פרצת אבטחה

פרצת אבטחה היא פגם בעיצוב, מימוש או פעולה של מערכת דיגיטלית, אותו ניתן לנצל על מנת להפר את מדיניות האבטחה שלה.

בתוכנה או באתר אינטרנט היא בעיה הנובעת מעצם צורת כתיבת התוכנה או מאילוצים שונים המאפשרים להאקר להשיג שליטה חלקית או מלאה על המחשב עליו מורצת התוכנה או אתר האינטרנט.

ישנן שלל סיבות מדוע נוצרות אותן פרצות אבטחה ולא מסולקות על ידי המתכנתים שלהן. למשל: רצון להוציא גרסה חדשה של תוכנה עד מועד אחרון מסוים ובשל כך להימנע מבדיקת מצבי שגיאה לא צפויים שונים, חוסר ידע מספיק של המתכנת או חוסר תשומת לב למצב שגיאה מסוים.

הסבר כללי

פרצות אבטחה היו מאז ומעולם בכל תוכנה, אלא שמאז ההתפתחות המהירה של האינטרנט המאפשרת להגיע לאתרים ולתוכנות בקלות, העלו מאוד את כמות ניצול אותן פרצות ואיתן את מודעות הציבור לתופעה.

אמנם ישנם מומחי אבטחה המועסקים על ידי חברות גדולות, שכל תפקידם הוא לנסות ולמצוא את הפרצות הנמצאות במוצריהן או באתרי האינטרנט שלהן וכך יוכלו לתקנן מבעוד מועד. אולם כנגדם ישנן קבוצות האקרים (המכונים "האקרים בעלי כובע שחור") המנסים להשיג לדוגמה מידע חסוי על לקוחות של חברה גדולה לצורך מכירת המידע למתחרה שלהן.
כסיוע למומחי האבטחה ישנם גם האקרים (המכונים בעלי "כובע לבן") שאף הם מנסים למצוא פרצות אבטחה, בתמורה לתשלום או לפרסום, אך בניגוד לעמיתיהם הם מודיעים באופן מסודר לחברה, החשופה לפרצות, על אופי הפרצות ומיקומן כך שיוכלו לתקן אותן לפני שינוצלו על ידי גורמים עוינים.

דוגמאות לפרצות אבטחה

תוכנה

• בחודש יולי 2003 תקף הווירוס Blaster מיליוני מחשבים בכל רחבי העולם אשר היו מחוברים לאינטרנט. הווירוס אשר נכתב לאחר שנמצאה פרצה בפרוטוקול RPC (Remote Procedure Call - פרוטוקול קריאה לפרוצדורה מרחוק) הנמצא בשימוש על ידי רכיבי תוכנה המתקשרים דרך הרשת. הפרצה מתאפשרת לאחר שה-RPC אינו בודק נכון נתונים המועברים אליו, כך אם נעביר נתון מסוים אשר ידוע שיגרום לקריסה של רכיב תוכנה אחר שהוא בתורו מבצע את שאר הפקודות הנמצאות לאחר הנתון השגוי. על ידי כך שהקוד מבוצע ניתן להשיג שליטה מלאה על המחשב המותקף.
• ב-2 בפברואר 2005 הודיעה חברת אבטחה על פרצת אבטחה במוצריה של חברת סימנטק, אשר מוצר הדגל שלה הוא נורטון אנטי וירוס אשר מגן על מיליוני מחשבים. פרצת האבטחה אפשרה לכותב וירוסים לשלוח וירוס בדחיסה מסוימת, והאנטי וירוס במקום לבדוק את תוכן הקובץ המכווץ, יפעיל אותו. כך ניתן להשיג שליטה מלאה על המחשב על ידי החדרת סוס טרויאני.

אתרי אינטרנט

• ב-17 ביוני 2005 הודיעה חברת MasterCard כי פרטיהם של 40 מיליון כרטיסי אשראי הגיעו לידי אלמונים, לאחר שהצליחו להחדיר תוכנה למחשבים של חברת סליקה אשר אחסנה את מספרי כרטיסי האשראי במחשביה בניגוד להוראות.
• בדצמבר 2004 אתר Setup חשף פרצות באתרי קניות שאפשרו גישה למסדי הנתונים שלהם.^[1]
• ביוני 2020 אופיר מוסקוביץ' חשף בעיית אבטחה באתר אינטרנט של אכ"א שאיפשר מתקפת brute force להתחברות לאתר וככל הנראה אפשר השגת מידע אישי על כלל החיילים בצה"ל ושהיו בו בעבר.^[2]

ראו גם

• אקספלויט
• הזרקת קוד
• פירצת Buffer Overflow
• Concon - באג
• Security.txt

קישורים חיצוניים

• Microsoft Security Center, אתר מיקרוסופט המטפל בפרצות אבטחה של תוכנות מיקרוסופט
• Patches טלאי אבטחה באתר נובל, כולל לינוקס SUSE
• Apple Product Security, באתר האבטחה של אפל
•   אמיתי זיו, קוד פתוח לרווחה: פרצות האבטחה שמדאיגות מפתחי תוכנה בכל העולם, באתר TheMarker‏, 26 במאי 2019

הערות שוליים

1. אתרי קניות פרוצים, פרטי הלקוחות חשופים לכל, באתר Setup, ‏6 בדצמבר 2004 (ארכיון)
2. רפאל קאהאן, מחדל אבטחה ופרטיות בצה"ל: מתחזים יכולים להשיג אישורי פרט באתר האינטרנט של אכ"א, באתר כלכליסט, 3 ביוני 2020

מיזמי קרן ויקימדיה
ספר לימוד בוויקיספר: אבטחת מידע
תמונות ומדיה בוויקישיתוף: פרצת אבטחה