אבטחת מידע: וירוס ושמו קונפיקר (Confiker)

image כבר נכתב רבות על הוירוס הנ”ל, וירוס שתוקף ללא רחם מחשבי Windows מגירסאות Windows 2000 ומעלה כולל את כל הגרסאות. הוירוס מנטרל עדכונים, מנטרל גם עדכוני אנטי וירוס למיניהם וחוסם גישה לאתרי אבטחה ואתרי אנטי וירוס שונים, ובקיצור – די משבית את המחשב מבחינת הגנות.

חוץ מלהפיץ את עצמו בכל צורה הניתנת על הדעת (דיסקים ניידים, דיסק-און קי, דוא”ל וכו’) ולבטל שרותים, הוירוס עדיין לא עושה כלום.. עד למחר, ה-1 לאפריל, או אז הוא יתחיל לקבל פקודות מאי שם לעשות דברים שיוצרי הוירוס ירצו לעשות, ומכיוון שהוירוס יושב ברמה של מנהל המחשב, הוא טכנית יכול לעשות כמעט הכל, החל בלמחוק קבצים, לשלוח דברים אישיים שלכם, סיסמאות ועוד דברים שלא כל כך הייתם רוצים שיצאו החוצה ממחשבכם.

מבחינת הגנת המחשב הבודד, יש מגוון פתרונות ובוואלה כתבו על כך מאמר מה לעשות, אבל זה רק ברמת המשתמש הבודד.

מה עם מנהל הרשת? כן, אני בטוח שלכל המחשבים בחברה יש אנטי וירוס עם עדכונים, ובכל זאת, לפעמים העדכונים לא תמיד רצים, אנשים לפעמים מחברים מחשבים נוספים שאינם מחשבי החברה, מישהו יכול להביא דיסק-און-קי עם הוירוס ואם האנטי וירוס לא עובד כרגע או אינו מעודכן עקב בעיות שונות (בכל זאת.. Windows), מחשבים אחרים בחברה יותקפו, קצב האינטרנט יואט ויהיו עוד כל מיני צרות.

בשביל זה יש כלי אבטחה שמיועדים עבור מנהלי הרשתות, ולא למשתמשים הרגילים, כלים המשמשים לסריקת הרשת הפנימית ומציאת בעיות. כלים כמו  Nessus, nmap, ncircle ועוד.

לאחרונה הצליח דן קמינסקי, יחד עם עוד מס’ חברים ופרויקט Honey pot למצוא “טביעות אצבע” שהוירוס משאיר אחריו, וכשיש טביעות אצבע, אפשר לא רק לאתר את המחשב המודבק, אלא גם לחסום את הוירוס ולטפל במחשב. הכלים הנ”ל עודכנו בחתימת טביעות האצבע וכל מה שנותר למנהלי הרשת הוא לעדכן את החתימות בתוכנות הנ”ל ולעשות את הפעולות הבאות:

  • להריץ סריקה מאסיבית על כל הרשת הפנימית (כן, זה כולל שרתי Windows server שמשום מה רבים ממנהלי רשתות Windows אינם מתקינים עליהם אנטי-וירוס. לא ברור לי מדוע).
  • לבדוק עם הכלי המרכזי של האנטי וירוס שלכם (יש לכם כלי כזה, נכון?) שכל המחשבים עם עדכונים אחרונים. אין לאנטי וירוס כלי שלכם? תתחילו להזרים דרך הכלים שאתם משתמשים בהם לניהל מרכזי של הרשת עדכון אחרון של האנטי וירוס.
  • לנעול פורטים USB במחשבי המשתמשים שאינם צריכים להשתמש בציודי USB, כי משם בד”כ מתחילה הרעה. אל תסגרו דרך ה-Windows אלא דרך ה-BIOS.
  • מומלץ לעבור למצב של Strict DHCP (נשמע טריוויאלי, אך שוב, ראיתי גם בחברות גדולות דברים מוזרים): המשתמשים היחידים שיכולים לקבל כתובת IP הם אך ורק מחשבי החברה שכתובת ה-MAC רשומה בשרת DHCP וגם בחוקים של ה-Firewall, כך שמחשבים אחרים של אנשים חיצוניים המנסים להתחבר לרשת הפנימית בחברה לא יקבלו שום כתובת ושום תעבורה, וכך אם המחשב האורח נמצא עם הוירוס, הוירוס לא יוכל להתפשט הלאה כי לא תהיה לו תקשורת.

התולעת מתחילה לעבוד מחר, את הדברים האלו צריכים לעשות היום.

בהצלחה.