בשבע 55: אנטי-וירוס לקחת פעמיים בשבוע

גל וירוסי המחשב ששטף את האינטרנט בשבועות האחרונים מעלה שוב את השאלה האם מדובר רק במטרד או בסיכון ממשי ● מה ההבדל בין תןלעת, וירוס וסוס טרויאני ● למה כל כך קשה להיפטר מהם אחת ולתמיד ● ואיך נמנעים מהדבקה

עדי גרסיאל , ט"ז באב תשס"ג

הכותרת של הודעת הדואר האלקטרוני היתה קצת מפתיעה: "I Love You".

השולח היה לא אחר מאשר גיל שוויד, מנכ"ל חברת צ'קפוינט, אבל ג', שעבד באותה עת בחברה, לא חשש לפתוח את ההודעה. "הייתי בטוח שזה משהו בסגנון אמריקני כזה ששולחים מדי פעם בחברות הייטק, בעיקר אחרי שמפרסמים תוצאות טובות – 'כל הכבוד על ההישגים, תמשיכו ככה, אני אוהב את כולכם'", הוא משחזר. אלא שההודעה המוזרה לא היתה תמימה כלל – היה זה אחד מהווירוסים המידבקים ביותר, שהתפשט במהירות באמצעות הדואר האלקטרוני.

גיל שוויד עצמו סיפר בראיון כי חשדו התעורר רק כשפתח את ההודעה והבין פתאום שהיא מתחילה להשתכפל ולשלוח את עצמה לכל מי שהיה רשום בפנקס הכתובות שלו. הוא ניסה לעצור את הפעולה, אך נכשל. בלית ברירה הוא פשוט ניתק למחשב את הכבל.

ג' מספר שכמה ימים אחרי שנדבק בווירוס, הגיעה אליו הודעה נזעמת ממישהו בפינלנד, שכתובתו נשמרה בזיכרון המחשב שלו, שנזף בו על ניסיון ההדבקה. "היה קצת לא נעים", הוא אומר, "בכל זאת אנחנו חברה שמתעסקת באבטחה באינטרנט – זה לא היה אמור לקרות לנו, אבל כנראה שאף אחד לא חסין מהווירוסים האלה. מזל שהוא לא היה הרסני".

ה-I Love You היה באמת וירוס 'נחמד', אלא שלא כולם כמוהו.

חוה, מנהלת חשבונות עצמאית, לא גיבתה את הנתונים על החשבונות של לקוחותיה. לפני מספר שנים נפגע המחשב שלה בווירוס, והיא נאלצה לשחזר מחדש, בצורה ידנית, את כל פרטי הלקוחות שלה והחשבונות שלהם.

עלול להגיע לנזקי גוף

וירוס ה'סלמר' גרם להשבתה של כספומטים בארה"ב. שמועות, שהתבררו אחר כך כלא נכונות, ייחסו אפילו את הפסקת החשמל הגדולה באזור ניו-יורק לפני כחודש לווירוס המחשבים Sobig. גם שיבושי רמזורים שיוחסו להתקפות וירוסים, כבר קרו. ככל שיותר מחשבים ומערכות קריטיות יתחברו לאינטרנט, אומרים מומחים, זה רק עניין של זמן עד שהנזקים שעלולים להתרחש יהיו לא רק נזקי ממון.

לפני שבועיים עצרו בלשי ה-FBI נער בן 18, החשוד בהפצת גרסה הרסנית במיוחד של וירוס ה"Blaster", שתקף מיליוני מחשבים ברחבי העולם לפני מספר שבועות. בחיפוש בביתו של החשוד, ג'פרי פרסון, שנראה כמו שהיינו מצפים מהאקר מחשבים להיראות – גבוה, שמן ומוזנח משהו, נתגלו 7 מחשבים. הווירוס המקורי ניצל פירצה במערכת ההפעלה 'חלונות' של מיקרוסופט, יצר עומסים גדולים ברשת וגרם לניתוק של גולשי האינטרנט אחת לכמה דקות ולכיבוי של המחשב במקרים אחרים. למרות שהוא נחשב לאחד הווירוסים המידבקים ביותר, הוא לא גרם נזקים בלתי הפיכים למחשבים עצמם. החוקרים מצאו בתוך התולעת כיתוב: "ביל גייטס, למה אתה עושה את זה? תפסיק לעשות כל-כך הרבה כסף ותתחיל לתקן את התוכנה שלך!"

הנזק שנגרם לכלכלה גם מווירוסים 'בלתי מזיקים' הוא רב. מומחים מעריכים כי רק הנזק שגרמה התולעתSobig שנפוצה לאחרונה הוא מעל 50 מיליון דולר. "כל מחשב שנדבק", אומר מומחה, "גורם להוצאה של כמאה דולר על ניקוי המחשב והתקנת תוכנת מגן, ולזה צריך להוסיף את הזמן בו העובד אינו יעיל כי מחשבו מושבת".

יוצרי הווירוסים לא נחים על זרי הדפנה. הם משכללים אותם כל הזמן, לעתים בשיטות ערמומיות במיוחד: הוירוס Nachia, למשל, מתחזה לתוכנה שאמורה למנוע הידבקות בווירוסי תולעת. בין קורבנותיו: חברת התעופה של קנדה, המארינס ו-ABB, חברת הנדסה אירופית גדולה.

חומר סודי לכל דורש

וירוס אחר, Sircam שמו, שהופץ לפני כשנתיים, היה משתלט על תוכנת הדואר האלקטורני של קורבנותיו ושולח לכל מי שבפנקס הכתובות שלהם קבצים, חלקם סודיים, מתוך המחשב. כך למשל יכול היה הווירוס לשלוח לבוס את קורות החיים המעודכנים שלנו בצירוף מכתב מלווה, שבו אנו מסבירים למה נמאס לנו לעבוד במקום העבודה הנוכחי, או להעביר מסמכים סודיים של הארגון לכתובות אקראיות ברשת. הקבצים נשלחו יחד עם הודעה תמימה לכאורה שנוסחה כך: "שלום, מה נשמע? אני שולח לך את הקובץ הזה כדי להתייעץ אתך בנידון", או "מצורף בזאת הקובץ שביקשת ממני, תודה ולהתראות".

וירוס מחשבים הוא בעצם תוכנת מחשב שפועלת די בדומה לוירוס הביולוגי: היא מנצלת את משאבי המחשב שהיא תוקפת כדי להמשיך להתרבות. הבעיה היא ששיטת ההדבקה של הווירוס מזכירה קצת את מכת הכינים בגני הילדים ובבתי הספר. לא מספיק שנפטרת מהכינים שעל הראש של הילד שלך, אתה צריך לדאוג שגם כל הילדים האחרים בגן או בכיתה יעשו זאת. אחרת, זה רק עניין של זמן עד שילדך ישוב ויידבק.

הווירוס הראשון נוצר לפני 15 שנה, בתקופה שבה האינטרנט היה לא יותר מאוסף של כמה עשרות אלפי מחשבים, בעיקר של מוסדות אקדמיים וממשלתיים בארה"ב.

ירון ינאי היה בעבר אחראי על אבטחת מערכות המחשב באוניברסיטת חיפה ולימד קורס בנושא בטכניון. ינאי: "את התולעת הזו כתב בחור בשם רוברט מוריס ג'וניור, שאביו היה מומחה אבטחה וכיהן כראש ה-NSA (הסוכנות האמריקנית לביטחון, העוסקת בציתותים והאזנות באמצעים מגוונים). אביו התריע במשך זמן רב על פרצות אבטחה במערכות המחשבים שעלולות לגרום לבעיות, אולם איש כמעט לא טרח לסתום אותן. מכיוון שלא היו אז שום הגנות על המחשבים, התולעת התפשטה תוך שעות בכל הרשת. היא 'זללה' את הזיכרון של המחשבים שאליהם הגיעה ולמעשה השביתה אותם.

"העובדים שהגיעו למחשבים שלהם למחרת בבוקר לא הבינו תחילה שמדובר בווירוס, כי המושג לא היה מוכר. כל אחד היה בטוח שהבעיה היא במחשב הספציפי שלו. לקח כמה ימים עד שהתולעת אובחנה ונמצא לה פתרון. הלקח נלמד, ומאז הוקמו ברחבי העולם צוותים הנקראים CERT (בתרגום חופשי: צוותים לתגובה מיידית לבעיות מיחשוב), שבין השאר תפקידם הוא לרכז דיווחים על וירוסים חדשים ועל שיטות הטיפול בהם. רוברט מוריס ג'וניור עצמו הודה באחריותו לווירוס, נשפט ונידון ל-400 שעות עבודות שירות וקנס של 10,000 דולר".

תולעים, וירוסים וסוסים טרויאניים

"מה שאנחנו קוראים וירוסי מחשב", אומר ינאי, "מחולק בעצם לכמה סוגים של תכניות. יש תכניות עצמאיות, כמו תולעים, שכשמם כן הן, 'חופרות' עד שהן מצליחות להיכנס למחשב ואז משכפלות את עצמן בזיכרון שלו. נזקם הוא בדרך כלל פאניקה בציבור, עומס על רשתות ופתיחת פרצות לחדירות.

"סוג אחר הוא וירוסים טפילים. אלה מתלבשים על תוכנה קיימת ומנצלים את חולשותיה כדי לגרום נזק. 'סוס טרויאני' ו'פצצה לוגית', למשל, הם סוגים של טפילים כאלה. הם גורמים לתוכנה לעשות דברים שהיא לא היתה אמורה לעשות. סוס טרויאני כזה מסוגל, למשל, להתחיל למחוק קבצים מהמחשב בתאריך מסוים שתוכנת מראש, יום שישי ה-13 לדוגמה".

מה זה בעצם אנטי-וירוס?

"זו תוכנה שתפקידה לזהות הימצאות של וירוס ואז לנסות לחסל אותו, או לפחות להתריע עליו".

איך הן מזהות את הווירוסים?

"בעזרת שילוב של מספר שיטות: 'חתימה אישית' – התוכנה מכילה פרטים על אלפי וירוסים ידועים, והיא משווה קבצים חשודים לנתונים שנמצאים אצלה. השוואת מאפיינים – האנטי-וירוס מנתח, באמצעים שונים, התנהגות חריגה, כגון קובץ שמשתכפל במהירות או משלוח דואר אלקטרוני מאסיבי, ומנסה להסיק אם מדובר בוירוס. 'חתימה בכל קובץ' – האנטי-וירוס מסמן כל אחד מהקבצים במערכת ומזהיר כאשר מישהו מנסה לשנות אותו בצורה שנראת חשודה".

"השמות של הווירוסים הראשונים ניתנו להם על ידי מי שכתבו אותם, והם השתדלו לשוות להם טון מפחיד ומאיים ככל שאפשר: 'יום שישי השחור', 'כאוס' ו'באג השטן', למשל. אולם ככל שהטיפול בווירוסים התמסד, כך הפכו דווקא חברות האנטי-וירוס, שאגב לא מעטות מהן ישראליות, לאלו שקוראות לווירוסים בשמות, בדרך כלל לפי סוג הווירוס ומי שגילה אותו לראשונה. בכל מקרה, מדגישים בתעשיית האבטחה, אנחנו משנים את השם המקורי שההאקר נתן לווירוס. אין שום סיבה לתת לו את הסיפוק הזה.

עוד שיא נשבר

"יש תופעה שנראית לכאורה מוזרה", אומר שחר שמש, יועץ לאבטחת מידע וקוד פתוח. "כל וירוס חדש שמתפרסם הופך להיות 'הווירוס ששבר את כל שיאי הנזק'. הסיבה לכך היא שרשת האינטרנט גדלה כל הזמן, ומדי יום מחברים אליה עוד ועוד תשתיות קריטיות. לכן, כל וירוס חדש גורם ליותר נזקים.

"היה פעם וירוס בשם Slammer, שמי שכתב אותו ידע מה שהוא עושה. זה היה קובץ קטן במיוחד ששכפל את עצמו במהירות ויעילות. ההערכות הן שתוך 12 דקות הוא הגיע לרוויה באינטרנט – כלומר הצליח להדביק את כל המחשבים שהוא יכול היה להדביק אותם. המעניין הוא שהוא התפשט בצורה הכי קשה דווקא בקוריאה. הסיבה לכך היא שקוריאה נכנסה לעידן האינטרנט מאוחר יחסית, ולכן התשתיות שלה היו מודרניות ומהירות, מה שהקל על התפשטות הווירוס".

אתה חושב שההאקרים, כותבי הווירוסים, הופכים למסוכנים יותר?


"לא, גל הווירוסים האחרון לא הצטיין בתחכום. מה שכן מדאיג הוא העובדה שמרגע שמגלים איזו פרצת אבטחה עד לרגע שמופץ וירוס שמנצל אותה חולף הרבה פחות זמן. פעם דיברו על חודשים, היום על שבועות בודדים. אם לא הספקת להוריד עדכונים למערכת ההפעלה שלך, תוך זמן קצר יהיה וירוס שידע לנצל את החור.

"רוב הווירוסים המודרניים", אומר שחר שמש, "מופצים באמצעות הדואר האלקטרוני. בעבר הרחוק, בתקופת ה-DOS, היית מקבל דיסקט נגוע עם תוכנה (מועתקת בדרך כלל) ובאמצעותו היית נדבק. היום ההפצה הרבה יותר מהירה דרך הרשת".

מיהם בכלל ההאקרים שכותבים את הווירוסים?

"פעם היה מקובל לחשוב שאלה טיפוסים מתבודדים שכל מה שישי להם בחיים זה המחשב שלהם, ובאמצעותו הם מוכיחים את עצמם. אני חושב שזה היה נכון לפני עשרים שנה. היום, כשאני מגיע לכנסים שעוסקים בנושא אבטחה באינטרנט, כמו כנס Black Hat ('כובע שחור') בלאס-וגאס, אני רואה שה'חנונים' של שנות השמונים הם היום היועצים והמומחים שמעבירים את ההרצאות. הכניסה לכנס הזה, אגב, עולה מעל אלף דולר, סכום גדול בשביל האקר אמיתי. אבל אחרי הכנס הזה יש כנס שהכניסה אליו זולה בהרבה ושם הצפיפות רבה – היו מעל אלף איש, חלקם האקרים.

"נושאי ההרצאות בכנס היו מגוונים. חוץ מהדיון המצופה על תולעים, וירוסים וכלי פריצה, דיברו גם על פריצות למכשירי פאלם, ועל מה כדאי להאקרים לדעת על הקשחת החוקים אחרי 11.9".

אז איפה אפשר היום למצוא האקרים אמיתיים?

"בצ'טים – שיחות באינטרנט. אם כי גם שם קשה לדעת מי באמת רציני ומי סתם מתפאר. מי שעוקב אחרי השיחות שם יוכל לראות שפורצים ויכוחים בין 2 האקרים מי 'שולט' ביותר מחשבים, ולפעמים הם מנסים להפיל אחד את מחשבו של השני כדי להראות מי שווה יותר. נראה לי שהדור הנוכחי של ההאקרים יותר ילדותי וגם יותר עצלן – הם פשוט לוקחים וירוס קיים, עושים לו מוטציה קטנה ומשגרים.

לפעמים הם משקיעים ב'הנדסה אנושית' של הווירוס – איך לגרום לקורבן לפתוח את הודעת האימייל – חושבים על כל מיני הודעות מפתות. אבל בסך הכל זאת לא חוכמה גדולה. היום אנחנו, אנשי האבטחה, במצב שאנחנו יודעים מראש איך בערך ייראה הווירוס הבא. הוא יהיה פשוט וריאציה על וירוס קיים.

לא הגנת – שילמת

"אני חושב", מתנבא שמש, "שלא ירחק היום שבו נראה תביעות משפטיות נגד מי שהפיץ וירוס. לא רק נגד מי שכתב אלא גם מי שהווירוס הדביק אותו וממנו המשיך הלאה. כמו שנהג ברכב לא יכול לטעון שהרכב יצא מכלל שליטה ובגלל זה נגרמה התאונה, כך לא יוכל אדם שלא הגן על המחשב שלו כראוי, לטעון שהוא בעצמו נדבק בווירוס המזיק. הכל שאלה של איזון כלכלי", אומר שמש, "ברגע שהנזקים יהיו מספיק גדולים, יהיה מי שיתבע את מי שהפיץ שלא בכוונה את הווירוס הלאה".

אז מה צריך לעשות?

המומחים מייעצים לפעול בהתאם לעצות הבאות:

• להיות חשדניים: לא לפתוח הודעת דואר אלקטרוני שלא מכירים את השולח שלה. וגם אם השולח מוכר, לבדוק את סוג הקובץ שנשלח, ובכל מקרה של ספק – לא לפתוח עד שלא מבררים עם השולח.

• לשקול מעבר לתוכנת דואר שנותנות אפשרויות בדיקה טובות יותר מאשר ה-Outlook. יש בשוק תוכנות חינם שאפשר באמצעותן לבחון איזה סוג קובץ מגיע, והרבה יותר קשה לווירוס לרמות אותן.

• להתקין תוכנת אנטי-וירוס ולהקפיד להוריד עדכונים שוטפים מדי כמה ימים.

• למי שמחובר בחיבור מהיר לאינטרנט (כגון ADSL) מומלץ להתקין תוכנת פיירוול, שנועדה למנוע חדירות למחשב, גם של תולעים. קיימות גם תוכנות פיירוול בחינם ברשת.

• והכי חשוב: לגבות. כל האמצעים לא מבטיחים הגנה מוחלטת. מוכרחים לשמור עותק של כל המידע החיוני. רצוי לא רק על ידי מחשב אחר (שעלול להידבק גם הוא) אלא באמצעות תקליטורים ואמצעי גיבוי אחרים.