מדוע האקרים אוהבים את bit.ly ואיך זה מסכן את בנק הבורקסים?

חולשות אבטחה מובנות במקצרי לינקים חושפות מידע אישי, רפואי ופיננסי. אבל למרבה המזל יש מה לעשות, רק תלחצו על הלינק המקוצר ותדעו איך

​מאת: רן לוקאר, נעם רותם, עידו קינן, צוות סייברסייבר

קצרלינקים, או שירותי קיצור כתובות (URL shorteners), מיועדים להעביר כתובות אינטרנט ארוכות במדיומים שלא סובלים URL ארוך – הודעת סמס, ציוץ בטוויטר או כתבה בעיתון. אבל הם גם סובלים מחולשות אבטחה מובנות, שהופכות אותם למטרה קלה להאקרים חובבי פחמימות. בבדיקת מעבדות סייברסייבר לאבז הצלחנו להגיע לחשבוניות, פרטי התקשרות ופרטים אישיים כמו מספרי תעודות זהות ודרכונים, בדיקות בריאותיות רגישות כולל מידע על אלרגיות מסכנות חיים, קודי QR של כרטיסים להופעות שאפשר היה לגנוב ולהשתמש בהם ועוד.

קצרלינקים יושבים על דומיין ומכילים מספר תווים, בדרך כלל רנדומליים. למשל: הלינק המלא לארכיון הפודקאסט סייברסייבר הוא cybercyber.co.il/?cat=2, שהם 23 תווים. קיצרנו אותו בשירות ביטלי ל-bit.ly/3wHKKeH, שהם 14 תווים בלבד. הקצרלינק מאפשר לנו לקבל סטטיסטיקות על שיעורי ההקלקה, ואם נייצר קצרלינק ספציפי לכל גולש, גם חיווי על כל אחד מהגולשים שנכנס ללינק.

החולשה הבסיסית בקצרלינקים היא קוצרם – לעתים שישה תווים בלבד, שמורכבים מאותיות גדולות וקטנות ומספרות. מספר הקצרלינקים האפשריים במקרה הזה הוא 62⁶, או כ-56.8 מיליארד. אם נרצה למצוא את כל הקצרלינקים של ביטלי בני 6 תווים, נריץ תוכנה שתריץ את כל 56.8 מיליארד הקצרלינקים האפשריים בזה אחר זה – bit.ly/000000, bit.ly/000001, bit.ly/000002 וכן הלאה, ותתעד אילו מהם עובדים. פעולה כזאת נקראת מתקפת כוח-גס (ברוט פורס) – אין בה תחכום, רק זמן וכוח מחשוב.

חולשה נוספת מוכנסת למערכת כאשר מספר הקצרלינקים הזמינים עומד להיגמר, וצריך להגדיל את הטווח על ידי הוספת תווים. יש שירותי קצרלינקים שמוסיפים לששת התווים הקיימים קידומת קבועה של שני תווים. לכאורה, מדובר בהגדלה עצומה של הטווח, מ-56.8 מיליארד ל-218,340 מיליארד – פי 3844. אבל למעשה, מאחר שקידומת שני התווים קבועה, נשארנו עם ששה תווים בלבד שאפשר לתקוף בברוטפורס.

חולשת אבטחה נוספת נובעת מקצרלינקים ממותגים. נניח שכנופיית האקרים חובבי פחמימות רוצה לרוקן את כספותיהם של לקוחות בנק הבורקס, ונניח שאותו בנק נוהג בחוסר אחריות ושולח ללקוחות את הסיסמה לכספת בלינק מקוצר. אם הבנק משתמש בביטלי, ההאקרים היו צריכים להריץ מתקפה על 5.8 מיליארד הקצרלינקים האפשריים, לקבל את הקצרלינקים של כל משתמשי ביטלי, ואז לנסות למיין אותם ולזהות אילו מהם שייכים ללקוחות הבנק. מלא עבודה בשביל כמה מאפים.

אבל אם בנק הבורקס משתמש בשירות קצרלינקים ממותג על הדומיין שלו, BankBurekas.maafim, ההאקרים יריצו מתקפה על 5.8 מיליארד הקצרלינקים האפשריים על דומיין הבנק, ויידעו שכל התוצאות בוודאות שייכות ללקוחות הבנק. וזה כבר שוד בורקסים שאנחנו מוכנים לשקול. כלומר, הם מוכנים לשקול. ההאקרים. לא אנחנו, מה פתאום.

אבל אל דאגה, בנק הבורקס! יש פתרונות די פשוטים לחולשות האבטחה הללו:

הגבלת שימוש: הנפקת קצרלינקים מוגבלים בזמן, שמפסיקים לפעול אחרי כמה שעות, או קצרלינקים חד-פעמיים, שמפסיקים לעבוד אחרי כניסה אחת אליהם.

הגבלת גישה: אם אנחנו שולחים למשתמשת קצרלינק לתיק הרפואי שלה או פירוט כרטיס האשראי, רצוי שנוודא שהיא אכן זו שהקליקה על הלינק, ולא האקר רעב לפחמימות חמות. אפשר לעשות זאת על ידי דרישת שם משתמש וסיסמה, 2FA ועוד.

הגבלת ברוטפורס: אף משתמש סביר לא ינסה להיכנס למיליארדי כתובות מקוצרות. ומשתמש לא סביר כזה הוא ככל הנראה האקר שרוצה לשתות את מאגר הקצרלינקים המלא. אפשר לחסום מתקפות ברוטפורס כאלו על ידי הגבלת תדירות בקשות, הגבלת מספר בקשות לכל כתובת IP, קפצ’ה, 2FA ועוד. תדירות בקשות וכדומה.

הרחבת טווח: כשרוצים להרחיב את טווח הקצרלינקים המידלדל, במקום לפתוח קידומת של שני תווים קבועים, יש לספק שני תווים אקראיים.

הגנת בורקס: עדיף לא להשתמש בקצרלינק ממותג של עסק ספציפי. מצטערים, בנק הבורקס!​

 


הפרק המלא:


סייברסייבר (רסס) הוא פודקאסט על האקרים ומאפים עם נעם רותם ועידו קינן. עיצוב סאונד: עומר סנש. הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404. אפשר לשמוע את סייברסייבר ביישומוני הפודקאסטים ובהם ספוטיפיי, גוגל פודקאסטס ואפל פודקאסטס ובאתר סייברסייבר.

צרו קשר: טוויטר @OhCyberMyCyber; אימייל cyber@cybercyber.co.il; תיבת ההדלפות הסודית ב-TOR (הסבר); 055-2-776766 – הקו החם והפריך של סייברסייבר פתוח להודעות קולית (סיגנל/וואטסאפ/טלגרם) שאולי יושמעו בתוכנית, הודעות טקסט ותרומות בפייבוקס.

 

סייברסייבר

סייברסייבר הוא פודקאסט על האקרים ומאפים עם נעם רותם ועידו קינן. עיצוב סאונד: עומר סנש. הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404. אפשר לשמוע את סייברסייבר ביישומוני הפודקאסטים ובהם ספוטיפיי, גוגל פודקאסטס, אפל פודקאסטס ובאתר סייברסייבר

הגב

14 תגובות על "מדוע האקרים אוהבים את bit.ly ואיך זה מסכן את בנק הבורקסים?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
ron
Guest

אפשר היה לקצר את הטקסט ב 70% אם הייתם חוסכים את הכתיבה הילדותית המאולצת. לקחתם משהו פשוט ועטפתם אותו בקישקושים יענו בשביל שהקוראים יבינו….

אלי, מקצר כתובות בע\"מ
Guest
אלי, מקצר כתובות בע\"מ

ו… בסוף לא הבנתי כלום. למי הכתבה הייתה מיועדת? מה אני, המשתמש, יכול לעשות? מי בכלל שולח סיסמאות? מה הבעיה בלקצר כתובת ענקית של אתר כדי לשלוח אותה בטוויטר, למשל?

איתן
Guest
כל כך נכון – וכך גם הפודקאסט שלהם! נתתי לו עוד צ’אנס ועוד צ’אנס כי התוכן נשמע מבטיח, אבל 90% מהפודאקסט הוא קדיחות בראש, גם על בורקסים (כי עידו קינן כנראה חושב שהדרך לא להישמע כבד ורציני היא לדבר על מאפים על הזמן, שיואו איזה מגניב ולא-בומר אני חחחח מאפים חחחח בורקס פטריות חחחח סייבר) וגם אפקטים שמי שעורך להם את הפרקים באדובי אודישן עף על עצמו שהם מוסיפים לחוויה. לא, הם לא מוסיפים. אחרי 3 כאלו בפרק אחד, די. אחרי 4,918,291 כאלו בפודקאסט כולו – באמת שגדשה הסאה. אז זהו, לא מאזין יותר. אם הנושא מעניין אמצא מישהו אחר… Read more »
בועז
Guest

אף אחד לא טוען שאי אפשר להגיע ללינק המקורי שקוצר.. איפה יש פה פרצת אבטחה בדיוק?
זה כמו שתגידו שאפשר להיכנס ללינקים ברחבי הרשת ולגלות מידע רב.. ואללה.. אכן תגלית מרעישה

אבי
Guest

הכתבה הכי מטומטמת שאי פעם קראתי, תחזירו לי את הזמן האבוד שלי ????????‍♂️

Elliot
Guest

סייברסייבר אתם עושים אחלה תוכן אבל הגיע הזמן לדלל את האנלוגיות הילדותיות והציניות. זה ממצא את עצמו באיזשהו שלב לכל מאזין שלכם, אפילו ארץ נהדרת מרעננים את עצמם כל עונה – מציע גם לכם :)

עידן
Guest

גם הפודקסט שלהם נשמע ככה: “…..ואז מיקרוסופט גילו שיש להם buffer overflow בקוד!! חחחחח!!! פחחחחחח!!!! חחחיחיחיחיחיחיח!!! בורקס חצילים חחחחח!!! *אפקטים קוליים* חחחחחייייחחחחקחקחקחקח!!!”

הם העג”ג המודרנית. קוראים כתבה בהארץ, מוסיפים צחוקים וצלצולים ויורדים על כמה שכולם כאלה טיפשים והם כביכול חכמים.

ממש “קומדי סטור” לאנשי הייטק

איתן
Guest

קלעת בול למחשבות שלי!

איזה פודקאסט חופר. התכנים אמורים להיות טובים אבל מאפיל עליהם 90% של רעש. בדיחות קרש, אפקטים מיותרים. פשוט אנשים שנתקעו בילדות.

יוסי
Guest

אהבתי את הכתיבה
ואת ההסברים המעניינים
וכן הצחיק אותי כל האנלוגיות שלכם
תמשיכו ככה
“ומי שלא טוב יום טוב לו”

איציק
Guest

מעניין ומרתק תודה רבה

בוגר קורס מאדר האקר
Guest
בוגר קורס מאדר האקר

Tאבתי אתם טוטחים ומי שמיתלונן זקן שמחפש עבודה ואני מקבל 80000 בלי תואר בפייתון כי אני צעיר ומגניב וקופצני וניימדרופינג ופלוצים :))))) !!!!!!111אחד

הביטון
Guest

ובתואר התגובה הצינית הטובה בעולם ^^^

אלכס (יכולים לקרוא לי סאשה)
Guest
אלכס (יכולים לקרוא לי סאשה)

ווווואוי מעייפים פה המגיבים. פרק סבבה סך הכל, היו להם יותר טובים, אבל באמשכם תרגיעו. מי ישמע שילמתם על זה. לא אהבתם תחפפו לכתבה הבאה. אני אוהב את כל הקטע של הבורקסים והמאפים כי מאחורי זה מגיעים נושאים מענייניןם וזה פשוט דרך נוחה להביא את זה לקהל רחב יותר

תודה

מישהו
Guest

בדקתם לפני שכתבתם? כי ביטלי משתמשים ב rechapta וגם בולקים useragents שאינם דפדפנים. שתי ההגנות האלו לא מושלמות אבל לא קל להריץ מליוני בקשות ככה

wpDiscuz

תגיות לכתבה: