סכנה למידע בארגון: תוכנה חינמית חדשה תסייע לפרוץ למסדי הנתונים של אורקל דרך האינטרנט

בקרוב יוכלו פורצים ליהנות מכלי חדש שיסייע להם לחדור למסדי הנתונים של אורקל (Oracle), אשר משמשים חברות רבות לאחסון של פרטים אישיים ונתונים רגישים נוספים. מומחי אבטחה פיתחו כלי תוכנה אוטומטי וקל יחסית לשימוש, אשר מסייע לפרוץ מרחוק, דרך האינטרנט, למסדי נתונים של אורקל על מנת לדמות מתקפות על מערכות מחשב. אולם, למרות שהכלי פותח למטרות חיוביות לכאורה, הרי שפורצים יוכלו להשתמש בו גם למטרות פחות נאצלות.

הכלי פותח במסגרת פרויקט תוכנה שנוי במחלוקת, בעל קוד מקור פתוח, בשם Metasploit והוא מוצע בחינם באינטרנט. כריס גייטס, בוחן אבטחה שלקח חלק בפיתוח של Metasploit, יחשוף את הכלי בוועידת Black Hat שתיערך בשבוע הבא בלאס-וגאס. אלפי מומחי אבטחה יגיעו לוועידה המקצועית ויחלקו בסודות מסחריים.

"גם אנשים חסרי ניסיון, שאינם בקיאים בתחום, יכולים להוריד את התוכנה ולהפעיל אותה", אמר פיט פיניגן, יועץ עצמאי שמתמחה באבטחה של מוצרי אורקל ומייעץ לחברות גדולות ומשרדי ממשלה. פיניגן לא בחן עדיין את הכלי המסוים אך הוא מכיר, לדבריו, כלים אחרים שמקורם בפרויקט Metasploit, אשר מבצעים באופן אוטומטי רבות מהמשימות המורכבות הכרוכות בפריצה לתוכנות שונות – על מנת לאפשר גם לפורצים חובבים לחדור אליהן.

לא ניתן היה לקבל תגובה רשמית מאורקל. החברה כבר הטליאה את הפרצות שנוצלו במסגרת פרויקט Metasploit, אך לא כל הלקוחות ממהרים להתקין טלאים ומי שלא עשו זאת חשופים למתקפות שיבוצעו בעזרת הכלי החדש.

במסגרת פרויקט Metasploit פותחו כלים נוספים לניצול פרצות במוצרים שונים – ובהם מערכת ההפעלה חלונות (Windows) והדפדפנים פיירפוקס (Firefox) ואינטרנט אקספלורר (Internet Explorer). לדברי גייטס, זו הפעם הראשונה שבה פותח במסגרת הפרויקט כלי פריצה למסדי נתונים של אורקל. בעבר נעזרו בוחני אבטחה ופורצים בתוכנות אחרות כדי לפרוץ למסדי נתונים של אורקל, אך התוכנה החדשה מאפשרת לבצע את הפריצה בצורה קלה ומהירה יותר, על פי גייטס. הכלים של Metasploit זוכים לפופולאריות רבה, מוצעים בחינם ונהנים מקהל משתמשים נאמן. הם עלולים לאפשר, בין השאר, לעובדים ממורמרים לגשת לשרתי החברה מהמחשבים בעבודה או בבית ולגנוב פרטים של כרטיסי אשראי או נתונים רגישים אחרים.