בתשובה ליובל רבינוביץ, 25/04/02 1:47
מיקרובים 67392
כל תכנה שהתקנת *ביוזמתך וביודעין* במחשב שלך יכולה להוות תוכנה שתתקשר עם תכנה אחרת מבחוץ, והיא יכולה לקבל פקודות לבצע כל דבר, כולל נזקים למחשב שלך. דומאות טובות הן תוכנות הICQ או BABYLON כי הן אכן נמצאות בקשר עם החוץ כאשר אתה מחובר לאנטרטנט.

לא על כך מדובר.

ישנה דיסאינפורמציה רבה בעניין הוירוסים, כך שאנשים רבים חושבים שאפשר כך סתם "לחדור" למחשב שלהם.

בעיקרון:
*אין אפשרות לחדור למחשב שבו לא מופעלת תכנה ספציפית שנועדה לתקשר עם תכנה אחרת מבחוץ.*

למרות שמועות רבות בנושא, עדיין לא מצאתי משהו שהצליח להראות לי שתוכנה סטנדרטית של מיקרוסופט (למשל), או מערכת ההפעלה חלונות עצמה מתפקדת כתוכנה המשרתת תוכנות מן החוץ *באופן כזה, המאפשר לתוכנות *זרות* להשתמש בה*.

אם כך התנאי הראשון בל-יעבור שיאפשר לחדור למחשב של אדם פרטי ללא רצונו (ללא שהתקין ביודעין ICQ ויו"ב) הוא להפעיל בדרך כלשהי על מחשבו תכנה מהסוג שתיארתי קודם. הדרך הנפוצה לבצע תנאי זה היא לשלוח לאדם דואר הכולל קובץ *הרצה*‏1. ולכן צריך פשוט לפעול על פי הכללים שתיארתי קודם. בנוסף לכך, מחשבים שעובדים ברשת מקומית חשופים לכך שאנשים אחרים יפעילו וירוסים שמעתיקים עצמם למחשבים אחרים ברשת. הדרך הפשוטה להתמודד עם זה היא לא לשתף את כונני המחשב שלך עם הרשאות כתיבה.

1 קובץ הרצה הוא קובץ שמערכת הפעלה חלונות מתיחסת אליו כאל תוכנה והסיומת שלו היא אחד מ5 אלו שכתבתי קודם, כאשר מערכת ההפעלה מותקנת לראשונה. בנוסף לכך, תכנה (וירוס) יכולה להוסיף עוד סיומות כאלו כאוות נפשה, ע"י הוספת כמה שורות לREGISTRY.
כמו כן הכוונה היא גם לקבצי VB וכדומה שמהווים בעצם אפליקציות לכל דבר.

העניין העיקרי אותו אני רוצה להעביר הוא שאני די בטוח שמי שעומד מאחורי רוב הוירוסים ביחד עם הדיס-אינפורמציה *המכוונת* הזו הם אותם אלו שמתפרנסים מכל העסק הזה, חברות האנטי-וירוס, פאיירוולים למניהם וכו'. ממש כמו אלו שמכרו "פתרונות" לבאג2000 בסכומי כסף א ס ט ר ו נ ו מ י ם.
מיקרובים 67469
טוב, אולי תתן דוגמא של "פתרון" לבאג 2000‏1 שמישהו קנה, למרות שלא היה לו צורך בו, בשל "דיס-אינפורמציה *מכוונת*"? (לצורך העניין, גב' לוי מקומה ג' שקנתה בטריות ושימורים לא נחשבת. התמקד בתחום מערכות-המידע והתשתיות).

(יש כאן הבדל עקרוני: לא מן הנמנע שחברות האנטי-וירוס יוצרות וירוסים (למרות שזה מהר מאד מתגלגל לפלילים) או (מה שיותר סביר) מטפחות פגיעUת של מערכות שהן מספקות להן הגנה לכאורה. לגמרי מן הנמנע שמי שסיפקו פתרונות לבאג 2000 הם אלה שהמציאו את לוח-השנה או את השיטה העשרונית, ולגמרי לא מתקבל על דעתי שמי שסיפקו פתרונות לבאג 2000 הכשירו לכך את הקרקע במודע ובמתכוון 40, 30 או אפילו 20 שנה קודם לכן כאשר הקימו מערכות-מידע שלא היו ערוכות להתמודד עם הבעיה).

1 כינוי אומלל. "באג" הוא, לדידי, פער בין המימוש לבין האפיון ברמה הנמוכה ביותר, ולא פער בין המימוש לבין "הגדרת דרישות" או ניתוח-מערכת, ובטח שלא פער בין הדרישה לבין הצורך.
מיקרובים 67771
לא מדוייק.

<טכנו-באבל>
<גיק-אלרט>
אחד מחורי ההגנה הראשונים שנתגלו (והם עד היום דוגמאות בקורסים בנושא אבטחה) היה הבאג בתוכנת FINGER. אם ההודעה שנשלחה הייתה ארוכה מ- 512 bytes אזי היא גלשה מאזור הפרמטרים של הקריאה לפונקציה ויכלה לקבוע את כתובת החזרה מהפונקציה שמטפלת בבקשה לכתובת אחרת - של ה"קוד המרושע" שהגיע כחלק מההודעה, וזה הקוד שהתבצע.
</גיק אלרט>
</טכנו-באבל>

חזרה לעמוד הראשי המאמר המלא

מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים