על שקרים, פראנויה, מחשבים וריגול סיני

ID-100101196בשנתיים האחרונות התפרסמו הרבה מאמרים וחדשות לגבי כל מיני חברות היי-טק שחשודות בכך שמוצריהן מכילים כל מיני "דלתות אחוריות" המאפשרות לכל מיני גורמים לחדור אל המערכות החשובות של הלקוחות, אותם לקוחות שרכשו בכספים רבים מערכות תקשורת ועוד.

לפני כשנה היה הסיפור על 2 חברות הענק הסיניות ZTE ו-Huawei שרצו למכור ציוד תקשורת לארגונים ממשלתיים ולחברות תקשורת ממשלתיות, אך הפוליטיקאים בוושינגטון החליטו לפתוח בציד מכשפות תוך האשמות שאותן חברות מחפשות בעצם לרגל מתוך המערכות של הלקוחות. ההאשמה המרכזית? מכיוון שבהנהלות של ZTE ו-Huawei יושבים אנשים שהם בכירים במפלגה השלטת בסין, הממשל הסיני (שגם מושקע כספית באותן חברות, אגב) ילחץ על אותן חברות להתחיל לרגל. כל נסיונות 2 החברות הסיניות להסביר לנציגי הוועדת שרותי בטחון כי הוראה כזו מצד הממשל תהיה התאבדות של אותן חברות, ובסופו של דבר אותה ועדה המליצה כי גופים ממשלתיים לא ירכשו מאותן חברות ציוד תקשורת, מחשבים וכו'.

thinkpad w530מ-ZTE ו-Huawei נעבור לחברת ענק סינית אחרת שכולם מכירים: Lenovo. דו"ח חדש שפורסם באוסטרליה מגלה כי ארגונים רבים לא מוכנים להשתמש במחשבי לנובו אם התוכן שמוכנס במחשב הוא תחת הגדרה של "סודי", "סודי ביותר" ומעלה בשל החשד ש… ניחשתם נכון, שהממשל הסיני מחפש לחדור דרך המחשבים הללו אל אותם ארגונים ו"לשתות" את המידע הסודי. לנובו, שגם כך נחקרת ע"י האמריקאים על אותו חשד, טוענת כי היא בודקת את הנושא.

אז מה יש לנו כאן בעצם? גופי בטחון שחושדים בחברות ענק סיניות שמוצריהן יאפשרו לממשל הסיני לחדור, להעתיק ולרגל אחר סוכנויות הביון וגופים אחרים.

האם יש בעצם "בשר" לחשדות האלו? האם יש בהם ממש או שהפראנויה כאן תופסת גבהים חדשים?

בוא נתחיל עם עניין הריגול. האם הסינים באמת מרגלים אחרי האמריקאים? התשובה הפשוטה היא בהחלט. הסינים מרגלים כבר שנים רבות אחרי האמריקאים והם מנסים לפרוץ כל דבר שאפשרי לפרוץ, ובדרך גם להעתיק, לגנוב, איך שתרצו לקרוא לזה. זה לא שמדינות אחרות לא עושות את אותו דבר, גם האמריקאים בהחלט מרגלים אחרי הסינים וגם הרוסים מרגלים אחרי הסינים והאמריקאים והאירופאים מרגלים אחרי המדינות הנ"ל ומדינות אחרות וגם אנחנו בקלחת הזו. ההבדל הגדול? הסינים פיתחו את זה לדרגת אמנות. קחו לדוגמא את המאמר הזה, בו מתאר חוקר האבטחה קייל ווילהולט איך צבא הפורצים הסיני ניסה לפרוץ למערכות מים (המערכות הן היו מערכות דמה) ושימו לב מה קייל מציין – לא מדובר בנסיון פריצה של איזה ילד משועמם, הפורצים הסינים ידעו בדיוק לאיזו מערכת הם נכנסים ומה הם צריכים לעשות מבחינת שימוש בחורי אבטחה וכו', כלומר אותו צבא פורצים סיני עובד במספר "שכבות" של איסוף מידע, מחקר לגבי אותו מידע וכו' וכו'.

מהריגול נחזור למחשבים של לנובו. האם באמת יש בהם איזו "דלת אחורית" שדרכה הממשל הסיני יוכל לחדור ו"לשתות" את המידע הסודי במחשבים? אני מאמין שלא מסיבה פשוטה אחת: המחשבים הללו הם בסופו של דבר כמו של המתחרים. לנובו לא מייצרים את כל חלקי המחשב, הם מייצרים את המעטפת, הלוח וחלק קטן מאוד מהשבבים (במיוחד את ה-TPM שמיוצר עדיין ע"י IBM). שאר השבבים נרכשים ע"י לנובו מספקים חיצוניים אחרים בדיוק כמו שהמתחרים רוכשים. אני יכול להבין שעניין אחסון חומרים סודיים וכו' הוא דבר בעייתי על מחשבים, אבל זה כבר לא קשור ללנובו. מה שמחשב PC מתוצרת חברה X נותן לך, גם מחשב מתחרה יכול לתת לך.

טכנית, ניתן כמובן לשלב "דלתות אחוריות" בתוך הדרייברים ואולי באפליקציות שמגיעות איתו, כמו שניתן לשלב "דלתות אחוריות" גם במתגים, נתבים וכו'. לא צריך להיות גאון כדי לבצע זאת, אך גם לא צריך להיות גאון כדי להציע משהו פשוט כדי לסיים את החשדות בין אותם ארגוני בטחון וחברות לבין אותם יצרניות – ניתן להקים גוף עצמאי לחלוטין שיקבל את קוד המקור מהיצרן, יעבור עליו ויבדוק אם יש דלתות אחוריות, יקמפל את הקוד, יחתום עליו והיצרנים יצטרכו להתקין אך ורק את אותו קוד חתום. כל תיקון ועדכון יעבור דרך אותו גוף שיוציא טלאים חתומים עם מפתחות מוצפנים – ואותו גוף יעביר את הקבצים לאותם לקוחות. 

לפני מספר שנים האשימו גופי ממשל כמו רוסיה ומדינות אחרות את מיקרוסופט בכך שקוד ה-Windows שלה כולל דלתות אחרות סודיות ואותן ממשלות איימו להפסיק לרכוש את מוצרי מיקרוסופט. מיקרוסופט נעמדה על הרגליים האחוריות ונלחמה בהאשמות הללו. אחד מהצעדים שמיקרוסופט נקטה – היא שלחה לגופי הבטחון של ממשלות רבות את קוד המקור של Windows כדי שיוכלו לראות בעצמם שאין שום קוד לדלת אחורית, והפרשה הסתיימה. נחזור ל-2013 ולמדליף הסדרתי סנאודן שגילה לעולם משהו פשוט: ה-NSA לדוגמא, לא ממש צריך את הדלתות האחוריות במערכת ההפעלה של מיקרוסופט. הוא מגיש למיקרוסופט צו שחתום ע"י שופט שקשור ל-FISA ומיקרוסופט אפילו לא מערערת. להיפך – מיקרוסופט פיתחה כלים כדי של-NSA וגופים אחרים יהיה קל לשלוף כל דבר שקשור אליה. משתמש ב-Outlook.com? סקייפ? אולי XBOX או שלל שרותים נוספים? מיקרוסופט תשמח לתת כל מידע על איזה אזרח שה-NSA תרצה בלי למצמץ. ה-NSA לעומת זאת לקח את זה הרבה יותר קדימה – כל חברת תקשורת חויבה להקים חדר במרכז התקשורת (של אותה חברה) ול-NSA תהיה גישה תוך 30 דקות מרגע בקשת ההאזנה ומנהלי החברה אפילו לא יכולים לדעת על כך. כך ה-NSA יכולים בקלות לצוטט לכל תקשורת נכנסת ויוצאת מארה"ב. 

אז מה יש לנו כאן בסופו של דבר? ריגול קיים בכל מקום בין מדינות, אויבות או ידידות. ה-NSA ושאר גורמים כבר ממזמן מאזינים בלי שום בעיה לאזרחי ארה"ב (מצריך צו אבל השופט משמש כחותמת גומי בין כה), וכמובן לשאר תושבי העולם תוך שיתוף ארגוני ביון אחרים במקרים מסויימים (ובמקרים אחרים – מתחת לאף של אותם ארגוני ביון). הסינים ממזמן מרגלים והם לא צריכים את גישת המתגים ונתבים של Huawei או ZTE, הם יודעים לנצל פרצות אחרות. האמריקאים לא סומכים על החברות הנ"ל, אבל אם תסתכלו על תוכנית הצנזורה של ממשלת בריטניה, החברה שתשלוט בתקשורת האינטרנט שיוצאת ונכנסת כדי לממש צנזורה ("פורנוגרפיית ילדים"… כן, בוודאי…) היא … Huawei! אותה חברה שהאמריקאים חושדים בה, הבריטים נותנים לה את השאלטר הראשי לתקשורת האינטרנט בבריטניה. 

ניתן לסגור פרצות רבות שימנעו מגורמים כמו הסינים לחדור ובעתיד להרוס תשתית, אולם לשם כך יש צורך בהסברה ובדברים יותר אקטיביים כדי לבדוק שהפריצות לא קיימות, ואת זה רבים לא עושים. לאו דווקא מתוך עצלנות, אלא יותר מבורות. "יש לי Firewall, הוא בטח מגן עליי מכל בעיה ופריצה" – את המשפט הזה שמעתי פעמים רבות מאנשים שאמורים היו להבין ש-Firewall לא יכול לחסום את רוב הפריצות הידועות כיום. הבעיה היא לא במתגים או נתבים של החברות הסיניות והם לא המחשבים של לנובו, הבעיה היא בצורת ההגנה (אם נעשית הגנה רצינית בכלל), ההשגחה והכי חשוב – האכפתיות (לתשומת לב משרד האוצר: השכרת אנשים דרך חברות "גולגלות" שטוענים שהם "מומחי אבטחה" בשעה שחתול רחוב מבין יותר מהם – זו לא דרך להגן על התשתיות!). עד שארגונים וחברות לא יקחו את הדברים ברצינות וישקיעו באנשים ובהגנות רציניות – הם יהיו פתוחים לריגול של הסינים ושלל גורמים אחרים. 

פריצה לעסק שלך .. עם ראוטר בלבד

לפני מספר ימים שחררה חברת Mandiant וידאו קליפ המראה איך הסינים פורצים לחברות מסחריות גדולות בארה"ב. קחו כמה דקות לצפות בקליפ הבא:

לאנשי אבטחה רציניים, וידאו כזה יכול לגרום להם להחוויר, להתעצבן וכו', אך לרבים מהאנשים דבר כזה לא ממש מזיז להם, וזה כולל גם אנשי סיסטם רבים, כפרילאנסר שמחפש עבודות ושחובב נושאי אבטחה ושאכפת לו, החלטתי לכתוב את הפוסט הזה.

בשביל הפוסט הזה נדמיין לעצמנו שעבדכם הנאמן החליט לעסוק במקצוע לא חוקי אך מניב רווחים גדולים מאוד: סחר במידע גנוב.

תשאלו אנשי סיסטם רבים, מנכל"ים, סמנכל"י IT ועוד, וכולם ישמחו לספר איך הם השקיעו ב"מילה האחרונה" בטכנולוגיה: חומות אש של סיסקו וצ'קפוינט וחברות ידועות אחרות, טכנולוגיות שיודעות לאבחן תקשורת חשודה, נסיונות פריצה מבחוץ ועוד. הם מרגישים מבחינתם מוגנים, אבל ההרגשה הזו היא כפי שאדגים כאן בתאוריה – אשליה. נכון, נסיונות פריצה רבים קורים מבחוץ והמערכות הנ"ל מגינות עליהן, אבל לא רבים חושבים על התמודדות נסיונות פריצה מבפנים.

אז החלטתי לסחור במידע גנוב. איך בדיוק אשיג את המידע הגנוב? להתחיל לנסות לפרוץ מבחוץ לא יתן לי יותר מדי חוץ מאשר כאב ראש רציני ותסכול. צריך לחשוב על דרך אחרת.

מהי הדרך האחרת? הדרך היא דרך .. קיבתם של העובדים. כמו שידוע, רבים מהעובדים יוצאים בשעות הצהרים לאכול ולוקחים איתם מחשבים ניידים. הם מגיעים למסעדות פופלריות, מזמינים לאכול ויושבים לאכול, ובד"כ לאחר 20-30 דקות משלמים וחוזרים למקום עבודתם. המידע הזה מסייע לי, משום שאני יכול לתכנן את הכניסה שלי בדיוק בנקודה הזו שהיא הנקודה החלשה: המחשבים הניידים שלהם.

כל מה שאני צריך לעשות זה להצטייד בראוטר סלולרי עם אות שידור חזק וחיבור לאינטרנט. אחרי שאמצא מהי המסעדה הפופולרית אכנס לשם, אזמין לי משהו לאכול ואפעיל את הנתב שלי. אני אזייף את את שם הראוטר שלי שיהיה כמו המקורי ואת המקורי אני אפיל (לא מסובך להפעיל ראוטר של מסעדה, במיוחד שאף אחד מהעובדים לא יודע לטפל בזה..), כך שכל הגולשים שיש להם WIFI פתוח יראו את הראוטר שלי ויתחברו אליו. כמובן, אין צורך בסיסמא כדי להתחבר ולקבל שרותי גלישה מהראוטר שלי..

מהרגע שבעל המחשב הנייד התחבר ל-WIFI שלי, הוא מקבל כתובת IP ומיד Redirect בדפדפן שלו לדף "הסכם גלישה" שלי. הדף נראה דף תמים עם הסכם שכולם גוללים למטה ולוחצים אישור.. רק שלאישור לוקח 3 שניות להופיע.

כאן הסקריפטים שלי מתחילים לעבוד, לאחר שהקורבן התחבר אליי..

שלב ראשון, נבדוק כמה הבחור (או מנהל ה-IT או הסיסטם) היו חכמים והעיפו לו את התוסף JAVA מהדפדפן. לא העיפו? מגניב, רוגלה מיוחדת שלי תותקן בסתר במחשב שלו (אל דאגה, הסקריפט יודע לזהות אם זה מחשב Windows או מק, יש גירסת רוגלה לכולם). אין לו JAVA? לא נורא, נבדוק על המחשב שלו מגוון פריצות חדשות (Zero-day, למה יש שוק שחור של פריצות כאלו?) עד שאצליח להיכנס. הוא לא ירגיש כלום, לי יש 20-30 דקות עד שהוא ילך.

מהרגע שאני בפנים, החגיגה מתחילה. אם הוא משתמש מק והוא משתמש במפתחות כדי להתחבר למכונות אחרות, אני אעתיק את המפתחות מתיקיית ssh., אעתיק את קובץ ה-known_hosts שלו, אחטט לו קצת בתיקיות מסמכים וכו', אעתיק גם את ה-Contacts שלו, כניסות VPN אוטומטיות ועוד. אני גם אעתיק את ה-MAC ADDRESS שלו כדי שאדע לזהות את המחשב שלו.

הקורבן סיים לאכול והלך? אחלה. ההעתקה הזו היתה החלק הראשון, ה"סיפתח". שהוא יפעיל את המחשב שלו במשרד, האפליקציה שלי תתחיל את החלק השני שלה, החלק היותר מעניין

בחלק היותר מעניין אני נמצא בתוך ה-LAN של העסק. בשלב הראשון אני רואה מה ה-MAPPING שיש, והאפליקציה שלי כבר תדע ליצור Tunnel בין המחשב הנ"ל למחשב שנמצא בעולם. האפליקציה תדע לשלוח לי רשימות קבצים, הודעות מייל ועוד. אני מתחיל לקבל מעין "מפה" של מי עובד ומה תפקידם. אם אני מתעניין בקבצים מסויימים, האפליקציה תדע לשלוח אליי אותם. בחלקים. מדוע בחלקים? כדי לא לגרום לחשדות של כל מיני תוכנות ניטור. במקביל האפליקציה תסרוק מחשבים קרובים וגם אותם היא תפרוץ ותשכפל את עצמה אליהם. עד שבסיסטם יתעוררו, לי יהיו מספיק קבצים ומידע כדי לסחור בו.

חושבים שכל מה שתיארתי כאן הוא דמיוני? תחשבו שוב. כל מה שתיארתי כאן ניתן לביצוע כיום

אז מה ניתן לעשות? ב-2 מילים: להגדיל ראש. להבין שפריצות זה לא רק פורץ משועמם מבחוץ שמנסה לפרוץ את ה-Firewall שלך אלא הרבה מעבר לכך. המחשבים הניידים, הטאבלטים והטלפונים הסלולריים כיום יכולים לשמש כדרך לפרוץ אל העסק שלך, לעשות פילטרינג מורכב יותר למייל שמגיע לא מאנשי הקשר הקבועים כדי למנוע מצבים שמגיעים קבצי מסמכים נגועים שיתנו לחגוג על המסמכים אצלכם, ובקיצור – הפריצות לא יגיעו רק מהאינטרנט, אלא גם מתוך ה-LAN שלך, ואם מישהו לא ידאג לדברים הללו, יהיה מי שינסה להיכנס ולגנוב מסמכים, קוד ודברים אחרים על מנת לסחור בהם ולהעביר אותם למתחרה שלכם או לכל גורם אחר.

אשליית אבטחת מידע

זה מתחיל בעסקים קטנים, ממשיך בחברות קטנות ובינוניות ועד חברות גדולות וידועות. לכולם יש מכנה משותף אחד: יש להן מידע, והן לא מעוניינות לשתף אותו עם אחרים. מהצד השני יש מתחרים שמעוניינים באותו מידע על מנת להתחרות ו"לגנוב" לקוחות לאותן חברות. זה ממשיך בממשלות (סין לדוגמא) שמחפשות מידע על אינדיבידואלים על מנת לאיים/להפחיד וכו' – כלומר יש לא מעט גורמים שמחפשים איך לגנוב מידע.

רוב העסקים והחברות עובדים בדיוק באותה שיטה על מנת להגן על עצמם: חומת אש כלשהי בחברה, גישה מבחוץ (אם תינתן) רק דרך VPN, ובמחשבים עצמם מותקן אנטי-וירוס/"חומת אש" של ספק כלשהו (קספרסקי, סימנטק, ועוד), ואם מנהל הרשת לא עצלן הוא יעדכן אוטומטית את העדכונים שמיקרוסופט שולחת בשרתים ובתחנות. בחלק מהחברות ינתן למשתמשים האפשרות להשתמש ב-Admininistrator המקומי, ובחלק מהמקומות זה יאסר והרשאות יחולקו לפי צרכים. בחברות גדולות מבחינת דפדפן אינטרנט מותקן אקספלורר 6 או 7 והוא הדפדפן העיקרי שאיתו עובדים כדי לא לשבור את התאימות לאפליקציות Web הפנימיות (אם כי יותר ויותר חברות משתמשות באקספלורר 8, לא בגלל רצון עז לשדרג דפדפן, אלא בגלל הסיבה שזה מה שמגיע עם Windows 7).

אסתכן ואומר: ב-90% מהמקומות זו הקונפיגורציה פחות או יותר.

מעכשיו נעבור למצב סימולציה. אני לא חץ הנחמד בעל העסק לשרתי VPS, אלא אני פורץ לא-ממש-חוקי שנמצא בשטח של השגת מידע ללקוחות. לא חוקי, אבל מאוד מאוד רווחי.

אני צריך לפרוץ אליכם. אתם חברה משגשגת שמצליחה להשיג חוזים ולקוחות, ומי ששוכר אותי זו חברת "שמוליק קיפוד", מתחרה ישירה שלכם שלא-כל-כך מצליחה ושוברת את הראש איך אתם מצליחים להשיג לקוחות, והם מעוניינים ברשימת הלקוחות שלכם, חוזים מול אותם לקוחות, מחירים וכו', ו"שמוליק קיפוד" מוכנים לשלם הרבה מאוד. כמה הרבה? נאמר שהם מממנים לי מעבדת מחשבים עם כל התוכנות והשרתים והמחשבים שאני צריך וזה עוד לפני שקיבלו ממני בייט אחד של מידע.

אני צריך לפרוץ אליכם. יש לי מידע כללי מאוד עליכם ממה שהשגתי ברשת, ואני מצליח "לדוג" ברשת את שמות אנשי השיווק שלכם. אני מרים כמה טלפונים (מטלפון סלולרי עם טוקמן, שלא תוכלו לעקוב אחריי) ובוחן בעקיפין את הידע שיש לכם במחשבים, וגם תוך כדי השיחה הנחמדה עם הנציגים אני מוציא מהם מידע די טריוויאלי לגבי המחשבים של אותם נציגים: משתמשים באופיס? איזו גירסה? איזה אנטי וירוס יש לכם? איזו מערכת הפעלה יש לכם? דברים שכל נציג מוציא בלי לחשוב פעמיים.

כמובן שלא תמיד לנציגים יש את המידע (כמה מהם יודעים איזה אנטי וירוס יש? ברוב המקרים הם לא ידעו), ולכן אני מבקש את האימייל של הנציג ואני שולח לו אימייל פשוט (בלי טריקים) ומבקש שהוא יעשה reply. לאחר שהוא עושה לי reply אני מתחיל לעבוד.

ברוב מוחלט של המקרים, חברות קונות מספר מוצרים של חברת אנטי-וירוס אחת, כלומר התוסף ל-Exchange שמונע וירוסים ורוגלות הוא מאותה חברה שמייצרת אנטי-וירוס לתחנות עבודה. מהו? אותו אני יכול לדעת מה-Headers של המייל שאותו נציג שלח לי. באותם Headers גם מופיע לי איזה אופיס יש לנציג, וכתובת IP חיצונית של השרת מייל שלהם.

עכשיו ניגש לעבודה. ראשית נקים שרת Web כלשהו אצל אחת מספקי מחשוב ענן. אצל הספקים האלו לא בודקים אותך בשיניים וכל עוד הכנסת פרטים נכונים של מספר כרטיס אשראי והכרטיס עם כסף, הכל יעבוד. לשם כך שלחתי חבר לדואר לקנות לי כרטיס נטען ב-1000 שקל, כך שאם בעתיד יעקבו אחרי הכרטיס הנטען, יגיעו ל-Dead end.

עכשיו מגיע החלק המעניין: אני צריך למצוא פרצת אבטחה באופיס שעדיין לא תוקנה או שתוקנה לאחרונה ועדיין לא עודכנה. אני אהמר על קובץ אקסל ואני אבנה קובץ אקסל שבתוכו אכניס פרמטרים מסויימים שיתנו לי להוריד מאותו שרת Web אפליקציה קטנטנה. אם הסקריפט יצליח לרוץ, הוא יוריד אפליקציה קטנה שתשלח מיידית איתות "אני חי" לשרת Web ולאפליקציה קטנה שכתבתי שמאזינה לתשדורת הזו.

לפני שאני שולח את המייל, אני אבדוק את הקובץ מול שורת אנטי-וירוסים לראות מי מגלה משהו (החוכמה כמובן היא לכתוב קובץ אקסל או וורד שיודע להשתמש בפירצה אך לא להתגלות ע"י האנטי-וירוס ומנגנון ה-Heuristics שלו). הצלחתי? טוב מאוד. אני מוסיף לקובץ כמה שורות טקסט אבל לא את כל הטקסט, אלא חצי ממנו בערך, כאילו שלחתי את המייל מוקדם מדי.

המייל מוכן? נשלח אותו (דרך אותו שרת בענן כמובן) ונוודא שהנציג קיבל את הדואר. עכשיו נותר לי להמתין לראות מתי הסקריפט שלי ירוץ ושיאותת לשרת שלי "אני חי" (יש כמובן שיטות לגלות איך הנציג מחובר לרשת, עם או בלי פרוקסי וכו', אני מדלג על כך כרגע).

סביר להניח שאחרי שאקבל את הודעת "אני חי" אני אקבל גם טלפון מהנציג שיאמר לי שהמייל שלי לא ברור. אני כמובן "אתנצל" ואבטיח שאני שולח לו את כל המייל. אני בהחלט הולך לקיים זאת, אבל מחר..

למה מחר? כי היום אני הולך לכתוב אפליקציה אחרת. מה האפליקציה? אותה אפליקציה הולכת קצת "לחפור" בשקט במחשב של הנציג ולעשות עוד כמה דברים. אני כמובן לא מצפה להרשאות Administrator, אבל גם ככה יש לי די והותר דברים שאני יכול להשתמש:

  • בוא נאמר שאני צריך להיכנס ל-Exchange של החברה (הרי המייל יושב בשרתים, הוא לא נמחק מהשרת). הרישום של השם משתמש וסיסמא נמצאים ב-Registry וקל מאוד למצוא היכן (לא צריך Administrator לקרוא את זה, לכל משתמש יש הרשאת Read Only, ומכיוון שאיני הולך לשנות את הערך, אני לא צריך לכתוב). הסיסמא כמובן מוצפנת, אבל ב-4 שורות קוד (ספרתי) אפשר להפוך אותה לטקסט פשוט. מכאן מה שצריך זה להתחבר לשרת דואר ולשאוב את הדואר, ולא חסר API לשם כך.
  • אין לי אפשרות להיכנס לשרת מייל? אוקיי. אני יכול ליצור ZIP לקובץ PST ולהתחיל להעביר אותו "בתשלומים" דרך ה-Web. אם אעביר אותו בפעם אחת, מנהל הרשת עלול לעלות על כך, ולכן אעביר כל 5 דקות חלק (נניח חצי מגה) של ה-ZIP דרך פורט 80 או דרך הפרוקסי של החברה (בהתאם ל-Registry של החיבור לאינטרנט) בצורה מספיק חכמה כדי שימשיך להעביר גם לאחר שהמחשב כובה והודלק למחרת.
  • אחרי שיש לי את הקובץ, אני יכול כמובן לפרוס ולהנות מהמיילים, אבל אני יכול להמשיך מכאן ולבנות לי מעין Client שיושב במחשבו של הנציג וסרבר שיושב בשרת Web במחשוב ענן. אני מעוניין לראות מה יש בכונן בתיקיה מסויימת? אוכל לשלוח פקודת dir, ה-client יקבל את הפקודה, יבצע וישלח לי אותה בחזרה דרך השרת Web.
  • ואפשר לעשות עוד הרבה דברים….

לאחר שכתבתי את האפליקציה ובדקתי אותה מול כל האנטיוירוס שהעתק זהה יושב בחברה (שאותו אני יודע מהמייל הראשון עם הסקריפט ששלחתי), אני "אשלים" את הטקסט של המייל ואצמיד את הסקריפט המיוחד להוריד את האפליקציה, וכל מה שנותר לי לעשות זה .. להמתין.

במקום כל עניין המייל וההחדרה דרך פירצה, אפשר לעשות משהו פשוט: הבה נקבע פגישה עם הנציג. אני כמובן לא יגיע, חבר שותף יגיע. בלי מחשב נייד. תוך כדי השיחה אבקש מהנציג את המחשב הנייד "להראות לו משהו". (כמה נציגים אתם מכירים שיסרבו מול לקוח פוטנציאלי להשאיל לו את המחשב לכמה שניות?). מהו אותו משהו? לינק ישירות לשרת Web שבה האפליקציה תיכנס, תירשם להתחלה דרך ה-startup ותהיה מספיק חכמה למצוא יציאת תקשורת החוצה מהמשרד ולשלוח לי את כל המידע שארצה. עבודה של דקה וחצי בזמן שהנציג לא מבין מאומה ממה שקורה.

לאחר כל התהליך הזה, הלקוח יכול לקבל את המידע שלשמו הוא שכר אותי, אני מקבל סכום מאוד יפה, ועד שאתם כחברות תעלו על כך, כל שבב-כיוון למצוא איך זה קרה – ימות. השרת Web ימחק, התוכנה תימחק מהמחשב הנייד ויהיה קשה מאוד להוכיח אשמה על מישהו מסויים.

סוף סימולציה.

אז איך אפשר להתגונן מהדברים האלו? אפשר לעשות כמה דברים:

  • לא סומכים רק על עדכונים. ישנם לא מעל אתרים המפרסמים Disclosure על פריצות חדשות בכל מערכות ההפעלה ואפליקציות. כל מה שצריך זה להירשם ולעקוב אחר העדכונים והכי חשוב ליישם את ה-Work-around שאותן חברות נותנות עד שיצא Patch תיקון. הערכה שלי: 90% מהחברות בארץ לא עושות זאת.
  • הטמעת פתרונות Packet Inspection שיודעות לעשות אנליזה לפאקטים שיוצאים (במיוחד שיוצאים). כלי כזה יכול לעצור משלוח חלקים מאותו קובץ ZIP שאני שולח כמו בסימולציה.
  • פתרון לא כל כך מקובל, אבל חברות גדולות יכולות להכתיב אותו: לקוח רוצה לשלוח חומר? הלקוח יכול לגשת לאתר החברה ו"להדביק" את החומר בדף מיוחד (לשם כך יש את TinyMCE ואחרים המאפשרים הדבקת טקסט עשיר). כך אפשר לשים קורות חיים, הצעות ועוד מבלי לתת לסקריפטים להיכנס פנימה.
  • יישום מנגנון שאינו מאפשר לשום סקריפט לרוץ מתוך קובץ שהתקבל מבחוץ. אל תסמכו על הכלים של מיקרוסופט שיעצרו את זה.
  • הסברה לעובדים: מקבלים מייל "חתוך", מייל מעמית לעבודה עם הצמדה בלי שום הסבר מלווה? שישלחו את המייל לצוות ה-IT שיבדקו אותו, וליתר בטחון תרימו טלפון לאותו עמית ושאלו אותו אם הוא שלח את אותו מייל. אם הוא לא שלח, מישהו מנסה לחדור אליכם.
  • כדאי להסביר לנציגים להיות חשדנים: לא לתת את המחשב למישהו שעכשיו פגשתם.
  • בנקים: בנק גדול מאוד חשוף לטריקים האלו, ואחד מהניתובים בתוך רשימת הניתוב ניתן לצאת דרכה לרשת גם מהמחשבים של הפקידים בבנק. תארו לכם אפליקציה כמו שתיארתי, רק במקום מייל, היא תעשה דברים אחרים, והיא יכולה להוציא ולהכניס מידע. חושבים שאני מדמיין? אני לא. אני רומז לבנק מסויים שדיברתי עליו בעבר שכדאי שיעברו מחדש על טבלת הניתוב שלהם.

אלו חלק מהצעדים שצריכים לעשות בחברות כדי להימנע מריגול תעשייתי והפסד דברים חשובים מאוד למתחרים. אל תצפו לאינטגריטי מהמתחרים, כי כשזה מגיע לכסף גדול, האינטגריטי נזרק מהר מאוד לפח, וחברות שהן לחוצות יסכימו לשים כמה אלפי שקלים למישהו ולעצום עיניים כדי לקבל חומר גנוב מהמתחרים.