$
  • חיפוש
שירות לקוחות מינוי דיגיטלי מינוי לעיתון כלכליסט ביוטיוב ניוזלטר
אינטרנט
כלכליסט-טק גיימריסט הקברניט IT מכשירים ומדריכים הייטק והון סיכון יומנו של סטארט-אפיסט TechTalk מוסף מרץ 2022 תחבורת המחר הסטארטאפים המבטיחים 2023 הסטארט-אפים המבטיחים 22 יוניסטרים 2022 Tech@Work יוניסטרים 2023 קוקיז על חלל CES2023 שוברת קודים דו"ח טכנולוגי פטנטים וקניין רוחני הייטק בפקקים WallTech
RSS  RSS כלכליסט-טק|לרשימת כל ה-RSS

האקרים פורצים לדלת פתוחה

הרהורים נוגים על טבע האדם, אפרופו ההתקפות האחרונות של האקרים סיניים

דביר וולק 09:5127.05.08
תגיות:
די הדהים אותי לשמוע לאחרונה על גל נוסף של התקפות האקינג על שרתים ברחבי העולם, שמקורן בסין כנראה. ההתקפות, שכוונו לאתרים זרים המתארחים על שרתים סיניים, פגעו באלפי אתרים. לא היקף ההתקפות הפתיע אותי, או מקורן – סין כבר מזמן נהייתה מקור לא אכזב לספאם והאקינג – אלא סוג ההתקפה:
SQL InJection. ואני חשבתי לתומי שכמו החצבת, התקפות כאלה נעלמו מהעולם כמעט, כי כולם הבינו איך להתחסן מפניהן. כנראה שהייתי נאיבי בהערכה שלי למידת הנאיביות של מפתחי תוכנה בעולם.

 

התקפת SQL InJection היא התקפה מאוד פשוטה, שבה מנסה התוקף "להתלבש" על מידע שמוזן מטפסים שממלאים משתמשים באתר אינטרנט, כדי להכניס פקודות שמשבשות את עבודת הדאטהבייס של האתר, למחוק נתונים, להוציא נתונים חסויים של משתמשים, ומטעמים נוספים מהסוג הזה. הקטע עם ההתקפה הזו הוא שמאוד קל לחסום אותה, והיא פחות או יותר הדבר הראשון שכל מפתח ווב צריך לחשוב עליו כשהוא בונה אתרים. העיקרון פשוט מאוד: אם אתם מקבלים נתונים מהמשתמש, תוודאו שהנתונים שפויים (שמספרים הם אכן מספרים, תאריכים הם אכן תאריכים, וכו'). אם הם לא - יש חשד שמדובר במתקפת האקרים.

 

נורא פשוט, נכון? לא מדובר על ניצול של איזו פרצה אקזוטית במנגנון הרנדומיזציה של מפתחות הצפנה או משהו מורכב כזה. בסך הכל מדובר בווידוא של קלט מהמשתמשים, בערך כמו לבדוק בעודף שמקבלים ממוכר בקיוסק, שמטבע של עשרה שקלים הוא לא אסימון מהונדורס. התקפות מהסוג הזה היו נפוצות בראשית ימי האתרים הדינמיים, לפני עשור, וחשבתי לתומי שלשני דורות המפתחים שקמו מאז כבר הושרשו שיטות עבודה פשוטות שמונעות את זה. אבל מתברר שלא, וההתקפות הכי פשוטות הן עדיין הכי נפוצות, פשוט כי הן הכי קלות.

 

בסרטים זה תמיד נראה מסובך. רואים איזה האקר מבריק מתקתק במשך דקות ג'יבריש למסך שחור, בזמן שכמובן מוצמד לו אקדח לרקה והעולם הולך להתפוצץ לו בפרצוף עוד 23 שניות. בסוף הוא מצליח בכוחות עצמו לפצח מפתח הצפנה של 1,024 ביט, כנראה בטלפתיה או באמצעות המוח הענקי שלו. אבל במציאות חלק גדול מהפרצות הן פשוט דלתות פתוחות לרווחה שהושארו על ידי מפתחים – סיסמאות גלויות, ולידציה שגויה של קלט, דברים ממש טיפשיים.

 

אז מה הסיבה - מפתחים לא מקצועיים? היעדר סטנדרטים מקובלים לפיתוח מאובטח? כמפתח תוכנה אני משתדל לתכנת בצורה מודעת לאבטחה, אבל אני בטוח שגם אני עושה שטויות לפעמים. אולי זה פשוט טבע האדם, לרוץ מהר קדימה, לעשות שטויות ולא לאבטח את עצמך כמו שצריך.

 

בטל שלח
    לכל התגובות
    עקוב אחר כל השווקים ב-TradingView
    x