בתשובה לשוקי שמאל, 30/05/05 8:18
מעתיקה לעצמי 304286
גדי אלכסנדרוביץ'בתשובה לשוקי שמאל יום ב', 30/5/2005, 9:23
א. אפשר לרדת על חיים יבין עד מחר, אבל אפשר גם לנסות להבין את דבריו כפשוטם: הוא לא מדבר על סוס טרויאני הסוס שהוחדר לטרויה, אלא על סוס טרויאני תוכנת המחשב העוינת, שזה מושג שעד כה שבאמת לא היה פופולרי כל כך במילון של התקשורת, פרט לזו שעוסקת ספציפית במחשבים.

ב. אני חושב (מבלי להתיימר למומחיות בתחום) שמה שמבדיל בין סוסים טרויאנים לוירוסים הוא לא רק שהם יכולים להיות הרבה יותר ספציפיים למחשב שאותו תוקפים, אלא גם שהם פועלים "בשקט", לעומת וירוס שגורם נזק ומודיע על קיומו, ולכן גם ממהרים לגלות אותו ולהרתיע בפניו. סוס טרויאני גם לא בהכרח מפיץ את עצמו לכל עבר, ולכן מקטין את הסיכויים שיתגלה איפה שהוא. לכן בכל זאת יש יותר קושי בגילוי של סוסים מאשר של וירוסים.
מעתיקה לעצמי 304305
שוקי שמאל • בתשובה לגדי אלכסנדרוביץ' יום ב', 30/5/2005, 12:23
הכל נכון, אבל
א. בכל זאת מושג בן 2700 שנה. נראה לי סימפטומטי לתפיסה של אושיות תקשורת שמה שהם לא מכירים/מבינים לא קיים.
ב. לא רוצה להכנס לזה יותר מדי, כי בטח יש פה אנשים בקיאים יותר בשטח, אבל נדמה לי שמה שמקשה על זיהוי וחסימת "סוסים" בלתי מוכרים הוא העובדה שהפעולות שהם מנסים לעשות (למשל להעתיק קבצים ולשדר אותם למחשבים אחרים ברשת) הם מנקודת המבט של המחשב לגיטימיים לעומת פעולות וירוסים (נניח למחוק את הדיסק או לכתוב באזורים של מערכת ההפעלה). זה בפרטים, אבל בגדול וירוסים, תולעים, סוסים טרויאנים ורחרחנים למיניהם, הם כולם וריאנטים מחשביים של פריצה וחבלה לבית של מישהו אחר. גם זה סימפטומטי לכמה מעט צריך כתב לדעת על נושאי הדיווח שלו (ואולי יותר מזה על מידת הבדיקה והאמינות של המדווח).
מעתיקה לעצמי 304316
האייל האלמוני • בתשובה לשוקי שמאל יום ב', 30/5/2005, 13:07
גם בלי להיות חסידה גדולה של חיים יבין אני מתקשה להאמין שהוא לא שמע על הסוס הטרויאני לפני פריצתו לעולם המחשבים. יש להניח שהוא פשוט כשל בניסוח. (גם אני שמעתי אותו והופתעתי לרגע).
מעתיקה לעצמי 306028
n0בתשובה להאייל האלמוני יום א', 5/6/2005, 18:52
קצת הבהרה
לכל אלא מכם שזה מעניין אותם (ואולי זה לא ממש מעניין אף אחד )
ההבדל בין וירוסים סוסים טרויאנים תולעים ומיניהם.

וירוס- כל תוכנה שיש לה יכולת לשכפל את עצמה (יכולה גם לגרום בנוזף נזק למחשוב כמו מחיקת כל הארד דיסק אבל לא מחוייבת ).
בד"כ קוד הווירוס מעתיק את עצמו לתוך כמה שיותר קבצים במחשב ובכך הווירוס מתפשט כאשר הקבצים האלה מועברים לאנשים אחרים (לדוגמא מסמכי וורד ) וכן הלאה. הנזק העיקרי מווירוסים הוא במילוי ההארד דיסק של המחשב והעמסה על הזיכרון שלו (עקב תהליך ההעתקה) אלא אם כמובן הווירוס מתוכנן לגרום נזק נוסף במזיד.

תולעת גם היא סוג של ווירוס אך היא משכפלת את עצמה כה שיותר בתור קובץ עצמאי (בניגוד לווירוס שמעתיק את עצמו לתוך קובץ קיים) רוב סוגי התולעים שנפוצות קיום שולחות את עצמן באי מייל לכמה שיותר אנשים ובכך יוצרות עומס על הרשת וגורמות לחיבור איטי.

סוס טרויאני - הכוונה לכל תוכנה אשר מופצת ומבצעת פעולה זדונית שהיא אינה אמורה לבצע לדוגמא משחק שמוחק את ההארד דיסק או דיסק הטוען לפרסום עסקי אך כולל בתוכו תוכנת ריגול .
רוב הסוסים הטרויאנים פותחים גישה למחשב שמאפשרת גישה למי שהפיץ את הסוס למחשב של הקורבן (החל מהורשה ומחיקה של קבצים ועד שליטה בעכבר צפיה במצלמת האינטרנט וכו').

אנטי ווירוסים יכולים לזהות סוסים טרויאנים תולעים וווירוסים בדיוק באותה מידה הבעיה היא שכדי שאנטי ווירוס יזהה תוכנה זדונית הוא צריך להכיר אותה (על ידי חתימה שמזהה את הווירוס) ממש כמו שהגוף תריך ללמוד ולהכיר ווירוסים כדי להילחם בהם וכמו שהגוף נאלץ לעתים להתחסן כדי לא להיפגע ממחלה תוכנות האנטי ווירוס חייבות להתעדכן ברשימת הווירוסים החדשים כל הזמן אחרת הן לא יוכלו לגלות אותם.

הסיבה שלקח כל כך הרבה זמן לגלות את הסוס הטרויאני שהושתל בחברות, היא שהוא לא היה נפוץ מספיק בכדי להתגלות ככל שיותר אנשים נדבקים בווירוס יש יותר סיכוי שהוא יגיע למישהו שיגלה אותו ויעביר את הקובץ לחברות האנטי ווירוס שילמדו איך למנוע אותו... (כמו שלבסוף קרה עם וורדה ראזיאל זיקונט)

N0
מעתיקה לעצמי 306039
האייל האלמוני • בתשובה לn0 יום א', 5/6/2005, 19:10
תודה על רוח ההתנדבות.
לא שממש הבנתי הכל, אבל ודאי יותר ממה שהבנתי קודם.
אם כבר דיון טכני... 306183
Xslfבתשובה לn0 יום ב', 6/6/2005, 4:18
בנוסף לעבודה עם חתימות, תוכנות אנטי וירוס גם משתמשות במה שנקרא "זיהוי היוריסטי".
ואם לצטט את עצמי:
"בעת סריקה, התוכנה מחפשת סוגי התנהגות האופיינים לסוגים שונים של וירוסים. למשל, קובץ VBS המכיל בתוכו קוד לשלוח את עצמו לכל האנשים בפנקס הכתובת, יסומן כחשוד כוירוס. מכיוון שבסיס הנתונים מכיל רק מידע על סוגי וירוסים, ולא מידע ספציפי על הוירוסים עצמם, יש צורך לעדכן אותו רק כשיוצא וירוס מסוג חדש, ולא כשכל וירוס חדש מופיע (הרבה וירוסים חדשים פועלים באופן דומה לוירוסים קיימים)."

מהפרטים הטכניים שפורסמו על הטרויאני ( http://securityresponse.symantec.com/avcenter/venc/d... http://www.nrg.co.il/online/10/ART/942/196.html ) מתברר שאחד הדברים שהוא עשה זה להעתיק את עצמו לתוך קובץ עם שם דומה לשם של קובץ מערכת- התנהגות נפוצה מאוד עבור תוכנות זדוניות.
לכן השאלה הראשונה שלי הייתה- למה זיהוי היוריסטי לא תייג את ההתנהגות הזו כחשודה? בשיחה עם אבירם חניק מ-http://www.beyondsecurity.com שאלתי על זה, והוא אומר שהוספת בדיקה כזו לזיהוי היוריסטי מסוכנת מידי, כי עלולות להיות התרעות שווא רבות בזמן התקנת טלאים של מערכת ההפעלה. אני לא לגמרי בטוחה שזה נכון (אולי אפשר להתגבר על זה עם חתימות דיגטליות, שמיקרוסופט כבר משתמשת בהן לקבצי ההפעלה שלה?)

בכל מקרה, גם בלי זיהוי היוריסטי כנראה היה אפשר למנוע את ההדבקות (למשל ע"י ביטול ההפעלה האוטומטית של תקליטורים בחלונות) או לפחות לזהות נסיונות לתקשורת FTP עם שרתים לא מורשים (ותמוה שהאפשרות בארגונים הייתה פתוחה בכלל).

בארגונים עם מידע חסוי זה לא חכם ולא יעיל להסתמך רק על תוכנות אנטי וירוס שולחניות- כמו שציינת, הרבה מהם לא יזהו תוכנות זדוניות ללא תפוצה נרחבת, והתקפה ממוקדת נגד הארגון מן הסתם לא תשתמש בתוכנה נפוצה.
אם כבר דיון טכני... 306617
שוטה הכפר הגלובליבתשובה לXslf יום ג', 7/6/2005, 11:59
שימוש ב ftp באמת מקל על זיהוי, אבל מה עושים נגד טרויאנים פקחים יותר שמשתמשים ב HTTP או SMTP?
אם כבר דיון טכני... 306715
Xslfבתשובה לשוטה הכפר הגלובלי יום ג', 7/6/2005, 17:03
בקשר ל-SMTP: קודם כל, חוסמים גישה לשרתי SMTP מחוץ לארגון (לאנשים בארגון בדרך כלל אין צורך להשתמש בשרת SMTP חיצוני).
שנית, מאפשרים גישה לשרת ה-SMTP הפנימי רק עם שם וסיסמא.
שלישית, יש מערכות שסורקות דואר יוצא בארגון, בדיוק עבור דברים כאלו.

זיהוי תעבורת HTTP הוא נושא מורכב יותר אם רוצים לתת לעובדים גישה חופשית למדי לאינטרנט. לפחות במקרה של הטרויאני הזה, הועברו כמויות מידע גדולות למדי לכתובת אחת. דבר כזה ניתן לזיהוי אם עוקבים אחרי התעבורה של המשתמשים בארגון.
בנוסף, התעבורה לא הייתה מוצפנת- כך ששוב ניטור של התעבורה היה יכול לזהות משהו חשוד (כמו במקרה של דואר, יש מערכות שסורקות תנועה יוצאת בארגון, לגילוי דברים חשודים).

אבל כמו תמיד באבטחה, אין פתרון מושלם.
ועוד על חתימות 306184
Xslfבתשובה לn0 יום ב', 6/6/2005, 5:03
eweek מדווח על מתקפה משולבת, כנראה ליצר bot nets (צבא זומבים) שמשתמש בטקטיקות מעניניות לחמיקה מסריקת אנטי וירוס מבוססת חתימות:
Zone Alarm 306437
אפופידסבתשובה לn0 יום ב', 6/6/2005, 19:25
אגב, גם ללא חתימה, כלומר גם אם מדובר בסוס חדש שחברות האנטיוירוס טרם שמעו עליו, ניתן לחסום את יכולת השידור שלו למפעילו מתוך המחשב המודבק, בעזרת תוכנת "Firewall" אישית (להבדיל מחומרה כזו, המצוייה בד"כ באירגונים) כזו שבכותרת. הבעייה היא שהשימוש בתוכנה דורש מעורבות מסויימת מן המשתמש.
Zone Alarm 306442
האייל האלמוני • בתשובה לאפופידס יום ב', 6/6/2005, 19:49
בעיה בעייתית. משהו שידרוש ממני מעורבות כלשהי דינו להיכשל בכל מקרה.
מעתיקה לעצמי 304347
האייל האלמוני • בתשובה לגדי אלכסנדרוביץ' יום ב', 30/5/2005, 14:27
הפדיחה היא לא של יבין אלא של הכתב (היוונים לספרטנים!?)
מעתיקה לעצמי 304350
האייל האלמוני • בתשובה להאייל האלמוני יום ב', 30/5/2005, 14:32
הפדיחה היא שהוא לא יבין את זה.
כותב לעצמי 305708
הכותב לעצמו • בתשובה להאייל האלמוני שבת, 4/6/2005, 19:32
לא נורא, אפשר לחיות* עם זה

*בהנחה שזה חיים ‏1

1 והמבין יבין

נ.ב.
הסוס הטרויאני, כשמו - כן הוא: סוס, טרויאני
חזרה לעמוד הראשי המאמר המלא
מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים
האייל הקורא RSS מאמרים | כתבו למערכת | אודות האתר | טרם התעדכנת | ארכיון | חיפוש | עזרה | תנאי שימוש © כל הזכויות שמורות