על מזוודה שהלכה לאיבוד ועל Hacking של מערכות מענה קולי ומערכות מחשב

19 ביוני 2013

ביצוע Hacking של מערכות מחשב היא תורה בפני עצמה, וכדי להגן על המערכת שלך בפני פריצות, אתה צריך ללמוד את דרכי הפעולה של ההאקרים, להכיר את הכלים שבהם הם משתמשים, ולהבין את ה"ראש" שלהם. אני לא האקר, ותחום האבטחה אינו תחום ראשי שלי, אבל כמי שעוסק באיתור בעיות במערכות מורכבות, נושא האבטחה אינו זר לי. מה שמעניין, זה שהבנת ה"ראש" של ההאקר, יכולה לעזור במקומות לא צפויים, כמו למשל באיתור מזוודה שהלכה לאיבוד.

ורק להזכיר לכם שמי שרוצה ללמוד איך להגן על מערכת המיחשוב שלו בפני חדירות, המומחית העולמית מספר אחד בתחום החדירה למערכות מחשב תגיע לארצנו בסוף יולי, להעביר סדנה מיוחדת של שלושה ימים, שנועדה למנהלי תשתיות, מומחי אבטחה, מפתחים בכירים וכל מי שהנושא מעניין אותו. בסדנה הזו תסביר פאולה על הכלים שמשמשים את ההאקרים ופורצי המערכות, על תהליכי עבודה בתחום, ותסביר למשתתפים את ה"ראש" של פורץ המערכות, כאשר המטרה היא לתת למשתתפים כלים ויכולות שישמשו אותם כדי להגן על מערכות המיחשוב שלהם בפני חדירה. למי שרוצה להירשם, רצוי שיזדרז, כי לא נשארו עוד הרבה מקומות בכיתה.

אז בואו ונחזור למזוודה. כפי שכבר סיפרתי, בדרך ל TechEd 2013 בניו אורליאנס, המזוודה שלי הלכה לאיבוד. מסלול הטיסה שלי היה תל אביב, מדריד, מיאמי, ניו-אורליאנס. לפי הכללים בארה"ב, בתחנה הראשונה שאתה נוחת בארה"ב, אתה מחויב לאסוף את המזוודה שלך, בלי קשר ליעד הסופי, על מנת לעבור עם כל הכבודה שלך את המכס. אם יש לך טיסת המשך, אתה מחזיר את המזוודה למערכת, לאחר בדיקת המכס, להמשך הטיסות הפנימיות, בנקודת איסוף המיועדת למטרה זו. אספתי את המזוודה במיאמי, עברתי שם את המכס (גם במכס עצרו אותי לבדיקה מיוחדת, בעיקר בגלל שהייתי נורא לחוץ לגבי טיסת ההמשך שלי, ועוררתי חשד). בתום הבדיקה, הפקדתי מחדש את המזוודה להמשך הטיסות, וזו הייתה הפעם האחרונה שראיתי אותה באותו שבוע.

הגעתי לטיסת ההמשך בזמן. המטוס היה בתפוסה מלאה, ופקידת המשלוח ביקשה נוסעים מתנדבים, שיפקידו את מזוודת היד שלהם לבטן המטוס, ובכך יפנו מקום בתא הנוסעים. בתמורה הם יוכלו לעלות למטוס מיד אחרי נוסעי המחלקה הראשונה ומחלקת עסקים. חשבתי שזה רעיון טוב, אז הוצאתי ממזוודת היד שלי את הדרכון, הטאבלט והמצלמה, והפקדתי את מזוודת היד שלי בדלפק הכניסה למטוס. קיבלתי תג הפקדה על כרטיס הטיסה, נכנסתי בין הראשונים, התרווחתי, והתארגנתי, כשאני בשלב הזה עדיין שמח ומאושר, ולא יודע מה מצפה לי בהמשך.

כשהגענו לניו-אורליאנס ציפיתי למצוא את מזוודת היד שלי בכניסה למטוס מחכה לאיסוף, אבל הסתבר לי שלא הבנתי לעומק את מה שאמרה פקידת המשלוח, מסתבר, שמזוודת היד שלי, הוכנסה לבטן המטוס כמו כל שאר המזוודות, ואני אמור לקבל אותה בקרוסלה, יחד עם שאר המזוודות. למען האמת, אם הייתי יודע שזה מה שהולך לקרות, לא הייתי מפקיד את מזוודת היד שלי לחסדי הסבלים, ומסועי המזוודות המהירים והאלימים, כי היו שם כמה חלקי אלקטרוניקה רגישים, אבל היה כבר מאוחר מדי לשנות משהו, אז הלכתי לקרוסלה בלב חושש והמתנתי בסבלנות.

מזוודת היד שלי הגיע ראשונה, מיד פתחתי אותה ובדקתי שלא נגרם נזק למחשבים ולשאר הציוד, ולשמחתי, הכל נראה שלם ומתפקד. אבל המזוודה הראשית שלי בוששה לבוא. חיכיתי, חיכיתי, בכיתי, בכיתי, ומי לא באה, המזוודה. אז לאחר שהקרוסלה התרוקנה והתחילו לכבות את האורות במסוף (לפי השיר הידוע כבר אחרי חצות) מצאתי את עצמי עומד בתור של דוכן האבדות והמציאות, ומחכה בסבלנות, שזוג תיירים, שהיה מספיק אידיוט כדי לשלוח בתא המטען של המטוס, קופסת קרטון, מלאה בבקבוקי ויסקי, ובא להתלונן למה הם נשברו לו, יבין סוף סוף שהם לא יקבלו פיצוי על הנזק הזה, בגלל שמי האידיוט ששולח קרטון מלא בבקבוקי זכוכית, להובלה בתא המטען של המטוס עם כל הסבלים והמסועים שבדרך (ואומר את זה כמובן אידיוט, ששלח את המחשב שלו, ועוד קצת ציוד אלקטרוני, לבטן המטוס, ורק במזל יצא מזה ללא נזקים).

כאשר הפקיד הבודד שהיה שם, התפנה סוף סוף לטפל בי, הוא רשם בסבלנות רבה את כל הפרטים, הסתכל על התג שהודבק על הכרטיס, ובדק את התג במערכת המחשב, ואמר שזה מאד מעניין, כי אין שום איזכור במערכת לגבי המזוודה הזו. זה היה צריך להדליק לי נורה אדומה כבר אז, אבל כל מה שאני יכול לומר להגנתי, זה שהייתי עייף ומותש, לאחר 28 שעות בדרכים. אז קיבלתי מספר קוד של טופס אבדן המזוודה, לקחתי מונית, ונסעתי למלון.

סתם סטטיסטיקה, הרבה מזוודות מתעכבות בין הטיסות, והן מגיעות בדרך כלל ליעדם בטיסה הבאה, חברת התעופה משגרת אותן על חשבונה למלון שלך, כך שהנזק מתוקן תוך 24 שעות. זו הסיבה שאני מקפיד תמיד לשים בתיק היד שלי, סט אחד ספאר של בגדים תחתונים, גרביים וכו'. זה הציל אותי כבר יותר מפעם אחת.

ל American Airlines יש אתר אינטרנט די טוב. הלכתי לאתר כמה פעמים ביום בימים הבאים, וכל פעם כשהכנסתי את הקוד שקיבלתי בטופס האבדן, קיבלתי את ההודעה הלאקונית, שהמזוודה לא נמצאה עדיין. לאחר יומיים, קפץ לי האסימון, בדקתי את הטופס אבדן שמילא הפקיד, וגיליתי שהאידיוט רשם שם את התג של מזוודת היד, במקום את התג של המזוודה הרגילה. הוא פשוט לקח את המדבקה הלא נכונה, מבין שתי המדבקות שהיו על הכרטיס. זה כמובן הסביר היטב, מדוע הוא לא מצא כל איזכור של המזוודה שלי במערכת, כי הרי את מזוודת היד, הפקדתי ידנית בדלפק של הכניסה למטוס במיאמי, והיא לא עברה דרך מערכת המזוודות הרגילה. יופי, מצאתי Bug במערכת, עכשיו מה עושים עם זה. כמובן שהתשובה הפשוטה היא להתקשר ל AA ולדווח על הטעות, לתת את הקוד הנכון של המזוודה, ובא לציון גואל. אבל החיים לא כל כך פשוטים.

כאשר התקשרתי לקו הטלפון של אבדן המזוודות, כדי לדווח על הטעות, גיליתי שאני מדבר עם מענה ממוחשב. ולא סתם מענה ממוחשב, אלא כזה שקבל ממך תשובות באנגלית במקום בהקשה על כפתורי החייגן. מבחינה טכנולוגית, זה היה מענה קולי ממוחשב מאד חכם. תוך כמה שאלות פשוטות, אותם עניתי באנגלית, אותרתי במערכת, וקיבלתי את התשובה, שהמזוודה עדיין לא נמצאה, ושאני מוזמן לבדוק את הסטטוס שלה באתר האינטרנט. באתר האינטרנט, אמרו לי שהמזוודה לא נמצאה, ואם אני רוצה לצלצל לקו הבירורים, אני מוזמן. בקו הבירורים ענה לי הרובוט, וסיפר לי שהמזוודה לא נמצאה, ושאני יכול ללכת לאתר. בקיצור Infnit Loop. יופי עוד Bug.

כדי שהסיפור יהיה עליז יותר, היה כתוב במפורש באתר, שאם אף אחד לא דורש את המזוודה תוך ארבעה ימים, היא הופכת לרכוש ציבורי, ונמכרת במכירה פומבית, ולהזכירכם, כבר עברו יומיים, והמזוודה שנאבדה לא מופיעה בכלל במערכת כמזוודה אבודה, כי הבחור שרשם את טופס האבדן, רשם את קוד המזוודה הלא נכון. מה שאומר שלפי הכללים היא מזוודה נטושה, כלומר אני במרחק של יום, לפני שהמזוודה שלי תיפתח ותפורק ותימכר למשחטה של מזוודות משומשות. וכל מה שאני צריך כדי למנוע את זה, זה לדבר עם בן אדם, שיפתור את הבעיה בכמה שניות, במקום זה אני תקוע עם רובוט, שאין שום דרך להסביר לו מה קרה.

כמובן שהייתה לי אפשרות לעזוב הכל ולנסוע לשדה התעופה, ולהגיש מחדש את התלונה. אבל אז אני אאבד חצי יום מהכנס. וזו לא אופציה קבילה. אז התקשרתי עוד פעם לרובוט, והפעם המטרה שלי הייתה לא ללכת לפי הכללים, אלא לשבור אותו, ולהכריח אותו להעביר אותי למענה אנושי. ביצעתי חיפוש רקורסיבי, תוך טיול בכל עצי התפריט הממוחשב, עד שבעלה של אחד הענפים, אמר לי האוטומט, שאם אני רוצה לדבר עם Agent, אני צריך לומר את המילה Agent. אאוריקה. מאחר והייתי בענף לא מתאים בתפריט, ניתקתי וחייגתי שוב, ועל התחלת השיחה, עוד לפני שהאוטומט הספיק לפתוח את הפה, אמרתי בקול תקיף וברור Agent. הרובוט, עם טון קל של פניקה, ניסה לשכנע אותי שלא צריך Agent, ושהוא יכול לשרת אותי באמונה, אבל אני הייתי חסר רחמים, ושיסעתי אותו שוב, עם המילה Agent, ואז הרובוט, בטון נעלב משהו, אמר שהוא יעביר אותי ל Agent, ותוך פחות משלושים שניות דיברתי עם בן אדם (בת אדם במקרה הזה). תוך עוד שלושים שניות הסברתי לה מה קרה, והיא תיקנה על טופס האבדן את קוד המזוודה, וואללה, המזוודה אותרה. מסתבר שהיא הייתה כבר בניו אורליאנס בבוקר שלמחרת, אבל מאחר ואף אחד לא דיווח שהיא נאבדה, היא פשוט המתינה במחסן האבדות והמציאות, מיותמת ונעלבת, עד שמישהו יגלה בה עניין. קיבלתי הבטחה שהמזוודה תהיה במלון תוך 6 שעות (לקח קצת יותר אבל זה כבר סיפור אחר), והמשכתי בענייני בכנס כשאני שמח וטוב לב.

כל אמריקאי שסיפרתי לו בכנס, שכל מה שצריך כדי לקבל מענה אנושי ב AA, זה לומר את המילה Agent פעמיים על התחלת השיחה, התלהב באופן הקרוב להיסטריה, ונשפך עלי כאילו הצלתי את חייו. מסתבר שמצאתי פתרון לבעיה, שהרבה אמריקאים סובלים ממנה. הצלחתי לפרוץ את המענה הממוחשב של AA.

כמה תובנות לגבי המערכת הממוחשבת של AA, וזה נכון גם להרבה מערכות מענה ממוחשב אחרות. המערכת של AA היא באמת פלא טכנולוגי, היכולת שלה לזהות שפה מדוברת, מדהימה, המבטא שלי אינו אמריקאי, ולמרות זאת המערכת הבינה את התשובות, שלי ועבדה היטב. אבל מה זה עוזר אם הטכנולוגיה מהממת, אבל בפרספקטיבה של המשתמש, המערכת דפוקה, כי היא לא נותנת לו את השרות שהוא מצפה לקבל ?

לחברות המפעילות מענה ממוחשב, יש אינטרס לא לאפשר לך לדבר עם בן אדם, כי מענה אנושי עולה כסף, דורש פיצויים, ויש לו וועד עובדים. אתר ומענה ממוחשב עולים בסופו של דבר הרבה פחות. ככל שהצרכנים משתמשים ביותר משאבים אוטומטיים, ככה אפשר להשתמש בפחות סוכנים אנושיים, והעלויות יורדות משמעותית. דרך אגב, תוצר לואי זה שאחוז האבטלה גדל, אבל זה לא קשור לנושא.

ברור לכל החברות שמשתמשות במענה ממוחשב, שאם בתפריט הראשון תהיה אפשרות לבקש מענה אנושי, כולם יממשו את האופציה הזו מיד, כי מענה אנושי יותר אישי חם ונעים, מאשר מענה ממוחשב. לכן היכולת להגיע למענה אנושי, מוצנעת בדרך כלל באחד מתת התפריטים. זה שירות גרוע ללקוח, אבל חסכון כספי למערכת. ובינתיים אפשר לדחוף ללקוח פרסומת כי זה קהל שבוי.

מצד שני כאשר יש לך בעיה חריגה, אתה חייב מענה אנושי, וכל התהליך שחוסם לך את האפשרות הזו, גורם לך, כלקוח, לשנוא את העסק. אז כעסק, הרווחת עלויות כוח אדם כי הכל אוטומטי, אבל מצד שני, הפסדת לקוחות, כי אתה לא נותן שרות. השם הרע של AA בארה"ב, נובע בין השאר ממענה ממוחשב סופר מתוחכם, שזה שכתב לו את התפריטים, טעה בשלב הבנת הבעיה, וכתוצאה מזה הארכיטקטורה והמוצר יצאו דפוקים, למרות שהטכנולוגיה מהפכנית. ואם זה נשמע לכם מוכר, מפרויקטים שהייתם (או אתם עדיין) מעורבים בהם, זה לא במקרה. כבר אמרו חזלינו ז"ל, אין חדש תחת השמש.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *