מה הקשר בין פודל, בנק הפועלים ופיירפוקס?

משתמשי פיירפוקס עלולים לגלות בקרוב שאינם יכולים להתחבר לחשבונם באתר הבנק, בשל הצפנה ישנה, פרצה חדשה שאף לא פוגעת בבנק ותגובה נחרצת של מוזילה; הפועלים: העניין ייפתר בימים הקרובים

עודד ירון
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
עודד ירון

משתמשי פיירפוקס עלולים לגלות בקרוב שאינם יכולים להיכנס לחשבונם באתר בנק הפועלים בגלל שילוב של גורמים ובהם פרצה בפרוטוקול הצפנה פופולרי ברשת (שאינה משפיעה על האתר), כך גילה חוקר אבטחה בשם בר חופש. בבנק הפועלים מבטיחים כי הבעיה תטופל בימים הקרובים.

הכל החל כשחוקרים של גוגל מצאו לפני כחודש פרצה, שזכתה לכינוי Poodle, בפרוטוקול SSL 3, שמאפשר התחברות מוצפנת לאתרים ושירותים. הפרצה היא אחת משלוש פרצות חמורות שעשו כותרות בחודשים האחרונים, ובהן Heartbleed. פודל מאפשרת לבצע מה שנקרא מתקפת Man-in-the-middle, כלומר היא מאפשרת לתוקף שהתמקם בתווך להאזין לתעבורה בין המשתמש לבין השרת.

"כל שרת אינטרנט מגדיר באילו פרוטוקולים ושיטות הצפנה הוא מסכים לתמוך. השרת המוגדר בכניסה לחשבונך באתר (login.bankhapoalim.co.il) תומך אך ורק בפרוטוקול SSLv3 המיושן ובשיטות הצפנה מוגבלות יחסית", הסביר ל"הארץ" שחר טל, ראש צוות מחקר בקבוצת Malware & Vulnerability Research בחברת צ'קפוינט.

אתר הפועלים, שימו לב לחץ לטופס הכניסה לחשבון. צילום מסך: בר חופש

בעקבות הגילוי מוזילה, מפתחת פיירפוקס הודיעה לאחרונה כי כי בגרסה הבאה, פיירפוקס 34, שתצא ב-26 בנובמבר, היא תפסיק לחלוטין את התמיכה ב-SSL 3. חוקר האבטחה בר חופש גילה כי ברוב המקרים שמנסים  להתחבר לחשבון באתר בנק הפועלים הדבר תומך בעיקר ב-SSL 3 ולא בפרוטוקולים מתקדמים יותר כמו TLS. טל בחן גם הוא את החיבור במשך כמה ימים ולא מצא שום חיבור לפרוטוקולים מתקדמים יותר.

עם זאת, חופש סיפר ל"הארץ" כי כמה ימים לאחר שהחל לבדוק גילה שבחלק מסוים מן המקרים כן הגיע לחיבור מאובטח יותר (TLS), מה שעשוי להצביע על כך שהבנק אכן מטפל בבעיה. אצל טל, התוצאות נותרו כשהיו.

שני החוקרים הדגישו כי אתר הפועלים אינו פגיע ל-Poodle, מאחר שאינו תומך בצפנים הפגיעים לפרצה. אבל חופש  אמר ל"הארץ" כי עד כה האתר תמך במעט מאוד צפנים (RC4 - sha , RC4 - MD5), שנחשבים חלשים. כשנשאל מה החלופות המאובטחות יותר, הציג רשימה של יותר מ-30 תקנים מ-TLS 1.0 ומעלה. הוא הוסיף כי אף שההגדרות הנוכחיות של החיבור אינן פגיעות, כבר קיימות תקיפות שמכוונות נגד הצפנת RC4.

"הדעה הרווחת בקרב מומחי צופן ואבטחת מידע אומרת ש- SSLv3 הינו פרוטוקול מיושן ופגיע פוטנציאלית - כך שמצופה מאתר משמעותי לתמוך בפרוטוקולים חדשים ומאובטחים יותר", הוסיף טל. ההחלטה של מפתחי פיירפוקס היא "אמירה די חותכת, ובהחלט קריאה לפעולה שאתרים בכל העולם צריכים להגיב אליה. אני מאמין שרובם המכריע של האתרים שתומכים רק ב- SSLv3 יתאימו ויעדכנו את הגדרות השרתים שלהם בהקדם".

מבנק הפועלים נמסר כאמור כי הבעיה נמצאת בטיפול והיא תיפתר בימים הקרובים.

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ