מי ישמור על השומרים? תוכנות האנטי-וירוס מסייעות להאקרים
חוקרי SafeBreach הישראלית, המתמחה בסימולציות פריצה והתקפה, בדקו 10 מוצרי אבטחת מידע של החברות הגדולות בעולם, וגילו כי בחלקן ניתן לעשות שימוש לרעה - ובמקום להגן על המחשב, הם עשויים לשמש תוקפים לגנוב - ולהזליג מידע מן המחשב
נחשפה פירצה במוצרי אנטי-וירוס של כמה מחברות האבטחה הגדולות בעולם.
חוקרי SafeBreach הישראלית, המתמחה בסימולציות פריצה והתקפה, בדקו 10 מוצרי אבטחת מידע של החברות הגדולות בעולם, והציגו את ממצאיהם בכנס BlackHat 2017, שהסתיים בסוף השבוע.
מתוך 10 החברות שנבדקו, החוקרים מצאו פרצת אבטחה בארבעה מוצרי אנטי-וירוס: Comodo Client Security ,Kaspesrky Total Security 2017 ,ESET NOD32 Antivirus, ו-Avira Antivirus Pro.
על פי חוקרי SafeBreach, בארבעת מוצרי אבטחת המידע הללו ניתן לעשות שימוש לרעה, ובמקום להגן על המחשב, הם עשויים לשמש תוקפים לגנוב – ולהזליג מידע מן המחשב.
איציק קוטלר, ממייסדי החברה וה-CTO שלה, ועמית קליין, סמנכ"ל בחברה, אמרו בכנס כי "כאשר וירוס מגיע לתחנת עבודה ו-'רוצה' לקחת מסמך מסווג, הוא אינו יכול – כי אותה תחנת עבודה לא מחוברת לאינטרנט. אותו הווירוס מייצר קובץ וירוס אחר, נוסף – ואז לתוך אזור מסוים בקובץ, הוא מעתיק את המסמך שאותו הוא רוצה להזליג החוצה".
לזהות מבעוד מועד את החולשות והפרצות במערכת
"הווירוס המקורי מריץ את הווירוס החדש, שבנוי כך שהאנטי-וירוס יזהה אותו מיד כחשוד. במצב כזה, תוכנת האנטי-וירוס שולחת את הקובץ החשוד לענן, לאנליזה מעמיקה. בענן, שרת האנטי-וירוס מריץ את הקובץ החשוד בתוך 'ארגז חול', שמחובר לאינטרנט. כעת, הווירוס החדש יכול לשלוח את המידע שצבור בו ישירות לשרת של התוקף, ובכך להשלים את הזלגת המידע".
SafeBreach פנתה לחברות בהן זיהתה את הפרצה, וכולן תיקנו את הבעיה, למעט אחת – קספרסקי (Kaspersky Lab). החוקרים ציינו כי תוכנות האנטי-וירוס של סימנטק (Symantec) ומק'אפי (McAfee) לא נמצאו פגיעות למתקפה מסוג זה, "אולם אין לדעת אם הן פגיעות לווריאנטים אחרים של ההתקפה".
לדברי קוטלר, "הגישה הפרואקטיבית שלנו לתחום האבטחה מוכיחה את עצמה פעם אחר פעם. מדהים היה לגלות שמוצרים שאמורים להגן על המחשב – עשויים לשמש תוקפים דווקא לתקוף את המחשב ולבצע בו פעולות של הזלגת מידע. אני מאמין שבשנים הקרובות נראה יותר ויותר שימוש במתודולוגיה שלנו ומעבר מגישה פאסיבית – למתקפות יזומות, המזהות מבעוד מועד את החולשות והפרצות במערכת".
מקספרסקי נמסר בתגובה כי "הסבירות למתקפה שכזו מאד נמוכה, ודורשת כמה תנאים בלתי סבירים שיבואו במקביל, על מנת שהיא תצליח. מומחי קספרסקי חקרו ביסודיות תרחיש זה והסיקו כי הסיכון שהוא יקרה נמוך מאוד. אנו מודים לחוקרי SafeBreach על שהסבו את שימת לבנו לכך. האבטחה של הלקוחות שלנו היא בעדיפות הראשונה שלנו".
תגובות
(0)