מומחים מזהירים: פגיעות רווחת באבטחת אתרים

מומחי אבטחה מזהירים מפני חולשה בשיטת האבטחה המשמשת לאימות אתרים מאובטחים ברשת. על פי דיווח הניו-יורק טיימס, מדובר באופן שבו הרשויות המאשרות (certificate authorities) מקבלות את ההסמכה שלהן. ככל שמספרן גדל, נהיה קשה יותר ויותר לסמוך על הרשויות שאילו לו ינצלו את כוחן לרעה

מומחי אבטחה מזהירים מפני חולשה בשיטת האבטחה המשמשת לאימות אתרים מאובטחים ברשת. על פי דיווח הניו-יורק טיימס, מדובר באופן שבו הרשויות המאשרות (certificate authorities) מקבלות את ההסמכה שלהן. ככל שמספרן גדל, נהיה קשה יותר ויותר לסמוך על הרשויות שאילו לו ינצלו את כוחן לרעה. על פי פיטר אקרסקלי (Peter Eckerskly), טכנולוג צוות בכיר ב-EFF, הנושא “הפך להיות אחד מהחוליות החלשות שאנחנו צריכים לדאוג לגביהן”.

מקור הבעיה נמצא באופן בו מוסמכות הרשויות המאשרות. אלו נבחרות ומאושרות על ידי החברות שמפתחות את הדפדפנים כמו מוזילה, מיקרוסופט וגוגל. אבל אותן רשויות – הכוללות את החברה Verizon, פנו ואישרו רשויות אחרות  – דבר שיצר כמות גדולה של רשויות המסוגלות ליצור תעודות אמינות (certificates), מעשה שעל פי המומחים מעמיד את יעילות ובטיחות השיטה בסיכון.

לדברי ה-EFF ישנם כיום יותר מ-650 ארגונים המסוגלים להנפיק הרשאות אשר יתקבלו על ידי הדפדפנים הנפוצים ביותר ללא שאלות – וחלק מאותם ארגונים יושבים במדינות כמו סין המרגלות אחר התושבים שלהן באופן פעיל. אקרסלי מוסיף כי אחת הדוגמאות לבעייתיות של הנושא היא חברת אטיסאלאט, חברת התקשורת הגדולה מהאמירויות הערביות המאוחדות, שעשתה כותרות לא מזמן כשהודיעו על כוונתה לעצור את שירותי הבלקברי ברשתה עקב חוסר היכולת של הממשלה לרגל אחר משתמשי המכשיר בגלל ההצפנה המעורבת בתקשורת שלו. כזכור, אותה חברה גם התקינה תוכנת ריגול על מכשירי הבלקברי של משתמשים ברשת שלה במסווה של עדכון תוכנה, עניין שטופל על ידי עדכון תוכנה אמיתי מחברת RIM שהביעה כעס על המעשה. למרות פעולות אלו להפרת הפרטיות של משתמשיה, אטיסאלאת סווגה על ידי חברת התקשורת האמריקאית ווריזון (Verizon) כרשות מאשרת אשר יכולה להנפיק תעודות אמינות.

תקרית נוספת שגרמה למודעות לנושא התרחשה כשארגון מוזילה שקלה לאשר חברה סינית לפעול כרשות מאשרת. משתמשי הדפדפן פיירפוקס הביעו חשש שהממשלה הסינית תלחץ על החברה לאפשר להם להאזין לתקשורת מוצפנת כגון אתר GMail במטרה לרגל אחר דואר של אזרחים סינים. ארגון מוזילה לבסוף החליט לאשר את החברה. על פי יונתן נייטינגייל (Johnathan Nightingale), מנהל הפיתוח של פיירפוקס, “לא מדובר בעניין גדול” מכיוון שכל ניסיון מטעם רשות מאשרת לצותת לתקשורת מאובטחת כל שהיא יאותר על ידי משתמשים מנוסים שיחשפו את הנושא בציבור.

Avatar

אור בוטון

גיק וגיימר מהסוג הישן שזוכר ימים טובים יותר. תושב קבע בכפר הגלובלי של הרשת ואובססיבי לגבי טכנולוגיה, חדשנות ותרבות רשת. בעל חיבה בלתי מובנת למציאות מדומה וכל הקשור בכך.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: