גוגל החלה לפתח מנגנון אבטחה חדש בשם DBSC (ר"ת Device Bound Session Credentials), שנועד למנוע מקרים של התחזות והתחברות לא מורשית לחשבונות שונים על ידי גניבת קבצי העוגיה (Cookie) של המשתמש מהמחשב שלו לאחר שהוא התחבר בצורה מאובטחת לאתרים השונים.
ה-DBSC מגביל למעשה את ההתחברות של המשתמש למחשב ספציפי על ידי שמירת מפתחות הצפנה פומביים ופרטיים ב-TPM (ר"ת Trusted Platform Module) של מחשב המשתמש, דבר שימנע ממשתמשים זדוניים גישה "פשוטה" לחשבונות שלו.
בזמן ששימוש בסיסמאות ארוכות ומורכבות והפעלת אימות דו-שלבי 2FA (מדריך בנושא) אמורים להגן עלינו ועל החשבונות המקוונים שלנו מפני פריצה, אין זה אומר שלפורץ מתוחכם אין דרך לחדור בכל זאת לחשבונות שלנו, כאשר הדרך הפשוטה ביותר נעוצה בקובצי העוגיה (Cookie) אותם הדפדפן שומר על המחשב כחלק מתהליך ההזדהות שלנו על המחשב.
מה זה בעצם גניבת עוגיות?
כאשר משתמש מתחבר בצורה מאובטחת לחשבון שלו באתר כזה או אחר, האתר שומר על גבי המחשב של המשתמש קובץ עוגיה שנועד לאמת את הזהות שלו בסשן (Session) ההתחברות הנוכחי שלו, זאת על מנת למנוע ממנו את הצורך לאמת את הזהות שלו בכל פעם מחדש כשהוא ניגש לאותו אתר, דבר שקשור לדרך בה עובדים אתרי האינטרנט כיום.
אחד מהמקרים היותר מוכרים של חטיפת סשן (Session hijacking) הוא פריצה ומחיקת ערוץ היוטיוב Linus Tech Tips של ליינוס סבסטיאן על ידי גניבת עוגיית זיהוי (Set Cookie או Session Token), דבר שאפשר לתוקפים לעקוף את אמצעי ההזדהות של יוטיוב על ידי התחזות לעובד בחברה של ליינוס, ממנו נגנבה העוגיה ששימשה לזיהוי המשתמש לאחר פתיחה של קובץ PDF תמים לכאורה, שהכיל נוזקה שגנבה את עוגיות הזיהוי מהמחשב על מנת להתחבר לחשבון היוטיוב, לפרסם בו תכנים בחופשיות ולבסוף למחוק למעשה את ערוץ היוטיוב שלו. ניתן לראות את סרטון ההסבר של לינוס על המקרה ביוטיוב.
DBSC – הפתרון לתופעת גניבת העוגיות
גניבת עוגיות זיהוי היא תופעה הרבה יותר נפוצה ממה שאפשר לחשוב, דבר שגרם לגוגל לעבוד על פתרון עם WICG (ר"ת Web Incubator Community Group) במטרה להפוך את ה-DBSC לתקן אבטחה פתוח שיאומץ על ידי התעשיה.
ה-DBSC נועד להחליף את עוגיות הזיהוי הרגילות וה"פגיעות" על ידי שימוש במפתחות הזדהות פומביים ופרטים שישמרו באופן מקומי על המחשב של המשתמש וייקשרו את הסשן עם האתר או השירות המקוון למחשב הספציפי של המשתמש.
באופן מופשט, לאחר ההתחברות המאובטחת של המשתמש לאתר כלשהו על ידי שימוש בסיסמה רגילה ואימות דו-שלבי נוסף, האתר יאחסן את מפתחות ההזדהות החדשים ב-TPM, אזור מאובטח המיועד לשמירת מפתחות הצפנה במעבד בדרך כלל, דבר שימנע את האפשרות לגניבת המפתחות והפיכת סשן החיבור של המשתמש לאתר למאובטחים יותר.
עם הפעלת ה-DBSC, אתרים יבצעו באופן תדיר בדיקת זיהוי עמוקה יותר למשתמש בסשן על מנת לוודא שהמשתמש שמחובר אליהם הוא אכן המשתמש האמיתי, דבר שלא היה יכול להתקיים בזמן השימוש בעוגיות הרגילות, שאפשרו התחזות פשוטה יותר על ידי העתקת קבצי העוגיה מהמחשב של המשתמש.
ניתן לעקוב אחרי הפיתוח של ה-DBSC באתר ה-GitHub הרשמי.
עוקבים? כל החדשות מגאדג'טי
חלק מהפוסטים באתר כוללים קישורי תכניות שותפים, עבורם נקבל עמלה עם ביצוע רכישה בפועל של מוצרים. עמלה זו לא מייקרת את העלות הסופית של המוצרים עבורכם.
הסקירות והתכנים המופיעים באתר מהווים המלצה בלבד, וכך יש להתייחס אליהם. כל המחירים המופיעים באתר נכונים ליום הפרסום בלבד והאחריות לקניית מוצר או שירות כזה או אחר מוטלת עליך בלבד – השימוש באתר בהתאם לתנאי השימוש והפרטיות.