- Admin
זה קורה במשפחות הכי טובות- הפריצה לשרתי יופרס (upress)
אלפי אתרים בישראל המתארחים בשירות האחסון הישראלי יופרס (upress) הושבתו או הושחתו היום על ידי האקרים מוסלמים (עדכונים אפשר לקרוא פה), כל שנה הם מאיימים סביב התאריך הזה ואחרים אבל הפעם נראה שהם הצליחו להשפיע על כמות נכבדה של אתרים באמצעות פריצה לשירות האירוח עצמו והשחתה מסיבית של אתרים מתארחים.
אתרים שהושחתו הציגו תוכן פרו פלסטיני בתרגום עילג לכמה שפות, על פי חוקי הפורמט. בחלק מהמקרים נמצא גם קוד שמנסה להפעיל את מצלמת המחשב ולצלם, בכפוף לאישור מהמשתמש. במידה והמשתמש מאשר התמונות נשלחות לשרת של חברת יופרס (upress) עצמה מה שמעיד על רמת החדירה העמוקה שהגיעו אליה הפורצים. היו גם דיווחים על ניסיונות למחוק את מסדי הנתונים באמצעות קוד שהוחדר לשרתים.
בשעות הראשונות של היום, משתמשים אף דיווחו שלאחר ששחזרו את האתר שלהם מגיבוי הוא הושחת מחדש זמן קצר לאחר מכן.
נכון לעכשיו לא ידוע כיצד התבצעה הפריצה עצמה, אבל החברה השביתה את ממשק ניהול האתרים ופועלת בשיתוף פעולה עם מערך הסייבר הלאומי על מנת לתחקר את האירוע ולשקם את האתרים שנפגעו. עוד לא ראיתי שום דבר בעיניים אבל בחברה מבטיחים שהגיבויים לא נפגעו ושכל האתרים יוחזרו לקדמותם בקרוב (בשונה מתקלת החומרה לאחרונה בחברת box הישראלית שבעקבותיה אתרים מסוימים נמחקו לצמיתות). החברה מתנהלת בשקיפות ראויה לציון ומעדכנת את המשתמשים בהתקדמות.
ליופרס (upress) יש מוניטין חיובי בנושא האבטחה והם אף מעט יקרים יותר מהמתחרים והרבה אנשים תוהים כעת איך זה קרה לחברה שנחשבת טובה יחסית והאם לעבור לשירותים מתחרים או לדרוש פיצוי.
אני חושבת שחשוב תמיד להיות פתוח ומוכן לאפשרות של מעבר בין שירותי אירוח וספקים אבל בשלב זה לא רואה סיבה לכעוס או לעבור לשירות מתחרה. פריצות יכולות לקרות לחברות הגדולות ביותר כולל פייסבוק, יאהו, סוני ועוד רבים וטובים, ככל שאתה יותר גדול ופופולרי (או מושך תשומת לב מסיבות אחרות) אתה מטרה אטרקטיבית יותר להאקרים מוכשרים ובעלי תושיה שישקיעו יותר זמן ומאמצים עד שלבסוף הם יצליחו לחדור. המבחן האמיתי הוא כיצד החברה מתאוששת, כמה מהר היא חוזרת לפעילות תקינה ואיזה נזק למידע או כסף נגרם. כיצד היא מתקשרת בצורה פתוחה וברורה עם הלקוחות לגבי המידע שהם צריכים לדעת ולוחות הזמנים או אפילו הפיצוי שהיא נותנת ללקוחות במידת הצורך. בינתיים יופרס (upress) מתקשרת בצורה יחסית גלויה ולוקחת אחריות על המקרה ואף הצליחה לערב גורמים מקצועיים ממערך הסייבר הלאומי על מנת לסייע לה בהתאוששות. לא כל חברה יכולה או מסכימה לערב גורמים כאלה במקרה כזה. אני מקווה שבהמשך יפורסמו פרטים טכניים נוספים שילמדו אותנו כיצד התבצעה החדירה עצמה ועל פיהם נוכל להעריך בצורה יותר מושכלת האם ועד כמה התרשלו באבטחה של יופרס (upress) ולקבל החלטות להמשך בצורה מבוססת.
הנה השתלשלות הפרסומים של חברת יופרס (upress) לקהל הלקוחות שלה במהלך ולאחר האירוע בעמוד הפייסבוק שלהם:
(הגלריה מתעדכנת גם לאחר פרסום הפוסט)
עד אז אספתי מספר המלצות למה כדאי לעשות לפני ובמהלך מקרה כזה:
מה עושים עכשיו
מחליפים סיסמאות ממוחזרות - אם לא פעלתם לפי ההמלצות שלי כאן והסיסמה שלכם לממשק הניהול של upress או של הwordpress עצמו זהה לסיסמה שלכם באיזשהו שירות אחר. מומלץ להחליף את הסיסמאות מחשש שהם אולי נגנבו על ידי הפורצים.
מחליפים API tokens רגישים - אם חיברתם את האתר לשירותים אחרים דרך אוטומציות או תוספים ויש לכם API tokens ששמורים בשרת ומאפשרים גישה לשירותים רגישים. מומלץ להכנס לממשק הניהול של השירותים ולנתק או להחליף את הטוקנים של החיבורים האלה (לדוגמא חיבור של מערכת דיוור כמו אקטיב טרייל)
עולים מגיבוי בשירות אחר - אתם מבצעים גיבויים ומעתיקים אותם חיצונית באופן תדיר נכון? אם קריטי לעסק שלכם שהאתר יחזור לאוויר באופן מלא באופן מיידי ניתן לשחזר את הגיבוי בשירות מתחרה ולבצע הפניה בשרת ה DNS.
מעלים דף תחזוקה ממותג - אם לא לקחתם גיבוי. מומלץ להעלות דף תחזוקה ממותג עם הסבר קצר ללקוחות שלכם על סיבת ההשבתה או אפילו פרטים וטופס יצירת קשר פשוט על מנת לשמור על קשר עם הלקוחות שלכם בינתיים עד שהשירות ביופרס (upress) משתקם. זה חשוב עבור לקוחות קבועים שבדיוק רצו לרכוש מכם משהו ובטח עבור לקוחות מזדמנים שהגיעו לאתר שלכם במקרה ואתם רוצים שהם יחזרו. גם ברגעי משבר חשוב לשמור על תקשורת ושקיפות מול לקוחות (גם אם פוטנציאליים).
מה עושים בשגרה כדי להיות מוכנים לפריצה או השבתה של ספק האירוח
משתמשים בסיסמאות ייחודיות לכל שירות - דיברתי על זה בעבר, אי אפשר לחזור על זה מספיק.
גיבויים - מבצעים גיבויים באופן תדיר ומעתיקים אותם חיצונית מהשרות, על מנת שיהיו זמינים לשימוש במידה והשירות עצמו לא זמין.
ניטור - מומלץ להגדיר ניטור גם על זמינות השירות וגם על שינויים לא צפויים בתוכן האתר. לפעמים ניתן לעשות זאת כחלק משירות ה CDN אם יש לכם או שאפשר להשתמש בשירות חיצוני. חלקם אפילו מציעים ניטור בסיסי בחינם (לדוגמא זה). במידה ומשהו קורה לאתר שלכם כדאי שתדעו על זה כמה שיותר מהר.
לבחור ספק אירוח אמין עם זמינות גבוהה ותמיכה אפקטיבית - כמו שאמרתי upress לא נכשלו, הם עכשיו במבחן ובינתיים נראה שהם מתמודדים איתו היטב. אבל תמיד טוב להיות ערוך לעבור אם צריך.
מחזיקים אתר גיבוי (למתקדמים) - למי שנדרשת זמינות גבוהה במיוחד. מומלץ להחזיק שרת מקביל בשירות אחר ולסנכרן אותו עם שינויים המבוצעים באתר הראשי. ניתן להשתמש באתר החלופי גם לבדיקות של שינויים במידת הצורך. במקרה וקורה משהו לשירות הראשי אפשר להעלות את השירות החלופי. אופציה פשוטה יותר היא להכין דף תחזוקה מראש בשירות אירוח זול ונפרד שניתן יהיה להפנות אליו במקרה הצורך.
אבל הכי חשוב זה לשמור על קור רוח, לזכור שזה יכול לקרות לגדולים ביותר ובמקום לכעוס על ספק השירות לחשוב מה אני צריכה לעשות מהצד שלי כדי לשמור על העסק שלי והלקוחות שלי. עד כמה דחוף לעסק שלי לעלות מחדש לשירות מלא ומה הצעדים שאני יכולה וצריכה לעשות כרגע ולהבא.
Comments