התולעת הערמומית והסוס השקט

גם לחברת התוכנה הגדולה בעולם יש פרצה, והאקר מוצלח יכול לאתר אותה. איך זה קרה

הפריצה למחשבי מיקרוסופט בסוף השבוע שעבר לא נעשתה על ידי שני חבר'ה בני 12. ככל הנראה חדרו הקראקרים לרשת הפנימית של מיקרוסופט באמצעות תוכנת וירוס שקרויה Qaz Trojan, אשר התגלתה לראשונה בחודש יולי בסין, ואותרה מאז בחלקים שונים בעולם. Qaz Trojan היא שילוב של וירוס מסוג סוס טרויאני ווירוס תולעת.

תולעת היא וירוס מחשב שמשכפל עצמו ושולח למחשבים אחרים. לאחר שהוירוס חודר למחשב ומופעל, הוא עשוי לבצע בו פעולות שונות, כמו השמדת מידע, משלוח קבצים או מתן גישה לפורץ למחשב המותקף.

הוירוסים הטרויאניים ערמומיים במיוחד. הם מתקבלים במחשב האישי באמצעות הדואר האלקטרוני ונראים כקבצים תמימים למראה, אך מסתירים בתוכם קוד זדוני, שמופעל אוטומטית כשהמשתמש מפעיל את הקובץ. לחילופין, הוירוס נשאר "רדום" עד להפעלתו בתאריך יעד שקבעו מתכנתיו.

הוירוסים הטרויאניים מליסה ו-I Love You חדרו למודעות הציבורית ובזכותם למדו משתמשי מחשב בכל העולם להיזהר בפתיחת כל הודעת דואר אלקטרוני עם קובץ שמקורו אינו ידוע, ועדיף גם כזה שמקורו ידוע. לכן, מפתיע לגלות שדווקא בחברת התוכנה הגדולה בעולם נמצא עובד שלא היה מודע לסכנה האורבת.

 

כתמיד, טעות אנוש

 

ככל הנראה, עובד מיקרוסופט בקמפוס רדינג קיבל הודעת דואר אלקטרוני עם קובץ שהכיל את התוכנה. בהודעה שפרסמה מיקרוסופט שלשום, היא הודיעה כי נבדק חשד שהפורץ חדר לרשת מיקרוסופט באמצעות המחשב בביתו של העובד. על פי החשד, הוירוס התקבל באמצעות דואר רשת, כמו הוטמייל. העובד הפעיל את הקובץ, מתוך מחשבה שמדובר בקובץ תמים.

הקוד הסודי "נצמד" לפנקס הרשימות (Notepad), תוכנת Windows פופולרית, שמשמשת לקריאה ולכתיבה של טקסט. בכל הפעלה של פנקס הרשימות, התוכנה ניסתה להפיץ עצמה למחשבים אחרים באותו איזור ברשת מיקרוסופט.

הפעלת התוכנה פתחה לפורצים "דלת אחורית", באמצעות פורט 7597 בפרוטוקול TCP. דלת זו משמשת קראקרים לשינוי קבצים, העתקם או לשליטה מרחוק על המחשב המותקף. לאחר מכן שלחה Qaz Trojan אות למחשב ברוסיה, שהכיל פרטים אודות מיקום המחשב המותקף באינטרנט (כתובת IP). ייתכן שבשלב זה התוכנה הורידה והתקינה אצל המחשב המותקף כלי תוכנה של האקרים.

נודע כי הפורצים נעזרו בתוכנה נוספת כדי לאסוף אוטומטית סיסמאות של עובדים, שנשלחו לכתובת דואר אלקטרוני בסנט פטרסבורג. באמצעות הסיסמאות נכנסו הקראקרים לאזורים רגישים ברשת מיקרוסופט והחלו בהורדת קבצים רגישים.

 

אבטחה על כרעי תרנגולת

 

"חזינו מראש תופעות של מתקפה נגד חברות גדולות באמצעות וירוסי תולעת. נראה שזה קרה, ובגדול", אמר מנהל מחקר האנטי וירוס בחברת F-Secure, מיקו היפונן, בהודעה שפורסמה באתר החברה. היפונן סבור, שהמתקפה הנוכחית בוצעה על ידי קראקר, שביקש להביך את מיקרוסופט, אך לא פסל אפשרות שמתקפות עתידיות ישמשו חברות לצורך ריגול תעשייתי.

תולעת ה-Qaz אינה חדשה. הגרסאות החדשות של תוכנות אנטי וירוס, כמו נורטון של סימנטק ו-F-Secure מסוגלות לאתר ולחסום התקפות Qaz מאז סוף חודש יולי. מדוע, אם כן, לא גילו תוכנות האנטי וירוס של מיקרוסופט את המתקפה?

היפונן מאמין שהתוכנות כובו על ידי הוירוס מיד לאחר הפעלתו, כפי ששודד בנק מתוחכם יודע לנטרל את האזעקה לאחר הפריצה. אך הוא אינו שולל אפשרות שתוכנות האנטי וירוס כובו מבפנים, בהתאם לנטיית מפתחים לנטרל את תוכנות האנטי וירוס במחשבים שבהם הם מחזיקים מידע שאינם מעונינים שהתוכנות יאתרו.

תמוהה עוד יותר העובדה, שחלף חודש בטרם איתרו עובדי האבטחה של מיקרוסופט את הפריצה, וחשדם התעורר רק כשנתקלו בלוגים - מעקב אחר פעולות במערכת - מוזרים של משתמשים. האם עובדי מיקרוסופט לא הקשיבו כראוי בקורס המבוא לאבטחת מידע?

נראה שמיקרוסופט לא הפעילה תוכנית אנטי וירוס ששומרת (gateway) על הדואר האלקטרוני או שהתוכנה בה השתמשה לא טובה דיה. מיקרוסופט גם לא הגנה על הרשת שלה עם תוכנת Firewall, שחוסמת פורטים של TCP שלא נעשה בהם שימוש.

למרות מחדלי האבטחה האלו, פעם נוספת התברר כי פירצת האבטחה המסוכנת ביותר היא מעשי ידי אדם. על פי הערכות, התקפות על מחשבים עלו לחברות כחצי מיליארד דולר באבטחה בכל שנה מאז 1996. למרות זאת, טיפשי ככל שזה נשמע, אדם שפותח הודעת דואר אלקטרוני נגועה מסוגל למוטט את כל מערך האבטחה של מיקרוסופט. יש בכך כדי להצביע על כרעי התרנגולת עליהם יושבת אסטרטגיית האבטחה באינטרנט ובתוכנה בכלל.

 

בעיית הבעיות: הדואר האלקטרוני

 

המקור הראשי לכל צרות האבטחה הוא הדואר האלקטרוני בכלל וחבילת מוצרי Outlook בפרט. כמעט כל Firewall מוגדר לעקוף דואר אלקטרוני. במצב כזה, דואר אלקטרוני ופרוטוקול SMTP משמשים כבסיס פעולה נוח וערוץ מילוט מצוין לפורצים.

בעבר ניסתה מיקרוסופט להתמודד עם בעיית האבטחה באאוטלוק באמצעות שחרור טלאי תוכנה, שאמור כביכול להגביר אבטחה, אך כעת קוראים מומחי מחשב לרדמונד לחשוב מחדש על כל הארכיטקטורה של אאוטלוק.

נוסף על כך, סביר להניח שרוב הפריצות הן חדירות "שקטות" לרשתות, שמתבצעות באמצעות גניבת סיסמאות שלא דרך האינטרנט או משלוח סיסמאות על ידי עובדי חברה החוצה, אם בתום לב או בזדון. אלו הן גם הפריצות שגורמות את הנזק הרב ביותר. אבל תכנון מדיניות של אבטחת מידע ברשת ובתוכנה חייב לכלול שיקולים של הגורם האנושי.

האמת הידועה לכל היא שהדרך היחידה להשגת אבטחה שלמה של מידע היא באמצעות ניתוק המידע מהאינטרנט. חברות רבות מפרידות בין מידע ציבורי, שזמין דרך רשת פנימית, שמחוברת גם לאינטרנט לבין מידע שקשור בעבודה היום יומית ומידע סודי, שנגיש רק דרך הרשת הפנימית הסגורה של החברה.

למשל, המידע הרגיש בפנטגון לא נשמר באינטרנט, אלא ברשת הפנימית מנותקת מהאינטרנט, שקרויה סיפרנט, זאת למרות שידיעות שפורסמו בעבר טענו כי "הפנטגון נפרץ". הבנקים בארה"ב משתמשים ברשת פדנט כדי להעביר מידע סודי. מדוע מיקרוסופט לא בודדה את האיזורים הרגישים ברשת הפנימית שלה מהאינטרנט?

היו כאלו שהצביעו על כך שמיקרוסופט נלכדה ברשת של עצמה. חזון ההיפרטקסט של מיקרוסופט גורס שעל כל המסמכים והתוכנות במחשב האישי להשתלב ולהשתרג זה בזה, ולתקשר עם האינטרנט.

ייתכן שגישה זו מייעלת את העבודה אך היא גם חושפת את המשתמש לסיכוני אבטחה. הרינונים על מגוון הדרכים שבאמצעותן מיקרוסופט נכנסת למחשבים האישיים של משתמשים ושואבת מהם מידע נשמעים זה זמן רב, למרות הכחשות של רדמונד. למעשה, יש מפתחים שרואים בפקדי Active X סוג של וירוס חוקי. כעת נראה שהפורצים ניצלו את פרצות האבטחה שהותירה מיקרוסופט לטובתם.

 

המשקיעים לא מודאגים

 

סביר להניח שביצוע מספר פעולות במחשב האישי, כמו הסתרת חלון התצוגה המקדימה באאוטלוק, נקיטת אמצעי זהירות מופלגים בפתיחת קבצים בדואר האלקטרוני (או שימוש בתוכנת דואר אלקטרוני מאובטחת יותר מאאוטלוק, כמו קליפסו המצוינת), כיבוי תכונות הג'אווה בדפדפן ושימוש בתוכנות אנטי וירוס ו-FireWall ביתי כמו ZoneAlarm, יספקו למשתמש הביתי אבטחה שווה לזו שננקטה ברשת הפנימית מיקרוסופט. אך בעוד פריצה למחשב אישי מסתכמת בגרימת עוגמת נפש, פריצה לרשת של מיקרוסופט עלולה לגרום הפסדים של מיליארדי דולרים.

הפריצה מטילה אור קודר על אסטרטגיית דוט נט של מיקרוסופט, שאמורה להחליף את תוכנות התשתית של האינטרנט (מבוססות היוניקס) עם תוכנות של מיקרוסופט.

מקור המקורב לחקירה, שצוטט בוושינגטון פוסט, אמר כי המתקפה כוונה נגד אסטרטגיית הדוט נט של מיקרוסופט. מיקרוסופט מאשרת כי הפורצים נהנו מגישה לכל תוכנות מיקרוסופט בשלב הפיתוח, בהן Whistler, שצפויה להיות משולבת בסביבת דוט נט.

מומחי אבטחה מצביעים על כך שהפגיעה הגדולה ביותר היא בתדמיתה של מיקרוסופט. אם כל ילד יכול לפרוץ לרשת הפנימית של חברת התוכנה הגדולה בעולם, ישאלו המבקרים, מדוע שחברות ישליכו יהבן על התשתיות של מיקרוסופט? לעת עתה, לא נראה שהמשקיעים מודאגים. ביום שישי טיפסה מניית מיקרוסופט בנאסד"ק בחמישה אחוזים, ל-67.69 דולרים.