ארכיון רד-בורד: פרשת ריגול במחשבי חברות מהגדולות במשק

ראשי > אבטחת מידע > פרשת ריגול במחשבי חברות מהגדולות במשק

29/05/2005 21:39:45 Z-oro

הכתבה נלקחה מווינט לכתבה המלאה ולעוד כתבות בנושא תוכלו להיכנס דרך הלינק הבא http://www.ynet.co.il/articles/0,7340,L-3089971,00.html

הותר לפרסום: פרשת ריגול במחשבי חברות מהגדולות במשק

רעידת אדמה בעולם אבטחת המידע הישראלי: המשטרה עצרה שורה של חוקרים פרטיים בכירים, בחשד שהשתמשו בתוכנת מחשב השותלת "סוס טרויאני" במחשבי חברות מסחריות ובמחשבי משרדי פרסום ויחצ"נות, במטרה לרגל למתחרים. בין הקורבנות: הוט, אורנג’, שטראוס-עלית, צ’מפיון מוטורס ועוד. בעקבות כך נעצרו מנהלים בכירים בחברות שקיבלו את המידע ובהן יס, וולוו, פלאפון וסלקום. מנכ"ל סלקום, יצחק פטרבורג, הגיע למסור את גרסתו. בין העצורים גם מפתח התוכנה, שנלכד בלונדון עם רעייתו. הפרשה נחשפה בעקבות תלונה של הפסיכולוגית ורדה רזיאל ז’קונט ובעלה, שמפתח התוכנה הוא חתנם לשעבר. רני רהב הזועם, אחד הנפגעים: "שיתנו להם גזר דין מוות"
אבי כהן

הותר לפרסום: המשטרה חושדת כי שורה של חוקרים פרטיים, מהמובילים בישראל, שתלו תוכנה היוצרת "סוס טרויאני" במחשבי משרדי פרסום ויחצ"נות וכן במחשבי חברות מסחריות גדולות, במטרה לדלות מהם מידע - שאותו מכרו למתחריהן. 11 החוקרים שנעצרו בפרשה שייכים למשרדי החקירות מודיעין אזרחי, קרוכמל חקירות מיוחדות ופילוסוף בללי. יחד עמם נעצרו מנהלים בכירים בחברות החשודות כי השתמשו במידע שהושג באמצעות הריגול, ובהן "יס", "פלאפון", "סלקום", אמדוקס ויבואן הרכב "מאיר" (וולוו-הונדה).
על הפרשה הוטל צו איסור פרסום, שהוסר היום (א’).

29/05/2005 23:42:56 cp77fk4r

כן, קטע חזק ביותר, אבא שלי התקשר אלי בכדי להודיע לי על זה כשהייתי בפנימיה.

נשמע כאילו הולך להיות מעניין בזמן הקרוב.

כל הכבוד על הידיעה :).

30/05/2005 15:15:35 cp77fk4r

נלקח מוואלה מחשבים:
(http://computers.walla.co.il/?w=/4000/723216).

חברת אבטחת המידע 2bsecure תפרסם באתר האינטרנט שלה את הקוד הסודי של הסוס הטרויאני המעורב בפרשת הריגול התעשייתי

חברת אבטחת המידע טו בי סקיור, אשר חשפה את הסוס הטרויאני במשרדי משרד הפרסום שלמור-אבנון-עמיחי, תפרסם הלילה - או לכל המאוחר היום בבוקר - באתר האינטרנט שלה את הקוד של הסוס הטרויאני, אשר על פי החשד, נכתב על ידי מיכאל האפרתי, על מנת שהציבור יוכל לבדוק האם הסוס הטרויאני הזה קיים גם במחשביהם.

המשמעות היא שחברות אנטי וירוס יוכלו לעדכן את התוכנות שלהן בקוד הזה, וכך תוכנת אנטי וירוס מעודכנת תוכל למנוע מסוס טרויאני זה לחדור למחשבים נוספים. בטו בי סקיור אומרים שבאתר יהיה קובץ אישי שאפשר יהיה להריץ אותו על המחשב האישי בבית, ולבדוק האם אותו סוס טרויאני מהפרשיה המדוברת נמצא על המחשב שלכם.

פרסומתיורם גולנדסקי, סמנכ"ל פיתוח עסקי בטו בי סקיור: "משטרת ישראל היתה זו שפנתה למשרדי שלמור-אבנון-עמיחי, וסיפרה להם כי הושתל סוס טרויאני במחשביהם. שלמור פנו אלינו וביקשו מאיתנו לאמת את הדברים, לבדוק אותם ולחזק את מערך אבטחת המידע שלהם. זה קרה בדצמבר 2004. אנחנו שלחנו צוות למקום שעשה בדיקות. ניטרנו את תעבורת המידע היוצאת והנכנסת לארגון, ומצאנו מחשב אחד ששולח קבצים החוצה לשרת שעליו התריעה המשטרה. הצלחנו לבודד את המחשב הזה, ואז הצלחנו לבודד את אותה פיסת קוד עוין ששלחה החוצה את האינפורמציה. לא יכולנו להודיע לחברות האנטי וירוס עד כה, לפי בקשת המשטרה. היינו מנועים מלפרסם את הקוד, כי המחשב היה צריך להמשיך ולעבוד כרגיל, כדי לא לטרפד את מהלך החקירה. השארנו את הדברים בידי המשטרה. אבל עכשיו, כשהפרשיה נחשפה, נפרסם את הקוד על מנת שהציבור יוכל להתגונן"

30/05/2005 15:22:38 cp77fk4r

הלקח מYnet:
(http://www.ynet.co.il/articles/0,7340,L-3092483,00.html).

הסוס הטרויאני נחשף.

Trojan.Hotword - זו התוכנה הזדונית ששימשה לצורך ריגול עסקי בחברות הגדולות במשק. האם אתם מוגנים מפניה? ועוד: טיפים נוספים לשיפור אבטחת המחשב
גל מור

הסוס הטרויאני אשר שימש לצורך ריגול תעשייתי בחברות הגדולות במשק , בהן HOT, בזק, פרטנר, צ’מפיון מוטורס וחברות פרסום, מוכר לחברות האנטי וירוס זה כמה חודשים.

פרשת הסוס הטרויאני - סיקור נרחב ב-ynet.

התוכנה הזדונית, המכונה Trojan.Hotword , זכתה לציון 1 מתוך 5 בלבד מחברת סימנטק, וזאת, בשל קצב התפשטות ותפוצה נמוכים, לעומת יכולת נזק בינונית (הערכה סבירה, מאחר והקוד הופץ בקרב כמה חברות רק בישראל).

התוכנה מופצת באמצעות קובץ המצורף להודעת דואר אלקטרוני, דרך הודעה מצורפת, באמצעות תיקיות משותפות ברשת ארגונית ויציאות (פורטים) פתוחות במחשב, וכמובן גם דרך הדבקה ישירה בתקליטור או כונן פלאש.

עם הפעלת הקובץ, הסוס הטרויאני מעתיק עצמו לתיקיית המערכת של המחשב בשם דומה מאוד לשם של תוכנית לגיטימית שפועלת במערכת ההפעלה, ומוסיף מפתחות למערכת הרישום של Windows. נוסף על כך, התוכנה משנה את קובץ התצורה Win.ini.

מפעיל הסוס הטרויאני נהנה משליטה רבה.
בשלב זה, הסוס הטרויאני מתחיל לשלוח הקשות מקלדת ולתעד אותן בקובץ פנימי. המידע נשלח בדואר האלקטרוני באמצעות מנוע SMTP מובנה לשרת הדואר mail.targetdata.biz
(שאינו פעיל עוד). ההודעה כללה גם פרטים מזהים על המחשב הנגוע ותצורת הסוס הטרויאני בתוכו. נוסף על כך, הסוס הטרויאני ניסה ליצור קשר לשרת ה-FTP ftp.targetdata.biz (שאף הוא אינו פעיל עוד), לשלוח לו את תכניי ההקלדות שתועדו והמתין להוראות נוספות.

מתכנת הווירוס (על פי החשד, מדובר במיכאל האפרתי) נהנה משליטה רבה במחשב הקורבן. בין האפשרויות שעמדו לרשותו: יצירת צילומי מסך מהמחשב, הורדת עדכונים לסוס הטרויאני והפעלתם, הורדת קבצים והפעלתם, משלוח דואר אלקטרוני באמצעות תוכנת הדואר של המחשב, כיבוי תהליכים במחשב (למשל, הפסקת הפעולה של תוכנות אנטי וירוס ופיירוול).

איך מתגוננים?
חברות האנטי וירוס הגדולות הוסיפו את קובץ החתימה של Trojan.Hotword למאגר שלהן, כך שכל מי שמשתמש בתוכנת אנטי וירוס ופיירול מעודכנים מוגנים מפניו.

חשוב לציין, כי מתכנת הווירוס ערך מספר שינויים ב-Trojan.Hotword על מנת להתאימו לכל חברה בה הושתל. חברת 2Bsecure, שבדקה את הסוס הטרויאני שהושתל במחשבי הפרסום שלמור-אבנון עמיחי, פירסמה הבוקר הנחיות לאיתור וזיהוי הסוס הטרויאני בגירסתו המעודכנת. ההנחיות מתפרסמות באתר האינטרנט של החברה.

עם זאת, הסכנה העיקרית שאורבת לגולשים ולעסקים היא מצד סוסים טרויאניים שעדיין לא התגלו או כאלה שעברו תכנות מחדש כדי למנוע מתוכנות האבטחה לזהותם.

כיבוי שירותים. חברת סימנטק ממליצה לכל המשתמשים לעדכן את תוכנת האנטי וירוס שלהם ולכבות את כל השירותים הבלתי נחוצים במערכת ההפעלה שלהם (למשל, שרת FTP, טלנט, שרת Web ועוד), במטרה לצמצם את סכנת החשיפה בפני "איומים מעורבים" (Blended Threat), התקפות שמשלבות מאפיינים של וירוסים, תולעים, סוסים טרויאניים ומנצלים פירצות בשרתים ובשירותי רשת כדי להתפשט באופן עצמאי ולהתקיף מחשבים באינטרנט באמצעות שיטות שונות.

כדי לכבות שירותים יש לבחור ביישום Start>Settings>Control Panel>Administrative Tools>Services (מומלץ רק למשתמשים שיודעים מה הם עושים).

זיהוי תהליכים מסוכנים. רצוי להבין מהם צירופי האותיות הנראים בחלון ’מנהל המשימות’ בעת לחיצה על ALT+CTRL+DEL, לחיצה על Task List ומעבר ללשונית Processes, על מנת לוודא שמחשבכם אכן נקי ממזיקים ושאר מרעין בישין.

המדריך הבא יאפשר לכם ללמוד עוד על כל התהליכים הלגיטימיים הפועלים במחשב שלכם ולהבדיל ביניהם לבין תהליכים זדוניים.

כלי נוסף הוא אתר ProcessLibrary . אם אתם מרגישים מספיק בטוחים בכל הנוגע לקרבי מערכת ההפעלה, ולא פוחדים להתעסק עם כמה תהליכי מערכת, האתר הזה מיועד עבורכם. האתר כולל נתונים על תהליכים הפעילים כל העת ב-Windows, שחלקם שייכים אליה, ולחלקם אחראיות תוכנות שונות הפועלות במחשבכם, שלא כולן מורשות או אפילו ידועות לכם. באתר תוכלו למצוא רשימת תהליכים נפוצים, לברר מה פשר כל תהליך, לחפש אחר סוסים טרויאנים, תוכנות ריגול ווירוסים ספציפיים, זאת, באמצעות מנוע חיפוש מובנה, המאפשר לאתר קבצי DLL ותיקיות, ולברר מה תפקידן האמיתי.

טיפים נוספים:
רצוי להימנע מפתיחת קבצים שמקורם בלתי ידוע או להתקין תוכנות שהורדו מהאינטרנט אלא אם כן אתם בטוחים כי תוכנת האנטי וירוס שברשותכם סורקת את התוכנה בשלב ההתקנה. נוסף על כך, יש לבקר באתר Windows Update ולהוריד את טלאי האבטחה האחרונים עבור הדפדפן ומערכת ההפעלה שלכם.

אין להקליק על קישורים בהודעות דואר אלקטרוני חשודות.

אין למסור מידע אישי באתרי אינטרנט חשודים או לא מוכרים.

עשו שימוש בתוכנות לסינון וירוסים וספאם כדי להתגונן מפני איומי אינטרנט.

סרגל הכלים של Netcraft, הניתן להורדה חינם , הוא מעין תוסף אבטחה וסטטיסטיקה לדפדני אינטרנט אקספלורר של מיקרוסופט, החוסם אתרים החשודים במעורבות בהונאות מקוונות (Phishing). הסרגל מבצע ארבע פעולות: חסימת גלישה לכתובות החשודות שמעורבות בהונאות, לכידת כתובות URL שכוללות תווים חשודים, חיוב אתרים להציג גם את שורת הכתובת והתפריטים, על מנת למנוע מהגולש ליפול קורבן לפרסומות קופצות וניסיונות לחטיפת הדפדפן, והצגת מיקום השרת המארח את האתר, על מנת שהגולש יוכל לוודא האם מדובר באתר האמיתי או בהונאה.

אשר גינוחובסקי, מנהל טכני בסימנטק ישראל, מוסיף כמה עצות:
בעת ביקור באתרי אינטרנט של בנקים, כרטיסי אשראי או ספקי שירותים במטרה להקליד מידע אישי, רצוי להקליד את כתובת ה-URL של האתר ישירות לתוך הדפדפן (ולא לגלוש לאתר באמצעות הקלקה על קישורים או הקלדה בסרגלי כלים).

לפני מילוי טופס מקוון, גם באתרי אינטרנט מאובטחים, מומלץ לחפש הצהרת פרטיות שמבהירה אם האתר חולק במידע עם חברות נוספות, או לא. אם אפשר, בחרו לא לשתף את המידע עליכם עם צד שלישי.

לפני שתסכימו להוריד תוכנות באינטרנט, קראו בצורה יסודית את סוף הסכם הרישוי של המשתמש, כדי שיהיה ברור לכם מה ייטען למחשב. הרבה תוכנות שמורדות בחינם באינטרנט גם יתקינו במחשב שלכם יישומי ריגול (spyware).

אל תאפשרו לתוכנות מחשב או לאתרי אינטרנט לזכור סיסמאות או מספרים של כרטיס אשראי, בייחוד לא במחשבים שמשמשים גולשים נוספים.

שנו סיסמאות לעיתים קרובות ואל תשתפו בהן אחרים. חשוב גם ליצור סיסמאות חזקות עם 6 תווים לפחות, שמשלבים אותיות, מספרים וסמלים. כדאי לא לשמור את הסיסמה בקובץ מחשב.

הצטרפו לשירותים המוצעים על ידי שלושת הספקים הגדולים של כרטיסי אשראי שמתריעים בפני לקוחות באי מייל אם מישהו שואל על כרטיס האשראי שלהם. אם יש תשאול חשוב, לקוחות יכולים ליצור קשר עם חברת האשראי ולעצור פתיחה של חשבון שמבוסס על הונאה. בדקו את דיווחי כרטיס האשראי והבנק כל חודש, כדי לעצור קניות שמבוססות על הונאה.

30/05/2005 20:27:06 rwer

תודה על המידע
קטלני אבל זה לא קשה לפרוץ לחברות האלה?

31/05/2005 13:15:28 Zenor

סיפי , אני עדיין ממש לא מבין, אני מעריך שאורנג’ / הוט או כל מי שנדבק היו מאובטחים עם חברות אבטחה דיי נחשבות, איך דבר כזה הצליח לקרות?
מה שגם שימוש בטרויין זו לא שיטה חדשה שאף אחד לא הכיר, היא ממש ידועה.
בקיצור קטע ממש ממש מוזר, אגב אין ספק שמי שיצא הכי "מורווח" מכל העינין הן חברות האבטחה, תחשבו איזה בהלה עכשיו יש בכל העסקים.

01/06/2005 20:41:18 cp77fk4r

Zenor- זה נכון שסוסים טרויאנים הם לא שיטה חדשה, ואפילו די ישנה, אבל אם תכתוב את הטרויאן שלך בצורה מספיק חכמה- יהיה קשה מאוד לעלות עליו.

עמודים: 1