עם 125,000 תוכנות מזיקות שמתגלות מדי יום ווירוס חדש שמתגלה כל שנייה, אין פלא שמקצוע האבטחה משנה את פניו. אם פעם מומחי אבטחה (המכונים גם נתחני אבטחה או אנליסטים), היו יושבים ומפרקים ווירוסים ידנית, כמו סנדלרים המתקנים כל נעל ידנית, כיום, כדי להתמודד עם האיומים – חברות האבטחה מיישמות אוטומציה ופס ייצור, והפכו בעצם למפעלים לייצור נעליים ולא סנדלרים. המקצוע של האנשים שבונים את תוכנות האנטי וירוס שמגינות עלינו, הולך ומשתנה.
סטפן טנסה, אותו פגשנו במפגש מיוחד במינכן של אנשי קספרסקי עם עיתונאים, הוא אחד מבכירי האנליסטים של קספרסקי, ומי שאחראי, לצד רבים אחרים לצוד ווירוסים. אז מה הוא עושה כשהוא מגיע למשרד ואחרי כוס הקפה הראשונה?
העבודה של מנתחי האבטחה הוא בעצם לעדכן את תוכנות האנטי וירוס בחותמות, כלומר טביעת אצבע דיגיטלית, של ווירוסים חדשים. "זו הגישה הישנה לזיהוי וירוסים", אומר טנסה. "לנתח את הווירוס, ואז לשלוח את החתימה למשתמשים. כרגע זה איטי מדי. בזמן הזה משתמשים יכולים להידבק", הוא מסביר.
"95 אחוזים מהווירוסים כיום מנותחים אוטומטית", מספר טנסה. "רובם הם וואריאיציות על דברים קיימים. אתה מריץ אותם דרך כלים השוואתיים, כאשר הווירוסים המסובכים יותר, מנותחים בידי אנשים".
מומחי האבטחה יתערבו בעבודתם של הכלים האוטומטיים, רק במקרים מורכבים או כאלה שדורשים התערבות של גורמי אכיפת חוק או גורמים חיצוניים אחרים. " אם יש מקרה מעניין או הדבקה רחבה, אנחנו עשויים ליצור מגע עם גורמים נוספים כמו גורמי אכיפת חוק, כמו להפיל שרתים או לבצע מעצרים. אנחנו מנסים להוריד את התוכנות המזיקות מהאוויר. שיתופי פעולה עם גופים אחרים זה חלק חשוב מאוד מהעבודה", הוא מספר. אגב, בניגוד אולי למה שחושבים – חברות האבטחה, גם אלה המתחרות זו בזו, פעמים רבות משתפות מידע, וצוותים שלהן פועלים יחדיו כדי להפוך את העולם למקום בטוח יותר. לפחות וירטואלית.
ואיך זה נעשה בפועל? " יש לנו מהנדסי הנדסה לאחור מאוד מוכשרים שמסוגלים להפוך את הקוד", הוא מציין. "זה הניתוח הסטטיסטי. יש גם ניתוח דינמי, שאתה מריץ את הקוד בסביבה מבוקרת. אנחנו מקבלים את כל המידע שאנחנו יכולים לקבל מנוזקות כדי לשפר את המוצרים שלנו. אם אנחנו לא יכולים לזהות את הווירוס, אנחנו מנסים להבין עליו כמה שיותר".
>> לחסל את התולעת: 7 אנטי וירוסים מצוינים שיגנו לכם על המחשב
"אותו הדבר נכון לאתרי פישינג או אתרים מזיקים, אנחנו יוצרים קשר עם מפעילים המערכת, ומסבירים להם שיש להם בעיה וצריך להוריד משהו. במקרים של חברות שמופעלות על ידי פושעי סייבר, או חבריהם. שרתים שאי אפשר להוריד כי המפעילים לא רוצים להוריד אותם. זו בעיה מאוד גדולה באוקריאינה, ברוסיה ובעוד מקומות".
האם ציידי הווירוסים פועלים כמו האקרים ותוקפים בעצמם שרתים? בפירוש לא. בקספרסקי ובחברות אבטחה גדולות אחרות, על אף שהם לא פעם צריכים להתמודד עם גורמים מפוקפקים, שומרים על החוק ולא מתפתים 'לשחק מלוכלך'. אבל גם כאן יש לטנסה סיפורים מעניינים, על אש שנועדה להילחם באש – ויצאה משליטה.
"המשטרה ההולנדית, ב-2008, שהפילה בוט נט (רשת מחשבים נשלטים אשר משמשים לפעילות לא חוקית לרוב – נ.ל.), יצרו כלי משלהם כדי להילחם בה, אבל הוא הגיע גם למשתמשים בארצות אחרות. בסופו של דבר הם יצרו עמוד המפנה אנשים להוריד תוכנות ניקוי לווירוס הנוכחי (שהם יצרו – נ.ל.)".
וירוס בחצי מיליון דולר
כמו ראש הממשלה שלנו, חברת קספרסקי הייתה בין הראשונות לזהות את האיום. כלומר, את הווירוסים flame וסטוקסנט, שתוכנן לתקוף את המערכות של מתקני הגרעין באיראן. ואיך ידעו אנשי קספרסקי שמדובר בווירוס שנועד לתקוף את מתקני הגרעין של האיראנים ושהוא נוצר בידי מדינה? כמו תמיד, הכל עניין של משאבים וכסף – מסתבר שווירוסים המיוצרים בידי מדינות, כלומר נשק סייבר, הם סוג של "וירוס גורמה", המיוצר על ידי אמנים בתחומם.
"כלים שמעוצבים לפשיעת סייבר, וכלי נשק סייברים מעוצבים אחרת", מסביר לנו טנסה. "כלי פשיעה משתמשים בהנדסה חברתית, ומנסים להדביק כמה שיותר מחשבים, הם מנסים להרוויח כסף על ההשקעה. כשמדובר בהפעלה מדינתית, אם מדובר בחבלה או בריגול, מדובר במצב שונה. כך למשל, לסטוקסנט היו לו ארבעה "פגיעויות יום אפס" (כלומר הגנות חדישות, בנות פחות מיום, הקשות ויקרות לכתיבה) - זה בערך חצי מיליון דולר בשווי", הוא מעריך.
"Flame, כשמחשב אחד נפגע, הוא העמיד פנים שהוא שרת שמריץ עדכוני Windows, הם הצליחו ליצור התנגשות, ככה שה"עדכון" התחזה לעדכון של מיקרוסופט. כזו תקיפה יכולה להיות מעוצבת רק על ידי קריפטוגרפר (צופנאי) ברמה עולמית", הוא קובע.
עוד מספר טנסה כי לשם השוואה, מתוך קריאת הקוד ניתן להבין שב"צוות" שעבד על וירוס פופולרי כלשהו, היו ארבעה אנשים בסך הכל. במקרה של סטוקסנט – ארבעה אנשים עבדו רק על מבנה השרתים.
ולבסוף, איך ידעו לזהות שסטוקסנט עוצב כדי לתקוף מתקני גרעין? זה החלק היפה. אנשי קספרסקי גילו שהוא מנסה "לדבר" באופן ייחודי עם בקרים ממוחשבים של צנטריפוגות. ולא סתם, אלא שהוא מחפש עשרות שכאלה. ומדוע הם סבורים שידינו במעל? למשמע השאלה הזו אנשי קספרסקי מחייכים. "האנשים שכתבו את סטוקסנט יודעים אנגלית ברמה גבוהה. זה לא משאיר הרבה אפשרויות".
*הכותב היה אורח חברת קספרסקי במינכן
>> אנטי וירוס מומלצים בחינם ובתשלום