ערכות פריצה: Crimepack

בפוסט השני מתוך סידרה, מסביר אמיר כרמי על אחת מערכות הפריצה הפופולריות ביותר בעולם הפשע המקוון – Crimepack

אחת מערכות הפריצה הפופולריות בשנים האחרונות בקרב עברייני האינטרנט נקראת בשם שלא משאיר מקום לטעויות: Crimepack (חבילת פשע) – ערכה פשוטה לשימוש, עם ממשק שיכול לדבר אל ליבו של כל פושע מתחיל, שמאפשרת לתקוף כמות גדולה של גולשים באמצעות אתרים נגועים.

המכנה המשותף הנמוך ביותר

כפי שניתן לראות כבר במסך הכניסה לממשק של Crimepack, הכותבים של הערכה החליטו לפנות למכנה הנמוך ביותר של כל העבריינים בפוטנציה עם תמונות שמזכירות את התחביבים של טוני מונטנה מהסרט “פני צלקת”. השימוש בגרפיקה מושקעת, תפריטים פשוטים, וגימיקים נועד למשוך חלקים גדולים יותר מאוכלוסיית העבריינים באינטרנט, גם כאלה שיש להם ידע טכני בסיסי ביותר. כותבי הערכה הוסיפו גם סלוגן לקמפיין השיווקי שלהם: “highest rates for the lowest price” מה שאומר, בתרגום חופשי, פגיעה בכמה שיותר גולשים במחיר הנמוך ביותר. הקמפיין מתבצע בחלקו בצורה של דואר זבל, כמובן, ומתגאה בכך שהערכה לא משתמשת במספר גדול של פרצות אבטחה כמו ערכות פריצה אחרות אלא מתמקדת במספר מצומצם של פרצות עם אחוזי הצלחה גבוהים במיוחד.

כמו כל ערכות הפריצה, Crimepack משתמשת בפרצות אבטחה ידועות שנסחרות בסכומים גבוהים מאוד בקרב משפחות הפשע שאחראיות על הפיתוח ועל ההפצה של הערכות. הרבה מפרצות האבטחה נמצאות בשימוש במספר ערכות פריצה במקביל, ולמרות שרובן המכריע כבר תוקנו בצורת עידכוני אבטחה, הן עדיין זוכות לאחוזי הצלחה לא רעים – מה שמראה שחלק משמעותי מהגולשים באינטרנט עדיין לא דואג לעדכונים אוטומטיים או יזומים.

בממשק של הערכה משולבות גם סטטיסטיקות מפורטות, שמראות לעבריין שמשתמש בה בדיוק איך היא מחזירה לו את ההשקעה של 400 דולרים ברכישה שלה. ניתן לראות את מספר הגולשים שנכנסים לאתרים הנגועים, כמה מהם הודבקו בהצלחה, חלוקה לפי מדינת המוצא של הגולשים, ואיזו פירצת אבטחה הצליחה להדביק אותם. בדוגמא הבאה ניתן לראות סטטיסטיקות של ערכת Crimepack שהשתמשו בה כדי להדביק אתרים גרמניים, ומכאן מספר הגולשים הגבוה מגרמניה:

דבר נוסף שמשותף לרוב ערכות הפריצה, הוא השימוש באתרים נגועים על מנת לתקוף מספר גדול ככל הניתן של גולשים. קיימים כלים בערכה שמאפשרים לפרוץ בקלות לאתרים ולשתול בהם קוד זדוני שתוקף אוטומטית כל גולש שמגיע לאתר. לא מדובר רק באתרי פורנו ושיתוף קבצים – ישנן פעמים רבות בהן פורטלים גדולים יחסית מותקפים ומשמשים לתקיפת הגולשים – בדר”כ הפריצה לאתרים גדולים מתגלה ומתוקנת במהירות יחסית, אבל עם תעבורת גולשים גבוהה גם מספר שעות יכולות להספיק לתקיפה של עשרות אלפי גולשים. מספיק לראות את הקלות היחסית בה האקרים טורקיים הצליחו לפני מספר חודשים לפרוץ יותר מאלף אתרים ופורטלים ישראלים לאחר פרשת האונייה מרמרה ולהעלות במקומם דפים עם הודעות נאצה כדי להבין כמה התופעה רחבה. במקרה של אתר נגוע הגולש לא יראה שום דבר יוצא דופן באתר, אלא אם כן הוא יותקף בצורה של תוכנת אנטי וירוס מתחזה, מה שיגיע בצורה של חלון קופץ עם אזהרה כלשהי לגבי וירוסים במחשב שדורשים סריקה מיידית.

הערכה Crimepack נמצאת בפורומים מחתרתיים כבר משנת 2008, כאשר היא מעודכנת בצורה שוטפת בכל מספר חודשים בגרסה חדשה שמוסיפה עוד יכולות ופרצות אבטחה עדכניות יותר. בשנת 2009 כבר היתה הערכה בגרסה 2.1 ובתחילת 2010 יצאה הגרסה שהביאה את “הפריצה לתהילה” של Crimepack בקהילות ההאקרים וחברות האבטחה – גרסה 2.8, שהוסיפה שתי פרצות אבטחה שמכוונות ל Adobe Reader 8 – התוכנה הפופולרית לקריאת מסמכי PDF, ולדפדפנים שעדיין מחזיקים בנתח השוק הגדול ביותר, Explorer בגרסאות 6 ו- 7. כמו כן שולב בממשק מנוע אוטומטי ליצירה של Iframe שמשמש להתקפה על גולש שנכנס לאתר הנגוע (ארחיב יותר על שימוש ב Iframe בחלק הבא של סדרת הכתבות).

צריך להתגונן

גרסה 3.0 שיצאה בגרסת Alpha בחודש מאי השנה, הכילה כבר 14 סוגים של מתקפות שונות, שמנצלות פרצות אבטחה במערכת ההפעלה Windows, דפדפנים פופולריים, Adobe reader ו- Flash, Java ותוכנות מסרים פופולריות – מה שמכסה את רוב הגולשים באינטרנט. כמו כן התווסף לממשק מנוע שמאפשר לבדוק אם אתר נגוע שבו הפורץ משתמש כדי לתקוף גולשים נמצא באחת מהרשימות השחורות של חברות אבטחה שונות.

בגרסה 3.1.3, שיצאה ממש לפני חודש, התווסף כלי ליצירה של מסמכי PDF נגועים (כאלה שידביקו גם גולשים שמשתמשים ב Adobe Reader בגרסאות 9.2) שהמפתחים של הערכה עדיין לא הספיקו להטמיע בממשק של הערכה. כמו כן, התווספה רשימה של כתובות IP של חברות אבטחה וספקיות אינטרנט, שמיועדת לחסום ניתוח או גילוי של אתרים נגועים ע”י הערכה. בין הכתובות הרבות ניתן גם למצוא את כל ספקיות האינטרנט הגדולות בישראל.

כדי להתגונן בפני ערכת הפריצה הזו, וערכות רבות אחרות, חשוב להתקין תוכנת אנטי וירוס טובה שיודעת לסרוק בצורה יעילה ומהירה אתרי אינטרנט בפרוטוקולים HTTP/S, להגדיר עדכונים אוטומטיים למערכת ההפעלה ולדפדפן, אם הוא מאפשר זאת, ואת כל האפליקציות שבהן אנחנו משתמשים בגלישה באינטרנט.

בחלק הבא בסדרת הכתבות על ערכות פריצה נעבור על הערכה שנקראת שלא במפתיע בשם של אחותי – Elenore.

אמיר כרמי

לוחם בווירוסים ופשע מקוון בלילה ופותר למשתמשים בעיות ביום. מומחה אבטחת מידע ורוקר מושבע. מנהל הטכנולוגיות בחברת קומסקיור, הנציגה הבלעדית בישראל של חברת ESET, מפתחת האנטי וירוס ESET NOD32 וחבילת האבטחה ESET Internet Security

הגב

3 תגובות על "ערכות פריצה: Crimepack"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
גדי
Guest

פוסט מרתק. מסתבר שלא צריך להיות גאון כדי לגרום הרבה נזק לאחרים. פשוט צריך ערכות כאלה…לא יאומן.

דורון
Guest

פוסט אינפורמטיבי וחשוב מאוד, כרגיל – משתמש שלא מאבטח את המשחב שלו ואת המידע שלו שלא יבכה אחרי זה. לגלוש ממחשב לא מאובטח עם אנטיוירוס טוב וחומת אש והרשאות לתקשורת יוצאת / נכנסת , זה כמו לעלות לכביש עם רכב ספורט כשאתה שיכור, לא חגור ונוסע בפרעות. אל תצפה שלא יקרה לך משהו… ככה זה גם ברשת, הצרה היא שלרוב המשתמשים אין מושג כי אף אחד לא באמת הכשיר אותם לגלישה בטוחה… אלא אם כן מישהו עבר הרצאה או למד וחקר בעצמו…

ירון
Guest

היפה הוא שרוב הפריצות האלה אינן עובדות בלינוקס… בהצלחה חובבי MS…

wpDiscuz

תגיות לכתבה: