"קוד פתוח איננו מילה נרדפת לבטיחות, אף על-פי שתוכנות קוד פתוח מאפשרות ביצוע בדיקות אבטחה עצמאיות ביתר קלות לעומת תוכנות אחרות", אמר ד"ר בני פנקס מהחוג למדע המחשב באוניברסיטת חיפה, שהשתתף בצוות חוקרים שגילה בעיות אבטחה בפרויקט הקוד הפתוח הנפוץ ביותר - מערכת ההפעלה לינוקס.
"השתמשנו בשיטות של "הנדסה הפוכה" (Reverse Engineering) בכדי לבנות תאור מדויק של פעולת מחולל המספרים האקראיים של מערכת ההפעלה, ובעקבות זאת גילינו בעיות אבטחה בפעולת מחולל המספרים האקראיים שלה", אמר ד"ר פנקס והסביר שחלק זה של מערכת ההפעלה משמש, בין השאר, לייצור מפתחות הצפנה עבור רוב התוכנות המשתמשות בהצפנה, כגון PGP, SSL, והצפנת דיסק ודואר אלקטרוני.
"הצפנת הגישה לאתרי מסחר אלקטרוני ובנקאות ברשת האינטרנט משתמשת במפתחות הצפנה המיוצרים על-ידי מחולל המספרים האקראיים. ההתקפה שגילינו מאפשרת לתוקף הפורץ למערכת ההפעלה לחשב ערכים קודמים ועתידיים של מחולל המספרים האקראיים, אשר יכולים לשמש לפענוח הצפנות קודמות שנעשו בעזרת המחשב וכן הצפנות שייעשו בעתיד".
צוות החוקרים, שכלל בנוסף לד"ר פנקס את צבי גוטרמן - מנהל הטכנולוגיות של חברת סייפנד (Safend) וסטודנט לתואר שלישי באוניברסיטה העברית, ואת צחי ריינמן מהאוניברסיטה העברית, ממליץ לקהילת הקוד הפתוח לפתח מדיניות קפדנית יותר לפיתוח רכיבי תכנה רגישים, בשונה מפיתוח רכיבי תכנה שאינם קריטיים מבחינת אבטחה.
תוצאות המחקר יוצגו במאמר בשם “Analysis of the Linux Random Number Generator” בכנס IEEE Security and Privacy Symposium אשר יערך באוקלנד, קליפורניה, בתאריכים 21-24 למאי.
