כך תפעיל תוכנות בדיקות אבטחה למחשבים בקלות

איך לגרום לתוכנות בדיקות אבטחה לרוץ כמו שד על אנרגיה ירוקה (ולמה זה בכלל חשוב לך)

למה שנטרח לבדוק את המחשב? הרי הוא נראה כל כך רגוע..

שמעת פעם על האקר שבילה לילה שלם בלפרוץ למחשב שלך, לא כדי לגנוב כסף, אלא כדי לשים בו גיף של חתול רוקד שמשמיע מוזיקה יוונית? אם לא – זה רק אומר שאתה לא בודק את האבטחה שלך מספיק. מחשבים היום הם כמו מקרר חכם – נראים סולידיים מבחוץ, אבל מבפנים יש להם כניסות חשאיות לכל מיני טיפוסים שאין לך מושג מי הם.

אז כן, הגיע הזמן לדבר כמו שצריך על אחד הכלים החזקים והחשובים שמעט מאוד אנשים מדברים עליו – תוכנות בדיקות אבטחה. הן פה בשביל לעזור לך לזהות פריצות, בעיות פוטנציאליות, ואפילו את הבאג ששכחת שכתבת מתחת להשפעת אספרסו כפול.

5 דברים מפתיעים שתוכנות בדיקות אבטחה באמת בודקות

• חולשות רשת – החל מבקשות HTTP מפוקפקות ועד לשרת שמחזיק שלט "פרוץ אותי אני מתחנן".
• פגיעויות בקוד – אם פעם כתבת מערכת עם user input ש"נראה סבבה", סביר ששיקרת לעצמך.
• עדכוני מערכת חסרים – כן, אותו עדכון שנדחה כבר 83 פעמים כי "אין לך כוח להפעיל מחדש".
• גישה למסדי נתונים – כי אין כמו לפתוח פורט ל-MySQL ולהתפלל לטוב.
• התנהגות מערכת חריגה – כל מה שגורם לקיר שלך לזוז בלילה כשהשרת פולט רעשים חשודים.

איך מתחילים (בלי לשבור דברים חשובים בדרך)?

שלב 1: משולש הזהב – הגדרת הסביבה שלך

החוק הראשון בבדיקות אבטחה: לעולם אל תבדוק על מערכת חיה בלי לדעת מה אתה עושה. זה כמו לנתח לב עם כפפות בוקס. בהתחלה, תוודא שהמערכת שאתה בודק היא העתק של הסביבה האמיתית – סביבה סגורה, מבודדת, ובקושי מחוברת לאינטרנט, כמו קרובת משפחה רחוקה עם בעיות אמון.

שלב 2: לבחור את כלי הבדיקה שלך (ולא, לא מדובר בפטיש או מברג)

יש היום שלל כלים בעולם של בדיקות אבטחה. חלקם חינמיים, חלקם עולים כמו כרטיס טיסה לבורה בורה. הנה כמה פייבוריטים מושבעים שאפשר להתחיל איתם:

• Nmap – סורק רשתות עתיק יומין, אבל אין אחד שלא נפל בקסמו. סורק פורטים, מזהה שירותים, עושה קפה.
• Wireshark – עוקב אחרי תעבורה ברשת ומראה בדיוק מה המחשב שלך שולח (כולל כל פעם שהכנסת סיסמת "123456").
• Nessus – סורק מתקדם שבודק את כל מה ש-Nmap העדיף להתעלם ממנו.
• Burp Suite – גיבור העל של בדיקות Web. אם כתבת פעם אתר ש"ממש לא צריך בדיקות", אתה טועה.

כן, גם אתה יכול להפעיל את זה – וזה לא יפוצץ את המחשב!

איך להריץ בדיקה בלי לפחד – מדריך בקטנה

אוקיי, נניח שבחרת בכלי (לצורך הדוגמה Burp Suite), עכשיו מה? הנה השלבים הכי בסיסיים להפעלה:

• מתקינים את הכלי – דקה בערך, תלוי כמה מהר אתה מגיב להסכם רישיון שמתפרץ עליך עם כל הכח.
• מגדירים Proxy (אם מדובר בכלי Web) – החלק הזה יגרום לך להרגיש כאילו אתה האקר הוליוודי. כן כן, כמו במטריקס.
• מריצים את הבדיקה על הדומיין או כתובת IP.
• בודקים ממצאים, סורקים עיניים חתוליות על גרפים, ומבינים שאתה לא רוצה לגור בשכונה הזאת של האינטרנט בלי דלת.

שאלות שאתה בטוח שואל את עצמך עכשיו (והתשובות הפחות צפויות)

1. אפשר להשתמש בכלי האלה אפילו אם אין לי תואר בהנדסת לייזרים?

לגמרי. חלק מהכלים פשוטים כמו להפעיל מיקרוגל. השאר? טוב, קצת יותר מורכבים, אבל YouTube תמיד כאן בשבילך.

2. זה חוקי בכלל לבדוק את המערכת שלי?

ברור! כל עוד זו מערכת שלך (או קיבלת אישור), אתה בסדר. אל תבדוק אתר של הבנק ותגיד "סתם בדקתי..".

3. מה הסיכוי שאהרוס משהו?

אם אתה מריץ את הבדיקה על מערכת חיה בלי לדעת מה אתה עושה – הסיכוי גבוה. אחרת, קטן עד אפסי.

4. למה התוצאות מדברות סינית?

חלק מהדוחות אכן נראים כמו תקצירים של מלחמת האזרחים בקונגו. לא נורא, תתחיל ללמוד מילים כמו SQL Injection, XSS ו-buffer overflow.

5. איך אני יודע מה לעשות עם כל האזהרות?

תאמין או לא – הרבה מהכלים מציעים פתרונות מובנים. חוץ מזה, יש קהילה ענקית שאוהבת לעזור (או לפחות להתנשא בקריפטיות).

3 סיפורי בלהות אמיתיים של אנשים ששכחו לבדוק את מערכת האבטחה שלהם

• המהנדסת ששמרה את קובץ הסיסמאות על שולחן העבודה – עד שהגיע וירוס ששיתף אותו עם פורום בשם "בקטנה חחח".
• החברה הגדולה שהשקיעה מיליונים בפיתוח, אבל שכחה לעדכן Apache – ויצאה בכותרות בקטע לא מחמיא עם מילים כמו "דליפת מאגר".
• הסטארטאפ שחשב ש-”אין לנו מה להסתיר” הוא מדיניות אבטחה – ונפרץ על ידי ילד בן 15 עם לפטופ מצ'וקמק.

אז מה עכשיו? כן, אתה צריך לעשות את זה (וקצת להילחץ זה בריא)

אם הגעת עד לפה (ד"ש לאינדיקציות של גוגל אנליטיקס!), מגיע לך לדעת את האמת: הפעלה של תוכנות בדיקות אבטחה היא לא רק לגיקים עם קפוצ'ונים. זה לכל מי שלא רוצה לקום בוקר אחד ולגלות שהאתר שלו מוכר סבונים רוסיים בלי רשותו.

העולם נהיה יותר מחובר, יותר תלוי, ומי שלא בודק אבטחה – נופל חופשי לתוך בור עם ציוצים של בוטים ורובוטים שמקללים אותך ב־JavaScript. זה לא חייב להיות קשה, לא חייב להיות יקר, אבל זה חייב לקרות.

אז לך תוריד לך את Nessus. או תפעיל Nmap. או תקרא עוד 8 מדריכים ביוטיוב. רק תתחיל. כי הווירוסים לא מחכים לך בפינה – הם כבר באו, שתו קפה, והם בדרך לפרוץ את הטוסטר שלך.