עד כמה פגיע ספק אירוח האתרים שלכם?
ניסיונות פריצה באתרי אינטרנט נפוצים הרבה יותר ממה שאתה חושב.
בעוד שרבים מאיתנו לא רואים אותם, התקפות שקטות תמיד מתנהלות בכל מקום ברשת. חלק ניכר מההתקפות מיועדות לחשבונות אירוח אתרים.
קיימות שתי קטגוריות רחבות של פגיעויות באירוח אתרים. הראשון הוא כללי, ואילו השני הוא יותר ספציפי לתוכנית. לדוגמה, בין סוגי תוכניות אחסון אתרים, אחסון שיתופי נחשב בדרך כלל לפגיע ביותר.
פגיעויות כלליות של מארח אינטרנט
1. ניסיונות בניית בוטנים
ידוע כי שחקנים זדוניים מתמקדים בשרתי אינטרנט שלמים בניסיונותיהם לבנות רשתות Botnet. בניסיונות אלה, יעדים נפוצים כוללים מסגרות של שרתי אינטרנט ובדרך כלל כרוכים בניצול לרעה של זמינים לציבור.
מאמצים מתקדמים ומרוכזים אלה יכולים לעתים קרובות להתגבר על ספקי אחסון אתרים פחות גמישים. למרבה המזל, לאחר שהתגלו, הפגיעויות בדרך כלל תוקנות די מהר על ידי רוב מארחי האינטרנט.
2. התקפות DDoS
מניעת שירות מבוזרת (DDoS) אינה פגיעות, אך כפי שהשם מרמז, היא צורה של התקפה. שחקנים זדוניים מנסים להציף שרת (או שירות מסוים) בכמות עצומה של נתונים.
שירותי אחסון אתרים שאינם מוכנים לכך עלולים להיות משותקים על ידי התקפות אלה. ככל שמשאבים נוספים נצרכים, אתרי אינטרנט בשרת אינם יכולים להגיב לשאילתות אמיתיות ממבקרים.
3. תצורות שגויות של שרת האינטרנט
לבעלי אתרים בסיסיים, במיוחד אלה על אחסון שיתופי בעלות נמוכה, לעתים קרובות לא יהיה מושג אם השרתים שלהם הוגדרו כראוי או לא. מספר משמעותי של בעיות יכול לנבוע משרתים שתצורתם נקבעה בצורה גרועה.
לדוגמה, הפעלת יישומים לא תואמים או מיושנים. למרות שקיימים מנגנוני טיפול בשגיאות עבור בעיות טכניות המתעוררות במהלך הביצוע, פגמים יכולים להישאר בלתי נראים עד לניצול.
תצורה לא מדויקת בשרת עלולה לגרום לשרת לא לאמת כראוי את זכויות הגישה. הסתרת פונקציות מוגבלות או קישורים לכתובת ה- URL בלבד אינה מספיקה מכיוון שהאקרים יכולים לנחש את הפרמטרים הצפויים, מיקומים טיפוסיים ולאחר מכן לבצע גישה בכוח הזרוע.
כדוגמה לכך, תוקף יכול לעשות שימוש במשהו קטן ופשוט כמו JPEG לא מוגן כדי לקבל גישת מנהל לשרת. הם משנים פרמטר פשוט המצביע על אובייקט במערכת ואז הם נמצאים.
אחסון אתרים מאובטח
פגיעויות אירוח שיתופי
בסביבת אירוח משותפת, ניתן לומר שכולם יושבים באותה סירה. למרות שלכל שרת יש פוטנציאל למאות משתמשים, התקפה אחת יכולה להטביע את הספינה כולה, אם אפשר לומר כך.
"לכל החמישה (ספקי שירותי אחסון אתרים) הייתה לפחות פגיעות חמורה אחת שאפשרה חטיפת חשבון משתמש", אמר פאולוס יבלו, צייד באגים ידוע ומכובד, ל-TechCrunch , שאיתו שיתף את ממצאיו לפני שיצא להנפקה. כפי שהראה יבלו — המתקפה אינה דרך כל התקפה מפותלת או שבירת חומות אש. זה פשוט דרך הדלת הקדמית של המארח של האתר, הדורש מעט מאמץ עבור ההאקר הממוצע.
4. סביבות שאינן מסולפות
חשבונות אירוח משותפים הם כמו מאגרי נתונים רחבים. למרות שלכל חשבון מוקצים משאבים מסוימים, באופן כללי כולם שוכנים בסביבה אחת. כל הקבצים, התוכן והנתונים יושבים למעשה על אותו רווח, פשוט מחולק לפי מבנה הקובץ.
מסיבה זו, אתרים בתוכניות אירוח שיתופי מקושרים באופן מהותי. אם האקר היה לקבל גישה לספריה הראשית, כל האתרים עשויים להיות בסיכון. גם אם חשבון אחד נפרץ, להתקפות אשר לרוקן משאבים תהיה השפעה משמעותית.
5. פגיעויות בתוכנה
למרות שקיימות פגיעויות תוכנה עבור כל סוגי חשבונות האחסון, שרתים משותפים נמצאים בדרך כלל בסיכון גבוה בהרבה. בשל המספר הגדול של חשבונות לכל שרת, ייתכן שיש מספר משמעותי של יישומים שונים במקום – שכולם דורשים עדכונים שוטפים.
6. תוכנות זדוניות
באופן דומה לפגיעויות בתוכנה, ל-Malware יכולה להיות השפעה עמוקה על שרת אחסון משותף. תוכניות זדוניות אלה יכולות למצוא את דרכן לחשבונות אירוח משותפים בכל כך הרבה דרכים.
ישנם כל כך הרבה סוגים של וירוסים, סוסים טרויאניים, תולעים, ותוכנות ריגול כי הכל אפשרי. בגלל אופי האחסון המשותף, אם לשכן שלכם יש את זה – סביר להניח שתפסו אותו גם כן, בסופו של דבר.
7. IP משותף
חשבונות אירוח משותפים משתפים גם כתובות IP. מקובל שאתרים מרובים בחשבונות אירוח משותפים יזוהו על-ידי כתובת IP אחת. זה פותח שורה שלמה של בעיות פוטנציאליות.
לדוגמה, אם אחד האתרים מתנהג רע (כגון שליחת דואר זבל, וכו ') ייתכן כי כל האתרים האחרים שיתוף ה- IP בסופו של דבר ברשימה השחורה. הסרת IP ברשימה השחורה יכולה להיות מאתגרת מאוד.
פגיעויות VPS / אחסון בענן
האופי של שרת וירטואלי פרטי (VPS) או אחסון בענן פירושו שהם בדרך כלל מאובטחים יותר משרתי אחסון שיתופיים זולים.
עם זאת, הפוטנציאל של גישה לשרתים מחוברים מתקדמים יותר פירושו כי התשלום עבור האקרים הוא גם רווחי יותר. ככזה, ניתן לצפות לשיטות חדירה מתקדמות יותר.
8. זיוף אבטחה חוצה אתרים
ידוע גם בשם זיוף בקשות בין אתרים (CSRF),פגם זה נצפה בדרך כלל המשפיע על אתרי אינטרנט המבוססים על תשתית מאובטחת בצורה גרועה. לעתים, משתמשים שומרים את האישורים שלהם בפלטפורמות מסוימות וזה יכול להיות מסוכן אם לאתר המתאים אין תשתית חזקה.
הדבר נפוץ במיוחד בחשבונות אירוח אתרים אליהם מתבצעת גישה קבועה. בתרחישים אלה, הגישה חוזרת על הספירה כך שהאישורים נשמרים בדרך כלל. באמצעות זיוף, מומלץ למשתמשים לבצע פעולה שהם לא תכננו מלכתחילה.
9.SQL זריקות
עבור כל אתר אינטרנט או פלטפורמה מקוונת, המרכיב החשוב ביותר הוא נתונים. הוא משמש לתחזיות, ניתוח ומטרות שונות אחרות. שנית, אם מידע פיננסי סודי כמו סיכות כרטיסי אשראי מגיע לידיים הלא נכונות, זה יכול ליצור בעיות מסיביות.
נתונים הנשלחים אל שרת מסד נתונים וממנה חייבים לעבור דרך תשתית אמינה. האקרים ינסו לשלוח קבצי Script של SQL לשרתים כדי שיוכלו לחלץ נתונים כגון פרטי לקוחות. משמעות הדבר היא שעליך לסרוק את כל השאילתות לפני שהן מגיעות לשרת.
אם מערכת סינון מאובטחת אינה קיימת, ניתן לאבד נתוני לקוחות חשובים. יש לציין כי יישום כזה יגדיל את הזמן שנדרש כדי לחלץ רשומות.
10. ניצול פגמי XSS
האקרים הם בדרך כלל מאוד מקוד מוסמך והכנת סקריפטים חזיתיים היא לא בעיה. Javascript או שפות תכנות אחרות ניתן להשתמש כדי להזריק קוד. התקפות המבוצעות באופן זה תוקפות בדרך כלל אישורי משתמש.
סקריפטים מזיקים מבוססי XSS יכולים לגשת למידע סודי או להפנות מבקרים לקישורים המיועדים על-ידי ההאקר. במקרים מסוימים, חברות עשויות גם להשתמש בטכניקות כאלה כדי לבצע פעולות עסקיות מזויפות.
11. קריפטוגרפיה לא מאובטחת
אלגוריתמים של הצפנה משתמשים בדרך כלל במחוללי מספרים אקראיים, אך השרתים פועלים בעיקר ללא אינטראקציה רבה עם המשתמש. זה יכול להוביל לאפשרות של מקורות נמוכים יותר של אקראיות. התוצאה עשויה להיות מספרים שניתן לנחש בקלות – נקודת חולשה להצפנה.
12. בריחה וירטואלית ממכונה
מחשבים וירטואליים מרובים מופעלים על גבי hypervisors בשרתים פיזיים. ייתכן שתוקף יכול לנצל את הפגיעות של hypervisor מרחוק. למרות שזה נדיר, במצבים אלה התוקף עשוי להיות מסוגל לקבל גישה גם למחשבים וירטואליים אחרים.
13. חולשה בשרשרת האספקה
בעוד שחלוקת משאבים היא יתרון מרכזי של אחסון בענן, היא יכולה להיות גם נקודת חולשה.
אם שמעתם את המונח "אתם חזקים רק כמו החוליה החלשה שלכם", זה חל בצורה מושלמת על הענן.
התקפה מתוחכמת ונשענת בעיקר על ספקי שירותי הענן. זה לא ספציפי לענן ויכול לקרות בכל מקום אחר. ניתן להוסיף הורדות משרתי עדכונים חיים עם פונקציונליות זדונית. אז, לדמיין את המשתמשים הרבים שהורידו תוכנה זו. המכשירים שלהם יהיו נגועים בתוכנית זדונית זו.
14. APIs לא מאובטח
ממשקי משתמש של יישומים (API) משמשים כדי לסייע לייעל תהליכי מחשוב ענן. אם לא מאובטח כראוי הם יכולים להשאיר ערוץ פתוח עבור האקרים לנצל את המשאבים של הענן.
עם רכיבים לשימוש חוזר כל כך פופולרי, זה יכול להיות קשה מספיק כדי להגן מפני השימוש של APIs לא מאובטח. כדי לנסות חדירה, האקר יכול פשוט לנסות ניסיונות גישה בסיסיים שוב ושוב – כל מה שהם צריכים זה למצוא דלת אחת לא נעולה.
מחשבות אחרונות
כאשר רובנו חושבים על אבטחת אתרים, זה בדרך כלל מהזווית של התגברות על החולשות של אתרי האינטרנט שלנו. למרבה הצער, כפי שאתה יכול לראות, זה באותה מידה האחריות של ספקי אירוח אתרים כדי להגן מפני התקפות אחרות גם כן.
אמנם אין הרבה מה לעשות כדי לשכנע ספק שירות להגן על עצמו, אך מודעות זו יכולה לעזור לך לקבל החלטות טובות יותר של אירוח אתרים. לדוגמה, על-ידי התבוננות בדגש שמארח אינטרנט שם על אבטחה, באפשרותך לקבל מושג טוב יותר על האבטחה שבה הם שומרים על השרתים שלהם.
מארחי אינטרנט מסוימים מיישמים אמצעי אבטחה בסיסיים מאוד – אם אפשר לנסות להימנע מהם. אחרים עשויים להרחיק לכת עד כדי עבודה עם מותגי אבטחת סייבר בולטים או אפילו לפתח כלי אבטחה ופתרונות אבטחה אגרסיביים בתוך הבית.
המחיר של אחסון אתרים חורג מהמשאבים המוקצים לכם – אז איזון האפשרויות שלכם בתבונה.
לצערנו, לא יכולנו לתת תשובה מדויקת לשאלה שלך כי זה תלוי בספק אירוח האתרים שלך ובאופן שבו הוא פגע באתרים שלך.