מושגים
מילון מונחים טכניים באבטחת מידע
- Backdoor — דלת אחורית
- מנגנון גישה סמוי שתוקף משתיל במערכת פגועה כדי לשמור על שליטה לאורך זמן. הדלת האחורית פועלת ברקע ומאפשרת גישה מחדש למערכת גם לאחר שהפרצה המקורית תוקנה. לרוב מוסתרת בתוך קוד לגיטימי, שירות מערכת, או קובץ הפעלה.
- Buffer Overflow — הצפת מאגר
- חולשה שבה תוכנית כותבת נתונים מעבר לגבולות מאגר הזיכרון שהוקצה לה. התוקף יכול לנצל זאת לדריסת כתובות חזרה בסטאק ולהשתלטות על זרימת הביצוע.
- CSRF — זיוף בקשות חוצה-אתרים
- מתקפה שמרמה את הדפדפן של הקורבן לשלוח בקשה לא מורשית לאתר שבו הוא מחובר. הדפדפן מצרף אוטומטית עוגיות הסשן, ולכן השרת מאמין שהבקשה לגיטימית.
- CVSS — מדד חומרת פגיעויות
- CVSS (Common Vulnerability Scoring System) הוא מערכת ניקוד סטנדרטית למדידת חומרת פגיעויות אבטחה בסקלה של 0 עד 10. ציון של 9.0 ומעלה מסווג כ"קריטי" ומעיד על אפשרות לניצול מרחוק ללא כל אימות. ציון 9.3 כמו במקרה של Langflow מאותת שתוקף יכול לפגוע במערכת באינטרנט ללא סיסמה או הרשאה.
- Code Injection — הזרקת קוד
- הזרקת קוד היא טכניקת תקיפה שבה תוקף שולח קוד זדוני כקלט לאפליקציה שאינה מסננת את הנתונים שהיא מקבלת. האפליקציה מבצעת את הקוד הזה כאילו היה לגיטימי, מה שמאפשר לתוקף להשתלט על השרת, לגנוב מידע או להריץ פקודות כרצונו. זהו אחד מגורמי השורש של פגיעות Langflow שהוביל ל-RCE מלא.
- CVE — פגיעויות וחשיפות נפוצות
- מזהה ייחודי לחולשת אבטחה מתועדת ציבורית. הפורמט הוא CVE-שנה-מספר (לדוגמה CVE-2021-44228). מאפשר לכלים ולצוותים לדון באותה חולשה ביעילות.
- Deserialization — סריאליזציה הפוכה
- תהליך המרת נתונים שמורים או מועברים בחזרה לאובייקט בזיכרון. כאשר האפליקציה מבצעת תהליך זה על נתונים לא מהימנים מהמשתמש, תוקף יכול לבנות נתונים זדוניים שיגרמו להרצת קוד שרירותי. פגיעות זו מדורגת ב-OWASP Top 10 ועלולה להוביל ל-Remote Code Execution מלא.
- DNS — מערכת שמות דומיין
- תשתית האינטרנט שמתרגמת שמות דומיין קריאים (google.com) לכתובות IP. מתקפות DNS נפוצות כוללות DNS Spoofing ו-DNS Hijacking.
- Exploit — ניצול חולשה
- קוד או טכניקה המנצלים פגיעות קיימת במערכת כדי להשיג גישה לא מורשית, להעלות הרשאות, או להריץ קוד שרירותי.
- Firewall — חומת אש
- רכיב רשת (חומרה או תוכנה) שמסנן תעבורה לפי חוקים מוגדרים. מבחינים בין חומת אש ברמת הרשת (OSI שכבה 3-4) לבין WAF שפועל ברמת האפליקציה.
- Injection — הזרקה
- משפחת מתקפות שבהן קלט זדוני מוזרק לפרשן (SQL, OS, LDAP ועוד) ומשנה את התנהגות השאילתה. הדרך למנוע: Parameterized Queries וולידציה קפדנית.
- Lateral Movement — תנועה רוחבית
- טכניקת פוסט-אקספלויטציה שבה תוקף שפרץ למערכת אחת מנצל אותה כנקודת קפיצה כדי לגשת למערכות נוספות באותה רשת. המטרה היא להרחיב את השליטה, לאתר נכסים רגישים ולהתקדם לעבר יעדים בעלי ערך גבוה יותר — כמו שרתי Domain Controller או מאגרי מידע.
- Malware — תוכנה זדונית
- מונח גג לתוכנות עם כוונה עוינת: וירוסים, תולעים, סוסים טרויאנים, Ransomware, Spyware ועוד. מאופיין לרוב לפי מנגנון ההתפשטות ומטרת הנזק.
- Phishing — דיוג
- מתקפת הנדסה חברתית שמתחזה לגורם מהימן (בנק, שירות מוכר) על מנת להוציא מהקורבן פרטים רגישים כגון סיסמאות ופרטי כרטיס אשראי.
- Privilege Escalation — הסלמת הרשאות
- טכניקה שבה תוקף שקיבל גישה מוגבלת למערכת מנצל חולשות כדי להשיג הרשאות גבוהות יותר, כמו מנהל מערכת (Administrator) או root. לאחר שהתוקף השיג דריסת רגל ראשונית, הסלמת הרשאות מאפשרת לו לשלוט במערכת במלואה ולגשת למשאבים רגישים.
- Ransomware — תוכנת כופר
- סוג של תוכנה זדונית שמצפינה את הקבצים של הקורבן ומונעת ממנו גישה אליהם. התוקף דורש תשלום כופר, לרוב במטבע קריפטוגרפי כמו Bitcoin, בתמורה למפתח הפענוח. מתקפות כאלה גורמות נזקים כספיים ותפעוליים עצומים לארגונים, ולעיתים מביאות לאובדן בלתי הפיך של נתונים.
- RCE — הרצת קוד מרחוק
- Remote Code Execution — חולשת אבטחה קריטית המאפשרת לתוקף להריץ קוד שרירותי על שרת או מכונה מרוחקת, לרוב ללא אימות כלל.
- Sandboxing — ארגז חול
- טכניקת אבטחה שמריצה קוד לא מהימן בתוך סביבה מבודדת ומוגבלת, כך שלא יוכל לגשת למשאבי המערכת הרחבים. ה-Sandbox מגביל את הגישה לקבצים, לרשת ולתהליכים אחרים. בדרך כלל מיושם באמצעות Container, מכונה וירטואלית (VM), או מנגנוני Isolation ברמת הגרעין של מערכת ההפעלה.
- SQL Injection — הזרקת SQL
- תת-קטגוריה של Injection: הזרקת פקודות SQL לשאילתה קיימת דרך קלט לא מסונן. מאפשרת חילוץ מידע, עקיפת אימות, ולעיתים שליטה מלאה בשרת הנתונים.
- VPN — רשת פרטית וירטואלית
- Virtual Private Network — יוצר ערוץ מוצפן בין המשתמש לשרת ה-VPN, מסתיר את כתובת ה-IP האמיתית ומגן על התעבורה ברשתות ציבוריות.
- XSS — סקריפטינג חוצה-אתרים
- Cross-Site Scripting — הזרקת קוד JavaScript זדוני לדפי אתר שמבצעים אחרים. מאפשר גניבת עוגיות, ביצוע פעולות בשם הקורבן, ועוד.
- Zero-Day — יום אפס
- חולשה שטרם נחשפה ציבורית ולא קיים עדיין תיקון. "יום אפס" מתייחס לעובדה שלמפתח התוכנה יש אפס ימים להגיב לפני שהחולשה מנוצלת.
- Zero Trust — אפס אמון
- מודל אבטחה שמניח שאי אפשר לסמוך על שום ישות — לא בתוך הרשת ולא מחוצה לה — ומחייב אימות מפורש לכל בקשת גישה.