בעלי אתרים: איך להתגונן מפני פורצים?

בשבוע שעבר תקפו והשחיתו פורצים פרו-פלסטינים מאות אתרים ישראלים, בעקבות פעולות צה"ל בעזה. בכל העולם, בזמן מתיחות מדינית וצבאית פעילי רשת פטריוטים מתקיפים את אתרי האויב. התוקפים אינם מתוחכמים לרוב, ומשתמשים בשיטות כמו מתקפת מניעת שירות (DDoS), או עושים שימוש בסקריפטים מוכנים מראש החושפים חולשות אבטחה באתרים.

לרוב, ההשחתות האלה (defacement) מסתכמות רק בשינוי הדף הראשי, קובץ שניתן לשחזרו בקלות, ופוגעות באתרים קטנים. מסדי נתונים רגישים, הכוללים פרטי לקוחות, כמו אתרי מסחר אלקטרוני, אתרי ממשל ואתרים פיננסיים, מוגנים בטבעת אבטחה הדוקה ולכן, אינם נפגעים בהתקפות כאלה. עם זאת, הנזק התדמיתי

עלול להיות כבד.

למשל, במתקפה האחרונה נפגעו גם אתרים שיווקיים ותדמיתיים של חברות מסחריות ובנקים. רוב הגולשים לא יבחינו בהבדל בין אתרים אלה לבין מאגרי המידע המאובטחים בהם נשמרים פרטי הלקוחות, ומבחינתם אתר החברה נפרץ. לכן, לבעלי אתרים ולספקי אחסון יש אינטרס הדדי למנוע התקפות מוצלחות: כולם עלולים לאבד את אמון הלקוחות.

לצורך כתבה זו דיברנו עם כמה מומחים לאבטחת מידע: גדי עברון מ-Beyond Security, גיא כרסנתי מאבנת, ויובל בן יצחק מפינג'אן, ואספנו מהם טיפים מועילים עבור בעלי אתרים ולכל מי שמעוניין להקים אתר ולהגן עליו מפני פריצות.

מבחינה טכנית אין הבדל גדול. בשני הסוגים מדובר בשרת אינטרנטי המאחסן פיזית את האתרים הנהנים מתנועת הגולשים. האחסון כולל את התוכן, מערכות הניהול, ובסיסי הנתונים. ההבדל בין השרתים הוא בכמות המשתמשים בהם: שרת שיתופי מאחסן מספר אתרים של לקוחות שונים במקביל, ושרת ייעודי מוקדש ללקוח אחד שבוחר איזו מערכת אבטחה להתקין עליו.

איזה סוג של שרת מוכרים ללקוחות שפותחים אתר?

כמעט כל שירותי האחסון המוצעים למכירה ברשת מתבססים על שרת שיתופי. אם תרצו לקנות שרת ייעודי, תצטרכו לפנות לספק האחסון ולבקש זאת במיוחד.

אני רוצה לאחסן אתר. איזה מהם כדאי לי לבחור?

זה תלוי במספר גורמים: מטרת האתר, חשיבות ורגישות המידע, והתקציב המיועד לצורך האתר. אם מדובר באתר פרטי או שיווקי לחנויות בינוניות, משתלם יותר לרכוש אחסון שיתופי. חשוב לזכור שהוא פגיע יותר, ולא כדאי להחזיק עליו מידע סודי כמו מאגר לקוחות.

יש שרתים שלא מאפשרים התקנת מערכות ניהול תוכן מסוימות. אם בחרתם מערכת לניהול תוכן

 (של קטלוגים, אלבום תמונות, בלוגים וכו') כדאי לבדוק שהספק עונה על הדרישות המינימליות שהוא מציג, ולראות שהוא לא אוסר על התקנתן.

השיקול הנוסף נוגע לנזק התדמיתי שייגרם במקרה של פריצה. גם אם מדובר רק באתר שיווקי, פירצה יכולה לגרום ללקוחות או לגולשים תחושה של חוסר בטחון ורתיעה.

מה היקף התעבורה (מספר גולשים) בה תומך כל סוג של אחסון?

זה משתנה מאוד ותלוי בהצעות של ספק האחסון. יש אתרים המציעים תעבורה גבוהה יותר בתוספת תשלום. סדרי הגודל של תעבורה ששרתים שיתופיים עומדים בהם מסתכמים בעשרות אלפי כניסות ביום. בכל מקרה, אם אתם צופים מבקרים רבים באתר, כדאי לרכוש מראש חבילה המותאמת לכך.

מה ההפרש במחירים ביו שרת ייעודי לשיתופי?

אחסון בשרת יעודי יעלה עשרות עד מאות אחוזים יותר מאחסון בשרת שיתופי.

האם יש הבדל באחסון שמציעות ספקיות אינטרנט (ISP), לבין חברות אחסון עצמאיות?

אין הבדל ברמה הטכנית. לרוב ההבדלים הם בשירות ובמחיר, וכדאי לבדוק מה כל אחד מציע ספציפית.

כיצד מתבצעות פריצות לאתרים המאוחסנים בשרת שיתופי?

הפורצים סורקים את השרת באמצעות תוכנות מוכנות (סקריפטים) ומחפשים בו חולשות אבטחה ידועות. החולשות יכולות להתגלות בתשתית של השרת בהתאם לעדכון ספק האחסון. חשוב אף יותר: כשלי אבטחה נוספים עלולים להימצא במערכות שמתקינים בעלי האתרים. כלומר, אם לקוח אחר המשתמש יחד אתכם בשרת השיתופי התקין מערכת ניהול תוכן בה יש פרצות ובאגים - גם האתר שלכם בסכנה.

מה הסכנות בפריצה לשרת?

באופן תיאורטי, ברגע שפורץ חודר לשרת הוא עלול לעשות בו ככל העולה על רוחו. בהתקפות על האתרים הפרוצים הפורצים הצליחו רק לשתול טקסט, אך בשרת לא מאובטח הם עלולים להעלות קבצים, להעתיק ולשנות את כל המידע המופיע באתר, או לשתול קוד זדוני שעשוי לפגוע בגולשים. פורצים מתוחכמים יותר ייכנסו לשרת מבלי שתדעו על כך. הם יבצעו את הנזק בלי להשאיר סימנים, או להשאיר סימנים מינימליים שעין לא מקצועית לא תזהה.

על מה צריך להתעקש אצל ספק האחסון?

חשוב לפנות לספק אמין וידוע, המעדכן באופן תדיר את השרת שלו בעדכוני האבטחה. חפשו המלצות בפורומים ובאתרי אבטחה ברחבי הרשת. חשוב לוודא עם ספקי האחסון כי הם סורקים בעצמם את השרת לעיתים תכופות, בעזרת אותם סקריפטים בהם משתמשים הפורצים, כדי לגלות חולשות ולתקן אותן.

אם בחרתם בשרת אחסון שיתופי, מומלץ להשתמש בספק המספק גם מערכות נפרדות לניהול תוכן, ובסיס נתונים נפרד במקום בסיס נתונים משותף לכל הלקוחות. אם אתם לא בטוחים מה מציע ספק האחסון על פי האתר, כדאי לפנות אליו בטלפון או בדואר האלקטרוני ולשאול.

האם יש שירותי אבטחה שאני יכול להתקין באופן עצמאי, או לבקש מספק האחסון שיתקין רק אצלי בתשלום נוסף?

לא. כל פעולה למען אבטחה שנעשית ברמת השרת צריכה להיעשות עבור כולם. ברגע שנוצרת פירצה

 - באופן פוטנציאלי כל השרת פרוץ.

מה בכל זאת אני יכול לעשות בעצמי כדי להיות מוגן?

כל לקוח של שרת שיתופי תלוי בלקוחות האחרים וגם בספק האחסון, אבל ישנם דברים בסיסים שמומלץ לעשות בכל מקרה:

• אם משתמשים במערכת ניהול תוכן  או אפליקציה מבוססות רשת – לחפש עליה מידע במקורות שונים ברשת, ולשאול אנשים שעבודים איתה אם יש בה פרצות ידועות (כדאי במיוחד לבדוק אם יש במערכת פרצות מסוג SQL Injection).
  
  לאחר ההתקנה חשוב לעדכן את המערכת באופן תדיר. זהירות: גירסאות ישנות של מערכות ניהול תוכן לבלוגים, פורומים ואתרים מכילות פירצות אבטחה.
  

• לבחור סיסמאות חזקות – סיסמת הגישה לשרת וסיסמאות פנימיות במערכת האתר צריכות להיות ארוכות ומסובכות לפיצוח, והכללים לבחירת סיסמה בכל מקום ברשת תקפים גם פה: שילוב של אותיות גדולות, קטנות, מספרים ותווים. לא לבחור מילים, שמות או תאריכים.
  

• הרשאות – כשמחלקים הרשאות רצוי לספק אותן רק לאנשים עליהם אתם סומכים, ולתת רק את ההרשאות הנחוצות באמת במקום להשתמש בהרשאות כלליות. לדוגמה, אם מישהו מתחזק איתכם את האתר אבל לא צריך להעלות קבצים - אין צורך לתת לו אפשרות כזאת. כל הרשאה בלתי מוגבלת לאתר מספקת עוד פירצה אפשרית לפורץ.