השחתת האתרים: טעות קוד מטופשת הצילה רבים מבעיה חמורה יותר

הכיתוב ׳׳ירושלים היא בירת פלסטין׳׳ קיבל את פניהם של אלו שניסו לגלוש לחלק מהאתרים הפופולארים בישראל ביום שבת האחרון, אך מתברר כי מאחורי ההשחתה עמד ניסיון חמור הרבה יותר שהיה עשוי לגרום לנזק לא קטן, ונמנע בזכות טעות בסיסית בכתיבת קוד

בערב שבת האחרון, גולשים שנכנסו למיליוני דפים של אתרים ישראליים – ובינהם אתרים מרכזיים כמו Ynet, כלכליסט, מקור ראשון ועוד רבים – גילו כי הם הושחתו; במקום התוכן שהם רגילים לצרוך בו המתינה כתובת ״Jerusalem is the capital of Palestine״ ותיוג ״OpJerusalem#״, המייצג קמפיין של קבוצה פרו-פלסטינית באנונימוס. רק ימים ספורים לאחר ההשחתה, מתברר כי היינו כפסע לפני אחת מהמתקפות החמורות ביותר כנגד גולשים ישראליים, שנמנעה רק בזכות טעות קלה של התוקפים.

המתקפה התרחשה דרך תוסף נגישות פופולארי

השחתת האתרים שהתרחשה במוצאי שבת היא מקרה בו ניצלו האקרים חולשה שמקורה לא באתרים עצמם, אפילו לא אצל גורם צד שלישי, אלא אצל גורם צד רביעי. המשותף לכל האתרים שהותקפו הוא השימוש בתוסף הנגישות ״Nagich״ אשר שתול בהם, ומקבל גישה כמעט מלאה על כל תכני האתר. ההאקרים פרצו לשרתי ה-DNS של חברת האירוח Box.co.il המשמשת את ״נגיש״ ושינו את ערכי ה-DNS כדי להפנות גולשים אל הקוד הזדוני אשר שתלו באתר אחר.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

״אין כמעט אתר שאינו עושה שימוש מסיבי בעשרות רבות של סקריפטים חיצוניים. כלים אלה משמשים לצורכי שיווק, אנליטיקה, ניטור ועוד.״ מסביר עידן כהן, מנכ״ל חברת reflectiz, אשר מפתחת כלים לזיהוי איומי צד-שלישי באתרים בשיחה עם גיקטיים. ״אתרים רבים יתקשו לשרוד בלי כלים אלה, אולם לצד התועלות הרבות שהם מביאים עמם, עלולות להגיע גם סכנות. באירועי אבטחה התוצאה עלולה להיות הרת אסון, החל בהשחתה ועד שימוש בתוכנות כופר״. המתקפה באמצעות ״נגיש״ אמנם הסתיימה בהשחתה לא נעימה ונזק תדמיתי קל לאתרים, אך רשלנות מטופשת למדי של התוקפים, שנחשפת לראשונה בגיקטיים, מנעה אסון גדול יותר.

המתקפה האמיתית נכשלה בגלל טעות בסיסית בקוד

כהן מסביר כי התוקפים תכננו לבצע מתקפה הרבה יותר מסוכנת מאשר השחתה, וניסו לשתול תוכנת כופר במחשבי הגולשים, ולסחוט מהם תשלומים בביטקוין תמורת שחרור המחשב. התוקפים הפנו את הגולשים לקוד זדוני שבראשיתו בודק האם מערכת ההפעלה של המשתמש מתאימה לנוזקה שלהם, שתואמת רק לווינדוס. במקרה שבו התוצאה היא חיובית, הדף של האתר המותקף אמור להיטען כרגיל, אך בתוספת של כפתור בולט המזמין את המשתמש להוריד עדכון תוכנה לתוכנה שכולנו אוהבים, Flash. אותו כפתור, אגב, היה אמור להילחץ באופן אוטומטי.

השלב הראשון במתקפה בו התוקפים מנסים לזהות את מערכת ההפעלה של המשתמש

הקוד ניסה להשוות את מערכת ההפעלה של המשתמש, כאשר אם התוצאה יוצאת שווה לערך המדויק ״Windows״, המשתמש יופנה להורדת הקוד הזדוני. רק אם התוצאה לא שוות ערך ל-Windows, יופנה המשתמש אל הדף עם המסר ״Jerusalem is the capital of Palestine״. למזלם של הגולשים, מערכת ההפעלה שלהם היא לא ״Windows״, אלא ״Windows 10״, “Windows XP״ וכדומה. התוספת הקטנה של גירסת מערכת ההפעלה היא זו שגרמה לאי ההתאמה בקוד. ״בשלב הזה, ההתקפה הנבחרת הינה ההשחתה בלבד, ושאר הקוד שעושה שימוש ב-Ransom, לא נקרא בכלל״, מסביר כהן.

אף אחת מהתוצאות לעולם לא תהיה ״Windows״ ולכן המתקפה נעצרת

באם הגולשים היו לוחצים על הכפתור, שכאמור היה שתול בתוך אתר שנראה לגיטימי ואליו הגולש ניסה להגיע, הם היו מורידים תוכנת כופר אשר נועלת את המחשב שלהם. מכאן, משתמשים היו צריכים לשלם לתוקפים, או לספוג אובדן מידע והשחתה של רכוש. מתקפה שכזו הייתה יכולה לפגוע גם במחשבים רגישים של ארגונים רבים, כיוון שהיא כללה את חלק מהאתרים הפופולארים ביותר בישראל.

הכפתור שהיה מופיע למשתמשים

reflectiz התחקתה אחרי כתובת הארנק הקריפטוגרפי שהיה אמור לשמש לצורך המתקפה, וגילתה כי היא נחלה כשלון חרוץ, כיוון שלארנק המדובר מעולם לא הועבר דבר. כלומר, אף משתמש לא נפגע או העביר כסף לתוקפים.

מה עושים? משגיחים

הפעם, כמעט במזל, המתקפה הסתיימה תוך כמה שעות ללא נזק ממשי, אך היא חושפת את הבעייתיות שבשימוש של אתרים רבים בתוספים ללא השגחה ראויה.

״המסקנה הברורה והמתבקשת מצביעה על הצורך הקריטי לקיים בדיקות סדירות ברמה יומית. לכל הפחות באופן זה ניתן לאתר כל שינוי שמבוצע בקוד, בין אם במישרין ובין אם בעקיפין–גם כאשר מדובר בטעות או לחילופין בפעילות זדונית מכוונת״, כך טוען כהן. ״במציאות האינטרנטית של היום, סקר שתכליתו בדיקה רגעית כבר אינו מספק. כדי ליהנות מכל העולמות ולהבטיח שקט נפשי למנהלי האתר ולבעלי תפקידים שה-CiSO ביניהם, יש להקפיד על ניהול ובקרה שוטפים של משאבים חיצוניים (Asset management)״.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

28 תגובות על "השחתת האתרים: טעות קוד מטופשת הצילה רבים מבעיה חמורה יותר"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.

סידור לפי:   חדש | ישן | הכי מדורגים
אחד ש
Guest

הורדה של תוכנת כופר לאו דווקא מחייבת הרצה שלה. המשתמשים היו צריכים להריץ את הקובץ לאחר ההורדה, גם אם היה יורד אל המחשב שלהם.

אורית
Guest

בחלק גדול מהמקרים, הרצה של התוכנה פונה לדומיין חיצוני לצורך הפעלת השירות.
לחברת ITway יחד עם שותפים נוספים יש פתרון המאפשר חסימה טובה למצבים האלה

נדב
Guest

נכון אבל הרבה אנשים לוחצים על run ברגע שההורדה מסתיימת

מישהו
Guest

לפי מה שאתם מתארים פה, אין למשתמש שום סיכוי להערך למתקפה שכזו…
אין למשתמש שליטה על רשומות הDNS והאתרים שמאחסנים אותם.
אז מה כבר אפשר לעשות?
זה כמו שיפרצו לשרתים של הISP שלנו וישנו שם דברים. אין ללקוח שליטה על הדבר הזה.

מישהו 2
Guest

רק שימוש במוח. מי שמקבל הודעה שנגן הפלאש שלו אינו מעודכן, מוריד וגם מתקין, אף אנטי וירוס לא יכול להציל אותו.

מאמין שמתישהו (עשור?) דפדפנים מודרניים יחייבו HTTPS + HSTS + DNSSEC. עד אז, שבעלי אתרים יפעילו 2FA בחשבון רשם הדומיין, את הטכנולוגיות שהוזכרו, וגם יקפידו על ציון HASH באינטגרציה של סקריפט בעל גרסה ספציפית, ואם חייבים את ה Latest אז רק מספקים רציניים כמו גוגל ולא מחלטוריסטים ישראליים.

זיקו
Guest

במקרה הספציפי הזה רק Hash של הסקריפט היה עוזר, הפרוצים שינו את ה dns בצורה חוקית (כי הם פרצו להם לחשבון) והיה להם תעודת https של lets encrypt

אותו מישהו
Guest

דובר פה על הבעיה של הפנית אתר לגיטימי למקום זדוני ע”י שינוי ערכי הDNS העולמיים.
אין לך כל נגיעה בדבר ויותר מזה, אתה אפילו לא תדע מזה.

לגבי ההורדה של הנוזקה עצמה, אתה צודק. צריך להפעיל קצת שכל ולבדוק את הדברים לפני שלוחצים.

אורית
Guest

קיימים היום פתרונות המגינים על רשומות ה DNS ולמעשה בודקים במהלך הDNS resolving האם כתובת ה IP אליה פונים היא זדונית או כשירה.

יצחק כהן
Guest

ב”ה

אין ספק שזה היה יכול להסתיים באופן הרסני וגרוע

צריך לאקוף מדניות שאוסרת הורדת קבצים כבר בדרגה של כרום, ז”א שבעלי האתר יגדיר מה מותר ומה אסור באתר

וכן כל החברות שעוסקות בפירסומות מסוג הנ”ל כבר יוגדרו במצב זה וגם בלי שום קשר לאתר ז”א לנעול להם הרשאות באופן אוטומטי בכרום להורדת קבצים

ממילא כל מטרתם זה מדיה

ככה יווצר מעגל ביטחון נוסף שישמור על המשתמשים

מישהו
Guest

הורדת קבצים לווינדוס זה קצה קצהו של הבעיה. חטיפת DNS יכלה לגרום לסקריפט לשלוח את פרטי הבנק שלהם ועוד דברים נחמדים. וגם לשינוי פרטי המדיניות בלי בעיה אם זה משהו שלא מוגדר מראש בגוגל

המגף בחתוליים
Guest

לוזרים.
חבורה של מחבלים כאפות

עידן
Guest

מחדל רציני ביותר של חברת box.co.il

מישהו
Guest

נחשף לראשונה בגיקטיים?!! נחשף כבר לפני יומיים… מביכים


(לא זה לא אני)

אלירז
Guest

לא קראת את הכתבה הא? הם ראיינו את העידן הזה והוא מדבר פה על הפרצה

מישהו
Guest

קראתי. אם הבנאדם מפרסם משהו בטוויטר לפני יומיים, ודרכו או שלא דרכו כל פורום טכני כבר יודע על כך, זה שהוא לא רץ עם זה אז לתקשורת לא הופך את הפעם הראשונה לחשיפה של כלי התקשורת. אם הכתבה היתה מתפרסמת רק בגיקטיים אבל עוד שנה זה נחשב חשיפה ראשונית של גיקטיים? נגמרו הימים שטוויטר היה מחתרת סודית, גיקטיים זה בסה”כ עוד כלי תקשורת בינו ובין השאר

משה
Guest

האם ל box יש אחריות במקרה כפי שמתואר (משמע: האם אפשר לתבוע את בוקס [שאני קצת לקוח שלהם…] )?
(או שהם יגלגלו את זה לחברה אחרת, שתגלגל את זה ל…)

Asaf Shelly
Guest

לא אם אישרת הסכם משתמש. ברובם כתוב שספק התוכנה לא אחראי לכלום

sdasd
Guest

sadsa

אנונימית
Guest

מה היה קורה אם עוכרי ישראל האלה היו מצליחים? זה כמעט היה אסון לאומי. אז כמה חנונים מ8200 שוב מדברים על זה באיזה פורום ושוב אף אחד לא מתעורר? גיקטיים תמשיכו לפרסם כאלה דברים כדי שאנשים יתעוררו ויבינו שגם כמעט זה נורא נורא מסוכן

רק אני
Guest
המבקנה היא מאוד פשוטה, להתקין ublock origin, או כל תוסף חוסם פרסומות אחר שמאפשר ליוזרים להגדיר חוקים בקלות, ולחסום את רב ה*** שלא צריך להיות מלכתחילה באתר. במקרה הנוכחי לי יש חסימה אוטומטית לdns של נגיש (שהוספתי ידנית) ולכן הדפדפן שלי לא היה מוריד מהם כלום. התוספות האלו של נגיש וכל שאר המתחרים זה בולשיט אחד גדול וצריך להוציא אותם מחוץ לחוק: א. אין שום צורך בהם לפי חוקי הנגישות: צבעים, גודל פונט, סוג פונטים נגישים וכו אפשר לשנות במערכת ההפעלה או בדפדפן. ב. הכפתור המעצבן הזה, שלא רק שמפריע במסך, אלה הוא בעצמו לא תמיד נגיש כי יש לו… Read more »
מותק
Guest

אולי תשתף גם אותנו במה שעשית.. כך גם אנחנו נהיה מוגנים.. תהיה נחמד

אלחנן
Guest

https everywhere

אדם
Guest

אתרים משתמשים בקוד צד שלישי כדי להרוויח כסף, הגיע הזמן שיתחילו להגן על הגולשים.
קצת פרסומת אבל הפתרון של סורס דיפנס היה מונע את הבעיה מראש. חברה ישראלית שהפתרון שלה כבר מותקן בכמה בנקים ישראלים וחברות ענק בכל העולם.

מותק
Guest

אתה מקבל מניות? אחוזים?

אדם
Guest

לא, סתם לקוח מרוצה, הלווי והייתי יכול לאמר מאיזה אירגון.
אגב גם אם כן, אומרים לך שיש פתרון לבעיה אמיתית ומשמעותית ושחברים כאן מישראל פתרו אותה אז למה צרות העין?

האלמוני
Guest

זה לא נכון שאין גניבת מידע, כי יש בDARK NET דיון על המידע שנגנב.

האלמוני
Guest

זה לא נכון שאין גניבת מידע, כי יש בDARK NET דיון על המידע שנגנב.

בבקשה
Guest

התובנה: privacytools.io

Firefox with :
HTTPS Everywhere
NoScript
Privacy-badger
uBlock Origin
Decentlayers
CookieAutoDelete

wpDiscuz

תגיות לכתבה: