רן בר זיק - צרובה
רן בר-זיק

הפער בין הדימוי הפופולרי של האקרים למצב במציאות לא מפסיק להפתיע אותי. בעוד שהתרבות הפופולרית מטפחת את הדימוי של האקרים כמכשפים של עידן האינטרנט, מדי שבוע אנחנו נתקלים בהוכחות לעליבות של מצב האבטחה ברשת בישראל ובעולם - וכשזה המצב, אז גם ההאקרים לא צריכים להתאמץ יותר מדי. כל מה שצריך לעשות זה לגנוב פרטים של לקוחות מאתרים פרוצים לרווחה למתקפות פישינג כדי לקושש כמה זהובים.

אבל לפעמים, רק לפעמים, אנחנו שומעים על מבצעים של האקרים שמזכירים סרטי פשע כמו Ocean 11 או ה-Italian Job - כאלה שכל פרט בהם מתוכנן בקפידה, וגם אם המבצעים הם פושעים, קשה שלא להתאהב בהם, או לפחות להעריך את הביצועים.

תקיפה גדולה שבוצעה לאחרונה כנגד שרתי npm, מנהל החבילות של node, היא דוגמה נוספת לכך שבין כל דגי הרקק ששוחים ברשת, עדיין אפשר למצוא את הסייבר אושן 11 של ימינו - תוקפים מתוחכמים שיישמו תוכנית רבת שלבים כדי ללכת הביתה עם הרבה כסף

npm ?node? זה בטח נשמע כמו סינית למפתחים מתקדמים

אולי, אבל מדובר בשפה שמספקת את התשתית ללא מעט אתרים ואפליקציות ווב. אם אתם משתמשים בפייסבוק, בגוגל, באמזון, באיירבינאנבי או באתרים גדולים אחרים - השתמשתם באפליקציה מבוססת node או כזו שעושה שימוש ב-node בחלק ממרכיביה. node היא בעצם פלטפורמה המאפשרת להריץ את ג׳אווהסקריפט על צד השרת.

node מאפשרת למתכנתים להקים שרתים שמקבלים 100,000 בקשות בו זמנית בקלות רבה. בעולם יש צורך הולך ועולה להרים אפליקציות ואתרים שיכולים לתמוך במיליוני משתמשים בו זמנית. איך עושים את זה? node היא הדרך.

לגו של תוכנה

אחד מהיתרונות העצומים של node הוא מאגר המודולים שלו - או ספריית חבילות התוכנה, כפי שהן נקראות. מדובר בספריה עצומה של כ-700,000 חבילות תוכנה שכולן מוצעות תחת רשיון קוד פתוח, ומאוחסנות במאגר התוכנה github.

אם למשל אני רוצה ליצור שרת ווב מהיר לאחסון שרת, אני לא צריך לכתוב את אותו מאפס אלא משתמש בחבילת תוכנה שנקראת express ומייצרת שרת מהיר כהרף עין. אני רוצה שהשרת הזה ייצור קשר עם מסד נתונים? גם לכך יש חבילת תוכנה. אני רוצה שהשרת יציג ללקוח דף מעוצב? גם לזה יש חבילה.

למעשה, חלק מהחבילות מתבססות על חבילות נוספות שפיתחו מפתחים אחרים. כך למשל, חבילת תוכנה של אתר יכולה לעשות שימוש בחבילת התוכנה של שרת וחבילת התוכנה של חיבור למסד נתונים. אבל מי שמשתמש בחבילת התוכנה הראשית לא תמיד מודע או אפילו מעוניין לדעת אילו חבילות תוכנה מרכיבות את החבילה הראשית.

תחשבו שאתם בונים בית מלגו ובמקום אוסף של קוביות בגדלים וצבעים שונים, יש לכם קירות שלמים שמישהו כבר הרכיב - כולל יסודות וחלונות אוטומטיים שמישהו טרח לבנות מלגו טכניק.

"צהוב". פסל לגו של האמן נתן סוואיהצילום: AP Photo/Luca Bruno

מצד אחד, זה יתרון אדיר - כי ניתן ליצור תוכנה מורכבת ומשוכללת בקלות שהיתה בלתי נתפסת בעבר. לדוגמה, יצירת שרת שיציג תוכן למשתמשים מאפס היתה פעם משימה הרקוליאנית. היום אפשר לעשות את זה ביום עבודה והשרת יכול לתמוך במאה אלף משתמשים לשנייה.

מצד שני, יש כאן חולשה משמעותית - כשכל כך הרבה מהרשת בימינו מבוססת על חבילות כאלה, קל לשכוח שמאחורי כל אחת ואחת מהן יש מפתחים - בין אם חברות ובין אם יחידים. חברות לפעמים משנות מיקוד ועוברות לנושאים אחרים, שלא לדבר על כך, שיש כאלה שנסגרות, ואז קשה למצוא מי שיטפל בחבילה הקריטית. כשמדובר במפתחים יחידים, האתגר עשוי להיות גדול אף יותר.

ועכשיו, לסיפור המתח

זה בדיוק מה שקרה ב-event stream, חבילת תוכנה תשתיתית, שמשמשת לניהול פלט וקלט מסוגים שונים, וזוכה לפופולריות מאוד גבוהה - בין מיליון ל-2 מיליון הורדות בשבוע. המפתח שעומד מאחוריה, דומיניק טאר, התעייף ולא תיחזק אותה שנים רבות.

מקרים כאלה יכולים לגרום הרבה בעיות, אבל לא לחינם מדברים על קהילת הקוד הפתוח. לא פעם, כשזה קורה, מתכנתים אחרים נכנסים לנעלי המפתח המקורי ומתנדבים להמשיך את עבודת התחזוקה במקומו.

כך קרה גם הפעם - או לפחות זה מה שחשב טאר. מתכנת, שהזדהה כ-right9ctrl, פנה אליו והציע לו לתחזק את הפרויקט, כמתכנת שותף. טאר קפץ על המציאה והעביר לו את זכויות על הניהול של חבילת התוכנה.

right9ctrl לא בזבז את הזמן. הוא יצר חבילת תוכנה מזויפת בשם flatmap-stream. החבילה התוכנה הזו התחזתה לחלק מחבילת התוכנה הלגיטימית אך היא הכילה קוד מעורבל, שהקשה מאוד על מתכנתים לקרוא את הקוד.

right9ctrl החזיק בכל ההרשאות הדרושות, והוא שילב את הקוד שלו בחבילת event stream שכולם סומכים עליה. מהרגע הזה, כל מי שהוריד את event stream, שתי מיליון הורדות בשבוע להזכירכם, הוריד והפעיל גם את חבילת התוכנה של right9ctrl.

מה חבילת התוכנה המורעלת עשתה? כאן מגיע החלק הגאוני באמת, מפני שבניגוד למה שהיינו מצפים, right9ctrl לא תקף מיד את כל המשתמשים. רובם בכלל לא היו המטרה.

הכירו את הארנק הדיגיטלי copay. סוג של כספת שכל אחד יכול לפתוח לעצמו כדי לאחסן את המטבעות הקריפטוגרפיים שלו בבטחה. אם תיכנסו לאתר של מפתחי copay תגלו מוצר קוד פתוח נהדר שמשמש אנשים מכל רחבי העולם לאחסן את הביטקוין שלהם. נחשו באיזה חבילת תוכנה הם השתמשו… כן כן, event-stream, החבילה שהורעלה על ידי התוקף.

Copay. ארנק דיגיטלי והמטרה של הפורצים

בעצם, התוקף יצר פה מתקפה מדהימה שנראית כאילו נלקחה מסרט שוד מתוחכם. זה התחיל באיסוף מודיעין לפני המבצע.הוא המשיך פיתוח של כלי במיוחד לביצוע התקיפה, מבצע התחזות כדי לזכות באמון הפלטפורמה הנבחרת. זה נגמר בשיגור של החבילה המורעלת כדי לתקוף את המשתמשים של הארנק הווירטואלי.

החבילה המורעלת היתה זמינה במשך חודשיים וחצי והורדה כשמונה מיליון פעמים עד שאחד המתכנתים שהשתמשו בחבילה המורעלת שם לב לקוד המעורבל של חבילת הרעל. בדיקה מהירה של הקוד גילתה את כל העניין והחבילה המורעלת הוסרה במהירות.

העקבות? מובילים לשרת במלזיה, אבל עדיין אי אפשר לקבוע בוודאות את זהות התוקפים וכנראה שלעולם לא נדע אותה.

לא ברור כמה אנשים נפגעו מהקוד המורעל וכמה כסף נגנב. העולם הקריפטוגרפי הוא עולם חשאי וממדי הפירצה עדיין נמצאים תחת חקירה.

השוד המבריק הזה מציג בעיה משמעותית שהולכת וגוברת בעולם הקוד הפתוח. תוקפים שמנצלים את אווירת שיתוף הפעולה והרצון הטוב בעולם הזה על מנת לנסות ולתקוף אתרים ותוכנות באופן יצירתי. ההתקפה הזו היא לא הראשונה מסוגה ובטח ובטח לא האחרונה והתקפות כאלו מציבות אתגרים חדשים בפני מפתחים ומנהלי אבטחת מידע מכל העולם.

רן בר-זיק הוא מפתח בחברת ורייזון וכותב אתר internet-israel.com

לחצו על הפעמון לעדכונים בנושא:

כתבות מומלצות

מדפי ממתקים בסופר

כיף כף מטורקיה ופתי בר מפולין: החברות שמוכרות כחול לבן מחו"ל

עטיפת הספר. העיר שהיתה אמורה להיות ייחודית במינה

לרגע היה נדמה שערד יכלה להיות עיר אחרת לגמרי

BW אמזון רחפנים 256

החבילה מתעכבת: למה הרחפנים של אמזון עוד לא סיפקו את הסחורה

קראק פאי הקלאסי של גוז' ודניאל

משחקים עם קראק פאי: ארבעה מתכונים לעוגה הממכרת

פרויקט הרצל 138

סוף סוף יש סיבה לעצור ולהביט בבית הבאר ברחוב הרצל

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ

כתבות שאולי פספסתם

בת ים

שתי דירות במחיר אחת: האם זהו עתיד תחום הפינוי-בינוי?

אפליקציית קלארנה. החברה נמצאת במגעים לגיוס סבב חדש לפי שווי שנמוך בכ-30% מהשווי שקיבלה לפני שנה בלבד

"היערכו לגרוע מכל": נבואות החורבן בהיי-טק מתחילות להגשים את עצמן

בניין דירות בחולון

לקחתם משכנתא בחודשים האחרונים? גם אתם כבר שילמתם על עליית הריבית

"כשבאנו לקבל משכנתא לרכישת הבית, התברר שהבעיה לא פשוטה כלל"

הריבית במשק מזנקת – מה כדאי לעשות עם ההלוואות שלקחתי?

המשווקים של פוליסות החיסכון הם סוכני הביטוח, שנהנים מעמלות שמנות

"הציעו לי להעביר את החיסכון מאלטשולר. האם כדאי לי?"