פרצת אבטחה

פרצת אבטחה בתוכנה או באתר אינטרנט היא בעיה הנובעת מעצם צורת כתיבת התוכנה או מאילוצים שונים המאפשרים לקראקר להשיג שליטה חלקית או מלאה על המחשב עליו מורצת התוכנה או אתר האינטרנט.

ישנן שלל סיבות מדוע נוצרות אותן פרצות אבטחה ולא מסולקות על ידי המתכנתים שלהן. למשל: רצון להוציא גרסה חדשה של תוכנה עד מועד אחרון מסוים ובשל כך להימנע מבדיקת מצבי שגיאה לא צפויים שונים, חוסר ידע מספיק של המתכנת או חוסר תשומת לב למצב שגיאה מסוים.

הסבר כללי

פרצות אבטחה היו מאז ומעולם בכל תוכנה, אלא שמאז ההתפתחות המהירה של האינטרנט המאפשרת להגיע לאתרים ולתוכנות בקלות, העלו מאד את כמות ניצול אותן פרצות ואיתן את מודעות הציבור לתופעה.

אמנם ישנם מומחי אבטחה המועסקים על ידי חברות גדולות, שכל תפקידם הוא לנסות ולמצוא את הפרצות הנמצאות במוצריהן או באתרי האינטרנט שלהן וכך יוכלו לתקנן מבעוד מועד. אולם כנגדם ישנן קבוצות קראקרים (המכונים "האקרים בעלי כובע שחור") המנסים להשיג לדוגמה מידע חסוי על לקוחות של חברה גדולה לצורך מכירת המידע למתחרה שלהן.
כסיוע למומחי האבטחה ישנם גם האקרים (המכונים בעלי "כובע לבן") שאף הם מנסים למצוא פרצות אבטחה, בתמורה לתשלום או לפרסום, אך בניגוד לעמיתיהם הם מודיעים באופן מסודר לחברה, החשופה לפרצות, על אופי הפרצות ומיקומן כך שיוכלו לתקן אותן לפני שינוצלו על ידי גורמים עוינים.

דוגמאות לפרצות אבטחה

תוכנה

• בחודש יולי 2003 תקף הווירוס Blaster מיליוני מחשבים בכל רחבי העולם אשר היו מחוברים לאינטרנט. הווירוס אשר נכתב לאחר שנמצאה פרצה בפרוטוקול RPC ‏(Remote Procedure Call - פרוטוקול קריאה לפרוצדורה מרחוק) הנמצא בשימוש על ידי רכיבי תוכנה המתקשרים דרך הרשת. הפרצה מתאפשרת לאחר שה-RPC אינו בודק נכון נתונים המועברים אליו, כך אם נעביר נתון מסוים אשר ידוע שיגרום לקריסה של רכיב תוכנה אחר שהוא בתורו מבצע את שאר הפקודות הנמצאות לאחר הנתון השגוי. על ידי כך שהקוד מבוצע ניתן להשיג שליטה מלאה על המחשב המותקף.
• ב-2 בפברואר 2005 הודיעה חברת אבטחה על פרצת אבטחה במוצריה של חברת סימנטק, אשר מוצר הדגל שלה הוא נורטון אנטי וירוס אשר מגן על מיליוני מחשבים. פרצת האבטחה אפשרה לכותב וירוסים לשלוח וירוס בדחיסה מסוימת, והאנטי וירוס במקום לבדוק את תוכן הקובץ המכווץ, יפעיל אותו. כך ניתן להשיג שליטה מלאה על המחשב על ידי החדרת סוס טרויאני.

אתרי אינטרנט

• ב-17 ביוני 2005 הודיעה חברת MasterCard כי פרטיהם של 40 מיליון כרטיסי אשראי הגיעו לידי אלמונים, לאחר שהצליחו להחדיר תוכנה למחשבים של חברת סליקה אשר איחסנה את מספרי כרטיסי האשראי במחשביה בניגוד להוראות.
• פרצות באתרי קניות - פרויקט של אתר Setup

ראו גם

• אקספלויט
• הזרקת קוד
• פירצת Buffer Overflow
• פירצת Format String
• אתגרי האקינג
• Concon - באג

קישורים חיצוניים

מיזמי קרן ויקימדיה
ספר לימוד בוויקיספר: אבטחת מידע

• נענע - ניצול פרצות בתוכנות ההאקרים מגלים תחומי עניין חדשים
• Microsoft Security Center, אתר מיקרוסופט המטפל בפרצות אבטחה של תוכנות מיקרוסופט
• Patches טלאי אבטחה באתר נובל, כולל לינוקס SUSE
• Apple Product Security, באתר האבטחה של אפל

22098779פרצת אבטחה