פרצת אבטחה חמורה בטכנולוגיית SSL מאפשרת להאקרים לגנוב מידע אישי של משתמשים, כך חשפו השבוע שני מומחי אבטחה בכנס ההאקרים Black Hat, שמתרחש מידי שנה. איך עובדת הפרצה?
כנס ההאקרים Black Hat שמתרחש השבוע בלוס אנג'לס מספק, כמדי שנה, כותרות מרעישות בתחום האבטחה. הפעם היו אלו שני חוקרי האבטחה Dan Kaminsky ו-Moxie Marlinspike אשר הדגימו, כל אחד בנפרד, כיצד ניתן להערים על דפדפני האינטרנט השונים, כולל פיירפוקס ואקספלורר, ולהתחזות לאתר מאובטח בעל אישור SSL.
SSL היא טכנולוגית אבטחה והצפנה אשר נחשבת לחזקה במיוחד. משתמשים בה אתרי אינטרנט רבים ברחבי העולם, ובמיוחד אתרי מסחר ובנקאות המעוניינים להבטיח את פרטיות הגולשים אליהם. דפדפן מזהה אתרים המאובטחים ב-SSL על ידי בדיקת האישור שיש להם ואימותו מול חברת האבטחה שהעניקה להם את האישור. כאשר יש אימות של האתר מופיעה בתחתית הדפדפן צלמית מיוחדת המצביעה על כך שהמידע שמועבר לאתר מוצפן בטכנולוגיה זו.
Dan Kaminsky ו-Moxie Marlinspike טוענים כי פרצה בטכנולוגיה הזו מאפשרת גם לאתרים שלא לגיטימיים להשיג אישור שכזה. כמו כן, הם אומרים כי ניתן גם לפרוץ לאתרים שכן לגיטימיים ולהתקין בהם תוכנה זדונית שתאפשר
להם לצותת למידע שמועבר בו, גם אם הוא מאובטח ב-SLL. משמעות הדבר היא, אפשרות לחשיפת פרטים אישיים על משתמשים, כמו מספרי כרטיסי אשראי, מספרי חשבונות בנק וכדומה.
אם לא די בכך, הרי שהפרצה בדפדפנים מאפשרת גם להשתלט על אפשרות העדכונים האוטומטיים שלהם, כך שניתן לשלוח למשתמשים וירוסים ותוכנות זדוניות במסווה של עדכון לדפדפן.
בקרן מוזילה אמרו בתגובה לחשיפה של שני מומחי האבטחה כי מרבית הבעיות בעניין תוקנו כבר בגרסה האחרונה של פיירפוקס וכי הם עובדים בימים אלה על תיקון לבעיות הנוספות. עדכון לדפדפן לתיקון הבעיות צפוי להשתחרר לציבור בתוך כשבוע עד שבועיים. במיקרוסופט אמרו כי הם בודקים את הנושא.
חברות אבטחה המספקות את רישיונות ההצפנה ל-SLL, כמו Geotrust Verisign, טוענות כי ניתן לפתור את הבעיה באמצעות רכישת רישיונות מורחבים בתוספת תשלום.
לחלוק, לשתף, לעורר השראה ולהעצים מנהלי מידע, זה המוטו של
קובי שפיבק Bsc ו- MBA. קובי הוא מורה דרך טכנולוגי שמלווה את עולם המחשוב: כתכנת, מהנדס, מנהל, יזם, עיתונאי, יועץ ומרצה, משנת 1976. כעורך הראשי של תחקירי pCon הוא כתב וערך ב-19 השנים האחרונות, למעלה מ-960 תחקירים מקצועיים, שמסייעים למנהלי מחשוב במאות ארגונים, ליהנות מיותר עניין, זמן פנוי וכסף זמין.
מנהלי מחשוב, שמעוניינים לקרוא או להפנות לקובי שפיבק שאלות מקצועיות, מוזמנים לעשות זאת במסגרת תשובות המומחה.
אם לא מצאת שירות זה כשימושי, בבקשה ספר לנו.
אם אתה כן נהנה מהשירות שתף חברים שגם להם הוא יכול לעזור.
תחשוב על החיוך, הסיפוק, ההרגשה הטובה, כשגם רעך ייהנה כמוך והמלץ עכשיו.
מה מייחד את "בראש החדשות" של pCon-line? - כמה חדשות חשובות באמת בתחומי המחשוב ואינטרנט אתה זוכר מהשנה האחרונה? (תן מספר מדויק). pCon-line ממיין ומסנן מאות חדשות ומפרסם את החדשה החשובה ביותר. כך מספיקה דקה ביום להתעדכן ולהתמקד ב-250 החדשות החשובות, רלוונטיות ושימושיות ביותר שהתפרסמו השנה. לכן, הוסף עכשיו את "בראש החדשות"
למועדפים או ל-RSS, התעדכן בפייסבוק או בטוויטר.
הכר האתר
.jpg)
לחלוק, לשתף, לעורר השראה ולהעצים מנהלי מידע, זה המוטו של
קובי שפיבק Bsc ו- MBA. קובי הוא מורה דרך טכנולוגי שמלווה את עולם המחשוב: כתכנת, מהנדס, מנהל, יזם, עיתונאי, יועץ ומרצה, משנת 1976. כעורך הראשי של תחקירי pCon הוא כתב וערך ב-19 השנים האחרונות, למעלה מ-960 תחקירים מקצועיים, שמסייעים למנהלי מחשוב במאות ארגונים, ליהנות מיותר עניין, זמן פנוי וכסף זמין.
