על וירוסים ותולעים או: אמא’לה מצלמים אותי

אחת לזמן מה מופצים ברשתות החברתיות ובמיילים הודעות אזהרה על וירוסים ותולעים שונים עם התראה למשתמשים שלא לקבל מייל כזה או קובץ כזה או לבצע פעולה כזו וכזו, ואם הם לא ישמעו להוראות אלו – מרה תהיה אחריתם ומחשביהם האישיים יהפכו למפלצות טורפות דיסקים ונתונים חשובים.

אני מכיר את האזהרות האלו (גם אני מקבל אותם) ואני יכול לעיתים להבין את מי שכתב את האזהרה. מה שאני לא ממש מקבל, זה את השטויות שכותבים בתוך האזהרה, שטויות שמקורם בבורות במחשבים, ושטויות אלו יופצו החוצה בתפוצת נאטו (שתוכפל פי כמה וכמה תוך שעות ספורות עם התחלת שורת הנושא האלמותית :FW).

הנה אחת הדוגמות: אזהרה שפורסמה על וירוס שיודע להפעיל את המצלמה של המחשב מבלי להפעיל את נורת ה-LED כך שהצילום אינו מורגש ע”י המצולם, ואלו שמפעילים את הוירוס יסחטו אחר כך את המשתמש התמים.

מי שכתב את האזהרה הזו הוא אידיוט שלא מבין ב-Windows כלום. מדוע? הבה אסביר. ההסבר קצת טכני, אז מומלץ לעקוב אחר הדברים.

מערכת הפעלה כמו Windows היא מערכת שמורכבת ממספר “חלקים”. לא אכנס לכל החלקים, אך ישנו חלק אחד חשוב והוא החלק של דבר שנקרא “דרייבר” (התרגום בעברית גרוע). הדרייבר הוא בעצם “שדכן” בין הציוד (מצלמה במקרה שלנו) לבין ה-Windows, וכש-Windows צריך לבקש שרותים מהמצלמה, “לדבר” עם המצלמה כדי לקבל ולשלוח הגדרות, אז Windows מעביר את כל ה”דיבור” הזה הלוך ושוב דרך אותו דרייבר “שדכן”.

ישנם אלפי סוגים של מצלמות למחשבים, החל ממצלמות פשוטות שעולות כמה עשרות שקלים ועד מצלמות מורכבות ומסובכות שעולות מאות אלפי שקלים ומסוגלות לבצע דברים מורכבים, ולכל מצלמה יש דרייבר משלה, בחלק מהמקרים הדרייבר הוא אותו דרייבר ויכול לשמש מצלמות רבות.

עד כאן החלק של הדרייבר, עכשיו נגיע לחלק של הוירוס.

אם מחר אלך ואשלם למישהו לכתוב וירוס כמו שתיארתי לעיל, הוא לא יוכל לכתוב משהו שיצלם עם המצלמה שלכם ללא הפעלת ה-LED שבמצלמה. מדוע? כי Windows נותן למפתחים ממשק פיתוח (API) ואותו ממשק פשוט לא מאפשר זאת. הממשק פיתוח מאפשר לכותב האפליקציות להפעיל את המצלמה, להקליט וידאו, הוא מאפשר לשנות בהירות, פוקוס (תלוי במצלמה) ועוד, אבל כשמשהו קורה – אתם תראו את ה-LED במצלמה דולק.

האם אפשר לעקוף את הדלקת ה-LED? טכנית, אפשר לכתוב בוירוס שיכבה את ה-LED ע”י שינוי הדרייבר, אבל גם אז, הטריק יפעל רק בחלק קטן מהמצלמות, כלומר שום וירס לא יכול לכבות LED בכל המצלמות בגלל הדיירברים השונים, הצ’יפים השונים במצלמות ועוד.

במחשבי המק המצב מעט שונה: בגלל שאפל משתמשים במספר קטן של צ’יפים הנמצאים במקים שונים, אפשר לכתוב משהו ש”עוקף” את המערכת ויכול לכבות את ה-LED ותוכנות ריגול שונות במק משתמשות בטריקים הללו, אך יש מגוון רחב של תוכנות שיכול לגלות את אותן וירוסים במק ולנטרל אותן כליל.

לכן – אזהרה כאילו יצלמו אתכם מבלי להפעיל את ה-LED של המצלמה היא אזהרה מופרכת מיסודה שמקורה בחוסר הבנה במערכות הפעלה ובממשק פיתוח תוכנות ל-Windows.

כעקרון, כדי להימנע מוירוסים, תולעים ושאר נזקים, כל מה שצריך זה אנטי וירוס טוב והגיון בסיסי פשוט. אם לדוגמא אתה מתכתב עם מישהי בעברית ופתאום אתה מקבל מייל שהוא כביכול ממנה שכתוב באנגלית עם טקסט כמו check this out עם קובץ מצורף, כדאי לחשוד בכך ולשאול את השולח האם הוא באמת שלח. אם אתה משתמש ב-GMAIL וגוגל אומרים לך שיש חשד שהקובץ הוא וירוס אז אל תנסה להתחכם ולהוריד אותו בכל זאת, אל תנסה לבטל את האנטי וירוס שצורח “וירוס” על אותו קובץ – תוותר, זהו וירוס, מחוק את המייל והקובץ ואל תנסה להריץ.

כשאתה גולש באינטרנט, כדאי שתבחר דפדפן נורמלי כמו גוגל כרום או פיירפוקס. 2 הדפדפנים הנ”ל יודעים להתמודד עם כל מיני חוליים שונים והם מתעדכנים אוטומטית ברקע לגירסה החדשה ביותר ויודעים לחסום סכנות בצורה טובה. אינטרנט אקספלורר, למרות ההמלצות החמות של מיקרוסופט, עדיין קל לעקוף את המנגנונים שלו ולשתול כל מיני חולירות דרכו.

לסיכום: שימוש נכון, מעט הגיון, אנטי וירוס טוב, דפדפן מודרני – יגנו עליכם בצורה טובה נגד רוב הדברים. על שאר הדברים תוכלו לשאול חברים שמבינים בתחום.

ותפסיקו עם המחבואים מהמצלמה Smile

אבטחת מידע: וירוס ושמו קונפיקר (Confiker)

image כבר נכתב רבות על הוירוס הנ”ל, וירוס שתוקף ללא רחם מחשבי Windows מגירסאות Windows 2000 ומעלה כולל את כל הגרסאות. הוירוס מנטרל עדכונים, מנטרל גם עדכוני אנטי וירוס למיניהם וחוסם גישה לאתרי אבטחה ואתרי אנטי וירוס שונים, ובקיצור – די משבית את המחשב מבחינת הגנות.

חוץ מלהפיץ את עצמו בכל צורה הניתנת על הדעת (דיסקים ניידים, דיסק-און קי, דוא”ל וכו’) ולבטל שרותים, הוירוס עדיין לא עושה כלום.. עד למחר, ה-1 לאפריל, או אז הוא יתחיל לקבל פקודות מאי שם לעשות דברים שיוצרי הוירוס ירצו לעשות, ומכיוון שהוירוס יושב ברמה של מנהל המחשב, הוא טכנית יכול לעשות כמעט הכל, החל בלמחוק קבצים, לשלוח דברים אישיים שלכם, סיסמאות ועוד דברים שלא כל כך הייתם רוצים שיצאו החוצה ממחשבכם.

מבחינת הגנת המחשב הבודד, יש מגוון פתרונות ובוואלה כתבו על כך מאמר מה לעשות, אבל זה רק ברמת המשתמש הבודד.

מה עם מנהל הרשת? כן, אני בטוח שלכל המחשבים בחברה יש אנטי וירוס עם עדכונים, ובכל זאת, לפעמים העדכונים לא תמיד רצים, אנשים לפעמים מחברים מחשבים נוספים שאינם מחשבי החברה, מישהו יכול להביא דיסק-און-קי עם הוירוס ואם האנטי וירוס לא עובד כרגע או אינו מעודכן עקב בעיות שונות (בכל זאת.. Windows), מחשבים אחרים בחברה יותקפו, קצב האינטרנט יואט ויהיו עוד כל מיני צרות.

בשביל זה יש כלי אבטחה שמיועדים עבור מנהלי הרשתות, ולא למשתמשים הרגילים, כלים המשמשים לסריקת הרשת הפנימית ומציאת בעיות. כלים כמו  Nessus, nmap, ncircle ועוד.

לאחרונה הצליח דן קמינסקי, יחד עם עוד מס’ חברים ופרויקט Honey pot למצוא “טביעות אצבע” שהוירוס משאיר אחריו, וכשיש טביעות אצבע, אפשר לא רק לאתר את המחשב המודבק, אלא גם לחסום את הוירוס ולטפל במחשב. הכלים הנ”ל עודכנו בחתימת טביעות האצבע וכל מה שנותר למנהלי הרשת הוא לעדכן את החתימות בתוכנות הנ”ל ולעשות את הפעולות הבאות:

  • להריץ סריקה מאסיבית על כל הרשת הפנימית (כן, זה כולל שרתי Windows server שמשום מה רבים ממנהלי רשתות Windows אינם מתקינים עליהם אנטי-וירוס. לא ברור לי מדוע).
  • לבדוק עם הכלי המרכזי של האנטי וירוס שלכם (יש לכם כלי כזה, נכון?) שכל המחשבים עם עדכונים אחרונים. אין לאנטי וירוס כלי שלכם? תתחילו להזרים דרך הכלים שאתם משתמשים בהם לניהל מרכזי של הרשת עדכון אחרון של האנטי וירוס.
  • לנעול פורטים USB במחשבי המשתמשים שאינם צריכים להשתמש בציודי USB, כי משם בד”כ מתחילה הרעה. אל תסגרו דרך ה-Windows אלא דרך ה-BIOS.
  • מומלץ לעבור למצב של Strict DHCP (נשמע טריוויאלי, אך שוב, ראיתי גם בחברות גדולות דברים מוזרים): המשתמשים היחידים שיכולים לקבל כתובת IP הם אך ורק מחשבי החברה שכתובת ה-MAC רשומה בשרת DHCP וגם בחוקים של ה-Firewall, כך שמחשבים אחרים של אנשים חיצוניים המנסים להתחבר לרשת הפנימית בחברה לא יקבלו שום כתובת ושום תעבורה, וכך אם המחשב האורח נמצא עם הוירוס, הוירוס לא יוכל להתפשט הלאה כי לא תהיה לו תקשורת.

התולעת מתחילה לעבוד מחר, את הדברים האלו צריכים לעשות היום.

בהצלחה.