אתם מאחסנים בו קוד כל הזמן, אבל ייתכן שאתם חושפים את הארגון שלכם לפריצה

ארגונים משקיעים הון באבטחת מערכות מידע, אבל לא שכחנו משהו? הריפו עלול להיות נקודת תורפה קטלנית ויש דברים שאסור למתכנתים לעשות, אפילו בענן. הנה 7 כללי ברזל שמפתחים חייבים לשים לב אליהם

ריפוזיטורי וקוץ בו (צילום: dreamstime)

מאת שי עמר, מנהל מוצר בקבוצת Microsoft Defender for Cloud, מיקרוסופט ישראל מחקר ופיתוח

זה קרה בנובמבר 2020, בעיצומה של מגפת הקורונה שפגעה קשות בברזיל. בוקר אחד התעוררו התושבים וגילו שפרטיהם האישיים ותיקיהם הרפואיים של 16 מיליון מאומתים – בהם גם הנשיא ז’איר בולסונארו, שבעה שרים ו-17 מושלי מדינות – דלפו לרשת.

התקלה נחשפה בזכות ערנותו של אחד ממשתמשי גיטהאב. הוא הבחין בקובץ טבלאי (spreadsheet) ובו הסיסמאות האישיות של משתמש אחר, העובד באחד מבתי החולים הגדולים בסאו פאולו. זה הספיק כדי לחדור לשני מאגרי מידע ממשלתיים: אחד הכולל את פרטיהם של נדבקים עם סימפטומים קלים (שם מלא, כתובת, מספרי זהות והיסטוריה רפואית), ושני עם תיעוד דומה של החולים המאושפזים.

הפעם זה נגמר בשלום: הגולש העירני פנה לעיתון “אסטדו”, שבתורו עדכן את משרד הבריאות המקומי. הקובץ הוסר, הסיסמאות הוחלפו ומפתחות הגישה למאגרים הממשלתיים רועננו ותוגברו. אבל מהאירוע הקלאסי הזה, שרבים מדי דמו לו, ולעתים עם תוצאות חמורות בהרבה, אפשר ללמוד לא מעט.

כן, בהחלט שכחתם משהו חשוב

חברות משקיעות משאבי עתק באבטחת מידע. אבל לפעמים דווקא את אחת הנקודות הרגישות ביותר – הריפוזיטורי – אנחנו נוטים לשכוח. שימוש בריפו לאחסון קוד, לדוגמה גיט מקומי, הוא דרך יעילה לעדכוני גרסה ולהבטחת הרציפות – Continuous Development וכן Continuous Integration. זה נכון בעיקר כאשר צוות גדול של מתכנתים מבצע את ה-commit לקוד, התיוגים ויתר הפקודות. אלא שלא אחת, דווקא החלק הזה אינו מאובטח כמו שאר מערכות המידע הארגוניות. וגם אם נדמה לנו שכן, יש פרטים שאסור בשום אופן להעלות לשם.

לפני שמפבלשים עדכון לקוד, ודאי בסביבת פרודקשן, חשוב לזכור: חשיפה של קובץ Dot Git מקנה לתוקף נגישות למאגרי מידע יקרים מפז, עם דאטה עדכני וארכיוני. נפילה של ריפו, מעבר לפגיעה במוניטין של החברה או לאיום של דרישת כופר, עלולה לחשוף את הליבה העסקית שלה – את הפטנט שסביבו קם הסטארטאפ מלכתחילה. היא גם מאפשרת לתוקף פוטנציאלי להתחקות אחר patterns בכתיבת הקוד, ולפתח בהמשך מתקפות ביתר קלות על בסיס אותם דפוסים.

להגירה לענן הציבורי יש כמובן יתרונות רבים גם בתחום הסייבר סקיוריטי – זאת מעצם ההגנה הבסיסית המובטחת לכלל המשתמשים, כאינטרס משותף להם ולנו כספקיות, וכמובן, הודות למעטפת הכלים וחבילת השירותים הנוספים שמוצעת לארגונים. בענן אפשר לדוגמה להריץ סורק שיחפש חולשות, דפוסים בעייתיים ופריטים שממש לא אמורים להיות שם. אלא שגם כאן חייבים להיזהר: זה שהענן מאובטח עוד לא אומר שעבורך, כמפתח או כמפתחת, כל צעד בו יהיה מוגן באופן דיפולטיבי. אם מעדכנים בריפוזיטורי, יש לוודא שעושים זאת באופן פרטי – פרייבט ולא פבליק. ובכל מקרה, חשוב להקפיד על בקרות ולהימנע מהעלאה של סיקרטים.

ההתעסקות בתחזוק הענן אומנם נחסכת ברובה, אבל בהיבטי אבטחת המידע אין מנוס מלהמשיך להתעדכן וללמוד. ניתן לעשות זאת באופן עצמאי או מרוכז, וגם במסגרת סדרת הדרכות ארגוניות שאנחנו מציעים ללקוחות. כך או אחרת, קריטי ליישם את ההמלצות, להפעיל בקרות ולהיות תמיד עם היד על הדופק.

7 כללי האצבע שלי

מכיוון שעבודת הפיתוח מורכבת דיה, הנה צ’ק-ליסט, שיכול להקל על המפתחים עם מספר כללי אצבע לעבודה עם גיט מקומי או ענני.

1. לא להעלות לתיקיות סיקרטים כמו סיסמאות ומפתחות הצפנה.
2. להקשיח שוב ושוב את ההגנות על התיקיות שבשרת.
3. תיקייה שמקוטלגת כ-Git ignore, שהקוד אומנם יודע להתעלם ממנה, עדיין חשופה.
4. פקודת Deny לתיקייה אינה מספיקה – חשוב לוודא שהיא מאובטחת ולא נגישה החוצה בשום צורה.
5. אין די בהצפנת המחדל: חובה להעביר קבצים מ-HTTP ל-HTTPS.
6. אם משתמשים ב-secure stream להפרדה בין דאטה למטא-דאטה, חשוב לשמור אותו בכספת (למשל במפתח הכספות שבאז’ור) ולא בקוד עצמו.
7. כלל ברזל: לדאוג לפתרונות אבטחה הוליסטיים, כחלק מאסטרטגיה ארגונית שלמה ומתעדכנת.

הסעיף האחרון – הצורך בגיבוש אסטרטגיית אבטחת ענן כללית, SecDevOps – הוא עיקר העבודה שלי מול CISO’s ומנהלים. הצורך הוא אינסופי: אבטחת זהויות, הגנה על יכולות קצה ונכסי IP, אבטחת שרתים, דאטה בייסים, סטורג’ים וכאמור, ריפוזיטורים. אבל אחרי אינספור תחקירים שביצענו, אין ספק כי לב הבעיה היה ונותר הגורם האנושי – אם זה חוסר מודעות, חוסר תשומת לב, שרתים שנשארו במצב ברירת המחדל ללא כל שינוי, מערכות לגסי לא מוגנות ולא נתמכות ועוד.

באחד המקרים גילינו פריצה הרסנית במיוחד, שנדרשו ימים ארוכים (וגם לא מעט לילות לבנים) כדי לתקן. היא הגיעה משרת בן תחילת האלף, שהתממשק בזמנו למערכת הארגונית לטובת העלאת קבצים על ידי צד שלישי. עם השנים הוא נשכח, אבל שם בוצעה החדירה, משם היא התפשטה לארגון בחיפוש אחר משתמש פריבילגי עתיר הרשאות, והנזק היה עצום.

כמו אלוהים, גם תקיפות סייבר נמצאות בפרטים הקטנים. אסור להזניח אותם.

הכתבה בחסות Microsoft

בשנה הקרובה מיקרוסופט תשיק את ה-Datacenter Global Hyperscale הראשון בישראל. ארגונים יוכלו להעביר את הדאטה שלהם בצורת מאובטחת ואמינה לענן תוך שמירה על Data Residency ו-Compliance. ה-Cloud Region הישראלי יצטרף לתשתית הענן הגלובלית של החברה, אחת מתשתיות הענן הגדולות והחדשניות בעולם המשרתת למעלה ממיליארד לקוחות ו-20 מיליון עסקים ברחבי העולם. האזור הישראלי יופעל בהתאם לעקרונות הענן והסטנדרטים של מיקרוסופט העולמית.

מיקרוסופט פיתחה קורסים מיוחדים במקצועות ניהול ענן, הנדסת נתונים, אבטחה, DevOps, בינה מלאכותית ועוד. התוכנית מסייעת לארגונים ולמפתחים להתמקצע בתחומי תוכן חדשים ולאפשר להם אימוץ מהיר ויעיל של ה- Microsoft Cloud. אלה מהווים השקעה בקהילה הטכנולוגית ויאפשרו מיצוי מקסימאלי של תשתית הענן של החברה ושל כלים למפתחים.
לפרטים נוספים לחץ כאן או במייל skilling-il@microsoft.com.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

12 תגובות על "אתם מאחסנים בו קוד כל הזמן, אבל ייתכן שאתם חושפים את הארגון שלכם לפריצה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
עריכה והגהה
Guest

מפתח הכספות? אני מניח שהכוונה ל key vault – כספת המפתחות
מה זה אומר להצפין את המחדל?

shay
Guest

כן אכן הכוונה היא להשתמש ב key vault או רכיב דומה על מנת לאחסן את ה secret שבו השתמשת.

The wolf
Guest

Use Spectral :)
https://spectralops.io/

אלכס
Guest

כתבה חלשה מאוד

צודק
Guest

יח”צ זול….

shay
Guest

הי הכוונה הייתה לעורר את המודעות לנושא קוד מאובטח ולא לקדם יח״צ כזה או אחר.

shay
Guest

הי אלכס, הכוונה הייתה להגביר את המודעות לשימוש בקוד מאובטח ולתת מספר המלצות בנושא.

עדיאל
Guest

על Cycode שמעת?

מוגי
Guest

על תרבות דיון שמעת? זה סך הכל מאמר שאמור לעורר מודעות אצל המפתחים. במקום להתמרמר שלא הוסיפו X, Y, Z למה שלא תנסח את זה בצורה טובה יותר?

שמעון
Guest

אחלה כתבה, חומר מעניין ונושא חשוב תודה על שיתוף הידע

משה
Guest

יש כלי מעולה שעושה בדיוק את זה ועוד, הציל אותי יותר מידי פעמים כבר..
https://spectralops.io/

Asaf Yaron
Member

מעניין מאוד,
חשוב ללמוד מטעויות של ארגוניםמדינות אחרות כדי לייצר בישראל תרבות נכונה,
1)כתיבת קוד מאובטח ולשים לב למה דוחפים לריפו
2)תרבות DevSecOps בחברות קטנותגדולות
3)חינוך העובדים כחלק מאסטרטגיה אבטחת המידע

wpDiscuz

תגיות לכתבה: