Search

החשיבות של בדיקות אפליקטיביות

בעידן של היום, כמעט כל דבר מתנהל דרך המחשבים, בין אם זה ניהול חשבון הבנק שלנו, בעזרת אפליקציה יחודית של הבנק בטלפונים הסלולרים וניהול לוח הזמנים שלנו על ידי אתר כלשהו ועד לאלבומי תמונות דיגטלים ברשת והזמנות תורים לקופת חולים. המחשבים נהיו חלק בלתי נפרד מחיי היום יום שלנו ובעקבות כך, יותר ויותר ארגונים וחברות מעוניינים לפתח יישומים הייחודים להם אשר יעזרו להם לקדם את עסקם ולאפשר ללקוחותיהם גישה פשוטה וישירה לשירות המוצע על ידיהם. לדוגמא, בנקים ירצו לפתח ישום לטלפון אשר יאפשר למשתמש לנהל את החשבון שלו, להעביר כספים ולהעזר בנציג שירות מבלי הצורך להגיע לסניף.


אז מה הבעיה?

הרעיון מאחורי היישומים הללו הוא הקלה על תהליך האינטרקציה בין הלקוח לשירות המוצע לו בארגון, אך כמו תמיד, אנשים בעלי כוונות זדוניות יחפשו כיצד לנצל יישומים אלו לטובתם.

נחזור לדוגמא שלנו על היישום לניהול חשבון הבנק, על מנת שהמשתמש יוכל לנהל את החשבון האישי שלו, עליו להכניס פרטים מזהים אשר יאמתו את זהותו וזאת מיכוון כי היישום מאפשר פעולות על החשבון, כגון העברת כספים ולקיחת הלוואות, אשר שום משתמש לא ירצה שיתבצעו על ידי אדם זר.

כעת נניח כי אדם זר מצליח להניח את ידיו על פרטי האימות של המשתמש. בכוחו של האדם הזר לבצע פעולות שונות, כגון העברת כספים לחשבונו הפרטי ובכך לפגוע במשתמש.

אך לא רק יישומים הדורשים אימות זהות נתונים לסכנה זו, ישנם דרכים רבות לנצל חולשות של יישומים על מנת להשיג מידע אשר מאוחסן בממסדי הנתונים של הארגון (מספרי טלפון, פרטי בנק, לוחות זמנים, שיחות פרטיות וכו') והרשאות לפעולות בתוך מערכות הארגון (שליטה במערכות המחשבים של הארגון, שיבוש השירותים הניתנים ללקוחות וכו'), אשר יובילו לפגיעה בפעילות, השם הטוב והלקוחות של הארגון ואף יכולים להוביל לתביעות ונזקים כלכליים.

רוב החולשות אשר ניתן לנצל ביישומים קיימות מיכוון שחברות רבות לא מבינות את החשיבות של בדיקות אפלקטיביות.

רגע, מה זה בדיקה אפלקטיבית?

בדיקה אפלקטיבית היא בעצם בדיקת חדירה לכלל היישומים אשר החברה מציעה כגון אתרי אינטרנט ואפליקציות לסלולר. בבדיקה האפלקטיבית, צוות בודקים מקצועי ומיומן מנסה למצוא כמה שיותר אזורים ביישום אשר יכולים להוות חולשה ומנסים לפגוע בארגון (בתכנון מראש והסכמה מצד הארגון). האזורים אשר מהווים סכנה יכולים לנוע בין תיבות טקסט בהם המשתמש מכניס איזה טקסט שיבחר (לדוגמא, תיבה טקסט לחיפוש משתמשים אחרים על פי שם) לבין שורת כתובת האתר המופיעה בראש הדף.

חולשות ביישום יכולות לבוא בצורות שונות וחלקים שונים מהיישום. אחת מהחולשות המוכרות ביותר היא חולשה להזרקות SQL. חולשה זו מאפשרת לתוקף להכניס שורת קוד משלו אל תוך תיבת טקסט ובכך להפעילה. לדוגמא, נניח כי התוקף משתמש באתר של הבנק ומבחין בתיבת טקסט אשר מאפשרת לו לחפש כתובת מדויקת של סניף בעזרת הקלדת שם העיר. התוקף יכניס קטע קוד אשר אומר למערכת להציג את כל פרטי האשראי שמאוחסנים אצלה וכאשר האתר ינסה להפעיל את הקוד שלו לחיפוש כתובת הסניף, הוא יתקל בקטע הקוד של התוקף ויבצע אותו ולכן, במקום להחזיר לתוקף כתובת של סניף הוא יחזיר לו את כל פרטי האשראי המאוחסנים אצלו בממסד הנתונים.

לא כל החולשות רק מחזירות מידע, לדוגמא, נניח כי התוקף משתמש כעת באפליקציה המאפשרת להזמין ממתקים עד הבית והוא רואה באתר כי יש אפשרות להוסיף ממתקים שונים לעגלת הקניות ולאחר מכן לשלם על הכול ולקבל את הממתקים. התוקף מוסיף לעגלה שלו כ-100 סוגים שונים של ממתקים ומתבקש לשלם 100 שקלים בסך הכל, אך, התוקף מצליח לשנות את הנתונים שהאתר לוקח מעגלת הקניות שלו והוא משנה את מחיר כל ממתק ל-0.0001 שקלים וכעת האתר מבקש ממנו לשלם סך הכל 0.01 שקלים. התוקף יבצע את התשלום והחנות תקבל הודעה כי התשלום בוצע בהצלחה ותשלח אל התוקף את הממתקים מבלי לדעת מה התרחש.

דוגמא לחולשה נוספת היא מעבר בתוך מערכת הארגון בעזרת אתר אינטרנט. אנו יודעים כי אתר האינטנרט של ארגון מאוחסן במערכת כלשהי אשר עליה נמצא המידע של האתר, משמע, קיים "שביל" מהאתר אל התיקייה בה מאוחסנים הפרטים של האתר ומחוצה לה אל המחשב המאחסן ולרשת כולה של הארגון ( אתר <- אחסון האתר <- המחשב המאחסן <- מערכת המחשבים של הארגון). כעת, נניח כי התוקף מבחין בחולשה זו והוא מצליח לעלות בסולם ולעשות את דרכו אל עבר המחשב המאחסן. מנקודה זו לתוקף יש מגוון רחב של אפשרויות, הוא יכול לנוע בין כל התיקיות והקבצים במחשב ולחלץ כמה שיותר מידע, הוא יכול לנסות לקבל גישה מרחוק למחשב ולהפעיל עליו תוכנות זדוניות ואפילו להמשיך אלה ולחדור לרשת של הארגון ובכך לקבל גישה לכל המערכות.

כל הדוגמאות הללו מציגות כיצד אי-ביצוע של בדיקה אפלקטיבית יכול להשאיר את היישומים של הארגון במצב חשוף אשר מסכן את החברה ואת לקוחותיה ויכול להוביל לנזקים כבדים. ביצוע הבדיקה האפלקטיבית באופן מקצועי ויסודי יעזור לאתר את רוב (אם לא כל) פרצות האבטחה ביישומים השונים של הארגון ויספק תמונת מצב מדויקת על הסיכונים הקיימים באפליקציות ה-WEB של הארגון.

כיצד בדיקה אפלקטיבית נעשת?

הבדיקה האפלקטיבית מתבצעת על ידי אנשי מקצוע אשר מומחים בתחום אבטחת המידע ויודעים כיצד לתקוף (בהסכמה ותיאום מראש) את אפליקציות ה-WEB של הארגון במטרתה לחשוף כמה שיותר נקודות חולשה ולנסות לנצל אותן. הבדיקה האפלקטיבית מנסה לדמות תקיפה על יישומי הארגון.

תקיפת יישומי הארגון מתבצעת בשיטות שונות על מנת לאסוף כמה שיותר נקודות חולשה ביישום. הבדיקה מחולקת מהאזורים אשר פגיעה בהם תוביל לנזק כבד ביותר ועד לאזורים אשר פגיעה בהם תוביל לנזק מזערי. מטרתה הסופית של בדיקה אפלקטיבית היא לאסוף את כל נקודות החולשה באתר אשר יכולות להוות סכנה עתידית ובכך לספק רשימה מדויקת של כל האזורים באתר שיש צורך לשפר בהם את האבטחה. בדיקה אפלקטיבית טובה תאפשר ללקוחות הארגון להשתמש ביישומים ללא חשש מפגיעה או גניבה של המידע שלהם ותמנע פגיעה של האקרים בארגון עצמו ובמערכותיו.

אוקיי, הבנו מה זה בדיקה אפלקטיבית. מדוע ארגונים רבים לא עושים זאת?

הבעיה כיום היא שארגונים רבים מאמינים כי אין צורך לבצע בדיקות אפלקטיביות ואינם מבינים את החשיבות שעומדת מאחורי זה. ארגונים רבים בוחרים לנקוט בשיטה שכאשר הם מגלים על חולשה במערכת שנוצלה, הם מגיבים בזמן אמת למתקפה ולאחר מכן הם מתקנים אותה במקום להשקיע את הזמן והמשאבים בבדיקה אפלקטיבית. שיטה זו מובילה לפעמים רבות בהן חולשות פשוטות ביותר לתקיפה קיימות ביישומים המכילים מידע חשוב ובכך מגבירות את הסיכון לתקיפה וחשיפת המידע. אי הביצוע של הבדיקה האפלקטיבית והסתמכות על תגובה בזמני אמת מוביל לנזקים כבדים כגון השבתת פעולת הארגון באופן זמני, איבוד הביטחון של הלקוחות בארגון, הפסדים כלכליים ובמקרים קיצוניים יותר גם להשבתה מוחלטת של מערכות החברה, הדלפת מידע לרשת ופגיעה בלקוחות החברה.

4 views
LINKS
CONTACT
  • White LinkedIn Icon
  • White Facebook Icon

Ze'ev Jabotinsky St 7,
Ramat Gan, IL.
+972-3-9629018
info@ThinkCyber.co.il

© 2020 by ThinkCyber