TheMarker | הארץ | עכבר העיר
08:59
10.02.12
Israeli Hi-Tech and Startups  CES 2011  CES 2012  Career  ERP and CRM  Egypt  Hardware  Internet  MWC 2011  Mobile  Security  Silicon Wadi  Software  Storage 
רוצה לקבל את הניוזלטר שלנו?

תתחדשו, יש לכם וירוס: הצד הפוגעני של עדכון התוכנה

רוב המשתמשים אינם מודעים לסכנות - וההאקרים מנצלים את הפירצות | צלם: sxc

הורדתם תוכנה ולחצתם על "כן" כשהתבקשתם לבצע עדכון? חוקרים ישראלים מזהירים כי אתם עלולים לסייע להאקרים להשתלט על המחשב שלכם ולשתול בו קבצים זדוניים

07.08.09 | 21:39  גיא גרימלנד
Software | Security

לדף הבית של TheMarker IT |

עדכון אוטומטי של תוכנות הוא שירות נפלא, הלא כך? הקובץ רץ ברקע, והמשתמש לא צריך לדאוג לדבר, כאשר בסוף התהליך כל התוכנות מעודכנות. אז זהו, שנפלא זה לא, ויש הרבה ממה לדאוג. מחקר חדש שהוצג בימים אלה בתערוכת אבטחת המידע דפקון (Defcon) חושף כיצד חולשה במנגנון העדכון האוטומטי של עשרות יישומי תוכנה עשוי להוביל לפגיעה במחשבי המשתמשים. את הנתונים הציגו שני ישראלים מחברת ראדוור - איציק קוטלר, ראש קבוצת אבטחת מידע, ותומר ביטון, חוקר אבטחת מידע.

לא מעט תוכנות מתעדכנות באופן אוטומטי ברקע מבלי שהמשתמשים בכלל מודעים לכך. לכל היותר התוכנה מבקשת מהם ללחוץ על אישור לפני התחלת התהליך. מה שרוב המשתמשים אינם יודעים הוא שבאותם רגעים של עדכון הם חושפים את עצמם להאקרים. קוטלר וביטון לא מעוניינים לומר אילו תוכנות פגיעות נמצאות כיום ברחבי הרשת, מלבד דוגמה אחת פופולרית במיוחד: תוכנת סקייפ. "בדקנו 100 תוכנות, אבל זה לא אומר שרק הן פגיעות. להיפך, כנראה יש הרבה יותר. בדקנו תוכנות פופולריות - למשל את רשימת התוכנות המובילות באתר ההורדות Download.com, וגילינו את הבעיה במרביתן. בדקנו סוגים שונים של תוכנות: יישומים לצפייה בתמונות ובסרטים, לשיתוף קבצים ועוד. הפגיעה קיימת בכל הרמות, אצל ספקי תוכנה גדולים וקטנים". מהמצגת של השניים עולה כי הבעיה קיימת גם בקורא קובצי ה-PDF של אדובי, ובתוכנות Alcohol 120 (תוכנה לצריבת קבצי אימג'), GOM Player (נגן וידאו), iMesh (תוכנת שיתוף קבצים) ו-Hex Workshop (תוכנת אדיטור).

kotlerbiton
הפתרון: חתימה דיגיטלית. קוטלר (משמאל) וביטון

פיירוול לא יעזור

עדכון התוכנה מרשת האינטרנט נסמך לרוב על פרוטוקול HTTP. לדברי קוטלר, הקשר בין התוכנה לשרת שעליו נמצא הטלאי עם העדכון חשוף לפגיעה. זאת מפני שלא ניתן לאמת שקובץ שמגיע בחזרה לגולש הוא אכן הטלאי האמיתי ולא קובץ מזיק. האקרים יכולים "לחטוף" את העדכון ולשלוח תשובה חלופית לבקשה התמימה לעדכון התוכנה של הגולש. מדובר בבעיה די חריפה בעולם האינטרנט. כמעט כל תוכנה כיום עושה שימוש במנגנון עדכון, ורבות מהן בפרוטוקול HTTP. רוב הגולשים ילחצו על "כן" כאשר תיפתח בפניהם תיבה שמציעה להוריד קובץ או לעדכן תוכנה, מבלי בכלל להיות מודעים לבעיה שעשויה להיווצר.

מה מהות הבעיה בעדכון אוטומטי?

קוטלר: "המטרה של ההאקרים היא שהמשתמש יריץ קבצים מסוכנים ועל-ידי כך יוכלו להשתלט על המחשב. בחודשים האחרונים אני והשותף שלי חקרנו דרכים שונות שבהן האקר יכול להגיע למצב כזה. בדרך כלל זה קורה בתנאים קלים, למשל בסביבת רשת אלחוטית פתוחה (Wi-Fi). הבחנו שהעדכון של תוכנות רבות חשוף לפריצה. היום רוב ספקיות התוכנה מעלות את העדכונים לאתרים שלהן. מרגע שהגולש מפעיל את התוכנה היא מתעדכנת באופן אוטומטי, או שואלת אותו האם ברצונו להפעיל את העדכון. לרוב יענה הגולש בחיוב, כי אין לו סיבה לחשוב שישנה בעיה. אבל הוא לא יודע האם התוכנה באמת הורידה את העדכון שספק התוכנה התכוון לספק לו או שהאקר השתלט על מנגנון העדכון והגולש מוריד כעת קובץ מסוכן שמאפשר להאקר להשתלט לו על המחשב. להאקר קל מאוד לראות מאיזו כתובת URL הגולש מבקש להוריד את העדכון, ולשנות את המצב כדי לגרום לנזק".

מה לגבי תוכנת אנטי וירוס, האם ניתן לסמוך עליה שתעצור את הקבצים המסוכנים?

"תוכנת אנטי וירוס תעצור את הקבצים המסוכנים רק אם הם ידועים לתוכנה, כלומר קבצים מסוכנים פופולריים שידועים כמזיקים".

הבעיה היא רק במחשבים או בכל מכשיר שמחובר לרשת האינטרנט?

"מצאנו שזה לא מוגבל רק למחשבים. הצגנו את המחקר שלנו והראנו את החשיפה לבעיה גם במכשיר אייפון".

אתם מציינים את העדכונים של מיקרוסופט כ"טובים".

"ישנם כמה ספקי תוכנה, כמו גוגל ומיקרוסופט, שמשתמשים בחתימה דיגיטלית. כלומר, שבכל פעם שגולש מוריד עדכון תוכנה, הספק מוודא שמדובר בקובץ הנכון. הבעיה היא שרוב החברות מציעות עדכוני תוכנה ללא חתימה דיגיטלית. זה אומר שבכל פעם שגולש מבצע עדכון תוכנה בנקודה אלחוטית פתוחה, כמו שדות תעופה או בתי קפה, הוא מאפשר להאקרים להשתלט לו על המחשב".

אם כך, מה הפתרון?

"ישנם שני פתרונות. הראשון הוא שספקי התוכנה יעבירו את עדכוני התוכנה שלהם לחתימה דיגיטלית. השני הוא להשתמש בפרוטוקול SLL המאפשר מזהה חד ערכי, שמבטיח כי השרת ממנו נשלח העדכון מאובטח".

מה לגבי תוכנת פיירוול?

"כל גורו מענף מדעי המחשב יאמר לך שהכי חשוב להחזיק תוכנת פיירוול. אבל פיירוואל לא יעזור כאן, כי ההאקר משתלט על הליך עדכון תוכנה שהוא לגיטימי. הוא לא פועל באמצעות פרצה. גם תוכנת אנטי וירוס היא בעייתית, כי בכל פעם שהאנטי וירוס יעודכן בהגנה חדשה ההאקרים יוכלו לשתול קבצים מזיקים חדשים שהוא לא מכיר. זה משחק של חתול ועכבר. התוצאה היא שאמצעי ההגנה הכי פופולריים שקיימים בשוק לא מסייעים למשתמשים. בנוסף, הראנו בכנס אך וירוס שנכנס למחשב יכול באמצעות רשת אלחוטית פתוחה לזהות הליך עדכון של גולש אחר ולהשתלט על מחשב נוסף".

 עקבו אחרינו בטוויטר
 רוצים להיות חברים שלנו בפייסבוק?

חזרה לדף הבית
פורמט להדפסהשלח באימיילחזרה למעלה

כתבות נוספות

1 תגובות ב-1 דיונים

בהגיבי על הכתבה הנני מסכים לתוכן ההצהרה

1 ממש גילו את אמריקהinformation security08.08.2009 | 11:43
הרשמו לניוזלטר של TheMarker ITהרשמו ל RSS של TheMarker ITהצטרפו אלינו בפייסבוקעקבו אחרינו בטוויטרכתבו לנו לאימייל האדום

עשרת הגדולים

שימושים:  דף הבית  |   RSS  |   אודות האתר  |   פרסום באתר  |   תקנון האתר
TheMarker:  העמוד הראשון  |   הייטק  |   שוק ההון  |   וול סטריט  |   בעולם  |   קריירה  |   פרסום ומדיה  |   צרכנות  |   נדל"ן  |   משפט  |   רכב  |   המדריך למשקיע  
Cafe:  ראשי  |   העמוד שלי  |   אנשים  |   קהילות  |   בלוגים  |   תמונות  |   וידאו  |   קהילת תמיכה  
עכבר העיר:  עכבר העיר  |   סרטים  |   קולנוע  |   מסעדות  |   מתכונים  |   הופעות  |   פעילויות ילדים  |   הצגות  |   לילה  |   מסיבות  |   עכבר העיר: סרטים, לילה, מסעדות  
לוח העיר:  דרושים  |   דרושים הייטק  |   נדל"ן  |   פרוייקטים חדשים  |   רכב  |   בעלי מקצוע  |   קח תן  
האתר פותח ע"יCoral.co.il