נחש מי בא לבקר?

מאמר נוסף שכתבתי ל-TheMarker. הסבר במאמר הראשון, בבלוג הטכנולוגיה שלי.
כל המאמרים שנכתבו ל-TheMarker, אלו שאינם עוסקים באבטחת מידע, זמינים בקטגוריה משלהם בבלוג הטכנולוגיה.

.

נחש מי בא לבקר?

(פורסם ב-12/4/2001. קישור לפרסום המקורי, שם יש גם תגובות)
.

שמעתי פעם שלטייסי קרב יש אמרה: "זה שאינך רואה – הוא זה שיפיל אותך". אני חושב שהאמרה הזו נכונה לעוד הרבה מצבים בחיים, ולבטח היא נכונה בתחום אבטחת המידע.
.

ביתי הוא מבצרי?

אנשים רבים נוטים להמעיט בערך אבטחת המידע, בייחוד בנוגע למחשב הביתי שלהם. הם חושבים שהם לא YAHOO ולכן איש לא ינסה להזיק להם, וגם אין להם שום דבר בעל ערך אשר שווה לגנוב מהמחשב שלהם.

הטענות האלו נכונות בבסיסן, וכל אדם מחליט לעצמו עד כמה הוא רוצה להשקיע בביטחונו, אולם חשוב להכיר במציאות לפני שמגיעים להחלטות.

לעולם הוספת מרכיבי אבטחה (פיזית או דיגיטלית) תייקר, תעמיס על הביצועים ותכביד על קלות השימוש. תהיה זו דלת כניסה לבית (הרי הרבה יותר קל להיכנס ישר דרך הפתח, ללא דלת) או הקשת סיסמה בעת הפעלת המחשב. כל אחד צריך למצוא לעצמו את האיזון.

במחשב האישי, המשתמש רואה רק הממשק. הוא לא רואה את תהליכי העבודה של המחשב ולכן לא יודע מה קורה "מתחת לפני השטח". כאשר יחליט האקר לבצע נזק כלשהוא למחשב (ובהנחה שהוא לא רוצה להתפאר) – הוא לא ישלח לכם הודעה למסך המחשב: "מחשב זה נשלט כעת על ידי משה וכעת הוא מוחק לכם את קובץ קורות החיים".
.

נחש מי בא לבקר?

אני משתמש בביתי בחיבור של חיוג קבוע. בנוסף, אני משתמש ב-Personal Firewall של Zone Labs -‏ Zone Alarm. למוצר מצוין וחינמי זה יש אזור המציג את כל ניסיונות ההתחברות שהמוצר מנע – הן להתחבר למחשב שלכם מבחוץ והן ממנו החוצה (למקרה של סוס טרויאני – תוכנה המותקנת במחשב שלכם מרחוק ללא ידיעתכם, ומקנה להאקר שליטה מלאה על המחשב).
במשך 24 שעות, ישנם בממוצע 50 ניסיונות להתחבר למחשב שלי. רובם מנסים להתחבר בפורטים (Ports) של תוכנות השתלטות מרחוק וסוסים טרויאנים (פורטים הם נקודות כניסה ויציאה המשויכות לכתובת IP. אם נדמה את כתובת ה-IP לבית, הרי שהפורטים הם סך כל "הדלתות והחלונות" אל הבית וממנו. יש מעל 65,000 כאלו לכל כתובת IP).

תגידו: "אז מה, שינסו. במילא צריך שתוכנה כלשהיא במחשב שלך תאפשר להתחבר אליה בכדי לעשות משהו."

זה נכון, אבל מה אם יש באמת תוכנה כזו ואתם לא יודעים עליה?
ואפילו אם אין: תחשבו על המחשב האישי שלכם בתור הבית שלכם באינטרנט. האם הייתם מסכימים שבביתכם אשר בעולם הפיזי, 50 פעם ביום ינסו אנשים שונים לבדוק כיצד ניתן להיכנס אליו? אחד ינסה את ידית הדלת, שני את סורג חדר הילדים וכן הלאה? ומה אם אחד הניסיונות יעלה כי הפתח פרוץ? המבקר יישאר בחוץ?
.

דמי התקנה

כיצד יכולים להתקין אצלכם מרחוק תוכנה, ללא רשותכם? זה באמת פשוט.
רק כדוגמאות אשר אינן מזיקות, אלא רק מציקות – יש שתי תוכנות מסחריות אשר מתקינות עצמן במחשב שלכם (אם כי הן מספיק נחמדות לספק שורה ב"הוספה / הסרה של תוכניות" בכדי שתוכלו להסירן) ללא רשותכם המפורשת, דרך הדפדפן.

הראשונה היא Hot Bar, המעניקה רקע גרפי לממשק הדפדפן. קברניטי החברה הזו די חצופים ואגרסיביים, מאחר ובדף הבית שלהם – אם תלחצו על Click to Continue, התוכנה תותקן מיידית – בלא הודעה מראש או בקשה מפורשת.

התוכנה השנייה היא Comet Cursor הנמכרת לבעלי אתרים הרוצים לייפות את האתר שלהם. ברגע שאתם נכנסים לאתר בו קיימת התוכנה, היא מיידית מותקנת אצלכם (שוב בלי כל אזהרה או אישור) ויוצרת סמני עכבר גרפיים בתוך הדפדפן.

אך אלו דוגמאות של שיווק אגרסיבי בלבד, הן לא יזיקו למחשב שלכם.

אבל, ועכשיו נדבר בשקט, באתרי סקס ביקרתם?
"לא, מה פתאום, אנחנו? תתבייש לך!"

בסדר. למען המדע עשיתי זאת בשבילכם (עבודה קשה – אבל מישהו צריך לעשות אותה), למקרה שתקלעו לפינות האפלות של הרשת.

מניתוח של תכולת המחיצות והקישורים באתרים אלה עולה כי ברבים מהם יש קבצי הפעלה (EXE), שרק אלוהים ומפעילי האתר יודעים איזה מוקש הם מפעילים כאשר המבקר באתר מפעיל אותם בלחיצת עכבר (או אולי זה קובץ ברירת המחדל המופעל בעת הכניסה לאתר, ללא צורך בפעולה של הגולש). וזה עוד בלי לדבר על תסריטי (אימה) של JAVA ו-ActiveX, ובלי וירוסים וקבצים מצורפים בדואל.

חשוב להבין שמרגע שהתחברתם לאינטרנט – המחשב שלכם הוא חלק מהרשת. ואם לא תשימו גדרות – אזי המחשב שלכם הוא בחזקת נחלת הכלל.
.
_______________________________________________________________________

תוספת קישורים עדכנית לנוחותכם ולידע נוסף:
– דף באתר matousec.com המכיל סקירה של מוצרי Personal Firewall (שימו לדו"ח ה-PDF מימין לכל מוצר בטבלה);
– בדיקת !!Shields UP באתר GRC אשר סורקת את 1024 הפורטים הראשונים שלכם (בחרו בדף השני בכפתור האפור של All service ports);

– אתר Firewall Leak Tester אשר לצערי לא מראה פעילות מזה כמעט שנה, אבל מכיל מגוון תוכנות בדיקה לעמידות ה-FW האישי שלכם מפני ניסיונות של תוכנות "לטלפן הביתה"… הכי הרשימה אותי בזמנו היתה PCAudit2 אשר שכנעה אותי לחפש משהו אחר במקום Sygate, כי הזרקת ה-DLL שלה "עבדה" על Sygate (שנרכשה מאז ע"י Symantec) ולתדהמתי יצאה לאתר הדגמה חיצוני שהציג לי את מה שהתוכנה שלחה לו: צילום מסך של המחשב שלי, העתק של ה-Clipboard שלי ורשימת כל הקבצים ב-My Documents. האתר מולו עבדה התוכנה אינה פעיל עוד, אבל התוכנה כנראה תעבוד באופן תקין, רק שלא יהיה מי שיקבל את המידע בצד האינטרנט (נקווה…).
התוכנה לא ניסתה, או יותר נכון תהליך קובץ ה-EXE שלה, לצאת בעצמה לאינטרנט, אלא ניסתה ברצף מספר תהליכי EXE אחרים בזכרון שמורשים לצאת לאינטרנט, התעלקה עליהם ויצאה לאינטרנט בשמחה וששון… זה היה מסוג הרגעים המקצועיים המכוננים שבו-זמנית מפחידים ומרגשים, שאתה מרגיש כמה אתה עוד לא יודע וכמה הרגשת הביטחון שלך אינה מבוססת בשיט.
בהתגלות הזו הבנתי שהמלחמה האמיתית עוברת מתקשורת הנתונים אל זיכרון המחשב, הקרב עבר אל "החדרים הפנימיים".