בעקבות אירועי המשט היו בתקשורת דיווחים על מאות אתרים ישראלים שנפרצו - רבים על ידי האקרים תורכים. כמובן ששההאקרים הישראלים הגיבו בהתאם, אבל הנזק שנגרם לאתרים שנפגעו נותר בעינו.

אתרים שפועלים על גבי הפלטפורמה של נטפרוטק נותרו ללא פגע.

מזל ? לא ממש. 

אנו משקיעים רבות בבנית האתרים בצורה שתאפשר הגנה מפני רוב ההתקפות הנפוצות המופעלות על ידי ההאקרים. זהו מאפיין במערכת שלנו שבימים של שגרה לקוחות לא שואלים ומתעניינים לגביו. אבל אנו מודעים לנזק האפשרי כתוצאה מפריצה לאתר, ודואגים להגן על לקוחותינו מפני פגיעה.

 

למי שמתעניין יותר בנושא, להלן כתבה שפרסמנו לפני כשנה הכוללת נקודות מפתח שיש לשים לב אליהם כאשר בונים/ רוכשים אתר- הדברים רלוונטיים, כיום כמו אז...

להלן מספר נקודות לאבטחה של אתרים בסיסיים, כאלה שאינם כוללים יישומים מתוחכמים או מסחר אלקטרוני. הגנה על האחרונים היא יקרה בהרבה ודורשת ניתוח יסודי של כל אתר.

 

אילו מערכות הגנה פועלות בשרת ? הדרישה הבסיסית לכל אתר צריכה להיות FIREWALL המגן באופן כללי מפני כניסה של גורמים לא רצויים, ומנהל סגירה ופתיחה של פורטים. כמו כן צריכה להיות הגנת DDOS גם על האתר וגם על שרת הדואר נגד התקפה היוצרת עומס ומביאה לנפילת האתר. בכל שרת המאחסן אתרים יש לוודא כי קיים  אנטי וירוס פעיל. אתרי Web 2 ואתרים בעלי כבדים יותר זקוקים להגנה ברמה אפליקטיבית (7Layer  בשפה המקצועית) שהיא יקרה בהרבה.

 

  1. האם מסד הנתונים מופרד מהאתר ? אחת מצורות הפריצה הנפוצות בשוק היא SQL injection אשר מנצלת בעיות בתכנות, ומסוכנת בעיקר כאשר מנהלים מסד נתונים. ההגנה מתבצעת באמצעות בדיקת הנתונים והבקשות שמגיעות דרך האתר ושימוש בקודים זדוניים.  חשוב לוודא כי במקרה וקוד האתר נפרץ, מסד הנתונים אינו נגיש והוא מוגן בצורה נפרדת. מאותה סיבה חשוב כי גם שרת הדואר יהיה מופרד. חשוב לבדוק באיזו צורה מגן המתכנת על פריצה מסוג זה ומה ההתחיבות לתקן ולחסום לקוי שמתגלה.

 

  1. האם מופעלת הגנה בפני XSS ? סוג פריצה של קוד בתוך קוד, המשמשת לרוב להונאות של גולשים. לרוב, רמת הסיכון  שלה נמוכה אך היא יכולה לגרום לבעיות מטרידות כגון: הדף פתאום עובר לאתר אחר מבלי ללחוץ על קישור, קפיצות של הודעות שגיאה, קפיצות של האנטי-וירוס כאילו יש וירוס במחשב. ישנה חשיבות גבוהה להקפדה על תכנות שמנטרל קודים קבועים וידועים מראש של שפת סקריפטים.

 

  1. האם טפסים מכילים מנגנון אימות גולש ? טפסים מהווים אחת מנקודות התורפה הגדולות של אתרים  רבים. מכונות השולחות פרסומות ומידע לטפסים באופן אוטומטי הפכו לשיטה חדשה ל- SPAM (דואר זבל). כדי להפחית את הסיכון חשוב לשלב מנגנון כגון CAPTCHA – יישום המוודא פעולה של גולש אמיתי באמצעות זיהוי קוד גרפי שמערכת ממוחשבת לא יכולה לקרוא.

 

  1. האם מערכת הניהול מוגנת בהצפנת SSL ? מערכת הניהול והססמאות שלה מהוות נקודת תורפה מאחר והן מועברות ממחשב המשתמש שאינו תמיד מוגן מספיק. לכן יש לוודא הצפנת SSL, וכן מומלץ שהסיסמאות למערכת הניהול יהיו מוצפנות, למשל שיטת הצפנה של סיסמאות ב- MD5.

 

  1. האם יש הגבלה על העלאת קבצים?  אתרים רבים מאפשרים כיום להעלות קבצים כגון תמונות אישיות או קבצי טקסט. חשוב לוודא כי המערכת מגבילה את סוגי הקבצים שניתן להעלות. במערכות מתקדמות יש לוודא גם כי המערכת יודעת לזהות את תוכן הקובץ ולא רק את שמו. חשוב גם שבשרת תתבצע סריקה של אנטי-וירוס עבור כל קובץ.

 

  1. גיבוי. מכיוון שיש עשרות סוגי פריצות, ולעולם לא ניתן להגן באופן מלא, יש לודא עם חברת האיחסון כי מבצעים גיבויים ברמה יומית עם שמירת היסטוריה של גיבויים. ישנם מקרים שלא ניתן להציל נתונים לאחר שהאתר נפגע.