- חיפה 14°- 9°
- אריאל 9°- 5°
- ירושלים 8°- 5°
- באר שבע °-°
- מצפה רמון 10°- 5°
- ים המלח 20°-11°
- אילת 20°- 9°
- לדף מזג אויר
00:31
חוקרי אבטחה חשפו אתמול פירצת אבטחה מסוכנת במנגנון המשמש לאבטחת עסקאות בבנקים, אתרי מסחר אלקטרוני ומוסדות פיננסים נוספים.
המנגנון המדובר מכונה Certificate Authority (או CA בקיצור). זהו מנגנון אישורים מוצפנים שמשמש הוכחה לגולשים המתחברים לאתרים מאובטחים כאתרי בנקים או חנויות מקוונות כי האתר אליו הם מתחברים אכן שייך לגוף אליו תכננו להתחבר.
יש כמה חברות המספקות את האישורים הללו, כאשר הגדולה והמוכרת שביניהן היא Verisign, שאת המנגנון שלו הוכיחו החוקרים שניתן לפרוץ. אותן חברות בעצם מאשרות לגולשים כי השרת, כתובת ה-IP ושם הדומיין שייך לגוף אליו הם מנסים להתחבר.
אתמול הדגימו החוקרים בברלין כיצד ניתן לזייף את אישורי האבטחה האלה באופן שיאפשר לפורצים להערים על מערכות הזיהוי בהם משתמשים כל הדפדפנים בני ימינו מבלי שהמשתמש יבחין בבעיה.
התקפה פורצת דרך
חוקר האבטחה הישראלי, גיא מזרחי, הסביר ל"הארץ" במה המדובר. לדבריו, ההתקפה שהצליחו לייצר החוקרים היא בהחלט "פורצת דרך". הם הצליחו לתקוף מנגנון הצפנה שנקרא MD5, בו היתה בעיה ידועה זה זמן רב. אולם עד כה איש לא הצליח ליצור התקפה יעילה באמצעות נקודת התורפה.
למרות שמדובר בפעם ראשונה שהצליחו לפרוץ את המנגנון, מזרחי לא ממהר לזרוע פאניקה. "זה דבר בעייתי, אבל יש לזה פיתרונות", הוא אומר. "רוב האישורים החדשים, או רוב הלקוחות משתדלים לעבור לפונקציות הצפנה יותר איכותיות מ-MD5 שנקראות sha1 ואותן עדיין לא הצליחו לפרוץ". וגם בחברת וריסיין פועלים לעבור להצפנות החדשות. עם זאת, גם חברות CA גדולות נוספות עדיין משתמשות במנגנון, בהן Thawte ו-TC TrustCenter AG.
כמו כן, הוא מסביר שלא מדובר במשהו שכל האקר יכול ליצור בקלות במחשב הביתי שלו והוא דורש הרבה מאוד כוח מחשוב ושעות עבודה של מתכנתים לכל אתר אותו רוצים להתקיף. "כלומר, אם אני רוצה לתקוף את אמזון ומחר את ג'ימייל אז אני צריך להקדיש המון כוח והמון זמן לכל אחד מהם".
רשת של 200 פלייסטיישן 3
ואכן, צוות החוקרים הבינלאומי נזקק לכ-200 מכשירי פלייסטיישן 3, המצוידים במעבדי Cell של יבמ, שלדברי computerworld.com חביב במיוחד על מפענחי הצפנות מפני שהוא מצוין ביצוע פונקציות בתחום.
מזרחי מסביר כי ארגונים גדולים כמו פשע מאורגן וארגונים אחרים יכולים לעשות זאת. לשם כך עליהם ראשית ליצור את האישור המזויף לאתר אליו יפנו את תעבורת הגולשים. לכתוב סוס טרויאני, או אמצעי אחר שיגרום לגולשים לגיע אל אותו אתר שבזכות האישור ייראה להם כאתר לגיטימי השייך לבנק שלהם. אז, ניתן יהיה לגנוב את פרטי החשבון שלהם, או את כרטיס האשראי.
הבעיה היא, לדבריו, שקיימות חברות רבות שמייצרות Certificate Authority ולגולש הממוצע אין דרך לדעת מי מהן, ומי מהאתרים יתקנו את מנגנון ההצפנה שלהם בעקבות הצלחת הפריצה. מדובר בשינוי לא פשוט. "לבנקים זה פחות יכאב אבל זה יותר יכאב לאתרים קטנים שצריכים עכשיו להביא בנאדם ולהחליף את הסרטיפיקט בעלות של כמה מאות דולרים", הוא אומר.
הוספת תגובה
שלום אורח
הארץ מתאים את עצמו אליך. התחבר לאתר כדי להפוך את חוויית הגלישה לאישית יותר. תוכל לעקוב אחר מניות ותגובות גולשים, לשמור כתבות לקריאה מאוחרת יותר או להתעדכן בנעשה בפייסבוק שלך
הצעות מיוחדות
כל הזכויות שמורות לקבוצת הארץ
