Elenore Exploits Pack, שידועה יותר בשם Eleonore Exp, התחילה את דרכה בגרסה 1.0 בסוף יוני 2009, והחלה להתפרסם בפורומים מחתרתיים במחיר צנוע יחסית של 300$. כמו רבות מערכות הפריצה שצצות בשנים האחרונות, גם היא פותחה וממשיכה להתעדכן ע"י צוות של האקרים רוסיים שמאורגנים וממומנים ע"י משפחות פשע מזרח אירופאיות. וכמו רוב ערכות הפריצה גם Eleonore Exp השתמשה בפרצות אבטחה ידועות למערכות הפעלה, דפדפנים ואפליקציות שמשמשות לגלישה באינטרנט, שלרובן המכריע יצאו כבר עדכונים שמתקנים אותן. דבר נוסף שמשותף לכל ערכות הפריצה הוא שהן קלות מאוד להתקנה, וכוללות ממשק נוח לשימוש – מה שמאפשר לעבריינים עם ידע בסיסי מאוד במחשבים להפוך ל"האקרים" ולהרוויח סכומי כסף משמעותיים על חשבונם של גולשים תמימים.
הקצב המרשים שבו יוצאות גרסאות חדשות ומשופרות לערכות הפריצה מראה שהפופולריות והרווחיות שלהן בשנתיים האחרונות רק צוברות תאוצה. רק חודש לאחר שיצאה הגרסה הראשונה של Eleonore Exp, יצאה ביולי 2009 גרסה 1.1 שהוסיפה לארסנל שלה עוד שתי פרצות אבטחה, אחת שמשתמשת ב ActiveX לדפדפן אקספלורר בגרסאות 6 ו- 7, ואחת שמשתמשת בהדבקה דרך הלשוניות בדפדפן Firefox 3.5. המחיר המעודכן שלה היה כבר 500$.
רק שבועיים לאחר מכן יצאה כבר גרסה 1.2 שהוסיפה פרצות אבטחה למסמכי Microsoft Excel ולמסמכי PDF, ואיפשרה למשתמשים ב Eleonore Exp להעלות קבצים זדוניים דרך הממשק עצמו – שדרוג שחוסך למשתמשים בערכה את הצורך להעלות קבצים לשרת hosting. וכל זה במחיר מציאה של 700$. המייל שנשלח ללקוחות קיימים ופוטנציאלים של הערכה הגיע עם הכותרת "Hello! I now present new exploits russian pack v1.2 Eleonore Exp".
שלושה חודשים "ארוכים" עברו עד ליציאת הגרסה 1.3 באוקטובר 2009, כנראה בעיקר בגלל שהכותבים של הערכה לא מצטיינים בעיצוב גרפי. הגרסה הוסיפה תפריטים עם סטטיסטיקות שונות, שמראות את אחוזי ההצלחה בהדבקה של גולשים שנכנסים לאתרים שנפרצו ע"י הערכה, לפי מדינת המוצא של הגולש, מערכת ההפעלה שלו, הדפדפן שלו, וסוג הפריצה שהצליחה לחדור למחשב שלו. נוספו גם עוד שתי פריצות שמנצלות את הדפדפן אקספלורר ואת JAVA שמשמשת את רובנו בגלישה באתרים ובהפעלה של תוכנות מסוימות. הגרסה הזו כבר עלתה 1,000$.
בדיוק לפני שנה, בנובמבר 2009 יצאה הגרסה 1.3.1, שהיא עד היום הגרסה הפופולרית ביותר בקרב קהל הלקוחות של Eleonore Exp. בגרסה התווסף מנגנון שמייעל את הניהול של האתרים הנגועים והסטטיסטיקות שלהם, ומנגנון נוסף שעוזר להסוות את העובדה שאתר מסוים נגוע ע"י הערכה. בחודש מאי השנה זו היתה הגרסה שגם הביאה את הערכה לכותרות בטלויזיה, באינטרנט ובעיתונות הכתובה ברחבי העולם, לאחר שאתרים ששייכים למשרד האוצר של ארה"ב נפרצו והפכו באמצעות הערכה לאמצעי הפצה שמנסה להדביק כל מי שנכנס לאותם אתרים.
האפשרויות החדשות שכלולות בגרסה 1.3.1 עזרו ל"האקרים" שפרצו לאותם אתרים להסוות את הפעילות שלהם בכך שהערכה לא תקפה כתובות של מחשבים שמהם כבר נכנסו לאתר – כך קרה שחוקרי אבטחת מידע של הממשל האמריקאי השתכנעו במשך מספר ימים שאין שום בעיה באתר, משום שהמחשבים שמהם נבדק האתר לא הותקפו. בתרשים הבא ניתן לראות שלב אחרי שלב מה היה קורה כאשר גולש נכנס לאחד מהאתרים הנגועים של משרד האוצר של ארה"ב.
כפי שניתן לראות, בשלב הראשון הגולש "נכנס לסטטיסטיקות" של Eleonore Exp כדי שלאחר מכן ניתן יהיה לבדוק כמה גולשים הודבקו ובאיזה סוג של פירצת אבטחה. לאחר מכן מופנה הגולש לאתר אחר בלא ידיעתו, באמצעות הפניית Iframe שהיא בעצם סוג של "חלון" בתוך האתר שנראה בדיוק כמו האתר המקורי אבל המקור שלו הוא בעצם שרת אחר שמשמש את התוקפים ועליו מותקנת הערכה. מאותו השרת מופעלות סדרה של פקודות שסורקות את המחשב של הגולש שנכנס לאתר ומנסות לחשב איזו פרצת אבטחה תהיה הכי יעילה על מנת לפרוץ למחשב שלו - בדוגמא שלמעלה החליטה הערכה שיהיה הכי קל להדביק את הגולש באמצעות פרצות אבטחה ב Java.
בדצמבר 2009 שוחררה גרסה 1.3.2 שהוסיפה פרצות אבטחה נוספות שמכוונות לאפליקציות שכבר אז הוכחו כיעילות ביותר בפריצה למחשבים של גולשים – פרצה עדכנית נוספת ל Java ובפעם הראשונה התווספה פרצה למסמכי PDF שעדיין לא היתה מוכרת ולא שוחרר לה טלאי תיקון - zero-day attack. המחיר של הערכה נשאר על 1,000$
גם כאן קיימת הזווית הישראלית – עפ"י מספר אתרים שנועדו לדווח על תרמיות והונאות באינטרנט, ישראלי לשעבר בשם אילן משען שירד לפני מספר שנים לארה"ב, ייסד במהלך השנים האחרונות מספר חברות של אחסון אתרים (hosting) שהתמקדו בעיקר באתרי פורנו, הפצת דואר זבל, והונאות למינהן. עיקר התלונות כנגדו מתרכזות דווקא בשירות של אחסון השרתים שהוא מעניק, שגרם נזקים כבדים לחברות רבות שהשתמשו בשירותים שלו. מסתבר שהוא פתח לכאורה מספר חברות על מנת להמשיך ולגלגל את אותו העסק שנתון כבר למספר תביעות בארה"ב. בשנה האחרונה התחילו להתקבל גם דיווחים באתרים שחוקרים וירוסים ואבטחת מידע, שטוענים שהוא מספק גם שירותי אחסון עבור שירותים שונים של ערכת הפריצה Eleonore Exp. כיום מרוכזות כל החברות תחת קורת גג אחת שנקראת QuadraNet.
במהלך שנת 2010 כבר הגיעה גרסה 1.4 של Eleonore Exp בחודש מרץ, וגרסה 1.4.1 בחודש יוני שכבר עלו 1,200$ והוסיפו עוד פרצות אבטחה עדכניות. הגרסה האחרונה 1.4.4 יצאה בחודש שעבר, וממש לפני שבועיים התגלה ע"י מספר חברות אבטחת מידע שהתווספה לערכה פרצת אבטחה zero-day נוספת בשם הסידורי CVE-2010-3962 שנועדה לפגוע בדפדפן אקספלורר ושעד למועד כתיבת שורות אלה עדיין אין לה טלאי תיקון. רכישה של הערכה עם כל התוספות כולל מקודד לקבצים הזדוניים עולה בימים אלה 1,500$.
בגרסה 1.4.4 כבר ניתן למצוא כ 16 פרצות אבטחה שונות, שידועות בתור פרצות עם אחוזי הצלחה גבוהים במיוחד בחדירה למחשבים. בצילום המסך הבא ניתן לראות סטטיסטיקות מתוך התקנה של הערכה – הסטטיסטיקות מראות שגם אותם גולשים שנוהגים להתגאות בכך שהמערכות שבהן הם משתמשים חסינות לפריצות ואוהבים להגיב למאמרים שלי בתגובות בסגנון "בלינוקס זה לא היה קורה" לא נשארים בחוץ – מדובר במערכות Linux, Mac OS, I-Phone, ואפילו קונסולות המשחקים Playstation ו- Nintendo Wii. מה שמוכיח שלא קיים דבר כזה מערכת בלתי פריצה, אלא רק מערכת שהיא לא מספיק פופולארית כדי שהאקרים ישקיעו זמן לפתח עבורה וירוסים ולאתר בה פרצות אבטחה.
כדי לגן על המחשב מפני התקפות שיכולות לבוא גם מאתרים שנראים אמינים, חשוב להתקין תוכנת אנטי וירוס טובה שיודעת לסרוק בצורה חכמה את תעבורה המידע בגלישה באינטרנט, לעדכן את מערכת ההפעלה והדפדפן, ולא להשאיר את האייקונים שמתריעים על עדכונים ל Adobe Reader ול Java מיותמים בשורת המשימות שבתחתית המסך.
הכותב הוא אמיר כרמי, ראש צוות התמיכה הטכנית בחברת קומסקיור, הנציגה הבלעדית בישראל של חברת ESET, מפתחת האנטי וירוס ESET NOD32 וחבילת האבטחה ESET Smart Security. קומסקיור מפעילה בארץ מוקד תמיכה ופתרונות טכניים בשפה העברית.
