- PCMagazine - http://www.pcmagazine.co.il -

חנויות וירטואליות כחול לבן – לא מספיק מאובטחות

נכתב ע''י אדיר רצון בתאריך 25 במרץ 2013 @ 16:11 בקטגוריה אבטחת מידע | אין תגובות

אנו נוהגים לחשוב על חנות וירטואלית כדבר הבטוח ביותר שקיים, אך מבדיקה שערכנו – לרוב החנויות העבריות באינטרנט יש פרצות אבטחה חמורות. כשבמסחר אלקטרוני עסקינן אין מקום לפרצות אבטחה כלל, החומר והמידע הרגיש שמכיל האתר דורש אבטחה מקסימאלית שעליה נדבר עוד רגע.

חנות וירטואלית ישראלית לדוגמא
בתמונה: חנות ישראלית לדוגמא

עקב אכילס

ככלל , רוב פרצות האבטחה נובעות מחוסר מקצועיות. כאשר מתכנת מכיר ויודע את דרכי החדירה הבנאליות של פורצים מסוימים, אין שום סיבה להשאיר דלתות פתוחות לרווחה. ברוב האתרים שבדקנו, יש פרצות אבטחה מהותיות המאפשרות לבצע שאילתות אל מול בסיס הנתונים ושלוף מידע אישי אודות הרוכשים בחנות.

נסביר בקצרה כיצד זה עובד: חנות וירטואלית וכמותה רוב האתרים בעולם, עובדים אל מול בסיס נתונים. בסיס נתונים, במילים פשוטות זו טבלה גדולה אשר מחולקת למחלקות עמודות ושורות. כאשר אתר מסוים נדרש להציג ללקוח מחיר של מוצר, קוד האתר מתחבר אל בסיס הנתונים ומבצע שאילתה מדויקת למחלקה, לעמודה ולשורה שבה מופיע מחיר המוצר. הבעיה הגדולה היא, שמתכנתים רבים לא יודעים כיצד לאבטח שאילתות לבסיס הנתונים- ובמידה והתוקף מצליח לעצור את השאילתה באמצע, הוא יוכל לבצע שאילתה חדשה לגמרי שתדפיס את השורות שירצה על מסך האתר. שיטה זו נקראת Sql Injection, זוהי השיטה הנפוצה כיום לפריצה וגניבת מידע מאתרי אינטרנט, ויש שיאמרו שפרצת אבטחה זו היא הדבר הראשון שנבדוק שלא קיים בקוד האתר שלנו.

Sql Injection
דוגמא לפירצת אבטחה בחנות ישראלית

מה עם החנויות הוירטואליות בישראל? מסתבר שזה לא ממש מעניין אותן, ממספר בדיקות שערכנו מול חנויות וירטואליות מובילות נמצאו פרצות אבטחה חמורות- כאלו שמציגות את מידע הלקוחות שלהן בטקסט קריא ונקי.

עוד דבר מעניין בהמשך לסעיף הקודם הוא, שהמידע הרגיש שנמצא בבסיס הנתונים שבדקנו הוא לא מוצפן כלל. כלומר, הטקסט הרגיש שנשלף משורת בסיס הנתונים הופיע As is! אחת הסיבות כבדות המשקל להצפנת המידע הרגיש הוא מתקיפות Sql Injection, גם במידה ואתר כלשהוא נמצא רגיש לפרצת אבטחה מסוימת ונשלפו ממנו טבלאות של מספרי כ. אשראי; במידה וטקסט זה יהיה מוצפן ויופיע ככזה זה יוציא לתוקף את הרוח מהמפרשים, שכן לפצח מספר אשראי שהוצפן בעזרת מפתח ייקח שנים אם לא עשרות שנים.

לסיכום, בחנויות הוירטואליות בישראל לא שמים דגש על אבטחת מידע. זוהי תעודת עניות כאשר מדובר במדינה כה מפותחת. רוב האתרים שנמצאו רגישים לפרצות חמורות מבוססים Windows, מה שגורם לנו לחשוב בתמימות דעים שכנראה מתכנתים בשפת ASP פחות מוכשרים ממתכנתי PHP (בסביבת לינוקס). עם זאת, אתר קניות מאובטח היטב זוהי לא פריבילגיה, אלא זוהי חובה ממעלה ראשונה וכולנו תקווה שמדיניות אבטחת המידע הזו תשתנה בעתיד הנראה לעין.

הכתבה הודפסה מאתר PCMagazine: http://www.pcmagazine.co.il

קישור לכתבה: http://www.pcmagazine.co.il/security/pid=7184&name=%d7%97%d7%a0%d7%95%d7%99%d7%95%d7%aa-%d7%95%d7%99%d7%a8%d7%98%d7%95%d7%90%d7%9c%d7%99%d7%95%d7%aa-%d7%9b%d7%97%d7%95%d7%9c-%d7%9c%d7%91%d7%9f-%e2%80%93-%d7%9c%d7%90-%d7%9e%d7%a1%d7%a4%d7%99%d7%a7

Copyright © PCMagazine. All rights reserved