למנוע פריצות האקרים – למה ואיך?
אתר האינטרנט שלך מהווה חלון בין העולם הגדול לבין המידע שברצונך לשתף. למרבה הצער, יש כאלה שיעשו כל שביכולתם כדי לפרוץ לחלון הזה ולגנוב את כל מה שהם יכולים.
האקרים גרמו מהומה באינטרנט מאז תחילת ההיסטוריה של המחשב. למעשה, המונח “hack” שפירושו "גרזן" נמצא בשימוש משנת 1955 ומשמעותו "לעשות בלגן" במחשבים.
בשנת 1983 דן בית המשפט העליון בארה"ב לראשונה בפריצה לאינטרנט ובשנת 1984 ניתנה לשירות החשאי של ארה"ב סמכות על פי חוק לפקח על פשע חדש שנוצר בנושא פריצות והונאות במחשבים.
בדרך כלל, כאשר אנחנו חושבים על פריצות לאתרי אינטרנט האסוציאציות הראשונות שלנו תהינה בני נוער משועממים או גברים זדוניים היושבים בחדרים כהים ומתכננים רשע. ואכן זה יכול להיות נכון, הדוגמה האהובה עלינו היא פריצה שבוצעה לפני כמה שנים על ידי ה- MI6בבריטניה. הם פרצו לאתר האינטרנט של אל-קעידה וכאשר גולשים ניסו להוריד את "המתכון" של אל-קעידה לפצצות צינור תוצרת בית, הם קיבלו מתכון לקאפקייקס מאלן דג'נרס. [1]
איך האקרים פורצים למחשב?
ישנן דרכים רבות ושונות שדרכן ניתן לפרוץ לאתר שלך.
הסוג השכיח ביותר של פריצות באינטרנט הוא כאשר האקר או "שותל" אפליקציה אשר דרכה ניתן לגשת לבסיס הנתונים באתר דרך input בלתי מסונן באתר האינטרנט שלך.
לכן חשוב תמיד לוודא שכל ה-input – לאתר שלך מסונן וזאת באמצעות אישור SSL עליו נדבר להלן. [2]
שני מונחים המשמשים לעתים קרובות בשימוש לרעה כאשר מדברים על אבטחת האתר הם אימות ואישור. בעוד ששניהם חיוניים לאבטחת האתר שלך, לעתים קרובות הם מעורבים. כדי להחמיר את המצב, שניהם בדרך כלל מקוצרים "auth". אימות הוא להיות מודע מי המשתמש הוא והרשאה היא לדעת מי אומת עבור מה האפשרויות. פריצות אלו מתרחשות בדרך כלל במסדי הנתונים של האתר.
כניסה משותפת נוספת לאקרים היא תצורה שגויה של אבטחה, הכוללת מספר סוגים של פגיעויות הקשורות בכל הקשור לחוסר תשומת לב או לחוסר תחזוקה של יישום האינטרנט והתשתית שלו. יש להגדיר ולהגדיר תצורה מאובטחת עבור היישום עצמו, וכן עבור שרת היישומים, שרת האינטרנט, שרת מסד הנתונים ופלטפורמת האירוח. תצורה שגויה של אבטחה בכל מקום לאורך שרשרת זו מאפשרת להאקרים לגשת לנתונים פרטיים או לתכונות רגישות אחרות, ועלולה לגרום למערכת פגומה. [3]
כיצד נוכל למנוע פריצות לאתר שלנו?
למרבה המזל, ישנם צעדים רבים שניתן לנקוט כדי לשפר את אבטחת המידע. בראש ובראשונה, מי שאחראי על אבטחת האתר חייב להיות ערני בכל עת – בפרט הצעדים הבאים:
• ווידוא כי התוכנות איתן אתם עובדים מעודכנות לגרסה האחרונה
• מחיקת קבצים, בסיסי נתונים או יישומים מאתר האינטרנט שלכם שאינם נמצאים עוד בשימוש
• קיום מדיניות שימוש בסיסמאות "חזקות"
• הצפנת עמודי Log-In
• שימוש באחסון אתרים אמין ומאובטח
• גיבוי כל הנתונים של האתר שלכם
• ווידוא כי תעודת ה-SSL שלכם מעודכנת לגרסה האחרונה [4]
אז מה זו תעודת SSL?
SSL – Secure Sockets Layer, זהו התקן המקובל בתעשייה להצפנת העברת המידע בין שרת אינטרנט לדפדפן. ההצפנה מבטיחה שהקישור בין השרת לדפדפן יישאר פרטי. באתר בו מותקנת תעודת SSL יוצג בדפדפן סימן של מנעול, לחיצה על סמל המנעול מציגה פרטים על תעודת ה- SSL שלך. אישורי SSL מונפקים עבור חברות או לאנשים פרטיים לאחר ביצוע אימות מתאים ואחראי.[5]
האישורים מכילים מידע על שני מפתחות מוצפנים – מפתח ציבורי ומפתח פרטי. שני המפתחות צריכים להתאים כדי לפתוח קישור מאובטח המאפשר לשלוח בבטחה מידע בין הדפדפן לשרת.
יש תשלום ראשוני וחיוב שנתי עבור אישור תעודת ה-SSL. התשלום משתנה בהתאם לחברה שמנפיקה את האישור, סוג האישור, הדומיין ומהו סוג פרוטוקול ההצפנה בו משתמשים. לדוגמה, TLS (Transport Layer Security ) משתמש באלגוריתם הצפנה חזק יותר ויקר יותר מאשר תעודת SSL רגילה.
באפשרותכם לרכוש תעודת SSL של דומיין יחיד עם אבטחה נמוכה במחיר הנמוך מ- $ 5.00 לשנה, וזה עשוי להיות מספיק טוב עבור אתר פשוט שבו אין מידע על המשתמש שיש להגן עליו. לעומת זאת, קיימת אבטחה הנחשבת "Super Certification" לאבטחת הנתונים של האתר בסכומים שיכולים להגיע ל- 700 $ בשנה.
כדאי לדעת כי גוגל תמיד מדרגת אתרים עם אבטחת SSL נמוכה מתחת לאתרים עם אבטחת SSL חזקה יותר. כדי להבטיח אופטימיזציה נכונה של חיפוש באינטנרט, וודאו כי בידכם תעודת ה-SSL המתאימה לעסק שלכם.
כמה נקודות לסיכום
• וודאו שהאחראי על אבטחת האתר שלכם מקפיד על כל הבדיקות הנדרשות. כמעט כל פירצות אבטחה הקיימות באתרים היום ניתן למנוע אם מקפידים על טיפול נכון.
• הקפידו לחדש את תעודת ה-SSL שלכם מדי שנה. אין דבר המרתיע לקוחות יותר מאשר הודעה על דף אינטנרט שאינו מאובטח ומאומת.
• השאירו את אבטחת האתר שלכם בידיהם של אנשי המקצוע המוכשרים לכך.
References
[2] https://www.toptal.com/security/10-most-common-web-security-vulnerabilities
[3] https://www.commonplaces.com/blog/6-common-website-security-vulnerabilities/
[4] https://www.commonplaces.com/blog/8-simple-ways-to-improve-your-website-security/