ב-Online
 
 
 
 
 
 
 
 
נשבר "הבלתי-שביר" 
 
 
מערכת חיים ברשת

חוקרים שוויצרים מצאו חור-אבטחה במערכת אבטחת הסיסמאות הנפוצה ביותר באינטרנט. המערכת: אותה אחת שנאמר עליה "שלא תפרץ לעולם"

 
 
 
 
 
 
 
 
 
קבוצת חוקרים שוויצרית ששמה Lasec , העוסקת באבטחת מידע והצפנה, טוענת כי היא מסוגלת לפצח סוגים שונים של סיסמאות-מאובטחת באינטרנט המשתמשות בפרוטוקול SSL – בפחות משעה.

"בפעם הראשונה שהתעסקנו עם מערכת-ההצפנה הזאת שמנו לב כי קיים חור אבטחה בפרוטוקול עצמו. בהמשך הבנו איך אפשר להשתמש בו בכדי לפצח סיסמאות-מאובטחות" העיד פרופסור סרג' ואדני, המדען הראשי בקבוצה.

SSL הוא פרוטוקול האחראי על העברת-מידע באופן מאובטח בין מחשב-הלקוח לשרת האינטרנט. אתרי אינטרנט המוגנים במערכת SSL מסומנים בכתובת אינטרנט המתחילה כך : "//:https". ברוב הדפדפנים בהם יעלה אתר מאובטח, יופיע בתחתית הדפדפן מנעול קטן או אייקון של מפתח שמטרתו להציג לגלוש כי אכן מדובר בחיבור-מאובטח.

הטכנולוגיה, נמצאת בשימוש רב ברחבי הרשת, בין היתר בידי אתרי קניות , אתרי בנקים וכל אתר שנערכות בו עסקאות שיש צורך להצפינם. ה- SSL מופעל ע"י סיסמא, המשמשת כ"מפתח" מיוחד באמצעותו מוודא השרת כי המתחבר-אליו הוא אכן מי שהוא טוען שהוא. המידע הנשלח בין המשתמש-לשרת ולהיפך מעורבל באמצעות סוגים שונים של אלגוריתמים מורכבים, וכדי להופכו לקריא שוב - יש צורך בסיסמת ה-"מפתח".

ניצול הפרצה שנמצאה בידי החוקרים נעשית בין הייתר באמצעות מעקב-חוזר-ונשנה אחר תגובות-שרת: "התערבנו בקישור בין הגולש-לשרת, מחלפנו את החיבור המאובטח באחד מזויף, והבטנו בהתנהגות השרת" מפרט פרופסור סרג' את דרך המחקר. "כשעקבנו אחר סיסמאות שנשלחו באמצעות אאוטלוק אקספרס לשרתי דואר, בעיקר אימיילים מוצפנים, גילנו שאנחנו מסוגלים להשיג כמות קטנה מאוד של אינפורמציה בזמן "הדיבור" בין מחשב הלקוח-והשרת. כשאנחנו מבצעים את החיבור פעם אחר פעם, בערך סביב ה- 160 פעמים, אנחנו יכולים לחבר את המידע שהצטבר לכדי סיסמא אחת", מוסיף סרג'.
 

"הגולשים יכולים להרגע"

 
דובר מפתחי מערכת ה- SSL פחות התרגש מהתגלית החדשה. "תוכנות האימייל בד"כ שולחות בקשות-אימות לשרת, בדומה להתחברות לאינטרנט באמצעות שם משתמש וסיסמא – רק מבלי להטריד את המשתמש. האאוטלוק למשל, מכוון כברירת מחדל להתחבר לשרת האימייל כל חמש דקות ולבצע "אישור זהות". החוקרים ניצלו את הנתון הזה בכדי לעקוב אחרי החיבור-המאובטח ולשאוב ממנו מידע". הדובר הוסיף כי "תיקון פורסם באתר החברה, ובגירסא הבאה של התוכנה הדבר יתוקן לחלוטין".

מומחי אבטחה טוענים כי הפרצה שנמצאה אינה פועלת על עסקאות-כרטיסי אשראי, משום שבנקים ואתרי מכירות באינטרנט משתמשים בד"כ בטכנולוגיית הצפנה שונה במספר רמות. סוג הצפנת ה- SSL שנפרצה בידי המדענים משמשת בעיקר לאימיילים, והרבה פחות עבור אתרי קניות באינטרנט, למשל. "אתם לא צריכים להיות מודאגים לגבי העברת מספר הכרטיס האשראי שלהם באתרים המשתמשים ב- SSL. ההתקפה הזאת לא מתאימה לאתרי קניות ויש דרכים הרבה יותר קלות לגנוב מידע על כרטיסי אשראי" כתב בניסיון לא-מוצלח-מיוחד-להרגיע, אחד מגולשי האתר סלאשדוט העוסק בתחום.

על אף ההסתייגויות השונות, עדיין מפחידה המחשבה שגם מערכת-ההצפנה הנחשבת למאובטחת ביותר היא איננה באמת כזאת. למזלנו, את הדבר גילו קבוצת חוקרים ולא קבוצה-בעלת-מטרות זדון אחרת. גילוי שכזה בקרב האנשים הלא-נכונים יכול היה גם בקלות להיות הרסני על-אמת.
 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by