לקראת OpIsrael: אלו חמשת התקיפות השכיחות ביותר היום

רעות חכמון, CISSP ומומחית למתקפות סייבר ב-2BSecure, חברת אבטחת המידע והסייבר של מטריקס, עוזרת לכם להתכונן ולהתגונן מפני המתקפות הצפויות

04/04/2019 14:38
רעות חכמון, CISSP ומומחית למתקפות סייבר ב-2BSecure, חברת אבטחת המידע והסייבר של מטריקס. צילום: יח"צ

OpIsrael, היום שבו האקרים אקטיביסטים (האקטיביסטים) רבים מנסים לפרוץ ולשבש פעילות של חברות וארגונים ישראלים, הפך לאחד הימים העמוסים במתקפות סייבר כנגד כל חברה המזוהה עם ארצנו הקטנה. למרות שהיום המדובר מתרחש באותו תאריך כל שנה, וחברות כבר מכירות אותו ומתגוננות מראש, עדיין אנו עדים לתקיפות וניסיונות תקיפה שמשבשים את סדר היום ועלולים לפגוע בגופים קריטיים לקיום היומיומי שלנו. ההאקרים ממשיכים לשכלל את דרכי התקיפה ואנו נאלצים להתאים את עצמנו כל פעם מחדש.

היום ישנה הרבה יותר מודעות לנושא אבטחת הסייבר, וגם טכנולוגיות רבות מפותחות כבר עם יכולות אבטחה Build In. אך עדיין, אין זמן רע לשפר ולבחון את אבטחת הסייבר שלנו, בטח לא קרוב ליום כל כך רגיש.

בחנו בחודשים האחרונים עשרות מערכות וארגונים וגיבשנו רשימה של חמשת המתקפות הנפוצות ביותר לקראת OpIsrael.

חשיפת מידע על המערכת

אומנם מדובר במתקפה ברמת חומרה נמוכה ולעיתים אינפורמטיבית בלבד אך אין להמעיט בערכה, היא חוזרת על עצמה בוורסיות שונות ב-99% מהמערכות שאנו בודקים. מדובר כאן על חשיפת מידע טכנולוגי כתוצאה מקינפוג לא נכון של המערכת, בדרך כלל כי שוכחים או לא מודעים להגדרות שרת מסוימות. המידע עלול להיות סוג שרת או טכנולוגיות וגרסותיהן, דפי שגיאה, נתיבים פנימיים או פיסות קוד שנחשפות. אומנם לא ניתן לתקוף כך ישירות אך כל האקר יודע ששלב איסוף המידע הוא השלב הראשון והקריטי בכל תקיפה ממוקדת, והמידע הזה יסייע בבנית המתקפות הממשיות ואף יעלה רעיונות יצירתיים לתוקף. בנוסף, השמירה על אטימות המידע עלולה לעשות רושם שמדובר במערכת שדאגו לאבטחה שלה ועדיף שלא להשקיע זמן ולנסות לתקוף אותה.

Rate Limit\ Denial of Service

עוד מתקפה שחוזרת על עצמה מאז ומתמיד, חומרתה בינונית עד גבוהה ורמת חומרתה תלויה בנזק העסקי שהיא עלולה להוביל אליו. מטרת המתקפה היא שליחת כמות בלתי מבוקרת של בקשות במטרה ליצור עומס על המערכת ואף לגרום לקריסתה. הנזק הטכנולוגי די ברור: קריסת שרתים, אך הנזק העסקי הרבה יותר מעניין: ניתן לשלוח אין ספור בקשות בערכים שונים לשם ניחוש מידע קיים כמו שמות משתמשים או סיסמאות, ניתן גם לנצל כל פעולה למטרת זדון כמו אין ספור בקשות של ״צור קשר״ שתעסיק לדוגמא את מחלקת פניות הציבור או פשוט תשבית אותה. יש לוודא עבור כל פעולה במערכת שהיא מוגנת באמצעות מנגנון Captcha מתוחכם או הגנת WAF המוגדרת כראוי.

IDOR: insecure direct object reference

בחומרה גבוהה עד קריטית. מתקפה הכוללת גישה שאינה מורשית לאובייקטים רגישים במערכת, כלומר חשיפת מידע רגיש למשתמשים שאין בהרשאתם לצפות בו. לאחרונה נמצאת לרוב במערכות שמבוססות API אך ניתן להיתקל גם באפליקציות שרצות באופן מלא על Web Server. לעיתים המפתחים שוכחים להגן על מתודות מסוימות במנגנון זיהוי ואימות למשתמש שניגש אליהן, והתוצאה היא נגישות המתודות לכלל המשתמשים ללא מגבלת הרשאות ולעיתים גם למשתמשים אנונימיים שלא הזדהו כלל למערכת. המידע שנחשף עלול להגיע לרמת רגישות גבוהה מאוד כגון, מידע עסקי סודי ביותר.

XSS – cross side scripting

חומרת המתקפה בין בינונית לקריטית וזה תלוי בקושי היישום והנזק שניתן ליצור במערכת ובמשתמשים שלה. מדובר בחולשה שמאפשרת לתוקף להחדיר קוד למבנה הדף הקיים ולהשפיע על אופן הרצתו בדפדפן המשתמש. הדבר מתאפשר כאשר לא מתבצעת בדיקת קלט וכך תווי הקלט משפעים על הקוד הקיים באמצעות שימוש מדויק של שפת הקידוד. מתקפה כזו עלולה לשנות את ניראות הדף, מה שנקרא Defacement. ניתן להשתמש במתקפה גם ליישום מתקפות פישינג יעילות. המתקפה יכולה גם להתבצע ללא נראות אלא בהרצת קוד זדוני וללא ידיעת המשתמש, בצורה כזו ניתן לשלוף מידע אישי מהדפדפן או לחלופין להריץ פעולות מתוכו. מומלץ לוודא כי קיים מנגנון לווידוא קלטים במערכת – בעדיפות לתצורת White List, ושהמידע שמוצג יקודד בתצורת HTML Encoding. כמו כן מומלץ להשתמש בשכבת הגנה של WAF ולדאוג לקנפוג מדויק, יעיל ועדכני.

מתקפת OpIsrael

מתקפת OpIsrael

Blind SQL injection

מדהים לגלות שגם היום, עם כל הידע הניסיון והקדמה שיש לנו מתקפת SQLi עדיין נפוצה. Blind SQLi הינה מתקפה מתוחכמת בה מוצא התוקף יכולת לתקשר עם בסיס הנתונים על בסיס שאלות של כן ולא (Boolean) .מדובר במתקפה ארוכה שדורשת אין ספור שאלות ולרוב תתבצע על ידי הרצת סקריפט ייעודי. לאחר ימים ארוכים של הרצת המתקפה באופן מוצלח התוקף יאחוז בבסיס הנתונים כולו. מידע כזה יכול לפתוח לתוקף את האפשרות לממש מתקפות רבות אחרות, כגון: שליפת סיסמאות של משתמשים פריבילגיים, השגת מידע עסקי סודי שעלול לפגוע בעסק או שליפת מידע אישי ממוקד של איש מפתח אליו רוצה להגיע התוקף. על מנת להימנע ממתקפה כזו יש לוודא כי הפנייה לבסיס הנתונים מתבצעת באופן מתודי מוגבל, מומלץ גם לוודא כי ההרשאות של המשתמש בבסיס הנתונים מוגבלות, כמו כן מנגנון לווידוא קלט, קינפוג WAF והגבלת הפניות שמשתמש יכול לשלוח לפרק זמן קצר.

משנים עברו ראינו כי כל הארגונים בישראל הם מטרה וכי כל דרך היא אמצעי, ולכן ההמלצה עבור כל ארגון ממשלתי או פרטי היא לדאוג להגנה שלו, למנוע פגיעה עסקית, טכנולוגית ולא פחות חשוב להימנע משיימינג. שימרו על הארגון שלכם, בדקו את עמידות מנגנוני ההגנה המקיפים – FW, WAF וכו', וודאו שלא קיימת חשיפת מידע מיותרת ובדקו את עמידות הקוד למתקפות סייבר. כל יום בשנה הוא יום טוב לדאוג לאבטחה שלנו אך החודש הזה הוא הזמן החשוב ביותר לוודא שאנו באמת ערוכים ל-7.4".

הכותבת היא CISSP ומומחית למתקפות סייבר ב-2BSecure, חברת אבטחת המידע והסייבר של מטריקס. 

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים