הוירוס Flame ומה הוא מלמד אותנו

מאז ומתמיד ידעתי שמי שמשתמש בווינדוס הוא חסר אחריות.

עד כה היה מקובל לחשוב שמי שמבין בווינדוס ודואג להריץ אנטיוירוס מעודכן, הוא מוגן. הוירוס הזה שמתברר קיים כבר שנים והתגלה רק עכשיו הוכיח שני דברים:

  • קודם כל שגם מי שדואג לעדכן את האנטיוירוס שלו, עדיין אינו מוגן.
  • יתרה מזאת, ממשלה שמשתמשת בווינדוס היא חסרת אחריות ומסכנת את אזרחיה.

ההצעה שלי היא כמובן להמשתמש בלינוקס וכאן המקום לענות לכל הטענות המוכרות:

  • יהיו אלו שיאמרו שגם בלינוקס יש וירוסים. התשובה לזה היא שהיו נסיונות ליצור וירוס ללינוקס אבל אף אחד מהם לא באמת הצליח. כתבתי בעבר מדוע בלינוקס אין, לא היו ולא יהיו וירוסים. זה אמנם נכתב לפני שנים אבל עדיין נכון. חשוב לזכור דבר אחד: זה לא שאי אפשר לפרוץ ללינוקס או לכתוב נוזקות ללינוקס. מה שקשה עד בלתי אפשרי הוא לכתוב תוכנה שגם תתפשט כמו וירוס. כל זה מעבר לזה שדי קשה לכתוב נוזקה ללינוקס.
  • לינוקס לא נוח לשימוש. כאן יש שתי תשובות: קודם כל שזה לא משנה הרי ווינדוס זה חוסר אחריות. התשובה השניה ביא שמי שאומר שלינוקס קשה לשימוש מזמן לא ראה לינוקס. לינוקס מודרני קל יותר לשימוש מווינדוס. גם על זה כתבתי בעבר.

היו אנשים שאמרו לי שהוירוס הזה מקביל למה שכתוב בספרים שלי על "הוירוס האחרון". אז לא, זה לא ממש ככה אבל זה צעד בכיוון הזה (לצערי). הוירוס הזה הוא לא ממש וירוס הוא יותר תולעת כי הוא מופץ כמו וירוס אבל לא עושה נזק למחשב עליו הוא יושב. זה בעצם  כלי ריגול רב עוצמה שעדיין לא ברור מי כתב אותו אבל מהמורכבות בה הוא נכתב, מדובר כנראה בפרויקט ממשלתי שיכול להיות שיך לממשלת ארה"ב או אפילו ממשלת ישראל. אם כי הוירוס הדביק גם לא מעט מחשבים בישראל כך שכנראה נכתב על ידי מישהו אחר שרצה לרגל גם על ישראל.

 

נשלח ב אקטואליה, לינוקס, תוכנה חופשית
12 comments on “הוירוס Flame ומה הוא מלמד אותנו
  1. מאת גיא:

    לינוקס קצת יותר בטוחה מבחינת מבנה. יש לה פחות קוד שרץ ב-Kernel Mode מאשר חלונות (מישהו אמר הסמן של העכבר? :) ) אבל מפה לכך שהרבה יותר קשה לכתוב נוזקה ללינוקס המרחק גדול.

    בחיפוש של פחות מדקה מצאתי חולשה שדווחה לפני כחודש ב-Samba שמאפשרת הרצת קוד מרחוק בהרשאות root.
    http://www.samba.org/samba/security/CVE-2012-1182
    בנוסף גם כאשר יש דרך להריץ קוד בהרשאות משתמש רגיל, לא חסרות חולשות privilege escalation בלינוקס שמאפשרות לעקוף את הבעיה (רק בתחילת השנה הראו ב-CVE-2012-0056 שניתן עם הרשאות של משתמש רגיל לכתוב לתוך זיכרון של תוכנות שרצות ב-setuid ולהשיג הרשאות גבוהות). Rootkits התחילו בעולם ה-unix עם ההרשאות שאותם לינוקס ירש, לא הכל מושלם.

    היתרון ההגנתי הגדול של לינוקס הוא הגנה סטטיסטית. פחות משתמשים == פחות עניין לפתח וירוסים. גם היתרון הזה קצת נשחק כאשר אתה משתמש בהפצה סטנדרטית, כמו אובנטו, שניתן לדעת בסבירות גבוהה באילו תוכנות תשתמש בה.

    לינוקס היא בסה"כ מערכת הפעלה טובה (שאני נהנה להשתמש בה כבר די הרבה זמן) שעומדת מאחוריה קהילה נהדרת. אבל להגיד שבלינוקס אין בכלל בעיות אבטחה זה לא שונה בהרבה מאמירות שווקיות לא מגובות שמיקרוסופט יכולה להפיץ על לינוקס.

    • מאת אורי עידן:

      באמת הייתי צריך לכתוב גם תשובה לטענה המגוכחת הזו שלינוקס לא נפוצה אבל חשבתי שאנשים כבר הבינו שאין בעולם מערכת הפעלה נפוצה יותר מלינוקס.
      נתחיל מהראוטר שבטח יש לך בבית, רובם היום מריצים לינוקס. נמשיך עם הראוטר אצל ספק האינטרנט שלך שמן הסתם מריץ לינוקס.
      ועכשיו המקום שאליו יש יותר אינטרס לפרוץ מאשר המחשב האישי שלך, שרת האינטרנט. מרבית השרתים בעולם מריצים יוניקס או לינוקס ואני מניח שתסכים איתי שיש יותר אינטרס לפרוץ לשרת מאשר למחשב האישי שלך.
      אני מעולם לא טענתי שאין פרצות אבטחה בלינוקס. ברור שיש השאלה היא כמה מהר מתקנים אותן ועד כמה הן מנוצלות.
      אם אתה טוען שכל כך קל לכתוב וירוס ללינוקס אני מזמין אותך לכתוב את הוירוס ונראה תוך כמה זמן תצליח להפיץ אותו.
      נניח שתצליח לכתוב נוזקה וזה לא בלתי אפשרי. האם היא תופץ? אני בספק גדול.
      בקיצור גם אם הצלחת לכתוב משהו, זה עדיין יעשה נזק מזערי עד שיתגלה.
      שים לב גם שהקוד פתוח מה שמאפשר לגלות דברים ביתר קלות.

  2. מאת תומר כהן:

    נשאלת השאלה כיצד מלכתחילה הגיעו אותם וירוסים לעמדות מחשב רגישות, ולמה בכלל הן מחוברות לרשת האינטרנט. הרעיון ההגיוני ביותר הוא שאדם שהושתל באותן מערכות הגיע פיזית למחשבים והחדיר אליהם את התוכנה הזדונית מהתקן מדיה נייד, אבל מדובר בהליך מסובך ויקר, והסיכוי לתקלות בו גדול (ע"ע חיסול מבחוח).

    לפני מספר ימים התפרסם חשד כי שבבי מחשב שמקורם בסין והיו מיועדים לשימוש צבא ארה"ב כללו דלתות אחוריות שלכאורה היו מאפשרות לגורם שהשתיל אותן גישה לאותן מערכות.

    מחשבי מדף כוללים כיום מגוון יכולות של גישה אלחוטית (bluetooth, wifi, nfc וכו'), וגם אמצעי שידור למטרות אחרות (זכור לי במעורפל מחשבים שולחניים שכללו אנטנה למטרות פיקוח על ייצוא מערכות מחשב מארה"ב), והיו מספר דיווחים בשנים האחרונות על חשיפות של ארגוני אויב כמו חיזבאללה על חומרת מחשב שנמכרה להם דרך מתווכים במדינות אחרות שכללו לפי החשד רכיבים שיאפשרו לישראל לעקוב אחריהם.

    באופן עקרוני אין בעיה לבנות חומרת מחשב תמימה למראה שתבצע פעולות מיוחדות. למשל להוסיף ל־BIOS קוד ייעודי שיורץ לפני תחילת הפעולה של מערכת ההפעלה או במקביל לה ויבצע מניפולציות שונות על המערכת, למשל להחדיר תוכנה ייעודית אל תוך המערכת תוך כדי עקיפת כל ההגנות האפשריות. מעין rootkit אבל כזה שנטען ברמת החומרה עצמה באופן שיעקוף כל אמצעי הגנה מוכר.

    ואם כבר יש לנו את היכולת לבצע את המשימה הזו (שהיא אינה מסובכת במיוחד!), ובכל זאת אנחנו לא רוצים להוסיף את כל הקוד הזדוני ברמת החומרה עצמה כדי שנוכל לגשת בקלות אל הציוד ההיקפי של המחשב תוך שימוש ב־API הרגיל של מערכת ההפעלה, שום דבר לא ימנע מאיתנו למשל לייצר תוכנה זדונית ולדחוף אותה לדיסק הקשיח באמצעות תוכנה אחרת שמשולבת בחומרה ויודעת לעבוד מול מספר מערכות קבצים מוכרות (להזכירך, תודות לתוכנה החופשית גם די קל למצוא מימוש שמאפשר גישה ישירה לאותן מערכות קבצים!), ולהגדיר טעינה של הקוד למשל דרך /etc/init.d מבלי בכלל לנסות לאתר את ססמתו של מנהל המערכת.

    פה דווקא יש למערכת הקבצים של ווינדוס יתרון – ניתן להגדיר הצפנת הדיסק ברמת מערכת ההפעלה כאשר הדיסק מפורמט בתור NTFS, אם כי אני בספק אם לא ניתן לגשת לרכיבי מפתח במערכת ההפעלה ללא ההצפנה אם אתה מצליח לגשת לדיסק.

    • מאת אורי עידן:

      הנקודה החשובה היא שהוירוס הזה הוא כלי רב עצמה שמאפשר למפעילים שלו לקרוא הכל כולל הקשות מקשים כך שהוא עובד בעצם בכל רמה מעל מערכת הקבצים כך שאפילו עם מערכת הקבצים מוצפנת זה לא ממש ישנה לו.
      עד כמה שידוע לי גם בלינוקס אפשר להצפין את מערכת הקבצים כך שזה לא ממש יתרון של ווינדוס.
      הוירוס הזה לדעתי הוא הוכחת יכולת, הרבה יותר מאשר משהו מזיק.
      כפי שאמרת די בצדק, לא בטוח אם המערכות הבאמת רגישות מחוברות כך לאינטרנט ומכילות בכלל מצלמה וכד'.
      הוירוס הזה הוא כלי שמאפשר למפעילים שלו גם לשדרגו מרחוק. כך שהוא יותר פלטפרומה לוירוסים מאשר וירוס בעצמו וכפלטפורמה הוא כלי חזק מאד.

  3. מאת משה:

    אני עובד הרבה שנים הן עם חלונות והן עם וינדוס ואני חושב שהטענות שלך נובעות מבורות מסביבת חלונות.
    כל יכולות האבטחה של לינוקס שבעבר לא היו קיימות בחלונות קיימות ב NT6 ומעלה, מערכות לינוקס עם כמות השרותים שתאומת מערכת חלונות ממוצעת פרוצות לא פחות מתחנה עם חלונות.
    מספיק לינוקס עם SAMBA מותקן וRPC פתוח בשביל להיות זונה מוחלטת, רוב הווירוסים למחשבי חלונות לא נכנסים דרך פרצות במערכת ההפעלה, רובם נכנסים עם ההסכמה המלאה של המשתמש "תלחץ OK בשביל להתקין את הקודק" או "תלחץ כאן בשביל לדבר עם טלי לוהטת 25 מפ"ת"…
    שלא נדבר שעל תחנת win ממוצעת מותקנות עשרות תוכנות שגם להן יש עשרות פרצות אבטחה, תראה כמה פרצות Apple, Real Media, Adobe "מתקנות" בשנה ותבין את גודל הבעיה.
    הבעיה הגדולה ביותר של חלונות שהיא מערכת הפעלה נפוצה, ועוד יותר חשוב נפוצה אצל הדיוטות, אין שום עניין כלכלי בלכתוב ווירוסים או תוכנות זדוניות ללינוקסים כיוון שהן מערכת הפעלה שרצות במערכת מנותרות ומוקשחות, ווירסים בעשור האחרון הם עניין כלכלי גרדיא ולא אנשים משועממים שרוצים לעשות נזק…
    זה גם למה הווירוסים היום לא עושים נזק בצורה ישירה, הם יושבים במערכת ומפיצים spam בעיקר, או סתם הופכים את התחנה לעוד חבר כבוד בbotnet של הבעלים שלהם ומחכים לפקודה..

    • מאת אורי עידן:

      אין ספק שאני בור בנושא חלונות. מערכות סגורות מעצם הגדרתן לא מעניינות אותי.
      יחד עם זאת יש כמה שדברים שאני יודע והם שמערכת לינוקס היא אכן פריצה אבל הרבה יותר קשה לפרוץ אליה מאשר לחלונות.
      מדוע רוב משתמשי חלונות עובדים כ administrator אין לי מושג אבל זה מה שמקובל.
      מי בכלל מחזיק RPC פתוח? בחלונות זו ברירת מחדל, בלינוקס צריך להפעיל את זה.
      לגבי עניין כלכלי לכתוב וירוסים ללינוקס יש ועוד איך, אחרי הכל יש יותר אינטרס לפרוץ לשרתים מאשר למחשב ביתי.
      אין אפשרות להפיץ וירוסים דרך מערכת לינוקס כי היא לא בנויה בצורה פרוצה כמו חלונות, אם תנסה ללחוץ על קובץ תוכנה מצורף במייל הוא לא יפתח כי בלינוקס קבצי תוכנה לא מזוהים על ידי הסיומת שלהם אלא על ידי attribute מיוחד.
      אם אתה אומר שוירוסים נכתבים רק למערכות נפוצות אז מדוע לא רואים וירוסים במקינטוש? רק לידיעתך בארה"ב וקנדה חצי מהמחשבים הם מקינטוש.

      • מאת משה:

        המשתמש הוא לכאורה אדמין אבל הוא מוגבל ע"י מנגנון הUAC. בUAC (שקיים בחל מויסטה) התוכנה רצה עם רמת ההרשאות המינימאלית שהיא צריכה בuser space אם תרצה לקרוא לזה ככה משלה, וככל שרמת ההרשאות שלה גבוהה יותר היא מוגבלת יותר ברמות מסויימות. אין שום צורך באדמין לוקאלי בשביל להתקין תוכנה, ואפשר לקבוע הרשאות לכל כפתור ושדה במערכת ההפעלה דרך הRegistery..

        ווירוסים מדביקים מחשבים בעיקר בשביל להוסיף אותם לbotnets או גניבת מידע כללי(ססמאות למשחקי מחשב, מספרי כרטיסי אשראי וכו'), שרת של חברה היא תחנה מוקשחת ומבוקרת כל פעולה לא סדירה בה מתגלה במהרה, פיתוח ווירוס חדש עולה מאות אלפי דולרים אף אחד לא ישקיע בזה כסף וזמן כי ההחזר להשקעה יהיה נמוך. מה שכן מפתחים ללינוקס זה תוכנות זדוניות שנועדו יותר לעניין של ריגול תעשייתי גרדיא, אבל גם זה נדיר יחסית…

        גם ווירוס בחלונות דורש שיריצו אותו, כל קוד דורש את זה, "ווירוסים" מורכבים מקוד זדוני וומנגנון הרצה מסויים(קרי Autorun, שימוש בexploit מסויים שמאפשר להריץ פקודת shell או כל דבר דומה, אותו הדבר קורה כאשר מנסים להדביק מערכת לינוקס).

        שוב כמות התוכנות הזדוניות למינהן לחלונות היא עצומה, זה שוק כלכלי שמגלגל מיליונים בשנה ממכירות תוכנה, זה לא אומר שבבסיס מערכת חלונות היא פחות מאובטחת, אפשר להקשיח אותה בדיוק כמו שאפשר להקשיח כל מערכת לינוקס, גם ללינוקס לא חסר פרצות אבטחה, זה פשוט עניין של תמורה מול השקעה, המון תוכנות זדוניות שמופתחות היום עדיין מכוונות למערכות הפעלה "ישנות" יחסית, קרי נפוץ לראות תוכנה זדונית שתפעל רק על WIN XP SP1 או ללא SP כלל, ותתעלם מכל שאר מערכת ההפעלה, הפיתוח של כל תוכנה זהה לפיתוח של כל תוכנה אחרת היום, וכולל מעגל חיים מלא של איפיון, פיתוח ובקרת איכות, לא שווה להשקיע במשהו שהתמורה ממנו תיהיה קטנה מההשקעה.
        מה שכן שוק הrootkits הרציני מפותח יותר בלינוקס(טוב בעיקר לUNIX) מאשר לחלונות, ספאמרים אוהבים בוטנטים פשוטים, אנשים שצריכים לגנוב מידע עסקי מאיזה Solaris שרץ בחור התחת של איזה חברה מסויימת צריכים דברים אחרים…

        • מאת אורי עידן:

          מילת המפתח היא אפשר. בחלונות צריך להקשיח את המערכת כדי שמשתמש ביתי יוכל לעבוד. לינוקס היא מראש יותר מאובטחת.
          חשוב לזכור שלינוקס בנויה על הבסיס של יוניקס מערכת ותיקה ביותר מעשר שנים מחלונות שנבנתה מראש לרשת.
          חלונות נבנתה כצעצוע למחשבים אישיים. כפי הנראה מעולם לא הייתה אמורה להיות מערכת למקצוענים.
          עד היום היא נראית כצעצוע גרפי בלבד.

          בכל מקרה אתה חושב שהכל תלוי בנפוצות המערכת במחשבים ביתיים? בזה אני לא מסכים איתך אבל עדיין לא הסברת מדוע אין במקינטוש וירוסים?
          גם כאן הסיבה היא שהמערכת של מקינטוש גם היא מבוססת יוניקס.

  4. מאת משה:

    יש לך בעיה רצינית בהבנת הנקרא.
    כתבתי "אפשר להקשיח אותה בדיוק כמו שאפשר להקשיח כל מערכת לינוקס" ולא שאפשר להקשיח אותו כדי שתהיה מוגנת כמו לינוקס.

    לגבי מקינטוש,
    אני אישית לא מתמצא במערכת הזאת אבל חיפוש קצר בגוגל העלה את התוצאות הבאות:
    http://www.tgspot.co.il/apple-issues-new-software-update-to-address-mac-virus/
    http://www.ynet.co.il/articles/0,7340,L-3986735,00.html

    אז כן יש וירוסים אבל כמובן לא באותה כמות כמו בחלונות. למה? כי למרות שמק פופולארי מאוד בארה"ב, עדיין נתח השוק הכולל שלו במחשבים ביתיים עומד על 6.44% לפי MarketShare לעומת חלונות עם יותר מ92%.

    אם אתה פיתחת מוצר, למי תעדיף למכור אותו, ל-92% מהאוכלוסיה או ל6% מהאוכלוסיה?

    • מאת אורי עידן:

      מערכת לינוקס מוגנת די טוב כבר מההתקנה הראשונה ולצרכים ביתיים אינה דורשת הקשחה. לעומת זאת מערכת ווינדוס כן דורשת.
      כשאני הייתי באירופה וקנדה מרבית המחשבים שראיתי היו מקינטוש כששאלתי אנשים אמרו לי שבערך חצי מהסטודנטים באוניברסיטה משתמשים במק.
      אני לא בדקתי סטטיסטיקות.
      אני עדיין לא חושב שוירוסים יש לחלונות רק בגלל שהיא נפוצה.
      וירוסים יש לחלונות רק בגלל שאפשר.
      כדאי שתקרא גם את הפוסט האחרון שכתבתי על אבטחה למראית עיין.

  5. מאת יוסי:

    אפס רלוונטיות לפליים
    מדובר בוירוס שכמות המשאבים שהושקעה בפיתוחו ללא ספק מאפשרת להדביק איתו כל דבר, אפילו כרכרה רתומה לסוס..

    • מאת אורי עידן:

      וירוס יכול להדביק רק מערכת שפגיעה לוירוסים, לא משנה כמה משאבים ישקיעו בפיתוחו.
      רק מי שלא באמת מכיר מערכות הפעלה חושב שוירוסים זה חלק מהחיים וככה זה.
      המציאות היא ממש לא כך.
      יש מערכות שקשה עד בלתי אפשרי להדביקן בוירוס.
      אל תתבלבלו בין וירוס לבין פרצות אבטחה שקיימות בכל מערכת.

כתיבת תגובה

האימייל לא יוצג באתר. (*) שדות חובה מסומנים

*

תגי HTML מותרים: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

הספרים שלי

רחשי הלב הארחרונים



ADSNUKE ERROR: Write access to the file: /home/ori/blog/he/wp-content/plugins/wp-adsnuke/c269a1c30853d9686270cffa336aed63/blog.oriidan.info.links.db! Set 777 right to folder.