חשש: התולעת "בלאסטר" תדביק מאות אלפי מחשבים
אלפי מחשבים של גולשי אינטרנט בישראל ובעולם מותקפים מאז אמש על ידי תולעת שגורמת להפעלה מחדש או קריסה של מערכת ההפעלה
אלפי מחשבים של גולשי אינטרנט בישראל ובעולם הותקפו הלילה על ידי תולעת שגורמת להפעלה מחדש או קריסה של מערכת ההפעלה. התולעת מתפשטת דרך יציאה (פורט) 135 במחשב, כאשר ההתקפה מתבצעת רק על מחשבים עם מערכת ההפעלה Windows 2000 ו-Windows XP, ומקיפה מנויים של כל ספקי האינטרנט בישראל.
מומחי אבטחה של מרכז CERT האמריקאי הביעו חשש, כי התולעת, שזכתה לכינוי "סאן" (SAN) או "בלאסטר", עדיין לא הגיעה לשיאה, וכי היא עלולה להדביק מאות אלפי מחשבים ברחבי העולם. "ייתכן שמאות אלפי מחשבים כבר נדבקו", מסר לעיתונות ג'ף האברילה, חוקר אבטחה במכון, "קצב ההדבקה גובר, כך שהשיא עדיין רחוק". מעניין לציין, כי המתקפה של התולעת הורגשה אמש באופן חריף יותר במזרח התיכון, ובייחוד בישראל, ולאחר מכן התפשטה לכל העולם. מרכז האבטחה SANS עבר הלילה ממצב כוננות "ירוק", לרמת הכוננות השנייה בחומרתה, "צהוב", בעקבות המתקפה הנמשכת.
בקוד של התועלת מסתתרות שתי הודעות. אחת מהן המסר "I just want to say LOVE YOU SAN" (רציתי לומר: אני אוהב אותך, סאן"), והשנייה מכוונת נגד יו"ר מיקרוסופט, ביל גייטס: "בילי גייטס, למה אתה מאפשר זאת? הפסק לעשות כסף ותקן את התוכנות שלך".
ההתקפה מנצלת כשל בפרוטוקול RPC של Windows. מדובר בשירות שמאפשר למחשב מרוחק להפעיל תוכנה במחשב אחר. באופן כללי, המחשב המרוחק שולח בקשה למחשב הקורבן ומבקש ממנו לבצע פעולה מסוימת. התוצאה, במקרה הזה, היא הצפה של מחשב היעד במידע (buffer overrun), קריסת מערכת ההפעלה או הפעלתה מחדש.
התולעת סורקת אחר כתובות אינטרנט באופן אקראי על מנת למצוא מחשבים פרוצים ומתקינה בהם את תוכנת TFTP (קיצור של Trivial File Transfer Protocol), באמצעותה היא מורידה את הקוד הזדוני למחשב הנגוע. התולעת גם מוסיפה מפתח למערכת הרישום של מערכת ההפעלה, כדי לוודא כי התולעת תפעל מחדש עם כל הפעלה של המחשב.
מרבית הנפגעים - גולשי אינטרנט מהיר
על פי ההערכות, רוב המשתמשים הסובלים מההתקפה הם גולשי אינטרנט מהיר שמחוברים לאינטרנט באופן ישיר ואינם משתמשים בתוכנות אנטי וירוס ופיירוול. מערכת ההפעלה במחשבים אלה מתייחסת לאינטרנט המהיר כאל חיבור רשת מקומית ולכן, מתירה פעולה של פרוטוקולים ושירותים בלתי נחוצים כמו שרת FTP, טלנט, שרת Web ועוד, באופן שמקבל על תוקפים לסרוק מחשבים אלה ולאתר בהם פירצות להתקפות.
אופיר ארקין, מנהל אבטחת המידע בחברת 012 קווי זהב מציין, כי כבר לפני יומיים חלה עלייה במספר המתקפות באינטרנט הנוגעות לכשל האבטחה המדובר. ארקין, שנכח לאחרונה בכנס האבטחה "דף קון", מציין כי בכנס דובר על סיכוי לפגיעה במאות אלפי מחשבים - אחת המתקפות החמורות ביותר בתולדות האינטרנט.
פגיעה בעוצמות משתנות
"התולעת משפיעה בעוצמות משתנות על מחשבים, ככל הנראה בהתאם לקונפיגרציה הספציפית לכל מחשב", אומר ארקין, "בעוד היא אינה פוגעת קשה בחלק מהמחשבים, היא משתלטת על מחשבים אחרים ומשתמשת בהם כדי להפיץ עצמה ולהתקיף מחשבים אחרים".
אריאל פיסצקי, מנהל תחום אבטחת המידע בנטוויז'ן, לא מוציא מכלל אפשרות כי התוקף או התוקפים תכננו את המתקפה מבעוד מועד, והשתלטו מראש על כמות גדולה של מחשבים, שבשעת פקודה החלו לפעול והתקיפו מחשבים רבים נוספים ("זומבים", על פי המינוח המקצועי). ספקי האינטרנט בישראל עומדים בקשר במטרה לבחון כיצד ניתן לפעול נגד המתקפה. בנטוויז'ן מסרו על חסימת פורט 135 לכל המשתמשים ברשת באופן זמני, על מנת שמשתמשים נוספים לא ידבקו בתולעת.
מיקרוסופט התריעה על כשל האבטחה בחודש שעבר ואף הפיצה טלאי אבטחה נגדו. על פי אזהרת מיקרוסופט, תולעת שתנצל לרעה את כשל האבטחה עלולה לגרום נזק רב. עם זאת, על פי הערכות חברות האנטי וירוס, רוב הגולשים אינם משתמשים בתוכנת אנטי וירוס או פיירוול. רבים מהם אינם מנויים על שירות העדכון האוטומטי של מיקרוסופט, Windows Update, מאחר שאינם סומכים על מיקרוסופט.
המלצה למשתמשים שלא נדבקו
פיסצקי לא ממליץ למשתמשים לכבות את הליך ה-Remote Precedure Call בתוך Windows XP או Windows 2000, מאחר שהליך זה נדרש לביצוע משימות שונות במחשב. מיקרוסופט הפיצה טלאי נגד כשל האבטחה עוד בחודש שעבר, וניתן להוריד אותו באמצעות שירות Windows Update (יש להיכנס לאתר ולהוריד את כל עדכוני האבטחה הקריטיים). חברת סימנטק כבר הפיצה עדכון נגד התולעת וכך גם עשו "מקאפי" ושאר חברות האנטי וירוס.
המלצה לגולשים שנדבקו
אם התולעת כבר הדביקה את המחשב, על המשתמש להפעיל את הפיירוול האישי ב-Windows XP (יש להשתדל לבצע את הפעולה במהירות כי אם המחשב נדבק, ייתכן שיפעיל עצמו מחדש תוך זמן קצר). לשם כך, יש לבחור בהגדרות חיבורי הרשת (תפריט התחל>התחבר אל>הצג את כל החיבורים). בתוך חיבורי הרשת יש לסמן את החיבורים הזמינים (אחד אחר השני), ולבחור באפשרות ההעדפות (properties) בקליק הימני בעכבר. עם פתיחת תיבת הדו שיח, יש לבחור את הלשונית "מתקדם" (Advanced) ולסמן את אפשרות הפיירוול האישי.
לאחר מכן, יש לחפש (התחל>חיפוש) קובץ בשם msblast.exe ולמוחקו (הקובץ אמור להיות בתוך ספריית Windows32). אם המחשב אינו מאפשר למחוק את הקובץ, יש להקיש על ctrl+alt+del (בעת ובעונה אחת) במקלדת, לבחור בלשונית "תהליכים" בחלון מנהל המשימות של Windows, לסמן את הקובץ, לבחור באפשרות "סיים תהליך", ולאחר מכן למחוק את הקובץ מהספריה. אם גם הפעולה הזו לא מצליחה, אל תיבהלו (קבצים ותיקיות לא אמורים להימחק ולבד מתהליך ההפעלה מחדש לא אמור להיגרם נזק נוסף) והתקשרו למוקד התמיכה הטכנית של ספק האינטרנט שלכם.
מחברת מיקרוסופט נמסר הפתרון הבא, עבור Windows 2000, XP ו-2003:
כאשר מופיע חלון הכיבוי, היכנסו לתפריט התחל >הפעלה והקלידו את הפקודה הבאה:
Shutdown –a (קיים רווח בין המילה "Shutdown" למילה "-a")
ולחצו על המקש Enter.
פקודה זו תבטל באופן זמני את תהליך ההפעלה מחדש.
על מנת לבטל את ההפעלה מחדש בעת שנוצר עומס על שירות ה RPC בצעו את התהליכים הבאים כאשר המחשב אינו מחובר לאינטרנט:
1. היכנסו לתפריט התחל -> הפעלה והקלידו את הפקודה הבאה:
Services.msc
ולחצו על המקש Enter.
2. בחלון שייפתח, לחצו לחיצה כפולה על השירות Remote Procedure Call (RPC).
3. כעת היכנסו ללשונית "שחזור" (Recovery), וודאו כי:
כשל ראשון (First Failure)
כשל שני (Second Failure)
אירועי כשל עוקבים (Subsequent Failures)
מוגדרים כ"הפעלה מחדש של השירות" (Restart the Service).
לחצו על אישור (OK).
לאחר שניתן להיכנס לאינטרנט, פנו בהקדם למאמר הבא באתר מיקרוסופט ישראל.