$
חדר מחשבים

מוטציות של וירוסים בשדה הקרב הקיברנטי

מה הקשר בין וירוס מחשב ווירוס ביולוגי? מה ניתן ללמוד מהווירוסים הביולוגיים על מנת להילחם במקביליהם הקיברנטיים? על החיבור בין ביולוגיה וסייבר

דניאל כהן ואביב רוטברט 15:2802.07.13
מוטציה גנטית, היא טעות בשכפול ה-DNA. המוטציות הן הגורם להבדלים בין בני האדם, בזכות המוטציות יכולים היצורים לעבור התאמה לסביבה והן המניעות את האבולוציה. מוטציה היא למעשה וירוס שעובר שינוי גנטי מסוים – שינוי שמשפיע על חלק מהתכונות שלו ועשוי להפוך אותו לעמיד יותר בפני מערכת החיסון, קטלני יותר, בעל יכולת התפשטות טובה יותר. כל עונה אנחנו מתמודדים עם מוטציות חדשות של וירוסים מוכרים.

בהשאלה מעולם הביולוגיה, ישנו שימוש בדיון הציבורי במרחב הסייבר במושג "וירוס מחשבים". הכוונה היא לקוד מחשב זדוני שמסוגל לחדור למערכת מחשוב ולבצע בה פעולות של ריגול או גרימת נזק. כתגובה לכך, קיימות תוכנות אנטי-וירוס שמטרתן להכיר וירוסים שעשויים לתקוף מערכת מחשוב ולבלום אותם כאשר הם מנסים לחדור אל תוך המערכת. למעשה, תוכנות האנטי-וירוס מהוות "חיסון" של המחשב כנגד וירוסים מוכרים.

 

קיימת סברה לגבי מרחב הלחימה הקיברנטי, לפיה וירוס או קוד זדוני אחר שנעשה בו שימוש לתקיפה, והתגלה על ידי חברות אבטחה, הופך להיות חסר תועלת בעתיד – מכיוון שתוכנות האנטי וירוס מכירות אותו, פותח חיסון נגדו והוא לא יכול להזיק יותר. במילים אחרות – וירוס מחשבים הוא נשק חד פעמי. אך לא כך הם פני הדברים.

 

מה בין וירוס ביולוגי לווירוס מחשבים? מה בין וירוס ביולוגי לווירוס מחשבים? צילום: shutterstock

 

בדומה לוירוסים מעולם הביולוגיה, גם קוד זדוני יכול לעבור תהליך שינוי שיהפוך אותו חסין מפני תוכנות אנטי-וירוס. בהשאלה נוספת מעולם הביולוגיה, קוד זה יכונה כ-"קוד מוטציה". קוד זה הוא בעל מאפיינים פונקציונליים דומים (עד כדי זהות מוחלטת) לקוד האב שממנו הוא נוצר. ההבדל בן קוד האב לקוד המוטציה הוא סינטַקטי (מִבני) בלבד ולא סמנטי, במטרה לחמוק מהרדאר של תוכנות לזיהוי פוגענים.

 

מוטציה קיברנטית?

 

כיצד נוצר קוד מוטציה? ראשית, כל כלי תקיפה מורכב ממספר מודולים (רכיבי תוכנה). בין היתר ניתן למנות את המודול האחראי להסוואת הכלי במערכת המותקפת, מודולים שונים לאיסוף מידע, מודול לאחסון המידע ומודול לשליחת המידע אל שרתי הפיקוד והבקרה של הכלי. אם סוס טרויאני התגלה ונחתם, ניתן לעשות שימוש חוזר בחלק מן המודולים שלו, כאשר אלה משולבים בתוך קוד של סוס טרויאני אחר.

 

שילוב כזה ייצור קוד מוטציה שעשוי לחמוק מתחת לרדאר של מערכות אנטי-וירוס. דרך אחרת לשימוש חוזר בקוד זדוני היא על ידי הסוואתו בשיטות המוכרות מעולם התוכנה כעִרפול (obfuscation) ואריזה (packing). אלה יכולות לעיתים לשנות את הקוד הזדוני באופן שהוא לא יתגלה על ידי תוכנת הגנה. לבסוף, גם אם לא יתאפשר שימוש בקוד שהתגלה, ניתן לפתח כלי חדש המבוסס על רעיונות ואופני פעולה דומים ומנצל את אותן החולשות כמו הקוד המקורי.

 

הסביבה האסטרטגית-קיברנטית כוללת שימוש בנשק קיברנטי לפעולות חדירה למערכות האויב לצורך ריגול, לוחמה פסיכולוגית, הרתעה, נזק למערכות תקשוב או ליעדים פיזיים. יש להבחין בין יכולת התקפית רחבה וממושכת על יעדים אסטרטגיים ובעלי יכולת הגנה גבוהה, לבין התקפה שעלולה לגרום נזקים מקומיים או זמניים.

 

יכולת תקיפה מהסוג הראשון שמורה לעת עתה בידי מספר מצומצם של מדינות, ונדרשים לה משאבים גדולים. לעומת זאת, ליכולת מהסוג השני נדרשת עלות נמוכה, ולכן כבר כיום ניתן לראות סימנים לייצור נשק המוני אשר זמין גם בשוק החופשי, ונמצא בשימוש של ארגוני טרור ופשע.

 

תוכנות אנטי-וירוס לא יודעות להתמודד באופן יעיל עם מוטציות "קיברנטיות" תוכנות אנטי-וירוס לא יודעות להתמודד באופן יעיל עם מוטציות "קיברנטיות" צילום מסך: panda cloud antivirus

 

וירוסים מוטנטים, מאפיה ו-NSA

 

היכולת ליצור קודי מוטציה מצמצמת את הפער הטכנולוגי בין שחקנים במרחב הסייבר. על מנת ליצור כלי נשק קיברנטי מתוחכם אמנם נדרשת מדינה, אבל כדי לשכפל אותו ולעשות בו מוטציות מספיקה קבוצה אזרחית של האקרים מוכשרים. אלה יכולים לעשות בו שימוש לצרכיהם או למכור ולהפעיל אותו עבור אחרים תמורת תשלום.

 

מדינות ושחקנים לא-מדינתיים רבים מצויים במרוץ חימוש חשאי במרחב הסייבר. מפת האינטרסים של השחקנים השונים מעידה על כך שהתקפות מסוגים שונים במרחב זה דורשות מגורמים מדינתיים להיות ערוכים למגוון התקפות אפשריות. במקביל, תכונות ומאפייני שדה הקרב הקיברנטי מציבים בפני התוקף דילמות הנובעות מהיותו של הנשק הקיברנטי רב-פעמי, ולכן עצם השימוש בו חושף את יכולותיו בפני הקורבן, שיכול מצדו לעשות בו שימוש חוזר, כולל נגד התוקף עצמו (אפקט הבומרנג).

 

כלי נשק בעלי יכולת הרס אסטרטגי (כגון סטוקסנט) עלולים ליפול (או נפלו) בידי מדינות תומכות טרור וארגוני טרור ופשע, וישמשו בסיס לתקיפות סייבר. פיתוח עצמאי של כלי תקיפה קיברנטיים או רכישתם בשוק השחור עלולים להקנות לגורמים אלה יכולת ליצור נזק רב, אף אם כלים שהושגו באופן כזה אינם מגיעים לרמת תחכום של נשק קיברנטי המיוצר על ידי מדינות מתקדמות.

 

עם התגברות השימוש בנשק הסייבר על ידי מדינות, אנו נהיה עדים לתפוצה של נשק זה גם בקרב שחקנים לא מדינתיים (ארגוני טרור, פשע, חברות עסקיות). לכן קיים צורך חשוב לדיון להתייחס לכלי נשק קיברנטיים כנשקים רב-פעמיים שניתן לנצלם לתקיפות נוספות.

 

הכותבים הם חוקרים בתוכנית לוחמת סייבר של המכון למחקרי ביטחון לאומי אשר עורך את וועידת הסייבר השנתית בנושא אתגרי המגזר הפיננסי שתתקיים ב-9 ביולי.
בטל שלח
    לכל התגובות
    x