בואו לגלות את עמוד הכתבה החדש שלנו
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

מומחה רשתות: פרצה בבזק בינלאומי עלולה לסכן משתמשים

מקס סטפנוב ניסה להבין מה בדיוק משגע את אפליקציית הרשת שלו, וגילה פרצה מסובכת בעומק המערכת של החברה; מבזק בינ"ל נמסר בתגובה כי לא ניתן לנצל את הפרצה

11תגובות

ספקיות האינטרנט בארץ מכחישות כבר זמן רב כי הן פוגעות בשיתוף קבצים, על ידי אפליית תוכנות מסויימות באמצעות במה שמכונה Deep Packet inspection- שמאפשר לבחון את תוכן התעבורה. זאת למרות כמה דו"חות שיצאו בנושא.

הביקורת סביב השימוש במערכות DPI נגעה בעיקר לנושאים של האטת תעבורה של שיתוף קבצים. אולם כעת גילה מקס סטפנוב, חוקר ומומחה אבטחה ורשת ותיק, כי לפחות במקרה של בזק בינלאומי, לא רק שהיא מבצעת DPI, היא גם עלולה לסכן את הגולשים בשל האופן בו היא משתמשת בטכנולוגיה. אם כי לפחות במקרה דנן המטרה לא היתה לחנוק תעבורה אלא להקל את הורדת קבצים מרוחקים.

כזכור, חברת אלוט הישראלית ספגה לאחרונה ביקורת לאחר שהתברר כי מערכות ה-DPI שלה הגיעו לאיראן. לטענתה, ללא ידיעתה, אולם עובדים לשעבר בחברה אמרו לסוכנות הידיעות בלומברג כי הדבר נעשה ביודעין. בבלומברג טענו כי מדובר במערכת שמשמשת לריגול. אולם, למעשה המטרה האמיתית שלה היא לשפר את התעבורה. היא עושה זאת באמצעות הבחנה בין סוגים שונים של קבצים, מה שמאפשר גם לפגוע בתעבורה מסוג מסוים - למשל בתוכנת ביטורנט או סקייפ וזה כאמור, מה שעורר ביקורת חריפה על פגיעה בנייטרליות הרשת, בארץ ובעולם.

מנגד, ניתן לסייע לאותה תעבורה, למשל על ידי יצירת עותק של הקובץ בשרת מקומי (שרת פרוקסי), כך שבכל פעם שמישהו פונה לקבלת הקובץ משרת מרחוק בארה"ב או באירופה, הוא יקבל אותו הרבה יותר מהר מהשרת הקרוב. מבחינת ספקית האינטרנט זה גם זול יותר כי המחיר שהיא משלמת על אותו נפח תעבורה קטן בהרבה, כשאינה צריכה לעבור דרך הקווים הבינלאומיים. זה גם המקרה שבו נתקל סטפנוב. החברה, כמו חברות אחרות בארץ, משתמשת בשרתי פרוקסי שקופים למשתמש כדי "לקרב" אליו את הקובץ ולקצץ בעומס התעבורה.

סטפנוב הסביר בשיחה להארץ כי הכל התחיל לפני כמה חודשים כשניסה להפעיל אפליקציית רשת, וגילה שרק חצי מסך נטען. הוא לא הבין מה קרה אז הוא החל לחקור. סטפנוב סיפר שלמעשה הוא לא חיפש חור אבטחה, הוא פשוט רצה להבין מדוע הרשת שלו מתנהגת בצורה מוזרה.

לא לקח לו הרבה זמן לגלות שבזק בינלאומי משתמשת בסוג כזה של מערכת פרוקסי שקופה למשתמש מהשורה שמגישה לו את הקובץ שהיא חושבת שהוא רוצה. הוא גילה
את זה כשבדק דרך שרת שלו בגרמניה כמה נקודות הקובץ מסוים עבר ברשת, וגילה שהנתיב של בזק בינלאומי היה קצר יותר. כלומר, לא היה לו ספק שהוא לא הגיע
ישירות לשרת שלו.

"זה בלתי אפשרי לעשות את זה בלי DPI", הסביר. סטפנוב סיפר שהתקשר לתמיכה פעמים רבות ודיבר עם תומכים ומנהלים, אבל הם הכחישו את עצם השימוש ב-DPI, או שלא הבינו את מה שהוא אומר. "זה מגוחך. זה כמו שהם ידברו איתי ויגידו לי, זה לא עודד שיושב פה מולי", הסביר.

הסכנה: הרעלת Cache

בהמשך הניסויים שערך עם חברו, איש רשתות בעצמו, גיא רום, גילה שאופן יישום המערכת מהווה פרצת אבטחה. הבעיה היא, הם הסבירו בראיון, שהמערכת הזאת מאפשרת גם את מה שמכונה Cache Poisoning. כלומר, משתמש יכול לשנות את הקובץ ששמור בשרת ולעבוד על השרת כך שהוא יחשוב שמדובר בקובץ המקורי.

כאשר משתמש מבקש להגיע לקובץ מסוים באתר בחו"ל, שכבר קיים היא למעשה סוגרת לו את החיבור לחו"ל ומפנה אותו ישירות לשרת שלה. אבל מכייוון שהיא יוצרת שני קבצים, אחד בשביל המשתמש ואחד בשביל השרת, ניתן להכניס לשרת הפרוקסי קובץ שונה וכך להחדיר בעצם קבצים זדוניים שמשתמשים אחרים יורידו, כשינסו להגיע לאותו הקובץ. לדוגמא אם האקר שמנסה "להרעיל את ה-Cache" הוא יכול לשים סרט מסוים על שרת במדינה באירופה, להפנות אליו ולדאוג שזה יהיה הקובץ שיישמר בשרת. אם קיים כבר קובץ אחר בשרת, הם הסבירו בשיחה, אפשר תיאורטית לדאוג שבפעם הבאה שהשרת יעדכן את הקובץ, הוא יקבל את הקובץ המטופל.

הפרצה שמאפשרת את זה, הסבירו סטפנוב ורום, נובעת משני דברים. האופן בו מבצע השרת זיהוי של הקובץ באמצעות מה שמכונה Hashing או גיבוב בעברית. האשינג היא פונקצית הצפנה שמאפשרת ליצור חתימה דיגיטלית של הקובץ. אבל, סטפנוב הסביר כי הכלי של בזק בינלאומי מסתפק בשילוב של סוג הקובץ, גודלו, תאריך יצירתו ורק כמה בייטים מתחילת הקובץ. זה מאפשר לעשות מניפולציות על המשך הקובץ - כפי שהוא אכן עשה - כל עוד דואגים לא שהגורמים הנכללים ב-Hash לא משתנים. הבעיה היא, שבמצב העניינים הנוכחי, הכלי של בזק בינלאומי לא מוודא שכתובת ה-IP ממנה מגיע הקובץ היא אכן שייכת למי שהוא מתיימר להיות. כלומר, אתה יכול להתחזות לקובץ של גוגל.

אנשי בזק בינלאומי טענו כי הדבר הוא כמעט בלתי אפשרי מפני שצריך לדעת איזה קובץ עומד להיות פופולרי ולדאוג שהקובץ שלך יהיה הראשון שמורידים לשרת. גם סטפנוב וכך גם מומחים נוספים שבדקו את העניין אישרו שלא מדובר בעניין פשוט לביצוע, ומדובר פה במשהו שמצריך האקרים ברמה גבוהה בהרבה מ-0Xomar וחבריו הסקריפט קידיז.

אם קובץ כבר נמצא בשרת אי אפשר להחליף אותו בנקל, והוא עצמו גם לא ניסה להחליף קבצים קיימים בתוך השרת. אבל, הוא הסביר כי למרות זאת הניצול של החולשות אפשרי, והוא פותח אפשרויות רבות להתקפה. לדוגמא אם ידוע שגירסה חדשה של תוכנה עומדת לצאת, ניתן לדאוג באופן אוטומטי שהתוכנה שלך תהיה הראשונה שתגיע לשרת על ידי תוכנה אוטומטית שתוריד את הגירסה המתחזה ברגע שהתוכנה המקורית תהיה זמינה.

בתחילה כאמור, בתמיכה של בזק בינלאומי התעלמו מהפניות שלו. אולם לאחר פניית הארץ שוחחו איתו ארוכות ובדקו את הנושא לעומק. עם זאת, בזק בינלאומי טענה עוד כי הוא ביצע זאת רק על שרת שלו, ועל כן לא הוכיח את ההתכנות של הפריצה, אולם, הוא דוחה את הטענה בתוקף.

בזק בינלאומי מסרה בתגובה: "מערכת ה-Cache תכליתה בבזק בינלאומי לשיפור נוסף של חוויית הגלישה של לקוחותינו. המערכת הידועה כמאובטחת ומתקדמת בעולם, מיושמת בלמעלה מ-200 ספקיות אינטרנט בארץ וברחבי העולם. המערכת תוכננה באופן כזה הכולל מספר מנגנוני הגנה המונעים בין השאר את האפשרות לבצע poisoning לתוכן של מישהו אחר. הבלוגר בבדיקתו ביצע poisoning לקובץ שלו שהעלה לשרת באינטרנט– בדיקה שאינה מייצגת וממנה אין להכליל על תפקודה של המערכת. בכל אופן, ובלי קשר לפנייה הנוכחית, אנו פועלים כל העת לשיפור של מנגנוני ההגנה למניעת כל מניפולציה עתידית אפשרית".

לפרטים נוספים על הנושא בבלוג של מקס סטפנוב



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות

כתבות שאולי פספסתם

*#
בואו לגלות את עמוד הכתבה החדש שלנו