קטגוריה: אבטחת מידע

פרוטוקול הSSL כנראה שבור ללא שום תקנה

פרוטוקול הSSL בסך הכל היה צריך להבטיח שני דברים:

  1. האתר אליו אתה גולש הוא אכן האתר שכתובת שלו מוצגת בשורת הכתובת של הדפדפן
  2. כל המידע שנשלח לאתר מוצפן בצורה כזו שגם אם מישהו "יאזין" למידע הוא לא יוכל לפענח אותו אם הוא לא בעל האתר.

בשביל לזהות את האתר ולתאם את ההצפנה, האתר שגולשים אליו שולח הודעה קצרה החתומה על ידי חברה שהורשתה לכך* המאשרת שמי ששולח את ההודעה הוא הבעלים של האתר.

הכל טוב ויפה, אבל בשבוע שעבר התברר שהשאלה "ומי ישמור על השומרים?" רלוונטית מאין כמותה לSSL. מסתבר שהיתה פריצה למחשבים של חברה הולנדית שעסקה בהנפקת ה"אישורים" לאתרים, והפורצים הצליחו להנפיק לעצמם אישורים לאתרים שבברור לא שייכים להם, כמו אתרי גוגל.

עד כאן זה סיפור ממש לא טוב, אבל זו לא הפעם הראשונה שבצורה דומה יותר או פחות, גורמים לא מאושרים הצליחו לקבל אישור בדרכים לא "חוקיות", אבל נסיון ההשתקה של החברה גרם לכך שעכשיו כאשר הסיפור התגלה אין ברירה אלא לשאול את עצמנו האם כל המקרים עד היום היו באמת יוצאי דופן כמו שהיה נוח להאמין.

לפי המאמר של אחד מאנשי מוזילה, האישורים הלא חוקיים החלו להיות מונפקים ב10 ביולי. למרות שהחברה ידעה על הפריצה כבר ביולי אך נדרש גילוי של שימוש לא חוקי באישור שלה באירן בכדי שהענין יתגלה וחברות הדפדפנים ישנו את ההגדרות כך שהדפדפנים לא יסכימו יותר לקבל את האישורים של אותה חברה.

אני חושב שבשבוע שעבר יצאו עדכוני אבטחה לכל הדפדפנים, אבל כמה פעמים בחודש הזה נכנסתם לאתר שחשבתם שהוא גוגל ושלחתם כרגיל את שם המשתמש והסיסמא שלכם?  מי יודע מה הסיכוי שלפחות פעם אחת במקום להגיע ישירות לגוגל הם נשלחו דרך שרת מתחזה וכרגע לבעלים שלו יש את שם המשתמש והסיסמא שלכם והוא יכול לקרוא את כל תכתובות הדואל שלכם מהגימייל שבטח מכילות גם סיסמאות לשירותי רשת אחרים?

יותר גרוע, זה שעכשיו יודעים  שהבעיה קיימת בכלל לא אומר שאנשים לא יפלו יותר בפח מאחר שהרבה אנשים לא מוכנים לשדרג את הדפדפנים שלהם.

מילא אם זו היתה בעיה מקומית והחברה ההולנדית היתה מנפיקה אישורים רק לאתרים הולנדיים, אבל מאחר  שכל חברה יכולה להנפיק אישור לכל אתר תוכלו לראות שבין האישורים המזויפיםם יש גם אישור לוואלה, האתר של המוסד וגם לאתרים של חברות אחרות שמנפיקות אישורים.

נסיון ההסתרה שנחשף לחלוטין במקרה, מעורר את השאלה למה בעצם שהחברות האלו יגלו שיש להן בעיות אבטחה? וכמה פעמים כבר הוסתרו מקרים כאלו בעבר על ידי חברות אחרות?

המסקנה שאני מסיק מכל הענין הוא שמי שמסתמך על זה שהוא מוגן ברגע שהוא רואה ציור של מנעול סגור (או אמצעי ויזואלי אחר בו משתמשים הדפדפנים לציין שהאתר אושר), הוא חצי מטורף. אנחנו יודעים שברשימת האתרים הנוכחיית לא היה אף בנק ישראלי, אבל האם מישהו יכול להשבע שמחר לא יפרצו לספק אישורים ויצליחו להנפיק אישור מתחזה לאתר של בנק הפועלים, או שיותר גרוע – שזה כבר קרה? אני יודע שאני חוזר על עצמי, אבל במיוחד לאור הגילוי הזה השיטה של הבנקים בה הם מסתמכים רק על אישור חתום שלהם ושם משתמש וסיסמא שנשלחים מהדפדפנים היא פשוט הפקרות.

* מי שבפועל מאשר את החברות המאשרות הוא יצרני הדפדפנים שביכולתם להחליט האם האישורים שמנפקת חברה מסוימת יחשבו לאמינים או לא.

כמה עולה אבטחה לקויה? #7548

ארבע שעות עמדו עשרות, מאות ואולי אלפי שרתים, באחד מחוות השרתים שממוקמת בסנטלואיס. הסיבה – מישהו (אני מנחש שהיה לו מידע פנימי) הצליח למחוק את ההגדרות ומערכת ההפעלה משלושה נתבים של סיסקו שחיברו את חוות השרתים לעולם. כמה נזק נגרם לבעלי האתרים איש כנראה לא יודע, אבל יש לי הרגשה שבעלי האתרים הגדולים יותר ידרשו פיצוי, או לחלופין יוציאו את השרתים שלהם.

במקרה של פריצה לשרת, זה משנה רק באופן שולי אם בסיס הנתונים נמצא על שרת אחר

אני רוצה לקוות שהתגובה של של חברת KCS לפריצה לאתר של נתניהו והליכוד היא טעות PR והם לא באמת חושבים שהפרדת בסיס הנתונים נותנת הגנה מספיקה

לדבריו, אנשי התחזוק של האתר טיפלו בתוך זמן קצר בניסיונות הפריצה, כשמאגר המידע שעל האתר נשאר מאובטח למשך כל הזמן לאור העובדה שהוא יושב על שרתים נפרדים מאלה של האתר הרגיל.

בסופו של דבר יתכן שכל מה שהפורצים הצליחו לעשות היה לשתול קובץ HTML פשוט שאולי נראה רע לגולש שמגיע לאתר אבל בפועל אינו מסוגל לעשות דבר על השרת עצמו, וסביר להניח שההאקרים יודעים זאת היטב בעצמם. הסיכון היותר משמעותי הוא שקוד המוטמע בדף הזה יכול לקרוא את ה"עוגיות" שנשלחות לאתר, ואצל מנהלי האתר הן מכילות את "סיסמאות" הכניסה לאתר. ברגע שההקרים מגלים את הסיסמאות האלו, זה בכלל לא משנה יותר איפה נמצא בסיס הנתונים כי הם פשוט ישתמשו בסיסמאות בכדי להכנס למערכת הניהול ולעשות את מה שהם רק רוצים שם.

אחרי פריצה לאתר אין בעצם שום דרך להיות בטוח שהסרת את כל תוצאות הפריצה אם לא מחקת את כל האתר, שיחזרת אותו לגירסא "בטוחה" ואיפסת מחדש את כל הסיסמאות של כל המשתמשים.

הכי טוב? לא להגיע למצב שהצליחו לפרוץ לך לאתר ולא משנה כמה נסיונות פריצה מתבצעים ביום.