כופרות - הבלוג של לביא לזרוביץ - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

מה צופנות הכופרות בלילות?

הכופרה היא אחת מאיומי הסייבר הכי רועשים ל-2018 ■ פוסט של דורון נעים, חוקר סייבר בכיר בסייברארק ואורח בבלוג, על מקור הכופרות ומקומן בעתיד

אילוסטרציה לתוכנת מחשב

דורון נעים

מי מאתנו לא שמע על ארגון גדול, בית עסק, חבר שנפל קורבן לתופעת נוזקות הכופר ('כופרה' ע"פ האקדמיה ללשון, ובלעז Ransomware)? אם טרם שמעתם על המושג הזה, בדקו עצמכם, אולי ופספסתם גם דברים חשובים אחרים. בכל זאת, לפני שתפנו למקורות קריאה חיצוניים, נאמר בקצרה כי כופרה היא נוזקה שמטרתה העיקרית היא רווח כספי. זו מגבילה את הגישה של המשתמש אל נכסיו, למשל הצפנה של מידע המאוחסן בכוננים קשיחים, כוננים חיצונים, שרתים ושירותי ענן. בתמורה לשחרור המידע, על הקורבן לשלם כסף בחזרה לתוקפים. נשמע כלכלי לא?

במהרה, הפכה הכופרה מאיום אבטחתי שמעטים מכירים לנושא החם שכל ארגוני הענק חוששים ממנו. השינוי לא בחל על אף אחד מהצדדים: חברות ענק השקיעו כספים רבים ע"מ להגן עצמם מפני האיום ואילו תוקפים הזדרזו במירוץ החימוש. 2013 היתה השנה בה הנושא החל לקבל הכרה בתודעה הציבורית, אז היה מספרן של "משפחות" הכופר (משמע סוגי כפרות) מועט, אותן היה ניתן לספור על עשר אצבעות. עתה בימינו קיימים אלפי סוגים שונים, שאת רובם הגדול אפשר ליצור בחינם או לקנות בקלות בדארק-נט.

כופרות אל מול איומים אחרים
MalwareBytes

אם נבחן את התופעה במספרים, בין אפריל 2014 ויוני 2015 הסכום המצטבר שנגנב על ידי משפחה בודדת אחת (העונה לשם Cryptowall), עמד על כ-18 מיליון דולר. מגמת העליה נשמרת גם לאורך השנתיים האחרונות, מגמה שמסבירה את היווצרותן של חברות שחורטות על דגלן את ההגנה מפני איומי כופרה, ובו בזמן את ה"שיפט" שעשו חברות אבטחת מידע ותיקות תוך התאמה לצרכים העכשוויים.

במידה וקראתם בקפידה עד עכשיו, בוודאי עולות בכם מספר שאלות (ואם לא אנחנו כאן כדי לעזור): "איך הכל התחיל? למה דווקא עכשיו? האם אפשר לשחזר את החומר המוצפן? והאם מדובר בגימיק חולף ותו לא?"

השאלה האחרונה היא שאלה הרת גורל שמעסיקה רבים מתעשיית אבטחת המידע. הכופרה הגיחה ביום בהיר ובצורה מאוד אינטנסיבית אל חיינו, תופעה שלרוב גוררת גם דעיכה מאוד מהירה - אך לא במקרה הזה. כעת תעשייה שלמה מתקשה לנבא את עתיד האיום, זאת מן הסיבה הפשוטה שטרם נראתה תופעה דומה לזו. החשיבות בניבוי האיום מובנת, שהרי בצפיית העתיד טמונה היכולת של חברה להוביל שוק או לחלופין להפסיד, ובגדול.

כדי להיות מסוגלים להניח מהו מקומן של כופרות בעתידנו, עלינו להכיר יותר טוב את האיום ואת קורותיו.

איך כופרה נולדת? כמו תינוקת

הפעם הראשונה שהעולם היה עד לתוכנה זדונית המבצעת הצפנה לצורך סחיטה כספית, היתה התכנה של  ג'וסף פופ AIDS ב-1989. זו הצפינה את הקבצים על הדיסק הקשיח ודרשה בתמורה סכום "נכבד" של 189 דולרים ע"מ לשחזר את תוכן הקבצים. למתעניינים בנינו על גורלו של פופ, הוא נעצר, טען לאי שפיות והבטיח לתרום את כל הכסף שנגנב (איך לא?) למחקר מחלת הAIDS. הדרך של פופ במימוש התקיפה סבלה משתי בעיות עיקריות:

1. אופן ההצפנה - פופ השתמש במפתח סימטרי ע"מ להצפין. כלומר אותו מפתח שמצפין הוא גם זה שמפענח, דבר שמאפשר שחזור של החומר המוצפן ביתר קלות בשל שימוש המפתח במחשב הנתקף.

2. העברת הכסף - פופ דרש מהנתקפים, בתקופה נאיבית שכזו, להעביר את הכסף לחשבון בנק. משם קל היה לכוחות האכיפה לזהות אותו ולהענישו.

רק ב-2005 שוב היתה עליה בכתיבת נוזקות המבצעות פעולת כופר כמו Cryzip ו-Archiveus. עלייתן היתה זמנית ולאחר מכן שוב נעלמו מהתודעה. אחת הסיבות המרכזיות לכך היא המודל העסקי, היכולת של התוקף לקבל את הכסף בצורה אנונימית ובטוחה.

השוק שוב חזר להתעסק בבעיות של הדלפת מידע רגיש, ריגול והרס. בעיית הכופר שוב נדחקה הצידה.

ההבדל: מטבעות דיגיטלים

קריפטולוקר היה פורץ הדרך (2013 בגרסאותיו המתקדמות), הוא הצליח לפתור את שתי הבעיות שפופ סבל מהן. אופן ההצפנה הפך מסימטרי לא-סימטרי, כלומר המפתח שמצפין (המפתח הציבורי) הוא מפתח שונה מהמפתח שמפענח (המפתח הפרטי) המוחזק ע"י התוקף - ומכאן הקושי בשחזור המידע בניגוד לעבר. בנוסף, העברת הכסף הפכה דבר פשוט בשל עליית ערכו של מטבע הוירטואלי ביטקוין. בהישענותו על הטכנולגיה מאחורי הביטקוין המאפשרת אנונימיות מוחלטת, הצליח זה להפוך את מתן קבלת הכסף לבטוח מאוד, כזה בטוח שיאפשר לו לפעול במתארים רבים ולאורך זמן.

מסך כופר של משפחת WannaCry

ב-2017 אלו היו WannaCry ו NotPetya שהכניסו מימד אחר לעולם הכופרות. אלו השתמשו בחולשה שנכתבה ע"י הNSA וזלגה לתודעת הציבור הרחב, כזו המאפשרת לכופרות להתפשט במהרה בין מחשבים ובכך להגדיל משמעותית את יכולת ההדבקה (ובאופן לינארי גם את כמות הרווח הפוטנציאלי). בנוסף, הן השתמשו בכלי תקיפה מוכנים ע"מ לגנוב סיסמאות מתחנת הקצה. אותן כופרות עשו שימוש בסיסמאות כדי לרוץ על מחשבים נוספים ברשת, כאלו שלא היו בהכרח פגיעים לחולשת ה-NSA.

השלב הבא - "ממטבע באת ולארנק תשוב"

כפי שהזכרנו, המטבעות הדיגיטלים הם אלו שהפכו את מודל הכופר למודל עסקי מצוין עבור תוקפים. בחודשים האחרונים, מטבעות אלו הפכו ויראלים אף יותר ונרכשים ע"י אוכלוסיות שבעבר לא היו מודעות כלל למגזר הפיננסי הצומח. דבר שגורם לנו להאמין כי הצעד הבא של תוקפי הכופרות יהיה לשים למטרה את ארנקי המטבעות. כיום, חלק מבעלי המטבעות הדיגיטלים שומרים את ארנקם הדיגיטלי במחשב, דיסק און קי, כונן קשיח ואפילו בענן. מביני העניין מטיבים להשתמש בהצפנות ייעודיות ע"מ להגן על ארנקן מפני גניבה, אך שוב, גניבה היא בעיה אחת וכופר היא בעיה אחרת לחלוטין. במקרה בו הארנק אינו מוצפן, התוקפים יוכלו לגנוב את הכסף ישירות מהארנק עצמו. אך במקרה בו הארנק מוצפן, תוקף יבצע הצפנה נוספת ויבקש תמורת שחרורו כסף. מצב שכזה יכול להעמיד את הנתקפים בבעיה חדשה לחלוטין שטרם ראינו.

לסיכום: גימיק או לא?

הכופר הוכיח את עצמו לאורך ארבעת השנים האחרונות כקונספט כלכלי מצליח. תוקפים אינם נתפסים בקלות וקורבנות, מחברות ענק ועד אנשים פרטיים, ממשיכים לשלם כסף עבור שירות הפענוח. נראה שכל עוד המטבעות הדיגיטלים ימשיכו להיות בשימוש הציבור בתצורה הזאת, ללא פיקוחים וללא שינויים, כופרות ימשיכו להיות חלק בלתי נפרד מסט האיומים בחיינו. אז גימיק? כנראה שלא, גם כי ארבע שנים זו תקופה ארוכה מדי לגימיק או טרנד בכל אשר הוא. בינתיים, המודעות עולה וגיבויים הפכו להיות קריטיים יותר מתמיד. במקביל, פתרונות למגזר העסקי והפרטי ממשיכים לרדוף אחרי התוקפים שעדיין לא ויתרו.

דורון נעים הוא חוקר אבטחת מידע בכיר בסייברארק ומתארח השבוע בבלוג

הרשמה לניוזלטר

כל הסקירות בזירת הניתוחים של TheMarker - בתיבת המייל שלכם

ברצוני לקבל ניוזלטרים, מידע שיווקי והטבות


תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות שאולי פיספסתם

*#