לפני קצת יותר משנה, כאשר עברתי על לוגים של מערכת IPS שממוקמת ברשת ייעודית (לא מול האינטרנט או גורמי החוץ), ראיתי פעילות DHCP.
מאחר ומדובר בסביבת שרתים, שמן הסתם אמורים להיות עם כתובות IP קבועות, הרי שפעילות DHCP לא הייתה אמורה להתרחש ועל כן יכולה להעיד על גורם בלתי-מורשה שמתחבר לרשת, ולכן נכנסתי לפרטי האירועים.
אז כן, היו אלו אירועי DHCP Discovery, אולם הפרטים שלהם כללו שלושה מאפיינים מטרידים:
1. כתובות ה-MAC היו מזויפות בעליל ולא שייכות לשום יצרן תקשורת. למשל, 4d:c8:43:bb:8b:a6 או 45:3b:13:0d:89:0a שלא העלו שום שם יצרן באתר חיפוש התאמות MAC ליצרן.
2. הכתובות הנ"ל התחלפו בתוך 3 שניות…
3. שם ה-Domain היה DETECTIVE… (שכמובן לא היה קיים ברשת המדוברת)
אופס, חשבתי לעצמי, יש כאן מישהו או משהו רע…
מייד פניתי לאינטרנט, וראיתי שאני לא לבד ולא הראשון שנתקל בתופעה הזו ותוהה על פשרה.
באתר של מיקרוסופט, הן הרגיל והן של התמיכה, לא מצאתי דבר, לא על פי כתובות ה-MAC ולא על פי המילה DETECTIVE.
פניתי לעובד שאחראי על ה-VLAN בו התרחשה הפעילות והוא אמר שבתאריך ובשעה המדוברים הוא עבד על שרת מסוים, מבוסס "חלונות 2003". בדקתי את כתובות ה-MAC של השרת ולא מצאתי את הכתובות שהופיעו ב-IPS, ניסיתי למצוא תהליכים רצים לא מוכרים או משהו שעולה באתחול – ולא מצאתי שום דבר חריג.
בשל חוסר יכולת להמשיך הלאה בחקירה, תייקתי את המקרה כוודו ממוחשב והמשכתי הלאה.
אבל לאחר כחודש בערך, התופעה חזרה במדויק. שוב אותו עובד, שוב שרת 2003 אבל שרת אחר.
הפעם, אמרתי לעצמי, הולכים עד הסוף.
תחקרתי לעומק את העובד, שמוכר לי כמבין עניין ואחראי, והוא אמר לי שהוא חושב שבשני המקרים הוא הפעיל את ה-Configure Your Server Wizard של 2003.
אם כך, אמרתי לעצמי, נעלה בשרשרת המזון.
פניתי לחברת האינטגרציה שנותנת לנו שירותי תמיכה, עם כל הקישורים הרלוונטיים שמצאתי באינטרנט, אך איש משם לא הכיר את הנושא, אז ביקשתי לבצע אסקלציה של המקרה אל תמיכת הפרמייר לארגונים של מיקרוסופט בישראל, וכך היה.
אלא מה? התומך "הבכיר" שם לא ממש ידע מה לעשות, ולמרות כל ההפניות למקרים דומים באינטרנט וההכוונה ליישום הכנראה-בעייתי – הוא הכחיש בעיה ב"חלונות 2003" וטען שבוודאות יש לנו ברשת קוד זדוני או פורץ מתוחכם. הוא כנראה לא ניסה לשחזר את הסיטואציה במעבדה עם סניפר.
דרשתי לבצע אסקלציה של המקרה לרמת התמיכה שמעליו, בחו"ל, אך הוא סירב, ואפילו סירב להעביר את התשובה שלו בכתב.
הוא לא ידע עם מי הוא מסתבך. מאחר ואני ידוע כנודניק שלא נח עד שהוא מגיע לשורש העניין, פניתי ל"מיקרוסופט ישראל" ודרשתי שיעלו את המקרה לתמיכת חו"ל, כי יש כאן משהו.
לקח להם קצת זמן וקצת "צעקות" בדוא"ל, אבל בסוף הם התרצו.
ואז, סוף סוף, הארה! פול מתמיכת הפרמייר באנגליה, שיש לו, למזלי, גישה לקוד המקור של המוצרים, אישר, כבר במייל הראשון שלו, כי המילה Detective נמצאת רק פעם אחת ורק בקוד של "חלונות 2003" ובדיוק ביישום Configure Your Server Wizard…
בקיצור, הוא אישר את הממצאים שלי ושל אלו שנמצאו ברשת, ואמר שזו דרכו של ה-Wizard לאתר שרתי DHCP פעילים ברשת, להתחזות ללקוח "לא קיים" רק לצורך הבדיקה.
הסברתי לו שהשיטה הזו יכולה לגרום לכמה אנשי אבטחת מידע או מנהלי רשתות התקף לב, לראות MACים מזויפים ברצף מהיר בתוספת דומיין בשם DETECTIVE… ולכן כדאי שמיקרוסופט תפרסם מאמר KB על הנושא, בכדי שלקוחות יקבלו "צפירת ארגעה" מהיצרן עצמו. הוא הסכים איתי, ואמר שהוא ידאג לכך.
תענוג. זו תמיכה.
ניסיתי לבקש שיתנו לי קרדיט ב-KB, כמו בפעמים הקודמות, אבל כנראה שלא עברתי הפעם את הסף המתאים להצדקת קרדיט.
אז לקח להם מספר חודשים טובים, והגרסה הראשונה הייתה טכנית ומבולבלת, אבל בסוף הם התאזנו עם גרסה סבירה אם כי לא מאוד ידידותית או תואמת לבעיה, ב-KB מספר 945948, שגם מופיע כאפשרות הראשונה אם מחפשים ע"י גוגל את המילה DETECTIVE באתר התמיכה של מיקרוסופט, כך שהסיכון להתקפי לב ירד, וכל המציל נפש Security Admin אחד…
אני את שלי עשיתי.