פרצה קוראת להאקר

ההאקרים כבר מזמן הפכו זאת לתחביב ונדמה שהתופעה רק הולכת ומחמירה. איך אפשר להילחם בפרצות אבטחה באתרים ומה אנחנו, הגולשים, יכולים לעשות כדי להתגונן? כאן התשובות

איך להתגונן? (חדשות 2)

בין לילה חלה סערה בעולם הטלקום הישראלי, כשמפעילת הסלולר גולן טלקום הכריזה על מחירים חסרי תקדים בענף. זמן קצר לאחר מכן, התעוררו שמועות בדבר פרצת אבטחה באתר האינטרנט של החברה, ומנכ"ל גולן טלקום הזדרז להצהיר שזהו שקר יח"צני של החברות הוותיקות.

כך או כך, על כל חברה באשר היא לדאוג לאלמנט אבטחה היקפי ואיתן לאתר האינטרנט שלה - הן ברמה הטכנולוגית והן ברמה הארגונית. על החברה להשקיע את המשאבים בטכנולוגיה הנדרשת לשם אבטחת האתר וגם לדאוג למדיניות מוסדרת בראשות צוות IT מיומן, שידאג ליישומה של אותה מדיניות בפועל ואמידותה בפני פריצות ואיומים.

במקרים רבים, האבטחה הטכנית הבסיסית ברמת התשתית (כמו הטמעת חומת אש [Firewall] או הקשחת מערכות ההפעלה של השרתים) אינה מספקת, ודרושה בין השאר גם אבטחה אפליקטיבית, ברמת היישום עצמו. אתר אינטרנט שנבנה בצורה לא בטוחה מספיק מלכתחילה, ברמת קוד המקור, יהיה נתון ל"חורי" אבטחה רבים יותר, ומכאן - חשוף יותר לאיומים.

דוגמה לפריצה נפוצה ברמה האפליקטיבית היא SQL injection - בה מוכנס קוד לשדה קלט, לתוכו אמורים להיות מוזנים נתונים תמימים (כמו שם משתמש וסיסמא), אשר גורם לתוכנת המחשב לעשות פעולות אחרות, כמו לאפשר לתוקף לקבל גישה לנתונים שהוא אינו מורשה אליהם, או אפילו להשתלט על השרת עצמו. באותה מידה, פריצות אפליקטיביות יכולות אף לאפשר לגורמים זדוניים להתחזות ללקוח אחר, לצפות בחשבוניות שלו, אמצעי תשלום ופרטים אישיים אודותיו.

לחברות גדולות קל יותר ליישם תהליכי אבטחת מידע, שמסוגלים למנוע פִרצות ופריצות מסוג זה, מכיוון שיש להן ידע רחב יותר בנושא ותקציב להשקיע בכך. חברה קטנה, לעומת זאת, נעדרת אותם משאבים ולכן עלולה להתפתות ל"קיצורי דרך" בבניית האתר, בין השאר על חשבון אבטחת המידע.

נורות אדומות

על אף הרצון להיות דינאמיים ולבנות אתר אינטרנט מהר, חברות קטנות, שאינן משקיעות את המאמצים ההכרחיים בבניית אתר מאובטח מלכתחילה, יתקשו לאתר את הפרצות לפני עליית האתר לאוויר ולעיתים אף להתקשות בלספק פתרונות אבטחה תוך כדי תנועה, כשמתגלות המתקפות על האתר כתוצאה מאותן פרצות. התמודדות עם כשל נקודתי עלול לארוך מספר שעות בודדות, ימים בודדים, כמה שבועות ואף חודשים, במידה ומדובר בכשל תכנוני של המערכת (ברמת ה-Design).

כפי שרומא לא נבנתה ביום אחד, כך אבטחה של אתר אינטרנט לא יכולה להיבנות ביום אחד (על אחת כמה וכמה, כאשר האתר מכיל נתונים אישיים ורגישים של לקוחות). ל"קיצורי דרך" עשויה להיות עלות משמעותית ואקוטית לאורך זמן, שכן הם עשויים להביא לפגיעה בצרכנים ובמוניטין החברה באופן בלתי הפיך.

למרות שהאחריות לאבטחת אתרים אינה על מונחת כתפיי המשתמש, ישנן "נורות אדומות" שיכולים הגולשים לזהות בעת הגלישה באתר, כמו הודעות אזהרה מהדפדפן. כמו כן, על הגולש לוודא שתצורת הגלישה בעת הזנת פרטים רגישים (כמו סיסמא, פרטי אשראי וכדומה) היא מסוג https, וכי האתר מפרסם ומצהיר בגלוי את מדיניות האבטחה שלו (כפי שניתן לראות באתרי הבנקים).

הכותב הוא סמנכ"ל טכנולוגיות בקבוצת קומסק 

רוצים לקבל עדכונים נוספים? הצטרפו לפייסבוק רשת