בואו לגלות את עמוד הכתבה החדש שלנו
${m.global.stripData.hideElement}
 

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

תקיפות אתרים כבר לא מספיקות לכורים הזדוניים

האקרים שמנסים לכרות מטבעות קריפטוגרפיים התחילו להדביק תוספים של וורדפרס ופלטפורמות פופולריות נוספות כדי לנצל את בעלי האתרים ומבקריהם

תגובות
חווה לכריית ביטקויין בסצ'ואן שבסין
Paul Ratje / For The Washington

מתקפות לכריית קוד זדוני לכריית מטבעות קריפטוגרפיים הם השחור החדש של ההאקינג, ואחרי שתוקפים תקפו אתרים, הם עוברים לתקוף את הפלטפורמות שמשמשות לבנייתם. השיטה: הדבקה דרך תוספים לאתרים.

חבילות התוכנה האלו, כמו התוספים (Plugins או פלאגינים) של וורדפרס, נפוצות מאוד כמעט בכל מערכת קוד פתוח. בוורדפרס, שעליה מבוססים רוב האתרים בעולם וגם בישראל, התוספים מאפשרים להוסיף יכולות למערכת הבסיסית. אצלי  למשל יש תוספים שמאפשרים להירשם לרשימת תפוצה, לשפר את האבטחה ועוד שלל יישומים.

הכורים מסתתרים באתרי התוספים

תוספים כאלה זמינים בדרך כלל להורדה באתר מסודר שאמור להיות מפוקח, בדיוק כמו חנויות אפליקציות למובייל, אבל "אמור" היא מילת המפתח כאן. מפתחים רבים מניחים שהתוספים בטוחים והם מורידים אותם מהאתרים השונים. על זה נאמר לא מזמן "הו! תמימות קדושה!".

רק לאחרונה נחשף תוסף בשם Animated Weather Widget שהשתיל קוד שכרה מונרו (אפשר להבין יותר על מדובר פה). כלומר, כל בעל אתר שבתמימותו התקין את התוסף, גרם נזק למשתמשים שלו והסב רווח לבעלי התוסף ללא ידיעתו. התוסף הוסר מהמאגר.

ציוץ של שמעון ריקלין infosec - דלג

פרצה יותר מעניינת התגלתה גם בשירות npm שמשמש מתכנתי node. חוקרת אבטחה עצמאית בשם אבה האוול חשפה כיצד מתכנתים מנצלים מודולים פופולריים כדי לשתול קוד בעייתי אצל מפתחים אחרים. כיוון ש-node משמשת בעיקר לשרתים חזקים, הרווח (והנזק לקורבן) הפוטנציאלי יכול להיות עצום.

מאחר שרוב העבודה על node נעשית משורת הפקודה (כלומר בהקלדה), התוקפים משתמשים בשיטת Typo-Sqautting, שיטה שכבר שנים פופולרית אצל האקרים רבים שיצרו אתרים המתחזים לאתרים מפורסמים. הם פשוט יוצרים מודול שהשם שלו כמעט זהה למודולים פופולריים מאוד, כך למשל commqnder במקום commander. אם מתכנת כלשהו מתקין את המודול אך שוגה בהקלדה, הוא מזריק לקוד שלו קוד כרייה זדוני.

המודול המזויף מכיל קוד כריה שמופעל בכל הפעלה לצד הקוד "האמיתי". כך המתכנת בעצם מזהם את המערכת שלו וגורם לכרייה מואצת והפעם על חשבונו ולאו דווקא על חשבון המשתמשים הרגילים.

איך מגלים השתלה של קוד כרייה באתר שלכם?

אם אתם בעלי אתרים מודאגים, הגילוי הוא קל למדי. פיתחו את מדד ה-CPU במחשב שלכם. בחלונות, הכנסו במצב 'אינקוגניטו' לאתר שלכם. מצב האינקוגניטו הוא חשוב כיוון שהוא מונע מתוספי פרטיות שונים שייתכן והתקנתם לעבוד, ואנחנו לא רוצים שהם יעבדו וימנעו מאיתנו לגלות את הסקריפט הזדוני. יש לכם קפיצה ב-CPU ברגע שנכנסים לאתר וירידה בקפיצה ברגע שיוצאים ממנו? בינגו. יש לכם קוד זדוני באתר.

איך יודעים אם באתר שלנו הושתל קוד זדוני שכורה קוד מהמשתמשים? - דלג

איך מתגוננים?

אם יש לכם אתר גדול, כדאי לדרוש מהמתכנת שבונה את האתר בדיקת קוד סטטית תקופתית על הקוד. אם אתם מתכנתים, שימוש בכלי ניתוח קוד יסייע לכם באיתור בעיות כאלו. אם אתם מתכנתי node, יש כמעט חובה לוודא שההתקנות שלכם תקינות.

אם אתם משתמשים במודולים שיש להם תפוצה נמוכה, כדאי מאוד לברר גם אצלם. ניתן להשתמש בכלי ניתוח כדי לראות את כל ה-dependencies או לבצע ניטור במערכת המתריע על שימוש לא תקין ב-CPU.

רן בר-זיק הוא מפתח בחברת OATH וכותב אתר internet-israel.com



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות
*#
בואו לגלות את עמוד הכתבה החדש שלנו