מתקפת סייבר על ישראל: מה ניתן לעשות?
קצת רקע
אין זה סוד שישראל מהווה מטרה פוליטית מבוקשת כשזה מגיע למתקפות סייבר עולמיות. בשנים האחרונות אתרים ישראלים הוצפו במתקפות סייבר, במיוחד על ידי האקרים איראניים בודדים או קבוצות של האקרים.
במתקפה האחרונה נפלו בעיקר אתרים שנבנו בתשתית Wordpress, דרך זולה ונוחה לבניית אתרים, אך בעלת חולשות אבטחה רבות שמגיעות מהפלאגינים שמתקינים עליה בשביל להוסיף יכולות לאתר.
לצערנו עובדה זו לא תרמה להעלאת המודעות לנושא אבטחת האתרים, לא לבעלי אתרים ולא לבוני אתרים. נכון שברוב המקרים מדובר בפריצות "קלילות" שבהן רק דף הבית מוחלף בהודעה זדונית, אך יש מקרים לא מעטים בהם מדובר בפריצה הרבה יותר מסוכנת שכוללת גניבת נתונים או השבתה של האתר.
סוגי מתקפות סייבר על אתרים
ניתן לחלק את המתקפות על אתרים ל- 5 סוגים עיקריים:
- מתקפת DDoS: מתקפה שבה השרת שמאחסן את האתר מוצף בבקשות רבות במקביל, מה שגורם להאטה משמעותית בביצועי האתר ובמקרים מיוחדים גם לקריסת טוטאלית של השרת.
- השתלת קבצים בשרת: שיטה שבה גורם זדוני מוצא חולשת אבטחה בקוד שמריץ את האתר, ומנצל זאת בכדי להעלות (או להחליף) קובץ לקבצי האתר. למשל להחליף את דף הבית בדף אחר עם טקסט נגד ישראל.
- פריצת SQL Injection: שיטה שמנצלת חולשת אבטחה בקוד שמריץ את האתר בכדי לגשת לנתונים ששמורים באתר, דבר שמאפשר לגורם הזדוני להוריד מידע (כמו פרטי לקוחות, הזמנות וכו'), או להכניס מידע חדש, כמו למשל להכניס פרטי משתמש חדש לאתר שיש לו הרשאת ניהול ובכך לגשת לפאנל ניהול האתר.
- פריצת Brute Force Attack: בשיטה זו גורם זדוני ימצא את מסך ההתחברות לפאנל ניהול האתר שלכם, ויכתוב תוכנה קטנה שתנסה את כל הקומבינציות הקיימות לסיסמה שלכם, עד שיפול על הקומבינציה הנכונה ובכך יצליח להתחבר לניהול האתר שלכם.
- גניבת פרטי התחברות באמצעות Phishing: בשיטה זו גורם זדוני ינסה לגנוב מכם את פרטי ההתחברות בשיטה פסיכולוגית-חברתית. למשל גרום זה ישלח לכם מייל שנראה לכאורה שהוא מייל מפייסבוק או מניהול האתר שלכם לדוגמא, ובמייל כתוב הודעה בסגנון "מישהו מנסה לפרוץ לחשבון שלך, אנא לחץ על הלינק הבא בכדי להכנס ולאמת את החשבון שלך", ואתם בתמימות ובכוונה טובה תכנסו ללינק ותכניסו את פרטי ההתחברות שלכם. רק שלא ידעתם שמדובר באתר חיקוי שהגורם הזדוני בנה (שנראה כמו פייסבוק או האתר שלכם) ובעצם כל מה שהקלדתם באתר הזה נשלח לגורם הזדוני ועכשיו יש לו את פרטי ההתחברות שלכם.
היסודות לאתר מאובטח
אנחנו לא הולכים להיכנס לעניינים כמו בחירת סיסמה חזקה או לא להשתמש באותה סיסמה בכמה מקומות וכו'. משום שיסודות אלה לא ספציפיים לאתרים אלא כללים יותר ותקפים לכל חשבון שיש לכם באינטרנט.
ולענייננו, חשוב מאוד שהאתר שלכם ייבנה על תשתית מאובטחת, זה מתחיל עוד מבחירת שרת האחסון שיארח את האתר שלכם ועד לתוכנה שתבחרו שתריץ את האתר שלכם.
חשוב לשים לב ששרת האחסון מנוהל בחברה בעלת שם מכובד, שהשרת תמיד יהיה מעודכן למערכת ההפעלה העדכנית ביותר, ושכל הקומפוננטות של השרת (כמו בסיס הנתונים) משתמשים בגרסא הכי עדכנית שלהם.
נמשיך הלאה לתוכנה שעליה כתוב האתר, ניקח לדוגמא את וורדפרס (Wordpress), מדובר בתשתית תוכנה חינמית, מאוד פופולארית ונפוצה בעולם בניית האתרים, היא מאפשרת לבנות אתרים בצורה קלה יחסית עם ידע טכני מינימלי.
אבטחת אתרי וורדפרס
וורדפרס הינה תוכנה שנבנתה במקור עבור בלוגים, אתרי חדשות וכתבות, אך עם הזמן מפתחים רבים מרחבי העולם התחילו לפתח "פלאגינים" (תוספים) לוורדפרס שמוסיפים לוורדפרס עוד יכולות ובכך לתת יכולות לתוכנה לבנות אתר יותר מתקדם מאשר רק בלוג.
למשל, אחד הפלאגינים הנפוצים הינו WooCommerce, שמאפשר לכל אתר וורדפרס להפוך גם לאתר חנות. לרוב מתקינים גם עוד פלאגין אחד או שניים שינהל את תגיות הקידום של האתר (SEO) ועוד פלאגין לשיפור הביצועים, ועוד איזה פלאגין להתאמת העיצוב. אתר וורדפרס ממוצע מופעל עם לפחות 6-7 פלאגינים.
בעיית האבטחה בוורדפרס לא נובעת בהכרח מהתוכנה עצמה, אלא מהפלאגינים שמתקינים. כל מתכנת יכול לכתוב פלאגין לוורדפרס, מה שגרם לכך שיש כרגע מאות פלאגינים הזמינים להורדה שיש בהם פריצות אבטחה, כך שבמידה ותתקינו אותם האתר שלכם יהיה חשוף לפריצה.
כל זה גם חושף את האתר שלכם לבעיית ביצועים ואיטיות, מהסיבה הפשוטה שוורדפרס תוכננה, עוצבה ונבנתה במקור עבור אתרי בלוגים. בכדי להפוך את זה למשהו אחר הפלאגינים צריכים לעשות הרבה "עבודה שחורה" ופלסטרים כאלה ואחרים שיש בהם קנס של ביצועים, מה שישפיע באופן ישיר על קידום האתר שלכם בגוגל.
מתקפת הסייבר האחרונה שתפקה את האתרים הישראלים על ידי האקרים איראניים רק מחזקים את הטענה הזאת, משום שכל האתרים שנתקפו והצליחו לפרוץ אותם הם אתרים מבוססי וורדפרס.
מחיר אתרי וורדפרס
קל מאוד להתפתות לבנות אתר וורדפרס, במיוחד לאור העובדה שמספיק ידע טכני פשוט כדי להתקין את התוכנה, או לחלופין ניתן להשתמש בשירותי בוני אתרים כאלה ואחרים שמציעים בניית אתרי וורדפרס במאות שקלים עד אלפי שקלים, מחירי רצפה כשזה מגיע לבניית אתרים מותאמים אישית שהמחיר שלהם יכול להגיע לעשרות ובמקרים חריגים גם מאות אלפי שקלים. אך המחיר הזול הזה בא על חשבון אבטחה וקידום האתר שלכם.
אבטחת אתרי DrSite
עוד בתחילת דרכנו ב- DrSite החלטנו לא להשתמש בוורדפרס כבסיס לבניית אתרים ללקוחות, אלא פיתחנו תשתית מיוחדת עם דגש כבד על אבטחה וקידום האתר שלכם בגוגל.
אנו חווים מאות ניסיונות פריצה ביום שנכשלים אחד אחרי השני בזכות התשתית המאובטחת שפיתחנו. אנו כל הזמן דואגים לתחזק את התשתית, לפתח עוד מנגנוני הגנה, ובכלל תמיד להיות לפחות שני צעדים לפני כל גורם זדוני. אנחנו מודעים למצב בעולם אבטחת המידע באופן תמידי ולחדשות בתחום. אנחנו מתעדכנים תמיד בכל הפריצות החדשות שהתגלו במערכות אינטרנט בארץ ובעולם - במיוחד כדי שאתם תוכלו להיות רגועים לדעת שהאתר שלכם בטוח ובידיים טובות.
אנחנו יודעים שעבור בעל חנות שמוכן עם כל הסחורה שלו כדי לעשות כסף טוב לקראת החג - נפילה של האתר שלו בתקופה הזו משמעותה השבתה רצינית ומכה כלכלית קשה.
אנו ב- DrSite דואגים לכם לאתר שמאורח בשרת מאובטח ומתוחזק שאנו מנהלים באופן ישיר עבורכם, אתר שכתוב על תשתית תוכנה מאובטחת שפיתחנו במיוחד והצוות שלנו דואג לניטור קבוע 24/7 של האתרים.
מילה לסיכום
רופאים, טכנאים, אנשי נדל״ן, אנשי עסקים, עורכי דין, מועצות, ארגונים ועוד, סומכים עלינו לדאוג לאתרים שלהם, ולמרות כל ניסיונות הפריצה האתרים האלה עומדים איתנים מול כל הניסיונות. אנו שמחים לראות שהבחירות וההשקעות שלכם ושלנו מוכיחות את עצמן שוב ושוב כבר שנים.
בכל מקרה אנו דואגים לגיבויים ברמה יומית וניטור קבוע של האתרים, אנו לא מוכנים לקחת סיכונים כשזה קשור ללקוחות שלנו, וכל הצוות שלנו תמיד עם היד על הדופק בכל הנוגע לאבטחת האתרים.