חבר שאל אותי אתמול על כלי שמאפשר למצוא מספר אתרים השייכים לאותם בעלים.

בעבר מצאתי תוכנה חביבה שהיתה עושה את זה לא רע אבל התחלתי לחשוב איך אפשר לזהות את העניין.

הברור מאליו – רישום של שם הדומיין. הבעיה היא שיש הרבה אנשים שרושמים את הדומיין ללא זיהוי או בלי זיהוי אמיתי.

דרכים נוספות:

כל תוסף סטטיסטיקות או פרסומות והרבה תוספים אחרים מגיעים עם זיהוי ייחודי של בעל האתר. אחת הבעיות עם תוספים כמו אדסנס ואנאליטיקס הם שזיהוי המשתמש ייחודי לבעל האתר ולא לאתר עצמו.

כיוון שבכל האתרים יש את אותו משתמש (רוב האנשים לא טורחים לייצר לעצמם כמה חשבונות אנאליטיקס ואדסנס) ניתן לזהות כך כמה אתרים מפעיל אותו אדם.

דרך נוספת היא לבדוק כמה אתרים שיושבים על אותו IP (כמובן שזה ממש לא מדוייק. יכול להיות שזה שרת HOSTING ואז האתרים לא קשורים זה לזה).

ישנו אתר חביב שעושה את העניין פשוט: http://spyonweb.com.

אם תבדקו את האתר שלי שם תוכלו לראות עוד כמה וכמה אתרים שהייתי מעורב בהם בצורה כלשהי: http://spyonweb.com/guym.co.il.

נסו לבדוק אתרים אחרים שאתם מכירים. הרבה פעמים תופתעו מהתוצאות.

גילוי נאות: הפוסט הזה הוא נגזרת של הרצאות שאני מעביר לגופים שונים. אם התחום רלוונטי לגוף בו אתם עוסקים, ניתן להזמין הרצאה כזו (הרצאה של כשעתיים עם הדגמות) או סדרת הרצאות בנושא.

בחודשים האחרונים אני רואה יותר ויותר שינויים בעולם של פושעי הרשת ולכן עידכנתי את ההרצאה שלי והחלטתי לכתוב גם כאן על זה ממש בקצרה.

הקדמה (או דעה לא מחייבת):

בהתחלה האקרים היו שובבים.

המעשים שעשו נחשבו "מעשי שובבות" כשהדבר העיקרי שהניע את אותם חבר'ה היה הדחף לדעת, ללמוד, לפתור בעיות. אם אותם חבר'ה ניצלו את הידע שלהם כדי להתריע על בעיות ולעזור לפתור אותן, יחד איתם התפתחו פושעי רשת. תקראו להם פושעים, פושעי רשת, קראקרים או BlackHats, בסופו של דבר הם פושעים.

בימים הראשונים של הרשת BlackHats עשו דברים בעיקר בשביל עצמם כשהמוטיבציה היתה גניבת חשבונות, כסף וכ"ו. הבעיה היתה שאותם חבר'ה לא היו מעורים בעולם הפשע האמיתי. הם צמחו בעקבות ההזדמנות לפשוע ברשת ולהיות עבריינים אנונימיים וניסו להבין איך אפשר לעשות מזה כסף.

אז איך הם הרוויחו? סחר במידע, משלוח SPAM, סחיטה ע"י גניבת חשבונות והחזרתם תמורת כסף, סחיטה ע"י התקפות Denial Of Service ובעוד דרכים רבות. מה שמשותף לכל זה הוא אי הארגון.

הקראקרים האלה פעלו בעצמם ולעצמם. הבעיה העיקרית שלהם היתה איך להמיר את הכסף הוירטואלי והאלקטרוני לכסף אמיתי בלי להתפס והם השתמשו במגוון שיטות שלא אפרט לעומק (כי רובן עובדות גם היום).

חלק מהשיטות:

העברת כספים למדינות שאין בינהן קשרים דיפלומטיים ושיתוף פעולה עם גורם באותן מדינות.

שיתוף פעולה עם "מלביני כספים".

הפעלת Mules – פושעים שמתמחים בהוצאת הכסף הוירטואלי והמרה לכסף אמיתי בניקוי ה"קופון" שלהם.

מפושע לפשע מאורגן

המפנה האמיתי חל כשעולם הפשע המאורגן הבין שיש באינטרנט פוטנציאל.

הכלים של פושעי הרשת התקדמו, הסוסים הטרויאנים נכתבים בצורה טובה יותר, יש שווקים בהם ניתן לרכוש שירותים משלימים.

יש כלים מוכנים שניתן להשתמש בהם:

1. סוסים טרויאנים – יש לא מעט מקומות בהם ניתן לרכוש סוסים טרויאנים. המוכר נותן על הסוס "אחריות" כנגד גילוי של אנטיוירוסים לפרק זמן מסויים.

2. התקנה – יש שווקים בהם ניתן לרכוש ולמכור "התקנות" אוטומטיות של סוסים. אתרים אלה מרכזים קראקרים שמצליחים לפרוץ לאתרי אינטרנט וכן אנשים שכותבים אקספלוייטים לחולשות ברכיבים שבאמצעותם ניתן להתקין את הסוסים.

3. שירות – ישנם נותני שירותים שיכולים להציע לפושע הרשת הטירון התקנה של שרתי Command and Control, התקנת אקספלוייטים, הגדרות וכ"ו. כל מה שנשאר לפושע לעשות זה למקם iframe בתוך דפי ההדבקה שלו. הדפים יכולים להיות פרצות באתרים ידועים או Land Pages של חיפושים טובים או SPAM שמכיל קישור לאתר הדבקה.

4. חבילות מוכנות – ניתן בכל זמן נתון לרכוש חבילות של מליוני כתובות דואר אלק', חבילות של אלפי כתובות GMAIL, חבילות של כרטיסי אשראי גנובים, כבר הזכרתי סוסים טרויאנים, אספלוייטים וכל דבר אחר שיעזור לכם בהקמת רשת ההדבקה שלכם.

רוב האתרים והשירותים מנוהלים ע"י "מומחים" מטעם גופי הפשע המאורגן. פושעי הסייבר עובדים במודע או שלא במודע בשביל פושעים מהעולם האמיתי, הלא מקוון.

השינוי האמיתי הוא "מפעל הפשע" המקוון. הדברים נהיו קלים יותר ללימוד, קלים יותר לביצוע, קלים יותר למסחר.

התוצאה: קל יותר להיות פושע רשת.

אני אסביר ואתחיל דווקא מהסוף.

תארו לכם מצב בו ה-geek שרוצה להרוויח מחליט לבצע פשע. אם בסוף הוא צריך ללכת ולהסתכן ולאסוף בעצמו את הכסף מדובר במשהו מאוד מרתיע. גם אם יש מישהו שעושה את הדבר בשבילו הוא עדיין צריך להתנהל מולו והגיק החנון שלנו לא רוצה את זה. הוא לא רוצה להסתכן בשום צורה.

נחזור קצת אחורה. איך ילמד הגיק שלנו לכתוב סוסים טרויאנים? להשוות אותם מול חתימות אנטיוירוסים? להבין מה זה רוטקיט ולמה צריך אותו? הוא יכול לשבת וללמוד שנים או לקבל דוגמאות מוכנות כמו שזה קורה היום וללמוד מהן.

ואם הוא לא ממש רוצה לבצע פשעים ועדיין צריך כסף? הוא יכול לתת שירותים לפושעים. לכתוב טרויאנים או חבילות אקספלוייטים וכ"ו ולקבל עליהן את התמורה.

לאן הולך הפשע המקוון?

אנו רואים כבר היום שעולם הפשע הקיברנטי משתנה.

צומחים יותר ויותר מומחים שמתמחים בנושאים ספציפיים במקום האקרים "יודעי הכל". אם עד היום אנחנו מגדירים האקרים טובים ככאלה שמסוגלים לעשות בערך הכל, שוק הפשע המסחרי נוטה לכיוון אחר.

מומחים בתחומים שונים הופכים להיות רלוונטיים יותר מ"יודעי כל" כיוון שהם זולים יותר ומקצועיים יותר בתחום העיסוק שלהם.

תחומי ההתמחות: Web Applications, Social Engineering, Software Cracking and Reversing, Trojan Writing, Exploit Packs – אלה הם עיקרי התחומים בהם יעסוק פושע סייבר טכנולוג.

לצידם של המומחים האלה ישנם: מומחי ריגול ולוחמת רשת, מומחי כתיבת תסריטי התרחשות, אנאליסטים.

תחומי התמחות נוספים קיימים ללא טכנולוגים: הלבנת כספים, גניבות זהות, חיבור לפשע המאורגן הלא מקוון, ליווי מקוון לפשעים רגילים.

כל המומחים האלה יוצרים יחד את העובדה הפשוטה: הפשע בסייבר מתחזק.

הסוסים הטרויאנים הולכים ונהיים חכמים יותר, חבילות האקספלוייטים נהיות איכותיות יותר, קל יותר לקבל כסף על העבודה ויש הרבה פחות סכנה לבצע פשעי רשת.

בקיצור – משתלם היום להיות פושע סייבר פשוט כי קל ללמוד את זה ואתה מסתכן פחות מאשר בעבר.

לפני כמה ימים יניב פלדמן מ-NewsGeek שלח לי את הכתבה הזו: http://keyboardcowboy.ca/2010/04/whos-letting-me-become-ssladmin.

הפוסט הזה מדבר על העובדה שניתן לייצר לעצמכם SSL Certificate אם יש לכם את שם התיבה המתאים בקלות.

הסבר:

חלק נכבד מספקי הסרטיפיקטים מאפשרים לכם לייצר סרטיפיקט בקלות אם יש לכם תיבת דואר אסטרטגית בארגון.

מה זו תיבה אסטרטגית? טוב ששאלתם.

יש את הברורות: admin, administrator, root וכ"ו. תיבה נוספת וקצת פחות נפוצה היא ssladmin וגם ssladministrator.

אז מה עשיתי?

הלכתי אל Rapidssl ובדקתי אילו שמות הוא מחשיב כשמות "בטוחים" להם אפשר לספק Certificate בלי בדיקות מיוחדות.

התוצאה היתה מפתיעה:

admin@, administrator@, hostmaster@, info@, is@, it@, mis@, postmaster@, root@, ssladmin@, ssladministrator@, sslwebmaster@, sysadmin@, webmaster@some_domain_name

בעוד חלק נראה ברור שיהיו תיבות של מנהלים, חלק מהתיבות האלו בכלל לא בטוח שמישהו שם אליהן לב או מגדיר אותן כבעייתיות.

מה תוכלו לעשות עם Certificates בשליטתכם? התקפות MITM על התיבות שלהם כשהכל קורה ב-SSL נעול ויציב. התחזות. תהיו יצירתיים.

אז מה עושה בלוגר שרוצה לבדוק מה קורה עם הדברים האלה בארץ? נכון. הלכתי לפתוח לעצמי תיבות מייל בכמה שירותים.

חלק יצאו טובים וחלק בעייתיים.

Walla:

הצלחתי לפתוח ללא בעיה תיבה בשם ssladministrator וגם לשלוח אליה וממנה מייל בלי שום בעיה.

YNET:

תיבות פנויות:

ועוד:

מה שמוזר בעניין הוא שלא הצלחתי לקבל לתיבה הזו דואר אבל כן הצלחתי לשלוח ממנה דואר בלי בעיה. אולי קבלת הדואר לכתובת הזו היתה בעייתית ואולי השירות לא ממש מהיר..

בקיצור, אם הייתי רוצה לנצל את העניין הייתי צריך כנראה לבקש שאת ההתכתבויות הבאות לאחר הפניה לפתיחת לקוח נמשיך במייל הרגיל שלי בחברה (הייתי פותח שם תיבת דואר נוספת).

בקיצור, שני האתרים האלה ואני מניח שרבים אחרים פגיעים בצורה כזו או אחרת לעניין.

ברגעים בהם שלחתי את הפוסט, שלחתי לינק אל abuse@walla.co.il, abuse@ynet.co.il. ב-WALLA לא קיימת כתובת כזו. מעניין לאן אפשר לשלוח

עדכון:

בתחילה כתבתי גם על תפוז אך קיבלתי הרגע מייל מהם (השם של השולח שמור במערכת).

מתברר שהתיבות אצלהן אינן תיבות דואר חיצוני ולכן אין כאן משמעות לשם שנפתח וברור שאין פגיעות.

ניתן לשלוח שם הודעות פנימיות בלבד ולא חיצוניות.

סתם כי מישהו שאל בפורומים:

telnet mailserver.domain 110

אחרי שהוא ענה:

user yourusername

קיבלנו חזרה OK.

pass yourpassword

אם הסיסמה נכונה – נקבל OK ואת כמות ההודעות בתיבה.

list

יראה לנו את רשימת המיילים.

retr יאפשר לנו למשוך ולקרוא את הההודעות.

אחד הפוסטים הנקראים ביותר שלי הוא "ביקורת על מודם סלולרי של אורנג'" שאם תחפשו בסרגל מימין תוכלו למצוא אותו.

כתבתי שם לפני לא מעט זמן על המודם הסלולרי של אורנג' ששימש אותי נאמנה זמן רב.

הסיבה שאני כותב היום מחולקת לשתיים:

1. עבר המון זמן.

2. יש לי מה להוסיף

אז כפי שאתם זוכרים, הייתי מאוד מרוצה מהמודם, מהתוכנה ובכלל – החבילה היתה נהדרת בהתחשב במחיר ששילמתי עליה ובביצועים שלה אז.

היום החבילות עצמן זולות בהרבה – חבילת הגלישה ללא הגבלה עולה היום כ-130 ש"ח בסלקום ופלאפון ואני מניח שגם אורנג' מתמחרים את העניין בצורה דומה.

מצד שני – היום יש חסרון לכרטיס PCMCIA. לא כל מחשב נייד מצוייד בחריץ הרחבה שכזה. בייחוד מדובר במחשבים האולטרא ניידים שמצויידים בהמון דברים אבל לא בחריץ הרחבה שכזה.

לא מזמן כתבתי על האייפון והיכולת להשתמש ב"אייפון כמודם סלולרי".

רק כדי להשוות, לקחתי את אשתי, המחשב הנייד, המודם הסלולרי והאייפון ונסעתי לחופש של כמה ימים. (טוב, זה לא רק בשביל להשוות אבל תודו שזה היה מאוד דרמטי להצהיר ככה ).

אחרי יום בערך של שימוש, יש לי בהחלט מה להגיד.

קודם כל, המודם הסלולרי מאוד נוח. PLUG AND PLAY, לא צריך להתעסק בכלום (בהנחה וכבר התקנתם את הדרייבר) ופשוט לפתוח ולהפעיל.

האייפון לעומתו מצריך התעסקות. צריך בכל פעם להגדיר רשת AD HOC בינו לבין המחשב הנייד ולא תמיד זה הולך טוב על הפעם הראשונה גם למקצוענים ביננו (למרות שאני חייב להודות שעם האימונים – אתם תהיו מומחים בהגדרות של כל דבר ברשת מסוג זה).

מה שמפתיע זה הביצועים.

האייפון נותן מהירות הורדה של 1.2Mbps ומהירות העלאה של 256Kbps וזה לא רע בכלל.החיבור הוא דרך רשת סלקום ויש כאן כיסוי דור 3 בלי שום בעיה.

הכרטיס של אורנג' מגמגם.

הכרטיס מדווח על חיבור של 1.8M ופתאום יורד ל-384K וזה מאוד מורגש שהחיבור לא 100% יציב.

בדיקת המהירות נותנת תוצאה של 360Kbps בהורדה ו-105Kbps בהעלאת נתונים וזה בהחלט לא משהו שאפשר להתגאות בו היום.

אני מדגיש שהבעיה היא לא בכרטיס עצמו אלא בהבדל הכיסוי בין אורנג' לסלקום פה (כש: פה=קיסריה).

אם הייתי יכול לחבר את ה-SIM של סלקום לכרטיס, אני מניח שהתוצאות היו שקולות.

אז מה עושים? איך יודעים מה לבחור?

יש דרך לבדוק מראש מה הכיסוי בכל מקום בו אתם נמצאים?

שאלות מעניינות אבל אין לי פתרון אמיתי..

זה נוח כשיש לכם את האפשרות לקחת את שניהם

איפה יהיה טוב יותר להתקיף מהיכן שכל האנשים בוטחים אחד בשני?
מישהו אחד או קבוצה של האקרים שעקבותיהם מובילים לטורקיה (שממש עלתה כמקור לפשעים אלקטרוניים בשנים אחרונות) ולאירוח של אתרים בסין או אפילו מצביעים על עזרתם של האקרים סיניים מפיצים וירוסים דרך פורומים של הורדות ע"י הפצת קבצים והתקנות נגועים בפורומים של vBulletin.

ככל הנראה יש לחבר'ה האלה בוט הרשמה ל vBulletin בגרסאות 3.7.xx (אולי לעוד גרסאות/כל הגרסאות) ששובר את ה Captcha והם משתמשים בו להפיץ כל מיני סוגים של "תוכנה זדוניות" (בואו נסכם את המונח הבאזזי "תוכנה זדונית" כסוג מסויים של וירוס)

מצאתי את זה לראשונה כשבחנתי התקנה של Kaspersky 2009 ב:

http://www.httpshare.net/%E4%E5%F8%E3%E5%FA-%FA%E5%EB%F0%E5%FA-%7C-software-download/427522-kaspersky-antivirus-2009-full-34-p-ece-test-key-no-problem.html

שם המשתמש שמפיץ את ההודעות הנגועות הוא "hakan_72_123" ועם חיפוש פשוט בגוגל אפשר לראות

http://www.google.com/search?hl=en&client=firefox-a&rls=org.mozilla%3Ahe%3Aofficial&hs=sgc&q=hakan_72_123&btnG=Search

ש Hakan לא ממש מתבייש להשתמש בבוט עם אותו שם המשתמש לכל הפורומים (מה שלדעתי מחדד את זה שמדובר בבוט והוא לא טרח להוסיף Random לשם המשתמש)
לכו תדעו אולי הוא הדביק את אלפי הפורומים האלה ידנית?!
בכל מקרה הוא חבר ב www.vbhackers.com/members/hakan_72_123 מה שמסביר הרבה
(או שבעצם פדיחות ל vBulletin Hackers שהבוט שלו הוסיף את עצמו גם לפורום שלהם אוטומטית

אז מה הוא עשה? הוא השקיע את הזמן להעלות את Kaspersky 2009 ל

http://rapidshare.com/files/115362254/Kaspersky_2009_Full_Sueruem_by_hakan.rar

* חשוב לציין שמי שמפיץ וירוס ע"י הדבקה של קובץ ההתקנה של האנטיוירוס כנראה יודע שאנטיוירוס הזה לא מזהה אותו או מפריע לו לשדר החוצה את מה שהוא רוצה *
כנראה שיש לו מערכת אוטומטית שמעלה קבצים ל RapidShare, מחפשת פורומים של vBulletin בגוגל, נרשמת אליהם אוטומטית (שוברת Catpcha), גולשת ללינק של ההתקנה (אני משער חשבונות mailinator), עושה לוגין ושולחת את הפוסט עם הלינק לקבצים הנגועים. זה יסביר את המספר העצום של תוכנות נגועות שונות שהמשתמש הזה משתף בפורומים באינטרנט.

עברו 4 חודשים מאז שמצאתי את זה ומסתבר שהחבר'ה הרחיבו את העסק גם לטורנטים! אותו הRAR עם הוירוס בדיוק נמצא תחת הקובץ המשותף:
"Kaspersky Antivirus 2009 Full + Key [App][www.zonatorrent.com]"

http://isohunt.com/download/44622492/kaspersky.torrent

הם צדקו בדבר אחד בכותרת של ההורדה, ZONA של TORRENT

בתור ה RAR יש קובץ טקסט הם הטקסט הבא:

1- program demo deðil full sürümdür.

2- key girmek için þu sýrayý takip et
license-merge-activate using key-brovse= buradan keyleri
çýkarttýðýn klasörü seçip listenin en altýndakin üzerine çýft týklayýp
keyi gir.

HAZIRLAYAN: Hakan

www.avrasyaforum.net

מה שהם עשו זה במקום שתקבל את קובץ ההתקנה הרגיל שהוא קובץ msi, הם שמו קובץ פתיחה עצמית של WinRar(sfx) עם סמל ברירת המחדל של
קבצי msi בוינדווס. הם ערכו את הקובץ כך שתוספות של Winrar ל explorer (shell extensions) לא יזהו שזה ארכיון Winrar
בתפריט הקופץ כשלוחצים על הקובץ בכפתור הימני של העכבר. כשמריצים את הקובץ הוא מוריד ומריץ קובץ שנקרא svchost.exe לתיקיה "%ProgramFiles%\Outlook Express\" שזה כתובת מקורית יחסית לזרוק אליה "מורידן" (תוכנה שמורידה טרויאני, Trojan Downloader), שינוי מרענן!

הוא מריץ את svchost.exe (שמכווץ עם ה Packer בשם MiniPE) שמריץ את הטרויאני שהורד ל %temp%\wmoptimizer.dll בעזרת rundll32.exe:

rundll32.exe "%temp%\wmoptimizer.dll", RunSetup_Install

svchost.exe משתמש בפונקציות הקלאסיות URLDownloadToFileW וב ShellExecuteW כדי להוריד ולהריץ את הקובץ:

http://loansquotesinsurance.com/f/Resident.bin

שכרגע הוא למטה, אבל זה רק שאומר שהוא החליף דומיין, כמו שהאנשים כמותו עושים כל 5 ימים בערך.

These is the whois information for http://loansquotesinsurance.com:

Registration Service Provided By: Chinese DQ Network Tech Corp.
Contact: xixipai@hotmail.com

Domain name: loansquotesinsurance.com

Registrant Contact:
Shawn Lee
Shawn Lee

B-902,Zhongxing Huayuan,No.1102,Zhongshan Dadao,Tianhe Distr
Guang Zhou, Guangdong 510660
CN

Administrative Contact:
Shawn Lee
Shawn Lee (webmasters@loansquotesinsurance.com)
+86.02033875805
Fax: +86.02033875805
B-902,Zhongxing Huayuan,No.1102,Zhongshan Dadao,Tianhe Distr
Guang Zhou, Guangdong 510660
CN

Technical Contact:
Shawn Lee
Shawn Lee (webmasters@loansquotesinsurance.com)
+86.02033875805
Fax: +86.02033875805
B-902,Zhongxing Huayuan,No.1102,Zhongshan Dadao,Tianhe Distr
Guang Zhou, Guangdong 510660
CN

The email xixipai@hotmail.com also registers "http://3290.com"

Registration Service Provided By: Chinese DQ Network Tech Corp.
Contact: xixipai@hotmail.com

Domain name: 3290.com

Administrative Contact:
Chinese DQ Network Tech Corp.
Ren XiaoFeng (xixipai@hotmail.com)
+1.05306260800
Fax: +299.05306260803
ZhongHuaDonglu 1038hao
HeZe, 274000
CN

Technical Contact:
Chinese DQ Network Tech Corp.
Ren XiaoFeng (xixipai@hotmail.com)
+1.05306260800
Fax: +299.05306260803
ZhongHuaDonglu 1038hao
HeZe, 274000
CN

Registrant Contact:
Chinese DQ Network Tech Corp.
Ren XiaoFeng

ZhongHuaDonglu 1038hao
HeZe, 274000
CN

טוב זה החלק שבו אני יכול רק להגיד, אם אתה קורא את זה ובאיזושהיא דרך אתה קשור למשטרה או אכיפת חוק באינטרנט, תעשה משהו!!!!!!!!!!!!!!!
לי אישית מאוד לא יפריע אם יפרצו לו למייל, יספימו אותו, יפרצו לו לאחד האתרים האחרים שהוא רשם עם המייל הזה

אני כותב את הפוסט הזה בעקבות תגובה על הפוסט בנוגע לבעיות אבטחה ב-iPhone שאביב כתב עליהן.

בעקרון, אביב מספר על שתי בעיות אבטחה:

1. בעיה בתוכנת המייל שמאפשרת לבצע התקפת פישנג חביבה

2. בעיה בתוכנת המייל שמאפשרת לוודא שמייל נקרא ע"י המקבל

אחד המגיבים (Leland Scott) מכריז שם ש-Phishing (וגם SPAM) הן לא בעיות אבטחה.

הוא כותב:

"Phishing is annoying and potentially dangerous to the individual who falls for the scam, but networks and personal computers are not at risk here, as they are with viruses, worms, and adware/malware."

אני חושב שפישינג זו בעית אבטחה לכל דבר.

הכל מתחיל ונגמר בשאלה מה זו בעיית אבטחה.

לדעתי – המושג בעיית אבטחה כולל כל דבר שיכול לחשוף את הארגון כולל לקוחות וספקים לבעיות הנובעות מעצם העבודה בצורה ממוחשבת.

המושג כפי שאני מתאר אותו הוא רחב מאוד. הוא כולל נהלים שגויים, בעיות תכנון ותכנות, חולשות, פגמים בתכנון וכ"ו יחד עם כל בעיה אחרת המאפשרת לנצל את המערכת הממוחשבת כדי לפגוע בעבודה התקינה.

יש מי שיחלוק על הדעה שלי, אבל אני בהחלט חושב שאדם לא צריך לבדוק כל לינק שמגיע אליו (זאת אחת הטענות שאלה שלא מכירים בבעיות כגון פישינג כבעית אבטחה אוהבים לטעון – לטעמם, אדם חייב להיות אחראי כדי לוודא שהוא לא תחת התקפה).

אני חושב שברגע שמשאירים את ההגנה ללקוח ("תפעיל שיקול דעת") – יש כמה תסריטים:

1. הלקוח יפחד לעבוד

2. הלקוח יתקשר למוקד השירות בכל פעם שיעבוד עם המוצר

3. הלקוח לא יבין מה רוצים ממנו וההתקפות מולו יעבדו

כבר אמרתי לא פעם (וגם עומר טרן אמר כמה פעמים) שזו טעות להעביר אחריות למשתמש.

אני חושב שהמשתמש ברוב הגדול של המקרים לא מודע לבעיות האבטחה שמובילות החלטות שלו. המשתמש גם יכול לקבל החלטה שגוייה. המשתמש גם יכול לעשות טעות.

בלי שום קשר – להצהיר שהמתשמש צריך להיות אחראי ולוודא שהלינקים שהוא לוחץ עליהם לא מובילים למתקפות כאלה או אחרות זו דרישה אווילית.

אין שום דרך, לא היום לפחות, כדי להיות בטוחים שאתם לא תחת מתקפה.

פישינג ניתן לייצר בכל מני צורות. אפשרי לשלב אותו עם התקפות נוספות לשיפור יעילות.

ישנם דפדפנים שכבר אומרים לכם שהאתר שהגעתם אליו הוא אתר בעייתי. זה קורה רק אם מספיק אנשים כבר נפגעו ודיווחו על כך.

לגבי החלק השני של הטענה – הטענה שהתקפות פישינג לא פוגעות בארגון אלא במשתמש בודד:

הארגון ייפגע בכל פעם שמשתמש ייפגע.

כמה אנשים לדעתכם ימשיכו להשתמש במערכות הבנקאיות של בנק X אם ייוודע שחלק מהמשתמשים שלו נפלו קרבן למתקפה עליהם?

שוב – העברת האחריות למשתמש היא צורה לא נכונה לטפל בדברים. היא רק תבטיח שהארגון שלנו יסבול כשהמשתמשים יפגעו.

יש דרכים לוודא שמתקפות כאלה לא יקרו.

הדרכים כוללות נהלים וכן אמצעי הגנה ספציפי נגד בעיות מסוג כזה.

לגבי SPAM:

אם איש מכירות לא יכול לענות בזמן למייל שלו כי הוא עמוס בדואר זבל – מבחינתי זה כשל.

להגדיר אם זו בעיית אבטחה או לא – זה קשה.

זה כשל במנגנוני העבודה של הארגון.

עכשיו תלוי מי גורם לכשל הזה.

אם זה לקוח עצבני שמחליט להפציץ את הארגון ב-SPAM לצורך הורדת יעילות?

אולי זה מתחרה שעושה אותו דבר?

שאלה מעניינת..

מכשיר הסלולר הראשי שלי הוא I-mate KJAM. עד לאתמול.

אתמול הוא פשוט הפסיק לתפקד.

בשבועות האחרונים הוא מגמגם, עובד לאט ואני די משתגע ממנו למרות שהוא שירת אותי נאמנה כשנתיים.

המכשיר הבא יהיה IPHONE 2 אבל הבעיה היא שזה ייקח לפחות עוד חודש. לפחות.

מצד שני אני לא אוהב להיות מנותק.

הלכתי לפורום של POCKETPCFREAK וחיפשתי בפורום שם מכשיר זמני.

הייתי מוכן אפילו להשקיע סכום סביר כדי לרכוש כזה, אבל מה זה סכום סביר?

Iphone עלה בארה"ב 400$ שהם פחות מ-1400 ש"ח. זה סכום סביר בעיני למכשיר מתקדם אבל לא למכשיר יד שנייה.

מכשיר יד שנייה הייתי מוכן לרכוש ב-800 ש"ח ומטה.

לחשוב שרק לפני שנתיים היו מדברים על סכום של 4000 ש"ח וזה היה נשמע הגיוני למכשיר חדש ו-2000 היה מציאה ליד שניה.

אין ספק – IPHONE משנה את הגישה.

ואני עדיין לא מחסידי המכשיר.

אני פשוט מעריך שהוא המכשיר שנותן את התמורה המלאה ביותר בעד העלות שלו.

בקיצור – הייתי מוכן לקנות JASJAM במחיר של עד 700 ש"ח או JASJAR בעד-800 ש"ח  אבל לא מצאתי אז אני כרגע ללא מייל במשך היום. בעסה

קודם כל אתנצל שאני לא מעדכן בזמן האחרון.

מצד אחד אני עובד קשה ומצד שני לא מצאתי משהו שבאמת רציתי לכתוב עליו כך שהבלוג הוזנח מעט.

אתמול בערב מישהו (אני לא אסגיר מי, למרות שאני יודע) ניסה לפרוץ שוב אל ה-HOSTING שלי.

הוא השתמש בחולשה שקיימת בממשקי הניהול של DREAMHOST כדי לבצע את זה.

הנסיון היה חביב והיה מצליח אם הייתי נכנס ללינק שהוא שלח לי כשהפרטים שלי ב-DH שמורים ואני LOGGED IN לממשק הניהול.

תשאלו למה שאהיה LOGGED IN? שאלה נהדרת.

כי אם עשיתם משהו בממשק וסגרתם את החלון זה לא מספיק.

אתם עדיין LOGGED IN ותהיו כך עוד זמן רב (חודש אם איני טועה).

הדרך הנכונה היא לבצע LOG OFF מסודר ולא סתם לסגור את החלון.

בקיצור – מה היה שם?

הבחור שלח לי לינק לקובץ שאמור לעשות כמה דברים:

1. שינוי פרטים שלי בממשק המשתמש ב-DH כולל מייל לאחזור סיסמאות

2. ביצוע LOG OFF שלי

3. בקשת סיסמא חדשה

הכל קורה ע"י שני IFRAMES בדף.

הראשון מבצע את שלב 1.

השני מבצע את שלב 2 ומייד עושה REDIRECT לדף נוסף שמבצע את 3.

זאת התקפה שמאוד דומה למה שפעם עשו והצליחו.

בהתחשב בכך שהבחור שעשה את זה עוד לא בן 16 – מגיע לו כל הכבוד.

ועכשיו לאזהרה.

בפעמים הבאות אני הולך לדאוג שמי שינסה את זה, בלי קשר אם הוא הצליח או לא, יסבול.

התלונה במשטרה ובספק ה-ISP שלו תהיה רק ההתחלה.

לגבי פריצה לפה:

ברור שאם ינסו מספיק – יצליחו.

הכל עניין של כמה מוטיבציה יש וכנראה שיש הרבה.

למרות שהעניין מאוד מחמיא לי זה הופך אותי לחשדן יותר ממה שצריך ולכן אני מזהיר – בפעם הבאה זה יגמר בצורה פחות נחמדה.

כן, התקפת DDoS על האתר השביתה אותו לכמעט 24 שעות אבל לאחר עמל רב, אני שוב פה

אחר כך התברר שגם הספיידר של יאהו הכביד על האתר ונאלצתי להוסיף כמה שורות ב-htaccess שיאיט אותו.

בקיצור – שמח פה

מה חדש בסוף השבוע? זה:

http://securityfeed.info

זה אוסף של הרבה מאוד אתרים שאביב ואני נוהגים לרבוץ בהם.

אני מניח שתמצאו את הלינק שימושי.

אם אתם חושבים שמשהו חסר – שלחו לי לינק..

לפני שבוע-שבועיים עידו קינן פנה אלי בשאלה על משהו שנראה לו מוזר.

המשהו הזה היה בעצם חולשת OPEN REDIRECTION ב-GOOGLE.

עפר ואני בנינו מיני אתר שמדגים איך משתמשים בחולשה הזו כדי לבצע התקפות פישינג.

הרעיון הוא שניתן לבנות לינק ל-GMAIL מזוייף שנראה די הגיוני כי הוא תחת הדומיין של GOOGLE.

הדף שבנינו נמצא פה (עם האזהותה המתאימות כדי שלא יוכלו לבצע עם זה כלום).

הדגמת Gmail Phishing with open redirection vulnerability in google.

לפני כמה ימים ביקרתי כמה שעות בבית חולים.

כשיצאתי ראיתי משהו שהזכיר לי את ההרצאה של ג'וני.

מה האקר רואה פה?

אני ראיתי את זה:

מקום נגיש ונוח.

מה קורה כשמישהו מפרסם בפורום המיועד לחולי אפילפסיה של חברה רפואית בשם  Landover מאות תמונות עם הבזקים שונים ומשונים?

FoxNews מדווחים שיש כ-50 מליון חולי אפילפסיה בעולם ולכ-3% מהם הדבר יכול לגרום להתקפים.

הפעם השניה התוקף התחכם עוד יותר ופשוט "גנב" את חלון הדפדפן של מי שהקליק על אחת ההודעות והציג בחלון צבעים בהירים והבזקים שונים.

כמו שכבר אמרתי לא פעם, ההתקפות היום מכוונות יותר ויותר למשתמשים ולא לתוכנות או מכונות.

אין שום טעם לפרוץ לפורום שכזה אם כל מה שאתם רוצים לעשות זה לגרום נזק למשתמשים ובמקרה הזה היה קל מאוד לעשות את זה וזה אפילו לא בטוח שהתוקף עבר על חוקי הפורום הזה.

מדהים.

קורא חביב בשם שי שלח לי מייל עם דואר של התקפת פישינג על בנק אוצר החייל.

זה הולך ככה:

זה פריט הדואר:

כפי שאתם יכולים לראות, הלינק בפנים שונה מהתיאור של הקישור.

הכיתוב בהודעה:https://login.bankhapoalim.co.il/cgi-bin/poalwwwc?&bank=414

בעצם פונה ל:

http://www.danawylie.net/htdocs/redirect.html – זהו קובץ בשם redirect.html בתוך אתר של זמרת בשם Dana Wylie.

קובץ ה-redirect מכיל בעצם הפניה לאתר אחר והוא בנוי כשבתוך תגית ה-Head של הקובץ יש את הקוד הבא:

<META HTTP-EQUIV="Refresh" CONTENT="0.1; URL=http://backpacs.ca/demo/.bankhapoalim.co.il/cgi-bin/poalwwwc.html?&bank=414">
<META HTTP-EQUIV="Pragma" CONTENT="no cache">
<META HTTP-EQUIV="Expires" CONTENT="-1">
</HEAD>

הקוד בעצם אומר לדפדפן לעבור לאתר נוסף בשם:

http://backpacs.ca/demo/.bankhapoalim.co.il/cgi-bin/poalwwwc.html?&bank=414

באתר הזה מאוכסן אתר הפישינג שנראה כך:

בהנחה והקורבן הזין פרטים, הוא מקבל את הדף הזה:

לאחר שהקורבן מזין את הפרטים גם כאן, הוא מופנה לעמוד שמוסר לו להמתין יומיים עד שהמידע יעודכן.

הזמן הזה אמור להספיק לתוקף לבצע את זממו.

אם מישהו נתקל בעוד דברים כאלה, אשמח אם תשלחו לי.

מעניין שאנחנו לא רואים התקפות פישינג מוצלחות בארץ אבל אני בטוח שזה ישתנה.

עדכון:

שלחתי שתי הודעות, אחת לדואר info@bankotsar.co.il והשני ל-abuse באותו דומיין.

הראשונה ב-OVER QUOTA ולכן אי אפשר ליצור קשר עם הבנק דרך INFO (מקצועי..)

הכתובת השניה בכלל לא קיימת כך שאין דואר ל-abuse בבנק (מקצועי 2..)

קטעים..

בערך פעם בשלשה חודשים צצה לה כתבה חדשה על כך שמי שיודע לעבוד עם המחשב ויש לו קצת שכל בקודקודו אינו צריך אנטי וירוס.

הפעם, זו כתבה של אדר שלו.

לפני שאני קוטל את הכתבה (לכו לקרוא ואז תחזרו), אני חייב לציין שאני מחבב בד"כ את הכתבות של אדר, היא כתבת כישרונית לדעתי. מסתבר שגם לאנשים טובים יש טעויות.

השורה הראשונה שעצבנה אותי היתה עוד בפסקה הראשונה. ברגע שאומרים על וירוסים "תתפלאו, אבל זה לא מסוכן כפי שחשבתם." זה חסר אחריות, מרגיז ומעצבן.

אני יכול להצביע על נזקים מוירוסים שעלו לעולם מאות מליוני דולרים ובמקרים של תולעים ההערכות מגיעות למיליארדים.

נמשיך.

"תוכנות אבטחה אמורות לעצור מבעד המשתמש כשהוא מנסה לעשות משהו טיפשי, והן מצליחות לעשות זאת ב-80 עד 99 אחוזים מהמקרים – כמו לפתוח מייל עם קובץ שמכיל וירוס."

לא נכון ולא מדוייק. התוכנות אמורות לעצור כל איום על המחשב. לא כל האיומים על המחשב מגיעות מכיוון המשתמש שעשה משהו לא תקין וחלק לא מבוטל מהאיומים יכול להזיק למחשב גם ללא התערבות המשתמש.

אדר מדברת על המרדף בין כותבי הוירוסים למפתחי תוכנות האנטי וירוס: ""אבל כשגולשים עם קצת שכל – המרדף הזה מיותר."

שוב – לא נכון ולא מדוייק.

אתרים רבים באינטרנט מסוגלים להדביק את המחשב ב-Rootkits או סוגי Malware אחרים.

גם אם איינשטיין בכבודו או בעצמו יגלוש אליהם המחשב שלו יידבק.

אדר מציעה למשתמשים שיגבו את החומר וינסו לעבוד חודש ללא אנטיוירוס. בסוף החודש היא ממליצה לסרוק את המחשב ואם לא נמצא וירוס – אתם יכולים להמשיך לעבוד כך.

אני חייב לבשר לאדר שקיימים דברים נוספים מעבר לוירוסים רגילים.

Rootkit שהצליח לחדור למחשב בד"כ לא יתגלה ע"י אניטיוירוס. גם טרויאני שכתוב נכון לא יתגלה.

רוב הוירוסים שקיימים היום ימנעו מכם להתקין אנטיוירוס אם הם כבר על המחשב.

בקיצור – הצעה לא ניתנת ליישום אמיתי וגם לא נכונה ומטעה.

ההמלצות שניתנות לעבודה נכונה:

1. אדר ממליצה לבצע WINDOWS UPDATES ואפילו לגרום להם לעבוד באופן אוטומטי. אני מסכים וממליץ על כך גם כן.יש גם דברים טובים

2. לעבור לWEBMAIL: הצעה לא נכונה מבחינת אבטחה.

כמעט כל השירותים האלה ניתנים לפריצה בקלות יחסית לעומת פריצה לחשבונות דואר אצל ספקיות.

כמעט בכל השירותים האלה יש גם כיום פרצות XSS,CSRF וכ"ו שניתן לנצל נגד המשתמשים בהם.

לא ממליץ.

3. לא גולשים באתרים מפוקפקים. הצעה מעניינת. אפשר גם לבקש מהמשתמש לא לגלוש בכלל ואולי עדיף שלא יתחבר לאינטרנט.

אגב, גם אתרים בלתי מפוקפקים בעליל יכולים להוות בעיית אבטחה ופלטפורמה שמתוכה יכולים לצאת וירוסים ומזיקים אחרים.

רק לא מזמן אחת מחברות האנטיוירוס ספגה התקפה שגרמה לכל משתמש שמגיע לאתר שלה להדבר ב-MALWARE.

4. נזהרים ממסרים מידיים. יש שם כמה הצעות נכונות. שוב, יש קצת טוב..

5. לא להאמין לכל הפרסומים של חברות האבטחה באופן אוטומטי. נכון, אבל גם לא לזלזל באיומים החדשים שהחברות האלה מוצאות.

6. בצעו מדי פעם סריקות וירוסים אונליין. עם כמה שהחברות משקיעות בסורקי הON LINE שלהם, צריך לזכור שאת האיומים החשובים באמת כגון תולעים רציניות אי אפשר להסיר (צריך לעשות את זה בד"כ כשהמחשב מנותק מהרשת) את הוירוסים הטובים באמת אי אפשר להסיר (חייבים לפעמים לעשות את זה ב-SAFE MODE) ואת ה-ROOTKITS הסורקים בכלל לא יגלו.

רוב הסורקים האלה גם לא מסירים MALWARE – רק מתריעים שקיימים כאלה על המחשב.

בסוף הכתבה YNET מבהירים שהם לא ממליצים על שימוש באינטרנט ללא אנטיוירוס – כיסוי תחת אופייני.

במקום לכסות את ישבנם – עדיף שלא יציעו דברים כאלה.

די כבר עם הכתבות האלה.

כל כמה חודשים להתעצבן מחדש.

אוף!

באופן מפתיע, אשתי ואני שוב באילת.

אימי שהזמינה נופש לה ולאבי לא יכלה לצאת ולכן אשתי ואני זכינו בנופש עם טיסות.

תודה אמא ואבא

כשהגענו למלון (הילטון מלכת שבא) שידרגנו את השהות והוספנו חבילת VIP שכוללת כניסה לטרקלין העסקים.

הטרקלין נהדר. תמורת כ-300 ש"ח ללילה אנו נהנים מאוכל ושתייה חופשי בכל היום, ארוחות בוקר בקומה 12 במקום עם נוף מדהים ועוד תוספות.

בטרקלין יש שני מחשבים שמחוברים לאינטרנט מהיר (מהיר.. פחות או יותר) שנמצאים לשימוש באי הטרקלין.

כשהגעתי למחשבים שניהם היו פתוחים על אתרים שגלשו בהם קודם.

אחד היה פתוח על גוגל. מבט מהיר הבהיר לי שמישהו השאיר את חשבון הGMAIL שלו עם סיסמה בתוך הדפדפן (Logged In). לא צריך אפילו לפרוץ לו ל-GMAIL

השני היה באתר easyforex, כמה קליקים של אחורה בדפדפן הכניסו אותי לתוך החשבון שלו.

זה לא נגמר שם.

קצת בדיקה של המחשבים הבהירה לי ששניהם מוצפים ב-SPYWARES, טרויאנים וכ"ו למרות תוכנות כמו SPYSWEEPER שמותקנות שם.

אז איך לעבוד בבטחה?

1. לא להשאיר חשבון מוזן בדפדפן. עדיף לא להכנס בכלל לאתרים שבהם אתם זקוקים להזין שם וסיסמה.

2. מחקו את ההיסטוריה של הדפדפן יחד עם קבצים זמניים וקוקיז ברגע שאתם מסיימים.

3. סגרו את הדפדפן. אם אפשרי בצעו RESTART למחשב (אם הPOLICY לא מאפשר את זה – פשוט נתקו אותו לשניה מהחשמל.)

4. הכי טוב – נתקו את המחשב ופשוט חברו את כבל הרשת למחשב הנייד שלכם. בכל מקרה לא הייתי סומך על הרשת של המלון שתהיה בטוחה כדי לעבוד בה מול אתרים שדורשים שם וסיסמה שלכם.

5. הכי טוב 2: פשוט עבדו עם אינטרנט סלולרי.

לא, הפעם לא ניסיתי לראות אם אפשר לעקוף את ה-Captive Portal

"G-Archiver is your one click Gmail backup solution. Backup Gmail email messages"

התוכנה g-archiver שניתנת להורדה מפה: g-archiver (לא מומלץ..) פותחה כדי לתת אפשרות גיבוי לפריטי הדואר האלקטרוני ששוכנים ב-gmail שלכם.

בחור שהוריד את התוכנה ביצע reverse engineering עליה (בעזרת reflector) כדי לראות את הקוד.

להפתעתו, הוא גילה ש-John Terry, המפתח של התוכנה, הטמיע בקוד את השם משתמש והסיסמה של חשבון ה-gmail שלו.

אמנם דבר טפשי מצד המפתח, אבל זה לא נגמר פה.

בהמשך הקוד הוא גילה שבכל פעם שאתם מוסיפים חשבון gmail שאתם רוצים לגבות, התוכנה שולחת דואר אלקטרוני למפתח עם שם המשתמש והסיסמה שלכם ל-gmail.

הדבר הזה מדאיג ומרגיז.

הבחור שגילה את העניין שינה את הסיסמה לחשבון המייל של המפתח וכרגע אין אפשרות להוציא משם פרטים.

לא מזמן היה כאן דיון שעסק ב"האם הקוד הפתוח רע לאבטחת מידע" ועמרי טען שאם יקרה משהו דומה לזה יעלו על העניין מהר מאוד (אני מסלף קצת את הדברים, כי הוא דיבר על תוכנת קוד פתוח פופולארית ואנחנו עוסקים פה במשהו שונה לגמרי:-) ).

כמו שאני רואה את זה – תוכנה שניתנת להינדוס לאחור ע"י reflector היא מספיק דומה לקוד פתוח מבחינת בדיקה של קוד.

התוכנה הזו רצה וקיימת כמעט שנה. רק עכשיו מישהו עלה על העניין.

המפתח מצידו טוען שהפונקציה הבעייתית היתה חלק מתהליך הפיתוח והוא "פשוט שכח" להסיר את הפונקציה.

הסיפור המלא פה:

http://www.codinghorror.com/blog/archives/001072.html

ג'וני מ-Ihackstuff נתן הרצאה מדהימה על אבטחה פיזית.

ממליץ לכולם לראות, למרות האורך (שעה!) זה אחד הדברים היותר מדהימים שיצא לי לראות.

מרצה בחסד, נושא נהדר ובסה"כ – שווה לראות.

קיבלתי שאלה מאחד הקוראים:

"היי גיא

רציתי לשאול אם יש דרך לקרוא מחיצה של לינוקס מתוך חלונות."

הבחור עובד עם מחיצות מסוג Ext3 ולשמחתו יש כלי לצורך העניין.

קודם כל – הסבר קצר: מה זה Ext3?

כל מערכת הפעלה עובדת מול הדיסק הקשיח עם גרסה  שונה של מערכת קבצים.

ב-DOS הכרנו את FAT, מערכת קבצים מוגבלת שנתנה תמיכה בגודל מחיצה מקסימלי של 2GB. ז"א שאם היה לכם דיסק קשיח של 10GB היו לכם C בגודל 2GB, כך גם D,E,F וכ"ו.

בעידן WINDOWS 95 SR2 (היה רק בגרסה אנגלית בWINDOWS 98 התחילו להנות גם הישראלים) הגיעה מערכת קבצים חדשה: FAT32.

היא היתה מהירה יותר וכמובן – תמכה בגודל דיסק גדול יותר.

ב-WINDOWS NT ואח"כ גם ב-Windows 2000 עבדו עם ממערכות קבצים מסוג NTFS.

ב-WINDOWS XP אני עובדים עם NTFS משופר (5.1).

WINDOWS XP יודע לקרוא גם מערכות קבצים ישנות כגון FAT32.

לינוקס יודע לקרוא FAT,FAT32 וגם NTFS אך הוא תומך ועובד עם מערכות קבצים משל עצמו.

המערכת הנפוצה ביותר (אם אני לא טועה) היא Ext2. זאת מערכת קבצים נוחה שהרבה מאוד הפצות עובדות איתה. מערכת כזו שהוסיפו לה יכולות תיעוד (Journaling) נקראת Ext3 והיא נחשבת קלה יותר למקרה של התאוששות מקריסה.

כברירת מחדל,  WINDOWS לא יודע לדבר עם מחיצות כאלה.

ז"א שאם יש לכם מחשב שיש בו גם לינוקס וגם WINDOWS אתם יכולים לעבוד מתוך לינוקס גם על מערכת הקבצים של WINDOWS (בעברית: לראות את הקבצים שאתם עובדים עליהם בWINDOWS) אבל אם אתם במערכת ההפעלה WINDOWS לא תוכלו לראות את הקבצים שאתם כתבתם בלינוקס.

אז איך כן אפשר לקרוא מערכות כאלה ב-WINDOWS?

Ext2 Installable File System for Windows היא תוכנה קטנה וחופשית שתוכלו להתקין על המחשב כדי לראות מערכות קבצים מסוג Ext2 וגם Ext3.

לא רק לראות, גם לקרוא ולכתוב קבצים על המערכת.

יופי של תוכנה.

ניתן להוריד מפה:

Ext2 Installable File System for Windows

רוצים להוריד את Internet Explorer 8?

מספיק נועזים כדי לגלוש עם מוצר beta 1 של מיקרוסופט?

פה:

http://www.microsoft.com/windows/products/winfamily/ie/ie8/readiness/Install.htm

Cult of the Dead Cow – אותם חבר'ה שיצרו לפני שנים את Back Orifice (תגידו, לא מדהים שהאתר הזה עדיין חי?) שחררו כלי שהופך את גוגל למכונת סריקה אחרי פגיעויות.

Goolag Scan הוא הכלי החדש שהם שיחררו שמאפשר לכל דורש לאתר בקלות פגיעויות באתרים.

חשוב לציין שאין פה משהו חדש – google hacking זה דבר שקיים שנים ויש את האתר של johnny שאוסף בתוכו מלא דברים שקשורים לעניין.

מה שהם עשו זה פשוט להקל על מי שלא יודע או לא מקצועי לבדוק בקלות אתר לפגיעויות.

הכלי נמצא פה: http://www.goolag.org

מישהו נכנס לגוגל ומחפש את המונח "בולבול".

שאלה:

האם זה ילד שעושה עבודה בבית הספר ומחפש מידע על ציפור נפוצה בארץ או  האם זה פדופיל המחפש איברי מין של ילדים?

הרבה אנשים דיבר על החוק האווילי הזה שש"ס מנסה להוביל כדי לעשות את הרשת הפתוחה, המתקדמת  והאנרכיסטית ביותר בעולם לצל של עצמה.

המהלך הזה לא יצליח.

טכנולוגית – העניין אינו בלתי אפשרי. יש תוכנות שמיועדות לעשות דברים כאלה. אמנם הבעיה עם התוכנות האלה שהן מגבילות יתר על המידה, אבל בכל זאת – הן קיימות.

מעשית – החוק יעלה לכולם כסף. כל מי שמשתמש באינטרנט ייאלץ לספוג העלאת מחירים כדי לשלם על החסמים שיתקינו לחלק מהאוכלוסיה.

נהפכו היוצרות: במקום שמי שרוצה לקנות שירות ישלם עליו מעכשיו כולנו נשלם על השירות גם אם לא נרצה אותו. מודל הקיבוצים הצליח ואף אחד לא סיפר לי?

רשימות שחורות:

אני מניח שלא רחוק היום מטענה במשפט שהגיוני שאדם X יטריד מינית. הוא אפילו גולש באתרי סקס באינטרנט. כפי שאתם יכולים לראות הוא ביקש מספקית האינרטנט Y שלא לחסום לו אתרים אלה.

אין ספק – סוטה שגולש באתרי סקס וגם מטריד מינית.

הרשימות השחורות האלה יכולות להפוך גם למשהו מעניין:

אדם מבקש שלא לחסום עצמו מאתרים כאלה. מחר יש חברות פורנו שמאתרות את פרטיו לפי הרשימה השחורה של ספקית האינטרנט שלו שנגנבה לא מזמן.

פתאום הוא מתחיל לקבל הביתה גם בדואר הרגיל מגזינים ופרסומות מעניינות הקשורות לתחום.

אני מאוד מקווה שבסופו של דבר החוק הזה לא יצליח להגיע ולהבשיל למשהו מחייב.

לא בגלל שאני גולש באתרים מפוקפקים (ושיהיה ברור, אני כן מגיע לאתרים כאלה לעיתים מבחירה או שלא, לא שזה עניינו של מישהו ) אלא כי החוק הזה רע לזכויות הבסיסיות שלנו.

אגב, רוב התוכנות האלה חוסמות גם אתרים הקשורים להאקינג, קראקינג וכ"ו.

מעניין מה יקרה לבלוגים כמו שלי.

לפני כמה ימים ישבתי עם עפר מוסטיגמן בכנס Linux08.

ראינו (בעיקר) הרצאות שיווקיות בנושא Linux.

חלק אחר של ההרצאות היו סיפורי לקוח. אני קורא להרצאות האלה הרצאות שוויצים.

בד"כ מה שקורה בהן שלקוח (ענק) בא לספר איך הוא הטמיע מערכת X או Y.

במקרה הזה התפארו החברות בכמות השרתים שיש להן: לזו יש 250 שרתים עם 900 מכונות וירטואוליות ולחברתה יש רק  243 שרתים עם 978 מכונות וירטואליות.

תקראו מה עומר כתב על וירטואליזציה ואבטחת מידע.

אני לא מת על ההרצאות האלה כיוון שהן בד"כ באות לפאר את החברה ולא נותנות יותר מדי ערך מוסף למשתתפים בכנס.

במהלך ההרצאות היו כמה חברות שסיפרו סיפורי לקוח.

מה שהדהים אותי (וגם את עפר) זה שהיו שם מנהלי IT שחשפו פרטים ברמה שגובלת בחוסר זהירות או טיפשות על גבי הארגון שלהם, התשתיות שלו, שמות שרתים, בסיסי נתונים, שמות משתמשים, לוגים של מערכות מסויימות, שמות תוכנות וכ"ו.

נראה כאילו המטרייה של הכנס נותנת למציג את הבטחון להראות דברים שהוא לא היה חושף במקום אחר או אולי הרצון למצגת טובה גבר על שיקולי אבטחת מידע.

את עפר ואותי זה הצחיק והדאיג.

ישבנו שם ופשוט נדהמנו בכל פעם שמישהו חשף דבר כזה.

אני בטוח שהמציגים שם הם אנשים מודעים לנושא האבטחה. היו שם לא מעט כאלה שאחראים על מדיניות של הארגון בנושא ה-IT כולו.

מה גרם להם לחשוף מידע בצורה בוטה כל כך?

אם הייתי כובע שחור הייתי בהחלט יכול לנצל את המידע הזה לרעה כחלק ממתקפות על התשתיות שלהם או מניפולציות על העובדים כחלק ממתקפת Social Engineering עם ידע על הארגון, ידע שהוגש לי בכפית זהב לפה.

ברוס שנייר מפנה בבלוג שלו לקטע הזה:http://www.telegraph.co.uk/news/main.jhtml?xml=/news/2008/02/26/nbomb126.xml

פחות או יותר, מסופר בו על כך שניתן להגניב נוזלים ללא ריח בבקבוקים קטנים (של 100 מיליליטר שלא נבדקים) למטוס ולאחר מכן לערבב את הנוזלים ולייצר מהם חומר נפץ חזק מספיק כדי לעשות נזק משמעותי במטוס.

הרעיון הוא שאם מפרידים את הנוזלים האלה, הם נראים תמימים לחלוטין ואין להם ריח או צבע שיכולים לעורר חשד.

מעניין אותי להקביל את העניין למחשבים:

לוקחים ומייצרים כמה תוספים ל-WORDPRESS (סתם כי זה נוח להדגים עליו) שחלקם משתמשים בפונקציות מסויימות.

אם מדובר בתוסף אחד, הפונקציה אינה בעייתית.

אם יש הרכבה של כמה תוספים ביחד, הפונקציות יודעות לתקשר אחת עם השניה ומייצרות התקפות כאלה או אחרות.

כיוון שהפונקציות האלה קטנות ולא עושות שום דבר עד שבאמת הן מופעלות יחד, קשה לעלות על כך שמשהו שם חשוד.

דבר מעניין שקשור לפוסט שלי בנושא אבטחת מידע עקיפה.

בעקבות שיחה שהיתה לי בימים האחרונים לגבי פריצה לרשתות אלחוטיות, החלטתי לרענן קצת את הדברים.

ביום יום אני לא הולך ופורץ לרשתות WIFI, זה קורה רק כשאני עושה הדגמות כאלה או בדיקות חוסן כאלה או אחרות.

הוצאתי את כרטיס ה-Orinoco Gold שלי, עדכנתי דרייברים במערכת ההפעלה שאני עובד איתה (Backtrack בגרסת בטא 3 שיצאה לא מזמן), שידרגתי ל-aircrack בגרסה האחרונה (PTW).

לאחר כל ההכנות האלה ניסיתי לראות אם אכן aircrack-otw החדש משפר את הביצועים ברמות שקראתי עליהן.

חשוב לציין:

הגרסא הראשונה של aircrack דרשה כמות לא מבוטלת של כ-2 מליון פקטים כדי לפענח מפתח WEP.

גרסת PTW מסתפקת ב-50K פקטים לזיהוי ובד"כ מספיקים 5K-15K.

הראוטר שמולו ערכתי את ההתקפה הוא מסוג 3Com ומדגם 3CRWER100-75, אותו ראוטר נפוץ בו משתמשים המוני בתים ועסקים בארץ.

שושנה פורבס כתבה על הראוטר הזה, אני כתבתי על פרצת אבטחה בראוטר של 3Com ובכלל, זה רכיב מאוד נפוץ.

לצורך הבדיקה העברתי אותו לעבודה בWEP 64 ביטים (תתפלאו, אבל זאת עדיין הצורה בה רוב האנשים מאבטחים את הרשת שלהם).

הייתי צריך בדיוק 4800 פקטים כדי לפרוץ את הרשת.

כרטיס WIFI סטנדרטי של realtek מזריק 500 פקטים בשניה והאורינוקו שלי מצליח להזריק 800 (אני יודע שיש כאלה שהגיעו למהירות גבוהה יותר, אבל היום אין לזה משמעות..)

10 שניות של הזרקת פקטים, עוד בערך 10 שניות בהן aircrack-ptw עבד.

בסך הכל – פחות מחצי דקה לפיצוח של רשת מוגנת ב-wep 64.

חצי דקה.

אם אנחנו עוברים ל-128 ביט – הייתי צריך 38K פקטים.

לקח בערך שתיים וחצי דקות, קצת פחות.

תשאלו על WPA? אז עד כמה שניתן להתפלא, הסתובבתי קצת בעיר מגורי (חולון) ועברתי מדגמית בכמה רחובות. לא הצלחתי למצוא ולו אחד (חוץ ממני) שמשתמש ב-WPA.

מדהים,לא?

בלי קשר, מתכנן לעשות ניסוי בעוד מספר ימים גם על WPA. זה בהחלט מעניין.

עומר כתב פוסט על מדיניות הסיסמאות בבנק בהמשך לדיון שהתחיל בפוסט שלי על מדיניות סיסמאות בבנק (נראה לי שכבר אין טעם להגיד שמדובר בבנק מסויים כי זה לא רלוונטי).

עומר לא מסכים עם הטענה שהעלה ארז מטולה שאין לקשר בין הנושא של נעילת המשתמש לחוזק הסיסמאות שאותן הוא נדרש לספק.

עומר גם לא מסכים שאם ניתן אפשרות של מרחב סיסמאות גדול יותר העניין תורם לאבטחת המידע כיוון שאין לנו מושג אם הלקוחות לא בחרו סיסמאות קלות שמשלבות סוגי תווים שונים.

אם לא הלכתם קרוא אצלו עד עכשיו – תלכו. מה שהוא כותב תמיד שווה קריאה.

אני חושב שמדיניות סיסמאות נכונה חייבת למנוע מצב בו המשתמשים בוחרים סיסמאות קלות כגון qwe123 וכ"ו.
יש מספיק מילונים ופאזרים שמחוללים סיסמאות קלות ואסורות ואין בעיה להשתמש בכלים כאלה.
יש גם כלים שמונעים סיסמאות הקשורות למשתמש כגון שם, משפחה תאריך לידה וכ"ו.
אני בהחלט חושב שיש צורך להוסיף הגבלות כאלה אך עם זאת יש לאפשר סיסמה מספיק קלה כדי שיזכרו אותה.

איני מקבל את הטענה שאומרת שקשה יותר לזכור סיסמאות מורכבות.
כל העניין הוא שאתה מייצר לעצמך סיסמאות קלות לזכרון אך מסובכות לפריצה. אין שום בעיה להחליט הסיסמה omer123 תהפוך להיות oMer12#. קשה יותר לפריצה וקלה מספיק כדי לזכור (זאת היתה דומה בלבד. ברור שעומר לא יבחר סיסמה שיש בה את שמו ).

אני זוכר פוסט ישן של עומר בנושא חוזק סיסמאות שטוען שסיסמאות כאלה אינן קשות יותר לפריצה ואני אומר: תלוי.

הטענה הזו לחלוטין לא נכונה כשמדובר בהתקפות Brute Force ולגמרי נכונה אם הפורץ עובד מול RAIBOW TABLES.
ב-Brute Force אם אתה נאלץ לנסות יותר סוגי תווים העלות בזמן היא אדירה.
אם אתה עובד מול rainbow tables(לא תמיד אפשר) אז העניין פשוט יותר אך ברמה העקרונית, סיסמה כזו אכן חזקה יותר.

לגבי הנושא החשוב יותר שעומר העלה – האם יש לראות את אבטחת המידע כמכלול או לא – זאת שאלה הרבה יותר מעניינת.

תוספת של ארז:

חשוב להדגיש כי הבעיה במדיניות הסיסמאות הנוכחית היא שאנחנו מסגירים לתוקף נתון חשוב שהוא אורך הסיסמא. הרעיון באבטחת מידע הוא לא לתת שום מידע ראשוני כבסיס ואילו כאן חושפים בפניו ,על מגש של כסף, נתון חשוב שמהווה בסיס לחישוב מרחב הסיסמאות הנדרש ל BF, חישוב הסתברויות וכמובן קיצור הזמן הכולל (חסם עליון) לביצוע המתקפה.

ללא מידע זה התוקף באפלה, מבחינתו הסיסמא יכולה להיות כל דבר מה שגם עלול (ובצדק) להתייאש ולעבור הלאה כי לא ברור היכן "האור בקצה המנהרה" – איפה סביר להניח מתקפת BF תעצור. מבחינתו הסיסמא יכול להיות הרבה יותר מ 6 תוים מה שיגרום למתקפה לא להצליח. במקרה שלנו, קורה ההיפך – התוקף אפילו מתעודד מזה שהוא יודע מה כמות הסיסמאות הנדרשות, ושזה בהחלט משהו סביר מבחינת מספר האפשרויות. הוא אפילו עלול להתמקד על הבנק הנ"ל ספציפית כי לבנקים האחרים יש מדיניות טובה יותר.

כמובן כשמסתכלים על הפתרון הכולל נעילת משתמש עוזרת להתמודד עם הבעיה. אבל כאשר מתכננים מערכת אבטחה צריך לקבל את המיטב מכל מעגלי ההגנה השונים. אתה לא יכול להניח שמעגל עליו אתה סומך לא יקרוס – זה בדיוק העיניין עם מעגלי הגנה – אם אחד נכשל השני יציל אותך. וכמובן אף אחד גם לא יודע מה יקרה מחר, אם סתם יחליטו מסיבה כלשהי לבטל את הנעילה ואז אתה חשוף לחלוטין.

במילים אחרות – כרגע מעגל הגנה יחיד (נעילת סיסמאות) מונעת מתקפת BF כי מדיניות הסיסמאות לא חזקה מספיק. וברור לנו שצריך לפחות שני מעגלי הגנה לכל איום.

כן, זאת הכותרת למאמר המדהים הזה ב-WIERD.

הכוונה היא לא לכך שהצפנת דיסק אינה מאובטחת אלא לכך שנמצאה דרך מדהימה לפצח את ההצפנה בתוך תהליך מעניין.

חוקרים מטעם אוניברסיטת Princeton בארה"ב וארגון ה-Electronic Frontier Foundation מצאו שיש דרך לשמר את המידע בזכרונות RAM גם בעת כיבוי המחשב.

מסתבר שבסוגים שונים של זכרונות יש זמן "תפוגה" שונה למידע שנמצא על הזכרון.

בעוד RAM הוא דבר שאנו בטוחים שנמחק כאשר המחשב נכבה, מתברר שלוקח לפחות שתי דקות עד שהמידע באמת נמחק והזמן הזה משתנה בין סוגי זכרונות שונים. הזמן גם מתארך ככל שתקררו את סוגי הצ'יפים השונים של זכרונות.

לאחר קירור של רכיב הזכרון ניתן להעתיק את המידע שהיה עליו אפילו דקות ארוכות לאחר שלא היה פעיל וגם להסיר את הזכרון מלוח האם ולשים על לוח אם אחר והמידע שהיה שם עדיין נשמר.

בעזרת תוכנות מסויימות ניתן לבצע "תמונה" של מה שיש כרגע ב-RAM גם אם המחשב היה כבוי – פשוט מדליקים, עושים BOOT למערכת כזו מ-CD או FLASHDISK וניתן לשמור תמונה של מה שהיה בזכרון, גם לאחר שהמחשב כובה.

מה זה קשור להצפנה? יש קשר.

בעבודה סטנדרטית על מחשב עם דיסק קשיח מוצפן, המחשב חייב לדעת את מפתח ההצפנה כדי לגשת לחומר המוצפן על הדיסק הקשיח.

כשהמשתמש מדליק את המחשב הוא אמור להזין את המפתח או הסיסמה והיא נשמרת ב-RAM.

אם בזמן הזה גנב לוקח את המחשב הנייד הוא יכול להעתיק את ה-RAM ולהוציא ממנו את המפתח הנכון גם בלי לדעת את סיסמאות הגישה למחשב.

החוקרים פיתחו תוכנה שעושה את כל התהליך הזה באופן אוטומטי והיא נקרא BitUnlocker, היא עושה את כל התהליך בכמה דקות.

אם גנבו את המחשב שלכם והוא היה במצב של SLEEP או במצב של שומר מסך מוגן בסיסמה – ניתן לבצע עליו את התהליך. דרך מדהימה לפריצת מנגנון ההצפנה של הדיסק

העניין נבדק מול כמה סוגים של אמצעי הצפנת דיסק כגון BitLocker, FileVault, dm-crypt, TrueCrypt

בויסטה המצב מעניין – מסתבר שיש שתי שיטות להפעיל את Bitlocker. הדרך הראשונה מביאה אתכם למצב שבו בהפעלה של המחשב אין צורך להקליד סיסמה והיא נבדקת רק מול תהליך שם המשתמש והדרך השנייה היא ש-BitLocker מבקש סיסמה עדיין במסכים השחורים, מייד לאחר ה-BIOS.

אם אתם עובדים עם BitLocker בצורה הראשונה – המחשב שלכם פגיע גם אם הוא נגנב כאשר הוא כבוי לחלוטין.

מעניין

סרט הדגמה ששיחררו לעניין בדף המקורי ששוחרר:

http://citp.princeton.edu/memory/

נתקלתי בזה פעמיים ושלחתי לרן יניב הרטשטיין.

פעם אחת כשאחת הקוראות בבלוג גרמה לי לשאול עצמי האם WORDPRESS פגיע מבחינת אבטחת מידע (כן, יש קוראות בבלוג ) ובפעם השנייה כשמישהו פתח בלוג חדש וראיתי אותו עם קובריק.

מתברר שקובריק בעברית, ערכת העיצוב שמגיעה כברירת מחדל עם בלוגים של WORDPRESS פגיע ל-XSS.

הודעתי על כך לרן יניב הרטשטיין והוא הוציא תיקון לעניין.

זאת ההודעה עם התיקון:

http://wph.co.il/blog/247/security-fix-for-all-wph-versions/

אתמול היה מפגש בלוגרים של מיקרוסופט.

קודם כל – מיקרוסופט עשו צעד מכובד ונתנו למובילים שבבלוגרים שלהם (לא לי כי אני רק חצי שם – אבל בכל זאת ) הזמנות בחינם לטוס לTECH ED באילת כולל מלון והכל על חשבון MS.

כל הכבוד.

בשיחה בחוץ דיברתי עם כמה בלוגרים שם:

אוהד אסטון, ג'סטין אנג'ל,  עדי, שחר.

היו עוד, אבל הם לא היו קשורים לשיחה הזאת, אז יסלחו לי.

השיחה נגעה לעניין כמה נפוץ Internet Explorer.

אני לא זוכר מי אמר שם את המשפט: "אני כותב אתרים בשביל 90% מהאנשים שבאים עם אקספלורר".

אני אמרתי שהנתונים לדעתי הם הרבה פחות מחמיאים – לדעתי 40% מהאנשים באים עם דפדפנים אחרים.

זאת היתה הערכה בלבד.

כשהגעתי הביתה נכנסתי לסטטיסטיקות של בלוג אחר שיש לי, באנגלית. (לא, אני לא אגלה מה ומי, אבל חלק מכם בטוח קוראים אותו).

שימו לב לזה:

זה אמנם לא אתר מייצג. הקוראים שלו הם טכנולוגים מובהקים ואנשי אבטחה או האקרים/קראקרים ובשל האופי של הקהל, יש כאן נטייה לברוח ממוצרי מיקרוסופט. יש גם מדינות שלא יכולות להכנס לבלוג ההוא כי אני לא מרשה להן

בכל זאת – הנתונים רחוקים מאוד מ-90%.

בבלוג הזה הנתונים הם שונים, בכל זאת קהל ישראלי שרובו לא יכול לעבור ב-100% ל-FireFox.

בכל זאת, גם כאן המצב רחוק מ-90% עם Internet Explorer.

ושלא יהיה ספק, הנתונים לא מחשיבים את הכניסות שלי

האמת היא שהתוצאה הזאת הפתיעה אותי. IE עם שוק הרבה פחות חזק ממה שנדמה.

מדהים, לא?

בימים האחרונים מסתובבת ברשימת התפוצה של OWASP ישראל תכתובת מעניינת.

הכל התחיל בהודעה ששחרר שלום כרמל, שמבשרת שלקוחות בנק דיסקונט העובדים עם שירות האינטרנט של הבנק מחוייבים לבחור סיסמאות באורך 6 תווים.

הבעיה היא שאסור להם לבחור סיסמאות ארוכות יותר – 6 תווים בדיוק זו הדרישה שהמערכת מוגבלת אליה.

שלום כרמל טוען שזה הגיוני שלא לתת אפשרות לבחור בסיסמאות קצרות יותר אבל למה לפסול את הארוכות יותר?

קודם כל – הוא צודק.

מבחינת אבטחת מידע אין בדרישה כזאת שום דבר נכון. עדיף לתת את ההגבלה על אורך מסויים או ארוך ממנו (6 תווים או יותר לצורך העניין).

עוד דבר – הבעיה האמיתית לדעתי היא לא האורך אלא מורכבות הסיסמאות.

מסתבר שבבנק החליטו שהסיסמאות לא יהיו Case Sensitive וגם אסורים תווים מיוחדים.

את זה אני כבר באמת לא מבין – עם אורך של 6 תווים אפשר להגיע לכמות סיסמאות של 62 בחזרקת 6 סיסמאות. למה לבנק להחליט שהוא מעדיף 36 בחזקת 6?

בכל מקרה – התפתח שם דיון האם יש סכנה של Brute Force.

אני טוען שגם עם המדיניות סיסמאות הזאת (שהיא לדעתי לא חכמה) אין סכנה אמיתית מפריצה ברוטלית.

בהתחשב בכך שמתמשים ננעלים אחרי 3-5 נסיונות לא נכונים, אין לתוקף שום אפשרות לבצע מתקפה ברוטלית על הסיסמאות.

ארז מטולה טוען שניתן לייצר כך מתקפת DoS על לקוחות הבנק. ארז אומר גם שפתרון הנעילה ופתרון מדיניות הסיסמאות צריכים להיות בלתי תלויים, כך שלהגיד שנעילה לאחר 3 נסיונות מכפרת על מדיניות סיסמאות דפוקה זה לא בסדר. יש לפתור את בעיית המדיניות הלא תקינה למרות שיש נעילה (ובלי קשר אם אפשר לעשות איתה DOS).

הוא כמובן צודק ויש כאן מידה מסויימת של סכנה גם לחשבונות.

תחשבו על מצב כזה:

התוקף מבצע Brute Force על כמה אלפי לקוחות.

הלקוחות ננעלים ולכן מתקשרים למוקד לשחרור הנעילה. התוצאה: נוצרים עומסים על המוקד.

המוקד מחליט "לייעל" את תהליך שחרור הסיסמאות ולכן מקשה פחות על מתקפת Social Engineering טובה.

כל זה לא משנה את העובדה שהסכנה כאן היא לא מהמדיניות של 6 תווים בלבד.

הסכנה האמיתית כאן היא תהליך לא נכון שהבנק בחר ליישם.

1. הוא מצמצם את כמות הסיסמאות.

2. הבנק מחייב סיסמאות של 6 תווים. מה הולך עם זה טוב? תאריכים.(מצד שני מחייבים גם אותיות. OK – זה יהיה ראשי תיבות של אחד הילדים/אשה/בעל עם תאריך לידה שלו).

3. שם המשתמש בבנק הוא תעודת זהות. דבר שהוא בהחלט לא חכם.

כל זה רק גורם לי לחשוב איך לעזאזל אף אחד עוד לא "ניצל" את העניין הזה לתקיפות מעניינות.