 |
/images/archive/gallery/227/354.jpg
צילום הדמיה  |
|
|
|
|
| מה זה סוס טרויאני, איך הוא חודר למחשב, מה הנזקים ואיך אפשר להתגונן? מומחי אבטחת מידע מסבירים |
|
|
|
|
|
|
|
|
|
|
|
|
 |
|
 |
|
מה זה סוס טרויאני ומה הוא עושה
|
|
|
 |
|
|
|
"סוס טרויאני הוא בעצם תוכנה ששולחים אותה למישהו דרך אימייל או בדרכים אחרות, וכשהוא מריץ אותה על המחשב, הוא פותח פּוֹרְט (Port), כמו חלון שדרכו אפשר להיכנס למחשב שלו", מסביר אייל גרונר, אחראי בדיקות אבטחת מידע ב-BugSec.com.
לפי המשטרה, תוכנת הסוס הטרויאני נמכרה למשתמשים ב-2000 פאונד לחודש. "זה צריך לעלות 50$", אומר אייל אדר, מנכ"ל iTcon, חברת ייעוץ בתחום טכנולוגיית המידע. "אם הוא מכר ב-2000 פאונד, יש לו פיצ'רים מאוד יפים, כמו לאתר אנשים לפי שמות וכתובות, לנסות למקד את החיפוש על המחשב של האדם או על הרשת, להסתכל בגרפיקה. אני מניח שתוכנה בעלויות כאלה זו תוכנה ידידותית ומסחרית, שמאפשרת לאדם פשוט לעשות בקלות מה שהאקרים עושים ממילא. אנחנו רואים מגמה של התבגרות של התחום. אם בהתחלה זה היה אנשים שרק רצו לעשות רעש ולהראות שהם יודעים, היום זה ארגוני פשע וחברות – כל מי שיש לו כוונה להשיג מידע בצורה לא לגיטימית".
"לכל סוס טרויאני יש יכולות שונות", מפרט גרונר. "אפשר לשים שם KeyLogger, שמקליט את מה שאתה מקליד. כשהפורץ נכנס לתוך המחשב הקורבן, הוא יכול לשאוב את כל ההקלדות, וכך לגנוב ממנו יוזרים [שמות משתמש] וסיסמאות דרכם הוא מתחבר בתוך הארגון, ולהגיע לדברים סודיים. סוס טרויאני יכול לקחת תמונות מסך, היסטוריה של הדפדפן, לקחת נתונים מהרשת דרך sniffer [תוכנה שעוקבת אחרי מידע שעובר ברשתות תקשורת], ולגלות נתונים שעוברים בתוך הארגון. אפשר גם להריץ פקודות, לשנות נתונים אצל החברות, להשתלט על המחשבים מרחוק ולקחת קבצים אליך. אם התקנת סוס טרויאני, הוא מנצל בעיות אבטחה בחלונות כדי להיכנס כמנהל על המחשב, ואז הוא יכול לגשת גם ליוזרים אחרים על המחשב, ומגלה מידע על כל היוזרים".
|
|
 |
|
 |
|
|
|
|
|
|
איך מחדירים סוס טרויאני
|
|
|
|
|
|
|
המשטרה חושדת שהטרויאני הוחדר לחברות דרך האימייל ובאמצעות דיסקים שהציעו חומר אטרקטיבי, ולמעשה התקינו את הטרויאני בלי ידיעתם.
אדר אומר שהדרך הכי טובה להחדיר טרויאני לארגון היא דרך משתמשי הקצה, עובדי החברה: "הנקודה החלשה היא המשתמש עם הנוטבוק שלו, שעובד מהבית בלי הגנות, או עם הגנות מינימליות, שמקבל אימייל עם תוכנה ומתקין אותה, וכשהוא מתחבר עם הנוטבוק לרשת בארגון, הוא הדביק אותה. יותר קל לשתול את הטרויאני בקצוות הלא מוגנים. רוב הבנקים, החברות בטחוניות, חברות התקשורת, מתייחסים מאוד ברצינות. אין מצב של זלזול, יש מודעות ויש המון פעילות בנושא. יחד עם זה, הפורצים נהיים יותר ויותר מתוחכמים. אבל כשהמשתמש הפשוט מקבל אימייל ומתקין משהו, יותר קשה לחסום את זה. חלק גדול מהפעילות של ההאקר זה לשלוח את הטרויאני לכמה אנשים, ורק אם מישהו פותח ונתפס, אתה מפעיל אצלו את הטרויאני. יותר קשה לשתול את זה אצל אדם מסוים".
"לא מדובר פה בפורץ גאון, וגם לא במחדל של חברות ישראליות", אומר אדר. לשאלה על חלקה של החפיפניקיות הישראלית בפרשה הוא אומר: "אני חייב להגיד: אני לא רואה הרבה חפיפניקיות ישראלית אצל הלקוחות שלי. ארגוני תקשורת, בנקים, חברות תעשייתיות לוקחים את הנושא מאוד ברצינות. אין חפיפניקיות. קשה לחנך את משתמש הקצה, זה מעיק להם על העבודה, בדרך כלל יש תהליך איטי של לימוד רק בעקבות מקרים כאלה, כנסים, מנהלים שמדברים על זה. לסנקציות על עובדים יש חסרונות משמעותיים. אני מאמין יותר בחינוך חיובי. אפשר לשלב חינוך חיובי וסנקציות. יש פתרונות טכנולוגיים, אבל העלויות של הדברים האלה כל כך גדולות, כך שרוב הארגונים לא יכולים לעמוד בהן".
גרונר: "סוס טרויאני אפשר לשלב עם תולעת, מה שיפיץ אותו בין הרבה מחשבים. בארגון, אם כבר החדרת סוס, קל להפיץ אותו בכל הארגון. יש כוננים משותפים, ואתה יכול לשים שם קובץ שאיך שייכנסו לספריה או לכונן, הוא ירוץ אוטומטית. אפשר לשים על כל תחנה פיירוול, אבל הרבה ארגונים לא עושים את זה, כי זה עולה הרבה. ואז ברגע שאתה בפנים, אתה יכול להשתלט על הכל. אבל לפני שאתה נכנס לארגון, אתה צריך ללמוד עליו: איך היוזרים נראים, מה הדומיין שלו. וככה גם חברות האנטיווירוס לא יכולות להוציא תיקון, כי זה רק בארגון".
|
|
|
|
|
|
|
|
|
|
|
התגוננות
|
|
|
|
|
|
|
גרונר: "הטרויאני יכול לשלוח את המידע דרך אתר אינטרנט. ברוב החברות כל האתרים פתוחים. התוקף אומר לטרויאני לשלוח את המידע דרך האתר, דרך טופס או בשורת ה-URL [כתובת האתר]. לא חייבים לעשות את זה דרך הדפדפן, אפשר לעשות את זה דרך socket [תוכנה שמתחברת ישירות לרשת] בלי שיראו את הנתונים בהיסטוריה של הדפדפן. יש ארגונים שמגבילים את הגלישה לאתרים מסוימים, אז התוקף יכול לגלות עם הסוס איזה אתרים מותרים, ודרך האתרים האלה לתקשר איתו. למשל, הסוס יכול לכתוב נתונים בפורום של אתר כלשהו, והקראקר יכתוב לו חזרה פקודות בפורום".
אדר מסביר שקשה מאוד לאתר זליגת מידע שמתבצעת על ידי סוס טרויאני: "האינטרנט הוא האמצעי הקל ביותר לנסיונות חדירה והוצאת מידע החוצה. כמות מאוד גדולה של מידע יוצאת דרך האינטרנט. חוץ מגופים מאוד ממודרים, רוב הגופים לא יכולים לעבוד בלי גישה לאינטרנט – חייבים לגלוש, זה אמצעי תקשורת זול. האינטרנט הוא צורך. יש ארגונים שהפיקוח והבקרה בהם הרבה יותר גדולים, אבל זה דורש השקעות גדולות".
גרונר: "בארגונים גדולים יש פיירוול של צ'קפוינט, והוא אמור לחסום את הסוס הטרויאני, כי חוסמים את הפורט. אבל יש טרויאנים שבודקים איזה פורטים נשארו פתוחים ומשתמשים בהם, וככה הפיירוול לא מזהה שנפתח פורט. יש אפשרות לעשות טרויאני מתוחכם, שמעביר את הנתונים דרך האימייל – הקראקר שולח את הפקודות דרך האימייל, התוכנה מריצה את הפקודות ושולחת לקראקר את המידע. אתה לא יכול להגיד לארגון להפסיק לשלוח אימיילים. אפשר למנוע את זה על ידי אם מחייבים את המשתמש להכניס קוד כדי לשלוח אימייל, אבל גם אם יש קוד, הטרויאני יכול לגלות אותו".
"סוסים טרויאניים ייעודיים קשים לתפיסה", מסביר אריאל פיסצקי, מנהל קבוצת אבטחת מידע בספקית האינטרנט נטוויז'ן. "כל תוכנה שהיא וירוס בעצם יש לה איזושהי חתימה. חברות האנטיווירוס מחפשות את החתימה של הווירוס, את המאפיינים שלו, כמו שהמשטרה מחפשת חתימה ייחודית של פושע. אם יש לי דוגמית של הווירוס, אני יכול לחפש עותקים נוספים שלו. אבל אם זה וירוס שדאגו שתהיה לו הפצה נמוכה ושלא גורם נזק נראה לעין, הוא לא יהיה במאגר, וכמו כל וירוס אנושי חדש, או פושע שנכנס פעם ראשונה למאגר טביעות האצבעות, הוא יהיה בלתי ניתן לאיתור". גרונר מחזק את הדברים: "אם אני שולח וירוס למעריב, וקובע שהווירוס יהיה רק במעריב, ולא יפיץ את עצמו החוצה, חברות האנטיווירוס לא יידעו בכלל על הווירוס הזה, וככה גם מעריב לא יקבלו דיווח עליו".
"זה בעצם תסריט האימים של לוחמה אלקטרונית: מישהו כתב עבורך וירוס שאף אחד לא מכיר, וכתבת אותו כך שהוא לא יגרום נזק נראה לעין. אם נחשוב על הווירוסים הגדולים, בלאסטר וסלאמר, שכיבו לאנשים את המחשבים או יצרו נזק לשרתי SQL – ב-10 דקות הם הקיפו את כל האינטרנט. אם הם לא היו מכבים את המחשבים, הם היו יכולים להקיף את האינטרנט חמש פעמים, לתפוס את כל המחשבים ובתאריך מסוים לכבות את כל האינטרנט. אבל הם כן כיבו את המחשבים מיד, זה הפריע לכולם, כולם תיקנו את המחשבים, שיפרו את מערך האבטחה שלהם, דאגו לשים אנטיוויורס, וכך הווירוס לא הצליח לגרום את כל הנזק".
|
|
|
|
|
|
|
|
|
|
|
"דאגה, אך לא היסטריה"
|
|
|
|
|
|
|
"השאלה היא איך אתה מתגונן", אומר פיסצקי. "יש חברות שמספקות מערכות שמזהות יציאה של חומרים מהחברה, ומתריעות על זה. יש גופים בטחוניים ובנקים שהולכים יותר רחוק ואומרים 'לא נחבר את המחשבים לאינטרנט', כדי שהמידע שלהם לא ייחשף לווירוס".
אדר מוסיף: "צריך לבדוק ולבקר את התקשורת, אופי התקשורת, שעות התקשורת. לחפש תבניות של התנהגות שהיא לא נורמלית – תחנת עבודה שמעבירה חומר החוצה מחוץ לשעות העבודה. לבדוק אם אדם פתאום עובד מול גורם במדינה שלא עובדים איתה; האם הוא בדרך כלל שולח אימיילים, ופתאום שולח מסמך אקסל של החברה. אפשר גם שהארגון יסווג את המסמכים שלו, ותהיה התרעה אם מסמך בסיווג גבוה יוצא החוצה. אתה יכול להחליט שמסמך סודי חייב להיות מוצפן, ואסור שמסמך סודי לא יהיה מוצפן. אם המסמך לא מוצפן, יש התראה. אבל לארגונים היום קשה לשלם את הסכומים הנדרשים לפעולות האלה. המידור והבקרה של מה מותקן בכל PC ומה יוצא מכל PC, זה עניין לא פשוט בארגון של אלפי עובדים. זה עניין של הרבה מאוד כסף, ולפעמים ארגונים אומרים: 'אני אחיה עם הסיכון'".
הפרשה הזאת מתפרסמת הערב בטלוויזיה. מחר בבוקר אתה מקבל עשרות שיחות מלקוחות?
אדר: "לא עשרות. זה יעלה את רמת המודעות, ויעלה את הפעילות. זה תלוי ברמת הסיכון: האם הצליחו להגיע לאנשי מפתח בארגון? צריך לבדוק את רמת הסיכונים. אני צופה דאגה, אך לא היסטריה".
| | | | | |
|
|
| |
|
|
| |
|
|
|
