וירוס על: האם גם המחשבים שלנו בלהבות?
וירוס פליים שינה את כל מה שחשבנו שידענו על אבטחת מחשבים. מה אפשר ללמוד ממנו? איך אפשר לדעת שמדינה כתבה אותו והאם אנו לקראת שואה קיברנטית? וגם: מה עושים מאות אלפי לוחמים בצבא הסייבר של סין? כל מה שצריך לדעת
פליים, הווירוס הכי מתוחכם שיוצר אי פעם התגלה אמש (ב') לאחר שכפי הנראה פעל באין מפריע כחמש שנים תוך שהוא מסוגל לעשות צילומי מסך, להקליט עם מיקרופון את אזור המחשב, לשכפל את עצמו ולדעת היכן הוא נמצא. סביר להניח שכבר כמה שנים ישנו צוות שיושב בחמ"ל כלשהו בנקודה מסויימת על הגלובוס ומגשים את שאיפתו של כל גוף מודיעין באשר הוא: קבלת מידע שוטף ורציף ממושאי הריגול.
פליים מעלה שאלות מאוד חשובות לגבי העולם הממוחשב שלנו, שבו כמעט כל פעילות שאנו עושים בבית, בעבודה, בלימודים ובדרכים נעשית על ידי מחשב, ובדרך כלל גם מחשב שמחובר לאינטרנט. האם אנחנו לקראת אפוקליפסה קיברנטית? האם המחשבים שלנו בסכנה? האם נפל דבר בעולם הריגול הקיברנטי והאם בלינוקס זה באמת לא היה קורה? נמרוד קוזלובסקי, מומחה סייבר מאוניברסיטת ת"א, אילן פרוימוביץ', מנכ"ל טכני בפאוור תקשורת - נציגי קספרסקי בישראל, ובנג'י פורטנוי מומחה מחברת סימנטק, עונים.
אני צריך לדאוג בעניין פליים?
פרוימוביץ': "הווירוס לא נועד לאנשים פרטיים. אנחנו רואים כי היוצרים שלו התכוונו למשהו אחר: יעדים אסטרגיים, נתוני גלישה וריגול קיברנטי. כמות המשאבים שהושקעה כל כך גבוהה ואיכותית- אף אחד לא יבזבז יכולת כזו כדי לגנוב מספרי כרטיסי אשראי".
קוזלובסקי: "בתור התחלה למי שעוסק בתחום – אין כאן ידיעה חריגה. אנחנו יודעים שיש מלחמת סייבר עולמית והמוקד שלה הוא הוא בריגול והשגת מודיעין. מה שהושג בעבר על ידי סוכנים וטכנולוגיות האזנה נעשה היום ככה – בחדירה למחשבים. יש כמה מדינות שידוע על יכולות גבוהות שכאלה: ארה"ב, סין, מלזיה, ישראל וגם איראן הן מעצמות גדולות של ריגול קיברנטי".
פורטנוי: ''חשוב להבין שההתקפה שאנחנו מדברים עליה ממוקדת. זה אומר שהיא הייתה מיועדת לארגונים מסוימים. זה לא היה וירוס שמטרתו לפגוע במיליוני משתמשים, ובאמת הוא פגע בסך הכל ב- 5,000 מחשבים. מעבר לזה, אם האנטי וירוס שלך מעודכן אתה כבר מוגן''.
האם הווירוס הזה מראה על שינוי בתפישה?
פרוימוביץ': ''אנחנו מעולם לא ראינו דבר כזה. הקוד הכיל בתוכו מספר סוגים של טכנולוגיות וזה גם וירוס וגם תולעת. האפשרות שלו להקליט שיחות מהמחשב וטלפונים סלולריים בסביבה דרך בלוטות' זו קפיצת מדרגה אמיתית".
פורטנוי: ''זה חלק מתהליך עולמי - יותר ויותר התקפות ממוקדות. כאשר המטרה הפכה לקבלת מידע''.
קוזלובסקי: ''המקרה הנוכחי מעניין בדרך הפעולה. לאו דווקא במטרתה. ההודים לדוגמה, כבר גילו בעבר שהסינים האזינו למשרד ראש הממשלה שלהם. היוונים גילו האזנה במוסדות שלהם. פורסם כבר שהייתה האזנה לבכירים בנאט"ו ולבכירים בגופים אמריקאים וגם לראש הממשלה האוסטרלי. ישנם נסיונות רציפים כל הזמן לריגול. ההתפחויות הגדולות שראינו במקרה של פליים הן ביכולת ההטמנה. מדובר בווירוס מוטנטי, שמשתנה – מה שמקשה על זיהויו וגם טכנולוגיה של הטמנת מידע בתוך מידע אחר''.
''צריך לזכור – כל יום מתוארים איומים בדוחות של חברות האבטחה. בניגוד לדוחות אחרים הפעם לא מדובר בשפה טכנית וסכמטית. אלא הדוח של קפרבסקי נוקט בשפה הם יותר דרמטית ועובר לשפה משפכת וציורית כלפי ''יצירת המופת''. גם ההצהרה שיש מדינה שעומדת מאחורי זה שונה מפעמים קודמות''.
למה שארגון, נניח איראן, בכלל יחבר מחשבים שיש עליהם חומר חשוב לאינטרנט?
קוזלובסקי: ''תפישת האבטחה הקודמת הייתה שבאמת המערכת עם המידע החשוב צריכה להיות סגורה לחלוטין וכך לא תהיה החדרה של תוכנה זדונית. הפרידגמה הזו כבר לא אטרקטיבית כי אתה אתה פוגע במערכת שלך - היכולת שלך להכניס מידע נחסם. היום רוב המערכות גם הצבאיות הן של זירה מאובטחת.''בסופו של דבר למערכת מחשב יש שימוש מסויים. אם אתה מנתק את זה – הפכת את המחשב שלך למכונת עיבוד".
פורטנוי: ''קודם כל את הווירוס הזה אפשר להדביק גם דרך דיסק און קי. אחרי שהוא אחרי שהוא נמצא במחשב אחד, יש לו יכולת להדביק מחשבים אחרים. הווירוס הזה גם יודע היכן הוא נמצא ויכול לפעול באופן אוטונומי".
פרוימוביץ': "גם אם המחשב מנותק יש סלולרים שמתסנכרנים, ווי פיי, בלוטות'. אי אפשר לכבות את המחשבים או לנתק אותם הרמטית".
איך יודעים שמדינה עומדת מאחורי הווירוס?
פרוימוביץ': "בגלל המטרות של המתקפה ובגלל המורכבת".
פורטנוי: "בגלל התחכום. כדי לייצר כזה וירוס, צריך להיות מאורגן. צריך הרבה משאבים. זה חייב להיות אירגון מאוד מאורגן עם משאבים רלווטיים".
קוזולובסקי: "מבחינת קספרסקי הראייה היא רמת הקוד. יכולת כזאת הזה נמצאת רק בצבאות. לכן זו ההנחה והם גומרים את ההלל על היכולת של המערכת להטמין קוד ענק מבלי שהוא יזוהה, שיודע לפתוח בלוטות' ומצלמה. וזו מערכת כבדה יחסית – אנשים בעולם האבטחה רואים בזה הישג גדול".
"מבחינה הגיונית, צריך להסתכל על תבנית הפעילות, כלומר מסלול הכסף. בדרך כלל לפשעים יש מטרה כלכלית ופה זה לא נראה סוג היעדים שהווירוס תקף. מדובר גם בפעולה מאוד מורכבת שלא נראית כמו פשיעה אלא כמו תבנית עבודה של מדינות. לגבי סין לדוגמא, ישנם פרסומים על 300 אלף איש בצבא הסייבר שלה. הם מתוארים כצוותים שלומדים מערכות ספציפיות וכל אחד אמור להכיר מערכת על בוריה. כדי שכשהוא ישתיל בתוכה יכולות, לא יהיו הפתעות. השמועות מדברות על צבא סייבר שלומד כל מערכת מערבית קיימת".
הווירוס מנצל פירצה בווינדוס: אפשר לומר שאנחנו הופכים פגיעים?
פורטנוי: ''בסופו של דבר זה עניין של מטרה. אותם אנשים שחיפשו את הפריצה ידעו שהמערכת היא ווינדוס. אז הם כתבו לווינדוס. למערכות אחרות יש דרכים אחרות לפרוץ אליהן".
קוזלובסקי: "פה יש שתי גישות. מומחה האבטחה ואנליסט הסיכון דן גיר (Dan Geer) טען במאמר המפורסם שלו מ-2003 שכשכולנו משתמשים באותה מערכת אנחנו פגיעים. וחברה עם אותה מערכת הפעלה מאוד פגיעה. אם מישהו איתר חולשה – כולנו ניפגע. הוא כתב בין השאר על כך ששום יצור ביולגי לא יכול להיות מושמד על ידי מופע אחד של מחלה.
הצד השני, אותו מיקרוסופט מעודדת, גורס כי עצם העובדה שניתן להתמקצע למערכת אחת מבטיח שתשומת הלב, גם של חברות האבטחה, תוקדש לאיתור החולשות והטלאה של פגמים – וזה הרבה יותר יעיל".
האם יש אפשרות לאפוקליפסה סייברית? מתקפה על מדינה שתשבית אותה לגמרי?
פורטנוי: "כרגע אנחנו לא רואים אפשרות כזו. תיאורטית יש אפשרות כזו אבל כרגע מה שאנחנו רואים זה התקפות ממוקדות. יש אבולוציה בההתקפות הללו ומורכבות שלהן"
פרוימוביץ': "היו החשכות בניו יורק שנבעו מקריסת מחשבים. אנחנו יודעים על סטוקסנט, אז זו לא הפעם הראשונה שזה קורה. ההגנה על מערכות צריכה להיות משהו שצריך להתייחס אליו והמלחמה הבאה אכן תהיה על המקלדת. האופן כללי אנחנו גם יודעים שלכל התקפה נמצא פתרון ולכל פתרון נגלה התקפה. זו מלחמת מוחות. פעם התוקפים מגינים, ופעם אנחנו".
קוזלובסקי: "ראינו הדגמות של מתקפות באיראן ובברזיל, ראינו התקפה בארה"ב, ראינו התקפות על מערכות ביוב. אני פחות מאמין ב'דום דיי'. סייבר הוא בסך מכפיל כוח למתקפה ואני לא חושב שהמלחמה תהיה רק כזו. לא יקרסו כל התשתיות או משהו כזה, אבל כן יהיה 'מגה טרור סייבר' על מתקני התפלת מים, ביוב וכדומה. וכן ייגרם נזק".
