השחתת האתרים: טעות קוד מטופשת הצילה רבים מבעיה חמורה יותר
הכיתוב ׳׳ירושלים היא בירת פלסטין׳׳ קיבל את פניהם של אלו שניסו לגלוש לחלק מהאתרים הפופולארים בישראל ביום שבת האחרון, אך מתברר כי מאחורי ההשחתה עמד ניסיון חמור הרבה יותר שהיה עשוי לגרום לנזק לא קטן, ונמנע בזכות טעות בסיסית בכתיבת קוד
בערב שבת האחרון, גולשים שנכנסו למיליוני דפים של אתרים ישראליים – ובינהם אתרים מרכזיים כמו Ynet, כלכליסט, מקור ראשון ועוד רבים – גילו כי הם הושחתו; במקום התוכן שהם רגילים לצרוך בו המתינה כתובת ״Jerusalem is the capital of Palestine״ ותיוג ״OpJerusalem#״, המייצג קמפיין של קבוצה פרו-פלסטינית באנונימוס. רק ימים ספורים לאחר ההשחתה, מתברר כי היינו כפסע לפני אחת מהמתקפות החמורות ביותר כנגד גולשים ישראליים, שנמנעה רק בזכות טעות קלה של התוקפים.
המתקפה התרחשה דרך תוסף נגישות פופולארי
השחתת האתרים שהתרחשה במוצאי שבת היא מקרה בו ניצלו האקרים חולשה שמקורה לא באתרים עצמם, אפילו לא אצל גורם צד שלישי, אלא אצל גורם צד רביעי. המשותף לכל האתרים שהותקפו הוא השימוש בתוסף הנגישות ״Nagich״ אשר שתול בהם, ומקבל גישה כמעט מלאה על כל תכני האתר. ההאקרים פרצו לשרתי ה-DNS של חברת האירוח Box.co.il המשמשת את ״נגיש״ ושינו את ערכי ה-DNS כדי להפנות גולשים אל הקוד הזדוני אשר שתלו באתר אחר.
״אין כמעט אתר שאינו עושה שימוש מסיבי בעשרות רבות של סקריפטים חיצוניים. כלים אלה משמשים לצורכי שיווק, אנליטיקה, ניטור ועוד.״ מסביר עידן כהן, מנכ״ל חברת reflectiz, אשר מפתחת כלים לזיהוי איומי צד-שלישי באתרים בשיחה עם גיקטיים. ״אתרים רבים יתקשו לשרוד בלי כלים אלה, אולם לצד התועלות הרבות שהם מביאים עמם, עלולות להגיע גם סכנות. באירועי אבטחה התוצאה עלולה להיות הרת אסון, החל בהשחתה ועד שימוש בתוכנות כופר״. המתקפה באמצעות ״נגיש״ אמנם הסתיימה בהשחתה לא נעימה ונזק תדמיתי קל לאתרים, אך רשלנות מטופשת למדי של התוקפים, שנחשפת לראשונה בגיקטיים, מנעה אסון גדול יותר.
המתקפה האמיתית נכשלה בגלל טעות בסיסית בקוד
כהן מסביר כי התוקפים תכננו לבצע מתקפה הרבה יותר מסוכנת מאשר השחתה, וניסו לשתול תוכנת כופר במחשבי הגולשים, ולסחוט מהם תשלומים בביטקוין תמורת שחרור המחשב. התוקפים הפנו את הגולשים לקוד זדוני שבראשיתו בודק האם מערכת ההפעלה של המשתמש מתאימה לנוזקה שלהם, שתואמת רק לווינדוס. במקרה שבו התוצאה היא חיובית, הדף של האתר המותקף אמור להיטען כרגיל, אך בתוספת של כפתור בולט המזמין את המשתמש להוריד עדכון תוכנה לתוכנה שכולנו אוהבים, Flash. אותו כפתור, אגב, היה אמור להילחץ באופן אוטומטי.
השלב הראשון במתקפה בו התוקפים מנסים לזהות את מערכת ההפעלה של המשתמש
הקוד ניסה להשוות את מערכת ההפעלה של המשתמש, כאשר אם התוצאה יוצאת שווה לערך המדויק ״Windows״, המשתמש יופנה להורדת הקוד הזדוני. רק אם התוצאה לא שוות ערך ל-Windows, יופנה המשתמש אל הדף עם המסר ״Jerusalem is the capital of Palestine״. למזלם של הגולשים, מערכת ההפעלה שלהם היא לא ״Windows״, אלא ״Windows 10״, “Windows XP״ וכדומה. התוספת הקטנה של גירסת מערכת ההפעלה היא זו שגרמה לאי ההתאמה בקוד. ״בשלב הזה, ההתקפה הנבחרת הינה ההשחתה בלבד, ושאר הקוד שעושה שימוש ב-Ransom, לא נקרא בכלל״, מסביר כהן.
אף אחת מהתוצאות לעולם לא תהיה ״Windows״ ולכן המתקפה נעצרת
באם הגולשים היו לוחצים על הכפתור, שכאמור היה שתול בתוך אתר שנראה לגיטימי ואליו הגולש ניסה להגיע, הם היו מורידים תוכנת כופר אשר נועלת את המחשב שלהם. מכאן, משתמשים היו צריכים לשלם לתוקפים, או לספוג אובדן מידע והשחתה של רכוש. מתקפה שכזו הייתה יכולה לפגוע גם במחשבים רגישים של ארגונים רבים, כיוון שהיא כללה את חלק מהאתרים הפופולארים ביותר בישראל.
הכפתור שהיה מופיע למשתמשים
reflectiz התחקתה אחרי כתובת הארנק הקריפטוגרפי שהיה אמור לשמש לצורך המתקפה, וגילתה כי היא נחלה כשלון חרוץ, כיוון שלארנק המדובר מעולם לא הועבר דבר. כלומר, אף משתמש לא נפגע או העביר כסף לתוקפים.
מה עושים? משגיחים
הפעם, כמעט במזל, המתקפה הסתיימה תוך כמה שעות ללא נזק ממשי, אך היא חושפת את הבעייתיות שבשימוש של אתרים רבים בתוספים ללא השגחה ראויה.
״המסקנה הברורה והמתבקשת מצביעה על הצורך הקריטי לקיים בדיקות סדירות ברמה יומית. לכל הפחות באופן זה ניתן לאתר כל שינוי שמבוצע בקוד, בין אם במישרין ובין אם בעקיפין–גם כאשר מדובר בטעות או לחילופין בפעילות זדונית מכוונת״, כך טוען כהן. ״במציאות האינטרנטית של היום, סקר שתכליתו בדיקה רגעית כבר אינו מספק. כדי ליהנות מכל העולמות ולהבטיח שקט נפשי למנהלי האתר ולבעלי תפקידים שה-CiSO ביניהם, יש להקפיד על ניהול ובקרה שוטפים של משאבים חיצוניים (Asset management)״.
עידן בן טובים
נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה
הגב
28 תגובות על "השחתת האתרים: טעות קוד מטופשת הצילה רבים מבעיה חמורה יותר"
* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.
הורדה של תוכנת כופר לאו דווקא מחייבת הרצה שלה. המשתמשים היו צריכים להריץ את הקובץ לאחר ההורדה, גם אם היה יורד אל המחשב שלהם.
בחלק גדול מהמקרים, הרצה של התוכנה פונה לדומיין חיצוני לצורך הפעלת השירות.
לחברת ITway יחד עם שותפים נוספים יש פתרון המאפשר חסימה טובה למצבים האלה
נכון אבל הרבה אנשים לוחצים על run ברגע שההורדה מסתיימת
לפי מה שאתם מתארים פה, אין למשתמש שום סיכוי להערך למתקפה שכזו…
אין למשתמש שליטה על רשומות הDNS והאתרים שמאחסנים אותם.
אז מה כבר אפשר לעשות?
זה כמו שיפרצו לשרתים של הISP שלנו וישנו שם דברים. אין ללקוח שליטה על הדבר הזה.
רק שימוש במוח. מי שמקבל הודעה שנגן הפלאש שלו אינו מעודכן, מוריד וגם מתקין, אף אנטי וירוס לא יכול להציל אותו.
מאמין שמתישהו (עשור?) דפדפנים מודרניים יחייבו HTTPS + HSTS + DNSSEC. עד אז, שבעלי אתרים יפעילו 2FA בחשבון רשם הדומיין, את הטכנולוגיות שהוזכרו, וגם יקפידו על ציון HASH באינטגרציה של סקריפט בעל גרסה ספציפית, ואם חייבים את ה Latest אז רק מספקים רציניים כמו גוגל ולא מחלטוריסטים ישראליים.
במקרה הספציפי הזה רק Hash של הסקריפט היה עוזר, הפרוצים שינו את ה dns בצורה חוקית (כי הם פרצו להם לחשבון) והיה להם תעודת https של lets encrypt
דובר פה על הבעיה של הפנית אתר לגיטימי למקום זדוני ע”י שינוי ערכי הDNS העולמיים.
אין לך כל נגיעה בדבר ויותר מזה, אתה אפילו לא תדע מזה.
לגבי ההורדה של הנוזקה עצמה, אתה צודק. צריך להפעיל קצת שכל ולבדוק את הדברים לפני שלוחצים.
קיימים היום פתרונות המגינים על רשומות ה DNS ולמעשה בודקים במהלך הDNS resolving האם כתובת ה IP אליה פונים היא זדונית או כשירה.
ב”ה
אין ספק שזה היה יכול להסתיים באופן הרסני וגרוע
צריך לאקוף מדניות שאוסרת הורדת קבצים כבר בדרגה של כרום, ז”א שבעלי האתר יגדיר מה מותר ומה אסור באתר
וכן כל החברות שעוסקות בפירסומות מסוג הנ”ל כבר יוגדרו במצב זה וגם בלי שום קשר לאתר ז”א לנעול להם הרשאות באופן אוטומטי בכרום להורדת קבצים
ממילא כל מטרתם זה מדיה
ככה יווצר מעגל ביטחון נוסף שישמור על המשתמשים
הורדת קבצים לווינדוס זה קצה קצהו של הבעיה. חטיפת DNS יכלה לגרום לסקריפט לשלוח את פרטי הבנק שלהם ועוד דברים נחמדים. וגם לשינוי פרטי המדיניות בלי בעיה אם זה משהו שלא מוגדר מראש בגוגל
לוזרים.
חבורה של מחבלים כאפות
מחדל רציני ביותר של חברת box.co.il
נחשף לראשונה בגיקטיים?!! נחשף כבר לפני יומיים… מביכים
(לא זה לא אני)
לא קראת את הכתבה הא? הם ראיינו את העידן הזה והוא מדבר פה על הפרצה
קראתי. אם הבנאדם מפרסם משהו בטוויטר לפני יומיים, ודרכו או שלא דרכו כל פורום טכני כבר יודע על כך, זה שהוא לא רץ עם זה אז לתקשורת לא הופך את הפעם הראשונה לחשיפה של כלי התקשורת. אם הכתבה היתה מתפרסמת רק בגיקטיים אבל עוד שנה זה נחשב חשיפה ראשונית של גיקטיים? נגמרו הימים שטוויטר היה מחתרת סודית, גיקטיים זה בסה”כ עוד כלי תקשורת בינו ובין השאר
האם ל box יש אחריות במקרה כפי שמתואר (משמע: האם אפשר לתבוע את בוקס [שאני קצת לקוח שלהם…] )?
(או שהם יגלגלו את זה לחברה אחרת, שתגלגל את זה ל…)
לא אם אישרת הסכם משתמש. ברובם כתוב שספק התוכנה לא אחראי לכלום
sadsa
מה היה קורה אם עוכרי ישראל האלה היו מצליחים? זה כמעט היה אסון לאומי. אז כמה חנונים מ8200 שוב מדברים על זה באיזה פורום ושוב אף אחד לא מתעורר? גיקטיים תמשיכו לפרסם כאלה דברים כדי שאנשים יתעוררו ויבינו שגם כמעט זה נורא נורא מסוכן
אולי תשתף גם אותנו במה שעשית.. כך גם אנחנו נהיה מוגנים.. תהיה נחמד
https everywhere
אתרים משתמשים בקוד צד שלישי כדי להרוויח כסף, הגיע הזמן שיתחילו להגן על הגולשים.
קצת פרסומת אבל הפתרון של סורס דיפנס היה מונע את הבעיה מראש. חברה ישראלית שהפתרון שלה כבר מותקן בכמה בנקים ישראלים וחברות ענק בכל העולם.
אתה מקבל מניות? אחוזים?
לא, סתם לקוח מרוצה, הלווי והייתי יכול לאמר מאיזה אירגון.
אגב גם אם כן, אומרים לך שיש פתרון לבעיה אמיתית ומשמעותית ושחברים כאן מישראל פתרו אותה אז למה צרות העין?
זה לא נכון שאין גניבת מידע, כי יש בDARK NET דיון על המידע שנגנב.
זה לא נכון שאין גניבת מידע, כי יש בDARK NET דיון על המידע שנגנב.
התובנה: privacytools.io
Firefox with :
HTTPS Everywhere
NoScript
Privacy-badger
uBlock Origin
Decentlayers
CookieAutoDelete