שתף קטע נבחר

האם האנטי-וירוס מת?

ההיקף העצום של מיתקפות על מחשבים מחייב את חברות אבטחת המידע לחשוב מחדש. הגל החדש של האנטי-וירוסים כבר לא מנסה לגלות איומים, הוא פשוט קובע מה מותר לנו להפעיל. הרשימה הלבנה מול הרשימה השחורה

מי היה מאמין שחשפנית אחת מסוגלת לשבש את פעילותם של אלפי עסקים בכל רחבי העולם? זה בדיוק מה שקרה בשנת ‭,1999‬ כאשר התולעת "מליסה" הכתה בשרתי דואר בכל העולם. עד כדי כך, שאפילו מיקרוסופט עצמה נאלצה לעצור את תנועת הדואר האלקטרוני הנכנסת לחברה, כדי להתמודד עם הבעיה.

 

התולעת מליסה, שנכתבה על־ידי דיוויד סמית' מפלורידה כאקט ביזארי של הערצה לחשפנית אהובה, היוותה דוגמה נוספת לכשלונם של אמצעי האבטחה הסטנדרטיים, בראשם תוכנות האנטי־וירוס, בהתמודדות עם איומים חדשים. הטכנולוגיה העומדת בבסיס האנטי־וירוסים פותחה כבר לפני יותר משני עשורים, ולמרות שתעשיית האנ־ טי־וירוס מגלגלת מיליארדי דולרים בשנה, עד היום היא לא הצליחה להמציא משהו יותר טוב. רוב התוכנות מבוססות עדיין על זיהוי "חתימות" של איומים מוכרים מתוך מאגר קיים, ועדכונו באופן שוטף.

 

עם השנים פותחו גם שיטות חדשות, שיידעו לזהות איומים גם מבלי להכיר אותם מראש, אך המרוץ המתמיד בין כותבי הווירוסים וחברות האנטי־וירוס לא פסק. בתחילת עידן המחשב האישי, אלפי ועשרות אלפי וירוסים לא היו בעיתיים לזיהוי. כיום, חברות האנטי־וירוס מקבלות מאות־אלפי קבצים החשודים בפעולות זדוניות מדי חודש, והן עומדות בפני בעיה אמיתית. לגולש הממוצע לא חסרות דוגמאות: כאשר החל גל תוכנות הריגול לתקוף את מחשבי הגולשים, נתפסה תעשיית האנטי־וירוס עם המכנסיים למטה. התוכנות לא הצליחו להתמודד בזמן עם התופעה, והביאו לצמיחתן של חברות אחרות, שעשו עבודה טובה יותר.

 

הרשימה הלבנה

אז האם האנטי־וירוס מת? מדי מספר חודשים מתפרסמים מאמרים הקובעים את מותו הסופי ומציגים נימוקים מבוססים. אך מתברר, שלמרות כל ההספדים – כמו עוף החול הוא קם לתחייה וממציא את עצמו מחדש. מול "הרשימות השחורות" של פעם, התשובה הנוכחית היא "הרשימות הלבנות"

בארגונים גדולים כבר לא מוכנים לסבול את ההשקעה הבלתי פוסקת בתוכנות אנטי־וירוס ואנטי־ריגול – ולגלות שברגע האמת הן לא תמיד מספקות את הסחורה. העובדה שכל עובד במשרד המצוייד במחשב יכול לגלוש לכל אתר ולהוריד משם קבצים, מדירה שינה מעיניהם של מנהלי אבטחת המידע. הגל החדש של החברות מציע שיטה אחרת: תוכנות, שיאפשרו הרצה של תוכנות וקבצים מורשים בלבד. זאת, לעומת האנטי־וירוסים, שמאפשרים הרצה של  כל קובץ, אלא אם כן זיהו איום.

 

השינוי בגישה לא ייעצר רק בארגונים, וצפוי להגיע גם לצרכנים הפרטיים. השיטה הזו, שידועה כבר זמן רב, מתוארת כ"רשימה לבנה "White List" והיא לא רעיון חדש במיוחד. היהודים, למשל (וכרגיל‭,(‬ היו שם קודם. גם הוויכוח הפילוסופי בין בית הלל לבית שמאי לאחר חורבן בית שני, היה בדיוק על העיקרון הקובע: האם הכל מותר חוץ ממה שאסור, או שהכל אסור חוץ ממה שמותר.

 

החברות לא עומדות בקצב האיומים

אבל פילוסופיה לא מטרידה את מנהלי אבטחת המידע. הנתונים מראים על כך, שאחוז גבוה של תוכנות זדוניות מגיע היום דרך גלישה רגילה באתרי אינטרנט שונים. למרות שחברות מתקינות תוכנות לסינון אתרים, הם לא עומדים בקצב ומגיעים איומים חדשים, גם ממקומות בלתי צפויים, המפתיעים את החברות.  תקליטורי המוזיקה של סוני שהכילו תוכנת ריגול והופצו בשוק לפני שנתיים, חשפו שוב את כישלון תוכנות האנטי־וירוס, שאף אחת מהן לא הצליחה לזהות את הסיכון בזמן אמת.

 

חברות האבטחה החדשות מציעות לאירגון ליצור רשימה של כל התוכנות המורשות לרוץ בו. כך, למשל, אפשר להריץ את הקובץ שמפעיל את אקסל רק לאחר שהתוכנה תוודא כי החתימה שלו זהה לחתימה הדיגיטלית השמורה במאגר של החברה. חברות כמו ‭SecureWave Bit9‬ או AppSense‬ מציעות היום מבחר כלים המאפשרים לנהל את מערך התוכנות המורשות בקלות. אבל הן לא מסתפקות בכך. בחלק מהמקרים ניתן למנוע בכלל חדירה של מחשבים לא רצויים לרשת - והם יכולים להיות גם מחשבים ארגוניים שלא הותקנו בהם עדכוני אבטחה, מחשבים שמתחברים בצורה לא תקינה ועוד.

 

מיקרוסופט מציעה כבר את הטכנולוגיה הזו בוויסטה, ומתכננת לשלב אותה בצורה מתקדמת יותר בגרסה החדשה של השרת שלה, Windows Server 2008.

 

אבל גם רעיון הרשימות הלבנות לא חף מחסרונות. בתעשיית האנטי־וירוס מזכירים, כי צריך לעדכן את רשימות התוכנות המורשות באופן תמידי, ושכל עדכון קטן בתוכנה גורר אחריו צורך בעדכון הרשימות. למרות זאת, חברות האנטי־וירוס לא נשארות מאחור ועובדות על פיתוח מוצרי "רשימות לבנות" משלהן. הראשונה לעשות זאת הייתה ‭,CA‬ אך אחריה הצטרפו גם סימנטק, מקאפי ו־‭.TrendMicro‬ כמובן שהן עדיין לא מתכוונות לוותר על התרנגולת מטילת ביצי הזהב של האנטי־וירוס, ומציעות את התוכנות הללו כמוצר משלים בלבד.

 

חוכמת ההמונים

ההשפעה של האיומים המתרחבים מגיעה גם לבתים. חברות האנטי־וירוס לא מחכות לאיום הבא כדי להבטיח את שלום מחשביהם של מיליוני הצרכנים. למעשה, מיום ליום הופכות תוכנות האנטי־וירוס בהדרגה ל"חבילות משולבות‭,"‬ שמציעות שלל כלים להתמודד עם הבעיות החדשות. אחת השיטות החדשות בטיפול בתוכנות ריגול היא ניצול חוכמת ההמונים.

 

חברת ‭,Prevx‬ למשל, אוספת מידע מכל עשרות אלפי המשתמשים בתוכנת האנטי־ריגול שלה, מנתחת אותו בזמן אמת, נעזרת בו לעידכוני תוכנה - ומשדרת חזרה למשתמשים. התוצאה, לדברי החברה, היא גילוי של תוכנת ריגול עשרה ימים לפני מק'אפי, ו־13 יום לפני חברת סימנטק.

 

בסימנטק כבר הבינו את הרמז. בתחילת החודש שעבר השיקה החברה גירסה חדשה של תוכנת האנטי־וירוס הארגונית שלה, Symantec Endpoint Protection. התוכנה כוללת יכולות של חוכמות המונים, ואפשרות לשתף מידע על איומים חדשים בין המשתמשים, כך שהתוכנות יוכלו להגיב במהירות גדולה יותר.

 

הגורם האנושי

אחד הסיפורים המפורסמים בעולם אבטחת המידע הוא זה של סטנלי ריפקין, טכנאי מחשבים, שהצליח "לעקוץ" בנק שוויצרי ולגנוב סכום של 10 מיליון דולר. מה שזיכה אותו בתואר "שוד המחשבים הגדול בעולם" בספר השיאים של גינס (השוד הגדול ביותר שיודעים עליו, כמובן‭.(‬

 

למרות שהשוד התרחש בשנת ‭,1978‬ בעולם שלא היה בדיוק אלקטרוני, הוא נעשה בטכניקה פשוטה למדי: ריפקין, טכנאי מחשבים, שנהג לבקר בבנק בתכיפות במסגרת עבודתו, הבחין שבכל יום הבנק משתמש בקוד אישור חדש בן 4 ספרות כדי לאשר העברות כספים. הפקידים לא טרחו לשנן את הקוד, ופשוט הדביקו את המספר על פתקית קטנה מעל שולחן העבודה שלהם.

 

באחד הימים, ריפקין פשוט רשם לעצמו את המספר, יצא מסניף הבנק והתקשר לאחת הפקידות. הוא הציג את עצמו בתור עובד בסניף אחר, וביקש את העברת הסכום. כאשר התבקש לתת את קוד האישור היומי, הוא פשוט קרא אותו מתוך הפתק. הכסף הועבר. ריפקין המיר את הכסף ביהלומים, ונמלט. רק לאחר חקירה ממושכת של ה־ FBI הוא נתפס, וגם זה רק לאחר ששותפו להלבנת הכסף הפליל אותו.

 

הסיפור של ריפקין מזכיר תמיד את הכשלון הבסיסי של כל תוכנות האבטחה: בסופו של דבר, כאשר מגיע אל עובד משועמם אי־מייל שמבטיח תמונות של בריטני ספירס בערום, הוא ילחץ על כל דבר ויאשר כל דבר, עד שיצליח לראות את התמונות. עם הגורם הזה, של חוכמת המשתמש הבודד, שום תוכנה עדיין לא הצליחה להתמודד.

 

לפנייה לכתב/ת
 תגובה חדשה
הצג:
אזהרה:
פעולה זו תמחק את התגובה שהתחלת להקליד
מומלצים