ערכות פריצה: כלי העבודה של הפשיעה באינטרנט

ערכות פריצה הן בעצם אסופה של כלים שמשולבים לחבילה נוחה אחת עם ממשק פשוט, שמאפשר לתוקף להשתמש במגוון של התקפות כנגד מספר גדול של גולשים באינטרנט. ערכות הפריצה התחילו להופיע בשנת 2006 בעוד שכלי פריצה "בודדים" קיימים כבר קרוב ל- 20 שנה בצורות שונות ומגוונות, והופצו בימיהם הראשונים בחינם דרך BBS ובהמשך החלו רובם להימכר בפורומים מחתרתיים שונים. בדרך כלל הערכה תכלול גם כלים שיאפשרו לתוקף לשתול קוד זדוני בשרתים שמאכסנים אתרים פופולריים, כך שכל גולש שיכנס לאתר הנגוע יותקף אוטומטית בכל הכלים שהערכה מכילה.

על מנת להגדיר את מרבית ערכות הפריצה, נדרש התוקף להתקין את הערכה על שרת Web server. הידע הטכני המורכב ביותר שנדרש מהתוקף הוא במספר פקודות UNIX פשוטות שדרושות להתקנה של Web Server, שניתן למצוא בקלות שירותי אחסון (hosting) און-ליין חינמיים שיחזיקו אותו. שירותי אחסון בתשלום יחסכו מהתוקף גם את הפעולות הפשוטות הנ"ל ויתנו גישה לשרת וירטואלי שמוכן כבר להתקנה של ערכת הפריצה. חלק מערכות הפריצה גם מכילות התקנה אוטומטית של ה Web server כמו לדוגמא הערכה שנקראת Fragus

מרבית ערכות הפריצה הפופולריות כיום "יורות" ללא אבחנה על כל גולש שנכנס לאתר הנגוע בשימוש בכל הכלים שהן כוללות, ושותלות קודים זדוניים שמנצלים פרצות אבטחה נפוצות במערכת ההפעלה, בכל הדפדפנים הנפוצים, ובאפליקציות פופולריות כמו Adobe flash,Adobe Reader, Quicktime ו- Java. חלק מפרצות האבטחה שהערכות מנצלות קיימות כבר מספר שנים, ולמרות זאת הן עדיין כלולות בגרסאות העדכניות ביותר של הערכות, מה שמראה שישנם עדיין גולשים רבים באינטרנט שאינם מודעים אפילו לאפשרות של עדכון תוכנות, ולא רק כאלה ששוכחים לעדכן בקביעות.

הערכות היקרות והמשוכללות יותר יודעות גם לסרוק בצורה חכמה את המחשב של הקורבן המיועד שמגיע לאתר הנגוע, ולהתאים את כלי ההתקפה לפי סוג הדפדפן שבשימוש והגרסה שלו, מה שמגביר את הסיכוי שההתקפה תצליח. בקישור הבא ניתן לראות טבלה שמראה ערכות פריצה מובילות ואת פרצות האבטחה שהן מנצלות. בין הערכות הפופולריות ניתן למצוא את הערכה עם השם המתאים Crimepack שנמכרה נכון למרץ 2010 ב-400$, הערכה שנקראת YES שנמכרה באפריל השנה ב-900$, והכותבים של הערכה Eleonore שקיבלה פירסום השנה לאחר שהשתמשו בה כדי לפרוץ לאתר של משרד האוצר של ארה"ב, הרשו לעצמם לדרוש עבור הגרסה החדשה שלה 1200$ עם אפשרות להשקיע 300$ נוספים עבור האפשרות להגדיר את הערכה על ה Web server של התוקף, לאחר שעלתה ביולי 2009 "רק" 700$.

אז למה אותם עבריינים אינטרנטיים מוכנים להשקיע סכומים כאלה בערכות פריצה? ניתן להרוויח סכומים משמעותיים במגוון שיטות שהערכות מציעות:

· גניבת מידע – התוקף משתמש ב- Keylogger או נוזקה אחרת שבעזרתם הוא גונב מהקורבן סיסמאות גישה לאתרים או חשבונות דוא"ל ומשתמש בהם או מוכר אותם לעבריינים אחרים.

· בוט נט (Bot Net) – התוקף שותל קוד זדוני שהופך את המחשב המותקף ל"זומבי" שהוא חלק מרשת שלמה של מחשבים ששולחים עבורו הודעות ספאם ללא הפסקה, כאשר קיימות חברות שמציעות שירות ספאם שניתן להירשם אליו ותעריף קבוע לפי כמות הספאמים שנשלחת.

· התקנת נוזקות – התוקף שותל נוזקות או תוכנות אנטי וירוס מתחזות במחשבים כאשר הוא מתוגמל לפי כמות ההדבקות ומיקום הקורבנות. כאשר מותקנת תוכנת אנטי וירוס מתחזה, היא מטרידה את המשתמש עד שהוא משלם את דמי הרישום, שמתוכם מופרש אחוז מסוים לתוקף. קיימות גם תוכניות Pay-Per-Install (PPI) שניתן להירשם אליהן ולהוריד בתור מנוי נוזקות עדכניות מהאתר של החברה שמציעה את התוכנית. חלק מהחברות (שהן אירגוני פשע לכל דבר) מעסיקות מתכנתים שכותבים את הנוזקות, וחלקן פשוט מפיץ נוזקות עבור חברות אחרות. בטבלה הבאה ניתן לראות תעריפים של תוכנית PPI לדוגמא:

תעריף בדולרים לכל 1000 תחנות נגועות

מדינה

170

ארה"ב

120

קנדה

110

בריטניה

אוסטרליה, אירופה

לכל מי שרץ עכשיו לרכוש לעצמו ערכת פריצה כדאי גם לדעת שהיוצרים של הערכות שותלים בהן backdoors שמאפשרים להם לפרוץ לשרתים ולמחשבים האישיים של אותם התוקפים שמשתמשים בערכות שלהם. בנוסף לכך קיימות גם פרצות אבטחה נוספות שהמתכנתים שכותבים את הערכות לא מודעים אליהן. בכנס האבטחה Syscan security conference שנערך השנה בסינגפור הופיע נציג של חברת האבטחה TEHTRI-Security שחשף 13 פרצות אבטחה שונות במספר ערכות פריצה שהזכרתי קודם. רשויות אכיפה והאקרים משתמשים כבר מספר שנים באותן פרצות ובעוד כאלה שעדיין לא פורסמו כדי להתחקות אחר העבריינים שעושים שימוש בערכות.

לסיכום, כדי להתגונן מפני התקפות של ערכות פריצה, חובה להתקין על המחשב תוכנת אנטי וירוס טובה, שכוללת חומת אש ויכולת לסרוק תעבורה בפרוטוקול HTTP/S שדרכו עובר המידע מאתר האינטרנט למחשב. כמו כן חשוב מאוד לעדכן באופן קבוע את מערכת ההפעלה, את הדפדפן ואת האפליקציות המשמשות לגלישה.

בחלקים הבאים נסקור לעומק מספר ערכות פריצה נוספות, הראשונה שבהן, ובעלת השם המקורי ביותר, היא ה - Crime Pack . אנו נלמד למה היא מסוגלת ואיך להתגונן מפניה.

הכותב הוא אמיר כרמי, ראש צוות התמיכה הטכנית בחברת קומסקיור, הנציגה הבלעדית בישראל של חברת ESET, מפתחת האנטי וירוס ESET NOD32 וחבילת האבטחה ESET Smart Security. קומסקיור מפעילה בארץ מוקד תמיכה ופתרונות טכניים בשפה העברית.