אבטחת המחשב הביתי – חלק שני – למה כן להיות "אנטי"

בחלק הזה נדון בכלליות בכלי האנטי-וירוס, אנטי-ספאם, מסירי רוגלות ותוכנות שונות שעובדות על עקרונות דומים. אז תשימו את סבתא מול הטלוויזיה, תנעלו את האח הקטן החדר שלו, הכינו את הממחטות ונתחיל…

מלחמתם של מפיצי הוירוסים בחוקרי הוירוסים נמשכת כבר כמה שנים טובות. למעשה, כמעט מהופעת המחשב הביתי הראשון. בניגוד לתחום ההצפנה בו ידם של המתמטיקאים וכותבי ההצפנות נמצאת על העליונה, במלחמת הוירוסים ידם של כותבי הוירוסים נמצאת על העליונה כאשר חברות אבטחת המידע יכולות רק לשבת
ולנסות לשחק משחק הגנה מתוחכם.

במאמר הזה ננסה לגעת מעט בהבדלים בין וירוס, סוס טרויאני, תולעת, ספאם, רוגלה (להבדיל מהרוגעלך שסבתא קונה) ושאר מריעין ובישין המסתובבים במרחבים הוירטואליים.

השיטה בה הרוב המוחלט של המוצרים שהזכרנו קודם לכן עובד נקראת חתימות. כל וירוס, רוגלה, תולעת ושאר החברים בנויים מקוד שנכתב בשפת תכנות כגון ג'אווה, c++, פרל, דלפי ועוד רבות אחרות. המשותף לכל השפות הנ"ל הוא שהן משתמשות במחוללי קוד (קומפיילרים) המייצרים מהקוד הזה רצף בינארי שעימו המחשב יכול להתמודד. או במילים אחרות, שרשרת ארוכה מאוד של "0" ו-"1" שהמחשב יודע לקרוא. כאשר מסתכלים על שרשרת ארוכה כזו, בדומה לשרשרת ארוכה של DNA, ניתן למצוא תבנית מסוימת המייחדת את קטע הקוד הזה ממקטעים אחרים. זו החתימה של הוירוס. התבנית הזו היא לרוב תת-מחרוזת
של הקוד המקורי.

את החתימות הנ"ל חברות האבטחה משחררות לרשת, ואנשים טובים כמונו מורידים את החתימות הנ"ל למאגר הנתונים של תוכנת האנטי שלנו. זו למעשה פעולת העדכון שאתם מבצעים או שהתוכנה מבצעת עבורכם באופן אוטומטי. כאשר התוכנה סורקת קובץ חדש או את הכונן שלכם, היא מצליבה בין הקבצים למאגר הנתונים של החתימות, ומזהה את הקבצים הנגועים. בשלב זה ניתן לזהות גם קבצים שאינם מתפקדים כוירוסים באופן ישיר, אלא קבצים שוירוסים שונים "רותכו" אליהם, במסגרת פעולת הוירוס.

כאמור, ה"אנטים" עובדים בשיטת החתימות. אולם, מישהו אמור לייצר את החתימה לוירוס. וכאן הבעיה… באופן טבעי, מרגע הפצת וירוס ועד להפצת העדכון למחשבי הקצה חולפות כמה שעות במקרה הטוב. השעות האלו הינם שעות שבהן לוירוס או לרעה אחרת יש "חלון הזדמנויות" בו הוא יכול לפעול באין מפריע (באופן יחסי). חברות אבטחת המידע מנסות להגיב באופן מהיר ככל הניתן בדומה לטיפול במפגעים ביולוגיים:

מבודדים את הגורם
מצמצמים את אזור הפגיעה
מייצרים חתימה ("חיסון")
הפצת החתימה ועדכון ברשת במקרה הצורך

הערה חשובה! זו דעתי האישית בלבד, ואין לראות בה המלצה רשמית. כמו כן, אני לא אפרסם רשימת מקורות הורדה, גם למוצרים החינמיים.

אנטי-וירוס (לפי סדר, מהטוב ביותר למטה):
קאספרסקי
NOD32
mcafee
AVG
avast
norton anti-virus

אנטי-ספאם וניקוי רוגלות:
ad-aware
גם לנורטון ומקאפי יש מסירי רוגלות, אבל לדעתי הרשום לעיל הינו המומלץ למשתמש הביתי.

בנושא ה- firewall ניגע במאמר נפרד לחלוטין, אולם כאן אפשר לציין לטובה את zoneAlarm של Check Point (היום. היא קנתה את החברה המייצרת), ואפילו ה- Firewall המובנה של חלונות. כאמור, מאמר נפרד על חומות אש יפורסם בקרוב.

- יש להתקין תוכנת אנטי-וירוס, ולהקפיד לעדכן אותה. – להתקין פיירוול.
- לא לפתוח קבצים ממקורות לא מוכרים, בדגש על סיומות קבצי הפעלה, כגון exe com bat vbs scr jar vbe zip.
- להריץ בדיקת וירוסים על כל קובץ שנכנס למחשב
- לעדכן פרצות אבטחה. נעשה לרוב באמצעות ה- update בתוכנה המתאימה או באתרים המובילים (בעיקר של מייקרוסופט)

והעצה הכי טובה – היו קשובים למחשב שלכם. אם הוא מתחיל להתנהג מוזר, עצרו רגע ועשו חושבים עם עצמכם. האם התקנתם קובץ מוזר לאחרונה? האם קיבלתם מייל לא מוסבר ופתחתם אותו? האם האח הקטן שלכם הביא משחק מחשב צרוב הביתה? אם עניתם כן על אחת השאלות שלעיל, ישנו חשד כי נדבקתם בוירוס.

כיום, מנסים לפתח מספר שיטות להתמודדות עם מפיצי הוירוסים. השיטות הנ"ל בבסיסן דומות, וכולם מנסות לנתח מאפייני פעילות בשגרה של מחשב תקין, ולזהות חריגה משגרה. התוכנות הנ"ל אמורות לשלב מן בסיס של בינה מלאכותית עם שיטת החתימות, ולנסות לאפיין (מרגע התקנתן) מהי שגרת העבודה של המחשב, החל בשעות פעילות וכלה בממוצע קבצים נמחקים ביום. כמו כן, המשתמש יוכל להגדיר את רמתו, כך שהמערכת תדע לזהות האם שינויים מסויימים במחשב תואמים לרמת המשתמש.

פיתוחים מסוג אחר אמורים לאבחן את הוירוס באמצעות חריגות תעבורה בשדרת האינטרנט. נכון, זה לא יתפוס את הוירוסים הקטנים אבל זה כן יעזור באבחון מוקדם של וירוסים בעלי תפוצה גדולה.

נספח – על ההבדלים בין הרעות השונות.
במאמר השתמשתי רבות וללא הבחנה במילה "וירוס", אולם הזכרתי סוגים שונים של רעות חולות. בנספח הזה ניגע קלות בהבדלים המהותיים ביניהם:

וירוס - שם כללי לקוד זדוני. בדומה לוירוסים ביולוגיים, מטרתו לחדור למחשב ולהיעזר בכלי המחשב בכדי לשכפל ולהפיץ את עצמו. בשנת 85' היו מוכרים 11 וירוסים שונים. ב-2006 כבר היו מוכרים למעלה מ-60,000 וירוסים, ובכל חודש מתגלים בממוצע כ-50 וירוסים חדשים.

סוס טרויאני – תוכנת וירוס המתחזה (בד"כ בהצלחה רבה) לתוכנה לגיטימית ומוכרת אחרת. הסכנות הנובעות מסוג זה של וירוסים הינן החל מהתקנת דלת אחורית במחשב תוך ניצול פרצה קיימת דרך גניבת מידע, האטת פעילות המחשב וכלה בהפיכת המחשב לכלי עזר לכותב הסוס – המחשב שלכם יבצע פעולות בניגוד לרצונכם, החל מהצפת אתרים וכלה בשליחת דואר זבל.

תולעת - וירוס בעל מנגנון שכפול עצמי ויכולת הפצה עצמית, לרוב נושא עימו מנגנון דואר אלקטרוני מובנה. תולעים מתפשטות דרך שיתופי רשת, דואר אלקטרוני, IRC, תוכנות שיתוף קבצים וכו'. תולעים חדשות שצפויות להתפתח הן תולעי הטלפונים הסלולאריים, המתפשטות דרך הודעות SMS, פרצות bluetooth וכו'.

חשוב להבדיל בין תולעת המנצלת ופוגעת במשאבי הרשת לבין וירוס המנצל ופוגע במשאבי החומרה והקבצים במחשב.

רוגלה - תוכנה העוקבת אחר הרגלי הגלישה שלכם ומדווחת אותם לאתרי פרסום או מפיצי דואר זבל שונים. תוכנות אלו מסוגלות המקרה החמור גם לחלץ סיסמאות, מספרי כרטיס אשראי וכו'.