חוקרי אבטחה: פיצחנו את החיבור המאובטח לאתרים

אחרי שקומודוהאקר האיראני חשף לעולם את הפגיעות של מערכת ה-SSL, חוקרי אבטחה שוב חשפו פרצה חדשה ומסוכנת במנגנון המשמש בנקים, חברות אשראי ומיליוני אתרים אחרים, להצפין את התקשורת עם הגולשים. לדבריהם, זו גם הפעם הראשונה שמישהו מפצח את ההצפנה של מערכת האימות.

גוגל הודיעה כי היא עובדת בשיתוף פעולה עם החוקרים שגילו את הפרצה כדי לתקן את הבעיה בדפדפן כרום.

הפרצה התגלתה בפרוטוקול TLS, שהוא הפרוטוקול היורש של ה-SSL, מגרסאות 1.0 ומטה. באתר הרג'יסטר שדיווח על הפרצה נכתב כי גרסאות 1.1 ו-1.2 לא פגיעות לפרצה, אולם הן כמעט שלא נתמכות בידי דפדפנים ואתרים כאחד.

החוקרים תאי דואונג וג'וליאנו ריזו מתכננים להדגים את ההתקפה שלהם, שנקראת BEAST (קיצור של Browser Exploit Against SSL/TLS), בוועידת Ekoparty בבואנוס איירס. על פי הדיווח, הכלי שפיתחו מפענח קבצי קוקיז מוצפנים כדי לפרוץ לחשבונות של משתמשים - כאשר במקרה של SSL, אלה יוכלו להיות גם פרטי חשבונות בנק ומידע רגיש נוסף.

בעוד שבתקשורת מעלליו של ההאקר האיראני זכו לתהודה גדולה, חוקרי אבטחה רבים לא הופתעו. "כדי לסמוך על המערכת אתה צריך לסמוך על כל חברות ה-Certificate Authority" (חברות שאחראיות על הנפקת תעודות SSL לאתרים כמו חברת Diginotar ההולנדית ששרתיה נפרצו), הסביר לאחרונה להארץ רוברט ליפובסקי, חוקר תוכנות זדוניות בחברת ESET. "זו חולשה של המערכת, אבל אין בכך כל חדש. החידוש הוא שרק עכשיו, הפריצה לכמה חברות כאלה זכתה לפרסום נרחב", הוסיף.

אבל דואונג הסביר לרג'יסטר כי "BEAST שונה מרוב ההתקפות המדווחות נגד HTTPS. בעוד שהתקפות אחרות תוקפות את מערכת האימות, BEAST תוקף את ההצפנה. ככל הידוע לנו, זו ההתקפה הראשונה שלמעשה מפענחת את ההצפנה של HTTPS".