איומי סייבר על אתרי אינטרנט

המעבר לעולם הדיגיטלי מציב בפנינו אתגרים חדשים וסכנות משמעותיות. ממשק אינטרנטי שדרכו ניתן לנהל קשר מול הלקוחות ועובדי הארגון הוא חיוני להמשך קיום הארגון, אולם ה-Open Web Applications יכולים להוות דלת כניסה לגורמים זדוניים המעוניינים לשבש את פעילות הארגון.

פרויקט ה-OWASP הוא קהילה אינטרנטית המספקת מידע, מאמרים, מתודלוגיות וכלים בתחום אבטחת אתרים אפליקטיביים. אולי המסמך המוכר ביותר של הקהילה הוא ה-OWASP Top 10– עשרת האיומים החמורים ביותר על אתרים אפליקטיביים, לשנה הנוכחית. אנחנו אספנו בשבילכם מידע על חמשת איומי הסייבר הקריטיים ביותר לשנה הנוכחית, ואיך תוכלו להתגונן מפניהם.

---

מתקפת XSS

נכלל תחת קטגוריית ה-INJECTIONS, מתקפת XSS היא הזרקת קוד לתוך שדות טופס של אתרים ואפליקציות- למשל טופס הרשמה, התחברות, השארת פרטים או חיפוש. 

איך היא עובדת? כל האתרים של ימינו בנויים על ידי JAVASCRIPT, שפת תכנות הפופלרית ביותר, וגם אהובה מאוד בקרב מתכנתים בגלל היכולות החזקות שלה במקרה הזה לטעון בעמוד כל מה שמגדירים לה. איך מגדירים לה לטעון דברים? בעזרת קוד יחסית קל ללמידה שמשמש בסימנים רבים כמו סימן ה-/ כדי לסמן התחלה וסיום של פקודה ובקשה. אבל  היא מסוכנת,  כי אם יוצרי האתר שכחו להוסיף / באחד מהמקומות המועדים לפירעון כמו שדות הטופס, ניתן לגרום לעמוד לטעון פקודה שניתנה לה על ידי גורם זדוני.

מתקפת XSS היא המתקפה הנפוצה ביותר על אתרים אפליקטיביים, יותר מ-40% מכלל מתקפות אלה מבוצעות על ידי שיטה זו. מאוד קל לבצע אותה- קל לשכוח להוסיף את סימן ה- / בכל מקום שצריך, למרות שיש למכנתי אתרים הרבה מאוד כלים שעוזרים להם לאתר ולזהות את המיקומים בהם חסר סיום פקודה.

סוגי XSS

XSS Stored

קורה באתרים בהם ניתן להגיב כמו בלוגים או אתרי רשתות חברתיות. האקר רושם באחד התגובות קוד של JAVASCRIP ושולח את התגובה, כמו תגובה רגילה. כעת הדפדפן יריץ את הקוד שהוזרק כל פעם שתהיה טעינת עמוד חדשה של העמוד הספציפי הזה, והקוד יבוצע עם כל טעינת עמוד חדשה. לרוב נשלחים עוגיות וכדומה.

Reflected cross-site scripting

לרוב מתחיל במתקפת פישינג, על ידי שליחת לינק זדוני לאימייל של הקורבן, לדוגמא לינק מעקב אחרי משלוח. הקורבן לוחץ על הלינק, ואם האתר פגיע הוא יריץ את הקוד וישקף את הקוד חזרה ליוזר, והעמוד הנטען ישקף את הקוד Javascript. לרוב הקוד מבקש לשלוח מידע חזרה להאקר. מתקפה זו היא נקודתית, כלומר על היוזרים ללחוץ על הלינק הספציפי שנשלח, בניגוד למתקפה הקודמת.

שימושים של מתקפת XSS

• התחזות למשתמש אחר
• ביצוע כל פעולה שהקורבן יכול לבצע
• רישום פרטי המשתמש והסיסמא של הקורבן
• לבצע שינויים ויזואלים לאתר- הצגת תכנים לא נכונים
• הזרקת סוס טרואיני לאתר שנועד לגנוב/ להרוס/ לשבש את המידע המאוחסן באתר או ברשת 

הזרקת SQL

גם כן תחת קטגוריית מתקפות הזרקה, ה-SQL דומה מאוד לקודמו רק שהוא מנסה לשלוף מידע ממסד הנתונים של האתר. גם מתקפה זו מזריקה קוד למקומות רגישים באתר לדוגמא שדות טופס ושדות חיפוש, וכאשר מבוצעת על אתר לא מוגן יכולה לשלוף ממסד הנתונים של האתר מידע כמו שמות משתמש וסיסמאות.

שני דרכים עיקריות להגן על האתר מפני הזרק SQL, ורצוי לנקוט בשתיהן: 

בדיקת תקינות הקלט- על המתכנת לבדוק את כל הנתונים המגיעים משדות המשתמש:

• שדות טקסט- על הערכים בשדות אלה להכיל רק אותיות ומספרים, ללא תווים מיוחדים
• יצירת מנגנון שגיאת מערכת כאשר יש ניסיון להחדרת קוד. אם מדובר באתר בעברית אז מומלץ לבצע את שיטת ההחלפה כי הסימן גרש נמצא בשימוש תקין
• נתונים הנשמרים על עוגייה ניתן לערוך בצד המשתמש ולכן יש לבדוק גם אותם.

שימוש במבנה קשיח יותר של שאילתה- שפות התכנות השונות מציעות פתרון עדיף לבעיה, על ידי כך שהמתכנת יכול להכין שאילתה מובנית ולשים "שומרי מקום" (placeholder) במקומות שאליהן יוכנס אחר כך הנתון הנקלט מהמשתמש. 

---

מניעת שירות DDOS

מדובר בניסיון להפוך שירות אינטרנטי- כמו אתר- ללא זמין למשתמשים שלו, לרוב על ידי שיבוש זמני של השרת עליו מונח האתר- ומכאן מגיע שמו "מתקפת מניעת שירות".

איך מתקפת DDoS עובדת?

ישנם המון סוגים של DDoS, אבל העיקרון הוא להציף את האתר והשרת שלו בתנועה זדונית שתגרום להשבתה בשל עומס יתר, וזאת על ידי שימוש במכשירים רבים שנפרצו פעם ומנוצלים ללא ידיעת משתמש המכשיר. כעת כבר ניתן לראות את ההאקרים משתכללים ומשתמשים ב-AI (אינטליגנציה מלאכותית) כדי לבצע מתקפות אלה. אך לא הכל שחור בעתידנו, ובמקרה הזה הרעל הוא גם התרופה- ניתן להשתמש באינטיליגנציה מלאכותית כדי לחפש את נקודות התורפה של המערכות, במיוחד אם יש כמות גדולה של מידע.

מתקפות מסוג זה נפוצות מאוד, בעיקר על שירותי API, משום שהם לא מסתמכות על חולשת אבטחה, אלא על המגבלות של שרתי אתרים שכנראה לא מסוגלים להכיל תנועה רבה. חברות בעלות משאבים רבים לרוב ישקיעו בשרתים מיועדים שמסוגלים לעמוד בתנועה רבה, אך רוב הארגונים מאחסנים את אתר שלהם על שרתים משותפים. רק השנה (2022) מערך הסייבר זיהה מתקפה מסוג זו על אתרי הממשלה, כנראה על פי החשד על ידי קבוצת תקיפה איראנית.

---

מתקפת MITM

האדם באמצע היא אולי השיטה הקשה ביותר לזיהוי ע"י מי שאינו מומחה. ה-MITM מתרחש כאשר על האקר ממקם את עצמו בין המשתמש לספק השירות, בין אם כדי "להאזין לתקשורת" ביניהם או בין אם כדי להתחזות לאחד מהצדדים. מטרת המתקפה היא לגנוב מידע אישי- פרטי כרטיס אשראי, סיסמאות ומידע על חשבונות- ולרוב מתרחש בתקשורת בין משתמשים לחברות פיננסיות, SaaS, חנויות אינטרנטיות ואתרים שיש בהם צורך בכניסה לחשבון.

• יירוט– מי היה מאמין שהמושג הזה יהיה רלוונטי מחוץ לדיון על כיפת ברזל, אבל גם עולם הסייבר מלא במלחמות. בשלב זה ההאקר מנסה ללירט את ההתקשרות בין המשתמש לספק השירות, לרוב על ידי יצירת hotspot חינמי וציבורי. ברגע שהקורבן מתחבר ל- hotspot ללא צורך בסיסמא, לתוקף יש גישה מלאה לתקשורת האינטרנטית.
• פענוח– לאחר יירוט התקשורת האינטרנטית של המשתמש, צריך לפענח את המידע המתקבל בלי להתריא על כך למשתמש- ניתן להשתמש בהפשטת או חטיפת SSL, וב-HTTPS Spoofing.

מתקפת כוח- Brute Force

כמו עוגת גבינה, גם מתקפות הסייבר הכי פשוטות הן הטובות ביותר.

כל מה שצריך לעשות זה לגלות את הסיסמא של שם המשתמש של המערכת על ידי מעבר שיטתי של כל הסיסמאות האפשריות- כמו שעושים במנעולים פיזיים. 

אם יצא לכם להיתקל בתמונה המופיעה מתחת, זה לא במקרה. טבלת ה"כמה הסיסמא שלכם קשה" היא התגובה הכי נכונה למתקפת BRUTE FORCE, ומדגישה כמה פשוט לפרוץ לכם לסיסמא. 

באופן אירוני לחלוטין, במשך 20 שנה במהלך המלחמה הקרה בין ארצות הברית לברית המועצות לשעבר, סיסמאות השיגור לטילים הגרעיניים של ארצות הברית הייתה לא אחרת מאשר-  00000000. כן, קראתם נכון, ההנהגה הצבאית שמה דגש רב על היכולת להגיב במהירות למתקפה רוסית והחליטה שהדרך הטובה ביותר היא על ידי קביעת סיסמא של 8 פעמים 0. על פי הטבלה והמערכות של היום, היה אפשר לפרוץ את הסיסמא במיידי.

כדי לבצע מתקפת brute force מריצים קוד שמנסה להתחבר לאתר באמצעות כל הסיסמאות האפשריות. כשלא יודעים על דפוס סיסמאות, כלומר ניחוש מוחלט, מתחילים מהסיסמאות הקצרות וכאשר כל האפשרויות עבור סיסמה באורך מסוים מוצו עוברים לסיסמאות באורך גדול ב-1. 

כאשר כן ידוע משהו על הסיסמה, למשל שהיא תאריך, אפשר להריץ את כל התאריכים האפשריים באופן סדרתי. 

אפשר גם להריץ את כל הסיסמאות הכי נפוצות. 

כמה שקל להריץ אותה, ככה קל למנוע אותה. כל מה שצריך לעשות זה להגביל עבור כל משתמש את מספר נסיונות ההתחברות שאנחנו מאפשרים בכל פרק זמן נתון. ולמרות זאת, תתפלאו למצוא את הפרצה הזו אפילו בפייסבוק, כפי שניתן לראות בפוסט שנכתב על ידי מתכנת שמצא דרך לעקוף את החסימת משתמש.הוא גילה את הדבר להנהלת פייסבוק וקיבל פרס של 15 אלף דולר. 

אבטחת אתרי וורדפרס

מ-0 ל-100, מ-CMS לא מוכר למערכת מובילה בעולם הפיתוח הוובי, ממילה שרק אנשי פיתוח מכירים למושג שכמעט כל אדם כיום מכיר למרות שאינו מתחום טכנולוגיית המידע.

במאמר זה נסקור:
אתרי וורדפרס- מטרה להאקרים
מתקפות וחולשות של אתרי וורדפרס
איך תאבטחו את אתר הוורדפרס שלכם?

אבטחת אתרי וורדפרס

הכירו את המערכת הפופולרית ביותר לניהול תוכן, או CMS באנגלית, וורדפרס (WordPress). ה-CMS, שהושקה לראשונה בשנת 2003 עם פונקציונליות מאוד בסיסית, הייתה מיועדת להקמה של אתרי בלוג קטנים ופשוטים. כיום היא המערכת בסיס לשליש מאתרי האינטרנט בעולם, ועם המערכת בונים אתרים מכל הסוגים, מבלוגים קטנים ועד אתרי ענק של החברות הגדולות בעולם.

אך עם הצלחה גדולה מגיעה אחריות גדולה, ואיתה לא מעט אתגרים. אומנם וורדפרס היא מערכת נוחה, אך יחד עם זאת מגיעים איתה שלל של חולשות שיכולות להיות מנוצלות בידי גורמים זדוניים. קבוצות התקפיות ויחידים בעלי רקע ומניע שונה מודעים לכך שמערכת וורדפרס משמשת לא מעט ארגונים בסדר גודל גלובאלי, ולכן מחקר רב נעשה על יכולתיה של המערכת. משאבים רבים מושקעים במחקר ואיסוף מידע, ממקורות גלויים ונסתרים, ונראה שהעבודה הקשה משתלמת. המחקר הרב שנאסף על מערכת וורדפרס מקלה על האקרים שמעוניינים להגיע למסדי נתונים רגישים הנמצאים בכל ארגון. האקרים אלה משתמשים בחולשות שמצאו במערכת אך עדיין לא תוקנו על ידי צוות ה-IT לאחר עדכון גרסה או התכנת תוסף חדש.

סביב כל מערכת פופולארית ישנה קהילה אשר מפתחת פונקציונליות שונה למערכת אשר תורמת למשתמשיה. במקרה שלנו מדובר בתוספים (Plugins) שמשפרים את המערכת, כלים ותבניות עיצוב מוכנות שהופכות את העבודה במערכת ליותר נוחה וכן הלאה. כלים אלו תורמים לקהילה הכללית, אך כאשר אין פיקוח על אותם כלים או תוספים מגיעים בעיות. כאשר הפיתוח וההוספה נעשית על ידי אנשים פרטיים, יכולים להתגלות חולשות באותם תוספים, וללא תיקון מהיר ויעיל של המפתחים התוסף עלול להוות חולשה. זה יכול להוביל לניצול החולשה על ידי גורם זדוני ולגרום להדלפת נתונים או השחטת הארגון מבפנים, מה שפוגע במוניטין החברה ועלול להוביל לתביעות משפטיות.

ישראל, כמדינה המוביל בתחום הסייבר ובמספר חברות סייבר ישראליות, או בכינויה "סטרט-אפ ניישן" (Start-Up Nation), הייתה קורבן לתקיפה מאורגנת שבו נוצלה באחד מהספקים הגדולים בארץ לאחסון אתרים, הלא הוא UPress. לא היה קשה לגלות שהתוקפים ניצלו חולשה של אחד התוספים שהותקנו בוורדפרס, וכתוצאה מהתקיפה ניזוקו והושחטו כ-150,000 אתרים ישראלים. לא מדובר במתקפה בודדת- כבר ב-2021 הותקפה חברת אחסון אתרים נוספת- דומיין דה נט– במתקפת DDOS וגרמה לקריסתם של אתרים רבים בישראל.

מתקפות וחולשות של אתרי וורדפרס

ישנן מספר מתקפות נפוצות באתרי וורדפרס:

1. גרסה ישנה של המערכת/תוסף – במצב כזה, נוח וקל לתוקפים לנצל חולשות באתר לא מעודכן. כשכל האפשרויות פתוחות לפניהם, האקרים יכולים בקלות למצוא חולשות ידועות באינטרנט בתור CVE של אותה גרסה מיועדת לתקיפה. יחד עם זאת, כאשר מתגלות חולשות בגרסאות השונות, יוצאים עדכונים על מנת לתקן אותן. כל שעלינו לעשות הוא לדאוג שכל התוספים שלנו מעודכנים וכך גם גרסת הוורדפרס- מומלץ להגדיר למצב אוטומט.

2. התקפת מניעת שירות (DDOS Attack)

3. קוד זדוני– קוד שמטרתו להגיע לתוך הסביבה של הקורבן בדרך עקיפה. ישנן מספר שיטות להחדרת קוד זדוני או תוכנה לתוך ארגונים, כמו לדוגמא מתקפות פישינג מכוונות על עובדי ארגון תוך בקשה להורדת קבצים מסויימים. במקרה שלנו וכחלק מהמאמר המתמקד בוורדפרס, לרוב הקוד מוחדר על ידי הורדה של תוספים או תבניות עיצוב שונות ממקורות ללא פיקוח, המכילים בתוכם קוד זדוני שעלול לקבל אחיזה במחשב העבודה שלכם. כתוצאה מכך, כל המידע והנתונים אשר נמצאים במחשב העבודה שלכם יכול להיות מועבר לתוקף. במקרים רבים בהם הקוד מקבלת אחיזה בתוך ארגון, לוקח זמן רב עד אשר מתגלה החומרה של המצב. לצערנו, ישנם ארגונים שאינם מודעים כלל למצב, וללא אינדקציה האם המידע שלהם הודלף או נגנב. ההמלצה היא עבודה באופן קבוע רק מול גורמים מוסמכים, כאשר חשוב מאוד לא ללחוץ על קבצים וקישורים המופיעים לנו במרחב הרשת. גם כאשר הקישור מופיע בהודעות או מיילים מאנשים מוכרים, מומלץ להחמיר ולשאול לכבוד מה הקישור או הקובץ שנשלח על ידי שיחת טלפון ישירה. בנוסף לכל ההמלצות, חשוב שבעלי האחריות וההחלטה בארגון יבצעו תדרוך לעובדים בנושא אבטחת מידע תוך הגברת עירנות העובדים. מודעות ועירנות מוגברת בשילוב עם סדר וארגון מנצחים את הכל.

אבטחת אתרים

בחירה נכונה של שרת האחסון- חשוב ששרת האחסון שנבחר להריץ עליו את האתר שלנו לא רק יתאים לתקציב שלנו, אלא יגיע עם חבילה מובנית של SSL ואבטחה נגד DDOS. שירות לקוחות זמין ומהיר חשוב לא פחות, ועדיף שתהיה אפשרות לסריקות איומי אבטחה אוטומטיות.

מבדקי חדירות אפליקטיביים- כדי למנוע שיבושים לאתר כמו פריצות, גניבת מידע ומניעת שירות, חברות רבות מבינות את החשיבות של בדיקות חוסן הבוחנות את מערכות ההגנה וממפות את נקודות החולשה של הארגון. חברות אבטחת מידע מבצעות בדיקות חדירות אפליקטיביות, שמתחלקות לרוב לשלושה סוגים:

• Gray Box- מבדק החדירה הנפוץ יותר, שבה הבודק מקבל מידע מצומצם אודות הארגון ומערכות המידע. בחלק מהמקרים ניתנת לבודק גישה מוגבלת לרשת הארגונית והבדיקה יכולה להתבצע מחוץ או מתוך הארגון, תלוי לפי הסיכום הראשוני והמידע הניתן לבודק.
• White Box- בבדיקות חוסן מסוג זה, הבודק מקבל את מלוא המידע אודות הארגון, לרבות פרטי מערכות המידע וההגנה, וזאת כדי לאפשר ביצוע בדיקה מקיפה ופרטנית ככל האפשר במטרה למצוא כמה שיותר פגיעויות.
• Black Box- בדיקה זאת מתבצעת כבדיקה חיצונית, או לפחות כך היא מתחילה. במידה והבודקים מצליחים לחדור פנימה, הם יכולים להמשיך גם לתוך הארגון- עד לגבול שסוכם מראש.

לקריאה מלאה על כל סוגי מבדקי החדירות, עברו למדריך המלא שלנו לבדיקות חדירות.