שלב ראשון הגדרת האקר או פצחן
מה זה האקר?
לחץ כאן להגדרת האקר מוויקיפדיה
במילים פשוטות יש כמה סוגי האקרים.
הדרכות לאיומי סייבר ואבטחת מידע
הטובים , עוזרים למנוע ומתריעים מסיבות שונות על בעיות אבטחת מידע\סייבר.
ממש לא טובים , פועלים במטרות שונות ולא לטובת הכלל והעולם.
בדר”כ מסיבות אידאולוגיות או הפרעות נפשיות או כסף\עשיית עושר חומרי.
לרוב חוסר בערכי יושר והגינות.
המושג משמש גם בהקשר של קידום אתרים (קידום כובע שחור) לתיאור מקדם שפועל בשיטות שאינן אתיות או שאינן חוקיות.
“האקרים של כובע אפור הרבה פעמים יהיו אדישים לטובתו של הקורבן, מטרתם היא לרוב למידת הטכנולוגיות והאתגר של ההתנסות בהן.”
סוג של חוקר בין כובע שחור ללבן והסקרנות מניעה בעיקר את מטרות ההאקר כובע אפור.
סוגי מחשבה של אפור:
האם אני מסוגל?
האם זה אפשרי?
מה יקרה אם?
יש עוד כמה סוגים כמו כחול וורוד ועוד , בהמשך אולי יוזכרו.
הדגמה טכנית ורעיונית כהסבר פשוט לאנשים גם אם אינם טכניים.
נניח והאקר מעוניין לדעת על פריצה לחברת אחסון אתרים כלשהי רנדומלית או לאתר שמאוחסן בחברת איחסון רנדומלית.
דבר ראשון כל אתר אינטרנט יושב איפשהו באיזשהו מחשב בחברת איחסון כלשהי .
שלב ראשון מהי חברת האחסון של האתר
נבחר רק לצורך הדוג’ העכשווית באתר של חברת קופיקס המעולה .
כתובת האתר באתר אחר שבודק מהו האחסון תתן לנו כמה פרטים מעניינים וחשובים להמשך.
רושמים בגוגל באנגלית : what hosting is that
בעברית : איזה \ איפה האיחסון של האתר הזה?
איך מגלים מטרה \ אתר אינטרנט של חברת אחסון מסויימת?
פשוט מסתכלים באתר של חברת האיחסון מיהם הלקוחות המרוצים.
הנה: רשימה שלמה או חלקית של אתרים שנמצאים באותה חברת איחסון.
למשל חברת איחסון מעולה ומקצועית בשם יופרס
מסתכלים על הלקוחות ובוחרים רנדומלית את קופיקס.
מכניסים את הכתובת של קופיקס לאתר שבודק פרטים ונמצא בחינם באינטרנט לכל אחד ופתוח לשימוש לעיני כל העולם בלי כלים מיוחדים חוץ ממחשב שמחובר לאינטרנט ודפדפן.
לאחר מכן מריצים את הכתובת בשורת החיפוש באתר
ומגלים כמה דברים מעניינים.
מה גילה ההאקר עד כה משימוש בכלים חופשיים לשימוש בכל האינטרנט ע”י כל אחד בכל העולם ובחינם?
ניתן לראות מי חברת האיחסון .
במקרה זה יופרס (חברה ותיקה טובה ומקצועית)
ניתן היה לדעת גם אם מסתכלים בחברת האחסון תחת לקוחות מרוצים.
מהם הdnsים
domain name server ואיזו חברה עושה שימוש במכונה
האתר מוגן ע”י cf קלאודפלייר
מוגן זו לא הגדרה כל כך טובה כי גם אותו צריך להגדיר ע”י מי שיודע להגדיר בצורה מקצועית .
בבדיקת סוקורי ניתן לדעת את הדברים הבאים :
האתר עושה שימוש \ בנוי בוורדפרס
האתר אינו מעודכן בגרסת הוורדפרס
לאתר יש תוספים לא מעודכנים.
גרסת הphp באתר ובאחסון לא מעודכנים .
לאחר גילוי הממצאים באתר הנ”ל :
ניתן לקבל שליטה או לפרוץ או לקבל נתונים ולעשות נזקים ואפילו לקבל גישה לשרת האיחסון בעצמו דרך חולשות בphp דרך שימוש במושג מתקדם ולא למתחילים שנקרא priviledge escalation
מה זה אומר? התשובה מיד בתמונה עם הרקע הצהוב.
מה רואים בתמונה?
בכלי שכל הודי פקיסטני בן 14 יכול להפעיל מקבלים את הדברים הבאים:
שמות יוזרים כולל אדמין
תוסף פגיע לפריצה אוטומטית גם בלי ידע מיוחד במקרה הנ”ל מדובר בתוסף הseo הנפוץ והפופולרי מאוד.
אתרי וורדפרס עלולים להיפגע בקידום האורגני בגוגל.
ניתן לראות בבדיקה ע”י הכלי שנקרא virus total פגיעה כתוצאה מרשלנות מקצועית שהאתר נפרץ.
מה שרואים בתמונה מעיד על בעיה שחלק מהגולשים שמשתמשים אצלם במחשב הביתי באנטי וירוסים , בשני אנטי וירוסים התגלה קוד זדוני.
בהמשך אם לא יטופל עוד חברות אנטי וירוס יגלו את האתר כפרוץ או עלול לגרום לבעיות לגולשים, בהמשך הדפדפנים יראו פגיעה ואזהרה בכניסה לאתר .
השלב הסופי ומקווה שלא יקרה זה שגוגל תעניש את האתר וכך גם כל המדיה החברתית כולל הממומן אדוורדס ופייסבוק.
פתרונות ועצות למניעה .
בחירת חברת אחסון אחראית ומקצועית שאינה מאפשרת חשיפת מידע רגיש גם למי שאינם האקרים או אנשי אבטחת מידע.
בחירת מתכנת או בונה אתרים שיודע להגן על מערכות וורדפרס במקרה של מאמר ספציפי זה .
מומלץ לקחת איש מקצוע בתחום אבטחת המידע וזה ימנע הרבה כאבי ראש ועוגמת נפש במידה ויהיה בעתיד אירועי סייבר באתר או בכלל.
טיפול בבעיות המוצגות בסרטון.
סרטון המדגים קבלת פרטים רגישים בגלל אבטחת אתר ואחסון לקוי
האתרים וכל המידע בסרטון זה נועד למטרת הגברת המודעות לסיכונים .
פעולות מהסוג המודגם אינן חוקיות ברוב המקרים וכל העושה או ינסה לעשות שימוש בטכניקות המודגמות בסרטון עושה זאת על אחריותו האישית הבלעדית בלבד.
עורך המאמר הינו מומחה אבטחת מידע (האקר אתי וחוקר אבטחת מידע) ועוסק בהגנה על הציבור כולו.
מניעה ומלחמה בתופעות בזויות מסוג סייבר שנועד לגרום לנזקים.