פרצת אבטחה

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש

פרצת אבטחה בתוכנה או באתר אינטרנט היא בעיה הנובעת מעצם צורת כתיבת התוכנה או מאילוצים שונים המאפשרים לקראקר להשיג שליטה חלקית או מלאה על המחשב עליו מורצת התוכנה או אתר האינטרנט.

ישנן שלל סיבות מדוע נוצרות אותן פרצות אבטחה ולא מסולקות על ידי המתכנתים שלהן. למשל: רצון להוציא גרסה חדשה של תוכנה עד מועד אחרון מסוים ובשל כך להימנע מבדיקת מצבי שגיאה לא צפויים שונים, חוסר ידע מספיק של המתכנת או חוסר תשומת לב למצב שגיאה מסוים.

הסבר כללי[עריכת קוד מקור | עריכה]

פרצות אבטחה היו מאז ומעולם בכל תוכנה, אלא שמאז ההתפתחות המהירה של האינטרנט המאפשרת להגיע לאתרים ולתוכנות בקלות, העלו מאוד את כמות ניצול אותן פרצות ואיתן את מודעות הציבור לתופעה.

אמנם ישנם מומחי אבטחה המועסקים על ידי חברות גדולות, שכל תפקידם הוא לנסות ולמצוא את הפרצות הנמצאות במוצריהן או באתרי האינטרנט שלהן וכך יוכלו לתקנן מבעוד מועד. אולם כנגדם ישנן קבוצות קראקרים (המכונים "האקרים בעלי כובע שחור") המנסים להשיג לדוגמה מידע חסוי על לקוחות של חברה גדולה לצורך מכירת המידע למתחרה שלהן.
כסיוע למומחי האבטחה ישנם גם האקרים (המכונים בעלי "כובע לבן") שאף הם מנסים למצוא פרצות אבטחה, בתמורה לתשלום או לפרסום, אך בניגוד לעמיתיהם הם מודיעים באופן מסודר לחברה, החשופה לפרצות, על אופי הפרצות ומיקומן כך שיוכלו לתקן אותן לפני שינוצלו על ידי גורמים עוינים.

דוגמאות לפרצות אבטחה[עריכת קוד מקור | עריכה]

תוכנה[עריכת קוד מקור | עריכה]

  • בחודש יולי 2003 תקף הוירוס Blaster מיליוני מחשבים בכל רחבי העולם אשר היו מחוברים לאינטרנט. הוירוס אשר נכתב לאחר שנמצאה פרצה בפרוטוקול RPC ‏(Remote Procedure Call - פרוטוקול קריאה לפרוצדורה מרחוק) הנמצא בשימוש על ידי רכיבי תוכנה המתקשרים דרך הרשת. הפרצה מתאפשרת לאחר שה-RPC אינו בודק נכון נתונים המועברים אליו, כך אם נעביר נתון מסוים אשר ידוע שיגרום לקריסה של רכיב תוכנה אחר שהוא בתורו מבצע את שאר הפקודות הנמצאות לאחר הנתון השגוי. על ידי כך שהקוד מבוצע ניתן להשיג שליטה מלאה על המחשב המותקף.
  • ב-2 בפברואר 2005 הודיעה חברת אבטחה על פרצת אבטחה במוצריה של חברת סימנטק, אשר מוצר הדגל שלה הוא נורטון אנטי וירוס אשר מגן על מיליוני מחשבים. פרצת האבטחה אפשרה לכותב וירוסים לשלוח וירוס בדחיסה מסוימת, והאנטי וירוס במקום לבדוק את תוכן הקובץ המכווץ, יפעיל אותו. כך ניתן להשיג שליטה מלאה על המחשב על ידי החדרת סוס טרויאני.

אתרי אינטרנט[עריכת קוד מקור | עריכה]

  • ב-17 ביוני 2005 הודיעה חברת MasterCard כי פרטיהם של 40 מיליון כרטיסי אשראי הגיעו לידי אלמונים, לאחר שהצליחו להחדיר תוכנה למחשבים של חברת סליקה אשר איחסנה את מספרי כרטיסי האשראי במחשביה בניגוד להוראות.
  • פרצות באתרי קניות - פרויקט של אתר Setup

ראו גם[עריכת קוד מקור | עריכה]

קישורים חיצוניים[עריכת קוד מקור | עריכה]