ראשי
עוד...
![Apple-Mac-Vulnerable-Shellshock-Bash-Bug[1]](http://www.pcmagazine.co.il/lib/uploads/Apple-Mac-Vulnerable-Shellshock-Bash-Bug1-425x283.jpg)
7/5/2009 18:23
-
-
מומחים: פרצות באתרי אקדמיה מאפשרות גניבת פרטים חסויים
צוות העורכים
פורסם ב: 30 יוני 2009עוד במגזין ...
לאחרונה בפורום
מוסדות רבים אינם מצפינים את התקשורת בין הסטודנטים לאתרי המוסדות וכך מאפשרים לפורץ לגנוב פרטי סטודנטים ועובדיםמאת עודד ירון (הארץ)
סטודנטים בשורה של מוסדות אקדמיים בארץ חשופים לגניבת מידע – וייתכן שאף לגניבת פרטי האשראי שלהם. את בעיית האבטחה חשף בוריס שטרסמן, מפתח תוכנה חופשית, בבלוג שלו http://myrtfm.blogspot.com.
לדבריו, קיימות בעיות אבטחה ברבים מהמוסדות האקדמיים בארץ, בהם אוניברסיטת תל אביב, אוניברסיטת בר אילן, האוניברסיטה העברית ואוניברסיטת חיפה. המערכות המדוברות הן מערכות סל"ע (HighLearn) של חברת בריטניקה או מערכת מכלול 2000 – מכלול-נט – של חברת ראשים. המערכות משמשות לממטרות רבות כמו לקרוא מאמרים, להשתתף בפורומים אקדמיים וכדי לנהל דיאלוג עם המרצים. הבעיה נובעת מאי שימוש בטכנולוגיית הצפנה של המידע הזורם בין מחשב הסטודנט, או במקרים מסוימים המרצה, לבין שרת האוניברסיטה.
בשל היעדר ההצפנה, ניתן לצותת לתעבורת המידע מבלי ששולח המידע – התלמיד, המרצה – או האתר של האוניברסיטה יידעו שהפורץ "נמצא על הקו". לדברי שטרסמן, מערכות המידע פותחו בלי לעמוד בתקנים הבינלאומים לכתיבת אתרים. "מצפצפים על הסטודנטים ומשתמשים בתוכנות שלא עובדות בדפדפנים אחרים או במערכות הפעלה שונות מזו של המפתח. זה כמו להגדיר שהאוטו החדש שלך יסע רק בכביש 6".
לדברי שטרסמן, באמצעות טכניקת "האזנה פשוטה" – התחברות לרשת האלחוטית של המשתמש ושימוש ב"תוכנת ריגול" בסיסית – ניתן לגלות את הפרטים הבאים על כל אדם הלומד במוסד: שם פרטי ומשפחה, שם משתמש, דואר אלקטרוני, תעודת זהות, כתובת, מצב משפחתי, תשלומים ועוד פרטים רבים.
לאחר איתור שם המשתמש והסיסמה, יכול הגורם העוין להמשיך ו"לדלג בין שרתי המוסד האקדמי", מבלי שהמערכת תדע על כך, ולדלות גם פרטים יותר מהותיים, כמו מספרי כרטיס אשראי. שטרסמן מבקש להדגיש כי אפשרי רק במקרה שבו מופעלת מערכת סליקה (סליקה) שאיננה מאובטחת קיימת בעיה.
חוקר האבטחה רביב רז, מחברת אפליקיור, הבהיר אתמול כי זה אינו המקרה הראשון בו נמצאות פרצות באתרי האוניברסיטאות. רז הוסיף כי באחד המקרים אף מצא פרצה בתוכנית ללימודי אבטחת מידע במוסד אקדמי.
מחברת ראשים נמסר כי מדובר במערכת שנכתבה בטכנולוגיה מיושנת, בת כתשע שנים, וכי בחברה עובדים על גרסה מתקדמת. מבריטניקה נמסר כי היא תומכת בתקנים מחמירים של אבטחת מידע, ונמצאת בתהליך עדכון מתמיד בנושא. מאוניברסיטת חיפה נמסר כי חלק מבעיות ההצפנה שנחשפו כלל אינן קיימות במערכת המחשבים שלה. מאוניברסיטאות בר אילן ובן גוריון נמסר כי הן בעיצומה של הצפנת מערכות התקשורת וכי הן אמורות לכלול חומר לימודי בלבד, לא כרטיסי אשראי או מידע רפואי.
מהאוניברסיטה העברית נמסר כי היא מפעילה מספר מערכות ייעודיות שמטרתן להצפין את תהליכי ההתחברות והכניסה אל מערכות העוסקות בגבייה, ציונים או מידע רגיש אחר. במערכת High-Learn ההזדהות אכן אינה מוצפנת וקיימות בה בעיות תאימות מול דפדפנים מסוימים. האוניברסיטה פועלת מול יצרן התוכנה בניסיון לפתור את שתי הבעיות.
ואולם, יש לציין כי אין קשר בין מערכת ה- High-Learn לבין סליקת כרטיסי אשראי או למידע רפואי אישי. מערכת זו אינה מיועדת לאחסון מידע רגיש אלא רק חומר לימודי. נוסף על כך, משתמשים בעלי זכויות גורפות במערכת נדרשים להשתמש במחולל סיסמאות לצורכי הזדהות.
מאוניברסיטת ת"א נמסר כי המידע אינו נכון לגבי אוניברסיטת תל אביב, הן בנוגע להליך ההזדהות שהינו מוגן, והן בנוגע למידע המוחזק במערכת – לדוגמא איננו מחזיקים במערכת זו פרטים כלשהם הנוגעים לכרטיסי אשראי ותשלומים.
הן הנאמר בגוף הכתבה והן הכותרת מהווים פגיעה מהותית באוניברסיטה, החל במוניטין שלה, וכלה ביצירת חשש מהותי, ללא כל בסיס, של סטודנטים לכך שפרטים חיוניים כמו כרטיסי אשראי שלהם חלילה חשופים.
תגובה אחת לכתבה זו.
