TheMarker | הארץ | עכבר העיר | זירת התיירות
17:09
20.08.08
Israeli High Tech  Apple  CIO  ERP - CRM  Enterprise Applications  Gaming  Google  Hardware  Internet  IskIT  Microsoft  Networking  Open-Source  Security  Silicon Wadi  Startups  Storage  TechBlogs  Telco 
רוצה לקבל את הניוזלטר שלנו?

התמונה שתגנוב לכם את החשבון בפייסבוק

דסטין מוסקוביץ, סמנכ"ל הנדסה בפייסבוק. האם יידע להתמודד עם הפרצה? | צלם: IDG

חוקרי אבטחה הצליחו לפתח קובץ היברידי המשלב תמונה עם קוד ג'אווה, בעזרתו ניתן להשתלט על חשבונות של משתמשים באתרים כגון פייסבוק, eBay וגוגל

03.08.08 | 16:02  IDG
Internet | Security

בוועידת האבטחה Black Hat שתתקיים השבוע בלאס-וגאס מתכוונים חוקרים להדגים טכניקה בעזרתה ניתן לגנוב חשבונות של משתמשים באתרים פופולריים כגון פייסבוק, אי-ביי וגוגל.

"ג'ון היסמן, Next Generation Security Software: 'הצלחנו לפתח יישומון ג'אווה שנראה לכאורה כמו תמונה רגילה"

המתקפה אותה פיתחו החוקרים עושה שימוש בסוג חדש של קובץ היברידי שמטופל באופן שונה על ידי תוכנות שונות. על ידי הצבתם של הקבצים הללו באתרי אינטרנט המאפשרים למשתמשים להעלות תמונות משלהם, החוקרים מסוגלים להערים על מערכות האבטחה ולהשתלט על החשבונות של הגולשים.

"הצלחנו לפתח יישומון ג'אווה שנראה לכאורה כמו תמונה רגילה", אומר ג'ון היסמן, סגן נשיא לענייני מחקר בחברת Next Generation Security Software.

החוקרים קוראים לסוג כזה של קובץ GIFAR, שילוב של GIF (פורמט נפוץ לתמונות) ו-JAR (קיצור של Java Archive - קובץ המכיל קוד ג'אווה). בוועידה ידגימו החוקרים כיצד ליצור את ה-GIFAR, אבל ישמיטו כמה פרטי מפתח על מנת למנוע מגורמים זדוניים לעשות שימוש בטכניקה החדשה למטרות פליליות.

עבור שרת האינטרנט, הקובץ נראה בדיוק כמו קובץ GIF, אולם מכונת הג'אווה הווירטואלית של הדפדפן (אותו רכיב בדפדפן שיודע להריץ קוד ג'אווה), תפתח את הקובץ כאילו הוא קובץ JAR ותריץ את היישומון הנמצא בתוכו. הדפדפן יתייחס ליישומון הזדוני כאל יישום לגיטימי שנכתב על ידי אנשי הפיתוח של האתר.

מתקפה תעבוד באופן הבא: גורם זדוני כלשהו ייצור פרופיל באתר אינטרנט פופולרי, למשל בפייסבוק, ויעלה אליו קובץ GIFAR כאילו היה תמונה רגילה. לאחר מכן הוא יפתה את הקורבן לבקר בדף אליו הועלתה התמונה. הדפדפן של הקורבן ינסה לפתוח את קובץ ה-GIFAR ובנקודה זו יופעל יישומון הג'אווה ויספק להאקר גישה לחשבון הפייסבוק של הגולש.

"מתקפה תעבוד באופן הבא: גורם זדוני כלשהו ייצור פרופיל באתר אינטרנט פופולרי, למשל בפייסבוק, ויעלה אליו קובץ GIFAR כאילו היה תמונה רגילה. לאחר מכן הוא יפתה את הקורבן לבקר בדף אליו הועלתה התמונה"

לטענת החוקרים, מתקפה שכזו יכולה לעבוד במסגרת כל אתר שמאפשר למשתמשים להעלות קבצים, ובאופן פוטנציאלי אפילו באתרים בהם מעלים תמונות כחלק ממנגנון התשלום המקוון, כדוגמת אמזון. יתרה מזאת, כיוון שקבצי GIFAR כתובים בג'אווה ומורצים על ידי המכונה הווירטואלית, הם עובדים בכל הדפדפנים.

עם זאת, יש מגבלה אחת. על הקורבן להיות מחובר לאתר האינטרנט שאליו הועלתה התמונה הזדונית בכדי שהמתקפה תעבוד. "המתקפה תעבוד בצורה הטובה ביותר בכל אותם אתרים בהם המשתמשים מתחברים לפרקי זמן ארוכים", מסביר היסמן.

ישנן מספר שיטות לסיכול מתקפות מבוססות GIFAR. אתרי אינטרנט יכולים לחזק את כלי הסינון שלהם כך שידעו לזהות ולמנוע את העלאתם של קבצים היברידיים. אפשרות אחרת היא שחברת סאן (Sun Microsystems) תעדכן את סביבת הריצה של ג'אווה במטרה למנוע מתקפה מסוג זה. למעשה, החוקרים שפיתחו את המתקפה מעריכים שסאן תצא עם פתרון לבעיה זמן לא רב לאחר הוועידה.

מומחים אחרים וענים כי למרות שתיקון סביבת הריצה של ג'אווה יכול לסכל את טכניקת המתקפה הספציפית הזו, הרי שהבעיה של תוכן זדוני המוחדר ליישומי אינטרנט לגיטימיים גדולה ומורכבת הרבה יותר. "תהיינה דרכים נוספות לעשות את זה, באמצעות טכנולוגיות אחרות", אומר אחד ממפתחי ה-GIFAR, נתן מקפיטרס, העובד כחוקר במרכז האבטחה של חברת Ernst & Young.

"בטווח הארוך, יישומי אינטרנט יצטרכו לקחת שליטה על התוכן", מוסיף מקפיטרס. "הבעיה המהותית היא ברמת היישום האינטרנטי. מתקפת הג'אווה בה אנו עושים שימוש היא רק אפיק פעולה אחד מני רבים". מקפיטרס יציג את הטכניקה החדשה בהרצאה תחת הכותרת "The Internet Is Broken".

בסופו של דבר, יצרניות הדפדפנים תצטרכנה לעשות גם הן כמה שינויים יסודיים בתוכנות שלהן, אומר ג'רמיה גרוסמן, סמנכ"ל הטכנולוגיה של חברת WhiteHat Security. "זה לא רשת האינטרנט שנשברה", הוא אומר. "אלו הם מנגנוני האבטחה של הדפדפנים שנשברו. הביטוי 'Browser security' הוא בעצם אוקסימורון".

עוד בנושא - כך תגנו על אתרכם בפני האקרים | אתרי האינטרנט המסוכנים ביותר - בעלי סיומת hk, cn ו-info

לקבלת עידכונים מ-TheMarker IT, הרשמו לניוזלטר שלנו 

5 תגובות ב-3 דיונים

בהגיבי על הכתבה הנני מסכים לתוכן ההצהרה

3 חן חן ל themarkerטל04.08.2008 | 15:17
2 ומי שלא התקין ג'ווה?סתם קקר03.08.2008 | 20:25
או ששומרים כתובת זבלזבלנוביץ03.08.2008 | 22:31
היי קקר, שתרצהקובי03.08.2008 | 20:43
1 אכן ג'יפהגיל03.08.2008 | 18:28
פרסום

עשרת הגדולים


משרות הייטק עדכניות בשיתוף עם
שימושים:  דף הבית  |   RSS  |   אודות האתר  |   פרסום באתר  |   תקנון האתר
TheMarker:  העמוד הראשון  |   הייטק  |   שוק ההון  |   וול סטריט  |   בעולם  |   קריירה  |   פרסום ומדיה  |   צרכנות  |   נדל"ן  |   משפט  |   רכב  |   המדריך למשקיע  
Cafe:  ראשי  |   העמוד שלי  |   אנשים  |   קהילות  |   בלוגים  |   תמונות  |   וידאו  |   קהילת תמיכה  
עכבר העיר:  עכבר העיר  |   סרטים  |   קולנוע  |   מסעדות  |   מתכונים  |   הופעות  |   פעילויות ילדים  |   הצגות  |   לילה  |   מסיבות  |   עכבר העיר: סרטים, לילה, מסעדות  
לוח העיר:  דרושים  |   דרושים הייטק  |   נדל"ן  |   פרוייקטים חדשים  |   רכב  |   בעלי מקצוע  |   קח תן  
האתר פותח ע"יCoral.co.il