עודד ירון
עודד ירון

אחרי שקומודוהאקר האיראני חשף לעולם את הפגיעות של מערכת ה-SSL, חוקרי אבטחה שוב חשפו פרצה חדשה ומסוכנת במנגנון המשמש בנקים, חברות אשראי ומיליוני אתרים אחרים, להצפין את התקשורת עם הגולשים. לדבריהם, זו גם הפעם הראשונה שמישהו מפצח את ההצפנה של מערכת האימות.

גוגל הודיעה כי היא עובדת בשיתוף פעולה עם החוקרים שגילו את הפרצה כדי לתקן את הבעיה בדפדפן כרום.

הפרצה התגלתה בפרוטוקול TLS, שהוא הפרוטוקול היורש של ה-SSL, מגרסאות 1.0 ומטה. באתר הרג'יסטר שדיווח על הפרצה נכתב כי גרסאות 1.1 ו-1.2 לא פגיעות לפרצה, אולם הן כמעט שלא נתמכות בידי דפדפנים ואתרים כאחד.

צילום: דרימסטיים

החוקרים תאי דואונג וג'וליאנו ריזו מתכננים להדגים את ההתקפה שלהם, שנקראת BEAST (קיצור של Browser Exploit Against SSL/TLS), בוועידת Ekoparty בבואנוס איירס. על פי הדיווח, הכלי שפיתחו מפענח קבצי קוקיז מוצפנים כדי לפרוץ לחשבונות של משתמשים - כאשר במקרה של SSL, אלה יוכלו להיות גם פרטי חשבונות בנק ומידע רגיש נוסף.

בעוד שבתקשורת מעלליו של ההאקר האיראני זכו לתהודה גדולה, חוקרי אבטחה רבים לא הופתעו. "כדי לסמוך על המערכת אתה צריך לסמוך על כל חברות ה-Certificate Authority" (חברות שאחראיות על הנפקת תעודות SSL לאתרים כמו חברת Diginotar ההולנדית ששרתיה נפרצו), הסביר לאחרונה להארץ רוברט ליפובסקי, חוקר תוכנות זדוניות בחברת ESET. "זו חולשה של המערכת, אבל אין בכך כל חדש. החידוש הוא שרק עכשיו, הפריצה לכמה חברות כאלה זכתה לפרסום נרחב", הוסיף.

אבל דואונג הסביר לרג'יסטר כי "BEAST שונה מרוב ההתקפות המדווחות נגד HTTPS. בעוד שהתקפות אחרות תוקפות את מערכת האימות, BEAST תוקף את ההצפנה. ככל הידוע לנו, זו ההתקפה הראשונה שלמעשה מפענחת את ההצפנה של HTTPS".

לחצו על הפעמון לעדכונים בנושא:

כתבות מומלצות

נאסים שומאן בביתו, השבוע. הוא וחברו לא נטלו חלק פעיל בהפגנה, רק הלכו על הכביש

שני סטודנטים הלכו להם, ולפתע חיילים המטירו עליהם אש כבדה

לימודים הומניסטיים לנוער באוניברסיטת בן-גוריון. תוכנית הלימודים לכיתות ו'־ט' מתמקדת ב"הסברה"

מי האנשים שחיו כאן לפני הצלבנים? לתלמידי ישראל אסור לדעת

שלגון "קראנץ" בטעם שוקולד לבן ופיסטוק, והאריזה שלו לידו

הארטיק שנולד כהטרלה הפך ללהיט היסטרי, אבל האם הוא טעים?

איריס רחמימוב

"בעצם, מחנה ההשמדה הראשון הוקם עוד ב-1904"

טיסות נכנסות אסף נווה

"הכי קשה זה הניתוק. היינו על קרחון חודש, בלי קליטה, בלי כלום"

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ

כתבות שאולי פספסתם

בתביעה נכתב כי הראיון כולו "התנהל בצורה שאינה מכבדת או רצינית״ כלפיה

המועמדת התחברה לראיון עבודה בזום - וקיבלה מהמראיין מייל שהדהים אותה

ריי דליו

מייסד קרן הגידור הגדולה בתבל: מזומן הוא זבל - ממשלות יחסלו את ביטקוין

ישראל פישר

יוקרה זה רע? כך נראים החיים במגדל חדש בתל אביב

מפגינים נגד יוקר המחיה מול בית הנשיא בסרי לנקה

קו השבר שעלול לקחת את הכלכלה העולמית למקום אחר, אפל יותר

בת ים

שתי דירות במחיר אחת: האם זהו עתיד תחום הפינוי-בינוי?