מחקר: מאפייני 'מתקפות צד שלישי' על אתרי אינטרנט
מאת:
מערכת Telecom News, 19.2.20, 11:25
מתקפות 'צד שלישי' מנצלות את ההרשאות הניתנות באתרים לקוד צד שלישי (לדוגמה, הצגת פרסומות, הפעלת צ'ט ומדידות שונות באתר) כנקודת תורפה לגניבת מידע רגיש.
הסטארטאפ הישראלי
Source Defense, שהמטה שלו וחטיבת המחקר והפיתוח פועלים בראש העין, בנוסף לשלוחות בבאר שבע ובארה"ב, ושעוסק בתחום הגנת אתרים מפני מתקפות צד שלישי
client-side web attacks)), מתקפות הנקראות גם
Magecart ו-
Formjacking, הציג מחקר, שנועד לנתח ולשרטט את מאפייני מתקפות אלו.
הדו"ח, תחת הכותרת
"Client-Side Web Security Report", מסתמך על נתוני מעבדת המחקר של החברה ומתבסס על ניתוח 500 סקריפטים שונים ועשרות מיליוני קריאות רשת באתרים רבים מוורטיקלים שונים.
המחקר ניתח קטעי קוד, שבעלי אתרים מצרפים כ"צד שלישי"
(3rd Party Scripts) לדפי האתר שלהם לצרכים שונים, כגון הצגת מודעות פרסום (באנרים), חלונות צ'טבוט, התאמת האתר לרגולציית הנגישות, מדידת התנועה לאתר ועוד.
האקרים החלו לנצל חולשות אבטחה בסקריפטים אלה כדי לאגור את פרטי הגולשים, שהוזנו לאתר ולשלוט בו, וכל זאת ללא ידיעת הגולש או בעל האתר. פעילות ההאקרים בתחום זה מתמקדת באתרים העוסקים במידע רגיש, כגון אתרי סחר, אתרי בנקים, אתרי כרטיסי אשראי ואתרים הכוללים מידע רפואי.
מהדו"ח עולה, שכיום פועלים מעל 1.7 מיליארד אתרי אינטרנט בעולם ו-95% מהם משתמשים בקוד צד שלישי.
ביותר מ-56% מהאתרים של החברות הגדולות בעולם (
Fortune 1000) הסקריפטים מבצעים פעולות החורגות מההרשאות הניתנות להם (גם ללא ידיעת הגולש או בעל האתר), ובחלק מהמקרים שימוש חורג זה מהווה הפרה של כללי הפרטיות האירופאי (
GDPR).
הנתונים מצביעים על כך, שמדי 39 שניות מבוצעת בעולם פריצה לאתר תוך שימוש בטכנולוגיית
Client-side ורבות מהן עלולות לפגוע במשתמש.
החוקרים מציינים, שבעלי אתרים נדרשים לבצע כ-200 שינויי קוד מדי חודש בממוצע ומספר הסקריפטים, החשופים למתקפות צד שלישי באזורים הרגישים של האתר, הוא כ-20.
איום נוסף, עליו מצביע הדו"ח, הוא סקריפטים הנקראים לאתר דרך קוד צד שלישי (שקיבל הרשאה לפעולתו מבעל האתר), אולם הסקריפטים, שקוד זה מביא לאתר (קוד זה מכונה: צד רביעי, חמישי ושישי), לא קיבלו הרשאות גישה מבעל האתר ופעמים רבות אף אינם ידועים לו. גם בעמודים רגישים (כגון עמוד ביצוע הרכישה) מתגלים סקריפטים המגיעים דרך צד רביעי ובממוצע נמדדו 7 סקריפטים כאלה באתרים שנבדקו.
דן דינר, מנכ"ל חברת
Source Defense: "גורמי צד שלישי מהווים סכנה אמיתית ומדובר במגמה, שהולכת ונעשית מתוחכמת יותר ויותר תוך שימוש בטכניקות חדשות כדי לאסוף את המידע המוזן באתרים.
חשוב לא רק להתמקד בגורמי צד שלישי אלא גם במעגלים רחבים יותר ולמי הם מעניקים את ההרשאה להטמיע סקריפטים כספקי משנה שלהם. בדיוק כשם שלא נסכים, שמפתח הבית שלנו יועבר מאיש הקשר הישיר, שאנו עובדים מולו ועליו אנו סומכים, לגורמי משנה נוספים, שאנו לא יודעים מהם. כך חשוב ליצור את ההרשאות המתאימות והכלים שיאפשרו להגן על הנכסים הרגישים כדי למנוע אפשרות של שימוש זדוני באתר.
כאשר וקטור הפריצה הופך להיות כה נפוץ ומסוכן, חשוב לדעת כיצד להיערך ולהגן מפני מתקפות אלו. הבעיה היא, שלאתר אין יכולת לדעת מתי מתבצעת חדירה באמצעות קוד צד-שלישי וגם אין דרך להגביל אותו. יש טכנולוגיות המאפשרות ליישם הנחיות והגנות בלי לבצע התאמות מיוחדות או לפגוע בפעילות התקינה של האתר".