תולעת מחשב
תולעת מחשב היא תוכנית מחשב או מקטע מתוכנית מחשב אשר מאופיינת ביכולת הפצה עצמית (התפשטות) אל עבר מחשבים אחרים. תולעי מחשב לרוב נושאות "מטען" זדוני בדמות וירוס.
אף על פי שהמינוחים בתחום זה בעולם אבטחת המידע מעורפלים, "תולעת מחשב" מתייחס לרוב ליכולת של תוכנה זדונית להתפשט ממחשב למחשב. תכונה זו אינה טריטוריאלית בכלל, שכן, התקנת תוכנה על מחשב צריכה, לרוב, להתבצע על ידי משתמש אנושי בעלי הרשאות גבוהות. תולעים נושאות את הקוד הזדוני ממחשב אחד למחשב אחר, מתחילות לרוץ על המחשב החדש ומתקינות עליו את הקוד אותו הן נשאו. כדי לבצע פעולות אלו, אשר אמורות להיות מוגבלות על ידי מערכת ההפעלה ומנגנוני אבטחה נוספים, כותבי התולעים לעיתים רבות משתמשים בחולשות תוכנה.
מקור השם
השם תולעת נלקח מ-The Shockwave Rider, ספר מדע בדיוני שפורסם ב-1975 על ידי ג'ון ברונר. צמד חוקרים מחברת זירוקס בחרו את השם במחקר שפורסם בשנת 1982 וכותרתו הייתה "תוכניות תולעים". מרגע פרסום המחקר אומץ השם תולעת.
התולעת הראשונה שמשכה תשומת לב ציבורית רחבה הייתה "התולעת של מוריס" שנכתבה על ידי רוברט טאפין מוריס, בעודו סטודנט לתואר שני באוניברסיטת קורנל. התולעת שוחררה ב-2 בנובמבר 1988 ועד מהרה פגעה במספר רב של מחשבים באינטרנט. התולעת חדרה דרך מספר פרצות ב-BSD Unix ובנגזרותיו. מוריס עצמו הורשע, תחת החוק האמריקאי לפשעי מחשב והונאה. העונש שהוטל עליו היה תקופת מבחן בת שלוש שנים, 400 שעות שירות לקהילה וכן קנס בגובה 10,000 דולר.
תולעת ניתנת לתכנון כך שיהיה ביכולתה לבצע מספר משימות. מחיקת קבצים על מחשב, תקיפת קבצים מוצפנים או שינוי דואר אלקטרוני. אחת מהשפעותיה של התולעת היא תופעת יניקת משאבי הרשת במהלך השכפול העצמי. דוגמה לכך היא תולעת בשם "mydoom" הגורמת להאטת רשת האינטרנט במהלך התפשטותה.
סוגי תולעי מחשב
תולעי דואר אלקטרוני מתפשטות באמצעות הודעות דואר אלקטרוני. התולעת תגיע לרוב כדואר אלקטרוני שבו גוף ההודעה או הקובץ המצורף יכילו את קוד התולעת. אולם, התולעת עשויה גם להכיל קישור לקוד באתר מרוחק. אם לא לוקחים בחשבון תכנון קלוקל[1] רוב מערכות הדואר האלקטרוני דורשות מהמשתמש לפתוח קובץ מצורף באופן מפורש על מנת להפעיל את התולעת, אך "הנדסה חברתית" עשויה לעודד זאת - כפי שהוכיח מפתח התולעת "אנה קורניקובה"[2]. כאשר התולעת מופעלת היא תפיץ את עצמה באמצעות מערכות דואר אלקטרוני מקומיות או ישירות תוך שימוש ב SMTP. כתובות היעד לרוב נלקחות מהמחשבים הנגועים או ממערכות הקבצים שלהם. מאז המקרה של התולעת "Klez.E" בשנת 2002[3],תולעים העושות שימוש ב-SMTP לרוב מזייפות את כתובת המקור של השולח. זו הסיבה, שמקבלי דואר אלקטרוני הנגוע בתולעת צריכים להניח שהדואר לא נשלח על ידי הכתובת הממוקמת בשדה המקור של הודעת הדואר. בשנת 2000 הופעלה תולעת ILOVEYOU שחדרה ל-10% מכלל המחשבים המחוברים לרשת וגרמה לנזק של כמה מיליארדי דולרים.
תולעי הודעות מיידיות ההפצה היא באמצעות שירותי הודעות מיידיות. השיטה היא שליחת קישורים, המפנים לאתרים נגועים, לכל הכתובות אשר ברשימת הקשר המקומית. השוני היחיד בין התולעים האלה לבין תולעי דואר אלקטרוני טמון בשיטה המשמשת לשליחת הלינקים.
תולעי IRC ערוצי צ'ט הם היעד המרכזי. שיטת ההפצה זהה לשיטות שצוינו לעיל-שליחת קבצים נגועים או קישורים המפנים לאתרים נגועים. שיטת ההדבקה באמצעות קובץ יעילה פחות שכן על מקבל הקובץ לאשר את הקבלה, לשמור את הקובץ ולפתוח אותו לפני התרחשות ההדבקה.
תולעי רשתות שיתוף קבצים התולעת מעתיקה עצמה לתוך תיקיית קובצי השיתוף. התולעת תמקם עותק של עצמה תחת שם תמים למראה. מרגע זה התולעת יכולה להיות מורדת באמצעות רשת השיתוף והפצת הקובץ הנגוע תימשך.
תולעי אינטרנט תולעים התוקפות פורטי TCP/IP ישירות, במקום להתמקד בפרוטוקולים ברמה גבוהה יותר כמו דואר אלקטרוני או IRC. דוגמה קלאסית היא תולעת הבלאסטר אשר ניצלה נקודת תורפה במנגנון RPC של מיקרוסופט. מכונה נגועה סורקת באופן עיקש מחשבים אקראיים גם ברשת המקומית וגם ברשת הציבורית בניסיון לאתר פרצת התקפה נגד פורט 135 אשר במידה ומצליחה, מפיצה את התולעת לאותה מכונה.
תולעי מכשירים ניידים
תולעים אלו הן מהסוג החדש ביותר. הן הופיעו לראשונה בשנת 2004. תפוצת התולעים היא לרוב באמצעות פרוטוקול השן הכחולה המקשר בין מכשירים ניידים, מדפסות, סורקים ומחשבים בטווח של 10 מטרים. תולעת מחשב תוקפת את מערכת ההפעלה סימביאן ומנסה להפיץ עצמה לכל מכשיר אשר נמצא בטווח. ההנחה כיום של מומחי אבטחה שבדומה לתופעה שהתרחשה במחשב, תפוצת הווירוסים במכשירים ניידים רק תגבר עם הזמן. בשנת 2005 התרחש מקרה של הפצת תולעת באמצעות הודעות מולטימדיה. תולעי המכשירים הניידים עדיין אינן מתוחכמות מספיק כדי להוות איום משמעותי. עדיין לא התרחש מקרה של תולעת שיצאה מכלל שליטה.