למנוע את הפריצה הבאה

הקמנו אתר אינטנרט, לאילו הגנות אנחנו צריכים לדאוג כדי למנוע פרצות אבטחה?

ניר מילמן: "בתקופה האחרונה נתקלנו בכמות גדולה של אתרים שנפרצו, ביניהם קבוצה של למעלה מ-90 אתרי אינטרנט קטנים ובינוניים. לפי הפרסומים, אף אחד מהמקרים הנ"ל לא הסתיים בנזקים כבדים, אך למרות זאת הפוטנציאל לנזק משמעותי מרחף מעל אתרים שאינם מוגנים, ובראשם גניבה של מאגר נתונים.

"ישנן מספר נקודות לאבטחה של אתרים בסיסיים, כאלה שאינם כוללים יישומים מתוחכמים או מסחר אלקטרוני. ראשית, בכל אתר צריך להיות מותקן FIREWALL, המגן באופן כללי מפני כניסה של גורמים לא רצויים. כמו-כן, צריכה להיות הגנת DDOS גם על האתר וגם על שרת הדואר נגד התקפה היוצרת עומס ומביאה לנפילת האתר. בכל שרת המאחסן אתרים יש לוודא כי קיים אנטי וירוס פעיל. אתרי Web 2.0 ואתרים כבדים יותר זקוקים להגנה ברמה אפליקטיבית שהיא יקרה בהרבה.

"שנית, יש להפריד בין מסד הנתונים לבין האתר, שכן אחת מצורות הפריצה הנפוצות היא SQL injection אשר מנצלת בעיות בתכנות ומסוכנת בעיקר כאשר מנהלים מסד נתונים. ההגנה מתבצעת באמצעות בדיקת הנתונים והבקשות שמגיעות דרך האתר ושימוש בקודים זדוניים. חשוב לוודא כי במקרה וקוד האתר נפרץ, מסד הנתונים אינו נגיש והוא מוגן בצורה נפרדת, כמו גם שרת הדואר. חשוב לבדוק באיזו צורה מגן המתכנת על פריצה מסוג זה ומהי ההתחייבות לתקן ולחסום ליקויים.

"שלישית, יש להפעיל הגנה בפני XSS, שהיא סוג פריצה של קוד בתוך קוד, המשמשת לרוב להונאות של גולשים. לרוב, רמת הסיכון שלה נמוכה אך היא יכולה לגרום לבעיות מטרידות כגון: הדף פתאום עובר לאתר אחר מבלי ללחוץ על קישור, קפיצות של הודעות שגיאה, קפיצות של האנטי-וירוס.

"רביעית, יש לשלב מנגנון כגון CAPTCHA, יישום המוודא פעולה של גולש אמיתי באמצעות זיהוי קוד גרפי שמערכת ממוחשבת לא יכולה לקרוא. זאת בשל העובדה שטפסים מהווים אחת מנקודות התורפה הגדולות של אתרים רבים, ומכונות השולחות פרסומות ומידע לטפסים באופן אוטומטי הפכו לשיטה חדשה ל-SPAM (דואר זבל).

"חמישית, מערכת הניהול צריכה להיות מוגנת בהצפנת SSL, שכן מערכת הניהול והסיסמאות שלה מהוות נקודת תורפה והן מועברות ממחשב המשתמש שאינו תמיד מוגן מספיק. מומלץ, שהסיסמאות למערכת הניהול יהיו מוצפנות.

"שישית, חשוב לוודא כי המערכת מגבילה את סוגי הקבצים שניתן להעלות. אתרים רבים מאפשרים להעלות קבצים כגון תמונות אישיות או קבצי טקסט, ובמערכות מתקדמות יש לוודא גם כי המערכת יודעת לזהות את תוכן הקובץ ולא רק את שמו. חשוב גם שבשרת תתבצע סריקה של אנטי-וירוס עבור כל קובץ.

"נקודה אחרונה היא חובת הגיבוי. מכיוון שיש עשרות סוגי פריצות, ולעולם לא ניתן להגן באופן מלא, יש לוודא עם חברת האיחסון כי מבצעים גיבויים ברמה יומית תוך שמירת היסטוריה של גיבויים". *

ניר מילמן הוא סמנכ"ל טכנולוגיה ב-Netprotek Labs