להפיל אתר ולנוח

ידיעה קטנה שהתפרסמה באתר כלכליסט ובהמשך גם בטמקא (אם לא קראתם אותן כדאי מאד שתעשו זאת עכשיו, מאחר וזה פוסט תגובה) מבשרת לנו כי מספר אתרים נפלו קורבן להתקפה מצד פורצי אתרים אירניים, שחיבלו בשרת ה־DNS והפנו את התעבורה של טוויטר לאתר משלהם המציג מסרים בגנות ארה"ב. לא אתפלא אם הפריצה בוצעה בידי צוות אנשי מחשבים הנאמנים לשלטון האירני, בין היתר כדי להזהיר את המערב ואת מפעילי אתר Twitter בפרט בפני נקיטת עמדה הנוגדת את דעת השלטון האירני ותמיכה בנסיון ההפיכה באירן.

פריצה לשרתי DNS שונה מפריצה לאתר עצמו; בעוד פריצה לאתר עשויה להסתכם במסר שישלח לכלל המשתמשים או בכזה שיושתל בדף הראשי, פריצה לשרת ה־DNS מאפשרת ניתוב הגולשים לאתר חלופי, או במקרים מסויימים ביצוע הפניה סלקטיבית כדי לטשטש את העובדה שבוצעה פירצה באתר, כך שכל תעבורת הדואר האלקטרוני הנכנס לשם המתחם, למשל, תועבר דרך שרת אחר שיסנן את ההודעות וינסה לאתר בהן תוכן בעל מסר משמעותי לגורם שחיבל באתר.

הידיעה באתר כלכליסט מסתיימת במילים אלו –

ברגעים אלו האתר חזר לפעילות מלאה. היות וההתקפה בוצעה רק על שרתי ה-DNS ולא על בסיסי הנתונים, השרתים לא נפלו והמידע שבאתר לא נפגע.

וגם ynet מנסים לקרר את הרוחות ולהרגיע –

מייסד טוויטר, ביז סטון, הסביר בבלוג של החברה כי רשומות ה-DNS של האתר נפגעו באופן זמני אך תוקנו. רשמות ה-DNS מכוונות את כתובת האתר לשרתי החברה. גולשים שביקשו להגיע לטוויטר, הופנו לאתר מקביל שנבנה על ידי ההאקרים.

מהנאמר להעיל נראה כי אנחנו יכולים לחזור לישון בשקט. אתר טוויטר תוקן, ועכשיו אפשר לחזור ולספר לעולם על כמויות הגשם שירדו בסמוך למקום מגוריכם. האמת שהמצב רחוק מאד מכך, ואני באמת מקווה שאותם מחבלים לא יעשו שימוש במידע שנאסף.

דגל אירן ומסרים בגנות ארהב או מלכודת מתוחכמת? (צילומסך מאתר כלכליסט)
דגל אירן ומסרים בגנות ארה"ב או מלכודת מתוחכמת? (צילומסך מאתר כלכליסט)

אז האתר נפרץ או לא נפרץ? האתר עצמו לא נפרץ, ולכן לסיסמאות שלכם (כנראה) שלום. הבעיה היא שהדפדפן הפנה את הגולשים לאתר חלופי שמציג את דגל אירן, ובמקביל אוסף מידע על הגולשים. אדגיש שוב – במקרה הנוכחי לא התבצע שום נסיון פישינג ("דיוג"), אבל ייתכן מאד ושלחתם אליהם מספיק מידע שיוכל לשמש אותם בגל התקיפה הבא.

רבים נוטים להתעלם מזה, אבל נסיון פישינג יכול להתבצע גם ללא הזנת מידע באתר המזויף. ברגע שנכנסתם לאתר המפוברק הדפדפן שלכם שלח אליו מידע שמאוחסן בעוגיות שלכם, ובמידה והייתם מחוברים לאתר לפני שבוצעה התקיפה, ייתכן מאד והמידע שלכם נמצא כעת בידי המחבלים, פשוט מאד כי הדפדפן לא יודע להבדיל בעצמו בין אתר ליגיטימי לאתר מזוייף.

עוגיות ה־session שלנו יושבות בדפדפן, ומכילות קוד זיהוי ייחודי שלנו מול האתר. האתר משתמש במזהה זה בשביל להצליב בין הדפדפן לפרטי ההתחברות שלנו, ולכן לא דורש מאיתנו להתחבר מחדש בכל פעולה, ובאתרים רבים לא דורש מאיתנו להזין את פרטי ההתחברות שלנו מחדש בהמשך. ברגע שגורם כלשהו מצליח לשים ידיו על המידע הזה, הוא יכול להזדהות מול האתר בשמנו, גם כאשר הוא לא יודע את שם המשתמש והסיסמה שלנו.

אתר בסדר הגודל של Twitter מכיל עשרות אלפי משתמשים המתחברים אליו מידי שעה, אם לא הרבה מעבר לכך. גם אם הבעיה תוקנה לאחר זמן קצר, הפורץ כבר מחזיק פרטים של כמות נכבדה של משתמשים, והוא יכול להזדהות בשמם בכל עת, ואולי אף להשתיל הודעות בשמם שיראו ליגיטימיות לקהל העוקבים של אותם המשתמשים, ועשויות להופיע באתר בכל עת.

הפתרון לסוגית אבטחה זו מצד טוויטר הוא פשוט – לאפס את רשימת ה־session־ים הפתוחים של כלל משתמשי השירות, ולחייב אותם להתחבר מחדש, אלא שזה לא כזה פשוט, מאחר וישנם יישומים ושירותי צד שלישי רבים שמזדהים מול שרתי Twitter עם שם משתמש וסיסמה או באמצעות מנגנון oAuth, וגם את ההזדהות שלהם פושע מחשבים מיומן עשוי לשמור, ואולי אף לתעל אותם דרכו לשרת האמיתי כדי שהפרצה לא תזוהה.

למרות כל הנאמר עד כה – ישנו פתרון נוסף לבעיה ופשוט הרבה יותר; אם כל האתרים יעברו לבצע הזדהות מאובטחת של המשתמשים מולם, וימשיכו להעביר את הסשן של המשתמש מול השרתים בצורה מאובטחת, אנחנו כמשתמשים נהיה מוגנים יותר מפני התקפות אלו, מאחר וכדי לפרוץ למערכת יהיה על הפורץ לפרוץ את שרתי ה־Root CA כדי לייצר לעצמו אישורי אבטחה פיקטיבים לשרתים שלו, לפרוץ את שרתי ה־DNS כדי להפנות את הגולשים אליו, וגם אז לא בטוח שהוא יצליח לבצע את זממו.

7 תגובות בנושא “להפיל אתר ולנוח”

  1. לא כל אתר יכול להרשות לעצמו להחזיק אישור SSL. זה עולה כסף. (כמובן שטוויטר ופייסבוק וכו' יכולים, אבל אתרים קטנים לא).
    פתרון לנושא הוא להתחיל להשתמש בOpenID לאימות בכל האתרים. ככה גם יש אבטחה, וגם לא כל הסיסמאות נשמרות במקום אחד. רוב ספקי הOpenID הם אמינים ומאובטחים הרבה יותר מסתם התחברות רגילה. (יש להם גם טריקים נחמדים יותר מסיסמה, לדוגמה בmyvidoop אתה צריך להזין אותיות שנמצאות מתחת לתמונות של חפים מהקטגרויות שבחרת בהרשמה).

    אבל חוץ מזה, הגיע הזמן למצוא תחליף ראוי ומאובטח לDNS. הוא לא יעיל, לא מאובטח ומיושן.

  2. כמה קוביות קרח לצינון ההתלהבות:
    1. הקוקיז אינם מכילים מידע ממשי אלא מספר משתמש בלבד.
    2. רק מי שנכנס לאתר בזמן הפריצה אולי חשוף.
    3. מי שמבצע גניבת DNS לא מחפש לפגוע במשתמשי טוויטר. המטרה הרבה יותר נשגבת מבחינתו(או שולחיו)
    4. מה כל כך חשוב במידע שנמצא בטוויטר?

    1. שליט – בפשטות, ברגע שמישהו משיג את עוגיית ה־session שלך והוא מצליח להתחזות אליך בהמשך (גם ללא שם משתמש וסיסמה), הוא יכול לכתוב הודעות בשמך במערכת, ולמרות שאין בטוויטר הרבה מידע בעל ערך לפורצים, המרחק מכאן ועד להגדלת היקף הפריצה באמצעות הנדסה חברתית והודעות שנשלחו כביכול מאנשים שאתה מכיר וסומך עליהם קצרה. חוץ מזה, בשביל הפגנת כוח פויטית אין כמו לשלוח הודעות הזדהות ממשתמשים אחרים בשירות שלא לקחו שום חלק במאבק, ומי יודע מה אותו גורם עויין עלול לעשות כדי לפגוע באנשים בהם הוא מעוניין לפגוע (תומכי האופוזיציה באירן, חשבונות חשובים בטוויטר כגון רשתות שידור אמריקאיות/בינלאומיות גדולות או גופי ממשל בארה"ב).

  3. אני שמח שהורדת את השקופית המעצבנת ובעלי IE6 (ומקסטון) שוב יכולים להכנס לאתרך 🙂 אני רואה שיש לי הרבה תוכן להספיק…

השאר תגובה