אם זה לא היה כל כך מצחיק…..

מישהו שאני מכיר נוהג לומר “שום דבר אינו מבוזבז. לכל היותר הוא יכול לשמש בתור דוגמא רעה”. הנני מתכבד בזו להגיש לכם דוגמא רעה, חמה מהתנור, לגבי איך בונים מערכות firewall להדיוטות.

אני לא רואה סיבה להסתיר את שם הפיירוול. מדובר בתוכנה המשולבת פיירוול+אנטי וירוס של מקאפי. אני לא יודע איזו גרסה.
אני כן אסתיר מכם את שם המתלונן. חלקית זה נועד כדי להגן על התמימים, וחלקית בגלל שגם אני לא יודע איך קוראים לו. נקרא לו “יוסי”, כי זה השם שהמצאתי לו עוד בזמן השיחה.

סיפור שהיה כך היה. בערב ראש השנה אני מקבל טלפון לסלולרי שלי. הבחור בצידו השני של הקו שאל אותי אם אני קשור לחברת “פיאסקו. הסברתי לו שזו לא חברה, אבל שאני קשור. הוא אמר לי שהוא מקבל Port scan attack מהמחשב שלנו. אופס! הסברתי לו שדבר כזה הוא בד”כ אינדיקטיבי לזה שמישהו פרץ לנו למחשב, וביקשתי ממנו לשלוח לנו את הלוגים של ההתקפה. הוא ניתק, ואני התקשרתי למי שמתחזק את האתר שממנו לכאורה באה ההתקפה. נקרא לו “ערן”, כי זהו שמו. ערן ואני מסכמים שזה טיפה מוזר, אבל מסתכלים, כל אחד בנפרד, לנסות למצוא סימנים שמישהו פרץ לנו למחשב. לא מוצאים שום דבר. כאשר לא מקבלים את הלוגים מיוסי, אנחנו פשוט עוזבים את הנושא.

עכשיו, זה עשוי להראות מוזר. למה אנחנו מתעלמים מהתראה על פריצה אפשרית למחשב שאנחנו מתחזקים? התשובה תמונה בנסיון כואב מין העבר. מסתבר שקל מאוד לפרש לוגים בצורה לא נכונה. מכיוון שלא מצאנו פורץ בחיפושים ללא לוגים, סביר באותה מידה (אם לא יותר) להניח שאין פורץ ושיוסי קרא את הלוגים לא נכון, כמו להניח שיש פורץ ושהוא מצליח להתחבא. אל תבינו אותי לא נכון. זה לא שפורצים לא יודעים להתחבא. זה פשוט שאנשים לא יודעים לקרוא לוגים. ברגע שזה המצב, אין לנו אלא לחסוך לעצמינו את הכמה ימים של התקנה של המערכת מחדש.

היום יוסי התקשר שוב. מטלפון חסוי, כמובן. מסתבר שאנחנו עדיין תוקפים אותו. הסברתי לו למה לא עשינו כלום בנידון. הסברתי לו גם למה, בהעדר מידע נוסף, אין לנו כוונה לעשות שום דבר נוסף בנידון. הוא, בתורו, הסביר לי שאין לו שום כוונה לחשוף שום דבר לגבי מי הוא, מאיזה IP הוא מגיע, באילו שעות זה קורה, או אפילו מה השם הפרטי שלו. זה בשלב הזה שהתחלתי לקרוא לו “יוסי”.

אמרתי לו שמבחינתי יש לו שתי אופציות. או להניח שאני קורבן פה בדיוק כמוהו ולשלוח לי את הלוגים, או להניח שאני הוא זה שתוקף אותו ולפנות למשטרה. נשמע היה כאילו הוא לא רוצה לעשות אף אחת מהאופציות. הוא בנתיים הסביר לי שהוא פנה למנהל של פורום ארץ הצבי, מישהו לא טכני שאינו קשור לפיאסקו (על אף שפיאסקו היא זו שמארחת את פורום ארץ הצבי), והוא נדהם לשמוע. דוגרי – משפטים כאילו לא מרשימים אותי. אני לא רואה איך זה שמישהו אחר נדהם לשמוע משהו זו סיבה שאני אדהם לשמוע משהו.

בשלב כלשהו הוא התחיל להקריא לי את הלוגים. למה זה כל כך שונה מלשלוח אותם, לא יודע. ככל שהוא ממשיך, דברים נשמעים לי מוזר. מספרי הפורטים שאותם סרקו הם לא מספרים הגיוניים לסריקת פורטים – אין שם בד”כ דברים מעניינים. חלק מהמספרים שייכים לפורטים האנונימיים – הפורטים שמשמשים את מי שלא איכפת לו אילו פורטים הוא מקבל.

לא נלאה אתכם בפרטים. תמצית הסיפור היא כזו. הפיירוול של מקאפי עושה את העבודה מאוד קלה למצוא את מי שאחראי על אתר (בהנחה שהוא לא מנסה להתחבא, כמובן). הוא גם נותן התראות מאוד בולטות על כל מיני התקפות שהוא מגלה. מה שהוא לא עושה טוב זה להבין מתי מדובר בהתקפה, ומתי בחוסר יכולת של הפיירוול עצמו. במקרה הזה, כנראה שפשוט הפיירוול לא עמד בכמות החיבורים הפתוחים ואיבד ספירה. בתגובה, הוא זיהה את המשך התיקשורת כאילו מדובר בהתקפה. המשתמש המסכן באמת חשב שאנחנו מתקיפים אותו.

מה לעשות? לא ברור. אני מניח שהלקח הכי חשוב למי שבונה פיירוולים הוא להכיר במגבלותיך, ןלהזהר על מה אתה מתריע, ואיך. זו לא חוכמה לקחת כל דבר שנראה טיפה לא תקין ולקרוא לזה התקפה. מה שמעניין זה להפריד את הדברים שהם באמת התקפה מאילו שהם סתם.

שחר