וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

"למתכנתים לא אכפת מאבטחה"

18.7.2010 / 13:49

הפריצות לאתרי הומלס ופיצה האט נובעות מחוסר השקעה באבטחת מידע, אומר מומחה לתחום. הוא גם מייעץ איך להיזהר

ההאקרים הטורקים שפרצו לאתרי הומלס ופיצה האט המקומיים גרמו לרבים להרהר ולחשוש מהאפשרות שהפרטים שלנו, שחשבנו שמאוחסנים בצורה מאובטחת, יכולים למעשה להגיע בקלות לידיים זרות שיעשו לנו הרבה צרות בעזרתם. עד כמה קל, בעצם, לחדור לבסיסי נתונים דוגמת אלו שפריצתם התגלתה לאחרונה, ועד כמה חשופים המשתמשים? את השאלה הזאת הפננו לניר גולדשלגר, מומחה אבטחה העובד כמבצע בדיקות חדירה בחברת אבנת. למרות גילו הצעיר יחסית (25), מאחורי גולדשלגר עומד עשור של עיסוק בתחום אבטחת המידע. כבר מגיל 14-15 הוא מתעמק ביכולות לפרוץ לאתרים ולשרתים.

"כדי להגיע למאגר מידע דוגמת זה שנפרץ בהומלס, בדרך כלל משתמשים בחדירה מסוג SQL Injection", אומר גולדשלגר, ומסביר: "זו התקפה ששולחת שאילתות לבסיס הנתונים דרך שדות אפליקציה פגיעים, וכך מקבלת תשובות בחזרה. לדוגמה, אם אני רוצה להוציא שם משתמש מטבלת נתונים – אשלח שאילתא שמבקשת אותו. אם אין הגנה – זה יחזיר לי את המידע, ובכלל את כל המידע שאבקש הקיים בבסיס הנתונים במערכת".

- מה "הומלס" עשו לא נכון?

"בוא נגיד שזו לא הייתה התקפה מורכבת. הקוד שלהם לא היה מספיק מאובטח כדי למנוע חדירה. אם באתר היו מצפינים את המידע בבסיס הנתונים – זה כבר היה מונע לפחות את חשיפת הסיסמאות. גם הצפנה אפשר לפצח – אבל זה כבר יותר קשה. אם הייתה ולידציה ברמת קוד, ואימות קלטים עם האפליקציה בצורה מאובטחת – התוקף לא היה מצליח לבצע הזרקת שאילתות. אני ממליץ להומלס לבדוק את כל רשימת הקבצים וכל המידע שקיים בשרת כדי לוודא שמלבד שאיבת המידע לא השתילו בשרת סוס טרויאני או Backdoor. אני לא יודע כמה ההרשאות היו גבוהות בבסיס הנתונים שנחדר, וכמה ההאקרים ניצלו את המתקפה.

- רמת האבטחה הזאת מייצגת את מה שקורה בארץ בתחום?

"מבחינת הידע הקיים בארץ – יש פה את כל מה שצריך. אבל יש אתרים שעד שלא קורה בהם משהו לא עושים להם בדיקות אבטחה, ויש כאלה שיותר משקיעים. בסך הכל, בכל האתרים הגדולים בארץ – בנקים, חברות ביטוח – האבטחה היא טובה מאוד. יש אתרים בסדר גודל בינוני ומטה שיש להם פחות תקציב להשקיע, ולכן הם ברמה פחות טובה. קיימים הרבה אתרים כאלה שאינם מאובטחים, וכל עוד הם ימשיכו לא להשקיע באבטחה – יהיה אפשר לפרוץ לתוכם בקלות".

- איזה עוד התקפות שכיחות?

"מלבד SQL Injection, יש גם מתקפה בשם SQL Blind Injection. במתקפה הרגילה המידע מגיע לפורץ דרך הודעות שגיאה שהוא מקבל בחזרה מהמערכת על השאילתות שלו. במתקפת Blind הפורץ לא מקבל הודעות שגיאה, אבל עדיין יכול להצליח להוציא את כל הנתונים מהמאגר. בנוסף ניתן גם להכניס לאתר קוד זדוני, וירוס או תולעת מתפשטת – שיפיצו את עצמם וידביקו את המשתמשים. עוד מתקפות שכיחות הן Cross Site Scripting – מתקפה שגונבת זהויות באינטרנט (הקורבן לוחץ על קישור ששלח התוקף, מה שמאפשר את גניבת הסשן או הקוקי שלו) ו-DNS Cache Poisoning, שפוגעת בשרת ה-DNS, מפנה את הגולשים לאתר אחר וכך מאפשרת להשתלט על התעבורה לאתר. יש גם התקפות לוגיות והתקפות של מניפולציות פרמטרים.

שורת קוד שגויה אחת - וכל המערכת פרוצה

גולדשלגר מספר שקיימים בשוק גם מוצרים המגינים מפני מתקפות, פיירוול אפליקטיבי למשל, אבל אלו יקרות למדי. לדעתו, אפשר לשמור על רמת אבטחה סבירה גם בלעדיהם. "אני לא אומר שחייבים להשקיע 500 שעות בדיקה, אבל חשוב לבצע לפחות בדיקה מינימלית על ידי חברת אבטחה ולעשות חסימות שמונעות התקפות מוכרות", הוא אומר. "בדרך כלל למתכנתים עצמם לא אכפת כל-כך מרמת האבטחה. הם עושים את העבודה שלהם, כותבים את הקוד ופה נגמר הסיפור מבחינתם. היום למתכנתים צריך כבר להיות יותר ידע ורקע באבטחה, אבל בעיות כאלה עדיין קורות. זה חמור במיוחד לאור העובדה שגם אם כל המערכת שלך כתובה בצורה טובה ונכונה, מספיק שתהיה שורת קוד אחת שכתובה לא נכון ופותחת פירצה – ודרכה אפשר לחדור לכל בסיס הנתונים. ברגע שזה קורה – המשחק נגמר. Game Over, אתה שם בפנים, ויכול לשאוב את כל המידע.

- איך משתמש שמנוי באתר כלשהו יכול להתגונן?

"אני ממליץ להשתמש בסיסמה אחת למייל, אחת אחרת לאתרים בינוניים, ואחת אחרת לאתרים גדולים וחשובים דוגמת זה של הבנק. אם אתה משתמש באותה הסיסמה לכל האתרים – ברגע שמישהו השתלט עליה מאתר אחד, הוא יוכל להשתלט על כל שאר השירותים בהם אתה משתמש. הוא ייכנס לך לאי-מייל ולפייסבוק, ישתלט לך על החשבונות ויחליף ססמאות".

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    0
    walla_ssr_page_has_been_loaded_successfully