לקראת כנס InfoSec 2015 מחר (ה'), 21 במאיפולימורפיזם כאמצעי הגנה חדשני מעל אתרי ווב
כתב: אהרון מזרחי, ה-CTO של Meydax
Meydax פיתחה את אחת משכבות ההגנה החדשניות ביותר על אתרי אינטרנט ואתרי מידע בפני מתקפות סייבר, טכנולוגיה המבצעת שינוי באתר בצורה דינמית. שינוי שכזה לא מאפשר לבוטים (Bots) ולנוזקות "להינעל" או להיות מתוכנתים על אלמנטים שונים באתר. טכנולוגיה זאת מבטלת ומקשה על הפעילות שלהם.
בסיס הרעיון הוא שעמוד HTML יכול להיכתב בצורות שונות אך להציג את אותה התוצאה למשתמש.
Meydax היא חברה צעירה, חלוצה בתחום הפולימורפיזם של האתרים. הטכנולוגיה עליה המוצר עובד נקראת Web Distortion. טכנולוגיית ה-Web Distortion של Meydax משנה, בין השאר, את מזהה האלמנטים, מכניסה נתונים שנראים רק לבוט, מפצלת מילים, מוסיפה אלמנטים נסתרים למשתמשים ואף מזיזה אלמנטים בעמוד על מנת למנוע מבוטים להינעל על קואורדינטות X ו-Y. כל זאת נראה רק לבוט, בעוד שלמשתמש הפשוט המסך נראה כפי שפותח מלכתחילה. תוקפים שינסו, לדוגמה, לבצע Brute Force או פעילות זדונית על לוגיקת האתר ייתקלו באתר דינמי המהווה מטרה נעה. התוקף לא יוכל למצוא את תיבת שם המשתמש או הסיסמה – דבר שהופך את הפיתוח של הבוט למורכב יותר בסדרי הגודל שלו.
בעיה נוספת שטכנולוגיית הפולימורפיזם נותנת לה מענה היא סריקת מידע מאתרים (Web Crawling) או "גזירת מידע" . כאשר בוט סורק אתר אינטרנט, מתבצע ריבוי פניות אל השרת בו מאוחסן האתר. דבר זה יוצר עומס שיכול להביא להאטת עבודת האתר הנסרק או לקריסתו ולגניבת מידע החוצה, למתחרים. בעיה זאת קיימת וגורמת לכאב ראש לא קטן לאתרים שונים. מדובר בפרסומים באתרי לוחות מודעות שמועתקים למתחרים על ידי תוכנות שסורקות את האתר, אתרי מכירות שמתחרים מבצעים עליהם סריקות מחירים ומידע שנסרק על גבי האינטרנט ונלקח מספקי תוכן ומידע על ידי בוטים. ברגע שאתר שכזה מוגן על ידי טכנולוגיית ה-Web Distortion של Meydax, הבוט ייתקל בעמוד "שונה" בכל פעם, כך שלא ניתן יהיה לגשת תכנותית לעמודים שונים, לשדות ולאלמנטים שונים בעמוד. גם אם הבוט יצליח לעבור בין עמודים שונים, הוא ייתקל בעמוד מגו'ברש ויצטרך להתמודד עם השינויים הדינמיים בעמוד.
יחד עם טכנולוגיית ה-Web Distortion שילבה Meydax יכולות של WAF עוצמתי ומערכת לשיפור ביצועים של עמודי אינטרנט, כך שרוב החלקים באתר מועלים מהענן ומרשת שירותי התוכן. מכאן שכל אתר, קטן כגדול, יכול ליהנות משירותי אבטחה מתקדמים במקום אחד וללא התקנה.
Meydax תופיע בהופעת בכורה בכנס InfoSec 2015, שם תציג בראשונה את המערכת שפותחה לקהל הרחב, החדשנות וכיצד הטכנולוגיה שפותחה נותנת מענה לאיומי האבטחה השונים.
