Hackers: the internet's immune system | Keren Elazari
הפגם טמון בפרוטוקול SSL, הידועה ביותר בתור הטכנולוגיה המשמשת לגלישה מאובטחת באתרי אינטרנט המתחילים ב- HTTPS, התוקפים ליירט מאובטח SSL (Secure Sockets Layer) תקשורת בין מחשבים באמצעות מה שמכונה התקפת אדם ב-באמצע.
למרות הפגם יכול להיות מנוצל רק בנסיבות מסוימות, זה יכול לשמש לפרוץ שרתים משותפים סביבות אירוח, שרתי דואר, מסדי נתונים ויישומים רבים אחרים מאובטח, על פי כריס Paget, חוקר אבטחה שחקר את הבעיה. [
[קריאה נוספת: כיצד להסיר תוכנות זדוניות מהמחשב Windows שלך]
"זה פגמים ברמת הפרוטוקול ". אמר Paget, קצין הטכנולוגיה הראשי עם ייעוץ אבטחה בשם H4rdw4re. "יש הרבה דברים שצריכים לקבל על זה: דפדפני אינטרנט, שרתי אינטרנט, מאגרי עומס אינטרנט, מאיצי אינטרנט, שרתי דואר, שרתי SQL, מנהלי התקן של ODBC, פרוטוקולי עמית לעמית". > למרות שתוקף יצטרך תחילה לפרוץ לרשת של הקורבן כדי להפעיל את ההתקפה של אדם באמצע, התוצאות יהיו הרסניות - במיוחד אם נעשה בהן שימוש בהתקפה ממוקדת כדי לקבל גישה למסד נתונים או לשרת דואר, אמר פג'ט.כי זה נעשה שימוש נרחב, SSL הוא כל הזמן תחת מיקרוסקופ של חוקרי אבטחה. בסוף השנה שעברה, חוקרים מצאו דרך ליצור אישורי SSL מזויפים, אשר יהיו מהימנים על ידי כל דפדפן, ובאוגוסט חוקרים חשפו קומץ של התקפות חדשות שעלולות לפגוע בתעבורת SSL. אבל שלא כמו ההתקפות האלה, שהיו קשורות לתשתית המשמשת לניהול האישורים הדיגיטליים של SSL, הבאג האחרון נמצא בפרוטוקול SSL עצמו ויהיה הרבה יותר קשה לתקן.
עוד סיבוך בעניינים הוא העובדה כי הבאג היה בשוגג שנחשף ברשימת תפוצה מעורפלת ביום רביעי, מה שאילץ את הספקים להתרסקות מטורפת כדי לתקן את המוצרים שלהם.
הנושא התגלה באוגוסט על ידי חוקרים בחברת PhoneFactor, חברת אבטחה לטלפונים סלולריים. הם עבדו בחודשיים האחרונים עם קונסורציום של יצרני טכנולוגיה הנקראים ICASI (קונסורציום התעשייה לקידום האבטחה באינטרנט) כדי לתאם תיקון רחב בתעשייה לבעיה, המכונה "פרויקט מוגול".
אבל תוכניות קפדניות הושלכו לתוך הבלגן ביום רביעי כאשר מהנדס SAP מרטין רקס מעד על פני החרק בכוחות עצמו. ככל הנראה לא מודע לחומרת הנושא, הוא הציג את התצפיות שלו על הנושא לרשימת הדיון של IETF (כוח המשימה להנדסת אינטרנט). זה היה אז פורסם על ידי חוקר אבטחה HD מור.
ביום רביעי אחר הצהריים, מספיק אנשים היו מדברים על הנושא כי PhoneFactor החליט לפרסם את הממצאים שלהם. "בשלב זה הרגשנו שהרעים ידעו והרגשנו שיש לנו אחריות גם על החבר'ה הטובים לדעת", אמרה שרה פנדר, סמנכ"ל השיווק של PhoneFactor.
פנדר לא יכול לומר מי מוכן לתקן את הבעיה, אבל היא ציינה כי מספר מוצרים קוד פתוח "חרדים" לדחוף תיקון. "אני חושבת שנראה כמה טלאים בעתיד הקרוב", היא אמרה. <9>>>>>>>>>>>> למרות שמידע בתחום האבטחה אומר שהפגם התקיים כבר שנים רבות, זה לא חשב כי נוצלו בכל התקפות. "
" למרות שאנו רואים את זה להיות פגיעות חומרית, זה לא סוף העולם ", אמר פנדר.
התביעה גובים ג'יימס McCreary עם שליחת חלונות קופצים כי נראה כמו אזהרות מערכת, אומר לנמענים כי המחשבים שלהם יש שגיאות קריטיות מציע להם להוריד תוכנה שיכולה לתקן את הבעיות. הקורבנות שילמו 40 דולר ארה"ב כדי להוריד את התוכנה RegistryCleanerXP כדי לתקן את השגיאות.
עם זאת, הצרכנים לא בהכרח יש בעיות עם המחשבים שלהם, והתוכנה לא לעשות שום דבר בשבילם. [
הגדר והשתמש בביטחון משפחה ב- Windows 8 כדי לעקוב אחר פעילויות לילדים
ערכת לימוד זו תאפשר לך להגדיר למעלה & השתמש בבקרת הורים או בטיחות משפחתית ב- Windows 8 כדי לפקח על פעילויות הילדים שלך, שימוש באינטרנט.
חמשת העלויות הבאג המובילות ששולמו להאקרים על ידי ענקיות טק
אם נבדלים מעט מתפיסת ההאקרים עבור ההמונים, יש מי שמגלה ומדווח על פגיעויות במקום לתקוף אותן. הנה כמה