איך מגלים סוסים טרויאניים ומתגוננים מפניהם?

הסוס הטרויאני הוא אחד מסוגי האיומים הוותיקים ביותר בעולם המחשוב, אבל בתקופה האחרונה הוא זוכה לעדנה מחודשת. האבולוציה המהירה של איומים נפוצים אחרים - וירוסים, תולעים, תוכנות ריגול, פרצות אבטחה במערכת ההפעלה והיישומים - העמידו בידי המפתחים של הסוסים הטרויאניים יותר

כלים מאי פעם כדי לשפר ולייעל את פעולת המזיקים שהם יוצרים.

מערך אבטחה יעיל יכול להגן על המשתמש הביתי מרוב האיומים, אבל כדי להבין טוב יותר כיצד להתגונן מפני טרויאניים באופן ספציפי, בואו נתחיל בזה שנבין טוב יותר מהם ומה מקומם במפת האיומים העדכנית.

עוד בפרשת הסוס הטרויאני:

• פרשת הסוס הטרויאני - סיקור נרחב ב-ynet
• הותר לפרסום: פרשת ריגול במחשבי החברות הגדולות במשק
• המזמינים: מפלאפון ועד יס, אלו החברות החשודות
• החוקרים: אלה החוקרים הפרטיים המעורבים בפרשה
• אמנון ז'קונט ל-ynet: "הסיוט נגמר"
• פרשנות משפטית: "שימוש בסוס טרויאני מנוגד לחוק"
• "מודיעין עסקי הוא חלק מהחיים במשרדי הפרסום"
• יום הכיפורים של אבטחת המידע
• תדהמה בספורט: נעצר סגן נשיא מכבי חיפה
  

קצת מושגים

על פי ההגדרה, סוס טרויאני (Trojan Horse) הוא יישום עויין (Malicious) שמסתתר בקבצים או תוכנות תמימים למראה, כדי לחדור למחשב, זאת, למרות שכמו וירוסי תולעת, גם סוסים טרויאניים אינם זקוקים בהכרח לקבצים פונדקאים (Hosts), ולעיתים מגיעים בקבצים נפרדים.

חלק מהטרויאניים החדשים דומים לתוכנות ריגול (Spyware), אם לא בדרך פעולתם אז לפחות בשיטות בהן הם משתמשים כדי לחדור למחשב.

היום הם מגיעים לא רק בתוכנות וקבצי EXE, שמופצים כ-Attachments או על גבי דיסקים, אלא גם באמצעות תוכנות שיתוף קבצים ומסרים מיידיים, או אפילו דרך הדפדפן.

מאחורי כל קישור או תיבת דיאלוג שמציג הדפדפן, עשוי להסתתר יישום עויין מסוג זה או אחר - ברגע שהקלקתם, תוכנת הריגול או הטרויאני כבר במחשב (זה אחד הדברים שחבילת SP2 ל-Windows XP מתמודדת איתם, ולכן התקנתה היא אחד הדברים הראשונים שכדאי לעשות כדי להתגונן).

המכנה המשותף לתוכנות הריגול, הטרויאניים, ואיומים אחרים כמו Backdoors ו-Keyloggers: בניגוד לווירוסים, לרוב הם אינם משכפלים את עצמם, אלא מתיישבים בהיחבא בדיסק הקשיח ופועלים משם. חלקם אוספים מידע ושולחים אותו החוצה, אחרים מאפשרים לשולח לקבל שליטה גלויה או סמויה על המחשב.

בסך הכל, האבחנה בין סוגי האיומים השונים הולכת ומיטשטשת, וישנם מקרים בהם האיום מבוסס על שילוב בין מנגנונים שונים. חצי הכוס המלאה היא שגם אמצעי ההגנה דומים למדי.

מרכיבי ההגנה העיקריים

ישנם כמה קווים משותפים לרוב סוגי האיומים הקיימים היום על המחשב, כך שהטיפול ברובם יכול להיעשות בכפיפה אחת. נסביר תחילה מהם הסוגים העיקריים של ההגנות:

• זיהוי מבוסס חתימה - רוב הווירוסים, תוכנות הריגול והסוסים הטרויאנים, נעזרים במשתמש כדי לחדור למחשב שלו. הוא זה שיפתח את הודעת הדואר, יתקין את הקובץ הנגוע, וכו'. אין תחליף לעירנות מצד המשתמש, אבל תוכנה טובה יכולה לעזור. בהקשר זה יש עדיין חשיבות גדולה לשיטת ההגנה המסורתית מפני וירוסים: זיהוי מבוסס חתימה. מפתחי תוכנות ההגנה מקדימים לזהות יישומים עויינים חדשים לפני שהם מגיעים לתפוצה גבוהה, ומבודדים "חתימות" שלהם המשמשות כדי לזהות ולעצור אותם כשהם מנסים להיכנס למחשב. זהו המכאניזם העיקרי עליו מבוססים תוכנות אנטי וירוס ומוצרי Anti Spyware.
  
  
• זיהוי מזיקים גנרי - רוב התוכנות כוללות היום מנגנונים היוריסטיים (Heuristic) לזיהוי וירוסים, טרויאניים ומזיקים אחרים, לא באמצעות חתימה, אלא על ידי ניתוח ה"התנהגות" שלהם. הרעיון הוא לזהות יישומים וקטעי קוד שמנסים לבצע פעולות לא לגיטימיות, או לזהות את הפעולות הללו בזמן שהן מתבצעות ולעצור אותן. למרבה הצער, כלים אלו טרם הגיעו לרמת התפתחות שמבטלת את הצורך בפתרונות מבוססי חתימה, שחסרונם העיקרי בכך שאינם יכולים להגן עלינו רק אחרי שמזיק מסויים זוהה ופותחה הגנה מפניו.
  
  
• הגנה על ערוצי התקשורת - השיטה בה משתמשות תוכנות פיירוול, היא זיהוי חד ערכי של כל יישום שמשדר או קולט מידע, ולאפשר למשתמש להחליט אם לאפשר לו זאת או לא. הפיירוול גם מבחין באילו יציאות (ports) התקשורת מתבצעת, ומזהיר מפני חריגות מובהקות. לשיטה זו שני חסרונות: די בטעות פשוטה מצד המשתמש כדי לפתוח לרווחה את הדרך להאקר או לסוס טרויאני; ישנם יישומים מזיקים שמסווים את פעולתם בתוכנה לגיטימית, כמו דפדפן או תוכנת שיתוף קבצים.
  
  
• הצפנה - מכיוון שלא תמיד ניתן להגן על המידע מגניבה, לא מזיק לנסות להבטיח שגם אם מישהו ישים עליו יד הוא לא יוכל להשתמש בו. לשם כך, ישנם פתרונות שונים של הצפנה - של קבצים, הודעות דואר או של כל התעבורה באמצעות רשת פרטית וירטואלית (VPN). כמובן שבמקרה שבו האקר כבר חדר למחשב ועושה בו כשלו, לא תמיד יש בהם תועלת. למשל, מחשב שמחובר לעסק מרחוק באמצעות VPN אבל לא מאובטח בפיירוול, מספק להאקר תקשורת מאובטחת ישירות למערכת העסקית.
  
  
• פתרונות נוספים - נקודת התורפה של הפיירוול היא, שהוא אינו בודק את תוכן המידע, אלא רק את סוג הפעולה. בסביבה העסקית מקובל להיעזר בכלי הגנה נוספים: "רחרחנים" (Sniffers), שמאפשרים לעקוב אחרי כל הפעילות על תווך התקשורת ולזהות בה חריגות חשודות; מערכות לזיהוי חדירות (IDS), שמנתחות את תעבורת המידע על פי קריטריונים שונים, עם או בלי "הצצה" לתוכן המועבר, ומנסות לזהות פעילות לא לגיטימית; ועוד. רוב הכלים הללו דורשים ידע רב, או עולים כסף רב, ולכן לא מתאימים למשתמש הביתי או לעסקים קטנים.
  

טרויאנים: איך מתגוננים מפניהם?

אין הגנה מושלמת מפני טרויאנים, אבל שימוש באמצעים שהזכרנו יכול לספק הגנה יעילה יחסית. אנטי וירוס טוב יזהה מזיקים מוכרים, ולעיתים גם חדשים. מוצר Anti Spyware ישלים את פעולתו, ולעיתים יצליח במקומות בהם נכשל. הפיירוול לא תמיד ימנע חדירת סוס טרויאני, אבל יאפשר לזהות בדיעבד ש"משהו" מנסה לשדר מידע החוצה, ולחפש את הגורם.

לפני שנמליץ על כלי הגנה שימושיים, בואו נחדד את עקרונות ההגנה ונלמד כמה כללי אצבע חשובים:

• עדכוני אבטחה. לפני הכל: אל תסתפקו בהתקנת תוכנות - תעדכנו אותן! רוב המחשבים שנפגעים, יכלו להיות מוגנים לו המשתמשים היו מקפידים לעדכן את התוכנות ואת מערכת ההפעלה. בתור התחלה, חיוני להתקין את העדכונים הקריטיים של מיקרוסופט בעזרת Windows Update. עדכנו בקביעות גם את האנטי וירוס, פיירוול, Anti Spyware ושאר התוכנות, כדי להרחיב את ההגנה לאיומים חדשים ולסתום פרצות שנתגלו בהן.
  

• שימוש בפתרונות משולבים. הביאו בחשבון שכמעט אף תוכנה לא מגלה את כל האיומים תמיד. לא מומלץ להפעיל במקביל יותר מאנטי וירוס אחד, אבל מומלץ לבצע סריקה של הדיסק הקשיח במוצרים נוספים מלבד האנטי וירוס בו אתם משתמשים, לפחות מדי פעם. במקרה של תוכנות Anti Spyware זה ממש הכרחי כדי לקבל הגנה סבירה. כמו כן, מומלץ להיעזר בכלי בדיקה מקוונים, שמבצעים בדיקה מרחוק של המחשב.
  
  עוד דבר שחשוב לדעת: אם אתם מחלקים חיבור אינטרנט בין מספר מחשבים, לא מספיק להגן על המחשב שדרכו מתבצע החיבור. יש להתקין פיירוול ואנטי וירוס על כל המחשבים.
  

במה להשתמש?

• פיירוול - ה-Firewall המובנה ב-Windows XP עושה עבודה סבירה בשמירה על התקשורת הנכנסת, אבל לא מתמודד עם איומים שקשורים לתקשורת היוצאת. לכן הוא אינו יעיל נגד טרויאנים. פתרון מוצלח בהרבה מציעה תוכנת ZoneAlarm הפופולרית, שזמינה להורדה חינם באתר החברה. עוד פיירוול מוצלח הוא זה של Sygate, שגם היא מציעה גירסה חופשית. שימו לב לגירסת ה-Pro שלה, אחת היחידות בתחום שכוללת מודול IDS מובנה.
  

• אנטי וירוס - מלבד שלל התוכנות בתשלום, יש שני מוצרים חינמיים מצויינים: AVG של Grisoft ו-Avast של Alwil. שתי התוכנות מציעות כל מה שצריך להציע אנטי וירוס טוב מבוסס חתימות, וגם רמה מסויימת של הגנה גנרית. תוכנת אנטי וירוס נוספת שכדאי להכיר היא NOD32, הפחות מוכרת בארץ, אבל נחשבת לאחת התוכנות הטובות ביותר בתחומה. זהו מוצר מסחרי, אבל מאתר החברה ניתן להוריד גירסת התנסות. כדאי, משום שגירסה 2.50.19 החדשה כוללת מנגנון זיהוי גנרי שאמור להיות ראשון מסוגו ויעיל במיוחד.
  

• אנטי Spyware/Trojan - ריבוי הכלים בתחום עלול לגרום לכם לבחור בתוכנה עם יכולת מוגבלת. אנו ממליצים על שני הכלים שהתגלו כיעילים ביותר בבדיקות שערכנו, ומומלץ להשתמש בשניהם: AdAware של Lavasoft ו-Spy Sweeper של חברת Webroot. שימו לב ש-Webroot מספקת גם בדיקה מקוונת באתרה. שימוש משולב בשני הכלים האלה, מספק הגנה מבוססת חתימות יעילה כנגד רוב תוכנות הריגול והטרויאנים שקיימים. בכתבה זו תמצאו כלי אנטי ריגול נוספים, וכאן המלצות על תוכנות הצפנה.
  
  כלי נוסף שכדאי להכיר, למרות שאינו ידידותי, הוא TDS-3 של DiamondCS, המתמחה באיתור סוסים טרויאניים (ומזיקים נוספים), ושמלבד זיהוי מבוסס חתימות מפעיל מנגנון זיהוי היוריסטי מתוחכם מאד. אם התוכנה מבלבלת אתכם, פשוט בחרו System Testing ואז Full System Scan.
  

כלים מקוונים

כלי הבדיקה המקוונים יכולים להשלים את כלי האבטחה בהם אתם משתמשים, וכל האתרים ברשימה להלן שווים ביקור. שימו לב במיוחד למערכת של Panda Software שכוללת אמצעי זיהוי היוריסטיים.

אתרים ל"בדיקות אבטחה כלליות" מספקים בדיקה מקיפה שמתייחסת גם לקוד עויין, גם לפרצות אבטחה וגם לרמת העדכון של הכלים השונים. הנה כמה אתרים לזיהוי וירוסים, טרויאנים, Spywares ואבטחה כללית:

• Trend Micro
• Panda ActiveScan
• נורטון
• DSLReports