עולם הVirii מתחיל להיכנס לתודעה
במשך השנים ראיתי אנשי אבטחת מידע ומנהלי רשתות וIT למיניהם אשר הבינו קצת מעולם הוירוסים. רובם ידעו רק שצריך אנטיוירוס ושאם משהו נתפס זה טוב ואם לא אז זה רע.
לאחרונה סוף סוף חל שיפור במצב . בהסמכת הCEH v5 כוללים עכשיו מודול שלם של וירוסים.
ההבנה כי רוב ההתקפות היום מבוססות וירוס או תולעת ( רוב ההתקפות בפועל הן התקפות NETWORK DDOS אבל הן הופכות לפחות ופחות אפקטיביות עם הIPS המתקדמים של ימינו. ) ההתקפות שאני מדבר עליהן - הן אותן התקפות אשר הינן אפקטיביות בסופו של דבר ומצליחות לגרום לDeniel Of Service למשאבים אפליקטיביים ולא רק לתשתית עצמה.
עצם ההבנה שפגיעה במערכות המידע הארגוניות ובתפקוד העובדים אשר תחנות הצה שלהן עלולות להיפגע , הינו צעד חשוב בהבנת הצורך ומשמעות אבטחת מידע ארגונית.
עצם ההבנה שתולעת יכולה למשוך ולשדר החוצה מידע רגיש אשר יכול למוטט עסקים ( ראו פרשת הסוס הטרויאני ) מביאים לכך שעולה הצורך בהבנת התנהגות ויראלית בעולם המחשבים.
בגדול עולם הוירוסים חשוב להבנה כפי שכבר ציינתי , וחשוב להבין את הנושאים והפירוקים בתוכו. למשל סוגי הוירוסים המתחלקים לסוגים רבים כמו ZOO-VIRUSES אשר הינם וירוסים בני למעלה מ5 שנים ולכן נחשבים DEPRECATED וחברות אנטיוירוס מוציאות אותן מהמנועים שלהן ( כמובן שאפשר ליצור התפרצות מחודשת ) .
תחשבו במקרה כזה על וירוס שתוקף WIN98. ויש מוסדות כגון בתי ספר אשר לא משדרגים במשך שנים רבות מערכות , MICROSOFT כבר לא תומכת במע' ההפעלה ולכן אין PATCHES עדכניים ואם וירוס חוזר הוא יכול למוטט ארגון.
או למשל סוגים כמו WILD-VIRUSES שהינם מוטציות של וירוסים אשר יוצאות אחת אחרי השניה ומשתמשות בטכניוקות כמו POLYMORPHISM ועל ידי כך מבטלות את היכולת ליצור חתימה לוירוס ( דבר שיוצר בעיות בעיקר למערכות כמו AV-GATEWAY אשר אמורות לבדוק וירוסים ON-THE-FLY ).
כמובן שאם כבר דיברנו על זה , אז נושא הפולימורפיזם כלכך מפותח היום שוירוסים מגיעים מוצפנים ... אני אסביר - למעשה וירוס בנוי מחלק פעיל ( PAYLOAD ) והחלק שמפעיל אותו ( RUNTIME ) וכל המשחק של הצפנת וירוסים בנוי על זה שהPAYLOAD מוצפן וחלק ההפעלה מפענח אותו ומריץ אותו בכל פעם . בצורה כזו אנטיוירוס לא יכול לפענח את הוירוס ולכן ההתקפה שלו יוצאת לפועל. בוירוסים מתוחכמים , בכל הדבקה ההצפנה משתנה לפי מפתח אחר , זאת למטרה שאנטיוירוס לא יזהה את הCIPHER של ההצפנה ופשוט ילמד חתימה מהמחרוזת.
אני לא יכול להרחיב כלכך הרבה בנושא בתחום טקסט כלכך קצר... אבל ברור לחלוטין שחשיבות הוירוסים והתנהגותם מעלה שאלות רבות ... כמו למשל "אתה מנהל אבטחת מידע ... שמת GW חזק , הטמעת אפילו DOT1X בארגון... איך פתרון הAV שלך מיושם ומול מה הוא בנוי להתמודד ?"
אני מקווה שעוררתי תשומת לב והפניתי אנשים לקרוא קצת מאמרים בנושא.
תחום הוירולוגיה הממוחשבת הוא בין התחומים האהובים עליי בעולם אבטחת המידע ואני שמח שהתודעה אליו מתגברת עם הזמן . מתווספות הסמכות בתחום , יותר ויותר קורסים . ספרים בתחום ממשיכים להיכתב ואיכותם משתפרת ( פעם ספר היה מסביר רק על התנהגות של AV ).
מאחר ואני רואה את עולם הGRAYWARE ( כל התוכנות בעלות קוד זדוני ) כמפגע האמיתי בתחום אבטחת המידע הממוחשבת. אני מקווה שיש לי סיכוי לגרום לחלק מהאנשים בתחום להתמקד ולהתמחות בתחום זה.
לאחרונה סוף סוף חל שיפור במצב . בהסמכת הCEH v5 כוללים עכשיו מודול שלם של וירוסים.
ההבנה כי רוב ההתקפות היום מבוססות וירוס או תולעת ( רוב ההתקפות בפועל הן התקפות NETWORK DDOS אבל הן הופכות לפחות ופחות אפקטיביות עם הIPS המתקדמים של ימינו. ) ההתקפות שאני מדבר עליהן - הן אותן התקפות אשר הינן אפקטיביות בסופו של דבר ומצליחות לגרום לDeniel Of Service למשאבים אפליקטיביים ולא רק לתשתית עצמה.
עצם ההבנה שפגיעה במערכות המידע הארגוניות ובתפקוד העובדים אשר תחנות הצה שלהן עלולות להיפגע , הינו צעד חשוב בהבנת הצורך ומשמעות אבטחת מידע ארגונית.
עצם ההבנה שתולעת יכולה למשוך ולשדר החוצה מידע רגיש אשר יכול למוטט עסקים ( ראו פרשת הסוס הטרויאני ) מביאים לכך שעולה הצורך בהבנת התנהגות ויראלית בעולם המחשבים.
בגדול עולם הוירוסים חשוב להבנה כפי שכבר ציינתי , וחשוב להבין את הנושאים והפירוקים בתוכו. למשל סוגי הוירוסים המתחלקים לסוגים רבים כמו ZOO-VIRUSES אשר הינם וירוסים בני למעלה מ5 שנים ולכן נחשבים DEPRECATED וחברות אנטיוירוס מוציאות אותן מהמנועים שלהן ( כמובן שאפשר ליצור התפרצות מחודשת ) .
תחשבו במקרה כזה על וירוס שתוקף WIN98. ויש מוסדות כגון בתי ספר אשר לא משדרגים במשך שנים רבות מערכות , MICROSOFT כבר לא תומכת במע' ההפעלה ולכן אין PATCHES עדכניים ואם וירוס חוזר הוא יכול למוטט ארגון.
או למשל סוגים כמו WILD-VIRUSES שהינם מוטציות של וירוסים אשר יוצאות אחת אחרי השניה ומשתמשות בטכניוקות כמו POLYMORPHISM ועל ידי כך מבטלות את היכולת ליצור חתימה לוירוס ( דבר שיוצר בעיות בעיקר למערכות כמו AV-GATEWAY אשר אמורות לבדוק וירוסים ON-THE-FLY ).
כמובן שאם כבר דיברנו על זה , אז נושא הפולימורפיזם כלכך מפותח היום שוירוסים מגיעים מוצפנים ... אני אסביר - למעשה וירוס בנוי מחלק פעיל ( PAYLOAD ) והחלק שמפעיל אותו ( RUNTIME ) וכל המשחק של הצפנת וירוסים בנוי על זה שהPAYLOAD מוצפן וחלק ההפעלה מפענח אותו ומריץ אותו בכל פעם . בצורה כזו אנטיוירוס לא יכול לפענח את הוירוס ולכן ההתקפה שלו יוצאת לפועל. בוירוסים מתוחכמים , בכל הדבקה ההצפנה משתנה לפי מפתח אחר , זאת למטרה שאנטיוירוס לא יזהה את הCIPHER של ההצפנה ופשוט ילמד חתימה מהמחרוזת.
אני לא יכול להרחיב כלכך הרבה בנושא בתחום טקסט כלכך קצר... אבל ברור לחלוטין שחשיבות הוירוסים והתנהגותם מעלה שאלות רבות ... כמו למשל "אתה מנהל אבטחת מידע ... שמת GW חזק , הטמעת אפילו DOT1X בארגון... איך פתרון הAV שלך מיושם ומול מה הוא בנוי להתמודד ?"
אני מקווה שעוררתי תשומת לב והפניתי אנשים לקרוא קצת מאמרים בנושא.
תחום הוירולוגיה הממוחשבת הוא בין התחומים האהובים עליי בעולם אבטחת המידע ואני שמח שהתודעה אליו מתגברת עם הזמן . מתווספות הסמכות בתחום , יותר ויותר קורסים . ספרים בתחום ממשיכים להיכתב ואיכותם משתפרת ( פעם ספר היה מסביר רק על התנהגות של AV ).
מאחר ואני רואה את עולם הGRAYWARE ( כל התוכנות בעלות קוד זדוני ) כמפגע האמיתי בתחום אבטחת המידע הממוחשבת. אני מקווה שיש לי סיכוי לגרום לחלק מהאנשים בתחום להתמקד ולהתמחות בתחום זה.
Labels: virus
| Link 
