כלים

אמצעי האבטחה האחרון של פייסבוק, שמשתמש בחברים שלכם בתור כלי לאימות זהותכם, יצא משלב פיתוח הבטא לאחרונה. על אף שמבקרי כנס אבטחה בקנדה תקפו את נציג פייסבוק על כך – מומחה אבטחה מקספרסקי מסביר מדוע Social Captcha הוא ניצחון על ההאקרים

פייסבוק השיקה לפני מספר חודשים כלי אבטחה חדש – Captcha מבוססת תמונות חברים בפייסבוק, שלאחרונה יצא מבטא וזמין לרוב משתמשי הרשת החברתית. אלכס רייס, נציג פייסבוק, נאם והציג את הכלי בכנס האבטחה CanSecWest, שהתרחש בשבוע שבעבר בוונקובר, קנדה. לאחר נאומו תקפו אותו רבים בקהל וטענו שכלי האבטחה החדש יהפוך את הפרופיל שלכם לטרף קל עבור האקרים שירצו להשתלט עליו. האמנם?

ה-Captcha הסטנדרטית היא תצוגת אותיות ומספרים שהמשתמש צריך להקליד כדי להוכיח שהוא לא בוט או מערכת אוטומטית שיכולה לשמש להשתלטות על חשבון מקוון. הגירסה של פייסבוק היא חברתית – במקום אותיות ומספרים, יראו המשתמשים תמונות של חברים שלהם בפייסבוק ויצטרכו לזהות אותם. פייסבוק החלה להשתמש בקפצ'ה החברתית לפני מספר חודשים אולם רק לאחרונה יצא הכלי מבטא והגיע לתפוצה רחבה.

אלו שתקפו את רייס לאחר הרצאתו טענו שעתה יהיה הרבה יותר קל לפרוץ לחשבונות פייסבוק: הבוטים האוטומטיים אמנם לא ידעו לחזור על טקסט קפצ'ה סטנדרטי, אולם אין להאקר אנושי בעיה לראות מיהם החברים של משתמש זה או אחר בפייסבוק במידה וירצה לחדור לפרופיל ספציפי – בהתקפה ממוקדת.

התקפה ממוקדת ייעודית נבנית במטרה לפרוץ לחשבון של משתמש ספציפי ודרכו לאסוף מידע או להגיע למערכת ארגונית. התקפות אלו מצריכות תכנון מעמיק, התאמה למערכת בה נמצא החשבון והרבה "טיפול אישי". מתוך כך, התקפות אלו נדירות בהרבה מניסיונות פריצה נרחבים.

"הצגת מערכת שכזו פירושה סוף להתקפות הפישינג הנרחבות בפייסבוק", מסביר רואל שוונברג, מומחה אבטחה ממעבדת קספרסקי. "הן יהפכו לבלתי יעילות". לדבריו, מערכת שמנטרלת כלי פריצה מרכזי כמו פישינג בלי לפגום בחוויית המשתמש צריכה להיחשב להצלחה גדולה. "אל לנו לשלול רעיונות ומערכות רק משום שהן לא יעילות במיוחד נגד התקפה ממוקדת ייעודית".