תוכנת החיפוש של גוגל למחשבים אישיים חשופה לגירסה של מתקפת web לא מוכרת בשם anti-DNS pinning, העלולה לתת לתוקף גישה לכל הקבצים במחשב שנסרקו על ידי תוכנת Google Desktop - כך נמסר מחוקרי אבטחה שונים.
מדובר בבעיית האבטחה השנייה המדווחת בימים האחרונים בהקשר לתוכנה. ביום רביעי נאמר על ידי חוקרים בחברת Watchfire שהם מצאו נקודת תורפה העלולה לאפשר לתוקפים לקרוא קבצים או להפעיל תוכנות בלתי מורשות במחשבים בהם פועלת גוגל Desktop.
גם בפרצה החדשה, כמו במקרה הבאג של Watchfire, התוקפים יצטרכו, קודם כל, לנצל פרצה באתר גוגל - כך אומר רוברט האנסן, חוקר האבטחה העצמאי שדיווח לראשונה על המתקפה. "אפשר לשאוב עכשיו את כל הנתונים במחשב ישירות אל המחשב של התוקף", הוא אומר. פרצות מסוג זה (Cross-site scripting) הן נקודות תורפה נפוצות בשרתי אינטרנט, שאפשר לנצלן כדי להפעיל קוד בלתי מורשה בדפדפן של הקורבן.
האנסן, שהוא מנכ"ל חברת Sectheory.com לא פירסם קוד להוכחת ישימות המתקפה, אך לדבריו, הוא "בחן את כל היבטיה, והיא אכן פועלת". הוא פירסם כמה פרטים באשר לסכנה בה נמצאים נתונים בבלוג שלו, (http://tinyurl.com/27gs5e).
לדברי גוגל, החברה חוקרת את ממצאיו של האנסן. "בנוסף, הוספנו לאחרונה שכבה נוספת של בדיקות אבטחה לגירסה האחרונה של Google Desktop כדי להגן על משתמשים מנקודות תורפה הקשורות לאינטגרציה עתידית של חיפושים ב-web", נמסר מהחברה בהודעה מוכנה.
התחום, anti-DNS pinning, הוא תחום חדש של מחקר אבטחה, שרק קומץ חוקרים מבינים בו, אומר ג'רמיה גרוסמן, מנהל טכנולוגי ראשי בחברת WhiteHat Security. "לאחר שאתה יכול להפנות מחדש את גוגל לכתובת IP אחרת, במקום שהתעבורה תגיע לגוגל, היא תגיע לפורץ", הוא אומר.
מכיוון שקשה לבצע מתקפה מסוג זה ולרדת לעומקה, לא סביר שעבריינים אכן ישתמשו בה בקרוב, אומר גרוסמן. אבל אסור להתעלם מ-anti-DNS pinning, הוא מוסיף. "אנחנו חייבים לפקוח עליה עין למקרה שהעבריינים יעבירו הילוך".
החדשות על המתקפה מגיעות בעת שגוגל מנסה לחדור לשוק תוכנות הפרודוקטיוויות. ביום חמישי השיקה גוגל חבילה של תוכנות שיתוף מבוססות web, בשם גוגל Apps Premier Edition, ולדברי אנליסטים היא יכולה להפוך למתחרה לחבילת Office של מיקרוסופט.
הדבר המדאיג באשר למתקפה שזיהה האנסן, הוא שיש מעט מאוד מה לעשות כדי להימנע ממנה. "מדובר, במהותו של דבר, באופן בו עובדים הדפדפנים", הוא אומר. "אם אתה מאפשר לאתר אינטרנט גישה לכונן שלך - כדי לשנות דברים, לבצע אינטגרציה או מה שלא יהיה - אתה מסתמך על כך שהאתר הזה יהיה מאובטח".
האנסן וגרוסמן אומרים שגוגל אינה החברה היחידה החשופה לקטגוריה הולכת וגדלה של מתקפות מבוססות אינטרנט. לדוגמה, אתר מייספייס נפגע כשתולעת התפשטה במהירות בקהילת האתר בתחילת דצמבר, גנבה סיסמאות כניסה ופירסמה אתרי אינטרנט.
"הרבה מטכניקות המתקפה החדשות הללו מצריכות שיפור של הדפדפנים", אומר גרוסמן. "למשתמשים יש יכולת קטנה מאוד להגן על עצמם מפני המתקפות האלה", הוא מוסיף. "זה רע מאוד. אפילו המומחים כבר מפחדים להקליק על קישורים של מומחים אחרים".
בעיית אבטחה נתגלתה ביישום גוגל דסקטופ - השנייה בשבוע אחד
IDG
25.2.2007 / 15:05