כיצד נימנע מהפיכת הפי.סי או הלפטופ ל"זומבי"?

רובוטים אכזריים שמתנכלים לאנושות הם כבר מזמן לא רק המצאה אפוקליפטית של סרטים כגון "שליחות קטלנית" ■ בשנים האחרונות, אחד מהאיומים הכי גדולים על מחשבים רבים הם ה"בוטנטים" - רשתות רובוטים ■ מה הן ואיך מתגוננים?

רובוטים אכזריים שמתנכלים לאנושות הם כבר מזמן לא רק המצאה אפוקליפטית של סרטים כגון "שליחות קטלנית". בשנים האחרונות, אחד מהאיומים הכי גדולים על מחשבים רבים הם ה"בוטנטים" - רשתות רובוטים.

"בוטנט" הוא כינוי שניתן לרשתות של מחשבים הנגועים ברוגלות (Malware) - תוכנות זדוניות שמשתלטות על מחשבים של משתמשים תמימים, ומנצלות את כח העיבוד של המחשב למטרות שונות. האנשים שעומדים מאחורי הרשתות הזדוניות האלו יכולים לשלוט על "צבא" המחשבים הנגועים מרחוק, ברוב המקרים ללא ידיעת הקורבנות.

עיקר האיום של רשתות בוטנט הוא ביכולתן לתקוף באופן מבוזר (dDoS Attack) רשתות מחשבים ואתרי אינטרנט ספציפיים ולהביא להפלתם, מבלי שאפשר יהיה לייחס את התקיפה למקור אחד.

משתמש קצה אשר המחשב שלו נדבק בווירוס שצירף אותו כ"חייל" לצבא הבוטים, פעמים רבות לא יידע כלל שהמחשב שלו הצטרף לאותו צבא. הסימפטומים הידועים של הידבקות כזו היא האטה כללית של המחשב, בייחוד של גלישה באינטרנט, וזיהוי סימני פעילות רשת גם כשלא מתבצעת כל פעילות באופן יזום (למשל עבודה אינטנסיבית של הדיסק הקשיח הוא אינדיקציה ליציאה של מידע רב מהמחשב).

אחת מרשתות הרובוטים המפורסמות ביותר בישראל הייתה ה"קונפיקר", שעלתה לכותרות בתחילת 2009. הקונפיקר, וירוס מחשבים שפתח נתיב תקשורת לרשת רובוטים, הפיץ את עצמו בין מחשבים שונים בעיקר באמצעות התקני זיכרון ניידים, והצליח אף לחדור למחשבים צה"ליים.

לפי הערכות, הווירוס הספיק להדביק מיליוני מחשבים שונים ברחבי העולם. אף על פי כן, עדיין לא ברור מה בדיוק הוא עושה. חברות האבטחה לא הצליחו לגלות איזה נזק, אם בכלל, גרמה רשת הרובוטים הזאת, שלא הופעלה מעולם.

דו"ח שנכתב בחודש מרץ בנושא הבוטנטים העריך שהן מסבות נזקים כספיים בסכום הגבוה מ-10 מיליארד דולרים בשנה. עם זאת, מחברי הדו"ח טוענים כי לרוב מפריזים בגודל ובמשמעות של הרשתות עבור הפחדה שיווקית מאינטרסים מסחריים סמויים: פחד מווירוסים כגון הבוטנטים גורם ללא מעט משתמשי מחשב לרכוש ולהתקין תוכנות אנטי וירוס, וחברות האבטחה מעוניינות להמשיך ולפרסם אותן כסכנה מהותית כדי לא לפגוע בעסקיהן. על אף זאת, לא ניתן להכחיש שרשתות הבוטנט הן אכן סיכון אבטחה של ממש, שלא כדאי להתעלם ממנו לחלוטין.

החדשות הטובות: אפשר להילחם ברשתות הרובוטים. חברות למוצרי אבטחת מידע עמלות מזה עשור לייצר מערכות שתוכלנה להתמודד עם אותן מתקפות על ידי זיהוי "פתיחת הציר", כלומר גילוי הפניות הראשונות לרשת הנתקפת, המסמנות תחילתה של המתקפה ובשלב הבא חסימה של כל הפניות הבאות מהמחשבים המבוזרים.

זיהוי שכזה יכול שייעשה על ידי גילוי תבניות התנהגות ידועות מראש של רשתות בוטנט או על ידי זיהוי אנומליות בתעבורה הארגונית ביחס לתעבורה היומיומית. הבעיה העיקרית עם מערכות אלה היא שאינן יודעות לצפות פני עתיד במובן הזה שהחסימה מתבצעת רק לאחר תחילת מתקפה. מעבר לכך, שאלת מיקומן של המערכות הללו ברשת משפיעה באופן דרסטי על ביצוען.

דרך אחרת להתמודדות עם רשתות היא דרך מודיעינית-איסופית. מערכות מתוחכמות יודעות לאסוף מידע בזמן אמת אודות פעילות רשתות הבוטנט ופריסתן. כך, אותן מערכות יודעות למפות את המחשבים "המפקדים" על צבא הבוטים, ו"מפקדי המשנה" המעבירים להם פקודות שונות לעדכונים, למתקפות וכד'.

אותו מידע פעמים רבות נאסף על ידי הידבקות מכוונת בוירוסים המאפשרת הצטרפות לצבא הבוטים והאזנה ל"הוראות הפיקוד". כל זמן שהמידע האמור קיים, ניתן להזינו למערכות "חומת אש" מתוחכמות בזמן אמת ולמנוע כל התקשרות של כל אחד מחיילי צבא הבוטים עם הארגון המתגונן.

בחודש מרץ הודיעה מחלקת הפשעים הדיגיטלית של מיקרוסופט בגאווה כי הצליחה "להפיל" את אחת מרשתות הבוטנט הגדולות בעולם. ב"מבצע b107", הצליחה מיקרוסופט לזהות, לאתר ולחסל רשת שכללה "בערך מיליון מחשבים נגועים, שנוצלו לשליחת מיליארדי הודעות דואר זבל בכל יום. ההודעות כללו תרמיות "לוטו" שונות והצעות מכירה של תרופות מרשם מזויפות ומסוכנות", כתב ריצ'ארד בודקוביץ', עורך דין בכיר במיקרוסופט.

ב"וול סטריט ג'ורנל" כינו את Rustock, רשת הרובוטים שחיסלה מיקרוסופט, "המקור הגדול ביותר לדואר זבל באינטרנט". כדי לעצור את הרשת, מיקרוסופט שיתפה פעולה גם עם מרשלים אמריקניים שהתלוו לעובדי החברה בפשיטות על מרכזי השליטה של הרשת, וגם עם חברות אבטחה שעזרו לה בפעילות המודיעינית, כגון חברת Pfizer, מומחי אבטחה מאוניבסיטת וושינגטון ועוד.

יש לציין שמיקרוסופט לא פשטה על הבתים של מפעילי הרשת, אלא על חוות שרתים של ספקיות אינטרנט שאירחו (לעיתים קרובות לא במודע) את השרתים שעזרו לרשתות הרובוטים לפעול. המפעילים עצמם, ברוב המקרים, הם אזרחי חוץ שמסרו זהויות מזוייפות כשרכשו את השרתים, ולכן קשה לאתרם.

הקשר בין מיקרוסופט לבין רשתות הרובוטים ברור: הרוב המוחלט של הוירוסים שפותחים נתיב תקשורת לרשתות מנצלות פירצות במערכת ההפעלה Windows. במיקרוסופט אף מפעילים אתר המסביר על רשתות הרובוטים ומציע למשתמשים דרכים שונים להתכונן מפניהן, כולל קישורים לתוכנות שיכולות לסרוק את הכונן ולאתר את הווירוסים המקשרים לרשתות האלה.

כיצד נימנע מהפיכת מחשבנו ל"זומבי" בצבא הבוטנטים? לא נוריד קבצים לא ידועים, בעיקר קובצי הפעלה והתקנת תוכנות. לא נענה בחיוב לכל פרסומת או הודעת זכייה במיליוני דולרים. לא נפתח דברי דואר ממקורות לא ידועים. לא נחבר למחשב שלנו אמצעי אחסון שאינם שלנו. ולאחר מעשה, פעם בתקופה נגבה את החומרים שלנו ונפרמט את המחשב כי גם האנטי וירוס הטוב ביותר לא בהכרח יזהה את הווירוס בו נדבקנו.

הכותב הוא מומחה לניהול חקירות פורנזיות ואבטחת מידע בחברת אלטל

צרו איתנו קשר *5988