אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
מוזילה: מאגר הבאגים שלנו נפרץ, פיירפוקס בסכנה

מוזילה: מאגר הבאגים שלנו נפרץ, פיירפוקס בסכנה

מערכת "באגזילה", דרכה מנוהלים תיקוני התקלות בדפדפן הפופולרי, נפרצה לפני כשנה ומידע רגיש על 185 באגים נגנב ממנה. מאז השתמשו האקרים במידע לביצוע מתקפות רשת דרך פרצות אבטחה בפיירפוקס ולריגול אחר גולשים

06.09.2015, 11:21 | נמרוד צוק

גם במודל הקוד הפתוח מתרחשים לפעמים מחדלי אבטחה: האקר חדר למערכת מעקב הבאגים באגזילה, שמשמשת לניהול העבודה על תיקון באגים ופרצות בקבוצת מוזילה - והוציא ממנה מידע רגיש ששימש לביצוע התקפות על משתמשי פיירפוקס.

קראו עוד בכלכליסט

הפריצה התרחשה כבר בחודש ספטמבר 2014, באמצעות איתור הסיסמה לחשבון בעל הרשאות גישה גבוהות למערכת שבעליה עשה בה שימוש רשלני באתר אחר ומאובטח פחות. הפורץ הצליח להסתיר אותה במשך חודשים ארוכים, עד לגילויו במועד לא ידוע, כאשר רק ביום ו' האחרון החליטו במוזילה לפרסם את המקרה.

מה קרה לשועל? מה קרה לשועל? מה קרה לשועל?

במהלך התקופה הפורץ הצליח לשים ידו על 185 באגים לא ידועים לציבור, כאלו שנידינו רק במעגל הפנימי של מפתחי הדפדפן, מתוכם 53 שסווגו כ"פרצות אבטחה חמורות", כולל עשר שטרם תוקנו בגרסת הדפדפן האחרונה בעת חשיפתן. פרצה אחת בלבד, טוענים במוזילה, שימשה בפועל לצורך התקפה שבוצעה דרך באנר פרסומי באתר חדשות רוסי, שכלל קוד עוין שהעביר מידע רגיש ממחשבי הגולשים שביקרו באתר אל שרת באוקראינה. פרצה זו תוקנה רק ב-6 באוגוסט, כאשר במקרה של תשע הפרצות האחרות היו חלונות זמן של שבוע עד מספר חודשים מרגע חשפיתן לעיני הפורץ ועד שתוקנו, אבל בארגון לא מודעים לנסיונות לנצל אותן בפועל.

כל הפרצות שנחשפו בפריצה, טוענים במוזילה, תוקנו בגרסת הדפדפן ששוחררה ב-27 באוגוסט. בפוסט בבלוג הרשמי של הקבוצה היא הסבירה כי נהלי אבטחת המידע לגישה של המשתמשים בעלי ההרשאות הגבוהות אל מאגר הבאגים הודקו כדי לצמצם את הסיכון למקרים דומים בעתיד.

תגיות

9 תגובות לכתיבת תגובה לכתיבת תגובה

9.
חבל
האמת שפיירפוקס הוא הדפדפן האהוב עליי, וחבל לי שהם לא הודיעו על הפריצה בזמן אמת. לא מתאים לארגון קוד פתוח כמו מוזילה. מצד שני, זה עדיין אחד הדפדפנים הבטוחים. אם מישהו רוצה אבטחה מלאה שיתקין תוסף adblock plus ותוסף no script וככה אין סיכוי שמשהו יתקוף אותך. (אזהרה, אחרי שמתקינים no script צריך לאשר כל אתר באופן ידני בפעם הראשונה שגולשים אליו)
צ , סדום  |  10.09.15
8.
ל 3 ... עדיין ... לפי המידע מכתבה - מאכזב שמוזליה לא דווחה בזמן אמת
נכון, זה היה יכול לגרום לה נזק. אבל הודעה בדיעבד גם גורמת לנזק, בעיקר פגיעה באמון המשתמשים. מבחינתי היה עדיף להפסיק להשתמש בשועל לתקופה מוגבלת ולא לשמוע בדיבעבד שהייתה תקופה שבה הדפדפן היה חשוף ביודעין. דבר נוסף - שוב ה"באנרים" האלו .. די כבר .. הגיע הזמן לחשוב על מודלים אחרים לפרסומות יותר בטוחות ופחות מציקות. היה טוב גם אם היתה הגנה על קליל שלא במתכוון ..
j  |  08.09.15
6.
קצת סדר…
א. לא מדובר כאן בפרצה למערכת באגזילה, אלא משתמש שלא שמר כראוי על ססמתו, שהרי גם אם קיימים נהלים נוקשים על שימוש בססמאות מסובכות, מאד קשה יהיה לאכוף שימוש חוזר באותה ססמה במספר אתרים שאין בניהם שום קשר. ב. נניח שהמשתמש הנדון נפל קרבן לפישינג, באמצעות אתר שמתחזה לפייסבוק והוא הכניס בו את ססמתו לפייסבוק. לתוקף כרגע יש את הססמה שלו לפייסבוק, ואם היא תוכל לשמש אותו לגישה למערכות אחרות, הרי שכל המערכות חשופות. באותה מידה ייתכן שהתבצע ניסיון הפישינג מול אתר ספק הדואר האלקטרוני שלו, וכאשר הייתה לתוקף גישה לתיבת הדואר של המשתמש הוא ביצע איפוס ססמה, ויכול להיות שהתבצע ניסיון הפישינג גם ישירות מול באגזילה. ג. מהרגע בו לתוקף הייתה גישה למערכת באגזילה הוא יכול היה לצפות בנתונים שונים, וקשה מאד לעלות עליו כל עוד הוא לא מבצע שום פעולה במערכת מעבר לקריאת מידע – נכון, קיימות מערכות שמנסות להבדיל בין מצב בו משתמש מתחבר לחשבון שלו משני מכשירים לבין משתמשים שונים שמתחברים לאותו חשבון, למשל אם מזוהות התחברויות ממדינות שונות בהפרשי זמן קטנים, אבל כפי שניתן לנחש – זה לא אמין. ד. כפי שנכתב בהודעה הרשמית, ברגע שהתגלתה הבעיה, למשל באמצעות הטכניקה שפירטתי בסעיף הקודם הוחלפה ססמת המשתמש והוחל הליך לזיהוי המידע שעשוי לפגוע במשתמשים. למעט פרצת אבטחה אחת שהצליחה [אולי] לשמש את התוקף לצורך פגיעה במשתמשים ותוקנה לפני חודש, כל שאר בעיות האבטחה שהמשתמש עשוי היה להיחשף אליהן תוקנו גם הן זה מכבר, כך שנכון לרגע זה לתוקף אין מידע על בעיות אבטחה ”סודיות” שטרם טופלו. יודגש כי מרבית הדיווחים במערכת חשופים לכל, למעט בעיות אבטחה ומספר קטן מאד של דיווחים אחרים, שחשיפתם תסכן את ציבור המשתמשים או תפגע בפרטיותם של אנשים מסוימים. ה. כחלק מהפקת הלקחים, מעתה משולבת במערכת הגנת 2FA, שמתיימרת לצמצם את וקטור פריצה זה באמצעות חיוב בהזדהות עם קוד חד פעמי בכל התחברות של משתמשים בעלי הרשאות חזקות. מקווה שהצלחתי לעשות קצת סדר בעניינים. תומר.
תומר כהן , מוזילה ישראל  |  06.09.15
לכל התגובות