תפיסה ומניעה של קידום דואל אוטומטי מתוך הארגון אל האינטרנט

לאחרונה עסקתי בהקמה של מערכת סינון דואל מול האינטרנט, ותוך כדי לימוד התעבורה ושיפצור חוקי הסינון, למדתי משהו מעניין שמאוד עוזר למניעת זליגת מידע.
לא משהו קרדינלי, לא מתחרה בתוכנות הייעודיות לנושא – אבל משהו קטן וטוב.

תפיסה

אם יש לכם בארגון שרת דואל פנים-ארגוני של מיקרוסופט, Exchange, עם לקוח Outlook, ואני מהמר שמרבית הארגונים הבינוניים והגדולים בישראל עובדים בתצורה זו, אז הנה דרך שתגלה לכם מי מבצע קידום
(Forward) אוטומטי של דואל אל מחוץ לארגון.

בכל פעם שמתרחש אירוע שנובע מחוק שמבצע קידום (ולא חשוב על פי אילו תנאים), שרת ה-Exchange מוסיף לחלק ה-body של הדואל שורת טקסט עצמאית שכוללת את הטקסט הבא באנגלית או בעברית:

auto forwarded by a rule

מועבר אוטומטית לנמענים על פי כלל

רק אחד מהביטויים האלו מוכנס לדואל, כנראה על פי הגדרות השפה בשרת ה-Exchange.
עצם העובדה שהביטויים האלו מתווספים רק ברמת ה-Exchange מונעת מהמשתמשים לבטל את הוספתה.

אם רוצים להגדיר את הביטויים הנ”ל כביטוי שלם ואחיד (Exact Phrase) במסגרת Regular Expression הרי שהמשפטים צריכים להיראות כך:

\bauto forwarded by a rule\b

b\מועבר אוטומטית לנמענים על פי כלל‎\b

כך שאם אתם יכולים במערכת סינון הדואל להקים חוק שתופס כל דואל יוצא שמכיל לפחות את אחד מהביטויים האלו (חוק ANY או OR) – אתם יכולים לדעת מי הקים חוק קידום אוטומטי.
גם אם לא תמצאו זליגת מידע זדונית, אתם עדיין תתפלאו (או לא) למצוא מספר נאה של עובדים שהחליטו לפתוח תיבת ראי לתיבת הדואל הארגונית שלהם, והם מקדמים כל דואל נכנס אל התיבה האישית שלהם באינטרנט.

חשוב לדעת כי לשיטה זו יש גם חריג שמאפשר במידה מסוימת לעקוף אותה:

כאשר העובד לא מגדיר חוק Outlook רגיל, אלא מפעיל את רכיב Out of office, הוא גם יכול להפעיל ברכיב זה חוקים שונים, ביניהם חוק קידום:

להגדרת חוק ה-Forward יש גם שדה של Method (שיטה):

ולשדה זה שלוש אפשרויות:

1. Standard – מדמה ביצוע קידום ידני על ידי המשתמש, כך ששדה ה-From נשאר עם כתובת הדואל של המשתמש עצמו, והמידע של הדואל המקורי נשאר בתוך הדואל כטקסט רגיל + הודעת הקידום הנזכרת לעיל. בשיטה זו החוק שתקימו יעבוד באופן תקין.

2. Leave message intact – במצב זה Exchange מתנהג כמעין “נתב דואל” ולא מבצע שום שינוי בדואל עצמו ורק מנתב אותו ליעד הנבחר בחוק.
זו הבחירה העוקפת את חוק הזיהוי הנזכר לעיל, מאחר ואין היא מכילה את הודעת הקידום המעידה על קידום אוטומטי. ניתן לתפוס הודעה מסוג זה בתנאי ומערכת הדואל שלכם מאפשרת לכם ליצור חוק Anti spoofing, שיתפוס כל דואל שהוא בכיוון יוצא (Outbound) אך עם כתובת דואל של :From שאינה משתמשת בשם הדומיין שלכם.
כך למשל, אם המשתמש הוא למשל בארגון microsoft.com והוא מקבל כעת דואל מ-yahoo.com, הדואל ייצא מהארגון עם שדה :From של yahoo.com .

3. As an attachment – בשיטה זו המצב דומה לשיטה הראשונה לעיל, למעט זה שהדואל המקורי מוכנס להודעה חדשה כאובייקט מצורף וגם אין את תוספת הודעת הקידום המעידה על קידום הדואל. אין לי ניסיון בתפיסת שיטה זו, אולם אם מערכת הסינון שלכם יודעת לשייך את אובייקט הדואל המקורי ולסרוק אותו מתוך הנחה שהוא בתוך הודעת דואל יוצאת – אזי יש סיכוי שההודעה הכוללת תיתפס במסגרת חוק Anti Spoofing.

מניעה

בצד המניעה “מיקרוסופט” מאפשר לנו למנוע קידום אוטומטי של דואל אל האינטרנט, באופן גלובלי בלבד (יש אפשרות עקיפה מסוימת. ראו בהמשך).
השדה הנוגע למקרה שלנו, ולו נרצה לבצע Disable, הוא כנראה Allow automatic forward בלבד, כי עדיין נרצה לאפשר למשתמשים לבצע reply של טקסט, כמו במקרה של Out of office.

You cannot restrict certain automatic responses to the Internet based on administrative groups in Exchange 2000 Server or in Exchange Server 2003, Article ID: 840158

Automatic replies, automatic forwards and Out of Office to Internet recipients are disabled in Exchange 2000 Server and in Exchange Server 2003, Article ID: 266166

פירוט תיבת הדיאלוג המדוברת לגבי Exchange 2003, ולגבי 2007 (הסברים טובים יותר).

כיצד בכל אופן לאפשר למשתמשים מסוימים לבצע קידום אוטומטי, למרות שקיימת הגבלה ארגונית:

How to Override Blocked Auto-Forwarding for Select Users, Article ID: 317652

בבנק?! פינטו? בבנק?!

אתר בנק ישראל באנגלית נפרץ ופירצפו לו את הצורה. קאקר מוסלמי. האתר לא זמין כרגע. כנראה בשלב הדבקת הפלסטרים. יופי.

אתר בנק ישראל הוא לא רק אתר תדמיתי (ואנחנו יודעים עד כמה בנק ישראל צריך לעבוד על התדמית), אלא גם מכיל נתונים פיננסיים תפעוליים (כמו שערים יציגים, ריבית פריים ונתונים היסטוריים), רבים מהם כקובצי אקסל.

בוא ונניח שלמשל מערכת אבט”מ כלשהי עושה לכם צרות בהורדת קבצים מאתר כמו בנק ישראל, לא משהו אבטחתי, סתם שיבוש הפונטים בקבצים למשל, ויש לעובדים בחברה שלכם צורך קבוע להוריד מדי פעם קבצים אלו – לא תכניסו את אתר בנק ישראל ל”רשימה הלבנה”? הרי זה בנק ישראל, אם לא נסמוך עליהם, אז על מי נסמוך?!

בתור איש אבטחת מידע, יש תמיד את הספק במי לבטוח. הרי העסק עובד כך:
אם אתה סומך על א’ וא’ סומך על ב’ – אז למעשה אתה סומך על ב’. ואתה בכלל לא מכיר את ב’.
ואתה בכלל לא באמת סומך על א’ לאור עובדות שיש לך, לא ערכת לו ביקורת אבט”מ וגם אם ערכת – אתה יודע שהיא נכונה לרגע הבדיקה ולא דקה אחרי.
הרי אם הקאקר היה פושע בעל כוונות ריגול עסקי או גניבה – הוא היה יכול להשאיר את האתר כמו שהוא ורק להוסיף לו קוד זדוני במיקום פופולרי… ומשם הדרך כבר מוכרת.
הפריצה הזו היא בדיוק מסוג האירועים שצריכים ללמד אותנו לא לסמוך על אף אחד חוץ מעל עצמנו. לא שאנחנו מחוסנים ומאובטחים ב-100%, אבל בטח שאין טעם להרחיב את מעגל הסיכונים אליהם אנו נחשפים.

לא מזמן בנק ישראל השיק מערכת סליקה בזמן אמת. איך לקוחות המערכת (מוסדות פיננסיים) והלקוחות של אלו (אנחנו) אמורים לבטוח בבנק ישראל שיצליח לאבטח באופן סביר מערכת כה מורכבת, כאשר רכיב פשוט יחסית כמו אתר אינטרנט סטטי (כלומר, בלי פעולות) הוא לא מצליח לאבטח מפני ההתקפה הנפוצה ביותר ברשת?

איך המוסדות הפיננסיים בישראל אמורים להתייחס כעת לבנק ישראל, שכולל גם יחידת פיקוח על הבנקים, שפרסמה הוראות אבטחת מידע לבנקים ולחברות הביטוח (טעות שלי, את הוראות האבט”מ לחברות הביטוח פרסם המפקח על הביטוח במשרד האוצר, שאינו קשור, כמובן, למקרה זה)? מי ישמור על השומרים? מי יסמוך על השומרים?

סרטים על Phreaking

אם יש נושא  שלאבטחת מידע יש בו חסר מתמיד הוא, באופן טבעי, תיעוד היסטורי מסודר או אפילו מולטימדיה שאינה חינוכית (אפשר עם מירכאות כפולות). רוב מה שיש הוא או כתבות טלוויזיה וראיונות או סרטים בידוריים לקהל הרחב.

אשתדל להביא בעתיד דברים שמצאתי בעבר, אבל מה שמצאתי כרגע זה ריכוז של סרטים על Phreaking, פריצות למערכות טלפוניה, דור המייסדים של הקראקרים. קווין מיטניק התחיל (ודי נעצר. תרתי משמע…) שם.
כדאי לכם לשמור אצלכם עותק, כי מי יודע כמה זה יישאר זמין ברשת.

פוסט פתיחה

טוב. צריך להתחיל מאיפשהו. אז נתחיל מכאן.

שמי איתן כספי. פרטים נוספים אודותיי תמצאו בדף “אודות“, למעלה משמאל.

הבלוג הזה קם מתוך בלוג “החיים” שלי, ובהמשך לבלוג הטכנולוגיה שלי – מתוך צורך שלי לרכז במקום ייעודי את הכתיבה שלי על אבטחת מידע, כולל, עד כמה שניתן, תכנים מקצועיים רלוונטיים.

אבטחת מידע הוא תחום עיסוקי העיקרי בארבע השנים האחרונות והמשני בארבע שנים נוספות.
כמו הרבה דברים בחיים נקלעתי לעיסוק זה שלא במתכוון, מתוך מהלך עבודתי ולא מתוך ידיעה ברורה מגיל צעיר שזה ייעודי. ממש לא. אבל אהבתי את מה שמצאתי ואת מה שעשיתי, אז הלכתי עם זה הלאה.
אני לא יכול לדעת אם זה יהיה התחום העיקרי שבו אתמקד גם בעתיד, כי החיים, אתם יודעים, זה לא תכנית כבקשתך.

הבלוג יעסוק באבטחת מידע בהיבטים מגוונים ככל שניתן, טכנולוגיה, מוצרים, מגמות, אירועים, רגולציה וכמובן – הצד האנושי.

(אגב, אני לא כ”כ מת על תבנית העיצוב הנוכחית, אבל זו התבנית הכי סבירה בעברית שמצאתי כתואמת ברוחה לאבטחת מידע. אני מקווה בהמשך להחליף אותה)

כרגיל, יש לכם אפשרות להישאר מעודכנים (הקישורים מצד שמאל למעלה) באמצעות RSS (פוסטים חדשים / תגובות חדשות) ו/או באמצעות דוא”ל.

שיהיה לנו בכיף.