|
הפרטים האישיים חשופים [צילום: AP]
|
|
|
|
|
כינוס ההאקרים Black Hat שמתרחש השבוע בלוס אנג'לס מספק, כמדי שנה, כותרות מרעישות בתחום האבטחה. הפעם היו אלו שני חוקרי האבטחה Dan Kaminsky ו-Moxie Marlinspike אשר הדגימו, כל אחד בנפרד, כיצד ניתן להערים על דפדפני האינטרנט השונים, כולל פיירפוקס ואקספלורר, ולהתחזות לאתר מאובטח בעל אישור SSL.
SSL היא טכנולוגית אבטחה והצפנה אשר נחשבת לחזקה במיוחד. משתמשים בה אתרי אינטרנט רבים ברחבי העולם, ובמיוחד אתרי מסחר ובנקאות המעוניינים להבטיח את פרטיות הגולשים אליהם. דפדפן מזהה אתרים המאובטחים ב-SSL על-ידי בדיקת האישור שיש להם ואימותו מול חברת האבטחה שהעניקה להם את האישור. כאשר יש אימות של האתר מופיעה בתחתית הדפדפן צלמית מיוחדת המצביעה על כך שהמידע שמועבר לאתר מוצפן בטכנולוגיה זו.
Dan Kaminsky ו-Moxie Marlinspike טוענים כי פירצה בטכנולוגיה הזו מאפשרת גם לאתרים שלא לגיטימיים להשיג אישור שכזה. כמו-כן, הם אומרים כי ניתן גם לפרוץ לאתרים שכן לגיטימיים ולהתקין בהם תוכנה זדונית שתאפשר להם לצותת למידע שמועבר בו, גם אם הוא מאובטח ב-SLL. משמעות הדבר היא, אפשרות לחשיפת פרטים אישיים על משתמשים, כמו מספרי כרטיסי אשראי, מספרי חשבונות בנק וכדומה.
אם לא די בכך, הרי שהפירצה בדפדפנים מאפשרת גם להשתלט על אפשרות העידכונים האוטומטיים שלהם, כך שניתן לשלוח למשתמשים וירוסים ותוכנות זדוניות במסווה של עידכון לדפדפן.
בקרן מוזילה אמרו בתגובה לחשיפה של שני מומחי האבטחה כי מרבית הבעיות בעניין תוקנו כבר בגרסה האחרונה של פיירפוקס וכי הם עובדים בימים אלה על תיקון לבעיות הנוספות. עידכון לדפדפן לתיקון הבעיות צפוי להשתחרר לציבור בתוך כשבוע עד שבועיים. במיקרוסופט אמרו כי הם בודקים את הנושא.
חברות אבטחה המספקות את רישיונות ההצפנה ל-SLL, כמו Geotrust Verisign, טוענות כי ניתן לפתור את הבעיה באמצעות רכישת רישיונות מורחבים בתוספת תשלום.