מהן נקודות התורפה של אתרי אינטרנט לעסקים? (רמז סיסמא)


איך פורצים לאתרים?

קודם כל בגלל סיסמא פשוטה, אחר כך בגלל הגנה לא טובה.

עסקים גדולים כקטנים המעלים אתרי אינטרנט לרשת עושים מאמץ ניכר ומושקע לבנות תוכן מעניין ומושך גולשים ולקוחות. האתר העסקי אמור לשרת עובדים, שותפים ולקוחות בכל זמן של היממה. לכן משקיעים כסף רב בתכנון, בנייה ותחזוקה של האתר. אבל מהרגע הראשון, האתר מהווה "מטרה" לכל האקר בעולם שצד אחרי קורבן קל. מאותו רגע שהאתר מתפרסם "ברשומות" (DNS), הוא עולה ברשת החיפוש הפרטית של האקרים ונכנס לרשימת מטרות. ההנחה של התוקפים היא שהאתר עלה לאויר עם הרבה תוכן ומעט הגנה (בשלב הראשון) ולכן קל ל"תפוס" אותו ולקחת בעלות עליו לצרכים לא חוקיים.

global internet
קנית דומיין ופתחת אותו לקהל המקומי, אבל מאותו רגע (ובמיוחד בימים הראשונים אחרי הפתיחה) הוא חשוף להתקפות מכל העולם. התוקפים לא מתעניינים באתר שלך אלא ביכולת שלו לשרת אותם לצרכים לא חוקיים (למשל שרת דואר ספאם).

נקודת תורפה מספר 1: האמצעי הכי פופולרי לקחת שליטה על נכסים דיגיטליים כמו אתרי אינטרנט ושרתים הוא ל"שבור" את סיסמת המנהל

באתרים לא מעטים שם המנהל הוא ADMIN, כי הוא בחירת מחדל של לא מעט תוכנות). מאחר והמנהל רוצה להקל על כל אלו שמעלים חומר לאתר, הסיסמה יכולה להיות משהו כמו WELCOME או PASSWORD , למרות כל האזהרות נגד שימוש בסיסמאות פשוטות. יש כאלה שמוסיפים לסיסמא הפשוטה כמה ספרות וכך בעצם חושבים שהם "בונים חומה".

כלומר אם בהתקנת האתר (WORDPRESS למשל), בחרתם את שם המנהל כ- ADMIN, אזי הפורץ "יכול להתחיל לעבוד בשקט". הפורץ עכשיו רק צריך לנחש את הסיסמא (כי עזרתם לו ופיצחתם לו את הקושי בניחוש כפול, למשהו פשוט הרבה יותר, לניחוש בודד). נסביר: אם הפורץ לא יודע מה הקומבינציה של שם וסיסמא הוא צריך לנחש שני פרמטרים שזו משימה די ארוכה ומסובכת (במידה והשם והסיסמא לא רשומים במילון). אבל אם עזרתם לו וקבעתם את שם המנהל כ ADMIN הפורץ צריך לנחש רק את הסיסמא.

למרבה הפלא, יש עדיין תוכנות של מסדי נתונים המגיעות ב"חבילות" מסודרות לאתרי אינטרנט, ומותקנות בברירת מחדל ללא סיסמא.

איך ניראת התקפת האקרים על אתר אינטרנט:

במהלך ההתקפה המוצגת בסירטון, נשלחו בקשות לדפים ללא הפסק במחזורים של כמה שניות. הפניות בהתקפה הזו נעשו מכל העולם: אמריקה, הודו, מזרח אירופה, ישראל, טורקיה, ארצות ערב, ברזיל, אירופה. המקור (המחשב התוקף) הוחלף כל 30 שניות כך שחסימת כתובת IP לא תועיל. מדובר על רשת BOTNET עם אלפי מחשבים שהשתלטו עליהם ברחבי העולם. תוכנת התקיפה הייתה אחידה ומשותפת לכולם: חיפשו פרצות ידועות באתר האינטרנט.

ההתקפה בדקה מספר דרכים לפריצה לאתר דרך "הדלת הראשית". וכן, בין היתר נשלחו כתובת URL לא קיימות שהכילו תווים בעייתים וגם תווים כאלה
/%3Ctr%20valign=%22TOP%22%3E%20%3Ctd%20width=

הסיכון בשימוש בסיסמאות פשוטות:

נדגים כאן איך פורצים לאתרים על ידי ניצול חולשות מובנות ונראה נסיונות אמיתיים של תקיפה באתר שלנו.

טכניקת תקיפה מס' 1: בחן את שמות האתר ומנהליו ונסה לפצח את הסיסמא על ידי שימוש בקומבינציות שונות, למשל נסה סיסמאות פשוטות המבוססות על מילים הרשומות במילון (למשל "סיסמא"/ או "סיסמה123"), . ראו את הניסיון הראשון של הפריצה לאתר (זהו לוג אמיתי): 176 ניסיונות פריצה עם המילה admin התרחשו ביום הקמת האתר.

ATTACK
התוקף מנסה את הקומבינציות הפשוטות יחסית בהתחלה ואחר כך עובר להתקפה של מילים הרשומות במילון.

טכניקת תקיפה מס' 2: קנה מחשב, הורד תוכנות פריצה שונות וכוון את הניסיונות ללא הפסקה עד שתגיע ליעד – פריצה לאתר. ראו בתמונה הבאה נסיונות אמיתיים לפרוץ לאתר שלנו ממקומות רבים מסביב לעולם. כדי לשפר את סיכוייו, הפורץ ממדינה באירופה מנסה לפרוץ אתרים בכל העולם, גם זה שלנו.

כלומר אין לפורץ יעד ידוע מראש, הוא עובד כמו פורץ מכוניות שהולך במגרש חנייה ענק. הפורץ הולך לכל מכונית ומנסה לפתוח את אחת הדלתות. אם הדלת נעולה, הוא ממשיך לאוטו הבא. כך, עד שיימצא מכונית עם דלת לא נעולה. באותו אופן "בסבלנות אין קץ", המחשב של הפורץ עובד יומם ולילה למצוא "דלת פתוחה" (למשל, שם מנהל ידוע מראש וסיסמא פשוטה). למרבה הפליאה, פורץ יכול ביום עבודה לפרוץ למספר לא קטן של אתרים, בשיטה זו.

IP'S OF SOURCES
המתקיפים משאירים את המחשב המתקיף דלוק 24 שעות ביממה, עד שיימצא הקורבן.

טכניקת תקיפה מס' 3: חפש פגיעויות ידועות בתוכנות של אתרים (למשל XMLRPC באתרי וורדפרס) או בקוד של תשתיות אתרים ואח"כ מצא אתרים עם הגירסא הלא מעודכנת. כך ללא מאמץ יכול הפורץ לנצל "דלתות המאובטחות על ידי מנעול שבור". למשל, רואים בתמונה את הפגיעות הכי ידועה באתרי וורדפרס לפני גירסה 4.

valnerabilites-web-site
הפגיעות המפורסמת ביותר של וורדפרס: אתר ללא עידכון מאז שיצאה גירסה 4 פגיע לתהליך איפוס סיסמא

טכניקת תקיפה מס' 4: חפש חורים באבטחה של תוכנות המותקנות באתרים (למשל תוכנות שלא עודכנו בשנה האחרונה). המושג המקצועי נקרא BACK DOOR (דלת אחורית פתוחה) לאתרים. נצל את הפירצה ועשה באתר ככל העולה על רוחך. העצה הבאה מופיעה באתר של האקרים:

The first step in attacking a WordPress site involves gathering information about the installation. To begin with we want to get an idea of how well maintained the site is; determining whether the site is running the latest WordPress core version is a good start

הנה התרגום של העצות להאקר בעברית: צעד ראשון אסוף מידע על האתר (צעד פשוט בו אפשר לדעת אלו תוכנות הותקנו). ואז כדי להתחיל, בדוק אם הגירסאות הן האחרונות, אם לא, יש כאן "הזדמנות". 

חולשות ופגיעויות נוספות הן:

חשיפת שמות המנהלים בתוכן האתר עצמו, מתן רשות למשתמשים להעלות קבצים, XSS, הזרקת SQL, אתרים ללא SSL, ללא עידכוני תוכנה וללא גיבויים שוטפים ועוד ועוד.

למרבה הפלא, בהתקפות של האקרים רואים לא מעט מחשבים מישראל ש"משתתפים בהתקפה". כלומר יש לא מעט מחשבים שהאקרים השתלטו עליהם ועושים בהם כרצונם. הסיבה הראשונה לפגיעות כזו היא שלא עידכנו את התוכנה על המחשב. למשל תוכנת ווינדוס XP, פגיעה כי אין עבורה יותר עידכוני אבטחה. בחברות רבות השימוש בגירסה זו אסור.

נקודות התורפה של אתרי אינטרנט: הדגמה חיה של פריצה לאתר וורדפרס תוך 90 שניות:

תוך 90 שניות (אורך הסרטון) לוקח האקר קוד שנכתב ונשמר על שרת ׁ(כלומר כל אחד יכול) ומשתמש בתוכנה לפרוץ לאתר (על ידי שימוש ב"חולשה" XMLRPC)

ראו איך לגלות אם פרצו לאתר או שרת האינטרנט שלכם, ומה לעשות נגד הפורצים

בסירטון הבא רואים איך שוברים סיסמא:

אנו מראים כלי התקפה על אתרים שייעודו הוא שבירת שם משתמש/סיסמא. בסידרה של מיליוני ניחושים של קומבינציות (המתרחשות באופן אוטומטי לפי רשימה ידועה מראש של מילים כמו "שלום123") ינסה הפורץ לחדור לאתר ולעשות בו ככל העולה על רוחו.

המלצות בסיסיות להגנה על האתר שלכם:

  • וודאו שהאתר שלכם מוגן מהרגע הראשון שלו באויר
  • בדקו שהאתר מתארח בשרת עם הגנות וגיבויים
  • חזרו ובדקו כל חודש אם צריך לעדכן תוכנות באתר
  • עקבו אחרי התראות של פגיעויות ועדכנו תוכנות בהתאם
  • אף תוכנה לא מוגנת לעד. תמיד צריך לעדכן ולסתום חורים שנתגלו
  • שאלו האם האתר צריך לקבל הגנת אבטחה מסוג SSL (נכון לאתרים רגישים)
  • וודאו שאין הגדרות דיפולטיות באתר שלכם (למשל שם המנהל הוא ADMIN)
  • בחרו סיסמאות חזקות לפי מספר חוקים פשוטים – ראו כאן מדריך פשוט באנגלית לבחירת סיסמא
  • בדקו שהאתר שלכם לא נפגע והוא אונליין 24 שעות ביממה – ראו שירות 365 שלנו
  • קבלו חוות דעת מיקצועית על האתר שלכם

הרשמו כאן כדי לקבל עידכונים על הנושא:

מייל:

2 thoughts on “מהן נקודות התורפה של אתרי אינטרנט לעסקים? (רמז סיסמא)

  1. כנראה שהעצה הייתה טובה. אין טעם לתחזק אתר שבנוי עם תוכנה ללא עידכוני אבטחה. במוקדם או במאוחר תהייה פריצה באתר. לגבי מקור הפריצה, היה צריך לבדוק היסטוריה של הקבצים (האם הייה לוג אבטחה לאתר?) ולראות מי שינה מה. עוד מידע אפשר לראות כאן: http://resources.infosecinstitute.com/log-analysis-web-attacks-beginners-guide/

  2. האתר שלי עבד כמה שנים עד שקבוצה של האקרים עויינים בשם לוב-החופשית השחיתה לי את עמוד הבית ואז ראו את הדגל שלהם במקום את התוכן שלי. התייעצתי עם מישהו שמבין והוא אמר לי שאין טעם לתקן את האתר אלא לבנות אותו מחדש. האם הוא צדק? אני חושב שזה קרה בגלל שההוסטינג שלי שעלה רק כמה דולרים בחודש, איפשר פריצות מאתר שכן.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

CAPTCHA