כלכליסט-טק

דואר אדום ועידות

כלכליסט-טק גיימריסט הקברניט IT מכשירים ומדריכים הייטק והון סיכון הסטארטאפים המבטיחים 25 שוברת קודים CES2023 +GROWTH יומנו של סטארט-אפיסט WallTech יוניסטרים 2024 מוסף מרץ 2022 תחבורת המחר הסטארטאפים המבטיחים 2023 הסטארטאפים המבטיחים הסטארט-אפים המבטיחים 22 יוניסטרים 2022 Tech@Work יוניסטרים 2023 קוקיז על חלל יוניסטרים 2025 TechTalk Growth 2025 סייבר הייטק בפקקים פטנטים וקניין רוחני דו"ח טכנולוגי

שוחרר כלי פריצה למסד הנתונים של אורקל

במסגרת פרויקט לבדיקת בטיחות במערכות מידע פיתחה קבוצת מומחי אבטחה כלי אוטומטי המאפשר לפרוץ בקלות למסד הנתונים של אורקל, הנמצא בשימוש, בין היתר, בכל הבנקים הגדולים ובצה"ל

אבנר קשתן 16:14 23.07.09

תגיות:

מסד הנתונים של אורקל, מהנפוצים ביותר בעולם, עלול להיות נתון למתקפות אבטחה רבות בזמן הקרוב, עקב כלי חדש שיאפשר לכל אדם, גם ללא הכשרה מיוחדת, לפרוץ אליו ולקבל גישה לנתונים השמורים במערכת.

קבוצת מומחי אבטחה הקימו פרויקט הנקרא Metasploit, המהווה ריכוז של כלים אוטומטיים לבדיקות אבטחה ופריצה למאגרי מידע. הפרויקט מכיל סביבת הרצה אחידה שאליה אפשר להוריד קובצי מידע על נקודות תורפה במערכות שונות, כמו חלונות או פיירפוקס, ולהריץ את המתקפות מתוך הכלי. בכנס האבטחה Black Hat, שייערך בשבוע הבא בלאס וגאס, יוצג גם קובץ מידע המכיל פרצות אבטחה בשרתי אורקל שיתווסף למאגר הפרצות של המערכת. הכלי אינו מציג פרצת אבטחה חדשה או צורת תקיפה שלא היתה קיימת קודם, אלא מאפשר ביצוע אוטומטי של מגוון פעולות שהאקרים מבצעים היום באופן ידני.

מטרת הכלי הוא לאפשר למומחי אבטחה לבדוק פרצות במערכות מחשוב כדי לסגור אותן, אבל הזמינות של הכלי והעובדה שהוא ניתן להורדה לכל דורש באינטרנט הופכות אותו לכלי מסוכן. פיט פיניגן, יועץ אבטחה המתמחה באבטחת שרתי אורקל, מסר לכתב רויטרס כי כלי כזה מאפשר לעובדים ממורמרים לגשת למערכות המידע הארגוניות ולשלוף מהם מידע, לשנות את תנאי השכר שלהם או לפגוע בנתונים, בלי צורך בהיכרות עם טכניקות פריצה למערכות.

פרויקט Metasploit שונה מרוב פרויקטי האבטחה בכך שהוא מאפשר לכל מי שמעוניין בכך להוריד את הכלים ולהשתמש בהם, ולא משאיר אותם בידיהם של מומחי אבטחה. על פי אלן פאלר, מנהל המחקר של מכון SANS המכשיר יועצי אבטחה ופורצי מערכות, אין דרך למנוע מהכלי ליפול לידיהם של אנשים שינצלו אותם לצרכים זדוניים.

חברת אורקל מספקת מערכות מידע ומסדי נתונים לגופים הגדולים בעולם, כמו רשת המרכולים וול-מארט (רשת הקמעונות הגדולה בארצות הברית) או ענק האינטרנט יאהו. בישראל מוצריה משמשים במערכות מרכזיות בכל הבנקים הגדולים, בגופים פיננסיים אחרים וגם בצה"ל. בשנת 2007 העיד מנכ"ל אורקל ישראל משה חורב כי צה"ל הוא "הלקוח הגדול ביותר שלנו". מסד הנתונים של אורקל משמש בין השאר לאחסון נתונים רגישים כמו פרטים אישיים ונתוני סליקת כרטיסי אשראי.

חברת אורקל לא הגיבה לשחרור כלי הפריצה, אך בדיקה העלתה כי היא הוציאה תיקונים לפרצות האבטחה שעליהן התבסס הכלי. למרות זאת, מומחים מעריכים כי ייקח זמן עד שהפרצות ייסתמו על כל שרתי אורקל בארגונים השונים.