פרשיית DuQu מסתעפת: האם האקרים יצרו שפת תכנות עצמאית?

חקירת קוד המקור של אחת הרוגלות המעניינות של השנים האחרונות מייצרת אתגרים חדשים לחוקרים. כעת, הם מבקשים את עזרת הציבור.

מקור: צילומי מסך מאתר קספרסקי, עיבוד תמונה

מעבדות המחקר של קספרסקי ברוסיה הגיעו לנקודה חשובה בחקירת DuQu, רוגלה ממשפחתה של ה-Stuxnet, אשר תפקידה לאסוף מידע פנימי על הארגון ו/או על האנשים שמחשביהם מודבקים. החקירה נמשכה תקופה ממושכת, וממציאה מעניינים, בלשון המעטה.

מבקשים את עזרת הציבור

נתחיל ונאמר, שהחקירה על מה בדיוק עושה הקוד של DuQu ואיך הוא עושה את זה טרם הסתיימה. למעשה, בקספרסקי ובגופי מחקר אחרים בעולם חוקרים קוד כמו DuQU ו-Stuxnet כל העת, במטרה ללמוד ולהשתפר. כעת, המחקר הספציפי של DuQu נתקע, וכדי להמשיך קספרסקי מבקשת את העזרה שלכם (כן, אתם).

כל קורא שיש לו ידע בתחום אבטחת המידע והתיכנות ויוכל לעזור לקספרסקי, מוזמן על-ידה לעשות כן. החברה הצליחה לזהות את מרבית הקוד של DuQu, לא את כולו. החלקים שזיהתה היו מבוססים על השפות C ו-C++, וקומפלו באמצעות המהדר (קומפיילר) של Microsoft Visual Studio 2008. כעת נותר ללא זיהוי אחד החלקים המעניינים ביותר בקוד של DuQu, הקוד המתייחס לאופי התקשורת של המחשבים המודבקים אל מול שרתי השליטה (Command & Control Servers). הקשר עם השרתים האלה הוא המפתח ליכולת השליטה של כותבי הרוגלה במידע המגיע אליהם ממחשבי המטרה, שהודבקו ברוגלה.

הקושי בזיהוי

קספרסקי ניסו לבחון את קטע הקוד הזה ממגוון רחב של זוויות, כשהם מנסים לזהות מהי שפת התיכנות שיצרה אותו. עד כה הם הצליחו לשלול את כל שפות התיכנות שהם מכירים, כולל C++, Objective C, Java, Python, Ada, Lua. הניחוש של החוקרים כרגע היא שמדובר באחד משני תרחישים; או שזו שפה ייעודית בתחום מסוים, ומכאן הפניה לציבור הרחב, לראות אם משהו שמתעסק בתחום מאוד נישתי מצליח לזהות את השפה.

אפשרות אחרת היא, שמדובר בשפה ייעודית שנוצרה לצורך פרויקט DuQu עצמו. אמנם, מי שמימן את יצירת DuQu יצטרך להשקיע משאבים רבים כדי לייצר  שפה ייעודית, שאחר-כך גם לא יהיה לה שימוש אחר בפרויקטים אחרים (כדי שלא לקשר אותם ל-DuQu), אך גם קשור להון האנושי הנדרש למשימה שכזאת, שהוא הון איכותי יותר, ולכן יזכה לתגמולים בהתאם.

מקור: תמונת מסך מאתר קספרסקי, עיבוד תמונה

אתגר לעולם האבטחה

אתגר זיהוי אופן הפעולה של DuQu עומד לפתחו של עולם האבטחה כולו. ברחבי העולם, גופי מחקר רבים, פרטיים וממשלתיים, וודאי עובדים על הקוד הזה, למעט כמובן אלה שיצרו אותו. במובנים רבים, עולם אבטחת המידע לאחר חשיפת Stuxnet ו-DuQu אינו כפי שהיה. כעת, לאחר שכלי מלחמה שהיו מנת חלקם של מעצמות-על וגופי עילית בעולם האזרחי עשויים ליפול לידיהם של גורמים רבים אחרים, נפתחה תחרות חדשה, אם כי מעט סמויה מן העין, והיא התחרות לפתח אמצעי נגד מתאימים, ולכל הפחות אמצעי התרעה, שיידעו את המשתמשים כי עמדתם נפגעה מרוגלה.

מכאן, אנחנו גם למדים על התמריץ החשוב לגילוי. מי שיצליח לפצח את החידה הזאת מבין חברות האבטחה לא רק יוכל לקבל את הקרדיט, אלא יהיה לו יתרון משמעותי על פני המתחרים שלו בייצור תוכנות גילוי והתרעה מפני רוגלות שכאלה בעתיד. בנוסף, אולי בשלב מאוחר יותר, החברות יציעו גם אמצעי הסרה.

לא בטוח שתרצו להשתתף במרוץ

בהקשר של החקירה של DuQu, קשה שלא לחשוב על ההשלכות של פיצוח הרוגלה בקנה מידה הרחב. אם ניקח בחשבון ש-DuQu זוהתה לראשונה על-ידי חוקרים מהונגריה, שבדקו מחשבים מחברה כלשהי שפנתה אליהם, ונכיר באפשרות שהחברה הזאת עשויה להיות חברה אירנית, או כזו הקשורה לאירן. זאת, משום שמרבית המחשבים שהודבקו ברוגלה הם מחשבים של חברות וארגונים אירניים או פרו-אירניים, הרי שעשויות להיות למרוץ הזה השלכות גם על החקירה שהאירניים עושים בימים אלה, בין אם בעצמם ובין אם באמצעות גורמים שלישיים.

שאלנו את קספרסקי, כיצד הגיע לידיהם קוד המקור של DuQu. מהחברה נמסר בתגובה, כי “קוד המקור נרכש מלקוחות בסודן, דרך צוות ה-CERT באותה מדינה. בגלל סוגיות הנוגעות לפרטיות, לא נוכל לחשוף את שם החברה עצמה”.

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

7 תגובות על "פרשיית DuQu מסתעפת: האם האקרים יצרו שפת תכנות עצמאית?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
צחי
Guest

נשמע דבילי. קודם כל אפשר לכתוב באסמבלי כך שאין בהכרח שפה או אפילו בקוד מכונה. אופציה שניה הם כלי אובפוסקציה על כל השפות הנ״ל. נשמע שהם צריכים לחפש עובדים חדשים. למזלי אין לי מוצרים של קפרסקי.

ון
Guest

פשוט בדיחה מהלכת השטות הזו. כתבו קצת באסמבלי. איך לעזאזל הגעתם למסקנה שקימפלו את הקוד משפה אחרת?

שי בן משה
Guest

צחי וון, למיטב הבנתי הקוד מונחה עצמים, וזיהו שם מחלקות, מה שלא סביר שנכתב ישירות באסמבלי.
מה שכן, נראה גם שיש כמה הצעות של גרסאות שונות של אסמבלי.

גל סולומוביץ
Guest

שי עדיין
האופציה היותר הגיונית זה שהם באמת תכנתו באסמבלי מאשר שהם כתבו שפה חדשה
אולי זה גרסה לא מוכרת של אסמבלי שהם שהם הכינו במיוחד בשביל זה אבל קשה לי להאמין שהם כתבו שפה משלהם רק לצורך העיניין הזה

אריק
Guest

בהשראת ספרי המד”ב של ויליאם גיבסון (כמו למשל Count Zero), יש לי להציע אופציה נוספת, דבילית עוד יותר: הקוד נכתב על ידי בינה מלאכותית, מה שמרמז לנו בני האדם שהישות הוירטואלית הזאת זוממת להשתלט על העולם ועל בני האדם. היא צריכה משאבים רבים, ולכן היא משתלטת על מחשבים סביב העולם, דרך האינטרנט, כדי לפזר את עצמה ולצבור הרבה כוח עיבוד (וכדרך אגב, לאסוף גם מידע מודיעיני).

שמואל דרמר
Guest

על זה נאמר “מי שיודע, לא מדבר. ומי שמדבר, לא יודע”

רון
Guest

אז הנה, בתור “אחד שיודע”, כתבו באסמבלי ישירות

wpDiscuz

תגיות לכתבה: