פרצו לי, גנבו לי, השחיתו לי: האם להיות בפאניקה? [דעה]

ניצן מירון, מומחה לאבטחת מידע ומנכ”ל חברת 6Scan, מפוצץ את הבלון שיצרה התקשורת במהלך השבועות האחרונים ומבהיר: אין באמת סיבה להיות בפאניקה

תמונה: flickr, cc-by, 401K

הפוסט נכתב על ידי ניצן מירון, מומחה לאבטחת מידע ומנכ”ל 6Scan, סטארטאפ העוסק בפיתוח כלי להגנה על אתרי אינטרנט קטנים ובינוניים.

כולנו כבר שמענו על על גניבת כ-400,000 כרטיסי אשראי ישראלים ופרסומם ע”י האקרים סעודים. בהמשך שמענו על גניבת מאגרי מידע של אתרי הכרויות, ולפני ימים אחדים שמענו גם על שיבוש אתרי הבורסה ואתר אל על ואפילו על שיבושים קלים באתרי הבנקים.

פאניקה מוסרית

אדם שלא מתמחה באבטחת מידע עלול לראות את גל התקיפות ולחשוב שההאקרים המתוחכמים מכוונים לפגיעה בו זמנית בכל האלמנטים של החיים הישראלים השגורים – בנקאות, צרכנות, עסקים ואפילו פנאי – במטרה לשבש בצורה משמעותית את חייהם של כמה שיותר תושבים. אבל המציאות היא הרבה יותר פשוטה והרבה פחות מתאימה לעלילת סרט מדע בדיוני: מדובר בלא יותר מתקיפה אקראית על אתרים שהם מטרות קלות. חשבו על גנב פשוט שמסתובב ברחוב וחוטף ארנקים למי שבמקרה עובר עם ארנק בולט מהכיס: הוא עשוי בסופו של יום להשיג ארנק של בנקאי, ארנק של עורך דין וארנק של שדכנית, אבל זה יהיה יותר קשור ליד המקרה מאשר לכישרון שלו בגניבת ארנקי עורכי דין.

ולצערנו, האתרים שהותקפו מתאימים בול לדימוי של אנשים עם ארנק בולט וקל לגניבה. רוב המתקפות נמצאו באמצעות סורקים אוטומטיים וחינמיים כמו bsqlbf שהורצו על רשימות אתרים עם סיומת il. ה”האקרים המתוחכמים” – לא יותר מפעילים פוליטיים עם קצת ידע במחשבים והפעלת תוכנות פריצה.

אם נמנה לרגע את המטרות – אתרי ספורט והכרויות, אתר תדמית של הבורסה ואולי אף אתרי התדמית של בנקים – נבין שבכל המקרים, מדובר על לוחמה פסיכולוגית ותו לא. הבורסה מיהרה לספר לנו שאתר התדמית שלהם נפרד לחלוטין ממערכות המחשב שמנהלות את המסחר, וכנ”ל מערכת ניהול הכספים בבנקים. למרות שנגנבו כרטיסי אשראי, מערכות האשראי עצמם לא נפרצו – רק אתר קטן ששמר את פרטי האשראי של לקוחותיו בצורה לא מאובטחת.

סערה בכוס מים

אז בעצם, מה שאנחנו רואים כאן הוא ההבדל הגדול בין פגיעה אמיתית – שעושה נזק אמיתי, כמו הנזק שנעשה ל Playstation בשנה שעברה – לבין פגיעה תדמיתית בלבד, שזה בינתיים בעיקר מה שקורה בארץ. התקשורת שלנו נופלת בדיוק בפח שהסעודים קיוו שניפול אליו: רואים פגיעה תדמיתית בלבד והופכים אותה למסע הפחדה על הנתונים והנכסים האסטרטגיים של המדינה. וכעת התקשורת (שאגב, נמצאת בהיסטריה הרבה יותר מהאזרח הממוצע במדינה) שואלת: מה אם התקיפה הבאה תהיה על חברת החשמל? מקורות? בנק ישראל? ובכן, אמנם בזירה המסחרית ראינו שישראלים באמת לא יודעים לאבטח את אתריהם, אבל למזלנו בזירה הציבורית והאסטרטגית יש פיקוח קצת יותר טוב. הרשות הממלכתית לאבטחת המידע (רא”מ), שהיא חלק מהשב”כ, עובדת “בשיתוף פעולה צמוד עם העוסקים באבטחת המידע בגופים המונחים על ידה […] כדוגמת: אספקת חשמל ומים, הזרמת דלקים וגז, מערכות פינססיות ומערכות תקשורת, תחבורה, ועוד.” נשמע מוכר?

ובאמת, לא צריך את המומחים של רא”מ כדי להגן בפני ההתקפות הפשוטות שהופעלו: צריך רק שכל בעל אתר יתן קצת תשומת לב לאבטחת מידע. סקרים מראים שלמעלה מ-60% מאתרי אינטרנט כיום חשופים להתקפות קריטיות הניתנות לאיתור ע”י כלי סריקה אוטומטיים. יש לכם אתר ואתם לא רוצים להיות חלק מהסטטיסטיקה? יש מספיק מה לעשות. יש לכם אתר מסחר אלקטרוני? שירותים של חברות כמו Plimus יעזרו לכם לדאוג שמספרי אשראי של לקוחות מעולם לא ישמרו אצלכם על השרתים, אלא רק על שרתים מוגנים לפי תקן PCI המחמיר. יש לכם בלוג? תוספים רבים, כמו Bulletproof או 6Scan, יעזרו לכם למצוא ולתקן פרצות אבטחה באופן אוטומטי. בכלל, כמעט לכל פלטפורמת CMS מודרנית יש יכולת עדכון אוטומטית לגרסאות שלה ושל התוספים שלה – השתמשו בה, כי רוב הפרצות נובעות מגרסאות ישנות של התוספים שלכם, ומספיק תוסף אחד שמזייף כדי לחשוף את כל האתר שלכם לפריצה קלה.

אז לסיכום, התשובה היא לא: אין על מה להיות בפאניקה. מה שכן, אם אתם בעלי אתרים, עשו לעצמכם ולמדינה טובה ועשו את המינימום הנדרש כדי שלא תהיו עוד אחד מהאתרים ברשימה בפעם הבאה שמישהו יפעיל סורק אוטומטי.

גילוי נאות: חברת 6Scan היא בוגרת תוכנית הסטארטאפים Venturegeeks, המופעלת על-ידי עורכי הבלוג ניוזגיק.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

7 Comments on "פרצו לי, גנבו לי, השחיתו לי: האם להיות בפאניקה? [דעה]"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
Yaniv Feldman
Guest

מצד אחד, אני בהחלט מסכים, אין כאן שום סיבה להיסטריה. מצד שני, חלק גדול מהדברים האלה יכול היה להימנע אם בעלי אתרים היו דואגים יותר טוב לאבטחת מידע שלהם… אז לא חבל?

Billie Broaris-Tshuva
Guest

ומצד שלישי, עכשיו האתרים כן ידאגו יותר טוב לאבטחת המידע. אז אולי נאמר פשוט, תודה.

Einat Meyron
Guest
הסייפא נכון, כל היתר רשלני עד מאוד. מתיימר ומיותר ביותר לטעון שכל ההתקפות בטלות בשישים. נכון שהפגיעה היא בעיקר תדמיתית, אבל התקפות דיפייסינג ודוס עלולות להוות התקפת הסחה כשבפועל מנוצלות חולשות יותר עמוקות של המערכת, למשל כמו שקרה לאתר עיריית תל אביב לפני כשנה וחצי בשיאם של אירועי המרמרה. ככלל, באבטחת מידע ידוע – הכל פריץ והכל שאלה של נחישות, כסף וזמן. גם רא"מ הכל יכולים מתמודדים יומיום שעה שעה עם הנחת היסוד הזו בדיוק. אז נכון, בתקשורת לא באמת יודעים איך להתמודד עם המצב אבל בין האמוק התקשורתי ובין ה"בלי פאניקה" של מי שנושא את אותו שם המשפחה שלי… Read more »
Daniel Kopitchinski
Guest
יש נטייה מוטעית בתקשורת ובמדיה לחשוב שאתר יצוגי של גוף גדול וחשוב מאפשר גישה לכל מערכות המחשוב הרגישות שלו. פרצת לאתר המוסד? גילית את שמות הסוכנים שלנו בצבא האיראני. פרצת לאתר הכנסת? אתה יכול לשנות את ספר החוקים. פרצת לאתר בנק? אתה יכול לגנוב את כל הכסף של הבנק. DOS על אתר עיריית תל אביב? הפקחים לא יוכלו לחלק דוחות חניה עד שזה יגמר. האמת היא שהמערכות הרגישות בארגונים האלה מופרדים מהאתר, כשהאתר עצמו הוא בעיקר למטרות תדמית חדשות ופעולות פחות רגישות. הכתבה הזאת, עד כמה שאני מבין אותה, אומרת די טוב: "לא צריך לצעוק: פרצו לבורסה!!!!" אלא: "העמיסו על… Read more »
Einat Meyron
Guest

כאמור – כן ולא. יש מערכות שבהחלט פועלות ככה ונכון, ההתקפות עליהן פוגעות בעיקר בפן השיווקי. אבל כאמור – בדיפייסיניג לאתר עיריית ת"א ההאקרים הגיעו עמוק מאוד, קרוב מדיי למערכת התשלומים שלא היתה נפרדת או מנוהלת במקום אחר.
הכוונות של הבחור טובות אבל מאוד פשטניות.

ezaton
Guest

אני חייב לציין שמבחינת חומרה, הרשומון שמסתובב ברשת הרבה הרבה יותר חמור מגניבת כמה כרטיסי אשראי ונתונים שאדם כלשהו בחר לשתף (גם אם בתפוצה יחסית מצומצמת). השטות הנוכחית היא בלון שהעיתונות נהנית לנפח. ואגב – כרטיסי האשראי שלי ושל אשתי גם הם היו ברשימה (לפחות עד ההחלפה)

בועז
Guest
ממש לא נכון ומטעה. לא נפרצו רק אתרי תדמית של הבנקים אלא אתרי הגישה לחשבונות מהאינטרנט (e-banking). עובדה שחלק מהבנקים חסמו לגמרי גישה מחו”ל לאתריהם ולחשבונות. בתור לקוח של בנק איגוד המתגורר בחו”ל, עד עכשיו (כבר שבועיים) אין לי ולשכמותי גישה לחשבון הבנק בכלל. כמובן שהתלוננתי לבנק ונאמר לי שזה המחיר שהלקוחות בחו”ל משלמים כדי למנוע הפלת האתר לכל הלקוחות הישראלים. גם גניבת פרטי האשראי של עשרות אלפי ישראלים אינו דבר של מה בכך. מה שצריך לעשות זה להתקין מערכות אבטחה נגד התקפות DOS ולהגביר בכלל את אבטחת המידע באתרים פרטיים וציבוריים וביחוד אלו שמנהלים חשבונות וכרטיסים של לקוחות. בגדול,… Read more »
wpDiscuz

תגיות לכתבה: