|
||||
|
||||
בנוסף לעבודה עם חתימות, תוכנות אנטי וירוס גם משתמשות במה שנקרא "זיהוי היוריסטי". ואם לצטט את עצמי: "בעת סריקה, התוכנה מחפשת סוגי התנהגות האופיינים לסוגים שונים של וירוסים. למשל, קובץ VBS המכיל בתוכו קוד לשלוח את עצמו לכל האנשים בפנקס הכתובת, יסומן כחשוד כוירוס. מכיוון שבסיס הנתונים מכיל רק מידע על סוגי וירוסים, ולא מידע ספציפי על הוירוסים עצמם, יש צורך לעדכן אותו רק כשיוצא וירוס מסוג חדש, ולא כשכל וירוס חדש מופיע (הרבה וירוסים חדשים פועלים באופן דומה לוירוסים קיימים)." מהפרטים הטכניים שפורסמו על הטרויאני ( http://securityresponse.symantec.com/avcenter/venc/d... http://www.nrg.co.il/online/10/ART/942/196.html ) מתברר שאחד הדברים שהוא עשה זה להעתיק את עצמו לתוך קובץ עם שם דומה לשם של קובץ מערכת- התנהגות נפוצה מאוד עבור תוכנות זדוניות. לכן השאלה הראשונה שלי הייתה- למה זיהוי היוריסטי לא תייג את ההתנהגות הזו כחשודה? בשיחה עם אבירם חניק מ-http://www.beyondsecurity.com שאלתי על זה, והוא אומר שהוספת בדיקה כזו לזיהוי היוריסטי מסוכנת מידי, כי עלולות להיות התרעות שווא רבות בזמן התקנת טלאים של מערכת ההפעלה. אני לא לגמרי בטוחה שזה נכון (אולי אפשר להתגבר על זה עם חתימות דיגטליות, שמיקרוסופט כבר משתמשת בהן לקבצי ההפעלה שלה?) בכל מקרה, גם בלי זיהוי היוריסטי כנראה היה אפשר למנוע את ההדבקות (למשל ע"י ביטול ההפעלה האוטומטית של תקליטורים בחלונות) או לפחות לזהות נסיונות לתקשורת FTP עם שרתים לא מורשים (ותמוה שהאפשרות בארגונים הייתה פתוחה בכלל). בארגונים עם מידע חסוי זה לא חכם ולא יעיל להסתמך רק על תוכנות אנטי וירוס שולחניות- כמו שציינת, הרבה מהם לא יזהו תוכנות זדוניות ללא תפוצה נרחבת, והתקפה ממוקדת נגד הארגון מן הסתם לא תשתמש בתוכנה נפוצה. |
|
||||
|
||||
שימוש ב ftp באמת מקל על זיהוי, אבל מה עושים נגד טרויאנים פקחים יותר שמשתמשים ב HTTP או SMTP? |
|
||||
|
||||
בקשר ל-SMTP: קודם כל, חוסמים גישה לשרתי SMTP מחוץ לארגון (לאנשים בארגון בדרך כלל אין צורך להשתמש בשרת SMTP חיצוני). שנית, מאפשרים גישה לשרת ה-SMTP הפנימי רק עם שם וסיסמא. שלישית, יש מערכות שסורקות דואר יוצא בארגון, בדיוק עבור דברים כאלו. זיהוי תעבורת HTTP הוא נושא מורכב יותר אם רוצים לתת לעובדים גישה חופשית למדי לאינטרנט. לפחות במקרה של הטרויאני הזה, הועברו כמויות מידע גדולות למדי לכתובת אחת. דבר כזה ניתן לזיהוי אם עוקבים אחרי התעבורה של המשתמשים בארגון. בנוסף, התעבורה לא הייתה מוצפנת- כך ששוב ניטור של התעבורה היה יכול לזהות משהו חשוד (כמו במקרה של דואר, יש מערכות שסורקות תנועה יוצאת בארגון, לגילוי דברים חשודים). אבל כמו תמיד באבטחה, אין פתרון מושלם. |
חזרה לעמוד הראשי | המאמר המלא |
מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים | |
RSS מאמרים | כתבו למערכת | אודות האתר | טרם התעדכנת | ארכיון | חיפוש | עזרה | תנאי שימוש | © כל הזכויות שמורות |