האם תוכנות פרסום הן תוכנות זדוניות? לחוקר הזה אין ספק בכך

סייבריזון פרסמה החודש דו"ח נוסף על תוכנת הפרסום למק של TargetingEdge הישראלית; החוקר, עמית סרפר, לא מהסס לרגע להגדיר אותה כווירוס; בטרגטינג אדג' מתנגדים בתוקף לממצאים, ומאשימים את סייבריזון בניסיון להתפרסם על חשבונה, אבל סרפר לא לבד

עודד ירון
עודד ירון
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
מחשב מקבוק
עודד ירון
עודד ירון

"השורה התחתונה היא שתוכנות פרסום הן תוכנות זדוניות, נקודה. לזה צריך להעלות את המודעות". זה המסר החשוב ביותר שעמית סרפר, חוקר אבטחה בכיר בחברת סייבריזון, ביקש להדגיש בשיחה עם "הארץ" בעקבות המחקר האחרון שלו על פעילותה של חברת TargetingEdge הישראלית ותוכנת הפרסום שלה למחשבי מק.

"תוכנה אחת מנצלת את כל הכוח של המחשב שלך בשביל להציג פרסומות והשנייה כדי לגנוב לך מידע", אמר סרפר. "הסיבה היחידה שהתוכנות האלה לא מתוייגות כ-Malware היא שבהרבה מקרים הן שלחו מכתבי איום למחלקות משפטיות של חברות אבטחה וטענו כי מדובר בהוצאת דיבה. כך נולדה ההגדרה של 'תוכנות בלתי רצויות בפוטנציה' (Potentially Unwanted Software)".

עמית סרפרצילום: Jen Rosenthal / סייבריזון

בפוסט שהקדישה לנושא חברת סימנטק ב-2014 היא כתבה כי תוכנות כאלה "מתקיימות באזור האפור שבין אפליקציות לגיטימיות ותוכנות זדוניות באמת. בדרך כלל הן נופלות לקטגוריות של תוכנות ריגול או תוכנות פרסום". כריס לארסן מהחברה כתב כי הן מסתתרות מאחורי תנאי השימוש, שמזכירים, עמוק עמוק באותיות הקטנות שהן יאספו מידע על הרגלי הגלישה כדי "לשפר את חוויית הגלישה" על ידי הצגה של פרסומות יותר רלוונטיות. אם כי, גם הוא לא בדיוק הבין איזה שיפורים הוא מקבל מהשיטות האלה.

כשלעצמו זה פשוט נשמע כמו מה שגוגל ופייסבוק עושות. אחרי הכל, גם הן ספגו וסופגות לא מעט ביקורת על חלק ניכר מהפרקטיקות שלהן בכל הנוגע לאיסוף מידע וחדירה לפרטיות. עם זאת, כשאנחנו מורידים את כרום, משתמשים במנוע של גוגל או קונים טלפון אנדרואיד, ברור לנו שאנחנו מקבלים ערך בעסקה הזאת. במקרה של תוכנות כמו זו שהובילה לשיחה, הרבה יותר קשה למצוא ערך משמעותי להורדה. למעשה, המשתמש כלל לא יודע שהוא הוריד את התוכנה, או למה המחשב שלו איטי פתאום.

תוכנת הפרסום שתקעה את המק שלי

כאמור, הסיבה לשיחה עם סרפר היתה הפרסום של המחקר האחרון שלו בנושא. למעשה, מדובר בפרק השלישי בסדרת מחקרים שפרסם על תוכנת פרסום למחשבי מק בשם OSX.Pirrit של חברת TargetingEdge הישראלית. החברה המפתחת דוחה את הטענות של סייבריזון, ועורכי הדין שלה אף שלחו לחברה כמה מכתבים שבהם איימו בתביעה ודרשו להימנע מפרסום הדו"ח. לבסוף, שלחה החברה תגובה לדו"ח ובה היא טוענת כי מדובר בתוכנה לגיטימית לחלוטין, שלא נועדה ולא גורמת נזק למחשבי המשתמשים. בנוסף טענה כי לתוכנה אין כל קשר לגרסאות שאליהן התייחס סרפר בשני הדו"חות הקודמים.

מן הסתם, סרפר וסייבריזון חולקים על הטענות הללו של TargetingEdge, והם לא היחידים. בשיחה הוא ציין כי יותר מ-25 תוכנות אנטי-וירוס מתייחסות אליה כאל כזאת. יחס דומה קיבלו לאחרונה גם כלים כמו CoinHive שמשתמשים במחשבי המשתמשים כדי לכרות מטבע וירטואלי - כל חוקרי האבטחה שהתייחסו אליהם נשמעו קצת יותר סלחנים מסרפר, אבל מאחר שאתרים והאקרים משתמשים בכלים האלה מבלי לדווח למשתמשים ומבלי לאפשר להם הסרה, חברות אנטי-וירוס שונות החליטו לחסום את התוכנה. רק לאחרונה חשפה חברת קספרסרקי אפליקציה זדונית לאנדרואיד שכללה מגוון כלים לניצול המכשירים, כולל כלי לכריית מטבע קריפטוגרפי. האפליקציה היא כה אגרסיבית, עד שהיא פשוט גרמה לסוללה של המכשיר שהחוקרים ניסו במעבדה להתנפח.

28 מנועי חיפוש מגדירים את OSX.Pirrit כתוכנה זדונית

OSX.Pirrit היא מה שמכונה Installer - כלומר החברה מציעה תוכנות לגיטימיות, שנארזות עם התוכנה שלה. זו טכניקה ותיקה ושנויה במחלוקת, שגם אתרים לגיטימיים נקטו כבר לפני שנים. אתר CNET למשל ספג ביקורת חריפה כבר לפני שנים, כשהתברר שהתוכנות שהציע באתר download.com כללו תוכנות נוספות.

לתעשיית הטכנולוגיה בישראל יש היסטוריה נרחבת ובעייתית בכל הנוגע לטכנולוגיות פרסום מהסוג הזה. כמה חברות ישראליות, שזכו לכינוי הקולקטיבי Download Valley, עשו את הונן מסרגלי הכלים להורדה שהפכו כלי לדחיפת פרסומות, בה בעת שהיה כמעט בלתי אפשרי להסיר אותם. חלקן התקיימו מהסכמים עם גוגל, אבל בשנת 2013 החברה החלה לחסום אותן, והן נאלצו לשנות את המודלים בכדי לשרוד.

"בסופו של דבר, זאת לא תעשייה נעימה", אמר באותה שנה ל-TheMarker בכיר באחת מאותן חברות. "קל להיסחף למקומות הבעייתיים יותר, וגם אני נסחפתי לשם. אתה צריך לקיים חברה, ומאוד קל ללכת אחרי הכסף. אתה קונה משתמש בדולר ועושה עליו דולר ועשרים - זה כל הרעיון. חיפוש של רוב החברות בתחום מראה שהדבר העיקרי שהמשתמשים רוצים זה להסיר את סרגלי הכלים ואת התוספים האלה".

משקולת בלתי נראית

סרפר הסביר כי המקרה של OSX.Pirrit חמור לא רק מפני שאין התרעה מראש או דרך לסרב לשילוב התוכנה - היא פשוט מתנהגת כמו וירוס. בין היתר היא דורשת הרשאות בלתי מוגבלות למחשבי המשתמש - כולל האפשרות להתקין אפליקציות נוספות. מלבד זאת, אחרי שהותקנה אין לכם דרך נורמלית להסיר אותה. פיריט משתילה את עצמה בעשרות מקומות שונים במערכת ההפעלה, ונותנת לקבצים שלה שמות דומים לאלה של מערכת ההפעלה, כך שגם אם הצלחתם להסיר אותה פעם אחת, היא תחזור לפעולה.

מלבד זאת, מי שירצה להגיע ישירות אל החברה ולהתלונן, ימצא שמדובר בעסק לא פשוט. האתר שלהם מציע מדור פרטי קשר שכולל אימייל אבל לא כולל כל מספר טלפון. כשכותב שורות אלה ניסה לשלוח אליהם הודעה לאימייל התשובה היתה - "כתובת לא נמצאה", וכך קרה גם כשסרפר ניסה להגיע אליהם. מצד שני, כשהבינו בחברה שהוא עומד לפרסם דו"ח נוסף, הם כבר הגיעו אליו.

כך נראית ההפניה לאנטי וירוס המזויףצילום: סייבריזון

אבל לא פחות מכך, פיריט פשוט מעיקה על המחשב. סרפר אמר כי התוכנה עצמה כתובה גרוע ומכבידה מאוד על המערכת. למעשה זה מה שהדליק לו את הנורה האדומה במקרה הראשון. "עבדתי על מחקר למוצר של החברה, והייתי בערוץ IRC, כשמישהו סיפר שם שהמחשב שלו מתנהג מוזר", סיפר. אחרי שהוא ביקש ממנו לשלוח את הקובץ הבעייתי, סרפר העמיק לחקור וגילה כי למעשה מישהו יצר במחשב של האיש חשבון משתמש שהוא לא הכיר בכלל, הריץ שלל יישומים בשמו, ואפילו הפעיל שרת פרוקסי על המחשב שלו. "אם הם לא היו מעמיסים כל כך על המחשב שלו אף אחד היה לא שם לב לזה", ציין סרפר.

זלילת המשאבים הזאת לא השתנתה גם בגרסאות הבאות של התוכנה, למרות שסרפר מציין כי נראה שהם למדו מהדו"חות הקודמים שלו ושינו את השיטות. למעשה, המכתבים החלו להגיע מעורכי הדין של החברה זמן קצר אחרי שסרפר כתב בטוויטר כי הוא עומד לפרסם דו"ח נוסף על OSX.Pirrit - כך שיש יסוד סביר להניח שהם מחכים למוצא פיו גם שם.

הציוץ והדו"ח האחרון הגיעו אחרי שהוא הבחין לפתע בזינוק בתפוצת התוכנה. "בכל פעם שאני נתקל ב-Malware מעניינת, אני כותב חוקים שיעזרו לי לזהות התפרצויות חדשות בכל מיני מנועים" (מה שמכונה Yara Rules). "לפני כחודש התחלתי לקבל פתאום המוני התרעות. זינוק מ-5 תוצאות ביום לאלף תוצאות".

כמובן שהוא התחיל לחקור, ולדבריו, אפשר היה לראות קוויי דמיון מאוד ברורים בין הקוד של הגרסה האחרונה לגרסאות הקודמות. עם זאת, יש לא מעט שינויים בגרסה החדשה. בגרסה הראשונה של פיריט, החברה הוציאה את התוכנה כפלאג-אין (תוסף) לדפדפן, וכאמור אף התקינה שרת פרוקסי במחשבים כדי לנתב את כל התעבורה אליו וממנו.

הפעם התוכנה לא מתקינה את עצמה בדפדפן, אלא רצה ברמת מערכת ההפעלה עם הרשאות מנהל למחשב, שמאפשרת להתקין אפליקציות חיצוניות נוספות. כדאי לציין שאחד הדברים הראשונים שווירוסים מנסים לעשות אחרי הדבקה נקרא אסקלציה של הרשאות, כלומר לנסות לקבל הרשאות מלאות למחשב. בנוסף היא אוספת פרטים לצורכי זיהוי המחשב.

היא אמנם לא מבוססת על פלאג-אין, אבל OSX.Pirrit מתחברת אליו באמצעות ממשק תכנות שכתוב בשפת אפל סקריפט. זו שפה שנתמכת ברמת מערכת ההפעלה ונועדה לאפשר לכתוב סקריפטים (או תסריטים) כדי להקל על ביצוע אוטומטי של פעולות. במקרה של OSX.Pirrit, הם כתבו אפליקציה שמתחברת לדפדפן ובודקת כל שנייה לאן המשתמש גולש. בהתאם למידע הזה, היא מזריקה לו פרסומות ומשנה את ברירת המחדל של מנוע החיפוש. אחד ממנועי החיפוש שהיא משתילה במערכת שייך לחברת בבילון, מהבולטות בחברות Download Valley.

"פתחתי את גוגל, עשיתי חיפוש אחרי המילה Error ונפתחה לי לשונית חדשה עם לינק להונאת תמיכה של אפל. כשכתבתי אנטי וירוס קיבלתי פרסומות לאנטי וירוס מזוייף. רק באחד מכמה חיפושים דומים קיבלתי לינק להורדה של תוכנת אנטי וירוס אמיתית".

"זה נורא אגרסיבי", הוא הסביר. "הם רצים כל הזמן והקוד שלהם כתוב בצורה לא יעילה, ואז קל מאוד להבין שמשהו לא בסדר. אני מריץ את המכונה הווירטואלית שלי על מחשב מק פרו מאוד חזק. אם אני נותן לה לעבוד רצוף במשך שלוש שעות, היא פשוט קורסת".

קורות החיים של המפתח בטרגטינג אדג'צילום: סייבריזון

איך נחשף הקשר הישראלי

גם האופן שבו הצליח סרפר למצוא קשר ישיר בין החברה הישראלית לגרסה החדשה היה שונה הפעם. בסיבוב הראשון הוא פשוט מצא בקוד שמות של שניים מהעובדים בחברה. בתגובה שנתנה בשעתו לכלכליסט, החברה הכחישה נמרצות כי היא אחראית לפיתוח עצמו.

"קראנו את פרסום יחסי הציבור המסחרי של חברת Cybereason. מעבר לאי הדיוקים השזורים לאורכו ולרוחבו של הפרסום, חשוב לציין כי הקוד המדובר אינו פיתוחה של חברת TargetingEdge, אלא של חברה ממזרח אירופה. אנחנו ממשיכים לבדוק את פרטי הפרסום המלאים והטכניים לעומק, ובסיום תהליך בדיקה זה נחליט כיצד לפעול ונשקול את המשך ההתקשרות עם החברה המפתחת".

עם זאת, בינואר השנה קיבלה סייבריזון הוכחה מפתיעה לקשר בין החברה לתוכנה. מפתח תוכנה לשעבר בטרגטינג אדג', ששמו היה אחד מאלה שנחשף בקוד, שלח קורות חיים לסייבריזון. בפרק המוקדש לניסיון הוא כתב כי העבודה שלו הופיעה בדו"ח מעבדה של סייבריזון ובמאמר שהתפרסם בעקבות הדו"ח.

התגובה של טרגטינג אדג'צילום: סייבריזון

הפעם המפתחים היו זהירים דיים להימנע מלהשאיר את שמותיהם בתוך הקוד, והם העדיפו להשתמש בכינויים כמו batman. עם זאת, הקשר לחברה נחשף בעקבות טעות טיפשית אחרת. סרפר סיפר כי המפתחים של הגרסה החדשה רושמים שמות מתחם רבים, תוך שהם מגדירים את שמות הבעלים כחסויים. ואולם, בחלק מהמקרים כנראה שהם שכחו להפעיל את ההגדרה הזו, והוא גילה כי השמות רשומים על שמו של מי שהיה מנכ"ל Targeting Edge בעבר וכיום מנהל "חברת פרסום מבוססת בלוקצ'יין".

עורכי הדין של החברה שלחו כמה מכתבים לסייבריזון בדרישה להפסיק את המחקר ולהימנע מפרסומו. לבסוף אחרי שחברת האבטחה הבהירה שאינה מוכנה להימנע מהפרסום, טרגטינג אדג' שלחה תגובה לדו"ח, ודרשה שסייבריזון תפרסם אותו כחלק ממנו. כאשר אתר ZDnet פנה אליה, עורכי הדין של החברה שלחו תגובה דומה גם אליו.

"אנחנו מפתחים ומפעילים מוצר Installer לגיטימי וחוקי למשתמשי מק", פירטו עורכי הדין של טרגטינג אדג' בתגובה שנשלחה לחברת האבטחה. "כפי שחברת סייבריזון יודעת היטב, המוצר שלנו אינו תוכנה זדונית, הוא אינו כולל פיצ'רים של תוכנה זדונית ואינו פוגע או גורם נזק או מיועד לגרום כל נזק למכשיר של בעלי המוצר. כך הוא גם לא 'מבצע האקינג', או 'מרגל' או 'משתלט' על הדפדפן או משתמש בכל אמצעי 'זדוני' או 'בלתי שקוף' אחר. המוצר שלנו מותקן על המכשיר של המשתמש אך ורק אחרי קבלת הסכמת המשתמש, שניתנת בכפוף לחשיפה מלאה של תכונות המוצרים ופרקטיקות השימוש במידע, כולן בהתאם לפרקטיקות הטובות ביותר הקיימות בתעשייה ולחוקים הרלוונטיים".

"אנו מכבדים מאוד את הפרטיות של המשתמש שלנו וממלאים אחר הוראות החקיקה הרלוונטית, אנחנו לא אוספים או שומרים אף מידע אישי, מצטבר או רגיש של משתמשים".

"יתרה מכך, אנחנו מתנגדים לפרסומים קודמים. המוצר שלנו אינו תוכנת פיריט או OSX.Pirrit. התוכנה שלנו משמשת מפתחי צד שלישי. המטרה היחידה של סייבריזון היא לנצל את המוניטין של המוצר שלנו כדי ליצור באזז תקשורתי ולממש את האינטרסים הזרים של סייבריזון. הטענות האלה חפות מאובייקטיביות ויושרה עיתונאית". בנוסף האשימה החברה את סייבריזון בכך שהיא מפנה את משאביה ואת מרצה למחקר של התוכנה הלגיטימית שלה במקום להתעסק בווירוסים אמיתיים.

באתר ZDnet שאלו את עורכי הדין של טרגטינג אדג' מדוע שלחו דרישות להימנע מפרסום המחקר, והם הכחישו כי שלחו את המכתבים. אך באתר "אישרו את תוכנו של מכתב הדורש את הפסקת הפעילות שסותר את טענת החברה".

כפי שאמר סרפר ל"הארץ", גם ב-ZDnet צויין כי סייבריזון מסרה בתגובה להכחשות כי היא עומדת מאחורי הממצאים שלה.

לחצו על הפעמון לעדכונים בנושא:

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ