Dawnymi czasy pracowałem dla pewnej firmy konsultingowej. Klientem była duża, znana firma finansowa ze srogimi firewallami i innymi zabezpieczeniami. Żeby się legalnie wbić do systemu, trzeba było być podłączonym do lokalnej sieci po kabelku, a więc najpierw dostać się fizycznie do budynku. Ochroniarze pieczołowicie sprawdzali każdego wchodzącego. Potem trzeba było jeszcze podać login, hasło i kod jednorazowy z tokena sprzętowego. Miało to wszystko ręce i nogi.
Oprócz tych fikołków dodatkową, dość upierdliwą kwestią było uzyskanie zgody na zainstalowanie nowego oprogramowania, którego nie było na Oficjalnej Liście. Trzeba było w tym celu uzyskać podpisy wszystkich świętych, którzy zawsze kręcili nosem albo byli niedostępni, a najczęściej jedno i drugie.
Pamiętam, potrzebowałem wtedy (ok, może nie całkiem potrzebowałem, bardziej kaprys, ale usilny) zainstalować sobie Total Commandera, którego oczywiście nie było na Oficjalnej Liście. Zamiast więc iść ścieżką formalną, postanowiłem spróbować obejść systemowe firewalle. Na domowej maszynie ściągnąłem sobie instalkę TC w formacie exe i napisałem króciutki skrypt w excelowym VBA konwertujący każdy bajt tego exe do postaci szesnastkowej, a następnie zapisujący ów bajt do kolejnej komórki skoroszytu. Potem wysłałem to sobie pocztą jako standardowy załącznik (firewall przepuszczał pliki XLS bez mrugnięcia), a jak już dotarł na skrzynkę wewnętrzną, ściągnąłem go na lokalny dysk i uruchomiłem skrypt odwracający tę operację, czyli odczytujący każdą wartość szesnastkową i zapisujący je do pliku binarnego.
Poszło bez pudła i już za chwilę udało mi się uruchomić instalatora Total Commander.
Wniosek stąd, że firma pokłada zbyt duże zaufanie w systemach skanujących dane wchodzące do sieci i cokolwiek zostanie przepuszczone, jest już dalej traktowane po przyjacielsku.
Jako osobnik nad wyraz uczciwy (żeby nie powiedzieć: naiwny), wrzuciłem ekipie od cybersec zgłoszenie, że znalazłem sposób na obejście blokady pobierania "nielegalnych" binarek z Sieci. Wraz ze szczegłówym opisem krok po kroku co i jak.
Zgłoszenie owo siedziało sobie, z niskim priorytetem, przez ponad sześć tygodni. W końcu dostałem na lokalnym czacie (to było jeszcze przed Teamsami, nie pamiętam już teraz co to był za czat, może Skype? No nie pamiętam) wiadomość od jakiegoś nieznanego mi gościa, żebym jeszcze raz objaśnił o co chodzi z tym pobieraniem binarek. O tyle dziwne, że przecież wszystko udokumentowałem szczegółowo w zgłoszeniu, no ale nie będę się kłócił, opisałem jeszcze raz cały proces krok po kroku, podkreślając, że gdyby na moim miejscu znalazł się jakiś złośliwy typ, mógłby w ten sposób przemycić do systemu wirusa czy inne paskudztwo.
Pięć minut później dostałem z automatu powiadomienie, że moje zgłoszenie zostało zamknięte bez żadnej akcji korekcyjnej. Zapytałem tego kolesia, dlaczego tak, a on na to, że oni nie widzą tu żadnego zagrożenia, więc spoko.
Po drodze okazało się jeszcze, że ten mój ticket obszedł całkiem skomplikowaną ścieżkę, ponoć różni ludzie z działu cybersec (i satelitarnych) przerzucali go między sobą niczym gorącego ziemniaka. Nikt nie wiedział co z tym począć.
Firma działa do dzisiaj i o ile mi wiadomo, nie mieli żadnego włamu.
Dziwny świat.
“o ile mi wiadomo, nie mieli żadnego włamu.”
Nie mieli włamu, czy nie mieli wykrytego włamu?
Pytanie z gatunku filozoficznych. W każdym razie nie pochwalili się żadnym dużym włamem w mass-mediach. A co tam tak naprawdę dzieje się na zapleczu, to już sobie można tylko gdybać.
Bardzo sprytny sposób. Ale nie wystarczyło zmienić rozszerzenia instalki z EXE na XLS? Ewentualnie zamaskować MIME pliku?
Swoją drogą, nie musiałeś używać Excela. Mogłeś przecież zamienić całe EXE w zwykły kod binarny, wrzucić do pliku tekstowego (albo nawet wprost do maila), a potem skonwertować z powrotem. 🙂
> …zmienić rozszerzenia instalki z EXE na XLS…
Intuicyjnie przyjąłem, że jakikolwiek software anytywirusowy wykrywa sygnaturę EXE niezależnie od rozszerzenia. Zmiana typu pliku to najstarszy trick pod słońcem.
> …Swoją drogą, nie musiałeś używać Excela…
Wiem. Ale – znów intuicyjnie – przyjąłem, że Excel, z racji wewnętrznego kodowania, jest “trudniejszy” do przeskanowania przez automaty. Tak naprawdę plik w Excelu to archiwum zip z zaszyfrowaną treścią, więc nie da się go tak całkiem prosto ogarnąć automatem. Z innej beczki, mógłbym bezpośrednio osadzić w pliku xlsx binarkę instalatora, ale to by było zbyt bezczelne 🙂 Natomiast przeniesienie tego w postaci osobnych wartości, każda w osobnej komórce, wydało mi się jakoś “eleganckie”.