ביונד סקיוריטי: הבלאסטר הבאה בדרך

חברת אבטחת המידע Beyond Security מזהירה כי תולעת מחשבים מסוכנת צפויה להתפשט בקרוב בהיקף דומה לתולעת בלאסטר, שתקפה בקיץ האחרון מיליוני מחשבים ברחבי העולם.

ביום ד' שעבר הודיעה מיקרוסופט על פירצה קריטית במערכת ההפעלה Windows, והפיצה עדכוני אבטחה הפותר את הבעיה. הפירצה מנצלת טכנולוגיה המשולבת במערכות ההפעלה החדשות של מיקרוסופט, "abstract syntax notation", המאפשרת שיתוף מידע בין מחשבים. כמה מתכונות האבטחה המובנות של מיקרוסופט, כגון הצפנת Kerberos, מתבססות על הטכנולוגיה הזו.

מיקרוסופט הזהירה בעדכון האבטחה החודשי, כי Windows NT/2000/XP ו-Windows Server 2003 חשופים לכשל האבטחה, והציעה שישה עדכוני אבטחה לתיקון הפירצה. מומחי אבטחה מתחו ביקורת על הזמן הרב שנדרש למיקרוסופט כדי לפתח עדכון לבעיה - למעלה משישה חודשים - בעיקר לנוכח העובדה שהפירצה מאפשרת להאקרים לפרוץ למחשבים בשיטות שונות ולעשות בהם כבשלהם.

משתמשים רבים חשופים

אולם, גם לאחר הפצת עדכוני האבטחה, משתמשים רבים, שאינם נוהגים לעדכן את מחשביהם בעדכוני האבטחה החדשים של מיקרוסופט, משאירים את מחשביהם חסרי הגנה. בתחילת השבוע הפיצה קבוצת האקרים מהעולם קוד דוגמה (proof of concept), המראה כיצד ניתן לנצל את הפרצה ולחדור לכל מחשב שלא הותקן בו הטלאי.

נועם רטהאוס, מנהל הטכנולוגיה ב-Beyond Security, אשר מתמחה במיפוי ודימוי התקפות יזומות לרשת הפנימית והחיצונית של ארגונים, צופה כי בשבועות הקרובים תשוחרר לאינטרנט תולעת שתנצל את הפירצה כדי להתפשט ברשת ולתקוף מחשבים בכל העולם, בדומה לבלאסטר.

רטהאוס מעריך, כי התולעת תתפשט ב-Port 80, המשמש בדרך כלל לחיבור של הדפדפן לאתרי אינטרנט, ולכן, הפגיעה העיקרית תהיה כנראה בשרתי אינטרנט, אם כי גם תוכנות נוספות חשופות לפירצה, בהן תוכנת הדואר אאוטלוק ודפדפן אינטרנט אקספלורר. ניסיון העבר מלמד, כי אם התולעת תהיה "מוצלחת", היא צפוייה להאיט את קווי התקשורת ולגרום לשיבושים חמורים אצל ספקי האינטרנט בעולם.

"התולעת אמנם עדיין לא יצאה אך אנו כבר הודענו לכל אלפי לקוחותינו בארץ ובעולם להתקין מייד את הטלאי ישירות מאתר האינטרנט של מיקרוסופט", אומר רטהאוס, "חברות שיתקינו את הטלאי לא יפגעו בהמשך כאשר תפעל התולעת, אך לצערנו, אנו צופים כי ארגונים רבים לא יעשו כך, בדומה לפעמים הקודמות".

"קוד המקור שדלף מגדיל את הסיכון"

בתחילת השבוע דיווח מומחה אבטחה על פירצה ראשונה המבוססת על קוד המקור של Windows, אשר דלף בסוף השבוע לרשת. כשל האבטחה התגלה בגירסה 5 של דפדפן אינטרנט אקספלורר של מיקרוסופט, והוא מאפשר לפורץ להריץ קוד זדוני במחשב מרוחק. הפירצה התגלתה ביום א' על ידי מומחה אבטחה אשר כינויו GTA בעקבות עיון בבקוד המקור של Windows 2000.

מיקרוסופט טרם הציעה עדכון אבטחה לפירצה והודיעה כי תבחן את העניין, אך אתמול פירסמה הצהרה לפיה מדובר בפירצה ישנה שכבר תוקנה. "מיקרוסופט גילתה בעצמה את הכשל וטיפלה בו במסגרת חבילת העדכון הראשונה לאינטרנט אקספלורר 6". מומחי אבטחה ממשיכים להזהיר מפני התקפות חדשות, המבוססות על הקוד שדלף. לפי ההערכות, בעוד בעבר ניצול הפרצות התבסס על "ניסוי וטעיה", הקוד שדלף מקל על התוקפים לאתר את הבאגים ולכתוב וירוסים ותולעים המבוססים עליהם.

על פי הדיווחים, מקור הקוד שדלף במחשב של הישראלי איל אללוף, המנהל הטכנולוגי של חברת "מיינסופט", העוסקת בפיתוח ובשיווק מוצרים המאפשרים הסבת תוכנות הפועלות בסביבת Windows/NT של מיקרוסופט והתאמתן לסביבת יוניקס ולינוקס. החברה מעסיקה כ-90 עובדים, 15 מתוכם בהנהלת החברה בסאן חוזה ו-60 עובדים במרכז הפיתוח בישראל. החברה מחזיקה משרדים גם בשיקגו ובלונדון. בימים הקרובים צפויים להגיע לישראל חוקרי האף בי איי ומיקרוסופט, במטרה לחקור את הפרשה.