מהו וירוס מחשב?

(של אלסנדרו רוגלו)
06 / 06 / 22
מישהו טוען שבכל הנוגע לחשיפה במגזר הסייבר, הכל בסדר כדי להעביר את המסר של הסכנות העומדות בפנינו היום. עם זאת, עם "הכל בסדר", לעתים קרובות מוצדקת חוסר היכולת של הכותב, ולעתים קרובות מייחסים את האשמה לבורותו של הקורא.

אני לא חושב כך.

אז הנה, אחרי הקטע של החודש שעבר איתו ניסיתי להסביר בצורה פשוטה אך נכונה את המשמעות של DDoS (קרא מאמר "DDoS ווירוסים"), אני הולך להסביר מה א וירוס מחשב

אני בטוח שרבים יודעים על מה אנחנו מדברים, אז הם עשויים למצוא את המאמר פשוט או טריוויאלי מדי, אבל אני בטוח באותה מידה שרבים ירוויחו ממנו או, אני מקווה, להסגיר אותו לאיזה חבר או אדם צעיר ניגש לעניין ולכן עשוי למצוא בו שימוש.

נתחיל מהבסיס: ההגדרה!

נשמע פשוט, לא? זה אמור להספיק לפתוח את הדפדפן ולמצוא אוצר מילים טוב או אנציקלופדיה שיוכלו לספק לנו את מה שביקשנו. אולם זה לא המקרה. כל מי שהשתמש באינטרנט, אולי לעבודה, יודע שהבעיה היא לא לא למצוא דברים אלא להפך, למצוא יותר מדי. לאחר מכן יש צורך ללמוד לבצע חיפושים ממוקדים ולהשתמש באתרי עזר אשר נוכל לקבל מהם וודאות סבירה שהם אמינים.

כפי שאמרתי בהזדמנויות אחרות, אחד המקורות שתמיד נתנו לי סיפוק הוא אתר NIST (המכון הלאומי לתקנים וטכנולוגיות של משרד המסחר של ארצות הברית של אמריקה).

מטבע הדברים, גם NIST, המייצר חקיקה למטרות שונות, משתמש לעתים קרובות בהגדרות ברמות שונות של פירוט. אז ניתן לגלות כי וירוס הוא פשוט "תוכנית שמשכפלת את עצמה על ידי צירוף לתוכניות או קבצים אחרים, שם היא מתחבאת עד להפעלה"1או, ברמת פירוט גבוהה יותר: "חלק נסתר ומשכפל עצמי של תוכנת מחשב, בדרך כלל לוגיקה זדונית, שמתפשט על ידי הדבקה (כלומר, הוספת עותק של עצמו לתוכנה אחרת והפיכה ממנה). וירוס אינו יכול לפעול בעצמו; הוא מחייב את התוכנית המארחת שלו. להפעיל כדי להפוך את הנגיף לפעיל"2

אם אתם סקרנים, בסוף המאמר הכנסתי קישור לעמוד ה-NIST שבו רשומות כל הגדרות הווירוס.

לענין שקבעתי במאמר זה, ההגדרה השנייה היא זו שאשקול.

לכן, וירוס הוא א פיסת תוכנה בדרך כלל מְרוּשָׁע, מסוגל לשכפל, זה מצרף או מחליף לתוכנה שמארח את זה וכי מפעיל אותו עם ביצועו

קצת היסטוריה

אני משוכנע שההגדרה לבדה לא מספיקה כדי להבין מהו וירוס, אז אני חושב שתמיד מעניין לקרוא כמה מאמרים על ההיסטוריה של וירוסי המחשב.

אני רוצה לציין שניים מהם. המאמר הראשון מתפרסם באתר קספרסקי בכותרת "היסטוריה קצרה של וירוסי מחשב ומה צופן העתיד". כך אנו מגלים שלווירוסים יש אב שבוודאי מוכר לכל אלה שלמדו מדעי המחשב כמוני. זה ג'ון פון נוימן שב-1966 פרסם טקסט בו דן באפשרות של אורגניזם מלאכותי (כגון חתיכת קוד) כדי להתרבות ולהיות מזיקה כמו וירוס ביולוגי. כמה שנים לאחר מכן יצר צעיר בשם בוב תומאס תוכנית בשם טַפְּסָן, במטרה לאמת את התיאוריה של האפשרות לשכפול עצמי של קוד מחשב. טַפְּסָן זה לא היה זדוני ולא התפשט על ידי הדבקה של תוכנית מארח, אז בבדיקה מדוקדקת זה לא באמת וירוס אלא אחר קטגוריית הקוד שנקראת תולעת ואשר כרגע אינו מושא תשומת הלב שלנו. בכל מקרה, יש הרבה שצריך לקחת בחשבון טַפְּסָן כמו הנגיף הראשון.

ב-1974 הוא פותח ארנב (ידוע גם כ וואביט), תוכנית זדונית המסוגלת לשכפל בעצמה ולספוג את משאבי המחשב הנגוע, להאט את פעולתו ולגרום לו לקרוס. וירוס המחשב הראשון של IBM נקרא "מוח". הוא פותח בשנת 1986 (לפני שלושים ושש שנים!) ופעל על ידי הדבקה של סקטור האתחול של תקליטונים ובכך הקל על הדבקה בהחלפת תקליטונים בין משתמשים.

המאמר השני נקרא במקום זאת "היסטוריה קצרה של וירוסי מחשב"ומעניין לציין שבין היתר הוא מדבר על התוכנה הזדונית הראשונה שמסוגלת להתפשט במהירות רבה באינטרנט, המכונה תולעת מוריס. שוב אני חייב לומר שלמעשה זה היה תולעת שהדביק תוך שעות ספורות כ-15.000 מחשבים.

עוד וירוס ידוע למדי הוא "מליסה". זהו וירוס ששוחרר בשנת 1999 והתפשט באמצעות שימוש בקובץ מצורף של מילה שנשלח בדואר אלקטרוני עם Outlook. ברגע שהוא היה פעיל, הוא ייקח את חמישים הכתובות הראשונות של פנקס הכתובות של הקורבן וישלח להם את מסמך הוורד הנגוע.

אני מאמין שנכון לסכם את הדברים החיוניים שיש לזכור:

- קודם כל, לעתים קרובות מאוד יש בלבול בין וירוס e תולעת, שלעתים קרובות מאוחדים גם אם טכנית הם שני דברים שונים. ה וירוס, שכאמור מדביקים קובץ שמארח אותם, מועברים כאשר הקובץ המארח אותם מוחלף או נשלח, אולי במייל, בוואטסאפ או אחר. ה תולעת הם התפשטו ללא צורך בקובץ מארח;

- וירוסים הם בדרך כלל זדוניים.

עם זאת, אזהרה פשוטה: שימו לב תמיד לקבצים שאתם מקבלים ואם אתם לא מצפים לכלום אל תפתחו את המסמכים המצורפים!!!

ההיסטוריה של הווירוסים רחבה הרבה יותר ממה שנכתב בשורות הבודדות הללו והיא, לדעתי, מאוד מעניינת אבל את הנטל אני משאיר לכם להעמיק.

מה מחכה לנו בעתיד

ללא ספק שום דבר טוב. מספר הוירוסים או אחרים קטגוריות תוכנה זדוניות זה ממריא ולעיתים קרובות לא קל אפילו לסווג איומים. שוק העבודה דורש יותר ויותר מומחי אבטחת סייבר אך בתי הספר אינם מסוגלים לכסות את הצרכים. במדינות רבות, עבודתו של מומחה אבטחת סייבר היא לעתים קרובות בתשלום נמוך, וחמור מכך, לא מובנת לחלוטין. הדבר גורם לבעיות רבות בחברות קטנות ובינוניות אך גם במינהל הציבורי כולו. צריך לזכור שכאשר אנחנו מדברים על וירוס אנחנו מתכוונים לא רק לאלה של מחשבים אישיים אלא גם לסוגים אחרים של מכשירים, החל ממכשירי סמארטפון ועד IoT (מכשירים ברשת כמו מצלמות מעקב...) ולכל עולם המכשירים התעשייתיים, האוטומציה הביתית ובקרוב ממשקים אנושיים - מכונה. מושתל ישירות על בני אדם.

לבסוף, ההשקעה הטובה ביותר שניתן לעשות היא באנשים. כל טכנאי IT מיומן, כל עובד מיומן ומשכיל יכולים לעשות את ההבדל בין מתקפה מוצלחת למתקפה כושלת. לתרבות אבטחת הסייבר וההכשרה הבסיסית ישנה חשיבות מהותית למניעת נזקים שלעיתים בלתי הפיכים, והעלות בוודאי נמוכה מהנזק שנגרם מתקרית סייבר. 

בואו ננסה לזכור את זה בזמן, במקום לבכות על זה כשזה מאוחר מדי!

נ.ב. אני מודה לכל החברים של SICYNT להצעות וביקורות.

1NIST SP 800-28 rev 2. Trad: תוכנית שמשכפלת את עצמה על ידי הצמדת עצמה לתוכנות או קבצים אחרים, שבהם היא משתמשת כדי להסתיר את עצמה עד להפעלה.

2NIST SP 800-82 rev 2. Trad: חלק נסתר, משכפל עצמי, זדוני בדרך כלל של תוכנה שמתפשט על ידי זיהום (למשל על ידי הכנסת עותק של עצמו ובכך הופך לחלק) מתוכנית אחרת. וירוס לא יכול להפעיל את עצמו, הוא מחייב את התוכנית המארח לפעול כדי להיות מופעל.

מידע נוסף:

וירוס - מילון מונחים | CSRC (nist.gov)

היסטוריה קצרה של וירוסי מחשב ומה צופן העתיד (kaspersky.com)

היסטוריה קצרה של וירוסי מחשב (sentrian.com.au)

הווירוסים הראשונים: Creeper, Wabbit ו-Brain. (infocarnivore.com)

וירוס: W32 / מליסה תיאור | F-Secure Labs