טיפים לאבטחת אתרים (חלק 1 מתוך 2)

(אני מפרסם כאן מאמר ב-2 חלקים: בחלק הראשון אני מתייחס לאבטחת מידע מבחינת Hosting לאלו שיש להם אתרים על שרתים משותפים (Shared). החלק השני מדבר על שרתים וירטואליים ופיזיים וזה גם החלק המיועד לאנשים היותר מקצועיים)

כיום, בעידן האינטרנט, אנשים רבים, ארגונים, חברות, עמותות וכו' רוצים ומעוניינים בייצוג באינטרנט. אתר שישקף את הפעילות של אותה חברה/עמותה/ארגון ויש גם אנשים רבים המעוניינים לשתף תחושות, תמונות, וידאו וכו' באינטרנט. לשם כך כמובן קיים האינטרנט ורבים מחפשים (ומוצאים) אנשים שיבנו עבורם את האתר שהם רוצים. הם מוצאים להם חברת אחסון אתרים (בחלק מהמקרים בונה האתר הוא גם זה שמאחסן את האתר, שזה בהתחלה נשמע מפתה, עד שמבינים שאם מחר יש לך סכסוך עסקי עם בונה האתר, האתר שלך הוא "בן ערובה", אם לא סגרת את העניין בחוזה ביניכם), וכך תוך זמן קצר (יחסית) יש להם אתר באינטרנט, כאשר מרבית האתרים הקטנים נמצאים על שרתים משותפים.

לצערי, אחד החלקים הכי קריטיים בבניית אתר נשכח אצל אנשים וחברות רבות והוא עניין אבטחת המידע. אנשים וחברות סבורים במקרים רבים כי מי שבונה את האתר הוא מי שיאבטח אותו וזו טעות רצינית. בוני אתרים רבים אינם מבינים כמעט כלום בכל הנוגע לאבטחת מידע, שהוא תחום לא קטן, מסובך להפליא לעיתים ומחייב עדכון ידע מתמיד מבחינת שפות תכנות, אפליקציות, מערכות הפעלה, טכנולוגיות וכו'.

כאשר בונה אתרים בונה אתר, המחשבה שלו (ברוב המקרים לפחות) היא לבנות ללקוח את מה שהלקוח מבקש. הלקוח מבקש דף כזה, גרפיקה כזו, בסיסי נתונים וכו', ובונה האתרים יושב ובונה (או מעתיק… מדהים כמה העתקות יש) את מה שהלקוח רוצה, כאשר עניין האבטחה לא תמיד נמצא בעדיפות הראשית(אם זה כתוצאה של חוסר ידע באבטחה או בגלל סיבות אחרות). הלקוח מאשר את האתר, האתר עולה לאוויר, בונה האתרים מוסיף שינויים שהלקוח מבקש וכולם מרוצים בסופו של דבר.

…עד שפורצים לאתר של הלקוח, וכשהלקוח רואה דברים כמו Defacement הוא לא ירגע כל כך מהר. סביר להניח שהוא יקח את הפריצה באופן אישי ואי אפשר לדעת מה אותו לקוח יחליט לעשות. נכון, במקרים רבים יש גיבוי ואפשר לשחזר ואין ממש נזק מבחינת תוכן, אבל בכל זאת, זה לא נעים. במקרים אחרים יש פריצות יותר חמורות כאשר מישהו מבחוץ קורא את כל בסיס הנתונים או משנה אותו, וגם אז המצב לא נעים, במיוחד אם יש נזק.

אז מה מומלץ לעשות? הפתרון פשוט אך לפעמים יקר: למצוא מישהו שמבין טוב באבטחת מידע כדי לסרוק את האתר שלך ולתת לך טיפים. אם האתר שלך נכתב "ידנית" ע"י בונה אתרים, אפשר למצוא אנשים ו/או חברות שיעשו עבורך "סריקה" על הקוד של האתר שלך, מה שנקרא בעגה המקצועית Code Audit. אם בונה האתר משתמש בפלטפורמת בניית/ניהול תוכן כמו Joomla/Drupal/WordPress או ניהול חנות וירטואלית עם אפליקציות כמו oSCommerce או Magneto לדוגמא, אז צריך לבדוק שגרסאות האפליקציה הם האחרונות, שהדטהבייס מוגדר להרשאות שצריך בלבד (ולא לתת לכל העולם ואחותו אפשרות יצירה/עריכה/שינוי/מחיקה/grant וכו', טעות שרבים עושים), שההרשאות בתוכנה נכונות וגם בקבצים עצמם. אלו דברים שחשוב מאוד שיבדקו, כי ברגע שהאתר של הלקוח באוויר, יהיו המון נסיונות פריצה.

נקודה נוספת וחשובה מאוד שבעלי אתרים לא מודעים אליה היא עניין העדכונים: זה שהאתר פועל כיום והוא יחסית מאובטח, זה טוב, אך פריצות חדשות מתגלות כמעט בכל יום, וחייבים לעדכן את הפלטפורמה של האתר ולבדוק כי דברים לא השתנו מרגע שפורסם שיש עדכון אבטחה לפלטפורמה שהלקוח משתמש בה עד העדכון. זו אחת הסיבות העיקריות מדוע אתרים רבים נפרצים: איש לא עידכן את הפלטפורמה, פורץ ניסה את הפירצה שפורסמה (הן תמיד מתפרסמות) והופס – יש לו גישה לאתר, מכאן והלאה הכל תלוי בפורץ ובתחכום שלו.

בעלי אתרים רבים (המאחסנים את האתר בשרתים משותפים) מצפים שחברת אחסון האתרים תגן עליהם במקרה של פריצה לאתר שלהם אולם חברות אחסון האתרים לא יכולות לאבטח. הן יכולות לאבטח את השרתים הפיזיים, אך חברות האחסון לא יקחו שום אחריות לאתר של הלקוח עצמו. זה לא שווה להם מבחינה כלכלית, ואין להם את המשאבים לבדוק מה כל לקוח מכניס לאתר שלו, איזה קוד וכו'. יש להם מערכות שיגנו במידה מסויימת אם האתר של הלקוח "משתולל" מבחינת צריכת משאבים, אך בכך מסתכמת בד"כ ה"הגנה" בשרתים משותפים.

לסיכום: אם אתה בעל אתר והאתר מאוד חשוב לך, בין אם האתר פרטי או מסחרי, כדאי לחשוב גם על עניין אבטחת מידע ועל כך שאחת לתקופה שאותו אחד שיתן לכם את אבטחת המידע יעדכן את הפלטפורמה ויבדוק שהכל תקין ומאובטח.

החלק הבא: על אבטחת שרתים.

Comments

comments