פתיחת התפריט הראשי

פרצת אבטחה

חולשה ברכיב מחשוב שעולה לכדי פגיעות המאפשרת לתוקף להשיג גישה לרכיב או לפגוע בתפקודו
(הופנה מהדף פרצות אבטחה)

פרצת אבטחה בתוכנה או באתר אינטרנט היא בעיה הנובעת מעצם צורת כתיבת התוכנה או מאילוצים שונים המאפשרים לקראקר להשיג שליטה חלקית או מלאה על המחשב עליו מורצת התוכנה או אתר האינטרנט.

ישנן שלל סיבות מדוע נוצרות אותן פרצות אבטחה ולא מסולקות על ידי המתכנתים שלהן. למשל: רצון להוציא גרסה חדשה של תוכנה עד מועד אחרון מסוים ובשל כך להימנע מבדיקת מצבי שגיאה לא צפויים שונים, חוסר ידע מספיק של המתכנת או חוסר תשומת לב למצב שגיאה מסוים.

הסבר כלליעריכה

פרצות אבטחה היו מאז ומעולם בכל תוכנה, אלא שמאז ההתפתחות המהירה של האינטרנט המאפשרת להגיע לאתרים ולתוכנות בקלות, העלו מאוד את כמות ניצול אותן פרצות ואיתן את מודעות הציבור לתופעה.

אמנם ישנם מומחי אבטחה המועסקים על ידי חברות גדולות, שכל תפקידם הוא לנסות ולמצוא את הפרצות הנמצאות במוצריהן או באתרי האינטרנט שלהן וכך יוכלו לתקנן מבעוד מועד. אולם כנגדם ישנן קבוצות קראקרים (המכונים "האקרים בעלי כובע שחור") המנסים להשיג לדוגמה מידע חסוי על לקוחות של חברה גדולה לצורך מכירת המידע למתחרה שלהן.
כסיוע למומחי האבטחה ישנם גם האקרים (המכונים בעלי "כובע לבן") שאף הם מנסים למצוא פרצות אבטחה, בתמורה לתשלום או לפרסום, אך בניגוד לעמיתיהם הם מודיעים באופן מסודר לחברה, החשופה לפרצות, על אופי הפרצות ומיקומן כך שיוכלו לתקן אותן לפני שינוצלו על ידי גורמים עוינים.

דוגמאות לפרצות אבטחהעריכה

תוכנהעריכה

  • בחודש יולי 2003 תקף הווירוס Blaster מיליוני מחשבים בכל רחבי העולם אשר היו מחוברים לאינטרנט. הווירוס אשר נכתב לאחר שנמצאה פרצה בפרוטוקול RPC ‏(Remote Procedure Call - פרוטוקול קריאה לפרוצדורה מרחוק) הנמצא בשימוש על ידי רכיבי תוכנה המתקשרים דרך הרשת. הפרצה מתאפשרת לאחר שה-RPC אינו בודק נכון נתונים המועברים אליו, כך אם נעביר נתון מסוים אשר ידוע שיגרום לקריסה של רכיב תוכנה אחר שהוא בתורו מבצע את שאר הפקודות הנמצאות לאחר הנתון השגוי. על ידי כך שהקוד מבוצע ניתן להשיג שליטה מלאה על המחשב המותקף.
  • ב-2 בפברואר 2005 הודיעה חברת אבטחה על פרצת אבטחה במוצריה של חברת סימנטק, אשר מוצר הדגל שלה הוא נורטון אנטי וירוס אשר מגן על מיליוני מחשבים. פרצת האבטחה אפשרה לכותב וירוסים לשלוח וירוס בדחיסה מסוימת, והאנטי וירוס במקום לבדוק את תוכן הקובץ המכווץ, יפעיל אותו. כך ניתן להשיג שליטה מלאה על המחשב על ידי החדרת סוס טרויאני.

אתרי אינטרנטעריכה

  • ב-17 ביוני 2005 הודיעה חברת MasterCard כי פרטיהם של 40 מיליון כרטיסי אשראי הגיעו לידי אלמונים, לאחר שהצליחו להחדיר תוכנה למחשבים של חברת סליקה אשר אחסנה את מספרי כרטיסי האשראי במחשביה בניגוד להוראות.
  • פרצות באתרי קניות - פרויקט של אתר Setup

ראו גםעריכה

קישורים חיצונייםעריכה