שיקולי אבטחת מידע

העידן האלקטרוני המתדפק על דלתותינו זה חצי מאה, מחייב כל מי ש"מחזיק מעצמו", נוכחות מסיבית באינטרנט בשיטת ה"פרסם או תיעלם". הפרסום האגרסיבי, מתחיל באתר אינטרנט, ממשיך דרך שירותי דואר אלקטרוני ומסתיים במקרה הזול בשרת שיתוף קבצים.

מכיוון שלא לכל אחד קיימת היכולת והאמצעים להעמיד נוכחות אינטרנטית מתאימה, גוברת המגמה של שימוש בשירותי אירוח עבור מגוון הצרכים, היינו אחסון אתר, אחסון תיבות דואר ואחסונו של שרת קבצים. אין ספק כי מגמה זו מעלה קושיות רבות בנושאי אבטחת המידע של כל אחד מה"אורחים" וההשפעה של כל אתר אורח על בריאותם הכללית של שאר האתרים אורחים.

נושא הביטחון, הזמינות ניהול טלאים ועוד, פחות מעניינים את הנופש המצוי ואף יכולים לפגום בחוויית האירוח לא פעם.

שוק אירוח האתרים (ככל שוק) צבעוני, ריחני ומגוון הינו ענף משגשג והכנסותיו בעלייה מדי רבעון. נושא אבטחת המידע אשר המודעות אליו גוברת בכל אחד מתחומי הטכנולוגיה כיום, מככב גם בשוק זה, וזאת לאור התגברות עברות המחשב המכוונות כנגד שירותי אירוח.

התקפות כנגד שרתי אירוח נעשות בכל חזית אפשרית (תשתית, אפליקציה), אך מכיוון שרוב ספקי האירוח אינם עוסקים באבטחת מידע ככלל (גם לא בפרט) רוב ההתקפות ישבשו את חיי האתר המותקף (www.OnceNazialwaysNazi.com), אך יחד עמו ימררו את חייהם של כלל האתרים התמימים (howtobecomeanangel.com.www) המאוחסנים באותו השרת.

הקושי להגן על השירות המתארח גדל, כאשר כל אורח (חוזר לדוגמת הישראלי הממוצע בקזינו במרמריס) מחליט לעשות "מה שבא לו", או בהתמרה למונחים מקצועיים, לאחסן אפליקציות אשר הוא כתב, בדם יזע וכשרון מועט, על השרת השיתופי.

בחירתו של ספק שירות מאובטח, דומה בתכלית לחיפוש אחר הודי הגון בבזאר המרכזי של ניו-דלהי. דגש על הפרטים הקטנים יכול לעזור, אם כי הגורל ידוע מראש. מובן שרגישות החומר אותו מעונינים ל"ארח", הזמינות הנדרשת עבורו ומוניטין ה"אורח" מהווים שיקולים מרכזיים בבחירת הפתרון ה"יותר" מאובטח. פגיעה בזמינות השרתים כמו גם בחיסיון המידע או במוניטין החברה המתארחת יובילו בסופו של דבר, להפסד כספי, וזה חברים, כבר ממש לא מצחיק.

להלן מספר כללי אצבע לצורך בדיקת כשירותו של ספק שירותי אירוח, להוות פונדקאי עבור אתרך:

1. יש לבדוק באיזה תוכנות משתמש המארח, לצורך שליטה על המתארחים, והאם ידועות חשיפות בתוכנה זו.

2. יש לבדוק כי שרת האירוח מוקשח. לאילו מבינינו שאינם מעולם אבטחת המידע הכוונה היא לסגירתם של שירותים לא חיוניים בשרת, ולא לפעולות רצוניות באיברים מסוימים בגוף.

3. יש לבדוק כי השרת נמצא מאחורי firewall ואמצעי הגנה נוספים. המהדרין אומרים כי כל המוסיף הרי זה משובח.

על ספק שירות האירוח לתת למתארח סביבה מאובטחת. מצד שני על המתארח, לדאוג כי אינו גורם ליצירתו של חור גדול בחומת ההגנה של המארח. בדיקה מעין זו מכונה בדיקת חוסן (Penetration test) ומסופקת ע"י חברות מקצועיות המתמחות בתחום זה, כגון הקטיקס.

רשימה בסיסית של שיקולי אבטחת מידע אשר יש לקחת בחשבון, כוללת בין היתר את הנקודות הבאות:

1. קישוריות ושימוש בבסיס נתונים - במידה ואנו משתמשים לצורך היישום בבסיס נתונים, יש להצפין את כל הנתונים הרגישים אשר נשמור בו, כגון סיסמאות, פרטי לקוחות וכדומה. יש לוודא שפרטי ההתקשרות לבסיס הנתונים נשמרים בצורה מאובטחת וחשוב אף לוודא שכל חשבונות משתמשי ברירת המחדל של בסיס הנתונים הוסרו.

2. המצאות Frontpage extantions - בשרתי IIS של מיקוסופט מותקן יישום זה כברירת מחדל. במידה ולא נעשה שימוש בו, יש להסירו מהשרת עקב ריבוי חשיפות אבטחת המידע הקיימות בו.

3. הרשאות גישה - יש לבדוק את הרשאות הגישה לשרת ולשירותים בו. יש למנוע מצבים כגון צפייה בספריות לוגיות בשרת, יש להסיר פונקציות HTTP מיותרות המאפשרות פעולות שונות כגון העלאת קבצים.

4. ניהול משתמשים - יש לבדוק האם המשתמשים בשרת מוגדרים ברמת מערכת ההפעלה, ברמה תשתיתית אחרת או בצורה אפליקטיבית. יש לדאוג לשמירה על פרטיות המשתמשים, לכך שסיסמאות הזיהוי לא יהיו טריוויאליות לניחוש, לנעילת משתמשים אשר נכשלו מספר פעמים רצופות בתהליך הזיהוי וכדומה.

5. ניהול השרת וניהול היישום - יש לוודא שהגישה לממשקי ניהול מתבצעת על גבי תווך מוצפן. יש לוודא שהגישה אינה טריוויאלית, שלכל משתמש ישנן הרשאות מינימאליות ומזהים חזקים.

6. יישומים של ספק השירות - ספק השירות יכול ברוב המקרים לספק לנו יישומים שונים כגון שרתי דואר, שרתי שיתוף קבצים וכדומה. יש לוודא שהיישום אותו מציע הספק הינו מאובטח, מוכר ועומד בסטנדרטים גבוהים של אבטחת מידע (כמו למשל בדיקת חדירות תקופתית).

7. זמינות השרת - יש לבדוק את התחייבות ספק השירות לזמינות השרתים. האם יהיה מישהו 24 שעות, 7 ימים בשבוע בכוננות להרים או לאתחל שרת שנפל? תוך כמה זמן יאותחל השרת?
יש לבדוק את רוחב פס התקשורת של ספר השירות על-מנת להקטין את הסיכוי לתקיפות מבוזרות למניעת שירות, וכדומה.

8. כדאי לבדוק אצל ספק השירות, מי מהעובדים שלו בעל גישה לשרתים ויכול לקרוא את הדואר שלך, לראות את הקבצים שלך בשרת, לצפות בלוגים של היישום ושל השרת, וכדומה.

9. במידה ואנו משתמשים בתווך מוצפן על-מנת לגשת לשרת (SSL לדוגמא), נשמרות סרטיפיקציות לצורכי זיהוי האתר. יש לוודא שהן נשמרות במקום מאובטח על-מנת שלא יהיה ניתן לגנבן ולהתחזות ליישום שלנו.

10. תצורת שרת האינטרנט - יש לבדוק האם אנו יכולים לקבוע את תצורת השרת, כך למשל שבמידה ותיווצר שגיאת מערכת, יוצג למשתמש הקצה דף שגיאה כללי. יש לבדוק האם אנו יכולים להחליט איזה מידע לשמור בלוגים, איזה מידע לגבות, מי יוכל לגשת למידע זה וכדומה.