"תוכנת הריגול Flame, נחשפה בגלל היוהרה של מתכנתיה"
29 מאי, 2012
מנכ"ל חברת קומסק ייעוץ , משה ישי, מעריך שמי שכתב תוכנת ריגול בנפח כה גדול של 20 מגה-בייט (פי 20 מנפח ה-Stuxnet), הפגין ביטחון-יתר ולא חישב כראוי את סיכויי הגילוי שלה
אתמול נחשף דבר קיומה של רוגלה חדשה בשם Flame המתמקדת במדינות במזרח התיכון, בעיקר איראן, סעודיה והרשות הפלשתינית.
מהבדיקות עולה שהמטרה העיקרית של "הלהבה" היא ריגול. היא אוספת מידע מודיעיני באמצעות ציטוט דרך המיקרופון, צילומי מסך של תוכנות מייל, מסרים מיידיים וגישה מקומית למחשב למחשבים אחרים ברשת.
מדובר בתוכנה מתוחכמת במיוחד אשר התגלתה במקרה. היא נחשפה על-ידי מעבדות קספרסקי במהלך חקירה שנעשתה ביוזמת איגוד התקשורת העולמי (ITU), שביקש מהמעבדות לבדוק רושעה אחרת בשם Wiper, אשר מחקה קבצי מחשב במספר אתרים במערב אסיה. למרות ש-Wiper עצמה עדיין לא התגלתה, במהלך החיפושים אחריה התגלתה התולעת Flame, יותר משנתיים לאחר שהחלה לפעול, בחודש מרץ 2010.
נשק-על קיברנטי
החברה מסרה כי היכולות של הרוגלה שונות מאלה של קודמותיה: Stuxnet ו-Duqu. "הפיזור הגיאוגרפי, הבחירה ביעדי התקיפה והשימוש המתוחכם בנקודות תורפה ממצבים אותה כנשק-על בתחום הלומה הקיברנטית". הם מזהירים שהתוכנה עדיין פעילה ומפעיליה ממשיכים לעקוב אחר הביצועים שלה.
מנכ"ל קומסק ייעוץ מקבוצת קומסק, משה ישי, מסר שלאף אחד בארץ אין עותק של התולעת המאפשר לבצע עליה מחקר מעמיק, ולכן ניתן בשלב הזה לספק פרשנויות בלבד. להערכתו, מדובר בתוכנה מאוד מורכבת. בגודל של כ-20 מגה בייט, בהשוואה ל-1 מגה-בייט של הסטוקסנט. "העובדה שתולעת שאמורה להיות סמויה, תופסת נפח זיכרון כל-כך גדול, מעידה על טעות או יוהרה של התוקף, שלא חשב שייתפס בכזאת קלות".
ישי מעלה תובנות נוספות: מדובר בנוזקה הממוקדת גיאוגרפית שאין לה התפלגות נורמטיבית של וירוס. למעשה, מנגנון ההדברה שלה היה "מרוסן" כדי למנוע התפשטות לא-מבוקרת. כנראה שאין קשר בין צוותי הפיתוח של התולעת הזו ושל סטוקסנט, מכיוון ששתיהן לא משתייכות לאותה משפחה.
הצפנה חלשה
הוא סבור שבשלב כלשהוא היה רצון לחשוף את התולעת או חלק ממרכיביה, "מכיוון שחלקם מוצפן באופן חלש מאוד וכולל מרכיבים המוכרים היטב לתעשיית האבטחה ושימשו כבר בעבר בנוזקות שונות. "לדעתי לא הקדישו מספיק תשומת לב ל'ראש הנפץ' (כמות ה- Zero Days) של אותה תולעת. כרגע, משייכים לה שני דברים שכבר נעשה בהם שימוש על-ידי סטוקסנט, אבל בהחלט יתכן שחקירה נוספת תגלה דברים נוספים, מה שלבטח יצביע על כמות המאמצים שהושקעו מאחורי פרויקט המחקר והפיתוח של התולעת".
ישי מזהיר מפני ביטחון-יתר בישראל: גם אם ישראל לא הותקפה על-ידי תולעת ה-Flame, הארגונים בארץ צריכים ללמוד אותה היטב: "מה יקרה אם גורם עוין כמו מדינת אויב ארגון פשע עתיר תקציב יחליט לעשות Reuse (שימוש מחודש) ברכיבים/טכניקות של התולעת על-מנת לייצר וריאנטים חדשים שיתקפו את ישראל"?
פורסם בקטגוריות: חדשות , טכנולוגיות מידע , תעופה וביטחון
כתבות נוספות העשויות לעניין אותך
