מחשבות ואפשרויות בעקבות הפריצות האחרונות לבסיסי נתונים
בשבוע האחרון היו דיווחים רבים על פריצות לאתרים רבים ("מכון מור", "אטרף" ועוד),
בהם נגנב כל המידע מבסיסי הנתונים (שישבו באתר בצורה לא מאובטחת והכילו מידע פרטי ורגיש).
חשבתי לכתוב פוסט קצר על מה קרה שם ואיך ניתן היה למנוע זאת.
ע"פ הידוע, הפורצים השיגו גישה לשרת IIS של חברת האחסון, המכיל את כל האתרים. הם הגיעו לקוד וכן ל- databases ,
ראו שם את הסיסמאות – שהיו חשופות ללא HASH ,
ולמעשה כך נחשפו לכל המידע שבתוך ה- database.
יש פתרון שהיה יכול למנוע את זה
אחת הדרכים לפתור זאת, וכפתרון שכבר הפך לסטדנרט דה-פקטו בשנים האחרונות, היא להשתמש במוצר HashiCorp Vault .
זהו מוצר שנכתב בקוד פתוח, פופולרי מאוד, וישנה אפילו מהדורה חינמית שיכולה להתאים במקרים רבים,
ובניית הפתרון לא לוקחת זמן רב מדי.
השימוש ב- HashiCorp Vault מאפשר בעצם:
- לא להכניס את שם המשתמש והסיסמא עבור ה- database לתוך האפליקציה – מה שמונע כניסה ל- database גם אם מישהו מקבל גישה לקוד.
- מנגנון הצפנה בלי לדעת את המפתח – כלומר: כאשר רוצים להצפין מידע לפני שהוא נכנס ל- database,
אפשר לעשות זאת באמצעות Vault בלי שהאפליקציה יודעת את מפתח ההצפנה – ואז המידע בתוך ה- database הוא חסר שימוש עבור פורצים, וגם אם הם מקבלים גישה לקוד – הם לא יודעים את מפתח ההצפנה.
וכך זה היה מונע גישה למידע עצמו גם אם מצליחים להגיע ל- database , מה שלמעשה מונע מהפורצים גישה למידע החשוב והרגיש שאותו ניסו להשיג.
אנו (חברת ALM-Toolbox ) הנציגים הרשמיים של HashiCorp Vault בישראל ובעולם, ומציעים פתרון כולל.
אנחנו יודעים להסתכל על המערכת הקיימת שלכם, לתכנן פתרון מתאים, ליישם אותו במקצועיות ובזריזות, בשיתוף עם כל הגורמים הרלבנטים,
וכן גם לתת לו גם תמיכה שוטפת עם אפשרות לשירות מנוהל , SLA ויכולות Enterprise .
אנו גם מציעים קורס על המוצר והדרכות על פיתוח קוד מאובטח.
לפרטים נוספים פנו אלינו: hashicorp@almtoolbox.com או טלפונית: 072-240-5222
