פרצה בגדר |

כך פועל באג האבטחה שמאפשר פריצה למרבית האתרים בעולם

הפרצה שהתגלתה בשבוע האחרון ואף גרמה להשבתה של שירותי מס ההכנסה בקנדה, משפיעה ככל הנראה 
על שני שלישים מהאתרים בעולם ומאפשרת להאקרים לגנוב מידע - בלי שהקורבנות יהיו מודעים לכך

לוגו אקונומיסט
אקונומיסט
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
לוגו אקונומיסט
אקונומיסט

Heart Bleed (דימום בלב) נשמע כמו מחלה נוראית. למעשה, מדובר בפגם תוכנה שחשף שני שלישים מהאתרים בעולם להתקפות האקרים. "זהו פוטנציאלית הבאג המסוכן ביותר שראינו זה זמן רב", אמר ג'יימס ביסון, סמנכ"ל אבטחת המידע ב–GE קפיטל אמריקה, זרוע של חברת ג'נרל אלקטריק. אינספור חברות בעולם פעלו לתקן את פגם האבטחה מאז גילויו ב–7 באפריל.

הפגם, שטמון באופן אירוני ב–OpenSSL, תוכנת ההצפנה שאמורה לאבטח את האינטרנט ומוצעת בחינם, מאפשר להאקרים להטעות שרתים ולגרום להם להעביר מידע שטמון בזיכרונם - כמו מספרי כרטיסי אשראי, תעודת זהות ופרטים אישיים, ואף נתוני חשבונות בנק. ל–OpenSSL יש תכונה שנקראת Heartbeat (פעימת לב), שמאפשרת למחשב בצד אחד של קו מוצפן לשלוח אותות למחשב בצד השני, כדי לבדוק שהוא עדיין מקוון. החוקרים שחשפו את הפגם גילו כי האקרים יכולים לשכפל את האות הזה ולהשתמש בו כדי לגנוב נתונים מהמחשב המרוחק.

ניטור האקרים. "זה רק קצה הקרחון"צילום: בלומברג

מבין הדברים שאפשר לגנוב נמצאים מפתחות ההצפנה שמאפשרים לפענח את הנתונים, ללא שהתוקפים ישאירו כל זכר לפגיעתם. הבאג הזה אילץ חברות לבדוק עד כמה הן היו חשופות. "זה רק קצה הקרחון", אומר ג'ונתן סנדר מסטלתביטס טכנולוג'יס, חברת אבטחה שמסייעת לאחד מהבנקים הגדולים בארה"ב לפתור את הבעיה. מערכות המקושרות לאינטרנט ומכילות מידע אישי, כמו מערכות חשבונאות, זקוקות לבדיקה דומה.

סנדר משווה את גילוי הבאג למציאת חלק פגום בכמעט כל מכונית שמיוצרת בעולם. הבעיה היא שאי־אפשר לעשות ריקול (קריאה להחזרת מוצר פגום) לאינטרנט. חברות גדולות כמו גוגל ויאהו פעלו מהר כדי לתקן את הבאג. ואולם מיליוני אתרי מסחר מקוון קטנים יותר ועסקים אחרים ניצבים בפני האפשרות המדאיגה שיותקפו על ידי האקרים, שגם הם גילו עתה את קיומו של הבאג.

תיקון הבאג כולל שימוש בטלאי (פאץ') תוכנה ובחירת מפתחות הצפנה חדשים. לאחר שזה נעשה, הלקוחות יצטרכו לשנות את הסיסמאות שלהם. טאמבלר, אתר בלוגים של יאהו, קרא למשתמשיו להחליף סיסמאות לכל השירותים המקוונים שיש בהם מידע רגיש עליהם. כמה חברות השעו את שירותיהן בזמן שעבדו על התיקון. ביטסטאמפ, בורסת ביטקוין, השעתה זמנית פתיחת חשבונות חדשים וכניסות לחשבונות קיימים.

קופת שרצים משפטית

יכול להיות שהסיכון שבבאג הארטבליד נראה גדול משהוא באמת. ואולם אם יתברר כי המערכות של חברות גדולות אכן נפרצו, תיפתח קופת שרצים משפטית. חברות יוכלו לטעון כי אסור להעניש אותן על שימוש בתוכנה נפוצה ואמינה לכאורה. ואולם הלקוחות הזועמים עשויים לטעון אחרת.

לא ברור איך הגיע הבאג לתוכנת OpenSSL. ברוס שנייר, מומחה לאבטחת אינטרנט, טוען בבלוג שלו כי "יש סבירות כמעט מוחלטת" שסוכנויות הביון ניצלו לרעה את הבאג כדי לגנוב מפתחות הצפנה ולרגל אחרי מטרותיהן. הוא מנחש שהבאג הוא תוצאה של טעות קידוד ולא מלאכת ידיהם של מרגלים, אף שאין הוא בטוח בכך. ממשל אובמה הוציא הודעה רשמית שלפיה סוכנות NSA לא ידעה על הבאג.

התקרית היא עוד תזכורת לאתגרי האבטחה שחברות עומדות בפניהם ככל שיותר ויותר פעילות כלכלית עוברת לאינטרנט. לפי eMarketer, חברת מחקר, המכירות במסחר מקוון יגדלו השנה ביותר מ–20%, ל–1.5 טריליון דולר. זוהי הזדמנות מסחרית עצומה, אך היא גם מעודדת נוכלים ברשת לפגוע באתרים מסחריים עוד יותר בעוצמה. עבור המנהלים בתאגידים, זה יגרום לעוד פרפורי לב.

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker