IBM ישראל פיתחה טכנולוגיה חדשה לאיתור פירצות ביישומי אינטרנט בטלפונים חכמים
מפתחים במעבדת התוכנה של IBM בישראל פיתחו טכנולוגיה חדשה המכונה "Glass Box" לאיתור פירצות ביישומי אינטרנט באמצעות כלי המדמה ניסיון פריצה חיצוני, בשילוב עם מעקב מקביל אחרי התנהלות קוד היישום בתנאי פעילות שונים.
הטכנולוגיה הודגמה בכנס השישי לאבטחת יישומי אינטרנט של התאגדות התעשייה OWASP, המשותפת לחברות המובילות בענף ומגבשת תקנים וכיווני פיתוח עתידיים לאבטחת עולם יישומי ה-Web. במהלך הכנס, שהתקיים במרכז הבינתחומי בהרצליה, הוצגו בין השאר גם בעיות המאפיינות את התרחבות השימוש בטלפונים חכמים ומכשירי טאבלט וניצולם לצורך פריצה.
עדי שהרבני, האחראי על האבטחה של כלל מוצרי IBM Rational וחבר בועדת ההיגוי של OWASP ישראל, הציג בכנס את הבעיה על ידי הדגמה של כמה משיטות הפריצה באמצעותן האקרים יכולים להשתלט על סמארטפונים, כמו למשל כאלה עם מערכת הפעלה אנדרואיד. ברבים מהמקרים האלה, הופך הקוד הזדוני המושתל במכשיר לכלי פריצה העושה שימוש בדפדפן ובתוספים הפועלים עליו על מנת לגנוב זהויות וסיסמאות, להתחקות אחרי פעולות המשתמש, ואף לשנות את המידע בו המשתמש צופה.
שתי שיטות בתהליך אחד
הטכנולוגיה החדשה של משלבת לראשונה שתי שיטות נפרדות, שהיו קיימות עד כה, לבחינת יישומים בניסיון לאתר פירצות אבטחה. שתי הטכנולוגיות האלה, מטיפוסים המכונים "Black Box" ו-"White Box", טיפלו, בנפרד, בניסיון לאתר מבחוץ את כשלי האבטחה ביישום אינטרנט באמצעות "הפצצה" חיצונית שלו בקוד זדוני המיועד לפגוע בנקודות תורפה מוכרות, או בניתוח פנימי של הקוד הנכתב ליישומים האלה, על מנת להתריע מראש על אותם כשלים.
המערכת החדשה בעצם מבצעת בתהליך אחד את שני הניתוחים הנפרדים האלה. כך, אפשר להבטיח רמה גבוהה יותר של מהימנות בבדיקות האבטחה, ולהגן טוב יותר על יישומי הרשת הנגישים ממגוון רחב של מכשירי קצה ומערכות הפעלה.
אבטחת עסקים מקוונים מפני הסיכונים האופייניים לסביבת Web 2.0 וארכיטקטורה מוכוונת שירותים, SOA, הופכת לצורך דחוף בעידן שבו נשענים יותר ויותר ארגונים על הנוכחות באינטרנט ככלי מרכזי לשירות לקוחותיהם.
קבוצת המחקר והפיתוח של IBM הפועלת בתחום זה במסגרת מעבדות התוכנה בישראל, בונה כיום מנועי סריקה חדשניים המיועדים להשתלב בפתרונות מתקדמים עתידיים כחלק מרכזי ממערך מוצרי האבטחה של IBM.