שובו של ריגול ההקלדה

גם אם חשבנו שמדובר באיום מיושן, מסתבר שריגול הקלדה עדיין אפקטיבי ומיושם במגוון דרכים במימד הקיברנטי

ריגול הקלדה – Keylogging – היה איום מוכר ושיטה חביבה על פורצי מחשבים במתקפות הונאה על תעשיית הבנקאות באמצע העשור שעבר.

מעקב שיטתי אחר הקלדה ומשם והלאה - ניתן לפענח סיסמאות, לאסוף נתונים אודות חשבונות במערכת הבנקאות בפרט או תנועות עסקיות בכלל. בעקבות חשיפת שיטות אלו, פיתחו הבנקים אמצעי הגנה, המשרתים אותם גם כיום.

אם לעבור במהירות לימינו, נמצא כי ריגול הקלדה טרם איבד את מקומו כאיום פוטנציאלי מהותי ובמיוחד הדברים נכונים בעולם הארגוני: ממדי הגודל הופכים את האיום לעניין רחב יותר. האיום הזה רק גדל, לנוכח זמינות אמצעים מתוחכמים להפצה והשתלה של קוד זדוני מסוג כזה, לעיבוד המידע המושג בתהליך, ולאפשרות להרכיב תמונת תצרף רחבה של נתונים הנאספים ממחשבים שונים, ולאורך זמן.

ריגול הקלדה שוב אינו מתמקד רק בניסיון לאתר סיסמאות גישה לצורך שימוש זדוני. האיומים הקיימים כיום כוללים גם, לדוגמא, את האפשרות לעקוב אחר תהליך הכתיבה של מסמכי Word או Excel לצורך ריגול תעשייתי ועסקי. תהליך הריגול הזה מתבצע בשלושה מהלכים. תחילה – שלב ההדבקה. כאן, הולך ומתרחב השימוש בשיטת "הדבקה תוך כדי גלישה" (Drive-by Download). אין מדובר רק בכניסה לאתר זדוני ובלתי-לגיטימי מלכתחילה. גם בכניסה תמימה לאתר דוגמת פורטל תוכן, או כל אתר המשלב פרסומת פלאש, או תכנים אחרים המופעלים באמצעות ניגון מסוג כל שהוא – עלולה להתבצע הדבקה ראשונית באמצעות קוד המשולב בתוכן הזה.

למעשה, אפילו תכני HTML טהורים, הנקראים באמצעות דפדפן נטול תוספות, עלולים לשאת עימם מטען קוד זדוני נוסף. "ראש הגשר" הראשוני של החדירה הזאת מאופיין בגודל קטן במיוחד, מחייב בנייה קומפקטית וגמישה ומוגבל ביותר ביכולותיו. אלא, שברגע שבו הושגה דריסת הרגל הראשונית, יכול ראש הגשר הזה לקרוא ולמשוך אליו את מכלול הקוד הזדוני, אותו מבקש הפורץ להפעיל. האזורים האפלים יותר של האינטרנט גדושים כיום בכלי גישה מרחוק – Remote Access Tools.

מדובר בקטעי קוד זמינים ומוכנים לשימוש, אותם יכול מפתח הקוד הזדוני להוריד, על מנת להשתמש בהם כאולר שוויצרי לכל דבר: תרצה – יאפשרו לך כלי הגישה מרחוק האלה לשאוב מידע ותכנים. תרצה – תוכל להפוך את המחשב אליו חדרת לצומת הפצה נוספת של התוכנה הזדונית. במקרה של מעקב מקלדת, מנהל הפורץ תהליך שיטתי של מעקב אחר הקשות המקלדת. את פירות המעקב הזה יש לשדר החוצה – וגם כאן קיימות שיטות רבות ומגוונות.

טכנולוגיות החדירה, ההשתלה, השידור וההדלפה החוצה אינן תלויות זו בזו: השימוש באחת מהן אינו מכתיב את הכלי שייבחר בשלב הבא. על רקע המציאות המורכבת הזאת, ברור גם כי ההתמודדות עם איומי ריגול ההקלדה מחייבת שילוב שיטות שונות, ופעולה בכל אחד משלבי האיום. מה שמגביר את הסיכון, הוא השילוב בין מספר מאפיינים ייחודיים לשיטות הריגול האלו. ראשית – הן פאסיביות לחלוטין, ולפיכך קשות במיוחד לגילוי.

הן מתמקדות במשתמש בודד ובתהליכים אותם הוא מנהל, אינן דורשות הרשאות גישה ברמת מנהל המערכת (root privilege), ואינן מנסות לחדור אל תהליכים אחרים. ההתבססות על ממשקים לגיטימיים לחלוטין, וההתנהלות ברמת הזיכרון המקומי בלבד, הופכים את מלאכת הגילוי והסיכול קשה עוד יותר. שנית – כל השיטות הקיימות שפותחו להגנה על סיסמאות בעולם הבנקאות המקוונת, אינן יעילות כאשר מדובר בריגול מקלדת בהיקפים גדולים. וחשוב מכל: ריגול מקלדת מאפשר חשיפה של כמויות עצומות של מידע רגיש: מסמכים אותם כותב המשתמש ובהם הוא צופה, או יישומים אליהם הוא ניגש. על מנת להתמודד עם מכלול האיומים האלה, יש צורך בשילוב אמצעים ובהיערכות מקיפה.

מעגל ההגנה הראשון מתמקד במניעת ההידבקות מלכתחילה, באמצעות תוכנות הגנה וסריקת התעבורה ברמת הרשת. ברמת היישומים הארגוניים עצמם, יש לשלב שכבת הגנה מפני ריגול מקלדת, באמצעות כלים דוגמת הצפנת מקשים. בדומה לכך, יש למנוע מהנוזקה (malware) מלתקשר עם שרת הפקודות והבקרה שלה. מניעת ריגול הקלדה צריכה להיות חלק ממערך כולל המטפל באבטחת נתונים – החל משירותי ענן בהם משתמש הארגון, דרך ליבת העיבוד המרכזית, רשתות התקשורת, ועד לנקודות הקצה. מערך מקיף של פתרונות לבלימת קוד זדוני ברשת ובנקודות הקצה הופך עניין חיוני יותר ויותר, ככל שהארגון נפתח מצד אחד אל עולם הענן, ומצד שני אל עולם המובייל.

התמיכה נדרשת הן בעובדים המביאים עימם את המכשיר הנייד הפרטי לצורך שימוש במקום העבודה (BYOD), והן בלקוחות המצפים מהארגון לתמוך בהם בכל מקום ובכל שעה. אם הזכרנו את עולם המובייל, ברור כי כל איום המוכר לנו בעולם המחשוב הנייח, מחלחל ומגיע גם לשם. כך, חיפוש פשוט ברשת, מוביל אל שלל כלים המאפשרים לעקוב אחר פעילות המשתמשים בטלפונים סלולאריים. החל מאתרים המציעים פתרון להורים המבקשים לעקוב אחר פעילות ילדיהם ברשת, ועד לאתרים לגיטימיים פחות, המאפשרים לפורץ להוריד פיסות קוד על מנת לרתום כלים כאלה ליישומים בעייתיים יותר.

אבטחת מערכות מובייל ואפליקציות שולחניות וניידות כאחד, הגנה מתקדמת מפני איומים, התמודדות עם נוזקה וקוד זדוני, מניעת הונאות ופשיעה פיננסית מחייבים מערכת מקיפה להגנה מתקדמת מפני הונאות ואיומים עקביים (APT). מערכת כזאת, צריכה להיות מסוגלת להתרחב ולספק הגנה למיליוני נקודות קצה, לרבות סמארטפונים וטאבלטים. הפתרונות המתקדמים יותר, הזמינים כיום, מאפשרים לזהות ולהסיר תוכנה זדונית ולבלום ניסיונות הונאה.

פתרונות כאלה מאפשרים גם חסימה מרכזית של ניסיונות השתלת קוד זדוני באמצעות פרצות בדפדפני אינטרנט ובנגני מדיה – ויודעים לבלום תקשורת החוצה של תהליכים בלתי-מאושרים. אבטחת עסקאות בהתקנים ניידים, עולה לרמה חדשה, בזכות כלים המונעים השתלטות על חשבונות משתמש, מזהים מכשירים בסיכון, ומנהלים מערכת "טביעות אצבע" של מכשירים – המושווית לבסיס נתונים של סיכוני אבטחה. הלקח החשוב ביותר מהמשך קיומם של איומי ריגול המקלדת והתרחבותם הוא זה: גם אם נדמה כי פרצה מסוימת הפכה לנחלת העבר, הטכנולוגיה המשתנה והמתקדמת במהירות, עלולה לחדש את האיום בקנה מידה גדול מאי-פעם. 

You might be interested also