מסתבר שכל מה שצריך על מנת לפרוץ למחשב שלכם הוא ליטוף

חוקרי אבטחה מאוניברסיטת תל אביב הצליחו לעלות על שיטה בה ניתן לפענח את מפתחות ההצפנה של המחשב שלכם באמצעות מגע במארז המתכת שלו. דור חדש של אמצעי האקינג?

קרדיט תמונה: Shutterstock

קרדיט תמונה: Shutterstock

זה אולי יישמע לכם כמו סצנה מפרק של סדרת פעולה וריגול, אך נראה שחוקרי האבטחה ממשיכים להגיע לתובנות ולפריצות דרך שבהחלט צריכות להטריד אותנו בעתיד הקרוב. אם עד עכשיו היינו רגילים להאקרים אשר משתמשים בדרכים של דואר זבל נגוע, הודעות Phishing למיניהן, וירוסים המושתלים בתוך המערכת עם Backdoor, הנדסה חברתית ומתקפות אחרות שמטרתן לאפשר לתוקפים להשתלט על המחשב האישי של המשתמש, מחקר חדש שמקורו באוניברסיטת תל אביב ועיקרו התפרסם באתר MIT Technology Review מגלה כיצד באמצעות מגע פשוט, הם הצליחו לפענח את מפתחות ההצפנה הקריפטוגרפיים אשר מאבטחים את המידע האישי במחשבים של כולנו.

מפתחות ההצפנה הללו משמשים, בהרבה מקרים להגנה על הנתונים הכי רגישים שלנו, כגון נתוני בנקאות, הודעות דואר אלקטרוני רגישות ועוד, אך עם ידע טכני רחב מספיק התוקפים יכולים פשוט לגעת במחשב הנייד ולחלץ משם את מפתחות ההצפנה – ולהשתמש בהם בכדי לחלץ את הנתונים המאובטחים המאוחסנים עליו. על פי החוקרים, המגע חייב להיעשות כאשר הנתונים אינם מאובטחים ובמהלך תהליך ההצפנה של תיקייה, או הודעות דואר אלקטרוני המתבצע על ידי המחשב בזמן המגע. ערן טרומר, חוקר אבטחה מאוניברסיטת תל אביב סיפר כי צוות המחקר שלו השתמש בשיטות הללו בכדי לחלץ מפתחות הצפנה בסטנדרטי אבטחה גבוהים כגון ElGamal 3072 ו-RSA 4096 הנמצאים בשימוש נרחב בתעשייה.

ההאקרים ישנו את שיטת הפעולה?

על פי המחקר, שכותרת המאמר שלו היא ״Get Your Hands Off My Laptop״ הפירצה מתבססת על עצם העובדה שהפוטנציאל החשמלי במחשבים רבים משתנה כתוצאה מחישוב המבוצע על ידי המעבד ומאובטח על ידי מפתח הצפנה סודי. כאשר התוקף ייגע במארז המתכת של המחשב הנייד שלכם הוא יוכל למדוד את הפוטנציאל החשמלי אשר דולף לעור שלו בעת המגע, ולעבד את הנתונים הללו באמצעות תוכנת מחשב בעלת יכולות מתאימות. טרומר סיפר כי ה-Signal יכול להישלף על ידי נגיעה חשופה במארז המתכת של המחשב, אך גם על ידי חיבור חוט בין הקצוות של חיבורי ה-Ethernet, ה-VGA או כבל USB המחובר למחשב לגוף התוקף (ידיים מזיעות עושות את העבודה הטובה ביותר).

טרומר סיפר כי הוא אינו מכיר גוף שניסה והצליח לגנוב נתונים באמצעות השיטה המתוארת במאמר בעולם האמיתי, אך צוות המחקר שלו כבר הספיק להודיע ליצרניות תוכנות ההצפנה הקריפטוגרפיות אודות ממצאי המחקר. התוצאות יוצגו בכנס מיוחד שייערך בדרום קוריאה בחודש הבא ויודגמו במסיבת קריפטוגרפיה בסנטה ברברה ביום שלישי הקרוב. ״בסך הכל, יש להניח כי יש עשרות ׳ערוצים צדדיים׳ הקשורים לחומרה אשר טרם נתגלו ואנחנו כנראה הולכים לשמוע על גילויים נוספים בתחום״ סיפר ראדו שיאון, מומחה אבטחה מאוניברסיטת סטוני ברוק.

טרומר סיפר כי אפשרי למנוע מתקפות כאלו על ידי הוספת נתונים אקראיים לחישובים וכי המפתחים של GnuPG, תוכנת הצפנה חינמית כבר הספיקו לשלב תיקון כזה בגירסא העדכנית ביותר של התוכנה שלהם. בינתיים, עד שיצרניות המחשבים יפתרו את הבעיה בעצמן ויכלילו תיקוני אבטחה מתאימים, בחרו בפינצטה את האנשים להם אתם נותנים לגעת במחשב שלכם, או ״להרגיש את המשקל שלו לשנייה״ – יכול מאוד להיות שכוונותיהן לא כל כך תמימות כפי שהן נראות מלכתחילה.

קרדיט תמונה: Human hands working on laptop on office background / Shutterstock.com

אבישי בר

מנהל מוצר. מפתח Web ו-React Native, חולה גאדג'טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.

הגב

2 תגובות על "מסתבר שכל מה שצריך על מנת לפרוץ למחשב שלכם הוא ליטוף"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
רונן
Guest

יש בעיה בתיאוריה הזאת, מחשבים ניידים וטאבלטים עשויים מפלסטיק ולא ממתכת!!!

רם
Guest

בואו לא נגזים עם ההמלצות לגבי “העולם האמיתי”
כדי לנסות לחלץ מפתח צריך יותר מסתם לגעת לכם ולבדוק כמה שוקל המחשב שלכם.
צריך לעשות את זה בזמן שהוא משתמש במפתח ההצפנה הפרטי או הסודי.
בהתקפה שבא לתוקף יש גישה לוגית למחשב שלכם (יכול גם להזין נתונים לתוכנה) זה יקח מספר שניות. אבל כדי לחלץ מפתח 4096 סתם על ידי החזקת המחשב זה יקח ארבע וחצי שעות לפי החישוב שלי.
בקיצור בלתי מזיק ברובו – ואל תשכחי להצטייד במגבת (החוקרים טוענים שזה עובד הרבה יותר טוב בסביבה חמה שם הזיעה משמשת כמוליך, מה ששוב מוכיח שדאגלס אדמס היה גאון)

wpDiscuz

תגיות לכתבה: