דיווח: תולעת חודרת את מערך האבטחה של ג'ימייל

ספקיות הדואר החינמי ברשת ייאלצו בקרוב לייצר מנגנון חדש המונע מספאמרים לפתוח חשבונות אימייל פיקטיביים. מנגנון ה- CAPTCHA, שאמור לזהות באמצעות תמונה בין אדם למחשב בו נעשה שימוש היום, הופך לפחות ופחות אפקטיבי. רק השבוע דיווחה חברת אבטחה וייטנאמית כי זיהתה תולעת חדשה שמצליחה לחדור את מערך האבטחה של גוגל במטרה ליצור חשבונות דואר בג'ימייל שמנוצלים לשליחת ספאם.

לטענת החברה, Bach Koa Internetwork Security, ברגע שמחשב נדבק, התולעת פותחת את דפדפן האינטרנט אקספלורר לעמוד רישום חשבון דואר חדש בג'ימייל וממלא באופן אקראי שמות משתמש. על מנת לעבור את מכשול ה-CAPTCHA היא מעבירה את התמונה המופיעה למחשב מרוחק שמעבד אותה. לאחר שתהליך הרישום הושלם, נעשה בחשבון שימוש לשליחת ספאם. לטענת החברה, מחשב שמבצע רישומים רבים לחשבונות ג'ימייל, מאותר בסופו של דבר על ידי גוגל ונחסם.

"טכנולוגיית ה- CAPTCHA בתהליכי הרישום באתרים, נכנסה לשימוש בתחילת שנות ה-2000 כשהתקפות בשכבת האפליקציה הפכו יותר ויותר פופולאריות", אומר דיוויד ממן, סמנכ"ל טכנולוגיות בחברת אבטחת המידע Moksai: "תוקף שמעוניין לעשות שימוש לרעה באתר או לפגוע בו באופן מכוון יכול לעשות זאת באופן פשוט למדיי על ידי כתיבת קוד זדוני הפותח אוטומטית ובמקביל עשרות, מאות ואלפי תיבות דואר ב-GMAIL או YAHOO, או כל ספק חינמי של שרותי דואר".

"מנגנון ה-CAPTCHA אינו מושלם, ואפילו רחוק מאוד מכך", מוסיף ממן: "כבר בשנת 2002, שני סטודנטים מאוניברסיטת סימון פרסר בקנדה פרסמו פרויקט בשם Gimpy, שמטרתו פיצוח מנגנון ההגנה של CAPTCHA, שהצליח בלמעלה מ-92% מניסיונות הפיצוח. בשלהי שנת 2006 נכתבו מספר פתרונות שיכולים לזהות בצורה אוטומטית את האלמנטים שה-CAPTCHA מחולל, לדוגמא אתר www.captchakiller.com, שפותח כעזרה לאנשים כבדי ראייה שאינם יכולים לזהות בברור את המספרים והאותיות המעורפלים והמעוותים, ומסייע בזיהוי האוטומטי, כדי לעזור בחווית הגלישה".

התקפה מול השרות של ג'ימייל נראית הגיונית בהתייחס לאיכות הגבוהה של השרות, רוחב הפס האדיר וכמויות האחסון שהן כמעט בלתי מוגבלות ובחינם. לדברי ממן, עצירת התולעת הספציפית הזו יכולה להתבצע רק על ידי זיהוי מהיר של הקוד בו נכתבה. מיותר לציין, אומר ממן, כי הגנה חדשה תעזור רק לפרק זמן מסוים, עד לכתיבתה של תולעת חדשה.

מתברר שתופעת פריצת ה-CAPTCHA לצורך פתיחת חשבונות ספאם מוכרת בישראל: "גם בארץ חברות וספקיות שירות נתקלו בתופעות דומות של יצירת חשבונות דמה למטרות שונות", אומר אריאל פיסצקי, מנהל תפעול טכנלוגיות בחברת 888: "משלוח דואר זבל היא צורת הניצול הבסיסית ביותר, עבריינים מנצלים את שירותי הדואר גם לאחסון קבצים, תופעה שהחלה להתפתח במקביל לניסיונות החסימה של רשתות שיתוף קבצים על ידי גופים מסחריים. בנוסף, קיימים גם שירותים נוספים אותם אפשר לנצל, כגון משלוח הודעות SMS. במקרה רגיל, כל חשבון חינם יכול לשלוח רק הודעות בודדות, אבל, פורץ שיצליח לעבור את מנגנוני הרישום וייצר כמה מאות חשבונות יוכל לשלוח אלפי הודעות SMS".

מגוגל לונדון טרם נמסרה תגובה.