" אנטי וירוס

‫"הלבנה" היא הרבה מעבר ל‪"-‬אנטי וירוס"‬
‫מאי ‪2010‬‬
‫"הלבנה" לעומת התמודדות עם קוד עוין‬
‫קבצי מחשב טומנים בקרבם פוטנציאל לאיומים מרובים‪ .‬מימוש אותם איומים המוטמעים בקבצים מסכן את המידע‬
‫במערכות המחשוב הרגישות כאשר קבצים נגועים באים איתם במגע‪.‬‬
‫ייעודה של מערכת "הלבנה" איכותית הוא להפעיל יכולות נרחבות על הקבצים‪ ,‬במטרה להתמודד עם מגוון רחב‬
‫של איומים העלולים להיות מוטמעים בסוגי הקבצים השונים‪.‬‬
‫לעומת מערכת ההלבנה‪ ,‬קיימות בשוק מגוון רחב של תוכנות האמורות להתמודד עם קוד עוין‪ ,‬והמכונות בשם‬
‫העממי "אנטי וירוס"‪ .‬הן מספקות יכולות אבטחתיות חשובות בזכות התמחותן בלחימה בקוד העוין‪ ,‬אלא שבאופן‬
‫טבעי הן מתמודדות עם חלק מסוים בלבד מתוך כלל האיומים האבטחתיים הטמונים בקבצים ובשימוש בהם‪.‬‬
‫השוואה מהירה הנעשית בין הדרישות ממערכת הלבנה לבין הדרישות מתוכנה כנגד קוד עוין‪ ,‬מעלה מסקנות‬
‫ברורות‪:‬‬
‫· מערכת הלבנה איכותית נדרשת לספק חבילת אבטחה שהיא הרבה מעבר למה שמספקת תוכנה המתמודדת‬
‫רק עם קוד עוין‪ .‬מערכת הלבנה איכותית נדרשת להתמודד עם גוון רחב מאוד של איומים המצויים בקבצים‪,‬‬
‫כשרק חלק מסוים מהם נוגע לאיתור ולחסימה של קוד עוין‪.‬‬
‫· מערכת הלבנה איכותית צריכה להכיל בקרבה יכולת להתמודדות גם עם איומי הקוד העוין‪ ,‬למשל ע"י שילוב של‬
‫מספר מנועים איכותיים המתמחים בתחום זה‪.‬‬
‫המסקנות החד‪-‬משמעיות נותנות את המענה לשאלה העולה מעת לעת‪ :‬מדוע יש צורך להטמיע מערכת הלבנה‬
‫בארגון שכבר פועלת בו מערכת אנטי‪-‬וירוס?‬
‫השוואת הטכנולוגיות‬
‫להלן יוצגו דוגמאות ספורות ליכולות הקיימות במערכת הלבנה‪ .‬יכולות אלו אינן בהכרח נתמכות ע"י התוכנות‬
‫המתמודדות עם קוד עוין‪ ,‬וגם אם קיימות בשוק תוכנות מדף מסוימות המתמודדות אם איום זה או אחר של קוד‬
‫עוין‪ ,‬הרי שאין זה אומר שכל תוכנה שכזו יודעת להתמודד עם כלל האיומים הרלוונטיים‪.‬‬
‫· חסימת סוגי קבצים אסורים‬
‫למערכת הלבנה נדרשת יכולת לקבל הגדרה של רשימת קבצים המותרים בהכנסה לרשת הרגישה ‪,White list -‬‬
‫ועליה לחסום מעבר של כל קובץ אחר שאינו מופיע ברשימת הקבצים המאושרים‪.‬‬
‫דוגמה‪ :‬ארגונים רבים אוסרים באופן גורף על העובדים שלהם להכניס קבצי הרצה לרשת הרגישה‪.‬‬
‫· חסימת קבצים בעלי סיומות מזויפות‬
‫בנוסף לצורך לאתר ולחסום קבצים מסוגים אסורים‪ ,‬קיימת החובה לבדוק את אמיתות סיומת שם הקובץ‪ ,‬וזאת‬
‫כדי לאמת כי הסיומת של הקבצים כפי שרואים אותה בעין היא אכן אמיתית ולא מזויפת‪.‬‬
‫דוגמה‪ :‬הארגון מחליט לחסום הכנסת קבצי הרצה מסוג ‪ .exe‬עובד הפועל בצורה עוינת מעוניין להכניס לארגון‬
‫דווקא את הקובץ ‪ .Hack.exe‬לשם כך העובד משנה את הסיומת של הקובץ ל‪ Hack.doc-‬ע"י שימוש ביכולת‬
‫‪ Rename‬שמספקת לו מערכת ההפעלה‪ .‬העובד מכניס לרשת הפנימית הרגישה את הקובץ בעל הסיומת‬
‫המזויפת‪ ,‬שנראה כאילו הוא נוצר ע"י מעבד התמלילים ‪ .Word‬בתוך הרשת הפנימית העובד משנה חזרה את‬
‫הסיומת ל‪ .exe-‬רק מערכת הלבנה איכותית תבחין בכך שמדובר בקובץ בעל סיומת מזויפת‪.‬‬
‫· חסימת תכנים אסורים‬
‫היכולות לחסום קבצים המכילים תכנים אסורים שמורה בעיקר לנושא ה"השחרה"‪ ,‬אך קיימים גם מקרים בהם‬
‫ישנו עניין למנוע בעזרת "הלבנה" הכנסת תכנים מסוימים לרשת‪ ,‬תכנים שנוכחותם אינה רצויה באותה רשת‪.‬‬
‫דוגמה‪ :‬חסימת הכנסת מידע העלול לפגוע ברגשותיהם של עובדים בארגון‪.‬‬
‫מערכת הלבנה איכותית צריכה לאפשר את היכולות לאתר מידע אסור בקבצים‪ ,‬כולל איתור וחסימת מידע‬
‫הקיים בקובץ אך נמצא במצב הנסתר מעין המתבונן‪.‬‬
‫· חסימת קבצים המכילים יכולות ‪ ,Macro‬או לחילופין נטרול ה‪Macro-‬‬
‫קיימים יישומי מחשב שונים המכילים יכולות פנימיות מובנות המאפשרות להפעיל יכולות הרצה של תוכניות‪.‬‬
‫תכונה זו מוכרת בשם ‪ .Macro‬יכולת כתיבת והפעלת ‪ Macro‬מקובלת לדוגמה בתוכנות משרדיות כדוגמת‬
‫‪Word,‬‬
‫‪ Power point‬ו‪ Excel-‬ממשפחת ‪.Microsoft Office‬‬
‫השימוש ב‪ Macro-‬מיועד כמובן למטרות חיוביות‪ ,‬אך הניסיון מראה שגורמים עוינים ניצלו את יכולת ה‪ Macro-‬על‬
‫מנת לפגוע במי שקיבל מהם קובץ שהכיל ‪ Macro‬עוין‪.‬‬
‫מערכת הלבנה איכותית תדע‪:‬‬
‫§ לאתר נוכחות ‪ Macro‬בקובץ‪.‬‬
‫§ לחסום קובץ המכיל ‪.Macro‬‬
‫§ במידת האפשר‪ ,‬לנטרל את ה‪ Macro-‬על מנת לאפשר שימוש בקובץ ללא ה‪.Macro-‬‬
‫לא כל מערכת המתיימרת להתמודד למול קוד עוין יודעת להתמודד עם ‪ Macro‬בקובץ‪ ,‬ובטח שלא להציע ללקוח‬
‫שירות של נטרול ה‪ Macro-‬תוך הכשרת הקובץ לעבודה בטוחה‪.‬‬
‫· חסימת קבצים המכילים אובייקט מוטבע ‪ ,Embedding -‬או לחילופין נטרול האובייקט המוטבע‬
‫קיימים יישומי מחשב שונים המכילים יכולות פנימיות מובנות המאפשרות להטביע )לשתול( בתוכם אובייקטים‬
‫שונים‪ ,‬כולל אפילו שילוב קבצים שלמים כאובייקטים‪ .‬האובייקטים המוטבעים יכולים להיות גלויים או סמויים‬
‫מהעין‪.‬‬
‫תכונה זו מוכרת בשם הכללי ‪ ,Embedding‬ואילו ביישומי משפחת ‪ Microsoft Office‬המוכרים‬
‫‪Word, Power point,‬‬
‫‪ Excel‬מכונה היכולת הזו‪.OLE - Object Linking & Embedding :‬‬
‫השימוש ביכולת ‪ Embedding‬מיועד כמובן למטרות חיוביות‪ ,‬אך גורמים עוינים עלולים לנצל את יכולת ה‪-‬‬
‫‪ Embedding‬על מנת לפגוע במי שקיבל מהם קובץ שהכיל בתוכו הטבעה של קובץ ‪ /‬קבצים עוינים‪.‬‬
‫מערכת הלבנה איכותית תדע‪:‬‬
‫§ לאתר נוכחות קובץ מוטבע‪.‬‬
‫§ לחסום קובץ ראשי )‪ (Container‬המכיל בתוכו קובץ מוטבע‪.‬‬
‫§ במידת האפשר‪ ,‬לנטרל את הקובץ המוטבע‪ ,‬על מנת למנוע השפעתו שיכולה להיות הרסנית‪.‬‬
‫לא כל מערכת המתיימרת להתמודד למול קוד עוין יודעת להתמודד עם קובץ מוטבע בתוך הקובץ הראשי‪ ,‬ובטח‬
‫שלא להציע ללקוח שירות של נטרול הקובץ המוטבע תוך הכשרת הקובץ הראשי לעבודה בטוחה‪.‬‬
‫· ניהול משתמשים‬
‫מערכת "הלבנה" איכותית מכילה ניהול משתמשים מובנה‪ ,‬מה שמאפשר למנהל האבטחה להגדיר למי מותר‬
‫לבצע "הלבנה"‪ ,‬ומהוא פרופיל ה"הלבנה" המותר לו לבצע‪ .‬זאת בעוד שמערכות המתמודדות עם בדיקת קבצים‬
‫כנגד קוד עוין מבצעות בדיקה על הקבצים מבלי לוודא האם ההכנסה לרשת של אותם קבצים מותר לאותו‬
‫משתמש‪.‬‬
‫· התמודדות עם קוד עוין‬
‫מאמר זה עוסק ביסודו בהשוואה בין יכולות מערכת "הלבנה" לבין יכולות מערכת המתמודדת עם קוד עוין‪.‬‬
‫נכתב כבר שמערכת "הלבנה" איכותית צריכה להכיל‪/‬להפעיל יכולת התמודדות עם קוד עוין‪.‬‬
‫ישנו שוני בין המערכות המסחריות המתמודדות עם קוד עוין המתבטא במגוון נושאים‪ :‬בצורת עבודתן‪,‬‬
‫במעטפת הביצועים שלהן‪ ,‬במידת עדכניותן‪ ,‬בנוחות תפעולן ועוד‪ ,‬לכל אלו השלכה ישירה על הסיכוי שלהן‬
‫לחסום קובץ המכיל קוד עוין‪ .‬מקובל כיום שכל רשת וכל מחשב מוגנים ע"י תוכנת מניעת קוד עוין כלשהי‪ ,‬אך‬
‫מעטות הרשתות ומעטים המחשבים המוגנים בו זמנית ע"י מספר מערכות כאלו‪ ,‬וזאת למרות שברור כי סיכויי‬
‫המענה שיספקו מספר מערכות גדול מזה שמספקת מערכת אחת בלבד‪ .‬אחת הסיבות למיעוט המערכות‬
‫המגנות על רשת מסוימת בפני קוד עוין הנו הקושי התפעולי שקיים להפעיל בו זמנית מספר תוכנות כנגד קוד‬
‫עוין‪.‬‬
‫כאן נכנסת לתמונה מערכת ה"הלבנה"‪ ,‬המאפשרת להפעיל במקביל מספר מנועים המתמודדים עם קוד עוין‪,‬‬
‫ובכך משפרים את חסינות הרשת כנד האיום‪.‬‬
‫המענה‪ :‬מערכת‬
‫‪SelectorIT‬‬
‫מערכת ‪ SelectorIT‬פותחה בחב' יזמטק במיוחד בכדי לספק את המענה האבטחתי שיאפשר "הלבנת" קבצים‬
‫המיועדים להכנסה לרשת רגישה‪.‬‬
‫מערכת ‪ SelectorIT‬מפעילה שורה של מנועים שתכליתם להתמודד עם קוד עוין‪ ,‬ובכך היא מכסה גם את תחום‬
‫האיום הזה‪.‬‬
‫מערכת ‪ SelectorIT‬מספקת יכולות "הלבנה" שהן הרבה מעבר ליכולות שמספקות מערכות המתמחות בהתמודדות‬
‫עם קוד עוין בלבד )כדוגמת אנטי‪-‬וירוס(‪.‬‬