כשדובר צה"ל שולח וירוס | על סייבר והמלחמה הבאה.

0.
היום בבוקר, עת שקמתי, ראיתי דואר מעניין בתיבת הדואר שלי, הוא נשלח (לכאורה) מדובר צה"ל ומכתובת האימייל Idfspox@gmail.com. מפתיע לגלות, אבל הכתובת עצמה היא כתובת שדובר צה"ל השתמש בה, לפחות במקום אחד. הודעת הדואר הכילה קובץ מכווץ של RAR בשם "Report 16-11". אותו קובץ מכווץ הכיל קובץ .com, שהוא קובץ הרצה, שנחזה להיות מסמך Word. ניתן לראות זאת בשני צילומי המסך המצורפים:

1.
השיטה כאן של הוירוס ידועה: שולחים קובץ שנראה כאילו הוא מסמך, כאשר הסיומת שלו היא .doc.exe או .doc.com. המשתמש ההדיוט רואה קובץ של Microsoft Word ומנסה לפתוח אותו, בלי לדעת שמדובר בקובץ הרצה בכלל (לא שאם הוא היו שולחים לך קובץ Word לא היה ניתן להכניס בתוכו וירוסים). מצד שני, אם אתה עיתונאי ומקבל דואר אלקטרוני מדובר צה"ל, אתה לא תחשוש לרגע מלפתוח את הקובץ, נכון?

2.
כאן התחילה הבעיה: אני מאוד סוקרנתי, כיוון שמעולם לא התכתבתי עם הדובר, כיצד הגיעה הכתובת שלי. בירור קצר ובדיקה של הHeaders של האימייל (החלק שאתם לא ניגשים אליו שכולל את המידע האמיתי של הדואר), גילתה כמה דברים: השולח הוא אדם אשר קיבל באמצעות מנגנון השולחים המורשים של ג'ימייל גישה לחשבון. ג'ימייל מאפשר למי שמחזיק חשבון בו להרשות לאנשים אחרים לשלוח דואר מאותו חשבון, וזה היה המקרה כאן (כפי שניתן לראות בצילום המסך); אדם מסוים שאני נמצא ברשימת אנשי הקשר שלו, שלח דואר אלקטרוני בשם דובר צה"ל, כיוון שהוא כנראה מורשה לעשות כן.

3.
מה זה אומר? הבעיה כאן התחילה כאשר גורם רשמי של מדינת ישראל החזיק חשבון בגוגל; לא שיש לי בעיה עם גוגל, אבל אם יש לקח שמישהו אמור ללמוד מפרשת הגנרל דויד פטראוס הוא שניהול של חשבונות ג'ימייל צריך להעשות במשורה על ידי גורמים רשמיים. לא צריך לפחד מלעבור לשם, אבל כן צריך להשתמש במערכות בקרת גישה יותר משמעותיות. הבעיה השניה החלה כאשר החשבונות אשר הורשו להשתמש בחשבון הג'ימייל של דובר צה"ל כנראה לא נבדקו ולא אובטחו כראוי. זה אומר שמישהו, ככל הנראה, פרץ למחשב של אותו המורשה ושלח דואר בשמו לכל רשימת הכתובות שלו בנסיון להדביק אותם בוירוס מתוך מחשב שנחזה להיות דובר צה"ל.

4.
מה הוירוס עושה? ובכן, לי אין את היכולות לאבחן אם אכן מדובר בוירוס או רק בקובץ חשוד, ואין לי את היכולות לבדוק אותו ולראות מה הוא עושה בתנאי מעבדה. יש לי אבל את היכולת להגיד שמה שקרה כאן הוא כשל אבטחתי של צה"ל: מי שהשתלט על החשבון הזה יכול כבר עכשיו להשתלט על נכסים דיגיטליים אחרים של המדינה, ויכול להפקיר אותנו. זו בדיוק הבעיה: הממשלה מצהירה כמה זירת הסייבר היא המלחמה הבאה ושוכחת לאבטח את הנכסים הדיגטליים שלה.

5.
אז מה צריך לעשות? קודם כל, ראוי שהצבא יבדוק מה קרה, ויקח אחריות על הנושא: ישלח הודעה בשנית לכל מי שקיבל את הקובץ עם אזהרה, וימשיך לבדוק איך האירוע קרה. אחר כך? המדינה חייבת לקחת אחריות על הנושא הדיגיטלי, ולהלחם בחזית הסייבר כי זו תהיה המלחמה הבאה שלנו. אכן, להפציץ את עזה זה נחמד וסקסי כדי לקבל קולות בבחירות, אבל כשחשבונות הבנק של כל אזרחי ישראל ירוקנו מכסף, אז גם לא יהיה לנו כסף לבנות מחדש את הנגב אחרי התופת.

עדכון: אביב ראף מוסיף וחוקר את הקובץ ומעדכן על המהות שלו.

5 תגובות ל-“כשדובר צה"ל שולח וירוס | על סייבר והמלחמה הבאה.

  1. you probably want to remove your own email there. Also: does the IDF spokesperson REALLY have a Gmail address?

    just saying

  2. אפשר להריץ אותו באמצעות wine. בד"כ זה מספק תובנות די משעשעות.

    אפשר להרים מכונה וירטואלית של איכספי ולהדביק אותה, ולראות איך הוא משפיע על הרגיסטרי, או פשוט יותר, לאן הוא מנסה להתקשר ואילו פורטים הוא פותח.

כתיבת תגובה

האימייל לא יוצג באתר. (*) שדות חובה מסומנים

תגי HTML מותרים: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>