$
אינטרנט

פרצת אבטחה מסכנת כ-66% מהאתרים

רשתות חברתיות, אתרי חברות ועסקים קטנים, אתרי תחביבים ואפילו אתרים ממשלתיים נמצאים בסכנה: הפרצה, שזכתה לכינוי Heartbleed, מאפשרת לפרוץ את הצפנת OpenSSL הפופולרית בצורה שלא ניתנת לגילוי. על מפעילי אתרים לבצע שורת שינויים כדי למנוע חדירה

עומר כביר 11:3009.04.14
באג בתוכנה ההצפנה הפופולרית OpenSSL, שבה עושים שימוש אתרים רבים, עלול לחשוף את המידע שמאוחסן בהם לגניבה על ידי גורמים עוינים ומציב בסיכון ישיר או עקיף כמעט את כל הגולשים ברשת - כך מזהיר צוות משותף של חוקרי אבטחה מגוגל ומחברת האבטחה הפינית Codenomicon.

הבאג, שמכונה Heartbleed (לב מדמם), חמור במיוחד מכיוון שהוא קיים לפחות שנתיים ומאפשר להאקרים לחדור בקלות דרך מערכות ההצפנה של אתרים שעושים שימוש בגרסאות OpenSSL שמכילות אותו.

 

גן עדן להאקרים

 

“הבאג מאפשר לכל גולש באיטרנט לגשת לקרוא את הזיכרון של מערכות פגיעות. הדבר מאפשר גישה למפתחות הסודיים שמשמשים להצפנת התעבורה, השמות והסיסמאות של המשתמשים והתוכן עצמו", נכתב באתר שיצרו החוקרים על מנת להפיץ מידע על הבאג. “הוא מאפשר לתוקפים לצותת לתעבורה, לגנוב מידע ישירות משירותים ומשתמשים ולהתחזות לשירותים ולמשתמשים".

 

פרצת ההצפנה הנרחבת ברשת כיום פרצת ההצפנה הנרחבת ברשת כיום

 

לדברי החוקרים, במבדקים שביצעו הם הצליחו לתקוף את השירותים שלהם עצמים מבלי להשאיר עקבות, ולגנוב את מפתחות ההצפנה ולזכות בגישה למידע חסוי כמו שמות משתמשים, סיסמאות, תכתובות מייל והודעות מיידיות. מדובר בגישה לתעבורת רשת - דברים שאתם כותבים באתר או בשירות המקוון. ואולם, אין גישה למסדי הנתונים של האתר.

 

למרות חומרת הבאג, החוקרים מדגישים שלא מדובר בתקלה בסיסית בפרוטוקול ההצפנה SSL/TLS, אלא רק ביישום, ומגדירים אותו כ"טעות תכנות". בנוסף, הבאג כבר תוקן בגרסה העדכנית ביותר של OpenSSL. “מפתחים ומפיצים של מערכות הפעלה, יישומי רשתות, ותוכנות צריכים להטמיע את התיקון ולהודיע למשתמשים שלהם. ספקי שירות ומשתמשים צריכים להתקין את התיקון ברגע שהוא זמין", אומרים החוקרים.

 

חשופים בצריח דיגיטלי

 

על מנת לסתום לחלוטין את הפרצה שיוצר הבאג, מפעילי אתרים ושירותים צריכים להתקין גרסה מעודכנת של OpenSSL, לשלול את ההרשאות של מפתחות ההצפנה הקיימים וליצור ולהפיץ מפתחות הצפנה חדשים, מהלך שבשלב מסוים ידרוש ממשתמשי הקצה לשנות את הסיסמאות שלהם. כן יש צורך לחולל קובצי קוקיז חדשים ולשלול את הישנים. גם אחרי שינויים אלו, מידע שהצליחו פורצים להוריד מהשירות קודם לסתימת הפרצה עדיין יהיה חשוף לפענוח.

 

על מפעילי אתרים לערוך שורת שינויים בכלי ההצפנה שלהם על מפעילי אתרים לערוך שורת שינויים בכלי ההצפנה שלהם צילום: גלעד קוולרצ'יק, shutterstock

 

“OpenSSL היא מערכת ההצפנה הפופולרית ביותר בקוד פתוח", מתריעים החוקרים. “הרשת החברתית הפופולרית שלכם, אתר החברה שלכם, אתרי מסחר, אתרי תחביבים, אתרים שהורדתם מהם תוכנה ואפילו אתרים ממשלתיים עלולים לעשות שימוש בגרסה פגיעה של OpenSSL”. החוקרים אומרים עם זאת שהם לא ידוע האם פורצים כבר ניצלו את באג זה.

 

היקף האתרים שנפגעו אינו ברור. שתי תוכנות השרתים הפופולריות ביותר, Apache ו-nginx, שנמצאות בשימוש ביותר משני שלישים מהאתרים הפעילים ברשת, עושות שימוש ב-OpenSSL, וכך גם שירותי אימייל, צ'ט, רשתות VPN ויישומי רשת נוספים.

 

“למרבה המזל, אתרים גדולים רבים ניצלו הודות לבחירות שמרניות בציוד ותוכנת SSL/TLS”, מרגיעים החוקרים. “האירוניה היא ששירותים קטנים ומתקדמים יותר, או כאלו ששדרגו לאבטחה העדכנית והטובה ביותר, יהיו אלו בעלי הפגיעה הרבה יותר".

 

האם האתר שלי נפגע?

 

נכון לעכשיו, האתר הגדול ביותר שדווח כי היה חשוף לבאג הוא פורטל יאהו, שמפעיל שירות מייל ושירותים מוצפנים אחרים כמו אתר שיתוף התמונות פליקר ורשת הבלוגים טאמבלר. מיאהו נמסר לאתר חדשות הטכנולוגיה The Verge ששירותי הליבה של האתר כבר תוקנו. אתרים אחרים שנפגעו הם אתר אחסון ושיתוף התמונות Imgur ואתר ריכוז הסיסמאות LastPass אשר טוען עם זאת שעשה שימוש במערכות הגנה נוספות שמנעו את חשיפת מפתחות ההצפנה.

 

לפי The Verge, אתרים ושירותים של גוגל, אפל ומיקרוסופט לא היו חשופים לבאג. משתמשים שרוצים לדעת האם אתר זה או אחר חשוף לפרצה יכולים לעשות זאת באמצעות אתר זה. ואולם, האתר רק מראה איזה אתר אינו חשוף לבאג כעת, ולא אילו אתרים היו חשופים לו בשנתיים האחרונות.

 

כיצד אפשר להתגונן?

 

משתמש הקצה לא יכול, בשלב זה, לעשות דבר על מנת להפחית את הסיכון שלו והאחריות מוטלת עתה על האתרים וספקי השירותים השונים, שצריכים לבדוק האם מערכות ההצפנה שלהם חשופות לבאג, לתקן את הדרוש תיקון ולהודיע למשתמשיהם על הצעדים שהם נדרשים לנקוט כדי לאבטח מחדש את המידע שלהם (לרוב, יהיה הדבר כרוך בהחלפת סיסמת הגישה לשירות).

 

כעת, עם חשיפת המידע, עתידים האתרים להתחיל בבדיקה פנימית ואפשר לשער שבימים הקרובים, ואולי כבר בשעות הקרובות, אלו מבניהם שנפגעו יפנו למשתמשים עם הוראות והנחיות מתאימות.

בטל שלח
    לכל התגובות
    x