בואו לגלות את עמוד הכתבה החדש שלנו
 

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

לקרוא ללא הגבלה, רק עם מינוי דיגיטלי בהארץ  

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

מה הקשר בין פודל, בנק הפועלים ופיירפוקס?

משתמשי פיירפוקס עלולים לגלות בקרוב שאינם יכולים להתחבר לחשבונם באתר הבנק, בשל הצפנה ישנה, פרצה חדשה שאף לא פוגעת בבנק ותגובה נחרצת של מוזילה; הפועלים: העניין ייפתר בימים הקרובים

3תגובות

משתמשי פיירפוקס עלולים לגלות בקרוב שאינם יכולים להיכנס לחשבונם באתר בנק הפועלים בגלל שילוב של גורמים ובהם פרצה בפרוטוקול הצפנה פופולרי ברשת (שאינה משפיעה על האתר), כך גילה חוקר אבטחה בשם בר חופש. בבנק הפועלים מבטיחים כי הבעיה תטופל בימים הקרובים.

הכל החל כשחוקרים של גוגל מצאו לפני כחודש פרצה, שזכתה לכינוי Poodle, בפרוטוקול SSL 3, שמאפשר התחברות מוצפנת לאתרים ושירותים. הפרצה היא אחת משלוש פרצות חמורות שעשו כותרות בחודשים האחרונים, ובהן Heartbleed. פודל מאפשרת לבצע מה שנקרא מתקפת Man-in-the-middle, כלומר היא מאפשרת לתוקף שהתמקם בתווך להאזין לתעבורה בין המשתמש לבין השרת.

"כל שרת אינטרנט מגדיר באילו פרוטוקולים ושיטות הצפנה הוא מסכים לתמוך. השרת המוגדר בכניסה לחשבונך באתר (login.bankhapoalim.co.il) תומך אך ורק בפרוטוקול SSLv3 המיושן ובשיטות הצפנה מוגבלות יחסית", הסביר ל"הארץ" שחר טל, ראש צוות מחקר בקבוצת Malware & Vulnerability Research בחברת צ'קפוינט.

בעקבות הגילוי מוזילה, מפתחת פיירפוקס הודיעה לאחרונה כי כי בגרסה הבאה, פיירפוקס 34, שתצא ב-26 בנובמבר, היא תפסיק לחלוטין את התמיכה ב-SSL 3. חוקר האבטחה בר חופש גילה כי ברוב המקרים שמנסים  להתחבר לחשבון באתר בנק הפועלים הדבר תומך בעיקר ב-SSL 3 ולא בפרוטוקולים מתקדמים יותר כמו TLS. טל בחן גם הוא את החיבור במשך כמה ימים ולא מצא שום חיבור לפרוטוקולים מתקדמים יותר.

עם זאת, חופש סיפר ל"הארץ" כי כמה ימים לאחר שהחל לבדוק גילה שבחלק מסוים מן המקרים כן הגיע לחיבור מאובטח יותר (TLS), מה שעשוי להצביע על כך שהבנק אכן מטפל בבעיה. אצל טל, התוצאות נותרו כשהיו.

שני החוקרים הדגישו כי אתר הפועלים אינו פגיע ל-Poodle, מאחר שאינו תומך בצפנים הפגיעים לפרצה. אבל חופש  אמר ל"הארץ" כי עד כה האתר תמך במעט מאוד צפנים (RC4 - sha , RC4 - MD5), שנחשבים חלשים. כשנשאל מה החלופות המאובטחות יותר, הציג רשימה של יותר מ-30 תקנים מ-TLS 1.0 ומעלה. הוא הוסיף כי אף שההגדרות הנוכחיות של החיבור אינן פגיעות, כבר קיימות תקיפות שמכוונות נגד הצפנת RC4.

"הדעה הרווחת בקרב מומחי צופן ואבטחת מידע אומרת ש- SSLv3 הינו פרוטוקול מיושן ופגיע פוטנציאלית - כך שמצופה מאתר משמעותי לתמוך בפרוטוקולים חדשים ומאובטחים יותר", הוסיף טל. ההחלטה של מפתחי פיירפוקס היא "אמירה די חותכת, ובהחלט קריאה לפעולה שאתרים בכל העולם צריכים להגיב אליה. אני מאמין שרובם המכריע של האתרים שתומכים רק ב- SSLv3 יתאימו ויעדכנו את הגדרות השרתים שלהם בהקדם".

מבנק הפועלים נמסר כאמור כי הבעיה נמצאת בטיפול והיא תיפתר בימים הקרובים.



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות
*#
בואו לגלות את עמוד הכתבה החדש שלנו