Running 12 Km as part of the Phantom Run in North Vancouver.
The Phantom Run 2021, took place on November 13th. For me, it was an extremely chalanging run with 1/2Km accends and decends, some of them are stiff stairs. It was shocking, being the first time running in this trail. I finally made it and enjoyed a warm soup.
I participated in the London Summer Run for Cancer Research. It was fun!
אתר לשכת עורכי הדין כולל את “ספר עורכי הדין”, מאגר המכיל את פרטיהם של כל עורכי הדין בישראל החברים בלשכה, ומאפשר ביצוע חיפושים לפי תחומי התמחות או שם.
אם לדוגמה, אחפש את עורכי הדין ששם משפחתם “לוי”, חלון החיפוש ייראה כך:
ולאחר לחיצה על “חיפוש” תופיע ההודעה הבאה:
גולש/ת יקר/ה,
“ספר עורכי הדין” (להלן: “המאגר”) אליו הינך נכנס/ת, הוא רכושה הבלעדי של הלשכה ומיועד לשימוש פרטי בלבד.
מבלי לגרוע מאיזה מתנאי השימוש באתר זה, באשרך הודעה זו הינך מתחייב/ת שלא לעשות כל שימוש אחר במאגר או בכל חלק ממנו.
לחיצה על “אשר” מהווה אישור המשתמש לאמור בהודעה.
או אז מופיעות תוצאות החיפוש.
ניתן להכנס לכל תוצאה ותוצאה ולראות את פרטיו המלאים של עורך הדין, פרטים הכוללים: שם, כתובת, ת.ד., טלפון, נייד, פקס וכתובת דוא”ל.
כדי להגן את מאגר כזה ולמנוע שליפתו והפצתו, ישנן מספר שיטות אשר עשויות להגן על המידע ברמה סבירה ועד רמה גבוהה, הכל תלוי בשאלה עד כמה רגיש המידע.
בבואי לבדוק עד כמה מוגן המידע, השאלה הראשונה שתישאל היא האם ניתן להגיע למידע שאליו הגענו בעקבות השאילתה, וההסכמה לתנאי השימוש, שלא בדרך הרגילה, וללא לחיצה על “אשר” בחלון תנאי השימוש, אלא ישירות.
התשובה היא לצערי – כן.
כתובת הדף אליו הגענו בסופו של דבר היא: http://www.israelbar.org.il/lawyer_list_inner.asp?id=16214
מה שאומר שאם נכניס מספר כלשהו אחרי ה”id” נוכל להגיע לכל עורך דין ועורך דין.
בדיקה העלתה שהרשומות מתחילות ממספר 2, ורצות עד כ-40,000.
כיצד למנוע: נותנים לכל דף ודף כתובת שלא ניתנת לחיזוי עם מרכיב אקראי שאין בינו כל קשר לתוצאה.
זו רמת ההגנה הנמוכה ביותר. מכאן אפשר לעלות ולמנוע כניסה לדף תוצאה למי שלא נרשם או אישר את הסכמתו, ואז גם אם הגעתם לתוצאת חיפוש (לאחר שאישרתם את הסכמתם) ונתתם את כתובת דף התוצאה לחבר, אותו חבר לא יוכל להכנס סתם כך לדף זה, אלא יצטרך ללכת בצינורות המקובלים: לבצע שאילתה, לאשר את הסכמתו לתנאים ורק אז יופיע הדף.
ברמות הגנה גבוהות יותר, לאחר דקה או שתיים בהן בהיתם בפרטי עורך הדין, ה-session יסתיים ותצטרכו להכנס מחדש למערכת.
ישנו כיוון נוסף שיש לתת עליו את הדעת. גם אם ננקוט בכל אמצעי אבטחת המידע האפשריים, עדיין יכול משתמש רשום, להכנס, לאשר את הסכמתו לתנאים, לבצע שאילתה ולשמור אצלו את תוצאותיה, להפיץ תוצאות אלה ולעשות בהן שימוש שונה מזה שהתיר בעל מאגר המידע. כדי למנוע זאת, נהוג להגביל את השאילתות בכמה אופנים:
על מנת להסביר, נניח שמישהו רוצה לשים ידו על מאגר מידע. הוא יכול לבצע חיפוש של כל עורכי הדין שמתגוררים בתל אביב, ואז לעבור לחיפה וכך לכל ישוב במדינת ישראל. הוא יכול לחפש את עורכי הדין ששם משפחתם מתחיל ב”א”, וכך לעבור על כל אות בא”ב.
במאגרי מידע שמנגנון השאילתות שלהם אינו מוגן כלל, ניתן לבצע “שאילתה פתוחה”. בשדה החיפוש פשוט לא רושמים דבר, ולוחצים על “חפש”. על פי רוב, תופיע הודעת שגיאה, שנועדה להגביל את השימוש במאגר, אולם בספר עורכי הדין, אין זה המצב.
שאילתה פתוחה (או ריקה), פשוט תציג את כל עורכי הדין ברשימה. התוצאות הן על פני 50 עמודים, ואני מניח שכאן יושמה הגבלה על מספר התוצאות. אם בדף מוצגות 20 תוצאות, זה אומר ששאילתה פתוחה תוביל ל1000 תוצאות.
לא כל מאגר מידע צריך להיות מוגן. אם אתר קיבוץ לוחמי הגיטאות מפרסם את אלפון החברים בו, ניתן לאפשר לא רק שאילתות פתוחות אלא הורדה של המאגר כולו בפורמט אקסל. אני מניח שאם לשכת עורכי הדין אינה מציעה הורדה של מאגר עורכי הדין כולו, ומגבילה את תוצאות החיפוש ל-50 דפים, שלא לדבר על הסכמת המשתמש הנדרשת לפני כל חיפוש, זה לא המקרה, ולכן מוטב לנקוט באמצעי אבטחת מידע מינימליים על מנת למנוע את התסריט הדמיוני הבא…
bhavin189 (שם בדוי) הוא מתכנת הודי מהעיר Surat שבהודו, המציע את שירותיו באתרים רבים, לרבות עצות בYouTube כיצד לבצע טריק כזה או אחר. bhavin189 אינו האקר, ומעולם לא פרץ לאתר כלשהו. הוא מתמחה בתחומים הבאים:
Form-fillers – SERPS – Adwords automation – Spiders – Crawlers – Extractors – Google automation – Account-creators – Bots – Craigslist tools – twitter tools – SEO tools – social networking tools – facebook, orkut, bebo etc.
C#, VB.Net, VB6, VC++, MSXML, SQL, and VBScript.
PHP, javascript, HTML, XML, MySQL, SQLLite
Win32 APIs, Windows hooking, Localization, i18n, and multi-lingual solutions.
bhavin189 התבקש (באותו תסריט דמיוני) לבצע פרויקט במסגרתו יישלף המאגר. לא נדרש כאן האקר (ואין צורך או סיבה לפרוץ לאתר), שכן המידע חשוף וגלוי לכל. צריך רק לקחת. bhavin189 התבקש לפתח תוכנה בvb.net אשר תרוץ על כל הדפים האפשריים החל מhttp://www.israelbar.org.il/lawyer_list_inner.asp?id=2 ועד http://www.israelbar.org.il/lawyer_list_inner.asp?id=40000 . הוא פיתח את התוכנה בשעתיים, זאת מבלי שהוא מבין מילה אחת בעברית. הרצת התוכנה ארכה כיומיים, והניבה קובץ csv.
במהלך ההתייעצות שקדמה לפרוייקט, היה צריך לסמן בגוף כל דף את השדות השונים (בעברית) ולהפריד בין שדות שמופיעים מחוברים (למשל: להפריד שם משפחה משם פרטי).
תהליך הייבוא לאקסל הוא פשוט מאד ומתבצע בעזרת כלי היבוא של התוכנה, בה ניתן לבחור את קידוד הטקסט המיובא (בדרך כלל הקידוד הנכון מופיע אוטומטית), ואת אופן ההפרדה בין שדות שונים. נהוג להפריד שדות או באמצעות תו מפריד (ל
משל פסיק), או על ידי קביעת רוחב קבוע לכל עמודה ועמודה.
מזמין העבודה יכל לייבא לתוכנת אקסל או לבסיס נתונים אקסס בתהליך ייבוא פשוט.
ואז לקבל מאגר מידע מנותק מהאתר ממנו הוא הגיע:
לבסוף נותרה בעיה קטנה: שמות המכילים מרכאות (“) שיבשו את הייבוא, ומאחר ואני פרפקציוניסט היה לי חשוב לוודא שגם לבעיה זו יש פתרון, ואכן הפתרון נמצא: יצירת קובץ בו כל שדה מופרד בתו “טאב” (tab) במקום מופרד בפסיקים…
וכך נפתרו כל הבעיות, ואין לי ספק שבדרך הזו ניתן היה לשלוף את מאגר עורכי הדין כולו, ואתר זה הנו רק דוגמה לאתרים רבים ולמאגרי מידע רבים שפרוצים לכל ומוטב לתת את הדעת לכך ולנקוט באמצעים סבירים על מנת למנוע זאת.
כאן המקום לומר שאין במאמר זה כל התייחסות לפריצה לאתרים (או כלי ושיטות פריצה), וכל התהליך שתואר כאן מבוסס על גלישה לדפי אינטרנט בדרך הרגילה, וכן ביצוע אוטומציה של גלישה רגילה באמצעות תוכנת “רובוט” אשר נכנסת לכל דף ודף ברשימה ארוכה של דפים כאילו הייתה גולש פשוט.
במילים אחרות: שליפת מאגרי מידע בדרך זו משולה לאדם שפותח את ספר הטלפונים ועובר דף דף, ומעתיק את תוכנו לקובץ.
אם אותו אדם יפיץ את הקובץ שיצר, ייתכן ויפר את זכויות היוצרים של המאגר, אולם פעולת השליפה עצמה, חוקית כמו עלעול ועיון בספר טלפונים…. אולם במחשבה שנייה … אם תרצו לחפש עורך דין על מנת להתייעץ איתו בנושא, לפחות תדעו באיזה מאגר לאתר אותו…
עדכון 5.7.2012
בעקבות ההתראות שלי והמאמר שלי בנושא, לשכת עורכי הדין החלה בתיקון הפירצה ולשמחתי, כרגע לא ניתן להגיע לדף של תצוגת רשומה בודדת, אלא רק לדפדף בדף התוצאות, אז מוצגים פרטים חלקיים יותר ללא טלפון נייד וכתובת מייל. השלב הבא צריך להיות להחזיר את התצוגה הפרטנית, אולם למקם אותה תחת שם דף שאינו ניתן לחיזוי מראש (כתובת בעלת מרכיב אקראי) וכך תתוקן הפירצה.
לצורך הכנת הכתבה בוצעה התייעצות עם מתכנת מהודו, נכתבה תוכנה קטנה ונשלפו כ-100 רשומות ויובאו לתוכנת אקסל, אולם די בכך כדי להוות (POC (Proof of concept של הבעיה.
מיכאל האפרתי
* לקריאה נוספת על טיוב נתונים, אני ממליץ על מאמר של ברוך עינב (מהתקופה בה היה מנהל מערכות המידע של אנשים ומחשבים) אודות תוכנת DataTune פרי פיתוחי (2001-2003)
נניח שאתם רוצים להציע מוצר או שירות אשר כולל במסגרתו גם משלוח הודעות SMS. ההודעות עשויות להיות מקומיות (בארץ בלבד), או בינלאומיות (מכל מדינה לכל מדינה).
חברה בריטית ותיקה בשם CardBoardFish, מציעה תשתית טכנולוגית כזו, המקיפה את רוב מדינות העולם, ותעריף משלוח SMS בישראל (לצורך הדוגמה) יעלה כמחצית האגורה.
החברה מספקת תשתית אשר מנתבת את ההודעות על פני רוב חברות הסלולר בעולם כולו.
הדרך לצרוך שירות כזה הוא באמצעות התממשקות. זה יכול להיות אתר אינטרנט שמציע שירות הכולל משלוח SMS, או תוכנה (Desktop Applition), כאשר הדרכים להתממשק למערכת הנן:
בשנת 2000 הקמתי מיזם בשם Target Eye במסגרתו פותחה תוכנת ניטור וריגול בשם Target Eye Monitoring System למטרות שימושי ביון ואכיפת חוק. בין השאר הוצעה התוכנה לגופי מערכת הביטחון במדינה, בשנת 2005 נעשו בתוכנה שימושים לא חוקיים למטרות ריגול עסקי, על ידי 3 משרדי חקירות שרכשו את התוכנה מחברת Target Eye (אז כונתה התוכנה “הסוס הטרויאני”). בינתיים, נמשך פיתוח התוכנה, וכיום יש לה היתרי יצוא למספר מדינות בעולם, והיא משווקת אך ורק לגופי אכיפת חוק וביון בארץ ובעולם. מדובר בפיתוח ראשון מסוגו שלאחריו פותחו מוצרים דומים (חלקם אף טובים ומשוכללים לא פחות), וגם ה”דוקו” (כמו גם ה-Stuxnet וה-Flame) דומים במידה רבה לאותו אב טיפוס, באופן איסוף האינפורמציה הסלקטיבי באופן שמוגדר מראש על ידי המפעיל, וכך למעשה מיושם מודל שמיישם מודיעין אנושי (יומינט) באופן ממוחשב, והתוכנה הופכת להיות “סוכן חשאי” ממוכן. ניתן להגדיר היכן יפעל, והיכן ישמיד את עצמו, ואיזה מידע ייאסף, מתי יישלח ובאיזה תדירות ועוד כהנה וכהנה.
עוד לפני הפרסומים האחרונים אודות וירוס הFlame המתוחכם, נחשפו קיומם של כלי ריגול אחרים, והמפורסם שבהם התגלה אף הוא במקרה, וזמן רב אחרי שכבר הספיק לבצע עבודה רבה עבור מפעיליו העלומים.
חוקרים במעבדת המחקר לקריפטוגרפיה ואבטחת מידע במכון הטכנולוגי של בודפשט שפשפו את עינהם בתדהמה, כאשר גילו בתום חודשים של מחקר מאומץ, את אופן הפעולה של אחת הרוגלות המתקדמות בעולם – הדוקו (Doqu).
מאמר זה נועד לשפוך אור על כמה מהמסקנות והתובנות ולנסות לשפוך ולו מעט אור על הרוגלה המסתורית שלפי מקורות זרים עשתה (ועדיין עושה) שמות במערכות גרעין ושיגור טילים ארוכי טווח באיראן (אבל לא רק…).
קוראיי הנאמנים (והספורים) יבחינו עת יקראו במאמר, שאני קופץ מנושא לנושא. מטכנולוגיה לטכנולוגיה. זה לא אני. זה הדוקו! מדובר בסבך של טריקים וטכנולוגיה שזורים זה בזה, ופועלים לפי תסריט מותח אשר משאיר את הצופה פעור פה. אוכל לסקור במאמר זה כמה מאבני הבניין, שניתן לדמותם למספר שחקני משנה בעלילה, ודי בהם כדי להצביע על מורכבות הפרוייקט, ומשניותם אינה מפחיתה את ייחודם ועצומתם, וכאן המקום לומר שכל שחקן משנה כזה, היה יכול להיות כוכב ראשי בעלילה אחרת. מדובר בכלי שלפי מיטב הבנתי, הפיתוח שלו הסתיים בשנת 2006, וניתן רק לנחש מתי החל…. ועכשיו לא נותר לי אלא לקפוץ הישר אל הקסם.
אם מאמר זה יתפרסם, אוכל להניח שהעורך פתח את מסמך ה-Word ששלחתי, ואני כמובן מעריך את האמון… וממתי מסמכי וורד מהווים סיכון?
בעבר הרחוק (לפני 15 שנה) הופיעו וירוסים תוך מסמכי וורד, תוך ניצול היכולת ליצור “מאקרו” ולשמור אותו כחלק מהמסמך. כך גם היה במקרה של הוירוס הראשון – “I love you”. מאז הוטמע מנגנון החוסם מאקרו כברירת מחדל. למעשה, מי שרוצה לשלב מאקרו לגיטימי במסמך, נתקל בקושי רב לעשות זאת. אלא שהפעם מדובר במנגנון מתוחכם בהרבה אשר מנצל פירצה במערכת ההפעלה. תודות לפירצה זו, נכנס מנגנון התקנה ייחודי לפעולה כאשר מסמך הוורד נפתח. מנגנון התקנה זה גובר על אחת ההגנות היעילות של גירסאות Windows החדשות (ויסטה ואילך). מנגנון הUser Access Control. מנגנון זה אינו מאפשר ביצוע אוטומטי של פעולות רבות, מבלי שמשתמש הקצה יאשר את הפעולה. החלון שקופץ כאשר מפעילים תוכנות רבות, או מפעילים תוכנות כלשהם במוד Administrator נועד להבטיח שמישהו שיושב מול המחשב אכן יאשר את הפעולה. מצד שני, פעולות אשר עלולות לחשוף את המחשב לסיכונים, מצריכות אישור כזה.
דרייברים הם רכיבי תוכנה אשר נועדו לספק תמיכה ותאימות לרכיבי חומרה ותוספים מסוגים אחרים למחשב. פיתוח דרייבר מצריך כלים ייחודיים אשר מאפשרים גישה לבסיס העמוק ביותר של מערכת ההפעלה, הKernel. הגרעין, אשר שליטה בו פירושה שליטה מלאה במחשב, שליטה חשאית ובלתי ניתנת כמעט לגילוי. על מנת להסביר מדוע נדרשת גישה מוחלטת ושקופה, ניקח מוצר תמים ובלתי מזיק. מדפסת או צג מחשב. כאשר אלה מחוברים למחשב, שורה של פעולות מתבצעות על מנת לאפשר שימוש בהתקן שהוכנס. משתמש הקצה לא היה רוצה להתחיל ללחוץ על כפתורים בכל עת שהוא מחבר את המדפסת או צג מחשב, ומכאן כל הפעולות מתבצעות ברקע. ישנם מנגנונים “גרעיניים” עוד יותר, כמו מנגנון המאפשר הצגת פונטים כאשר אלה כלולים בטקסט כזהט או אחר, ובמידה ופונט חסר, להוריד אותו או לקרוא אותו כאשר זה מוטמע במסמך. לכן ניתן לומר שדרייברים מאפשרים להינות משורה של תכונות ופוקציונליות, באופן שקוף שאינו דורש התערבות המשתמש, וכן באופן אוטומטי שאינו מצריך הפעלת כל דרייבר בכל פעם שמבצעים ריסט למחשב. אליה וקוץ בה, עוצמתם של הדרייברים פותחים פתח לפעולות פחות רצויות ויותר מסוכנות, וזה הבסיס (או אחד הבסיסים) לפעולת הדוקו. בשל עוצמתו של הדרייבר, נוקטת מערכת ההפעלה במשנה זהירות כשמדובר בהתקנת דרייבר חדש. דרייברים צריכים להיחתם על ידי רשות מוסמכת כגון CA או Symantec (אשר רכשו את Verisign), והתקנתו דורשת אישור משתמש מסוג Admin.
מפתחי הדוקו חיפשו דרך לאפשר התקנה של דרייבר מבלי לקבל את אישור משתמש הקצה. התקנה של דרייבר מבטיחה מקסימום שליטה על המחשב המנוטר, ועם זאת, קושי עצום לגלות את דבר קיומו של הדרייבר, או את ההפעלה האוטומטית שלו עם הדלקת המחשב. דרייברים, במיוחד אלה שמוגדרים כKernel, מופעלים אוטומטית מבלי שצריך להגדיר דבר מה בRegistry. למעשה, הסרה של דרייבר Kernel בדרך של מחיקה (לרבות מחיקה על ידי אנטי וירוס), תביא לשיתוק של המחשב ללא יכולת לתקן אותו (אלא אם מתקינים את Windows מחדש). על תופעה זו כתבתי את המאמר הבא.
כיצד הושחל מנגנון התקנה כה מתקדם למסמך וורד? התשובה היא בפונט. כאשר מסמך אופיס כולל פונט לא סטנדרטי (כזה שאינו חלק מובנה במערכת ההפעלה), ניתן לצרף אותו למסמך וכך יודעת מערכת ההפעלה לשלוף אותו ולהתקין אותו. הפורמט הנפוץ לפונטים הנו True Type. לWindow מנגנון מובנה לקריאת הגדרות הפונט ותרגומם בזמן ריצה לbitmap על מנת להציג את הפונט על המסך (ומנגנון נפרד להדפסתו באיכות גבוהה יותר בזמן ההדפסה). מפתחי הרוגלה עלו על פירצה במנגנון זה, אשר מאפשר להטמיע בקובץ הTrue Type אשר הסיומת שלו TTF, קוד זדוני בעל יכולות לבצע פעולות במחשב מעבר לייעוד המקורי והוא הצגת הטקסט בפונט הנבחר.
לקבצי הTTF ישנה הפריווילגיה לעבור חופשי מבלי להיחסם, שכן עד היום לא נחשבו איום. בניגוד לתוכנה כלשהי השמורה בפורמט הנפוץ EXE, אשר תיחסם אם תישלח במייל, ומשתמש הקצה יקפל אזהרות והתראות אם יפעיל תוכנה כלשהי אשר הורדה מהאינטרנט, הרי שמסמכי וורד וקבצי פונט לא נחסמים ולא מסוננים. כדי לדייק, הפירצה האמורה באה לידי ביטוי במסמך הוורד עצמו, בחלק המיועד להגדיר פונט לא מוכר למערכת, על מנת שזה ישולב במסמך גם אם נפתח אצל משתמשים שאין ברשותם פונט זה. לא ידוע על מקרים בהם הוטמע קוד זדוני בקובץ הפונט עצמו (TTF), אם כי אפשרות כזו קיימת ויש לנקוט משנה זהירות. ניתן לומר שאם אינך סטודיו לגראפיקה העוסק בשילוב פונטים ייחודיים בעבודה, ושלחו לך פונט במייל, אל תפתח…
הUAC אינו שם נרדף לאיחוד האמירויות אלא ראשי תיבות של User Access Control, שכאמור נועד להבטיח שפעולות מסויימות יוכלו להתבצע רק אם המשתמש במחשב מאשר אותן, מה שאמור למנוע ביצוע פעולות אלה ללא ידיעת המשתמש.
הרוגלה עצמה, מתוחכמת ביותר ומנגנון ההתקנה הוא רק פורץ הדרך אשר נותן לרוגלה דריסת רגל במחשב המותקף. מנגנון זה מתקין שורה של קבצים מסוג DLL, קבצי קונפיגורציה (הגדרות) וקבצי דרייבר אשר נחזים כאילו יוצרו על ידי חברת Intel על אף שאינם כאלה. למעשה, מתוך 13 קבצי דרייבר אשר נוטלים חלק בפעולת ה”דוקו”, רק 6 נבדקו על ידי מעבדות כאלה ואחרות, וה-7 האחרים חמקו ונעלמו.
לפי פירסומים זרים, נעשה שימוש ב”דוקו” באירן, ואגב, גם בסודאן. מדובר בכלי ממוקד אשר הוגדרו בו זמני הפעולה (כאשר מחוץ למסגרת הזמן שהוגדרה, הכלי מנוטרל) והיעד אשר היה במערכות ספציפיות הקשורות לתוכנית הגרעין של איראן.
למרות שחלק מהדרייברים והקבצים אשר נוטלים חלק במבצע מורכב זה נחשפו, הרי שבאופן מסתורי, מספר קבצים בעלי תפקיד מפתח, חמקו מכל חוקרי הוירוסים באשר הם. דוגמה לכך הנה הקובץ bpmsg.sys.
ה”דוקו” אינו וירוס, ואף אף לא רוגלה במובן הקלאסי של המילה, אלא פלטפורמה רחבה (סוג של מיני מערכת הפעלה) אשר ניתן להשתמש בה לכל מטרה ולכל ייעד, תוך קסטומיזציה מלאה של הדרישות והייעדים. ה”דוקו” מסוגל להתעדכן בכל עת. כל הפעולות המתבצעות על ידו, לרבות עדכון כזה, מתבצעות באופן חשאי לחלוטין ללא ידיעת המשתמש.
לפי מספר פירסומים, ביותר ממקרה אחד של התקפה על מערכות מחשב במתקני גרעין באיראן, המידע שנאסף נשלח לכתובת ה-IP הבאה: 63.87.255.149
בדיקת כתובת זו מגלה כי היא שייך לחברת Verizon בארה”ב.
http://www.ip-adress.com/ip_tracer/63.87.255.149
שרתים נוספים אליהם נשלח המידע נמצאים בויאטנם. מדובר בשרת Linux אשר מריץ CentOS 5.5. חוקרים במעבדת Kespersky אשר גילו שרת זה, לא הצליחו לאתר ולו קובץ אחד אשר אוכסן, ונראה היה שזמן מה לפני כן, בוצעה מחיקה מאסיבית של כל הקבצים (סימן לכך היה שהתיקיות עצמן, בהן נשמרו הקבצים, לא נמחקו, ואלה נשאו גם חתימת תאריך יצירה ותאריך שינוי אחרון). חוקרי מעבדת Kaspersky גילו שמפעילי ה”דוקו” הפעילו את השרת הויאטנמי דרך שרת אחר, בגרמניה, אשר אוכסן בחברת אחסון בולגרית.
בגדול, ניתן לומר שה”דוקו” הופעל ממספר כתובות באירופה (גרמניה, שוויץ, בריטניה), תוך גישה מרחוק לשרת הויאטנמי אשר שלט בייעדי ההתקנה באירן וסודן. לפי חתימות תאריכי קבצים ותיקיות בשרתים אלה, ניתן להעריך שמדובר במבצע רחב היקף אשר נכנס לשלב האופרטיבי שלו כבר בשנת 2009 (כלומר ה”דוקו” פותח עוד לפני 2009).
חלק מהשרתים הופעלו ללא ידיעת בעליהם, בדרך של פריצה. עדות לכך נמצאת למשל בקובץ לוג של אחד השרתים, ממנו עולה כי בתאריך 18.11.2009 ניסה גורם אלמוני בסינגפור לגלות את סיסמת הגישה בדרך של Brute Force עד שהצליח. שיטת הBrute Force מבוססת על ניסוי כל הקומבינציות האפשריות של כל צירוף של אותיות מספרים וסימנים מיוחדים עד לאיתור הסיסמה הנכונה. שיטה זו יעילה מאד לאיתור סיסמאות למסמכים (למשל מסמך וורד ממוצע המוגן בסיסמה יכול להפרץ בתוך מספר שעות ויש כלים כמו CrackPassword אשר נוסדו בשנת 1990 והכלים שלהם זולים ויעילים). עם זאת ככל שמדובר בשרת או אתר אינטרנט, לרובם יש מנגנון אשר חוסם כתובת IP ממנה מתבצע מספר רב של נסיונות להקליד סיסמה לא נכונה. ועם זאת, הפורצים מצאו את הדרך שלא להיחסם.
ב-20.10.2011 התקיים מבצע רחב היקף של טשטוש ומחיקת ראיות, או אז הושמדו רוב הקבצים אשר נטלו חלק בהחדרת ה”דוקו”. אמנם שירשור של שרתים במיקומים שונים, חוצי מדינות ויבשות, נראה כהופך את איתור מקור התוכנה לקשה יותר, אולם אם חושבים על כך, אין זה ממש משנה אם כדי להגיע אל המקור, צריך לעבור שני שרתים או 200 שרתים אלא שאלת המפתח היא האם ניתן להגיע בסופו של דבר למקור התוכנה. פעולת טשטוש ומחיקת הראיות, והעובדה שהקבצים החשובים באמת אשר נוטלים חלק בפעולתה המורכבת של התוכנה לא התגלו עד היום (על אף שיש עדות לעצם קיומם), מוכיחה שגוף ביון בעל יכולות עומד מאחורי התוכנה.
Michael Haephrati - Personal Blog 