ליאהו לא מגיע שבח על אבטחה משופרת

כן, יאהו הפעילה סוף סוף הצפנת HTTPS עבור משתמשי הדואר שלה, אך היא לא נראית כאילו החברה השקיעה מאמץ כלשהו בכדי לעשות זאת בצורה מאובטחת באופן משמעותי.

ג'ף בונפורטה, סגן נשיא בכיר של מוצרי תקשורת, כתב ג'ייף בונפורטה, סגן נשיא בכיר של מוצרי תקשורת, כתב כבר כל ברירת המחדל של Yahoo Mail - בין אם באינטרנט, באינטרנט, ביישומים ניידים, או אפילו באמצעות IMAP, POP ו- SMTP. Tumblr של יאהו מייל השבוע. מהלך זה יגן על כל תוכן הדוא"ל, הקבצים המצורפים, אנשי הקשר, מידע על לוח השנה ואפילו על מסנג'ר, כאשר הם נעים בין דפדפן המשתמש לשרתים של יאהו. מומחי אבטחה הזהירו שזה לא מספיק.

טוד בירדסלי, מנהל ההנדסה של Metasploit ב- Rapid7, מסר טוד בירדסלי, מנהל ההנדסה של Metasploit ב- Rapid7, "ההצהרה של יאהו כי היא אפשרה הצפנת HTTPS לכל משתמשי Yahoo Mail היא לא רק מעט מדי מאוחרת מדי, אלא גם די מטרידה.

אשראי איפה אשראי נדרש

יאהו החלה להציע למשתמשים מודעי אבטחה את האפשרות להפעיל את עצמם HTTPS בסוף 2012. השינוי האחרון פירושו שההצפנה מופעלת כעת כברירת מחדל, ומגינה על כולם, ולא רק על אלה שהצטרפו לביטחון רב יותר. בהתחשב בכך שרוב המשתמשים אף פעם לא מסתובבים בהגדרות, דבר טוב ש- Yahoo סוף סוף הפעילה HTTPS כברירת מחדל. ל- Gmail יש HTTPS כברירת מחדל מאז 2010, מיקרוסופט השיקה את Outlook.com ביולי 2012 עם תכונה זו כברירת מחדל, ופייסבוק החלה לפרוס HTTPS כברירת מחדל למשתמשים בנובמבר 2012.

איחור למסיבה לא יהיה נורא אם יאהו באמת חשב על כמה מהחלטות האבטחה שלו. בעוד שפריסת הצפנה כברירת מחדל היא "צעד גדול קדימה עבור יאהו", "התצורה החדשה משאירה הרבה רצוי", אמר איוואן ריסטיק, מנהל מחקרי אבטחת יישומים בחברת האבטחה Qualys, ל- Security Watch . הנושא הגדול ביותר קשור לעובדה שיאהו החליטה לא לתמוך בפרפקט פורוורד סודיות (PFS).

"ללא סודיות קדימה, אפילו נתונים מוצפנים נמצאים בסיכון לכשירות מפשרת מפתח פרטי", הזהיר ריסטיק.

פריימר מהיר של PFS

עם הצפנת HTTPS בסיסית, האקרים (או סוכני ממשלה) שתופסים את זרם הנתונים אינם יכולים לקרוא את התוכן מכיוון שאין להם את המפתח הפרטי של יאהו. עם זאת, אם הם רכשו את המפתח במועד מאוחר יותר, הם היו יכולים לחזור ולפענח את הנתונים שנלכדו קודם. אם האתר יישם את סודיות פרפוד Foward, אז גם אם מישהו יזכה בגישה למפתח במועד מאוחר יותר, אותו אדם לא יכול לחזור ולפתוח את כל ההפעלות הישנות יותר.

ישנן מספר דרכים בהן ניתן היה לחשוף את המפתח הפרטי: התקפה על שרתי יאהו לגניבת המפתח או גילוי חולשה בצפנה עצמה. יאהו עשויה אף למסור את המפתח, בהתנדבות ובין אם בגלל צו בית משפט.

"אני לא יכול לחשוב על סיבה לגיטימית להעדיף את אסטרטגיית ההצפנה החלשה הזו, " אמר בירדסלי.

לא מספיק טוב

ישנן בעיות אחרות ביישום של יאהו, על פי Ristic. חלק משרתי הדואר האלקטרוני של יאהו משתמשים ב- RC4 כקודד המועדף, אך RC4 נחשב כחלש. לאחרונה סקרו מיקרוסופט וסיסקו את השימוש ב- RC4. כמו כן, הוא חשוף להתקפות מכחיש-שירות המופצות מכיוון שהוא תומך במשא ומתן ביוזמת לקוח, על פי דוח ממעבדות SSL.

מעבדות SSL מדרגות אתרים באבטחת היתר של יישום ה- SSL שלה. ליאהו יש רק דירוג "B".

שרתים אחרים, כגון login.yahoo.com, משתמשים ב- AES. AES עדיף על RC4, אך יאהו לא יישמה הפחתות אבטחה להתקפות ידועות כמו BEAST, שמכוונת לפרוטוקולים TLS 1.0 ופרוטוקולים קודמים, ו- CRIME, התקפה מעשית נגד השימוש ב- TLS בדפדפנים. האתר תומך "רק בגרסאות פרוטוקול ישנות יותר, אך לא ב- TLS 1.2 העדכני והמאובטח ביותר", על פי דוח ממעבדות SSL.

אולי יאהו עדיין עובד על הכישורים וביטחון טוב יותר יוחדר לשלב במהלך השבועות או החודשים הקרובים. אבל היה נחמד להסביר את התוכניות שלהן מראש. מה עם זה יאהו? האם תחשוב על אבטחת משתמשים, במקום מה יותר קל לצוות שלך לעשות?