חוקרים ישראלים: "מצאנו פרצת אבטחה חמורה בויקיפדיה"
עובדי מחלקת חקר האיומים של צ'קפוינט גילו דרך בה האקרים יכולים להשתלט מרחוק על אחד מאתרי האינטרנט הגדולים בעולם ולהשתיל בו רוגלות. הפרצה משפיעה גם על מאות אלפי אתרים נוספים
21:1829.01.14
פרצת אבטחה חמורה במיוחד התגלתה בפלטפורמת מדיה-ויקי (MediaWiki), עליה מסתמכים מאות אלפי אתרים ברחבי האינטרנט, בהם גם האנציקלופדיה המקוונת ויקיפדיה, אחד מעשרת האתרים הנצפים ביותר באינטרנט. הפרצה אותרה על ידי קבוצת חוקרים ישראלים במרכז המו"פ של חברת צ'קפוינט , המתמחה במחקרי אבטחה של תוכנה, חומרה ותשתיות.
ג'ימי ויילס, מייסד ויקיפדיה, האתר הגדול ביותר המשתמש בפלטפורמת מדיהויקי צילום: בלומברג
קראו עוד בכלכליסט:
- הטכנולוגיה שתציל אותך מאלימות משטרתית
- ויקיפדיה לעולם השלישי: "גישה למידע היא זכות בסיסית"
- חייו ומותו של עמוד הויקיפדיה של סטיב ג'ובס
בשיחה עם "כלכליסט" סיפרו ענבר רז, מנהל מרכז המחקר העוסק בפרצות אבטחה, ושחר טל, מנהל הצוות העוסק בכך, שמדובר בפירצה מסוג RCE – Remote Code Execution. זוהי אחת הפירצות החמורות והעמוקות שיכולות להתגלות באתר אינטרנט, שמאפשרת הפעלת קוד מרחוק על האתר.
ג'ימי ויילס, מייסד ויקיפדיה, האתר הגדול ביותר המשתמש בפלטפורמת מדיהויקי צילום: בלומברג לפי טל, זוהי הפרצה השלישית מסוג RCE שהתגלתה בקוד של מדיה-ויקי מאז השקת הפלטפורמה ב-2006, אבל היא ככל הנראה הפרצה החמורה ביותר – בגלל שאינה דורשת כלים מיוחדים, תוספי דפדפן, או ידע מתקדם. הוא מסביר כי ניתן לבצע את הפירצה מתוך הדפדפן, ושהיא מאוד פשוטה לביצוע ושחזור.
חמור מכך, הפרצה מאפשרת להאקר לקבל גישה מלאה לשרת האינטרנט עליו יושב האתר, עם כל המשמעויות הנילוות לכך. ההאקר יכול למעשה לגשת למסד הנתונים של האתר, למערכת הפנים-ארגונית בהנחה והאתר מחובר אליה, לרשימת המשתמשים שלו ועוד. ניתן גם להשתיל באתר בקלות קוד זדוני, ולהפוך כל אתר ויקי למפיץ של רוגלות וטרויאנים. במקרה של ויקיפדיה, ההאקר יוכל גם לקבל גישה לכל פרטי העורכים ולהיסטוריית העריכה.
טל הסביר כי חוקי צ'קפוינט מצאו את חור האבטחה בסריקה שגרתית, ב-19 לינואר. הם דיווחו במהירות לקרן ויקימדיה, המנהלת את פרויקט ויקיפדיה ומדיה ויקי, וסיפקו גם הוכחות לקיום חור האבטחה והצעות לתיקונו. לפי טל, הקרן תיקנה את חור האבטחה בויקיפדיה בתוך שעות, ואמש (ג') השיקה את גרסה 1.22.2 לפלטפורמת האתרים, עם עדכון אבטחה. בתקווה, רוב האתרים העצמאיים יתקנו את התקלה במהירות. האתר הרשמי של ויקיפדיה כבר, כאמור, בטוח שוב.
מכיוון שעדכון התוכנה אינו אוטומטי, חברת צ'קפוינט ביקשה לאפשר למנהלי האתרים חלון של 24 שעות לפני פרסום הכתבה שבו יוכלו להספיק לעדכן את האתר שלהם, ויוכלו להספיק לסגור את חור האבטחה. "יש חשש משמעותי שפורצים ינצלו את הפרצה באופן מיידי" מזהיר טל. "יש כאן חלון הזדמנות גדול".
200 מיליון גולשים נמצאים בסכנה
מדיהויקי היא פלטפורמת קוד-פתוח מבוססת PHP המאפשרת יצירת אתרי ויקיפדיה פרטיים ופומביים בחינם. יש כיום מאות אלפי אתרי ויקי בעולם, חלקם הנכבד עוסק בנושאים כגון ספרים, סרטים וסדרות טלוויזיה. ישנם גם לא מעט אתרי ויקי פנימיים של ארגונים גדולים כגון בנקים ואוניברסיטאות שכולם מבוססים על מדיהויקי וכולם פגיעים להתקפה.
לאתר ויקיפדיה ולאתר wikia, המרכז למעלה מ-410 אלף אתרי ויקי קהילתיים, יש ביחד למעלה מ-200 מיליון מבקרים בחודש. לא ידוע כמה אתרי ויקי יש בכלל בעולם, אבל המספר יכול להיות גבוה ממיליון. טל מציין כי לא כל אתר ויקי פריץ, אלא רק כאלו שאפשרו העלאת קבצי PDF ופורמטים נוספים. עם זאת, לפי טל, מדובר בהגדרה מאוד פופולרית המופעלת ברוב אתרי ויקי בעולם.
צוות המחקר של צ'קפוינט יושב במשרדי החברה בתל אביב ומונה כעת כ-20 עובדים, תחת ניהולם של רז וטל. המרכז צפוי להתרחב במהלך השנה הקרובה.
