זה הופיע בחדשות בכל מקום: אתר בנק ישראל נפרץ ע"י פורצים אלג'יראים. מבדיקה זריזה של מס' דברים הקשורים באופן עקיף לאתר, עולה תמונה די מזעזעת למען האמת, וראוי שמי שבודק את הדברים יתן עליהם את הדעת.
זה הופיע בחדשות בכל מקום: אתר בנק ישראל נפרץ ע"י פורצים אלג'יראים. כמובן שהעיתונות רצה על המילה "נפרץ" בשעה שמה שנעשה הוא יותר כמו Defacement (השחתת עמודים), עניין שלוקח בערך מס' דקות לשחזר אם יש לך גיבוי.
מבדיקה זריזה של מס' דברים הקשורים באופן עקיף לאתר, עולה תמונה די מזעזעת למען האמת, וראוי שמי שבודק את הדברים יתן עליהם את הדעת. הדברים שיכתבו כאן אינם ספקולציות אלא מגובים בדיווחים מאתרים שונים. נשלחה הודעה לתפוצת הדואר של Linux IL על מנת שמנהלי אתרים מקצועיים גם יתרמו מידע או טיפים אם יש להם.
העיתונות ה"חוקרת" מצאה לה שעיר לעזאזל שקל מאוד לטפס עליו: קבוצת אלגור. היא זכתה במכרז והיא תחזקה את האתר בבנק. הכל טוב ויפה, רק שישנם מס' בעיות מהותיות:
1. בדיקה דרך Netcraft מראה תוצאה מעניינת לגבי אתר בנק ישראל: בפברואר 2007, גירסת ה-APACHE שהיתה מותקנת ובה השתמש הבנק באתרו החיצוני הינה גירסה 2.0.40, כלומר גירסה שהיתה קיימת עוד מ-2004 ומה שחמור הוא שהגירסה לא שודרגה עם עדכוני האבטחה!. הגירסה הנוכחית שיש היום ל-Apache בגירסה 2.0 היא גירסה 2.0.63 שקיימת עוד מינואר, אך מישהו כלל לא טרח במשך 4 שנים לא לשדרג את הגירסה? הרי בשביל לשדרג, מספיקות 2 פקודות, אבל חוסר השדרוג מראה חוסר מקצועיות מופלא למתחזק האתר, מה שמשאיר את האתר פתוח לפריצות במשך 4 שנים. הפלא היחיד שאני מוצא הוא - איך הוא לא נפרץ.
2. לפי אותו דו"ח, מישהו החליט להחליף את ה-Apache בתוכנת nginx, ויחסית לאתר שיש לו המון כניסות, זו החלטה תמוהה לחלוטין. זה לא שתוכנת nginx יותר טובה מ-Apache (להגיש דפים), זה לא שהוא יותר יעיל, הוא אפילו לא הגיע לגירסה 1.0, ובטוחני שהאפליקציה לא עברה שום Auditing של הקוד או בדיקה ע"י חברה מקצועית אחרת. מדוע בכלל מישהו אישר להתקין את אתר הבנק שיקבל שרות מאפליקציה זו? האפליקציה הזו מתאימה אולי להגיש דפים מהשרת שלי בבית, אבל על שרתי Production עם כמות ענקית של בקשות להחליף Apache ב-nginx? החלטה תמוהה שבסופו של דבר גם התבררה כאומללה. הפריצה נעשה לאחר שעברו מ-Apache ל-nginx וקבוצת אלגור צריכה לשלם על כך.
3. מדוע אתר בנק ישראל משאיר את אתרו חשוף אצל ספקי אינטרנט חיצוניים במקום תהיל"ה? כאחד שמכיר את המערכות של תהיל"ה, אני בהחלט יכול לציין את רמת הידע, המקצועיות והרצינות של המנהל (יובל? אתה עדיין שם?) ואנשי ה-System בתהיל"ה. הם מומחים בהגנות, במיוחד שהם חווים מאות אלפי נסיונות פריצה כל חודש למגוון אתרים ממשלתיים שמתארחים אצלם, אז מדוע הבנק לא שם את השרתים שם ונותן להם את אפשרות התחזוקה? האם זה עניין של כסף? כי אם זה כך, אז כאחד שזהו התחום העיקרי שלו אני יכול לאמר שהם שווים כל אגורה.
רבותיי, הפריצה לאתר הבנק אינה ממש משמעותית מבחינת נזק טכני, והיא כואבת מבחינת תדמית לבנק ישראל, אבל הפריצה הזו חשפה שערוריה בכל הקשר לתחזוקת האתר מבחינת תוכנות, אבטחה, וצרות-מחשבה אך ורק על הכסף, ולעזאזל האבטחה, צעד שדי התנקדם בבנק עם הפריצה.
הגיע הזמן שהבנק ישים את השרת בגוף כמו תהיל"ה, ושיעלה כמה שיעלה. במידה ויוחלט אחרת, מומלץ יהיה לבקש מאנשי ה-System בבנק ישראל לבדוק לעיתים שהחברה החיצונית הזוכה במכרז, אכן מבצעת שדרוגי אבטחה, סגירת חורים ונסיונות פריצה, וקיימות מספיק תוכנות בחינם ובתשלום, הן ל-Windows והן ל-Linux שנותנות שרות בדיקה לגבי הדברים.
תודה,
חץ
פורסם בבלוג של חץ