כששואלים אותי למה כדאי להשתמש בוורדפרס, אני אומר שמדובר בדרך כלל במערכת המאובטחת ביותר שאפשר לבחור בה מלבד מערכות SASSיות. זה השלב שבו הרבה אנשים מרימים גבה. רגע, מה? איך? הרי לוורדפרס יצא שם רע של מערכת פרוצה, שהקוד הפתוח שלה מאפשר לפרוץ לאתרים בקלות יחסית, אבל האמת היא שאם מקפידים על כללים מסוימים וחשובים בכל הקשור לוורדפרס, מדובר במערכת מאובטחת מאוד.
או קיי, אז וורדפרס בטוחה. אבל מה אפשר לעשות כדי להפוך את זה לרווחי עבור בונה האתרים הממוצע ה"חאפר"? ה"חאפריזם" היא מכה קשה שמכה במקצוע של בניית האתרים/תכנות בוורדפרס. אם תבינו באבטחה ובכלי אבטחה כמו קאלי לינוקס למשל – תוכלו למכור ללקוח שירות סריקה ובדיקה כל תקופה מסוימת. אם תבינו מספיק במוצרי אבטחה – תוכלו להתקין אותם אצל הלקוח ולהכניס את זה בחוזה ובכך לייצר פער משמעותי של איכות. כי עם חאפר לא תוכלו להתחרות לעולם במחיר, אבל באיכות תוכלו.
האקרים מתחלקים לשניים: סקריפטים אוטומטיים והאקרים אנושיים שמטרגטים אתר מסוים. אלו ואלו משתמשים באותם כלים כדי לבצע סריקות. כשאני בוחר מטרה מסוימת – למשל אתר של לקוח ששילם על בדיקת חדירה – הדבר הראשון שאני עושה זה להריץ כמה סקריפטים כדי שיבדקו את האתר בנוגע לפרצות ידועות. למה לי? כיוון שאם יש פרצה פשוטה שאני יכול לנצל – הרווחתי את היומית ואני לא צריך להתאמץ. אם אני בוט, מן הסתם אני אשתמש בכלים. כך שכלים אוטומטיים הם הדבר הראשון שאני אשתמש בו.
הכלים האוטומטיים הטובים ביותר נמצאים מן הסתם על לינוקס. אבל זה לא אומר שצריך להתחרפן ולהתחיל לצעוק הצילו. לא צריך לפרמט את המחשב ולהתעסק עם התקנות. כיום ניתן להתקין לינוקס גם על חלונות באמצעות דוקר. או להתקין לינוקס קאלי על אמזון ובדולרים בודדים בכל חודש להחזיק מכונת לינוקס משוכללת שדרכה אפשר לעשות הפעלות. באמזון הדגש הוא על ‘לא השתמשת לא שילמת’ ואם אתם זוכרים לכבות את המכונה בסוף החודש, תשלמו ממש מעט ואם לא – תשלמו עד התקרה.
קאלי היא סוג הלינוקס המומלץ שמגיע עם עשרות כלים מובנים לבדיקה וניצול פרצות. יש תיעוד מלא שלהן באתר של קאלי ואפשר להתקין עוד כלים – כל מה שתרצו בעצם ורץ על לינוקס.
אז איך מתקינים
קודם כל צריך חשבון ב-amazon AWS. צרו אחד. צריך להזין מספר כרטיס אשראי, אז תחיו עם זה. אחרי זה, אפשר ללכת ל-EC2. שם תראו את רשימת כל המכונות שלכם. בכניסה הראשונה היא תהיה ריקה. מה שאתם צריכים זה כפתור של Launch Instance
אחרי הלחיצה צריך לבחור instance, בתפריט בצד ביחרו את AWS Marketplace.
חפשו את kali עד שתמצאו את Kali Linux.
בחרו אותו והמשיכו.
בחרו את סוג המכונה, כדאי לבחור Free tier. שימו לב שאם אתם בוחרים מכונה אחרת, אז יש כאן השלכות כספיות. מכונות nano בדרך כלל ממש זולות (4 דולר לחודש) את התעריף יכולתם לבדוק בצעד הראשון.
אחרי הבחירה המשיכו:
אתם תדרשו ליצור מפתחות. זה השלב החשוב ביותר! אחרי היצירה יורד לי קובץ עם סיומת pem למחשב. שימרו אותו כי הוא חשוב.
אחרי יצירת המפתחות אנו יוצרים את המכונה.
אחרי ההתקנה אנחנו נראה את המכונה ברשימה שיש ב EC2 – מצאו את ipv4 public DNS והעתיקו אותו.
עכשיו צריכים להתחבר. אם אנחנו על לינוקס/מק מה טוב ומה נעים לנו – זה חיבור SSH רגיל. זוכרים את קובץ ה-pem? נשמור אותו בתיקיה מסוימת ונוודא שהוא בהרשאת 400
chmod 400 kali2.pem
זוכרים את IPV4 Public DNS? זו הכתובת של המכונה. המשתמש הוא ec2-user. כלומר כל מה שאני צריך לעשות בלינוקס/מק זה:
ssh -i kali2.pem ec2-user@ec2-1XX-XXX-XX-XX.eu-central-1.compute.amazonaws.com
שימו לב לנתיב של קובץ ה-pem ול-PV4 Public DNS.
אם יש לנו חלונות, אנחנו צריכים להזיע מעט אבל ממש בקטנה ורק פעם אחת. נשתמש ב-PuTTY. נוריד אותו מהאתר של התוכנה.
נכנס ראשית ל putty key gen, נייצר מה-pem מפתח. נלחץ על import ונבחר את קובץ ה-pem, שימו לב להעביר את הבחירה ל׳כל הקבצים׳ אם אתם לא רואים את קובץ ה-pem שלכם.
אחרי שהוא נטען, נשמור אותו במקום בטוח. שימו לב לזכור את המקום שבו שמרנו את המפתח החדש.
אחר כך נפתח את PuTTY הרגיל, נכניס לתוכו את המפתח שייצרנו ואז הכנסה של ec2-user וה-ipv4 public dns. אפשר לשמור את ה-session לפעם הבאה ויאללה – בלגן. נכנסנו.
נתקענו? כפתור ימני על המכונה ברשימת המכונות ואז לחיצה על Connect. שם יש הסברים וסיוע כולל הסבר על כמה ששמתי פה וצילומי מסך.
במאמר הבא נראה איך משתמשים בסריקה כדי למצוא פרצות וחולשות.
מאת: רן בר זיק, מתכנת ובלוגר
כששואלים אותי למה כדאי להשתמש בוורדפרס, אני אומר שמדובר בדרך כלל במערכת המאובטחת ביותר שאפשר לבחור בה מלבד מערכות SASSיות. זה השלב שבו הרבה אנשים מרימים גבה. רגע, מה? איך? הרי לוורדפרס יצא שם רע של מערכת פרוצה, שהקוד הפתוח שלה מאפשר לפרוץ לאתרים בקלות יחסית, אבל האמת היא שאם מקפידים על כללים מסוימים וחשובים בכל הקשור לוורדפרס, מדובר במערכת מאובטחת מאוד.
או קיי, אז וורדפרס בטוחה. אבל מה אפשר לעשות כדי להפוך את זה לרווחי עבור בונה האתרים הממוצע ה"חאפר"? ה"חאפריזם" היא מכה קשה שמכה במקצוע של בניית האתרים/תכנות בוורדפרס. אם תבינו באבטחה ובכלי אבטחה כמו קאלי לינוקס למשל – תוכלו למכור ללקוח שירות סריקה ובדיקה כל תקופה מסוימת. אם תבינו מספיק במוצרי אבטחה – תוכלו להתקין אותם אצל הלקוח ולהכניס את זה בחוזה ובכך לייצר פער משמעותי של איכות. כי עם חאפר לא תוכלו להתחרות לעולם במחיר, אבל באיכות תוכלו.
האקרים מתחלקים לשניים: סקריפטים אוטומטיים והאקרים אנושיים שמטרגטים אתר מסוים. אלו ואלו משתמשים באותם כלים כדי לבצע סריקות. כשאני בוחר מטרה מסוימת – למשל אתר של לקוח ששילם על בדיקת חדירה – הדבר הראשון שאני עושה זה להריץ כמה סקריפטים כדי שיבדקו את האתר בנוגע לפרצות ידועות. למה לי? כיוון שאם יש פרצה פשוטה שאני יכול לנצל – הרווחתי את היומית ואני לא צריך להתאמץ. אם אני בוט, מן הסתם אני אשתמש בכלים. כך שכלים אוטומטיים הם הדבר הראשון שאני אשתמש בו.
הכלים האוטומטיים הטובים ביותר נמצאים מן הסתם על לינוקס. אבל זה לא אומר שצריך להתחרפן ולהתחיל לצעוק הצילו. לא צריך לפרמט את המחשב ולהתעסק עם התקנות. כיום ניתן להתקין לינוקס גם על חלונות באמצעות דוקר. או להתקין לינוקס קאלי על אמזון ובדולרים בודדים בכל חודש להחזיק מכונת לינוקס משוכללת שדרכה אפשר לעשות הפעלות. באמזון הדגש הוא על ‘לא השתמשת לא שילמת’ ואם אתם זוכרים לכבות את המכונה בסוף החודש, תשלמו ממש מעט ואם לא – תשלמו עד התקרה.
קאלי היא סוג הלינוקס המומלץ שמגיע עם עשרות כלים מובנים לבדיקה וניצול פרצות. יש תיעוד מלא שלהן באתר של קאלי ואפשר להתקין עוד כלים – כל מה שתרצו בעצם ורץ על לינוקס.
אז איך מתקינים
קודם כל צריך חשבון ב-amazon AWS. צרו אחד. צריך להזין מספר כרטיס אשראי, אז תחיו עם זה. אחרי זה, אפשר ללכת ל-EC2. שם תראו את רשימת כל המכונות שלכם. בכניסה הראשונה היא תהיה ריקה. מה שאתם צריכים זה כפתור של Launch Instance
אחרי הלחיצה צריך לבחור instance, בתפריט בצד ביחרו את AWS Marketplace.
חפשו את kali עד שתמצאו את Kali Linux.
בחרו אותו והמשיכו.
בחרו את סוג המכונה, כדאי לבחור Free tier. שימו לב שאם אתם בוחרים מכונה אחרת, אז יש כאן השלכות כספיות. מכונות nano בדרך כלל ממש זולות (4 דולר לחודש) את התעריף יכולתם לבדוק בצעד הראשון.
אחרי הבחירה המשיכו:
אתם תדרשו ליצור מפתחות. זה השלב החשוב ביותר! אחרי היצירה יורד לי קובץ עם סיומת pem למחשב. שימרו אותו כי הוא חשוב.
אחרי יצירת המפתחות אנו יוצרים את המכונה.
אחרי ההתקנה אנחנו נראה את המכונה ברשימה שיש ב EC2 – מצאו את ipv4 public DNS והעתיקו אותו.
עכשיו צריכים להתחבר. אם אנחנו על לינוקס/מק מה טוב ומה נעים לנו – זה חיבור SSH רגיל. זוכרים את קובץ ה-pem? נשמור אותו בתיקיה מסוימת ונוודא שהוא בהרשאת 400
chmod 400 kali2.pem
זוכרים את IPV4 Public DNS? זו הכתובת של המכונה. המשתמש הוא ec2-user. כלומר כל מה שאני צריך לעשות בלינוקס/מק זה:
ssh -i kali2.pem ec2-user@ec2-1XX-XXX-XX-XX.eu-central-1.compute.amazonaws.com
שימו לב לנתיב של קובץ ה-pem ול-PV4 Public DNS.
אם יש לנו חלונות, אנחנו צריכים להזיע מעט אבל ממש בקטנה ורק פעם אחת. נשתמש ב-PuTTY. נוריד אותו מהאתר של התוכנה.
נכנס ראשית ל putty key gen, נייצר מה-pem מפתח. נלחץ על import ונבחר את קובץ ה-pem, שימו לב להעביר את הבחירה ל׳כל הקבצים׳ אם אתם לא רואים את קובץ ה-pem שלכם.
אחרי שהוא נטען, נשמור אותו במקום בטוח. שימו לב לזכור את המקום שבו שמרנו את המפתח החדש.
אחר כך נפתח את PuTTY הרגיל, נכניס לתוכו את המפתח שייצרנו ואז הכנסה של ec2-user וה-ipv4 public dns. אפשר לשמור את ה-session לפעם הבאה ויאללה – בלגן. נכנסנו.
נתקענו? כפתור ימני על המכונה ברשימת המכונות ואז לחיצה על Connect. שם יש הסברים וסיוע כולל הסבר על כמה ששמתי פה וצילומי מסך.
במאמר הבא נראה איך משתמשים בסריקה כדי למצוא פרצות וחולשות.
מאת: רן בר זיק, מתכנת ובלוגר
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר