Code Red: עד כה אין נזקים
נראה כי המודעות הציבורית לתולעת סייעה לצמצום ניכר של הנזק אך טרם ידוע אם הסכנה חלפה
וירוס Code Red (ראו כתבה תחת "כתבות נוספות") החל לפעול הלילה (ד') אך ארגוני האבטחה מדווחים כי בשלב זה אין דיווחים על פעילות בלתי שגרתית ברשת.
החשש מפני התפרצות מחודשת של הווירוס התעורר לאחר שבחודש שעבר נדבקו בו מאות אלפי שרתי אינטרנט. על פי נתוני ארגון האבטחה ברשת CERT, מאז התפרצות התולעת ב-19 ביולי, היא הדביקה יותר מ-250,000 שרתי אינטרנט.
מיקרוסופט, המרכז הלאומי להגנה על תשתיות בארה"ב, ארגון האבטחה CERT וחברות אבטחה נוספות הזהירו כי Code Red עלולה להופיע מחדש הבוקר בגלגול הרסני יותר.
אין סימן לנזקים
בשעות הראשונות להופעת הווירוס, נראה כי המודעות הציבורית השתלמה. עדיין, מומחים מזהירים כי הסכנה לא חלפה וכי ייתכן כי יעברו כמה ימים בטרם יתברר אם Code Red גורמת נזקים.
מרכזי האבטחה ברחבי העולם דיווחו כי נכון לשעה חמש בבוקר, שעון ישראל, אין סימנים לפגיעה של הווירוס. "כל מרכזי הפיקוח הממשלתיים והפרטיים אינם מדווחים בשלב זה על פעילות בלתי שגרתית הקשורה לתולעת ה-Code Red", אמר רונלד דיק, מנהל המרכז הלאומי להגנה על תשתיות של ה-FBI במסיבת עיתונאים שנערכה הלילה בוושינגטון.
מרכז התשתיות מסר, כי בדק כמה אתרי ממשל אמריקאים בשעה ארבע לפנות בוקר, שעון ישראל, ובהם אתר ה-FBI ואתר הבית הלבן וגילה כי אין בעיות בטעינת האתרים או בתכנים שלהם.
מנהלי חברות אבטחה העריכו הווירוס אכן החל להפיץ עצמו מחדש, כצפוי, בערך בשלוש לפנות בוקר למרות שהשפעתו אינה ניכרת בשלב זה. חברת Keynote Systems שמודדת תעבורה ברשת, מסרה לסוכנות רויטרס כי תעבורת המידע באינטרנט היא בשלב זה שגרתית, על פי בדיקה של תנועת המידע לכמה אתרי אינטרנט פופולריים בארה"ב ובהם יאהו!, גוגל ואקסייט.
הד חיובי ושלילי
נראה כי להד התקשורתי הרב לו זכה הווירוס היו השלכות חיוביות ושליליות. מיקרוסופט דיווחה על יותר ממיליון הורדות של טלאי האבטחה נגד Code Red מאתר החברה.
הטלאי האמור סותם פירצה בתוכנת השרת של מיקרוסופט (IIS) ולא מן הנמנע כי מאות אלפי השרתים שהורידו אותו מוגנים כעת מפגיעתו הרעה של הווירוס – פעולה שסייעה לצמצם במידה ניכרת את נזקו.
מאידך, ההיסטריה הציבורית הייתה אתמול בשיאה. "האם זהו סופו של האינטרנט?", תהה אחד המגיבים לידיעה קודמת ב-ynet בנושא הווירוס. כל רשתות הטלוויזיה הגדולות בארה"ב פתחו את מהדורות החדשות שלהן בעניין Code Red וגם התקשורת בישראל הקדישה לנושא מקום רב.
רשת סי אן אן לא סייעה להפחתת ההיסטריה כשדיווחה כי כל משתמשי מערכת ההפעלה Windows נתונים בסכנה לפגיעה (למרות שהתולעת אינה פוגעת במשתמשים ביתיים - רק בשרתי NT או Windows 2000 בהם מותקנת תוכנת IIS).
מהו Code Red?
Code Red הוא וירוס מסוג תולעת, בעל יכולת הפצה עצמאית ללא צורך בהתערבות בני אדם. מה-1 בחודש ועד ה-19 בחודש התולעת סורקת את האינטרנט, מאתרת שרתי IIS פגיעים ומתקינה עצמה בזיכרון המערכת.
Code Red "דוגרת" עד ה-19 בחודש בשרת ה-IIS, וסורקת את האינטרנט אחר שרתים נוספים להדבקה. בשלב זה, מאות אלפי עותקי התולעת שמותקנים בשרתי אינטרנט סורקים את הרשת בו-זמנית, דבר שעלול להאט את קצב התעבורה ברשת ואף לגרום להפסקה בפעילות של שרתים מסוימים, הזהירה CERT.
שלב ההצפה
ב-19 בחודש כל עותקי Code Red מתוכנתים לעבור ל"שלב ההצפה". במסגרת שלב זה, שנמשך עד ה-27 בחודש, כל עותקי התולעת בשרתים הנגועים משיקים מתקפת שלילת שירות מבוזרת (DdoS - קיצור של distributed denial of service) על שרתי אינטרנט בממשל האמריקאי, בניסיון להפיל את אתרי האינטרנט של הממשל מהרשת.
בחלק מהאתרים המודבקים תופיע אז ההודעה Hacked by Chinese! (נפרץ על ידי סינים). בעוד Code Red אינה מתוכנתת להשחית מידע באתרי האינטרנט המותקפים, ניתן לתכנתה לעשות כך. על פי החשד, שתי מוטציות של התולעת לכל הפחות כבר מופצות ברשת.
האם הסכנה חלפה?
"אין פעילות בלתי שגרתית של הווירוס כרגע אך זה לא אומר שהסכנה חלפה", אמר רונלד דיק, מנהל המרכז הלאומי להגנה על תשתיות של ה-FBI במסיבת העיתונאים הלילה, והוסיף כי המרכז ידע למסור תוך שבעה ימים אם סכנת הווירוס חלפה.
בשלב הנוכחי בפעולת הווירוס שהחל הלילה, Code Red לא אמור לתקוף אתרי אינטרנט באופן ישיר, בניגוד לדיווחים שגויים ברוח זו שפורסמו בתקשורת, אלא לגזול ממשאבי הרשת של השרתים בו הוא מקונן, לשכפל עצמו ולהפיץ עצמו ברחבי הרשת.
על פי חלק מהדיווחים, בשלב זה עלולה תנועת הווירוס ברחבי הרשת להאט מאוד את תנועת המידע באינטרנט. עם זאת, "אני מאמין שהאינטרנט יכול להתמודד בקלות עם התעבורה הנוספת שתיווצר בשל מיליוני העתקים של הווירוס", כותב מומחה האבטחה סטיב גיבסון באתרו.
מוטציה חדשה של Code Red?
אתרי הממשל האמריקאי הצליחו לחמוק מפגיעת התולעת ב-20 ביולי לאחר שנקטו באמצעי הגנה. אתר הבית הלבן נותר על כנו לאחר ששינה את כתובת האינטרנט שלו (IP), בעוד הפנטגון נאלץ לחסום את הגישה לאתרים הציבוריים של הארגון באופן זמני כדי לגונן עליהם מפני התולעת.
מומחי אבטחה טוענים, כי מאחר שהתולעת Code Red תוכננה במקור להתקיף אתרי ממשל אמריקאים, היא לא תתקיף אתרים אחרים אלה אם כן הווירוס ישנה ותיווצר גירסה חדשה שלו.
ואמנם, כמה מומחי אבטחה כמו גיבסון מציינים, כי קיימת מוטציה חדשה של Code Red, שמאתרת אתרי אינטרנט ומתקיפה אותם גם אם שינו את כתובות ה-IP שלהם. משמעות הדבר היא, כי גירסה זו של התולעת עלולה לתקוף כל אתר אינטרנט ב-19 באוגוסט ואמצעי ההגנה שנקטו אתרי הממשל האמריקאי לא יועילו הפעם.
