Target Eye Revealed – part 6

This new article contains another portion of the Target Eye Monitoring System’s source code along with the secret behind the method used by Target Eye to hide its files. Target Eye was able to hide its own files along with all files collected from the target machine, prior to sending it to its operator. The article explains how these files are hidden, along with exposes how to reveal these hidden files.

The default UI

Target Eye uses a simple (and yet unique) mechanism  to hide files but the trick will work on most new Windows systems (including Windows 8) that because the only option to reveal these hidden files is not part of the default user interface of the Windows Files Explorer, so even if the “Show Hidden Items” is checked, the Target Eye hidden files will not be revealed.

You can read more and browse further parts of the Target Eye source code in the following articles:

1.  The first article is about Target Eye’s Auto Update mechanism, and how it is capable of checking for updates, downloading them when there are, installing them and running them instead of the old version currently running, all of the above, with no end-user intervention.

2. The second article was about the Target Eye’s screen capturing mechanism, and how compact JPG files are created combining a reasonable image quality and a small footprint.

3. The third article was about the Shopping List mechanism.

4. The forth article is about Keyboard capturing.

5.The fifth article deals with the packaging used to let our Secret Agent in. In other words, how Target Eye can be used to wrap it with what we refer to as “cover story”

6. The Sixth article explains how files are hidden and when, along with exposing how to reveal these hidden files.

קוד המקור של תוכנת טרגט איי (מאמר באנגלית)


Auto Update mechanism doesn’t have to be based on the actual version number (kept in the Version String), but can also base on the Last Modified Date Stamp of the newer version compared to the old one. Target Eye Monitoring System, developed starting of 2000, had such mechanism.


Target Eye Monitoring System, which I have developed 12 years ago, was one of the first surveillance and monitoring tools for capturing activity of remote computers. The following description is taken from the original Business Plan of this venture:
Target Eye Monitogin System 
Target Eye is a start-up company whose mission is to develop integrated software solutions for real-time monitoring of
remote PCs, which are based on the company’s patent pending technologies (60/204,084 and 60/203,832). Our major product, Target Eye Monitoring System, is a software product that can continuously track, record, playback, analyze
and report any activity performed on one or multiple remote PCs, in a way which is undetectable by their users. The software relies on a stream of rapidly captured, compressed full-screen images and continuous keystroke capturing to
provide a comprehensive and accurate account of user activities, including local activities which do not generate any network traffic. In this way, the software can track and record activities, which are undetectable by systems
relying on network traffic analysis. A smart agent module running on the monitored PCs uses a rule base to send alerts to the monitoring location(s) or perform pre-defined local operations. Monitoring can be performed from multiple
locations. Major markets are law-enforcement.
Target Eye Monitoring System was developed with an auto update mechanism. This mechanism allows smooth and silent (un-attendant) execution of the new version instead of the current one.
An historical image: The first version of Target Eye (Apr 2000) 
A more recent version (Target Eye 2007) 
This article focuses only in one aspect of this product, which is the Auto Update mechanism.
Creating and Marking Incremental Versions In order to be able to determine a newer version over the current one, there must be a mechanism to mark the various versions, to increment the version number, and to examine the version of a given executable.
The most common way of doing so is using the “Version String” resource, and to use a prebuild automated tool to promote this string each time the application is built.
I used another method which is based on the list modification date of the executable file. This method has its pros and cons, but can be useful for most cases, since it will allow your end users to get any version of your application that
was built after the one that is currently installed.
Before I explain, it is important to mention 2 global variables which are used to build at start:
The location and full path of the
application when it runs normally (i.e. c:\program files\your app name\your
Another full path to be used for the
temporary version downloaded when there is an update.
The reason for doing so it because since the
application downloads it’s new version, the new version can’t be downloaded to
its current location, and can’t replace itself because while a file is used (or
an application is running) the file is locked and can’t be moved, deleted or
char strRegularLocation[256];
char strTemporaryLocation[256];
strRegularLocation and strTemporaryLocation with real values
is taken simply from __argv[0], provided that we are sure that we aren’t
running already from the temporary location. We ensure that by using a
parameter named “INSTALL” which will be explained later.
is built using a common folder and a temporary name combined. We use
GetSpecialFolder() to find the path name of this folder in any computer running
the application.
the date stamp of current version
do so, TEGetVersion(), the first building block, is used and returns a CString containing the last modification date of a given file.


TEGetVersion returns the last modification date / time of a given file

CString TEGetVersion (CString FileName)  {

Time1; if( CFile::Ge

CFileStatus status1; CTime tStatus( FileName, status1) ) {

return (Time1.Format(“%d%m%M%S”)

Time1 = status1.m_mtime;  ); }  // Failed  return ((CString)””); }


When my application starts, I store the date / time stamp of it somewhere.
// here we keep the date/time stamp of the current version
Now we need to get the date / time stamp of the file online, preferably, without having to download it first, so we only download when we need to update to a newer version.
ND_DATA ftpFileData;  //find

WIN32_F Ithe file on the ftp server


FileHandle= FtpFindFirstFile( m_ftpH a!= FileHandle ) { // get the write time of the ftp file

FileTimeToSystemTime( &ftpFileData.ftL

SYSTEMTIME ftpFileWriteTime, stUTC1; FILETIME ftp; astWriteTime, &stUTC1 ); SystemTimeToTzSpecificLocalTime( NULL, &stUTC1, &ftpFileWriteTime );


We need to define how old should be the current
version in order to update it. Again, this approach can be very useful in some
cases and less useful in other. For example, if your application involves a
database, you might be interested to ensure that the database is always most
recent and never older than 3 days.
#define UPDATEEVERY 60*24*7 // 7 days
#define APP_EXE_NAME “TargetEyeTest.exe”

#define FTP_NEWVERSION “NewVersion.exe”


#define APP_REGULAR_FOLDER “\\TargetEye \

The next step is to compare the date / time
stamp of each file.


ld; if( CFile:

CTime Time

O:GetStatus( FileHandle, statusOld ) )

{ CTime ct,OldTime;

d.m_mtime; hFindFile.GetLastWr

OldTime=statusO liteTime(ct); LONG Diff;

Y %H:%M %Z”); oldver=OldTime.FormatGmt

ver=ct.FormatGmt(“%d %m %(“%d %m %Y %H:%M %Z”);

-OldTime)).GetTotalMinutes(); hFindFile.Close();

Diff = ((CTimeSpan)(c tif (Diff>UPDATEEVERY || resultSpecific) {

// download the newer version }


Downloading the new version

Downloading the newer version is performed using TE_DownladLoad() which is listed here. We make several attempts in case there is a temporary block or communication problem.
#define FTPRETRIES 5 // number of retries
BOOL TE_DownloadLoad(char *FtpFileName,char *LocalFileName)

{ int DoTry=FTPRETRIES;  int result;

t = MyConnection

TryAgain:;  try  { resu l.m_FtpConn->GetFile(FtpFileName, LocalFileName, FALSE); }

4];  pEx->GetErrorMessage(sz

catch (CInternetException* pEx) { TCHAR sz[10 2,1024); WriteToLog(“Error %s\n”, sz);

6 – TE_Load”,MB_OK); pEx->Delete();  } if (!resul

if(TE_DEBUG) MessageBox(NULL,sz,”Error t) { if(DoTry– >0) goto TryAgain; return(FALSE); } else {

return (TRUE); }


Now we are ready to switch between the currently running version (the
old one) with the newer one.

Executing the newer version

BOOL ExecuteNewVersion(char *ExeName,char *Param)


pinfo; ZeroMemory(&sinfo, s

PROCESS_INFORMATION izeof(sinfo)); sinfo.cb = sizeof(sinfo);


sinfo.lpDesktop= “WinSta0\\Default”; ssinfo.wShowWindow=SW_SHOW;

(char*)(LPCTSTR)((CString)(ExeName)+(CString)” “+(CString)(Param)



{ char s[256]; sprintf(s,”Can’t execute program: %s params %s”,ExeName,Para m // ERROR LOG TELog.LogError(“Execute New Version”,s,0); return FALSE; }

else { return TRUE; }


So if we put all the code together we get:
CFileStatus statusOld;

CTime TimeOld;

atus( FileHandle, statusOld ) ) { CTime c

if(CFile::GetS tt,OldTime; OldTime=statusOld.m_mtime;

NG Diff; ver=ct.FormatGmt(“%d %

hFindFile.GetLastWriteTime(ct); L Om %Y %H:%M %Z”); oldver=OldTime.FormatGmt(“%d %m %Y %H:%M %Z”);

e.Close(); if (Diff>UPDATEEVERY || resultSp

Diff = ((CTimeSpan)(ct-OldTime)).GetTotalMinutes(); hFindFi lecific) { // downloading the newer version

MPPLACE)) { // We have successfully downloade

if(TE_DownLoad((resultGeneric)?NEWEXESTR:NEWEXE,T Ed the newer version if(ExecuteNewVersion(TEMPPLACE,”INSTALL”)) {

rent version can now quit }

// We have successfully executed the // newer version. Cu r else // Failed to execute new version } else {

TELog.LogError(“New Ftp version found”,”Can’t download”,0); } }


The TE_Init() function

TE_Init() is used to determine the parameters
used when application was executed (Unlike the full version of Target Eye
Monitoring System, which is much more complex, in our example, there is one
optional parameter – “INSTALL”).




// TE_FirstTime(); -> here you can place code you wish to

//be executed only during the first run  } } else

xists at the tem

// No parameters { // Delete a temporary version if eporary location


Replacing old with new

In order to quit in a normal fashion, without missing anything we wish
to do before quitting, the main even loop contains a check for the value of
NeedToQuit, which would normally be FALSE.
When NeedToQuit becomes TRUE, the application will perform any routine
required before quitting (for example, saving unsaved work). For example:


MessageBox(NULL,”Terminating Targe Eye”,

“Target Eye Monitoring System”,NULL);

return FALSE;


Further, the application expects to be executed either with the
“INSTALL” parameter as part of the command line, or without it. The
following scheme illustrates the flow of an installation of a newer version to
a temporary location (the Desktop folder, in our example), up to the moment the
temporary file used for it is deleted. This requires several stages:
The Target Eye Cycle
with Parameter
from location
current (old) version is running before the newer version is available
newer version checks if there is a temporary copy of itself at the temporary
location, but there isn’t any
newer version is found
version is downloaded to a temporary location
version runs from the temporary location with the “INSTALL”
version quits
newer application ran from the temporary location copies itself to the
regular location, replacing the old version which quitted (5)
newer version runs the copy located in the regular location and quits.
newer version checks if there is a temporary copy of itself at the temporary
location, and deletes it.

Choosing an FTP server for this demo

In order to use the source code that attached to this article, there are
predefined settings of a public Secured FTP server available to the public by Chilkat Software, Inc.
The details of this server are:
Secure FTP Server
Type FileZilla
Login Test
Password Test
There is a file there named hamlet.xml which can be used for testing a
remote file date stamp.


To comply with scenarios in which there
are users worldwide, and yet we wish to release a version to be available at
the same moment to all of them regardless of their local time, we use
GMT is an absolute time reference and doesn’t
change regardless of the season or the location. FormatGmt is used like that:
CTime t( 1999, 3, 19, 22, 15, 0 );

// 10:15 PM March 19, 1999

%B %d, %Y” ); ATLASSERT( s == “Friday, M

CString s = t.Format( “%A,

arch 19, 1999″ );

Limiting to a single instance

The mechanism described in this article can only work if we limit our application to run only once at any given moment.
To do so, several methods can be used, such as CreateMutex().
Target Eye Monitoring System uses a different and a bit “brutal” approach, which will be explain in details over another article. Basically, Target Eye Monitoring System searches
for other instances currently running in memory, and when found, does one of the two following options:
  1. If the instance found is newer, the current running instance quits.
  2. If the instance found is older, the current running instance kills it.
To explain, let’s consider the following
scenario. An end user had his current copy of software updated to a newer one.
A day after, this end user runs the original CD of the software. The version
that resides on the original CD, will search for new updates at the FTP server,
which is unnecessary. Further, if the application runs constantly (like a
monitoring application should), then probably when the CD version is ran, there
is also another newer version already running. To address such scenario and other
scenarios, we should take the necessary measures to ensure that an application
will always be up to date.

האם המידע שלך מוגן

פעמים רבות שמעתי אנשים מציינים שמידע כזה או אחר מאוכסן על מדיה מגנטית נפרדת והגישה אליה היא ממחשב שאינו מחובר לאינטרנט. נראה שקיימת קונספציה לפיה מידע כזה בטוח ומוגן.

במאמר זה אנסה לענות על השאלה, כיצד תוכנות ניטור אוספות מידע גם ממדיה חיצונית, לרבות ממחשבים שכלל אינם מחוברים לאינטרנט.


במהלך פיתוח תוכנת Target Eye Monitoring System, חשבתי על הפיצ’ר הזה שיבטיח שני דברים: ניטור מידע בזמן שבו האוביקט אינו מחובר לאינטרנט, וניטור מידע ממדיה נשלפת כגון דיסק און קי, גם אם זו מוכנסת למחשב בזמן שאינו מחובר לאינטרנט. קראתי לפיצ’ר זה: הכספת.

פיצ’ר זה, אשר למעשה נכלל בגירסה 2004 של התוכנה, מאפשר שורה של תהליכים אשר הופכים את הבלתי אפשרי לאפשרי.


תהליך התקנת “רכיב” של תוכנת ניטור, מבוסס על בניית סיפור כיסוי. אם האובייקט הוא טרוריסט חובב כדורגל, יבנה המפעיל סיפור כיסוי שימשוך את הטרוריסט לפתוח את הקובץ במסווה של סרטון על כדורגל, ועוד כהנה וכהנה. תוכנת Target Eye Monitoring System לא כללה מרכיב של החדרה מרחוק וגם היום מרכיב זה אינו חלק מהתוכנה, וההתקנה הנה באחריות משתמש הקצה, על פי רוב, רשות אכיפת חוק או סוכנות ביון כזו או אחרת. מי שמעורה בתחום יודע שהסיכוי לקבל מאפ”י (אגף הפיקוח על הייצוא במשרד הביטחון), היתרי ייצוא בטחוני למוצר הכולל מנגנון התקנה מרחוק נמוך אם לא אפסי. עם זאת, ניתן ליצור רכיב מותאם למשימה, והדבר נעשה באמצעות כלי הקרוי “הקומפיילר”.

מסך הקומפיילר של טרגט איי בגירסת 2004

הערה כללית: תוכנת ניטור טובה יודעת להתקין את עצמה במספר מקומות, רצוי נסתרים, וליצור מספר תסריטי הפעלה חליפיים אשר מגבים זה את זה. תסריטים אלה כוללים גם מצב בו המחשב המנוטר אינו מחובר לאינטרנט, או שמחשב אחר מחובר לאינטרנט.

ניטור מידע ממחשב שאינו מחובר לאינטרנט

המנגנון הראשון הוא מנגנון ניטור בזמן שמחשב אינו מחובר לאינטרנט. מנגנון זה מבצע את אותן פעולות במצב ההפעלה הרגיל, אלא שבמקום לשדר את המידע לשרת מרוחק, נשמר המידע באופן מוצפן ונסתר במחשב המנוטר, מתוך מטרה לשדר את כל המידע שנאסף בהזדמנות הראשונה. מנגנון כזה צריך לקחת בחשבון מצב שבו נפח המידע יגדל מעבר לגודל מסויים ואז, בדומה למצלמת אבטחה, למחוק את הישן לטובת החדש.

ניטור מידע ממדיה נשלפת (Disk on key)

מנגנון נוסף, מזהה הכנסת דיסק און קי, וכאשר זה מוכנס, נאסף המידע שמאוכסן עליו, וגם אם המחשב אליו הוכנסה המדיה אינו מחובר לאינטרנט, נאסף המידע ומוסתר כחלק מהמנגנון הראשון. במהלך תהליך זה, ניתן להעביר מידע גם בכיוון ההפוך, קרי: להתקין תוכנה נסתרת המופעלת אוטומטית ( autorun) בדיסק און קי עצמו, עם עותק של הרכיב שמותקן במחשב אליו הוא הוכנס.

ניטור ממידע ממחשב שלעולם לא מחובר לאינטרנט

עכשיו, נניח שאותו דיסק און קי מוכנס לקודש הקודשים, מחשב נוסף אשר לעולם לא מתחבר לאינרנט. עם הכנסת הדיסק און קי, תותקן תוכנת הניטור במחשב זה, ותאסוף מידע אשר יישמר באופן נסתר ויאסף, זאת לאור העובדה שהוא לא מחובר לאינטרנט.

כאן ניתן להוסיף מנגנון נוסף (רביעי) אשר עם הכנסת דיסק און קי, לא רק מעתיקה אליו את הרכיב (בautorun), אלא שאם קיים מידע נסתר שנאסף בשל היות המחשב מנותק מהאינטרנט, הרי שמידע זה יועתק באופן נסתר לדיסק און קי, על מנת שאם תוכנס מדיה זו למחשב אחר, המידע יתווסף למידע נסתר שנאסף המחשב החדש, והראשון מבין שני המחשבים שיתחבר לאינטרנט – המידע ששמור בו (שתמיד יהיה עדכני לשני המחשבים + הדיסק און קי עצמו) ישודר לאינטרנט.

אז תחברו אחד ועוד אחד, ותראו עד כמה פשוט לנטר מחשב שלעולם לא היה מחובר לאינטרנט ולעולם לא יהיה מחובר…

אז איך בכל זאת להגן על המידע

להלן מספר פתרונות אשר יבטיחו מניעת זליגת מידע:

הצפנת דיסק

על מנת להבטיח שמידע לא יזלוג ממחשב (בין אם הוא מחובר או לא מחובר לאינטרנט), מומלץ להשתמש בהצפנת דיסק, כדוגמת BitLocker. הצפנה כזו תהפוך קבצים גם אם יזלגו החוצה לבלתי קריאים. על מנת לבצע פעולה זו באמצעות כלי מערכת ההפעלה Windows, יש להשתמש בגירסת Ultimate הכוללת פיצ’ר זה. אמנם בשנת 2009 פורסם כי חוקרים מחברת המחקר פראונהופר הגרמנית טוענים כי פיתחו דרכים לפריצת הצפנה זו (שידועה בחוזקתה עד כי גם גופי אכיפת חוק אינם מסוגלים לפתוח הצפנה של קבצים שהוצפנו על מחשב אחד ללא המחשב עצמו), אולם למעשה, אין מדובר בפריצת ההצפנה עצמה אלא סוג של סימולציה המחייבת נוכחות פיסית וחיבור התקן USB למחשב המוצפן מה שאומר שהשילוב של Bit Locker ורב בריח אמור לספק את ההגנה והשקט הנפשי…

נטרול מנגנון AutoRun למדיה חיצונית

הכוונה היא למנוע הפעלה אוטומטית של כל מדיה, לרבות DVD ותקליטורים, וכמובן Disk on key.

מפעילים את כלי הניהול: Gpedit.msc


כלי הניהול של Windows

עוברים לComputer Configuration

משם מרחיבים לAdministrative Templates

ואז Windows Components

ולחיצה על Autoplay Policies.

ואז בחירה בEnabled, ובחירה בAll drives באופציה Turn off Autoplay.

לאחר מכן יש לבצע אתחול של המחשב.


המסקנה המתבקשת היא ששום מידע אינו מוגן ב100%, וטריקים של בידוד מחשב מרשת האינטרנט בוודאי שאינם עובדים, כל עוד למחשב המבודד אינטראקציה כלשהי עם העולם. ברור שמחשב ששמור בכספת ועליו מידע יקר ערך, יישמר כל עוד אין כל אינטראקציה עם מחשב זה, אולם כשם שעובד בית חולים שגר בבית סטרילי, מביא איתו הביתה את המחלות, כך גם קיימת סכנה לשלמות מידע השמור במחשב “סטרילי” כל עוד זה בא במגע כזה או אחר, ישיר או עקיף, עם מדיה או התקנים חיצוניים.

* הקלק כאן למידע נוסף על טרגט איי

תעלומת הדוקו

תוכנת Target Eye

בשנת 2000 הקמתי מיזם בשם Target Eye במסגרתו פותחה תוכנת ניטור וריגול למטרות שימושי ביון ואכיפת חוק. בין השאר הוצעה התוכנה לגופי מערכת הביטחון במדינה, בשנת 2005 נעשו בתוכנה שימושים לא חוקיים למטרות ריגול עסקי, על ידי 3 משרדי חקירות שרכשו את התוכנה מחברת Target Eye (אז כונתה התוכנה “הסוס הטרויאני”). בינתיים, נמשך פיתוח התוכנה, וכיום יש לה היתרי יצוא למספר מדינות בעולם, והיא משווקת אך ורק לגופי אכיפת חוק וביון בארץ ובעולם. מדובר בפיתוח ראשון מסוגו שלאחריו פותחו מוצרים דומים (חלקם אף טובים ומשוכללים לא פחות), וגם ה”דוקו” (כמו גם ה-Stuxnet וה-Flame) דומים במידה רבה לאותו אב טיפוס, באופן איסוף האינפורמציה הסלקטיבי באופן שמוגדר מראש על ידי המפעיל, וכך למעשה מיושם מודל שמיישם מודיעין אנושי (יומינט) באופן ממוחשב, והתוכנה הופכת להיות “סוכן חשאי” ממוכן. ניתן להגדיר היכן יפעל, והיכן ישמיד את עצמו, ואיזה מידע ייאסף, מתי יישלח ובאיזה תדירות ועוד כהנה וכהנה.



הצצה על הטכנולוגיה מאחורי הדוקו.

חוקרים במעבדת המחקר לקריפטוגרפיה ואבטחת מידע במכון הטכנולוגי של בודפשט שפשפו את עינהם בתדהמה, כאשר גילו בתום חודשים של מחקר מאומץ, את אופן הפעולה של אחת הרוגלות המתקדמות בעולם – הדוקו (Doqu).

מאמר זה נועד לשפוך אור על כמה מהמסקנות והתובנות ולנסות לשפוך ולו מעט אור על הרוגלה המסתורית שלפי מקורות זרים עשתה (ועדיין עושה) שמות במערכות גרעין ושיגור טילים ארוכי טווח באיראן (אבל לא רק…).

קוראיי הנאמנים (והספורים) יבחינו עת יקראו במאמר, שאני קופץ מנושא לנושא. מטכנולוגיה לטכנולוגיה. זה לא אני. זה הדוקו! מדובר בסבך של טריקים וטכנולוגיה שזורים זה בזה, ופועלים לפי תסריט מותח אשר משאיר את הצופה פעור פה. אוכל לסקור במאמר זה כמה מאבני הבניין, שניתן לדמותם למספר שחקני משנה בעלילה, ודי בהם כדי להצביע על מורכבות הפרוייקט, ומשניותם אינה מפחיתה את ייחודם ועצומתם, וכאן המקום לומר שכל שחקן משנה כזה, היה יכול להיות כוכב ראשי בעלילה אחרת. מדובר בכלי שלפי מיטב הבנתי, הפיתוח שלו הסתיים בשנת 2006, וניתן רק לנחש מתי החל…. ועכשיו לא נותר לי אלא לקפוץ הישר אל הקסם.

האם מסוכן לפתוח מסמך Word מצורף להודעת מייל

אם מאמר זה יתפרסם, אוכל להניח שהעורך פתח את מסמך ה-Word ששלחתי, ואני כמובן מעריך את האמון… וממתי מסמכי וורד מהווים סיכון?

בעבר הרחוק (לפני 15 שנה) הופיעו וירוסים תוך מסמכי וורד, תוך ניצול היכולת ליצור “מאקרו” ולשמור אותו כחלק מהמסמך. כך גם היה במקרה של הוירוס הראשון – “I love you”. מאז הוטמע מנגנון החוסם מאקרו כברירת מחדל. למעשה, מי שרוצה לשלב מאקרו לגיטימי במסמך, נתקל בקושי רב לעשות זאת. אלא שהפעם מדובר במנגנון מתוחכם בהרבה אשר מנצל פירצה במערכת ההפעלה. תודות לפירצה זו, נכנס מנגנון התקנה ייחודי לפעולה כאשר מסמך הוורד נפתח. מנגנון התקנה זה גובר על אחת ההגנות היעילות של גירסאות Windows החדשות (ויסטה ואילך). מנגנון הUser Access Control. מנגנון זה אינו מאפשר ביצוע אוטומטי של פעולות רבות, מבלי שמשתמש הקצה יאשר את הפעולה. החלון שקופץ כאשר מפעילים תוכנות רבות, או מפעילים תוכנות כלשהם במוד Administrator נועד להבטיח שמישהו שיושב מול המחשב אכן יאשר את הפעולה. מצד שני, פעולות אשר עלולות לחשוף את המחשב לסיכונים, מצריכות אישור כזה.

מספר מילים על דרייברים

דרייברים הם רכיבי תוכנה אשר נועדו לספק תמיכה ותאימות לרכיבי חומרה ותוספים מסוגים אחרים למחשב. פיתוח דרייבר מצריך כלים ייחודיים אשר מאפשרים גישה לבסיס העמוק ביותר של מערכת ההפעלה, הKernel. הגרעין, אשר שליטה בו פירושה שליטה מלאה במחשב, שליטה חשאית ובלתי ניתנת כמעט לגילוי. על מנת להסביר מדוע נדרשת גישה מוחלטת ושקופה, ניקח מוצר תמים ובלתי מזיק. מדפסת או צג מחשב. כאשר אלה מחוברים למחשב, שורה של פעולות מתבצעות על מנת לאפשר שימוש בהתקן שהוכנס. משתמש הקצה לא היה רוצה להתחיל ללחוץ על כפתורים בכל עת שהוא מחבר את המדפסת או צג מחשב, ומכאן כל הפעולות מתבצעות ברקע. ישנם מנגנונים “גרעיניים” עוד יותר, כמו מנגנון המאפשר הצגת פונטים כאשר אלה כלולים בטקסט כזהט או אחר, ובמידה ופונט חסר, להוריד אותו או לקרוא אותו כאשר זה מוטמע במסמך. לכן ניתן לומר שדרייברים מאפשרים להינות משורה של תכונות ופוקציונליות, באופן שקוף שאינו דורש התערבות המשתמש, וכן באופן אוטומטי שאינו מצריך הפעלת כל דרייבר בכל פעם שמבצעים ריסט למחשב. אליה וקוץ בה, עוצמתם של הדרייברים פותחים פתח לפעולות פחות רצויות ויותר מסוכנות, וזה הבסיס (או אחד הבסיסים) לפעולת הדוקו. בשל עוצמתו של הדרייבר, נוקטת מערכת ההפעלה במשנה זהירות כשמדובר בהתקנת דרייבר חדש. דרייברים צריכים להיחתם על ידי רשות מוסמכת כגון CA או Symantec (אשר רכשו את Verisign), והתקנתו דורשת אישור משתמש מסוג Admin.

מפתחי הדוקו חיפשו דרך לאפשר התקנה של דרייבר מבלי לקבל את אישור משתמש הקצה. התקנה של דרייבר מבטיחה מקסימום שליטה על המחשב המנוטר, ועם זאת, קושי עצום לגלות את דבר קיומו של הדרייבר, או את ההפעלה האוטומטית שלו עם הדלקת המחשב. דרייברים, במיוחד אלה שמוגדרים כKernel, מופעלים אוטומטית מבלי שצריך להגדיר דבר מה בRegistry. למעשה, הסרה של דרייבר Kernel בדרך של מחיקה (לרבות מחיקה על ידי אנטי וירוס), תביא לשיתוק של המחשב ללא יכולת לתקן אותו (אלא אם מתקינים את Windows מחדש). על תופעה זו כתבתי את המאמר הבא.

פירצה בגוף הפונט

כיצד הושחל מנגנון התקנה כה מתקדם למסמך וורד? התשובה היא בפונט. כאשר מסמך אופיס כולל פונט לא סטנדרטי (כזה שאינו חלק מובנה במערכת ההפעלה), ניתן לצרף אותו למסמך וכך יודעת מערכת ההפעלה לשלוף אותו ולהתקין אותו. הפורמט הנפוץ לפונטים הנו True Type. לWindow מנגנון מובנה לקריאת הגדרות הפונט ותרגומם בזמן ריצה לbitmap על מנת להציג את הפונט על המסך (ומנגנון נפרד להדפסתו באיכות גבוהה יותר בזמן ההדפסה). מפתחי הרוגלה עלו על פירצה במנגנון זה, אשר מאפשר להטמיע בקובץ הTrue Type אשר הסיומת שלו TTF, קוד זדוני בעל יכולות לבצע פעולות במחשב מעבר לייעוד המקורי והוא הצגת הטקסט בפונט הנבחר.

לקבצי הTTF ישנה הפריווילגיה לעבור חופשי מבלי להיחסם, שכן עד היום לא נחשבו איום. בניגוד לתוכנה כלשהי השמורה בפורמט הנפוץ EXE, אשר תיחסם אם תישלח במייל, ומשתמש הקצה יקפל אזהרות והתראות אם יפעיל תוכנה כלשהי אשר הורדה מהאינטרנט, הרי שמסמכי וורד וקבצי פונט לא נחסמים ולא מסוננים. כדי לדייק, הפירצה האמורה באה לידי ביטוי במסמך הוורד עצמו, בחלק המיועד להגדיר פונט לא מוכר למערכת, על מנת שזה ישולב במסמך גם אם נפתח אצל משתמשים שאין ברשותם פונט זה. לא ידוע על מקרים בהם הוטמע קוד זדוני בקובץ הפונט עצמו (TTF), אם כי אפשרות כזו קיימת ויש לנקוט משנה זהירות. ניתן לומר שאם אינך סטודיו לגראפיקה העוסק בשילוב פונטים ייחודיים בעבודה, ושלחו לך פונט במייל, אל תפתח…

אז איך גוברים על הUAC

הUAC אינו שם נרדף לאיחוד האמירויות אלא ראשי תיבות של User Access Control, שכאמור נועד להבטיח שפעולות מסויימות יוכלו להתבצע רק אם המשתמש במחשב מאשר אותן, מה שאמור למנוע ביצוע פעולות אלה ללא ידיעת המשתמש.


הרוגלה עצמה, מתוחכמת ביותר ומנגנון ההתקנה הוא רק פורץ הדרך אשר נותן לרוגלה דריסת רגל במחשב המותקף. מנגנון זה מתקין שורה של קבצים מסוג DLL, קבצי קונפיגורציה (הגדרות) וקבצי דרייבר אשר נחזים כאילו יוצרו על ידי חברת Intel על אף שאינם כאלה. למעשה, מתוך 13 קבצי דרייבר אשר נוטלים חלק בפעולת ה”דוקו”, רק 6 נבדקו על ידי מעבדות כאלה ואחרות, וה-7 האחרים חמקו ונעלמו.

לפי פירסומים זרים, נעשה שימוש ב”דוקו” באירן, ואגב, גם בסודאן. מדובר בכלי ממוקד אשר הוגדרו בו זמני הפעולה (כאשר מחוץ למסגרת הזמן שהוגדרה, הכלי מנוטרל) והיעד אשר היה במערכות ספציפיות הקשורות לתוכנית הגרעין של איראן.

למרות שחלק מהדרייברים והקבצים אשר נוטלים חלק במבצע מורכב זה נחשפו, הרי שבאופן מסתורי, מספר קבצים בעלי תפקיד מפתח, חמקו מכל חוקרי הוירוסים באשר הם. דוגמה לכך הנה הקובץ bpmsg.sys.

ה”דוקו” אינו וירוס, ואף אף לא רוגלה במובן הקלאסי של המילה, אלא פלטפורמה רחבה (סוג של מיני מערכת הפעלה) אשר ניתן להשתמש בה לכל מטרה ולכל ייעד, תוך קסטומיזציה מלאה של הדרישות והייעדים. ה”דוקו” מסוגל להתעדכן בכל עת. כל הפעולות המתבצעות על ידו, לרבות עדכון כזה, מתבצעות באופן חשאי לחלוטין ללא ידיעת המשתמש.

לפי מספר פירסומים, ביותר ממקרה אחד של התקפה על מערכות מחשב במתקני גרעין באיראן, המידע שנאסף נשלח לכתובת ה-IP הבאה: 

בדיקת כתובת זו מגלה כי היא שייך לחברת Verizon בארה”ב.

שרתים נוספים אליהם נשלח המידע נמצאים בויאטנם. מדובר בשרת Linux אשר מריץ CentOS 5.5. חוקרים במעבדת Kespersky אשר גילו שרת זה, לא הצליחו לאתר ולו קובץ אחד אשר אוכסן, ונראה היה שזמן מה לפני כן, בוצעה מחיקה מאסיבית של כל הקבצים (סימן לכך היה שהתיקיות עצמן, בהן נשמרו הקבצים, לא נמחקו, ואלה נשאו גם חתימת תאריך יצירה ותאריך שינוי אחרון).  חוקרי מעבדת Kaspersky גילו שמפעילי ה”דוקו” הפעילו את השרת הויאטנמי דרך שרת אחר, בגרמניה, אשר אוכסן בחברת אחסון בולגרית.

בגדול, ניתן לומר שה”דוקו” הופעל ממספר כתובות באירופה (גרמניה, שוויץ, בריטניה), תוך גישה מרחוק לשרת הויאטנמי אשר שלט בייעדי ההתקנה באירן וסודן. לפי חתימות תאריכי קבצים ותיקיות בשרתים אלה, ניתן להעריך שמדובר במבצע רחב היקף אשר נכנס לשלב האופרטיבי שלו כבר בשנת 2009 (כלומר ה”דוקו” פותח עוד לפני 2009).

פריצה בדרך של Brute Force

חלק מהשרתים הופעלו ללא ידיעת בעליהם, בדרך של פריצה. עדות לכך נמצאת למשל בקובץ לוג של אחד השרתים, ממנו עולה כי בתאריך 18.11.2009 ניסה גורם אלמוני בסינגפור לגלות את סיסמת הגישה בדרך של Brute Force עד שהצליח. שיטת הBrute Force מבוססת על ניסוי כל הקומבינציות האפשריות של כל צירוף של אותיות מספרים וסימנים מיוחדים עד לאיתור הסיסמה הנכונה. שיטה זו יעילה מאד לאיתור סיסמאות למסמכים (למשל מסמך וורד ממוצע המוגן בסיסמה יכול להפרץ בתוך מספר שעות ויש כלים כמו CrackPassword אשר נוסדו בשנת 1990 והכלים שלהם זולים ויעילים). עם זאת ככל שמדובר בשרת או אתר אינטרנט, לרובם יש מנגנון אשר חוסם כתובת IP  ממנה מתבצע מספר רב של נסיונות להקליד סיסמה לא נכונה. ועם זאת, הפורצים מצאו את הדרך שלא להיחסם.

מבצע טשטוש ראיות רחב היקף

ב-20.10.2011 התקיים מבצע רחב היקף של טשטוש ומחיקת ראיות, או אז הושמדו רוב הקבצים אשר נטלו חלק בהחדרת ה”דוקו”. אמנם שירשור של שרתים במיקומים שונים, חוצי מדינות ויבשות, נראה כהופך את איתור מקור התוכנה לקשה יותר, אולם אם חושבים על כך, אין זה ממש משנה אם כדי להגיע אל המקור, צריך לעבור שני שרתים או 200 שרתים אלא שאלת המפתח היא האם ניתן להגיע בסופו של דבר למקור התוכנה. פעולת טשטוש ומחיקת הראיות, והעובדה שהקבצים החשובים באמת אשר נוטלים חלק בפעולתה המורכבת של התוכנה לא התגלו עד היום (על אף שיש עדות לעצם קיומם), מוכיחה שגוף ביון בעל יכולות עומד מאחורי התוכנה.

Institue of Directors

מועדון המנהלים הלונדוני הIOD, הוא מקום אידאלי לנטוורקינג. מדובר במועדון חברים אקסקלוסיבי שהקבלה אליו היא דרך המלצה של חבר קיים.  ידידי דיוויד פייס, מנכ”ל חברת WebX המליץ עלי וכך התקבלתי בשנת 2001.


Emma with Rebecca

We met Rebecca on November 2004 at Starbucks, Dortmund. Emma made a nice drawing of her and have it to her.

שלט בבית קפה בסקופיה, בירת מקדוניה

ארגז החול שלי

בילדותנו חלקנו שיחקנו בארגז חול, שם יכלנו לבנות ארמונות, להרוס, ובקיצור, לשחק בלי לסכן דבר (למעט קצת חול בעיניים). בחיים האמיתיים יש כיום סביבות הפועלות לפי אותו עיקרון. סביבות אלה מכונות Sand Box.

פיתוח מערכות תוכנה ואפליקציות הכרוכות בקבלת תשלומים בכרטיס אשראי מצריך סביבה שתאפשר התנסות בביצוע תשלומים, לרבות מספרי כרטיס אשראי, חשבונות משתמש ועוד כיו”ב. סביבת הSand Box של חברת PayPal מספקת בדיוק את זה. כחלק מפרוייקט הכולל סליקת כרטיסי אשראי התוודעתי לסביבה זו.

על מנת להירשם ולהתנסות בסביבת הפיתוח של PayPal נכנסים ללינק הבא:


עכשיו, יש להמתין למייל האישור זאת על מנת להפעיל את החשבון.

לאחר שהחשבון מופעל, מבצעים לוג-אין ומגיעים למסך הבא:


יש ללחוץ על Create a preconfigured account

חשבון הTest מיועד לסימולציה של משתמש, במקרה שלנו, בחרתי ליצור לקוח, אשר רוכש מוצרים.

הלקוח, מתגורר בהונג קונג, יש לו כרטיס אשראי אמריקן אקספרס, ויש לו חשבון בנק עם 5000 דולר.


לוחצים על Create Account והחשבון נוצר.

לחשבון מוקצים כתובת מייל (שהיא שם משתמש) וסיסמה. כתובת המייל אינה צריכה להיות אמיתית, משום שהיא משמשת אך ורק לכניסה לחשבון.


ופרטי החשבון כולל מספר כרטיס ויזה (משום מה המספר שמופק הוא תמיד ויזה), פיקטיבי לשימוש בSandBox:


בהמשך ניתן להתקדם במספר כיוונים, חשבון הSandBox משמש להתנסות, יצירת חשבונות פיקטיבים מסוגים שונים וכיו”ב, בעוד שהחשבונות הפיקטיביים משמשים לסימולציה של משתמשים מסוג: קונה, מוכר ובעל חנות PRO.

לסיכום: ארגז החול של PayPal בשונה מארגז החול הזכור לכולנו מהילדות, משמש הרבה יותר מבניית ארמונות בחול ויכול לחסוך זמן ומשאבים המוקצים לבדיקות ותקופת הרצה למערכות הכוללות מרכיב של billing ו-E-commerce.

עשרות עצורים בפרשת האזנת סתר לסמרטפונים

תוכנת ריגול חדשה שנחשפה על ידי היחידה לחקירות הונאה במשטרת ישראל, מאפשרת לחוקר הפרטי שליטה מלאה על סמרטפון של האובייקט הנחקר, באופן שמאפשר לו גם האזנה לשיחות, וגם האזנה לחלל האוויר (בדומה למכשיר האזנת סתר). התוכנה מאפשרת להקליט שיחות ולשלוח דו”ח הכולל את המידע שנאסף על ידי התוכנה באמצעות הדוא”ל לחוקר (מפעיל התוכנה).

האם נדרשת הגנה נגד כלים אלה. ככל שמדובר בחברת Apple, הרי שמדובר במערכת סגורה באופן שמקשה על החדרת רוגלה כזו. רוגלה לאייפון תצטרך להיות תוכנה רשומה בAppStore ולקבל היתרים לאחר בדיקה מקיפה של זהות בית התוכנה והתוכנה עצמה. עם זאת אפשר לציין מוצר בשם Intego שמתיימר לאתר וירוסים ונוזקות באייפון.

סמרטפונים אחרים מבוססי אנדרואיד, מצריכים כלי הגנה אלא שכמו עם הביצה והתרנגולת, לפי הגישה הנפוצה בלוחמה בוירוסים ונוזקות, קודם מגלים את הנוזקה ואז מפתחים לה תרופה (חיסון). הדבר מעלה את השאלה כיצד נוכל לאתר את הוירוסים והנוזקות של מחר?

לשם כך פותחו בשנים האחרונות מוצרים מבוססים טכנולוגיה “התנהגותית” (heuristic). בטכנולוגיה זו מנסים לאתר דפוסי פעולה האופייניים לוירוסים, סוסים טרויאניים ורוגלות ועל ידי כך לאתר את הנוזקות של מחר, עוד לפני שדווח עליהם. השיטה עובדת באופן חלקי והנושא מצריך מחקר נוסף. יתרה מכך, קיימת תופעה של false positive שפירושה זיהוי מוטעה של כלים לגיטימיים וסיווגם כנוזקה.

מאחר ותוכנות ריגול אינן בלתי חוקיות, ובדומה למצלמת אבטחה, טייפ, או אפילו סכין, אי החוקיות הוא פונקציה של נסיבות השימוש ולא של המוצר עצמו, הרי שאין היום סטנדרט אחיד בכל הנוגע למה צריך להיחסם ומה לא. מוסכם על כולם שוירוס הנו כלי מזיק שכל ייעודו הפצה לכמה שיותר מכשירים על מנת לגרום נזק, אולם ככל שמדובר בכלי ריגול, ניטור, ומעקב, הכללים הם שונים. בדומה לכל מכשיר האזנה אחר, רשות אכיפת חוק יכולה בצו האזנת סתר של בית משפט להחדיר תוכנת ריגול לסמרטפון או מחשב, ואילו אותה תוכנה אסורה לשימוש כזה על ידי אדם מן הישוב, אולם עדיין מותר לאדם לנטר את עצמו. כשם שאדם יכול להתקין מצלמה נסתרת בביתו בזמן שהבייביסיטר או המשפצים נמצאים בבית, הרי שהדבר אינו שונה בכל הנוגע למחשב הפרטי או הסמרטפון הפרטי. גם ניטור ילדים הנו מותר ולעיתים אף מציל חיים.

המפתח לבעיה ואולי הפתרון הטוב ביותר כרגע נעוץ באופן התקנת התוכנה. אמנם ברוב המקרים יתברר שהתוכנה חוקית, אולם קל מאד להצביע על החוקיות של השימוש בתוכנה, דרך אופן ההתקנה שלה.

אם קיבלת הודעת SMS, הודעת MMS, קובץ מפתה במייל, או כלינק להורדה, ייתכן ומדובר ברוגלה. כל עוד אין מדובר בניטור עצמי שמחייב התקנה של התוכנה בעצמך או במכשיר של הילד, הרי שעל דרך השלילה, כל מה שאינו מותקן על ידך, ביוזמתך, חשוד. לא קיימת דרך טכנית להתקין לך רוגלה מבלי שלפחות בנקודת זמן אחת תתבקש לאשר את ההתקנה ו/או את ההפעלה. לעיתים התוכנה “תתחפש” למשהו אחר, ומכאן האנלוגיה לסוג הטרויאני שנראה מבחוץ כמו סוס עץ ענק שהוענק במתנה, והכיל לוחמים צמאי דם, כך גם במציאות של ימינו. אין ארוחות חינם ואין זכיות בסכום כסף או במתנות אחרות מגורם לא מוכר. מישהו פעם אמר שלא יעזור כלום: אם לא קנית כרטיס הגרלה, מן הסתם אין סיכוי שתזכה בפיס, ולכן אם קיבלת הודעת זכיה, שאל את עצמך אם קנית או נרשמת להגרלה, וזו רק דוגמה. בגדול, מה שנשלח אליך חשוד, וניתן להתגונן בפני האזנה או ניטור בלתי חוקיים בדרך של הימנעות מוחלטת מפתיחת קבצים או לינקים.

קיבלת לינק לתמונות מדהימות של הזריחה והוא נשלח מהדודה שלך? זכור שניתן לזייף את מקור ההודעה וייתכן ולא הדודה שלך את הלינק.


וגם אם להסתכל על זה מהצד של רוכש התוכנה, אם אינך יכול להתקין בעצמך את התוכנה פיסית בסמרטפון או במחשב, מן הסתם אסור לך (וגם אם אתה יכול להתקין, זה לא מבטיח את החוקיות אלא אם המחשב או המכשיר שייכים לך…). שום גורם תקינה אזרחי או בטחוני (כמו אפ”י) לא יאשר מוצר הכולל “החדרה מרחוק”, שכן אלא אם כן אתה ה-FBI, הפיצ’ר הזה שמתיימר לשגר את התוכנה למכשיר הסמרטפון או המחשב של אדם אחר, ללא ידיעתו, מגלם בהגדרה את אי החוקיות.

חשוב לזכור שתוכנות הניטור, כדוגמת Target Eye, או Paralert, כאשר עושים בהם שימוש נכון וחוקי, מסייעות ובעלות ערך עצום, אשר אין לבטלו בשל מקרים נקודתיים של שימוש לרעה בכלים אלה.

תהליך פיתוח תוכנת טרגט איי