תולעת המחשבים המפורסמת ביותר - סטוקסנט (Stuxnet) - חוזרת. צוות חוקרים מחברת סייפבריץ' (SafeBreach) הישראלית מסיר היום את מעטה הסודיות מעל חולשות שחשף, שמאפשרות להפעיל את הווירוס המסתורי גם היום ולפרוץ למחשבי Windows. הצוות דיווח לחברת מיקרוסופט על החולשות וחלקן כבר תוקנו, ואולם חולשה אחרונה וקריטית עדיין פעילה ותתוקן רק בעדכון התוכנה הבא.
StuxnetStuxnet
זהירות, Stuxnet
(אילוסטרציה: Shutterstock )
בשנת 2010 התפוצצה הפרשה, שהסעירה את הדמיון: וירוס הסטוקסנט, שהושתל בדרך פלאית במערכות מחשבים של איראן, ניצל חולשה במנגנון ההדפסה (Spooler) של Windows כדי להשיג יכולת שליטה על כל פעולות המחשב וכך להגיע למערכת הבקרה התעשייתיות השולטת בצנטריפוגות הגרעין האיראניות ולחבל בהן. מדובר בתוכנה משוכללת שידעה להסוות את פעילותה עד שביצעה את החבלה. ב-2013 טען אדוארד סנודן, שהווירוס נכתב על ידי אנשי ה-NSA האמריקאי ומומחים ישראלים. בהמשך דלפה התולעת והדביקה אלפי מחשבים באיראן, ארצות הברית, הודו ועוד.
עשור לאחר אירועים אלה מציגים הערב תומר בר, מנהל צוות המחקר של מעבדות SafeBreach ופלג הדר, חוקר בכיר בחברה, את הפרצות שאיתרו בכנס אבטחת המידע הבינלאומי Black Hat, שנערך בוועידת זום. החוקרים מגלים שהווירוס עדיין ניתן להפעלה, גם במערכות מחשבים מבוססות גירסאות Windows המתקדמות ביותר, למרות שמיקרוסופט היתה אמורה לחסום את הפרצות מזמן.
פלג הדר ותומר בר סייפבריץ'פלג הדר ותומר בר סייפבריץ'
פלג הדר ותומר בר, סייפבריץ'
(צילום: רונן ברטן )
החוקרים מצאו ששתיים מתוך שלוש החולשות שאפשרו את הפעולה של הווירוס לא תוקנו לחלוטין, והשלישית שתוקנה ניתנת לפריצה גם היום בשיטה שונה. אומר הדר: "מדובר במנגנון שקיים משנות ה-90 ומצאנו שמה שעשו בסטוקסנט לפני עשר שנים, אפשר לעשות עדיין היום". לדבריו מיקרוסופט כמעט ולא נגעה בקוד מנגנון ההדפסה בעשרים השנים האחרונות, וכך נמצאו בגירסתו המעודכנת במערכת Windows 10 שתי "פרצות יום אפס" שאינן מוכרות עד כה, שמאפשרות להפתיע גם מערכות הגנה מתקדמות שאינן יעילות כנגדן.
אומר בר: "רצינו לבדוק אם ניתן לבנות את סטוקסנט מחדש. התמקדנו בחלק שמאפשר לתולעת לחדור לאן שהיא רוצה, וראינו שהוא מורכב מיכולות הרצת קוד מרחוק ויכולת קבלת הרשאות הכי חזקות. למשתמש הכי חזק במחשב. גילינו שאפשר להחליף כל חולשה שהיתה אז, בחולשה מקבילה בגרסה המעודכנת. אם היה מגלה את זה מישהו עם כוונות זדון, הוא היה יכול לבנות את סטוקסנט 2.0". לדבריו כדי לעשות זאת, נדרש איתור של חולשה במדפסת ובזה התמקד המחקר. "אנחנו טוענים, שלכאורה זה ניתן לביצוע. מצאנו שלוש חולשות ,שאחת מהן מאפשרת לפורץ ללא הרשאות לגרום לקריסה של מנגנון המדפסת".
החוקרים דיווחו על החולשות שנמצאו לחברת מיקרוסופט, שתיקנה אותן. לאחר מכן המשיכו במחקר ומצאו חולשה נוספת, וזו טרם תוקנה. חולשה זו לא תוצג בכנס הערב. החוקרים יציגו גם הוכחת רעיון, שלפיו ניתן להגן על מחשב לא רק באמצעות תיקון שוב ושוב של חולשות, אלא באמצעות מנגנון הגנה בעל תפיסה מקיפה, שמסוגל לעצור גם תקיפות עתידיות, שאינן ידועות כיום".
חברת סייפבריץ' הוקמה ב-2014 והיא מתמחה במערכות הדמיית פריצה למחשבים, שמאפשרות לחברות לגלות פרצות בהגנות שלהן. החברה מעסיקה כ-55 עובדים מתוכם 38 בישראל והיתר בסאניוויל, קליפורניה.