17
ינו
08

פריצה לבסיס נתונים: קשה או קל?

מומחי אבטחת מידע רבים טוענים שקל לפרוץ לבסיסי נתונים (בין אם ישירות ע"י גישה ל – DB ובין אם דרך אתרים). התקפות שונות כגון SQL Injection (הזרקת קוד SQL עוין) או Cross Site Scripting (התקפה המכונה XSS בה שותלים סקריפטים עוינים באתרים) מאפשרות התקפות על אתרים ובסיסי נתונים. ובאמת, ישנם הרבה מומחים ואתרים המוכיחים כמה קל לבצע התקפות כאלה ואחרות.

אינני מנסה לטעון שזה לא נכון וגם אינני יכול לטעון שמהערכות שלנו מאובטחות ב – 100%. אבל הנה חומר למחשבה:

שני מומחים בתחום בסיסי נתונים ניסו להוכיח כמה קל לשנות הרשאות של משתמש מנמוכות לגבוהות וכמה קל לנצל פרצות ידועות בבסיס הנתונים. הם קיבלו גישה ישירה ל – DB פנימי (ברמת SQL) שאינו מאובטח באופן מושלם, והם לא היו צריכים לחדור לרשת ולגלות את בסיסי הנתונים ברשת. במשך יומיים (לא מלאים) הם ניסו התקפות שונות וניסו למצוא שירותים פגיעים. רק לאחר יומיים הם הצליחו לנצל פרצה ידועה כדי להעלות הרשאות (Privilege Escalation).

אז אומנם המון ידע על ניצול פרצות זמין באינטרנט וישנם מומחים והאקרים רבים בשוק, אבל גם אז לא תמיד קל לנצל אותן. תוסיפו על זה שכבות הגנה כגון מניעת חיבור מחשבים של אורחים לרשת ומחשבי חברה מוגנים בסיסמאות ופתאום זה הרבה יותר קשה. בנוסף כאשר מערכות מסוימות אינן נגישות מהאינטרנט בכלל, האתגר להאקר המקצועי (כי החובב בנקודת זמן זו מחוץ למשחק) יצריך ממנו השקעת משאבים רבים.

מודעות פרסומת

4 Responses to “פריצה לבסיס נתונים: קשה או קל?”


  1. 17/01/2008 ב- 15:40

    זה לא ש"קל" לפרוץ למסדי נתונים, אלא שמסדי נתונים הם נקודת תורפה בגלל שהם בדרך כלל מעבדים מידע שמוזן על ידי משתמשים.

    אין אופקוד מסתורי ב-x86, שמודיע למחשב שתוכנה מסויימת היא מסד נתונים, כמו אומרת "אז אם מגיעה התקפה, תן לה להתרחש, אני שונא מסדי נתונים!".

    מסדי נתונים עושים פעולות עתירות קונג-פו מבחינת זיכרון, ולעיתים (קרובות) מתכנתים ממשים את הפעולות האלו לא נכון.

    מעבר לכך, מסדי נתונים הן תוכנות מורכבות, מה שבדרך כלל אומר שיש בהן הרבה קוד.
    הרבה קוד = הרבה באגים.

    בברכת 0xcc,
    שגיא

  2. 23/02/2008 ב- 8:21

    אתה רואה את זה בצורה לא נכונה.
    לדעתי ראוי לכתוב "בתוך יומיים בלבד הם הצליחו להעלות את ההרשאות שלהם".
    יומיים זה ממש לא הרבה זמן.
    קראקר מקצועי יכול לעבוד על פרוייקט שבועות, חודשים ושנים.

  3. 23/02/2008 ב- 23:33

    אני מניח שאתה צודק.
    מצד שני, תזכור שאין גישה ל – DB מחוץ לרשת. כלומר, הקראקר צריך גם להגיע פיזית למשרד או לעקוף אמצעי אבטחה נוספים בגישה מרחוק.
    קראקר ישקיע זמן רב במקום שהוא יפיק תועלת (כנראה כלכלית) גבוה.

  4. 24/02/2008 ב- 7:27

    DB הוא אחד הדברים היותר נחשקים מצד קראקר.
    הוא בד"כ ימצא שם פרטים על לקוחות.
    את הפרטים האלה הוא ימכור למישהו שיכול לעשות מהם כסף או ימכור חזרה לחברה שהוא גנב ממנה.
    בכל מקרה – DB זה בד"כ היעד 🙂


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s


ינואר 2008
א ב ג ד ה ו ש
« דצמ   פבר »
 12345
6789101112
13141516171819
20212223242526
2728293031  

%d בלוגרים אהבו את זה: