ZuLL, יומנו של האקר.

התקפות סייבר או התקפות בסייבר?

גיא מזרחי — Wed, 12 Mar 2014 10:36:45 +0000

בעקבות שיחה מעניינת עם כמה קולגות, עלתה שאלה מאתגרת. בואו ניקח התקפה בנאלית כמו התקפת מניעת שירות (DoS או DDoS, לא משנה כרגע). אם התקפה זו מכוונת כלפי אתר אינטרנט הבעיה בד"כ מוכלת ברמה סבירה: האתר נופל עד חלוף ההתקפה או מגן על עצמו באמצעים פנימיים או חיצוניים ואז לא נופל.

כאשר התקפה כזו מכוונת גבוה יותר ניתן לחשוב על התקפה על שרתים ואם נבצע אסקלציה נוכל לעלות גם להתקפה על חוות שרתים ואף ספקיות אינטרנט (ISP). התקפות כאלה דורשות הרבה יותר מהמתקיף אך הן עדיין אפשריות.

כאשר ההתקפה עוברת אסקלציה נוספת, אפשר לחשוב על התקפת מניעת שירות למדינה. התקפה כזו משמעותה בעצם חסימה של חלק/כל תקשורת האינטרנט בין המדינה לבין העולם ובכך למנוע שירות.

בשיחה עם הקולגות השאלה שעלתה היא כזו: נניח שההתקפה היא באמצעות מספרים, קאטר או גרזן ואפילו מצ'טה. נניח – קטיעת הקו הימי של ISP שיש לו כזה (רק מודיע מראש שאין לי שום דבר נגד תוכים, אפילו היה לנו אחד בחברה) ע"מ לבצע התקפת מניעת שירות. אסקלציה – קטיעת כל הקווים שיוצאים מהמדינה החוצה.

האם התקפה כזו היא התקפת סייבר?

הטענה של רוב האנשים – מצ'טה זה לא סייבר. הם צודקים. מצד שני האפקט כאן הוא סייברי לחלוטין. אפקטיבית זו התקפת מניעת שירות. זה באמת משנה אם השתמשתי במצ'טה, סוסים טרויאנים, בוטנט או גרזן? אם שילמתי למישהו שיוציא את התקע מהשקע, זה סייבר?

לדעתי התקפה כזו בהחלט יכולה להיות התקפת סייבר. הכלים הם לא המטרה. ההשפעה המצופה היא המטרה וזה ממש לא משנה איך משיגים אותה.

אז מה באמת חשוב? השיטה או התוצאה?

הדילמה הזו מביאה לשאלה הרבה יותר גדולה. אם הכלי הוא לא באמת משנה וניתן להשיג תוצאות משמעותיות עם כלים פשוטים יחסית, איך נוכל לדרג את איכות ההתקפה? האם איכות ההתקפה עלולה להימדד רק על פי התוצאות?
גם זו בעיה כיוון שגם התקפה ממומנת ומתוכננת היטב עלולה להיכשל. כישלון ההתקפה לא אומר שהיא לא היתה איכותית, מושקעת או מתוכננת. לפעמים גם דברים איכותיים נכשלים.

תודה לאבי קדם על הצילום

מבצע עמוד ענן ומלחמת סייבר

גיא מזרחי — Sat, 24 Nov 2012 19:35:38 +0000

מבצע עמוד ענן ומלחמת סייבר

רק לפני ימים אחדים נחתם הסכם הפסקת האש והטילים הפסיקו ליפול על תושבי המרכז (אבל לא על תושבי הדרום).

בימים האחרונים אני רואה בכל מקום את ההצהרות על מלחמת סייבר שמתנהלת כנגד מדינת ישראל.

הבעיה שלי עם כל הנושא הזה הוא שעד היום, שנים אחרי שנושא הסייבר עלה לכותרות, אין מספיק אנשים שמבינים מה זה סייבר ובטח שאין מספיק אנשים שמבינים מהי מלחמת סייבר.

אני אתחיל בשאלה הבסיסית: מה זה סייבר?

התשובה פה היא בעייתית. זה תלוי את מי שואלים.

אם תשאלו מתמטיקאי הוא יגיד לכם שקיברנטיקה היא ענף מתמטי.

אם תשאלו חברות אבטחת מידע התשובה תהיה שזו אבטחת מידע בשם מפוצץ כדי להרוויח יותר כסף (וידוי: זה מה שאמר לי בעלים של חברת אבטחת מידע מוכרת. זה עיצבן אותי מאוד.).

אם תשאלו איש צבא מהתחום הוא יגיד שזה מימד נוסף על אויר,ים ויבשה.

אם תשאלו איש פוליטיקאי שמבין בתחום הוא יגיד שסייבר הוא מימד פוליטי.

הבעיה האמיתית היא שכולם (בדרכם) צודקים.

המדינה נוהגת על פי התפיסה המדינית שבה סייבר הוא מימד פוליטי. ניתן לייצר בו השפעה, להילחם, להגן וכ"ו. למדינה יש חובת הגנה על אזרחיה ולכן היא אמורה להגן גם על מימד הסייבר.

ההגנה על מימד הסייבר במדינה מחולקת למספר גורמים:

- האחריות לבטחון הסייבר בצבא היא של חיל התקשוב שבו יש גוף שאמון על ההגנה במרחב הסייבר.

- בטחון הסייבר בגופים אזרחיים קריטיים (תשתיות קריטיות לתפעול שוטף במדינה כגון מים, חשמל, ביוב, גז וכ"ו) מונחים ע"י רא"ם – הרשות לאבטחת מידע בשירות הבטחון הכללי.

- האחריות להגנה על האזרחים במרחב הסייבר לא ברורה. יש תחומים בהם ישנו גוף שאמון על ההגנה ויש כאלה שמוזנחים לחלוטין.

- מטה הסייבר של מדינת ישראל מעורב גם הוא בפעילות ההגנה על הסייבר (מתוך וויקיפדיה: "בתחום הגנת הסייבר המטה פועל לחיזוק כלל העשייה בתחום ההגנה הקיברנטית. בין היתר פועל המטה להקמת רגולציה חוצת ענפים ורגולציה ענפית המותאמת לכל תחום בשיתוף עם משרדי הממשלה. בנוסף, פועל המטה להקמת חדר מצב קיברנטי לאומי אשר יעסוק בשיתוף מידע בין המגזרים ובין המערכת הביטחונית לאזרחית.")

כמו שניתן להבין, יש חלוקה מסויימת של גופי ההגנה אך יש גם תחומים אפורים שאף גוף אינו לוקח עליהם אחריות.

דוגמא אחת ניתן היה לראות השבוע שכאשר אתר מרכזי ומשמעותי כמו YNET נפרץ ופרטי חצי מיליון משתמשים מפורסמים – אין לו שום אחריות בנושא ואף גוף לא מטפל בנושא כדי להכיל את הבעיה בצורה אפקטיבית.

אתרים פרטיים ומסחריים שנפרצים פועלים במרחב הסייבר. לכאורה – המדינה אמורה לדאוג לבטחונם.

מה היא מלחמת סייבר?

שוב – תלוי את מי תשאלו.

אם תשאלו את הצבא, מלחמת סייבר היא יצירת פעולות משמעותיות שעלולות למוטט תשתיות קריטיות, תשתיות אזרחיות משמעותיות, כלכלה, נזק קינטי וכ"ו. במילים פשוטות – מה שיכול להביא לנזק משמעותי למדינה ולאזרחיה.

לא כולם חושבים כמו בצבא.

מאז תחילת מבצע "עמוד ענן" ישנן התקפות על אתרים שונים. חלקם קטנים וחסרי משמעות אמיתית מעבר למפעילים שלהם וחלקם גדול ומשמעותי.

פריצות לאתר של חברת "משה נעליים בע"מ" (חברה בדיונית) אולי מציקות לאותה חברה שהאתר שלה נפרץ אך אין להן משמעות מלחמתית אמיתית. סביר להניח שמלבד משה ובני משפחתו לא ממש נכנסים לאתר כזה.

פריצות לאתר חדשות מרכזי הן בהחלט משמעותיות בשני מובנים:

גניבת פרטים של אזרחים.
ביצוע מבצעי ל"פ (לוחמה פסיכולוגית) ע"י השתלת כתבות שאינן נכונות וכ"ו.

בימים האחרונים יש לא מעט דיווחים על "מלחמת סייבר" כנגד מדינת ישראל.

האקרים בודדים וכן גופים כמו Anonymous התקיפו מספר גדול של אתרים במדינת ישראל בפעילות שמכונה #OpIsrael.

חלק מהאתרים הושחטו על ידי שינוי פני האתר (Deface), שינויי DNS וכ"ו.

חלק אחר של האתרים נפרץ והתוצעה היתה הדלפת פרטים אישיים של משתמשים באתר (LEAK) כתוצאה בגניבת בסיס הנתונים של האתר.

נשאלת השאלה: האם זו מלחמת סייבר?

אני אסביר:

אם מישהו מעבר לגבולות המדינה מתקיף (פיזית) את אזרחי מדינתנו – המדינה אמורה להגיב ולהגן על אזרחיה ותשתיותיה (אני לא מתייחס לאמירה שזה לא תמיד קורה).

אם ייכנסו מחבלים ויתקיפו את אזרחי המדינה אנו נצפה שצה"ל ייכנס לפעולה ויפתור את הבעיה.

אם יירו עלינו טילים, יימצא פתרון כמו כיפת ברזל שימזער את הנזקים.

הבעיה שלנו במימד הסייבר שכשקורות התקפות על אזרחי המדינה, אתרים פרטיים, אתרים מסחריים וכ"ו – המדינה לא מגיבה. לא בצורה הגנתית (בדומה למיגון יישובים כנגד איומי רקטות) ולא בצורה התקפית (בדומה למבצע "עמוד ענן").

בעיה נוספת: אין למי לפנות. אין במדינת ישראל שום גוף שאמון על בטחון הסייבר הכולל.

נחזור לשאלה המקורית: האם זו מלחמת סייבר?

זו שאלה מורכבת.

אני לא בטוח שאוכל להשיב על השאלה במאמר מסוג זה אך אני נוטה להגיד שלא. זו לא מלחמה.

זה ברור שיש כאן פעולות התקפיות על אתרים ישראליים ואפילו על אזרחי המדינה בצורה עקיפה.

אבל זו מלחמת סייבר?

שוב, לעניות דעתי התשובה היא לא.

כמו שלא כל פעולה של מחבל היא הכרזת מלחמה לא ייתכן שהאקר בודד או אירגון כמו אנונימוס יתחיל במלחמה.

מלחמה (על פי ויקיפדיה): "מלחמה היא מאבק בין גופים שונים מזוינים, לרוב עמים, שבטים או מדינות, על מנת להכניע אויב או אויבים כלשהם, ולגרום לו לקבל את דרישות המנצח, לדוגמה, שליטה בטריטוריה ספציפית או על אוכלוסייה מסוימת."

אין ספק שהאקר מיומן עונה להגדרה של גוף מזוין. זה אפילו יותר נכון כשמדברים על אנונימוס. אבל נחזור למשה נעליים.. האם אתרו של משה נעליים בע"מ הוא גוף מזוין? האם למשה עצמו יש אפשרות להגיב או להכניע את ההאקר שהתקיף את אתרו?

זה יותר מתאים להגדרה של טרור:" טרור הוא סוג של מאבק אלים, המופנה בעיקר כלפי אזרחים, במטרה להפחידם, לשם השגת מטרות פוליטיות-חברתיות‏‏".

האם כל פעולת טרור היא הכרזת מלחמה?

התשובה היא לא. מדינות רבות מבליגות לא פעם על מעשי טרור כנגדם או נגד אזרחים שלהן.

אין ספק שפעולת טרור עלולה לגרום לתחילטה של לחימה ואפילה להסלמה ומלחמה אך לא כל פעולת טרור היא הכרזת מלחמה.

אז מה זו מלחמת סייבר?

האמת? אין לי מושג.

יש לי לא מעט רעיונות שאני לא אפרט כאן (כדי לא להכניס רעיונות לאף אחד J) אבל מלחמת סייבר אמיתית עדיין לא ראינו.

כבר נפגשנו עם מעט כלי לחימה בסייבר (Stuxnet היא דוגמא טובה) ועם לא מעט כלי ריגול בסייבר (Flame היא פאר היצירה בתחום אבל אפילו סוסים טרויאנים פשוטים עונים להגדרה "כלי ריגול בסייבר") אבל (לעניות דעתי) מלחמה אמיתית עוד לא היתה בסייבר.

יש לא מעט אמירות לגבי מלחמת סייבר באסטוניה, בגאורגיה וכ"ו אבל לדעתי – המלחמה האמיתית בסייבר עוד לא הגיעה.

מצד שני, אני לא מאמין שנצטרך לחכות הרבה זמן עד שהיא תגיע..

ההבדל בין אבטחת מידע להגנה בסייבר

גיא מזרחי — Fri, 19 Oct 2012 21:40:31 +0000

בשנים האחרונות אנו עדים יותר ויותר לשימוש במוושגים כגון : cyber security, cyber defense אירועי סייבר וכו'. בעבר נהגו מומחי אבטחת מידע למינהם להשתמש בעיקר במושג :"אבטחת מידע" ונגזרותיו :"אירועי אבטחת מידע" , "תפיסת אבטחת מידע" וכו'. הוכחה לשינוי בעולם המושגים ניתן לראות בגרף הבא, המתאר את כמות החיפושים של המונחים בגוגל ברחבי העולם :

הגרף מראה כי ישנה עלייה גדולה בכמות החיפושים של הגנת סייבר(כחול) לעומת ירידה כמעט ביחס ישיר של חיפושי אבטחת מידע(באדום).

אנשים רבים תוהים האם בכלל קיים הבדל בין המושגים? ישנם הטוענים כי המושגים מייצגים את אותו הדבר בדיוק, וכי המשתמשים במונחי "סייבר" עושים זאת כדי לתאר "אבטחת מידע" בצורה סקסית יותר. לטענתם אין הבדל בין המונחים והשימוש במושג "סייבר" נעשה ע"מ למסך או לעמעם חוסר ידע מקצועי. אז האם אכן מדובר באותה גברת בשינוי אדרת?

לדעת רוב העוסקים כיום בהגנה על מרחב הסייבר, קיים הבדל מהותי בין השניים. ההבדל טמון בתפיסה של מרחב האחריות עליו מגנים. בתפיסת "אבטחת מידע" אנו רואים במידע כגורם עליו אנו אחראים להגן. המידע הוא הנתונים (ביטים) העוברים במערכות התקשורת עליהם אנו אחראים והתוצרים הפיזיים שלו, למשל דף המכיל מידע מסווג על הארגון נכלל בתחום האחריות הנרחב ביותר של "אבטחת מידע".

רבים משתמשים במושג ה"סייבר" למטרות שונות ומגוונות, כך שנדמה שאין בעצם משמעות אחת למושג. כדי להבין את תפיסת "ההגנה בסייבר", נצטרך תחילה להגדיר מהו מרחב הסייבר. כמו ברבים מהמושגים הקיימים בתחום, ישנה אי-הסכמה בין העוסקים בנושא.כך למשל, גרמניה רואה במרחב הסייבר רק את הרובד הלוגי המקושר באופן גלובאלי- כלומר בעיקרון רק את רשת האינטרנט העולמית ורשתות המקושרות אליה באופן ישיר. לעומת זאת בריטניה רואה במרחב זה את הרובד הלוגי באופן נרחב יותר- כולל בתוכו גם רשתות מבודדות שאינן מקושרות לרשת האינטרנט. ארה"ב רואה במרחב זה את הרובד הלוגי והפיזי, מרחב לחימה כמו יבשה, אוויר,ים וחלל.

לראייתנו מרחב הסייבר מורכב מ-3 רובדים: לוגי, פיזי ואנושי.

– הרובד הלוגי הוא למעשה המידע והנתונים העוברים ברשתות השונות.
– הרובד הפיזי הינו אמצעי החומרה במרחב זה: אותות אלקטרוניים, מעבדים, מסכים וכו'
– הרובד האנושי מורכב מהמתכנתים, גורמי ה-IT , גורמי אבטחת מידע, משתמשים, אורחים וכו'

ההגנה במרחב הסייבר הינה אפוא על מרחב גדול בהרבה מזה שבתפיסת ה"אבטחת מידע". למעשה, אבטחת המידע היא רק חלק מההגנה בסייבר- נגזרת של החלק הלוגי. מעבר אליו, אנו מתייחסים גם לאיומים על האמצעים הפיזיים והגורמים האנושיים במרחב הסייבר.

ההגנה על הגורמים האנושיים הינה למעשה עולם האבטחה הפיזית ומחלקת הביטחון- אמצעי אבטחה, בקרות כניסה, סיווג, הגדרת רגישות מידע וכו'. מרחב הסייבר מהתך את הרובד האנושי עם שאר הרבדים. דוגמא טובה לאירוע סייבר שיזוהה אך ורק מ"היתוך"(קורולציה) שכזה הינו משתמש לגיטימי המתחבר לרשת הארגון בצורה תקינה אך בלי שהעביר תג זיהוי בכניסה לבניין – האם מדובר במרגל הגנב את נתוני ההזדהות של אותו אדם?

באמצעים פיזיים נכליל גם בקרי צנטריפוגות להעשרת אורניום, אשר קוד תוכנה הוא זה המורה להן באיזו מהירות להסתובב ולאורך כמה זמן, ושינוי באותו קוד יכול להוביל להשבתת אותן צנטריפוגות. דוגמא זו מובאת כאן כדי להבהיר את מהות הרובד הפיזי אך גם כדי לתאר את "נקודת המפנה" בהתייחסות למרחב הסייבר, והיא תולעת ה"סטאקנט" אשר התפרסמה בשנת 2010.

לא ארחיב בפרטים על התולעת המפורסמת אשר עפ"י גורמים איראניים פגעה במתקני הגרעין האיראני וגרמה לפגיעה משמעותית בפרוייקט הגרעין שלהם, והובילה את צבאות העולם כולו להבין כי העתיד כבר כאן- ישנו נשק סייברי, הוא הופעל ובהצלחה לא מבוטלת, והגיע הזמן להיערך מבחינה הגנתית. בעקבות התפרצות התולעת והבנת ההשלכות, החלו לצוץ ברחבי העולם גופים העוסקים בהגנה בסייבר.גם בצה"ל מרחב הסייבר הוגדר כמרחב לחימה לכל דבר, והוקם גוף אשר כל מטרתו לעסוק בהגנה על מרחב הסייבר הצה"לי. בנוסף הוקם בארץ מטה הסייבר הלאומי.

הסקנו כי אבטחת מידע היא חלק מההגנה בסייבר. אם כך,האם כל אירוע אבטחת מידע הוא בהכרח אירוע סייבר? התשובה לכך בפשטות היא לא, אם כי יש הרבה מאד תחום אפור בנושא אשר נתון לפרשנויות שונות. נקח לדוגמא מספר אירועים וננסה לנתח האם הם אירועי סייבר או אבטחת מידע, ב-5 פרמטרים :זהות התוקף,מטרת התוקף, שיטת התקיפה, היקף הנזק והשפעת הנזק.

בשנת 2001 תולעת בשם “Code Red 1” מתפרצת ברחבי העולם כאשר בקוד שלה מסתתרת מטרה אחת ויחידה – פנייה לאתר הבית הלבן בתאריך מסויים בשעה מסויימת, ע"מ לגרום להשבתת האתר- מתקפת DDOS קלאסית.זהות התוקף אינה ברורה אך ההשערה היא שהסינים עמדו מאחורי התקיפה. מטרת התוקף במקרה הזה ברורה- הפלת אתר הבית הלבן. היקף הנזק קטן- השבתת האתר למספר שעות( למרות שהתקיפה לא צלחה בשל שינוי כתובת ה-IP של אתר הבית הלבן). השפעת הנזק יכולה הייתה להיות בינונית- הבית הלבן מייצג משהו משמעותי עבור האומה האמריקאית, ומבחינה פסיכולוגית פגיעה באתר היא פגיעה בו ויכולה להוריד את המורל הציבורי. עם זאת כיוון שמדובר אך ורק בפגיעה באתר הבית הלבן ולמספר שעות בודדות-כלומר תקיפה פשוטה עם היקף והשפעת נזק קטנים יחסית, ניתן להתייחס לאירוע זה כאירוע אבטחת מידע.

בשנים 2007- 2008 נתקפו אתרי ממשל וציבור רבים במדינות אסטוניה וגיאורגיה ע"י כתובות IP רוסיות. התקיפה על גיאורגיה לוותה במלחמה גם במרחב האווירי והיבשתי.זהות התוקף הינה הרוסים, וברור שמתקפה גדולה שכזאת כוונה ע"י הממשלה הרוסית. שיטת התקיפה הייתה DDOS והשחטת אתרים (באמצעות SQL INJECTION וכו'). מטרת התוקף הייתה לפגוע ביכולת המשילות ואמון הממשלה בדעת הציבור במדינות הנפגעות. היקף הנזק היה גדול -עשרות ומאות אתרים שנפגעו בכל מדינה. השפעת הנזק הייתה גדולה- פגיעה ביכולת המשילות ובמורל הציבור במדינות הנפגעות.תקיפה באמצעים פשוטים יחסית, אך עם היקף והשפעת נזק גדולים ומדינה העומדת מאחורי התקיפה, ולכן נתייחס לאירוע זה כאירוע סייבר.

בשנת 2011 בוצעה תקיפה על חברת RSA , חברת אבטחת המידע מהגדולות בעולם. זהות התוקף אינה ברורה, אך ניתן לשער כי זו מדינה בשל מטרת התקיפה הסופית. שיטת התקיפה הייתה שימוש בהנדסה חברתית , שימוש ב DAY-0 להדבקה והתקנת "סוס טרויאני" ברשת הנתקפת. מטרת התוקף הייתה השגת אלגוריתם ייחודי של מוצר “SecureID”. היקף הנזק היה גדול- האלגוריתם הייחודי הינו נכס רגיש מאד של חברת RSA. השפעת הנזק הייתה גדולה גם כן- בעקבות השגת האלגוריתם יכלו התוקפים לפרוץ לחברות רבות אשר השתמשו באותו מוצר אבטחה, ואכן כחודשיים לאחר התקיפה על RSA נתקפה חברת "לוקהיד מרטין", חברת ייצור הנשק הגדולה בעולם, ונגנב ממנה מידע יקר ערך. רבים מעריכים כי התקיפה בוצעה באמצעות השימוש ב"שלל הטכני" מהתקיפה ב-RSA אשר היה רק שלב א' בתקיפה, ורואים ביעד התקיפה את חברת "לוקהיד מרטין". תקיפה באמצעים מורכבים, היקף והשפעת נזק גדולים וגם כאן נראה כי מדינה עומדת מאחורי התקיפה, ולכן נתייחס לאירוע זה כאירוע סייבר.

לסיכום, ניתן לומר כי תפיסת ההגנה בסייבר הינה "אבולוציה" של תפיסת האבטחת מידע. לא ניתן להפריד בין השניים, וכל אדם המתיימר לעסוק בהגנה בסייבר חייב להבין באבטחת מידע, אם כי לא באופן העמוק והטקטי אלא יותר במישור האסטרטגי- תפיסתי של אבטחת מידע, אשר מהווה את הרובד הלוגי. ההגנה בסייבר מכילה בנוסף את הרובד האנושי- מה שתוכלל בעבר אצל גורמי הביטחון והאבטחה הפיזית(סיווג ביטחוני וכו'), ואת הרובד הפיזי- אותם אמצעי חומרה ( מעבדים, מעגלים חשמליים וכו') המרכיבים את מרחב הסייבר ואלו המושפעים ממנו בצורה ישירה(בקרי צנטריפוגות, בקרי מכונות הנשמה וכו'). לא כל אירוע במרחב הסייבר הוא בהכרח אירוע סייבר- ישנם אירועים פשוטים יחסית אשר מטופלים היטב באבטחת מידע, כמו שישנם אירועים ביטחוניים פשוטים אשר מטופלים במחלקת הביטחון ואינם מגיעים לדרגת אירוע סייבר.

מאמר זה נכתב על ידי גיא ניצן,

גיא משמש כאנליסט סייבר אסטרטגי בחברת סייבריה.

כולם יודעים מה אתם עושים

גיא מזרחי — Tue, 26 Jun 2012 13:47:47 +0000

זוכרים את האתר http://pleaserobme.com ?

האתר פשוט לקח את כל המיקומים שאנשים מפרסמים שהם נמצאים בהם והציג בצורה ויזואלית למי אפשר לפרוץ הביתה כי הוא כרגע לא בבית.

על אותו משקל נוצר אתר חדש:

http://www.weknowwhatyouredoing.com

השם די מסביר את עצמו

הרצאה שלי בכנס הסייבר הבינלאומי השני

גיא מזרחי — Sat, 16 Jun 2012 06:20:42 +0000

כנס הסייבר הבינלאומי השני כלל מספר הרצאות מעניינות.
אנשים רבים אמרו שגם שלי היתה כזו

מי שלא ראה:

http://video.tau.ac.il/events/index.php?option=com_k2&view=item&id=2785:2nd_annual_international_cyber_security_conference_15&lang=en

נסיון פישינג ממוקד ל-TWITTER?

גיא מזרחי — Sat, 09 Jun 2012 18:54:26 +0000

מישהו מנסה לטרגט אותי שוב?
קיבלתי מייל כזה:

מי ששם לב לקישור שלוחצים עליו – מדובר באתר: http://twitter.ie/guymiz. יפה.
כשמגיעים לאתר, מקבלים את זה:

בכתובת הזו:

לאחר ביצוע Login מועברים ל-twitter.com.
מה הבעיה?

בבדיקה של הדומיין מקבלים את הפרטים הבאים:

וכמובן:

מה אנחנו לומדים מזה?
1. אולי הדומיין באמת של twitter?
2. אולי מישהו חכם רכש אותו ונתן פרטים כוזבים?
אין לי מושג. בכל מקרה – תיזהרו..

אורי בלאו – בוגד?

גיא מזרחי — Mon, 04 Jun 2012 14:36:04 +0000

בימים האחרונים התפרסמו במדיה לא מעט ידיעות בעיתונים השונים ואפילו התארגנה הפגנה למען העיתונאי אורי בלאו ונגד ההחלטה להעמיד אותו לדין באשמות החזקת ידיעות סודיות. להזכירכם: אורי בלאו הוא העיתונאי שפירסם מידע אותו קיבל מהמסמכים המסווגים שגנבה ענת קם מלשכת האלוף בעת שירותה הצבאי.
המידע שפורסם – אולי ראוי שהתפרסם. זו לא הנקודה החשובה בעניין.

על פי הפרסומים בלאו החזיק בידיו אלפי מסמכים מסווגים. כשנדרש להחזיר אותם הוא החזיר 50 מסמכים ואף טען שאין עוד מסמכים מסווגים. בכך בעצם ניסה לשבש את החקירה ולהטעות את חוקריו ע"י מצג שווא.
בלאו החזיק ברשותו מסמכים בסיווג "סודי" ו-"סודי ביותר" בעלי פוטנציאל נזק עצום.

YNET כותבים על המסמכים:
"חשיפתם, או הגעתם האפשרית של המסמכים לידי גורמים עויינים הייתה גורמת נזק לביטחון המדינה ומסכנת את חייהם של חיילי צה"ל. תוכן המסמכים כלל תוכניות שונות למבצעים צבאיים, סיכומי דיונים שונים בצה"ל, פריסת כוחות צה"ל כולל סדר כוחות הצבא, סיכומי תחקירים, הערכות מצב, יעדים שונים של צה"ל וכדומה. מסמכים אלו הוחזקו בידי בלאו במחשבו הנייד האישי ובמקומות פזורים אחרים שבחר, ללא כל אמצעי בקרה או אבטחה".

בכל הסיפור הזה מטרידות אותי כמה עובדות:
. מאז הסיפור התפרסמו כבר לא מעט אנשים שמודים בגלוי שהם מחזיקים חומר סודי "לצורך עבודתם".
כשאני שואל את עצמי – למה עבודתם חשובה יותר מעבודתי?
גם אני הייתי חשוף לחומרים מסווגים לא פעם ולא פעמיים. מעולם לא חשבתי לקדם את טובתי האישית תוך כדי פגיעה בבטחון המדינה.
אין ספק שחלק מהמסמכים שהיו ברשותי יכלו לקדם אותי בתפקידי השונים ובפעילויות השונות שביצעתי באזרחות אך לי כאזרח אין את הרשות להחזיק חומר שכזה ולכן הוא נשאר איפה שהיה.
אין לי ספק שזכות הציבור לדעת היא חשובה. זה אינטרס של כולנו לדעת על מחדלים אך מה קורה שתוך כדי הגילוי פוגעים בבטחוננו?
אם מישהו היה שואל אותי – הייתי משיב ש"זכות הציבור לדעת" אינה עומדת לפני "זכות הציבור לחיות בבטחון".

לגבי העיתונאים:
אני ממליץ ליחידות אבטחת המידע בצבא לתפוס את מחשבי הכתבים האלה.
לא מזיזות לי הצעקות הצפויות על "סתימת פיות", "פגיעה בדמוקרטיה" וכ"ו.
מסמכים מסווגים מקומם במקומות שמוכשרים לכך ולא על מחשב של עיתונאי ללא יכולת הגנה בסיסית בפני איומי סייבר.
משפטית – אני בספק אם יש פה בעיה. חלקם הגדול הודו שיש ברשותם מסמכים מסווגים. זו עילה לתפיסת המחשב.

למרגלים אחרי מדינת ישראל יש כרגע דרך מעניינת לרגל אחריה:
1. קרא את העיתונים ובחר לך עיתונאי שהודה שיש לו מסמכים מסווגים על המחשב.
2. צור לך סוס טרויאני. צור PDF עם קצת מלל הזוי ודאג שיהיה בו אקספלויט מדביק.
3. שלח לעיתונאי.
4. בצע מיצוי של כל החומר בדרגת סיווג "סודי" ומעלה מהמחשב.
5. העבר את הידיעות המסווגות לחבריך, אויבי ישראל.

התהליך פשוט וניתן לביצוע ללא עלות. למה אתם מחכים?

24 כונני SSD על מחשב אחד?

גיא מזרחי — Wed, 30 May 2012 10:51:26 +0000

דרך רון רייטר (שהוא גם חבר וגם בנה את http://www.learnpython.org המעולה) , הגעתי לסרטון הזה :

http://www.youtube.com/embed/96dWOEa4Djs

תודו שזה פסיכי לגמרי..

פריצת WPA2 עם סיסמה מסובכת

גיא מזרחי — Fri, 25 May 2012 06:22:45 +0000

נשאלה היום בפורום שאלה כזו: פריצת wpa\wpa2

ראיתי שאפשר לכתוב את הסיסמה של התקן ההצפנה בשפה המקומית (לדוגמה עיברית)
כך יוצא שהסיסמה יכולה להיות "בושםפ33ה" במצב כזה לנסות להריץ airocrack-ng עם צירופי מילים לא יעזור כי הסיסמה הנ"ל לא תיהיה שם
איך בכל זאת אפשר לפרוץ רשת בתקן wpa2?

התשובה שלי מצורפת:

אתה יכול לייצר מילון משלך שיכלול מילים בעברית (אם כי רוב הסיכויים שלא תגיע לצירופים כאלה).
צריך להודות – Dictionary attack & Brute force הן לא הדרכים המושלמות לפריצה.במיקרים מסויימים ניתן להשתמש בחולשת ה-WPS שניתנת לניצול ע"י כלי שנקרא ריבר. מצורפים פרטים:
http://geeknizer.com/how-to-crack-wp…wifi-password

כנס הסייבר הבינלאומי השנתי השני

גיא מזרחי — Thu, 17 May 2012 13:18:38 +0000

בשנה שעברה כנס הסייבר הבינלאומי היה מעניין.
הפעם כנס הסייבר הבינלאומי השנתי (ה-2) הולך להיות פשוט מעולה.
מרצים מעולים מהארץ ומחו"ל, הרצאות מעניינות וגם פרופסור בן ישראל, יובל דיסקין, אהוד ברק וביבי.
אני אהיה שם (גם על הבמה).
ממליץ מאוד!
לתוכנית הכנס: http://www.cyberia.co.il/conf/ci2012heb.pdf (אנגלית: http://www.cyberia.co.il/conf/ci2012eng.pdf).

להרשמה:

http://yuvalneeman.quickyweb.com/home/doc.aspx?mCatID=82

דיסLIKE למתי מנקס

גיא מזרחי — Tue, 28 Feb 2012 10:33:48 +0000

במהלך השיטוטים שלי בפייסבוק היום נתקלתי במודעה מעניינת (לפחות את הגברים מביננו):

מצד אחד – פורנו. זה טוב. בשביל זה נולדה האינטרנט, לא?

מצד שני, כדי לראות את הסרטון האומלל, אתם מגיעים לזה:

מעניין. של מי האתר הזה? (www.fb-share.me)

פרטי המתחם: ( http://whois.domaintools.com/fb-share.me )

Registrant Name:irina skiba
Registrant Address:kiriat sefer 54
Registrant City:ofaqim
Registrant Country/Economy:IL
Registrant Postal Code:87580
Registrant Phone:+972.0502145313
Registrant E-mail: gomel4anka@gmail.com

נמשיך לחפור.

מה יש באתר?

אז כדי להגיע לקצת פורנו איכותי יש צורך ללחוץ LIKE. ולא פעם אחת. כמה וכמה פעמים.

מה עומד מאחורי הלייקים האלה? את מי אנחנו הולכים לקדם? אין לנו מושג..

קוד?

איך זה נראה?

אז מי עומד מאחורי הדף הזה?

בחור בשם מתי מנקס. הוא לא טורח להחביא את עצמו ואף חושב שהנושא חוקי לחלוטין (כפי שנודע לי בשיחת טלפון איתו).

הדור החדש של הספאמרים?

האם סימנטק ניסתה לשחד חברים באנונימוס?

גיא מזרחי — Tue, 07 Feb 2012 07:01:06 +0000

אתמול קיבלתי אינדיקציה מעניינת מאוד מחטיבת המחקר של סייבריה על המון מידע בנושא ורציתי לשתף קצת מהדברים הגלויים:

כזכור, סימנטק הודיעה ב-26.1.12 שקוד המקור של Pc-Anywhere נגנב ולכן יש צורך להפסיק פעילות עם המוצר עד להתקנת Patchים ששוחררו לאחר מכן.

מוקדם יותר, בתחילת ינואר הודיעה החברה על גניבה של קוד המקור של מוצר האנטיוירוס שלה.

כעת נוסף לכל זה, נראה שסימנטק ניסתה (לכאורה) לשחד חבר באנונימוס כך שלא ישחרר את קוד המקור של PC-Anywhere ו-Norton Utilities.

ההצעה – 50000$ תמורת כך שלא ישוחרר הקוד.

הכל התחיל עם טוויט של LOD:

ומייד אחר כך זה ממשיך:

ולבסוף ההודעה הרשמית:

ורק כדי שיהיה ברור:

ההתכתבות המלאה נמצאת פה:

http://pastebin.com/GJEKf1T9

או כאן:

http://sir.guym.co.il/save/symantec-bribe.txt

יש המון שמועות על סחטנות כזו או אחרת במימד הסייבר. לא הרבה פעמים רואים פרסומים של התכתבויות כאלה.

חלק גדול מהסחיטות המתבצעות במימד הסייבר מושתקות ע"י תשלום, התעלמות, פנייה לרשויות. לעיתים רחוקות במיוחד הנושא מטופל בצורה בלתי חוקית ע"י תקיפות חזרה (אבל אף אחד לא יודה שזה קורה).

אשמח לשמוע דעתכם בנושא. אמיתי? פברוק? יש דרך לדעת?

LINUX PE Exploit

גיא מזרחי — Sat, 04 Feb 2012 10:09:27 +0000

למי שפיספס אותו, יצא אקספלויט שמאפשר PE מיוזר רגיל ל-root בלינוקס.

מיועד ל-kernels >=2.6.39 וזה אומר הרבה..

http://git.zx2c4.com/CVE-2012-0056/tree/mempodipper.c

איך מפעילים? שמרו אותו בשם כשלשהו (נניח pe.c) על שרת הלינוקס שלכם כשאתם עם משתמש רגיל.

קימפול:

gcc -o pe pe.c

הפעלה:

./pe

אם הכל היה בסדר והקרנל שלכם פגיע התשובה ל-whoami תהיה root

למידע נוסף, http://blog.zx2c4.com/749

Google Insights

גיא מזרחי — Thu, 02 Feb 2012 11:11:01 +0000

היום אופיר דוד, אחד העובדים שלנו בסייבריה שתחום ההתמחות שלו הוא OSInt, סיפר לי על גוגל Insights. מדהים שלא הכרתי את הדבר הזה קודם

כלי ממש חזק שמלמד הרבה על מה אנשים מחפשים.

פייסבוק בשירות ה-CIA

גיא מזרחי — Thu, 02 Feb 2012 03:20:35 +0000

אתמול הייתי בכנס הרצליה במושב סגור אודות סייבר ורשתות חברתיות.

המושב (בניהולו של פרופסור בן ישראל) נפתח בסרטון הנהדר הבא:

פייסבוק בשירות ה-CIA

הרהורים על לוחמת סייבר

גיא מזרחי — Wed, 19 Oct 2011 11:34:34 +0000

חבר שלח לי את המאמר הזה: http://www.nytimes.com/2011/10/18/world/africa/cyber-warfare-against-libya-was-debated-by-us.html?_r=3&hp

הרעיון הכללי היה לשבש מערכות תקשורת בלוב לצורך שיבוש מכ"מים ולשבש פעילות של סוללות טילים על מנת שמטוסי נאטו יוכלו להתקיף ללא חשש.

אם נעזוב לרגע את הברבורים על האם מותר לנשיא להחליט על התקפה כזו ללא הקונגרס, יש שם כמה דברים מאוד מעניינים.

דבר אחד הוא החשש לעודד מדינות כמו סין ורוסיה להשתמש בהתקפות כאלה בעצמן. על הטענה הזו צריך להגיד לחבר'ה שם בוקר טוב; רוסיה וסין משתמשות בסייבר הרבה מאוד ואין צורך "לעודד" אותן. הן כבר "מעודדות" בעצמן.

נושא נוסף מעניין הוא החשש מפני חקירה אודות הטכניקות או היכולות שישמשו לייצר התקפה כזו בזמן קצר. אם אכן ישנם יכולות כאלה, זה בהחלט מדאיג שלא יגלו אותן אך כאן נשאלת השאלה: למה מפתחים יכולות כאלה? האם כדי לשמור אותן בצד או כדי להשתמש בהן בעת הצורך?

בעולם הסייבר אם תסגיר יכולות שלך ישנו סיכוי סביר שלא תוכל להשתמש בהן שוב. זה לא אומר שאתה לא אמור להשתמש ביכולות אלא רק להפעיל שיקול דעת מתי כדאי להשתמש בהן ומתי לא.

בסופו של דבר, השימוש בנשק סייברי נותר בצד. ההחלטה הזו נכונה לדעתי בשל שתי סיבות עיקריות:

1. ניתן לבצע את המשימות ללא שימוש בנשק סייבר ללא איבוד טכנולוגיה אחרת וללא סיכון לחיי אדם. ישנם מטוסים בעלי טכניקות לשיבוש מכ"מ (ע"י ל"א או ע"י חמקנות).

2. אין צורך בטשטוש הגורם המתקיף. כולם יודעים שנאטו היא המתקיפה ואין צורך להשתמש בכלי נשק שלא יצביע על העובדה שזו היא.

אם ניקח לתוך השאלה הזו מקום שכן השתמשו בנשק סייברי (בבלעדיות) אפשר לדבר על StuxNet.

במקרה הזה השימוש בנשק סייבר הוא אכן נכון:

1. אני מניח שקשה מאוד לייצר התקפה בכור באיראן. סביר מאוד שישנם לא מעט חגורות הגנה על המקום.

2. אף מדינה לא רוצה להזדהות כמתקיפה. נכון שיש שטוענים שמדינה א' או ב' אחראיות לתולעת אך אין הוכחות לכך.

עוד נושא מעניין הוא שאובאמה אוהב טכנולוגיה. נחשפנו למידע הזה מזמן וזה ברור שהוא רוצה לייצר יכולות לחימה טכנולוגיות. הוא מאמין ביכולות האלה.

תירוץ טוב להשקעה אדירה בסייבר הוא הצורך לשמור על הבטחון ועל הרשתות הקריטיות, להגן על המדינה מדלף מידע.

זו הפעם השנייה שדרך הפעולה של שימוש בסייבר לשימוש מכ"ם מוצעת. הפעם הקודמת היתה בפשיטה לצורך חיסולו של בין לאדן. גם אז הדרך הזו נפסלה והשתמשו פשוט במסוק חמקני.

נאמר בכתה שמקבלי ההחלטות רוצים לשמור את היכולות ולהשתמש בהן רק בשעת הצורך האמיתית. זו החלטה נבונה. הדבר שנכתב בכתבה הוא שמתייחסים ליכולות האלה כאל ה"פרארי" החדשה שאתה מחזיק במוסך ומוציא אותה רק למירוצים ולא כדי לנהוג בעיר. הגיוני.

מסתבר שההחלטה לא הגיעה בסוף אל הבית הלבן, פקידים הרבה פחות בכירים הספיקו כדי להחליט שאין טעם להשתמש בנשק סייבר. האחראי על ההתקפה אמר שלא היה אמצעי שהוא ביקש לצורך מילוי המשימה שלא ניתן לו. תרגום – הוא לא ביקש להשתמש בנשק סייבר.

המשפט שאני הכי מזדהה איתו בכתבה בזו הוא זה שאחת הסיבות לכך שלא השתמשו בנשק סייבר היא שקיים סיכון שהוא לא יהיה מוכן בזמן. בניגוד לפעילות סייבר התקפית בסרטים ששם כמה לחיצות על מקשים מספיקות כדי לפרוץ לכל מקום, תקיפת סייבר לוקחת זמן.

יכול מאוד להיות שישנה מוכנות להשתמש בנשק סייבר אבל צריך לחשוב על זה מראש. במילים אחרות: יכול מאוד להיות שהם רוצים להשתמש אבל המערך הטכני לא בטוח שהוא מסוגל לייצר את התפוקה בזמן.

יש סבירות גבוהה שהחבר'ה למעלה לא הפנימו שבניגוד לטיל שאותו אתה מייצר מראש והוא מוכן פחות או יותר לכל מטרה שתרצה, נשק סייבר הוא לא כזה.

אם תרצה להשתמש ביכולות סייבריות אתה צריך להיערך מול יעד ספציפי ובעצם כמעט שלא ניתן לייצר כלי גנרי שיתאים לכל מטרה.

במילים אחרות, אם תרצה לייצר השפעה במקום כלשהו היום, כנראה שהיית צריך להתחיל לחשוב על זה לפני כמה שבועות, חודשים או שנים.

ראיון שלי ב-103FM על פרשת הטרויאנים לסלולרים.

גיא מזרחי — Tue, 20 Sep 2011 04:34:21 +0000

סוס טרויאני למשטרת ישראל?

גיא מזרחי — Tue, 09 Aug 2011 05:52:52 +0000

אחרי שראינו שיש ל-FBI סוס טרויאני ואנחנו יודעים על שגעון הסייבר שתופס בעולם. אחרי שאנו יודעים שבסין יש ריגול באמצעות טרויאנים ושכמעט כל גוף ביון שמכבד את עצמו עושה שירות בכלים כאלה, משטרת ישראל מצטרפת לחגיגה.

שימו לב לכתבה הזו:

http://www.ynet.co.il/articles/0,7340,L-4106280,00.html

שימו לב במיוחד לזה:

יפה.

VirusTotal.com

גיא מזרחי — Sun, 07 Aug 2011 08:13:38 +0000

היה לי קצת זמן ביום שישי וניסיתי להשתעשע קצת.
יצרתי לי Zeus שיתקשר עם C&C ושלחתי ל-VIRUS TOTAL.
האתר בודק את הקובץ במגוון אנטיוירוסים ומודיע אם הוא נגוע או לא.
משהו נוסף שהאתר עושה הוא לשלוח את הדגימות הנגועות לחברות שמייצרות אנטיוירוסים ונלחמות ב-Malware.
כמה זמן זה לוקח?
ממש מהר.
העלתי את הקובץ אל Virustotal ביום שישי והיום בבוקר קיבלתי טלפון מחבר שעובד ב-Startup בתחום ששואל אותי אם עשיתי משהו כזה.
היה משעשע
תוך פחות מ-48 שעות החברות מקבלות את הדגימה של הקובץ.
מהיר ועצבני.

הרצאה של טטל על סטקסנט (Stuxnet)

גיא מזרחי — Tue, 02 Aug 2011 03:44:48 +0000

מחר, יום רביעי, טטל מעביר ב-Security UG של Microsoft הרצאה על StuxNet.

ההרצאה נקראת: "מה רוצה התולעת?".

ממליץ להירשם (ללא עלות) ולהגיע.

לצערי אני לא אהיה – אני מלמד מחר. ספרו לי איך היה..

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032490910&Culture=he-IL

שירי באר רוצה להוסיף אותי ב-LinkedIn

גיא מזרחי — Tue, 26 Jul 2011 06:22:30 +0000

יכול להיות שהייתי מסכים, הבעיה היא שאני לא בטוח שזו היא או שיש בכלל מישהי כזו.

כשבודקים קצת מי זו, רואים שאין לה רשת מכרים ב-LinkedIn ושהיא מאיראן.

טוב, כנראה שהיא לא באמת חברה שלי

HackerLeaks

גיא מזרחי — Fri, 01 Jul 2011 06:58:01 +0000

מכירים את WIKIleaks? מעולה. זה ישן.

תכירו את HackerLeaks.

ניתן לשגר לשם Leaks שמצאתם או פרצתם.

הפרוייקט התחיל כשיחה בין חברים ב-Peoples Liberation Front.

מה כבר יש שם? לא הרבה בינתיים. אני מניח שיהיו יותר בזמן הקרוב.

ניתן לראות את זה פה:

http://hackerleaks2011.blogspot.com/

סין תוקפת שנית

גיא מזרחי — Wed, 29 Jun 2011 21:52:42 +0000

יש כבר איזו בדיחה בעולם הסייבר שכל המדינות מנסות לתקוף ללא שיבחינו בכך ורק סין "משתינה מהמקפצה".
היא לא מפחדת לתקוף את כל העולם ואחותו בסייבר וגם לא כל כך מסתירה את זה.
מקרים כמו הריגול אחרי הדלאי למה הם ברורים ואפשר גם להבין למה לא טורחים להסתיר אותם אבל יש דברים שכן היינו מצפים שיהיו רגישים יותר.
מתגים שמכילים פונקציות ריגול זה בהחלט דבר מעניין. הודו עלתה על העניין וכתוצאה מזה החליטה שלא לרכוש ציוד מהחברה (ואולי לא?).

מסובך.

תוסיפו לזה את הכתבה הבאה (ששלח לי טטל) שמספרת על שבבים (צ'יפים) שצבא ארה"ב רכש מסין והם באיכות גרועה (הגיוני) אבל יותר גרוע – הם מגיעים עם backdoor שמאפשר להפסיק את פעולתם. מדהים.

אין ספק – לוחמת הסייבר לא עוצרת ONLINE. יש כבר מדינות ש"מטפלות" בחומרה.

כמה נוח אתם מרגישים עכשיו עם המחשבים, האייפון, האייפד וכל יתר המוצרים הסיניים שאתם מחזיקים?

מה מבטיח לכם שמחשב האסוס או האייפד מבית פוקסקון שרכשתם במיטב כספכם (אל תיטפלו דווקא לחברות האלה) לא מכילים "מתנות"?

לצערי, שום דבר.

אם Huawei יכולה, גם ASUS יכולה. ושוב – אל תיטפלו דווקא לחברות האלה. צאו מתוך הנחה שהממשלה בסין מספיק משכנעת כדי להכריח כל חברה לעשות דברים שכאלה.

אז מה? להפסיק לקנות מוצרים סיניים? נו באמת. אין לכם סיכוי לעשות את זה.

סרטון חביב על Stuxnet

גיא מזרחי — Tue, 28 Jun 2011 06:12:13 +0000

קיבלתי מייל ממוטי קארו מחברת Citadel (אחד האנשים שיותר כיף לעבוד איתם) עם סרטון חביב על סטקסנט.

אמנם יש בסרט אי דיוקים כאלה ואחרים אך הוא מאוד חביב. ממליץ לצפות.

Stuxnet: Anatomy of a Computer Virus from Patrick Clair on Vimeo.

אבטחת מידע אמיתית ותחושת אבטחה

גיא מזרחי — Thu, 23 Jun 2011 06:16:33 +0000

לפני כמה ימים דיברתי עם מישהו לגבי הנושא של אבטחת מידע אמיתית לעומת התחושה שאתה מאובטח.

ברור שבתור מנהל אבטחת מידע, ארצה שהמידע/הנכסים הארגוניים שלי יהיו מאובטחים. אנחנו נרצה להשקיע משאבים כדי לגרום לכך.

נשאלת השאלה מה עם התחושות? הן רלוונטיות?

לעניות דעתי, במקרים רבים התשובה תהיה כן.

יש מקרים רבים בו ארצה שעובדים ולקוחות שלי יבינו שהארגון שלנו מאובטח, אחרת נפסיד עסקים.

תחשבו על אתר אינטרנט. יש אתרים רבים שמצפינים את המידע ב-SSL. יש לא מעט אתרים שלמרות שזה נכון, לא תראו את הקישור https בשרת הכתובת למעלה. מה הסיבה להסתיר דבר כזה? לא מובן.

אם המשתמש רואה את ההפניה לאתר מאובטח, את המנעול שמעיד על הצפנה, את הקישור הירוק למעלה בשורת הכתובת הדבר תורם להבנה שמדובר באתר מאובטח אך יחד עם זאת באתרים רבים דואגים להסתיר את זה.

ממליץ מאוד לצפות בהרצאה של ברוס שנייר ב-TED שמדברת לא מעט על הנושא:

הקוד של Zeus דלף!

גיא מזרחי — Sat, 14 May 2011 08:33:12 +0000

אחד הסוסים הטרויאנים הכי טובים שיצא לי לראות הוא זאוס.

מדובר בסוס טרויאני שמשמש בעיקר לגניבות פיננסיות והוא אחד הנפוצים והמתקדמים שבהם.

זהו אינו RAT שמאפשר שיטה מרוחקת על המחשב. מה שמיוחד בסוס הזה זו היכולת לבצע פעולות שמאפשריות למצות את החומר המעניין במחשבים בצורה מאוד יעילה.

כיוון שמדובר בסוס בנקאי – המידע שבד"כ יהיה מעניין הוא גניבת זהויות, גניבת מידע בנקאי (פרטי חשבון, פרטי גישה לאתר הבנק), גניבת מידע על כרטיסי אשראי וכ"ו.

לידיעות על קוד המקור:

http://www.thehackernews.com/2011/05/finally-source-code-of-zeus-crimeware.html?m=1

http://blogs.rsa.com/rsafarl/fraud-news-flash-%E2%80%93-the-downfall-of-the-mighty-%E2%80%93-zeus-trojan%E2%80%99s-source-code-leaked-and-now-available-everywhere/

מה זה APT?

גיא מזרחי — Sun, 17 Apr 2011 08:59:34 +0000

בחודשים האחרונים מומחי אבטחת המידע בעולם החלו לדקלם צירוף אותיות חדש: APT.

ראשי התיבות הללו עומדים מאחורי הביטוי Advanced Persistent Threat. זהו בעצם קיטלוג חדש של התקפות בעולם האינטרנט (התקפות סייבר).

בעבר התקפות בעולם האינטרנט היום בסגנון של "זבנג וגמרנו". הרעיון היה שבהנחה ומצאנו איום שניתן להשמיש לצורך אקספלויט, הדבר מתחיל ונגמר מהר מאוד.

דוגמא 1:

– חולשה:

אתר אינטרנט פגיע ל- Sql Injection. ניתן לבצע באמצעות הפגיעות שינוי דף/דפים באתר.

– ניצול ילדותי/האקטיביסטי:

ביצוע דיפייס לאתר.

– ניצול Cyber Crime:

הוספת iframe נסתר שיוביל את הגולשים לדף עם חבילת הדבקות (Exploit-Pack) ויגרום לגולשים לאתר להידבק בסוס טרויאני..

אם אנו מנתחים את העניין יש פה פעילות קצרה מאוד של פריצה לאתר וביצוע הפעולה הרצויה.

דוגמא 2:

תוקף מוצא חולשה באתר WEB האחראי על מתן שירות לכרטיסי אשראי נטענים.

הניצול יהיה מיידי: תוקף ישמיש את החולשה ויטען סכומי כסף גדולים בכרטיסים שהשיג. לאחר מכן ישלם לכמה פראיירים שימשכו את הכסף שהוטען בכרטיס ויעבירו לו את חלקו.

דברים דומים התבצעו בעבר לא פעם.

מה שמשותף למקרים האלה ולמקרים רבים נוספים זו העובדה שמדובר בהתקפה שנעזרה בעיקר ביכולות הטכנולוגיות של התוקף. מדובר בתוקף חכם שיודע לעשות XYZ ואז להיכנס לאן שצריך.

אם התוקף רצה לבצע שוב את המתקפה ולשנות משהו – הפגיעות היתה חייבת עדיין להיות שם.

פעמים רבות השאיר התוקף דלת אחורית (BackDoor). הדבר מתבצע כדי לייצר לתוקף דרך קלה יותר להיכנס או דרך לחזור לשליטה במידה ומצאו את הפגיעות עליה הוא הסתמך כדי להיכנס.

כל אלה הן ההתקפות ה"פשוטות". היום יש לנו ילד חדש בשכונה שנקרא APT. מודל התקפה חדש שמתבסס על כלים שונים לגמרי מיכולות טכנולוגיות מדהימות (אם כי יכולות כאלה אף פעם לא מפריעות ).

אז מה זה APT?

APT בא לתאר מתקפה רצינית יותר. מדובר במתקפות ארוכות טווח (בד"כ שבועות אך ניתן להרחיב את היריעה גם לחודשים ושנים), מתקפות בהן תהיה רמת תחכום גבוהה בכלים בהם משתמשים וביכולות של התוקפים.

הדבר הכי משמעותי ב-APT הוא ההישג הרצוי. כאן לא מדובר בגניבה (חסרת משמעות כמעט) של כסף. לא מדובר פה בשינוי אתר או הדבקה של מחשבים תמימים באינטרנט בסוסים טרויאנים פיננסיים.

כמעט שאפשר להגיד שב-APT, הכסף הוא לא המניע. רק כמעט.

דוגמה ל-APT (דווקא מכיוון הכסף):

ארגון פשע פיננסי מחליט שהוא רוצה לייצר לעצמו רווחים. לצורך כך הוא בודק היטב את שוק המניות ומחליט על שני גופים מתחרים עיקריים שנסחרים בבורסה.

ארגון הפשע בודק ומבין שהתקפה ממוקדת על חברה X תגרום ישירות לעליית מניות בחברה Y. חברה X נסמכת על טריק טכנולוגי כלשהו שאם יהפוך לנחלת הכלל הדבר יפגע בה, באמינותה ובמוצרים שלה וזה יגרום למניות של חברה Y להתייקר. הארגון מחליט לגרום לדבר לאחר שהוא רוכש כמות של מניות בחברה Y.

לצורך הביצוע הוא מגייס גוף התקפת סייבר מתוחכם. גוף ההתקפה מייצר לעצמו סוס טרויאני ייחודי (או רוכש/משתמש בסוס פומבי). הוא מכין לעצמו קבצי הדבקה טובים שכשהם יפתחו הסוס יותקן על המחשב (שוב, משתמש בחולשה שרכש או חולשה ישנה שהשיג מאתרי אינטרנט העוסקים בכך).

גוף תקיפת הסייבר (מעכשיו יכונה גת"ס) מייצר לעצמו מודיעין מקדים. הוא בודק מי האנשים שניתן לפנות אליהם בחברה, נכנס לרשתות חברתיות כגון Linkedin, פייסבוק וכ"ו כדי לבנות לעצמו את בנק המטרות שלו ובסוף המחקר נשלחות כמה הודעות דואר מפתות לאנשי מפתח בארגון.

אנשי המפתח נבחרו בקפידה: מהנדסים ואנשי IT. כשהם בתורם פתחו את הודעות הדואר ואת הקובץ בתוכם הותקן על המחשב שלהם סוס טרויאני לשליטה מרחוק (RAT – Remote Access Tool).

הסוס יוצא אל מחוץ לארגון בתקשורת SSL מוצפנת דרך פורט 443 וה-FireWall הארגוני מאפשר יציאה כזו בלי בעיה מיוחדת.

תהליך התקיפה אורך מספר שבועות בהן מצליחים התוקפים להשיג הרשאות ניהוליות על הרשת ו"לשכנע" את מערכות האבטחה וה-DLP לאפשר להוציא את המידע המסווג החוצה.

תהליך כזה הוא APT. סוסים טרויאנים מתוחכמים, הדבקות חכמות, מניע חזק והתעלמות מ"הזדמנות" לרווחים קלים בדרך.

Managed Code Rootkits

גיא מזרחי — Thu, 07 Apr 2011 03:30:59 +0000

במפגש DC9723 הראשון יצא לי להיפגש עם ארז מטולה.

את ארז הכרתי לפני כמה שנים וכבר אז הוא עשה עלי רושם של בחור רציני ביותר. יצא לי לראות כמה וכמה הרצאות שלו ונהנתי מהן מאוד.

לפני שנה בערך, יצא לנו לדבר וארז סיפר לי שהוא כותב ספר בשביל SYNGRESS. הספר נקרא Managed Code Rootkits והוא עוסק בנושא המעניין הזה.

Rootkit קלאסיים היו עוד בעידן מערכות היוניקס הישנות, שם היה ניתן להחליף חלקים ממערכת ההפעלה (נניח – פקודות bash מסויימות) ולהמתין שמנהל המערכת (root) ישתמש בהן וכך להשיג הרשאות גבוהות על המכונה.

כיום ישנם Rootkits למערכות הפעלה נוספות כגון WINDOWS, LINUX ו-MAC.

הספר עוסק בסוג Rootkit חדש ש"מתלבש" על סביבת ניהול קוד. הספר הוא המשך ישיר של ההרצאות של ארז ב-Defcon, BlackHat, Cansec West וכ"ו.

אני מאוד ממליץ לקנות את הספר ולקרוא אותו, בייחוד למי שעוסק בפיתוח קוד בסביבות מנוהלות.

לרכישה:

http://www.amazon.com/Managed-Code-Rootkits-Hooking-Environments/dp/1597495743

רלף לנגנר מדבר על STUXNET ב-TED

גיא מזרחי — Tue, 29 Mar 2011 14:49:26 +0000

הגעתי להרצאה המאלפת הזאת של רלף לנגנר דרך פוסט של טל דלברי בפייסבוק של קבוצת DC9723.

פריצת מנעול עם אנדרויד?

גיא מזרחי — Wed, 16 Mar 2011 06:24:08 +0000

מקור: http://www.mobilityfreak.co.il/index.php?q=node/6849