תולעת גרעינית - לא אצלנו בבקשה

לאחרונה עסקה התקשורת באינטנסיביות בתולעת המחשב סטוקסנט (stuxnet), שהתגלתה במחשבי הכור האירני בבושהר. למרות שעובדה זו כשלעצמה הייתה חדשה מעניינת, הסיפור הפך לפיקנטי עוד יותר עם פרסומים לפיהם יחידת מודיעין מיוחדת של ישראל היא זו שפרצה למחשבי הכור הגרעיני. אבל הגארדיאן (Guardian) הבריטי הרגיע את הדמיון המשתולל של כולנו, כשפרסם ב-24.9.10 ציטוט מתון של אלן בנטלי, סמנכ"ל בכיר בחברת האבטחה "לומנשן": "קשה מאוד להוכיח ב-100% מי יצר את התוכנה המזיקה, אלא אם כן ניתן לאסוף עדויות מהמחשב המסוים שעליו הוא נוצר, או אם מישהו יודה בזה". כך או אחרת, בעקבות הפרסום המרעיש התפתח דיון ער בעניין התולעת הספציפית, שכוונה והגיעה עד לכור הגרעיני באירן, ובעניין אבטחת מחשבים בכלל.

הקוד העוין שכבר זוהה במחצית חודש יולי 2010 פוגע, לפי פרסומים במהדורות החדשות, בבקרי תקשורת של תשתיות פיזיות, ובמיוחד כמו במקרה של אירן, בתשתיות לאומיות. הגנות שונות הוצעו מאז אמצע שנה זו על-ידי חברות אנטי-וירוס. ראוי לציין את מעבדות ESET, שפרסמו מחקר אמין ומבוסס בשם "סטוקסנט מבעד למיקרוסקופ". הדוח מסביר: "ניהלנו מחקר טכני לגבי סטוקסנט שהיא כיום התולעת המושמצת ביותר, שלפתע משכה את תשומת הלב של כולנו. המחקר נערך מכיוון שמבחינה טכנולוגית התולעת היא אולי אחת התוכנות המזיקות ביותר שפותחו אי-פעם לתקיפות מכוונות, נכון לרגע זה. בעיקר ערכנו את המחקר, כדי להראות איך טכנולוגיה משרתת התקפות ממוקדות".

ניתן לחשוב מהדיונים הללו שהתולעת מאיימת רק על ארגונים גדולים, מרובי תשתיות, אולם דבר זה רחוק מהאמת וכמו תמיד ציבור בעלי העסקים הקטנים והבינוניים, שמונה לפחות 80% מהשוק הכלכלי העולמי, עלול להיפגע. קרוב לוודאי שהפגיעה תהיה קשה יותר מכיוון שלתאגידים הגדולים יש צוות אנשי תוכנה מיומן ואילו בעלי העסקים הקטנים והבינוניים בדרך-כלל אינם מוגנים כלל וחסר להם ידע טכני מתקדם במחשוב.

מאי דואק, מנהלת מחלקת אינטרנט בחברת השיווק פרומו: "אני בונה אתרים חכמים עבור עסקים רבים ומגוונים. השקעה באתר חכם מחייבת השקעה באמצעי אבטחה כדי להגן על ההשקעה של הלקוח. אני ממליצה לנקוט במספר אמצעי זהירות בסיסיים":

• עדכנו את תוכנות האבטחה ואת מערכת הניהול של האתר באופן שוטף;

• הימנעו מסיסמאות פשוטות וצפויות מדי כמו "1234", תאריך יום הולדת או מספר זהות. קל מדי לנחש אותן. מצד שני אל תיסחפו לסיסמאות מסובכות מדי שקשה לזכור מפני שזה יגרום לכם לרשום אותן על פתק, מה שגורר בעיית אבטחה נוספת. רצוי גם לשנות סיסמאות על בסיס קבוע;

• לגבות שוב ושוב. חשוב לקחת בחשבון תקיפות, שיכולות למוטט את האתר של העסק - וזה אכן עלול לקרות. תדירות הגיבוי צריכה להתאים לתדירות עידכוני הנתונים. וכאשר יש גיבוי הולם ניתן לשחזר את הנתונים מחדש בקלות וללא הוצאה כבדה לבעל האתר;

• בידקו על איזה שרת מאוחסן המידע שלכם, וודאו שמדובר בחברת שרתים רצינית, מוכרת ומאובטחת היטב.

נדב פופלבסקי, מנכ"ל וובוקס, חברה המספקת שירותי מחשוב עננים (SaaS): "המידע הארגוני שלך נמצא ממילא כבר היום באינטרנט והנתונים זורמים. אם המחשב והשרת שלך נמצאים שם, המשמעות היא שמישהו יכול, בעזרת האמצעים המתאימים, להגיע לנתונים העסקיים שלך. אם כך, השאלה האמיתית היא - מה לעשות כדי להגן עליהם בצורה הטובה ביותר?"

נדב תורם מספר טיפים משלו - "עשה ואל תעשה" למען אבטחה הולמת:

• אל תאפשרו לאוטו-ראן (AutoRun) להיות הפרצה שקוראת לגנב, כי היא אכן מנוצלת בעקביות על-ידי סוגים שונים ורבים של תוכנות מזיקות. במילים אחרות, נטרלו אותו;

• מערכות הפעלה בעלות משתמשים מרובים מאפשרות להקצות חשבון לשימוש יומיומי עבור כל אחד, עם הרבה פחות הרשאות מאשר לאדמיניסטרטור, זה יקטין את הסיכוי להתקנה הרסנית של תוכנה מזיקה;

• אל תתפתו לגישה של "אני יכול להקליק על כל דבר מפני שהאנטי וירוס שלי כבר יגן עלי". קל לזייף כתובות אימייל כך שייראו כאילו הגיעו משולח מוכר. ניתן גם לשלוח אימיילים מהכתובת שלכם ללא ידיעתכם על-ידי תוכנה מזיקה. ויש דרכים רבות נוספות להסוות קישור מזיק כך שייראה כמו משהו לגמרי שונה. כדאי לנקוט אמצעי זהירות בסיסיים כמו להעביר את העכבר על הקישור כך שהקישור האמיתי (הסמוי) יתגלה;

• אנטי וירוס אינו אבטחה מוחלטת ולא ניתן לצפות מתוכנת מאנטי וירוס להגן על נתוני העסק מכל איום שהוא. הוסיפו אמצעי הגנה נוספים (הגנה לעומק) כמו פיירוול, אנטי ספאם ואנטי פישיניג;

• אל תשתמשו בתוכנות פיראטיות-חינמיות, בעיקר כשמדובר באבטחה. התוכנות הללו פותחות פתח להחדרת תוכנות מזיקות למערכת. כדאי להיות זהירים וספקנים ולא להיענות להזמנות בלתי קרואות להוריד תוכנה חדשה, אפילו אם התוכנה נראית כאילו הגיעה מאתר מוכר ואמין. כן, המשמעות היא שתצטרכו להשקיע בפתרונות אבטחה בעלי מוניטין;

• כיום, כאשר יותר ויותר חברות עסקיות בוחרות במחשוב ענן, חשוב לוודא שהספק אכן דואג לאבטחת נתונים בצורה הולמת. וגם כאן יש לבחור בחברה בעלת מוניטין, שקיבלה המלצות חיוביות מלקוחות מוכרים. ספקיות מחשוב ענן חייבות לדאוג לאבטחת נתונים מרבית, אבל חשוב לזכור שהתחום עובר תהליכי צמיחה. לכן ודאו עד כמה החברה מנוסה בתחום. הודעה לעיתונות שהוציאה גרטנר ביולי 2010 מחזקת נקודה זו: "הפופולריות של שירותי מחשוב ענן גדלה בצורה משמעותית במשך חמש השנים האחרונות וחששות התחלתיים של ארגונים רבים לגבי אבטחת נתונים, זמן תגובה, שירות וזמינות נעלמו. הצמיחה נובעת מהעובדה שהמודל הפך לבשל יותר" - כך לפי ציטוט של שרון מרץ - דירקטורית מחקר.

לסיכום אומר נדב פופלבסקי: "כשזה מגיע לאבטחה - אל תתפשרו! וכאן המקום להוסיף מספר סימני קריאה. כמנכ"ל חברה הייתי מחפש את הספק עם המחויבות הגבוהה ביותר לנושא האבטחה. כדאי לשאול את כל השאלות הנכונות מבעוד מועד: כל כמה זמן מתבצע גיבוי, איך מתוחזקים ומנוהלים השרתים, איך נשמרת הפרטיות שלכם כלקוחות ועוד. זה אולי גוזל זמן אבל משתלם מאוד אחר-כך, בהתנהלות היומיומית של העסק".