ב-Online
 
 
 
 
 
 
 
 
אז כמה האקינג זה יותר מדי? 
 
 סיוע לדבר עבירה   
 
מערכת חיים ברשת

פרצת אבטחה חמורה שפורסמה לא מכבר מעוררת גלים בקרב קהילת אבטחת המחשב בנוגע לסוגיה כמה צריך לחשוף, ואיפה עובר הגבול הדק בין זכות הציבור לדעת ובין סיוע לדבר עבירה

 
 
 
 
 
 
 
 
 
לחשוף או לא לחשוף? ˜– זו השאלה הנמצאת תחת דיונים כבדים בתעשיית אבטחת המחשב במשך השנה האחרונה.

האחראי על תחום הסייבר-אבטחה בממשל בוש, ריצ'רד קלארק, ולמעשה כל חברות התוכנה מתעקשות על כך שלמפיצי התוכנות תהיה הזדמנות לתקן את פרצות הביטחון לפני שחוקרי האבטחה פונים לציבור הרחב וחושפים את המידע. חוקרי האבטחה מאידך גורסים כי ללא חשיפה מלאה, החברות בד"כ לא ממהרות להדביק טלאים על חורי האבטחה.

חשיפה מלאה, בתיאוריה בכל מקרה, גם מעניקה למשתמשי המחשב התמימים אזהרה לגבי בעיות שכבר ידועות ומוכרות להאקרים זדוניים, אשר בדר"כ מנצלים את הפרצות לפני שהחברות משחררות לשוק את תיקוני האבטחה. אולם פרסום שהופץ לאחרונה ברשימת הדואר העוסקת בחדשות אבטחה BugTraq, עורר את זעמם של חלק מאלו שבאופן רגיל תומכים בחשיפת מידע מלאה לקהל. על כך מדווח אתר Wired.

בפרסום פורטה באופן דקדקני דרך המתארת כיצד בעזרת הוספת קטע קוד קצר על גבי דף באינטרנט, ניתן לפרמט את הדיסק הקשיח של כל מי שביקר באתר, ולמחוק את כל הקבצים המאופסנים על הדיסק הנגוע. פרצה זו רלוונטית לגבי משתמשים המריצים את דפדפן האקספלורר של מיקרוסופט מגרסאות 5.5 או 6.0. (לגולשים באמצעות מוזילה יש חסינות מסתבר).


זה כבר יותר מדי

"אפילו אם אתה בעד חשיפה מלאה, הפרסום הזה נופל מחוץ לפרמטרים המקובלים של פורום ציבורי", אמר מומחה האבטחה ריצ'רד סמית. "אני לא מבין איך בדיוק פרסום קוד זדוני מסוג זה מגבירה את הביטחון. סימנטק (אשר מארחת את אתר SecurityFocus ורשימת הדוא"ל BugTraq) פשוט עוזרת לפושטקים של הסקריפט".

" BugTraq היא רשימה שעוברת מודרציה (ניפוי תוכן סלקטיבי), כך שיש להם את האפשרות לקבוע אילו מסרים ישלחו לחברי הרשימה ואילו לא, למה הם לא דחו את הפרסום הזה על הסף?", שואל סמית.

דוברת סימנטק ג'נביב הלדמן אמרה בתגובה כי הידיעה על הפרצה החמורה אושרה לפרסום ברשימת התפוצה. "הנקודה הרגישה הזו מוכרת היטב בתוך קהילת האבטחה והמידע שפורסם ב- BugTraq היה כזה שהועתק או קושר לפורומים ציבוריים אחרים", אמרה הלדמן. "לפירצה ספציפית זו יש את הפוטנציאל לגרום נזק אדיר למערכות, ומוחי אבטחה צריכים להיות מודעים לכך שפגיעות זו מנוצלת בצורה פראית ליצור נזקים".

הלדמן הוסיפה כי סימנטק מחיקה ברשימת התפוצה BugTraq עבור קהילת האבטחה כישות עצמאית תחת המותג של SecurityFocus. מטרת האתר היא לטפח דיווח אובייקטיבי בידי מומחי אבטחה על איומי ומתקפות הטכנולוגיה העדכניים ביותר. בהתאם לכך החומר כולל "תוכניות וסקריפטים המבצעים פעולות נצלניות מסוימות, או תהליכים מפורטים לגבי פרצות אבטחה", אמרה הלדמן.

"זה חיוני לשמר את המוניטין של הקהילה. אנחנו מאמינים שמדיניות החשיפה הנוכחית היא הולמת את מקום המפגש", אמרה הלדמן בהתייחסה ל- BugTraq. "סימנטק פועלת עם מנגנון חשיפה נפרד עבור פרצות המתגלות ע"י לקוחותינו או החוקרים שלנו."


שירות לציבור או דרך שיווק צינית במיוחד?

סמית לא בדיוק מסכים לקביעה זו. "להראות לאנשים דרך קלה ומהירה כיצד לפרמט לאנשים אחרים את הדיסק הקשיח על גבי אתר ברשת זה לא 'חשיפה מלאה', זו כתיבת קוד זדונית. למתבונן מבחוץ, פעולותיה של סימנטק נותנות את הרושם כי הם מעודדים אנשים ליצור ולשחרר קוד זדוני. בהתחשב בעובדה כי סימנטק גם מוכרת תוכנות אבטה ואנטי-וירוס, אני חושב שיש כאן ניגוד אינטרסים משווע".

הפרצה עליה מדובר פורסמה במקור ע"י חוקר האבטחה אנריאס סנדבלאד בתחילת חודש נובמבר. מאז שפרסם את הדו"ח, פותחו ופורסמו מספר קטעי קוד דומים המנצלים פרצה זו, אשר הודגמו בעוד כשישה אתרים. רוב הפרצות נכתבו כך שלא יפגעו במחשבים ל משתמשים, אך הדגימו בצורה יוצאת דופן איך זה אפשרי לשלוט ממרחק במחשבים הנגועים.

מומחי אבטחה אחרים טוענים כי פרסום הפרצה היא חרב פיפיות. "המידע החדש מאפשר לי להוסיף אמצעי זהירות בסיסיים בנוסף לאלו בהם השתמשתי על סמך מידע קודם", אמר גארי פלין מהנדס אבטחה באוניברסיטת ג'יימס מדיסון. "אך ללא ספק, הפרסום גם הפך זאת הרבה יותר קל לאחרים לנצל את המצב". פלין פרסם אתר המתעד את הבעיה ומציע פתרונות עבודה אפשריים.

דוברת מטעם חברת מיקרוסופט מסרה כי מרכז התגובה לבעיות אבטחה של החברה חקר את הפרצה ברגע שדווח עליה. חלק מהדרכים האפשריות לנצל את הפרצה כבר קיבלו מענה בטלאי אבטחה, מסרה הדוברת, אך הוסיפה כי מיקרוסופט "חוקרת את הנושאים שהוצגו בדו"ח, ובודקת האם קיימים שינויים עתידיים שאנו יכולים לעשות כדי לספק הגנה עמוקה נוספת".
 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by