Confessions Of A Dangerous Mind

SC2ReplayHandler – contribution to the SC2 community

2012-01-17T08:12:00.001Z

For those who know me, I grew up playing computer games and kind of never stopped. about 1.5yrs ago one of my favorite games came out which was Starcraft 2, and has become the only game I play.

So why do I blog about it ? I believe that everyone have their own skills and abilities to make things they like into bigger things, mine is coding I guess..

I created a tool that automatically renames ingame replay files based on parsed metadata of the replay files, and posted it on the biggest community site – TeamLiquid.net

I present to you : SC2ReplayHandler ( soon to be open source )

just a small tool that hooks to Windows’s event dispatcher for identifying when new replay files arrive, then parses them and renames them based on patterns defined by the user.

hope you like.

Checking if a Stream is Online/Offline (PHP)

2012-01-01T13:54:00.002Z

For the past year I have been watching SOOO many streams online. it got to a point where it almost completely replaces my TV view time.

as of 2011 the main streaming sites for video games are Justin.TV, Own3d.TV, Regame.TV.

all of these sites allow you to stream video over RTMP, and have become very popular with many sites and companies embedding such mechanisms to broadcast video on demand, and live streaming of events and games/tournaments.

each site therefor has its own API for developers/site builders to be able to embed things from their streams, and the most basic thing is an ONLINE Indicator.

so my 0.02 cents here will be to list functions that will enable you to have an Online indicator for each of the above, hoping that its saves some time…

for the examples, I used PHP for some quick and dirty coding.

for Justin.TV --

//justintv status check
function justinTVcheck ($channelName) {
$channelName = strtolower($channelName);
$json_file = http://api.justin.tv/api/stream/list.json?channel=" . $channelName;
$json = file_get_contents($json_file);
if (strpos($json, 'name')) {
return (1); //online
} else {
return (0); //offline
}
}

for own3d.TV --

//own3d status check
function ownedTVcheck ($channelName) {
$request = 'http://api.own3d.tv/liveCheck.php?live_id=';
$arg = $channelName;
$session = curl_init($request.$arg);
curl_setopt($session, CURLOPT_HEADER, false);
curl_setopt($session, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($session);
curl_close($session);

if (preg_match("/true/",$response, $result)) {
return (1); //online
} else {
return (0); //offline
}
}

for regame.TV --

//regame status check
function regameTVcheck ($channelName) {
$url = 'http://www.regame.tv/liveview_xml_multiple.php?stream_ids=';
$arg = $channelName;
$xml = simplexml_load_file($url.$arg);
$status=$xml->stream->online;
if (strcmp($status,'true')==0) {
return (1); //online
} else {
return (0); //offline
}
}

pretty straight forward, functions return 1 if the stream is online, and 0 if not. and should be easily transferable to other languages.

StarCraft 2 GPU Overheating FIX

2010-08-07T15:08:00.001+01:00

For those of that have been playing StarCraft 2 for the past few weeks since the release, you might have noticed that your GPU is overheating due to a game engine problem.

Although the solution to it is quite simple and can be found in many places ( including bottom of this post ) I have decided to go and explain the problem, and not just the solution.

Lets first explain how a graphics engine works ( super high level ) :

once all graphics are loaded to the graphics card memory, the math/physics engine is then able to start drawing the frame. given all inputs from the game engine and the scene.
The frame is then being calculated based on the scene and objects, and at the end its being drawn on the screen.
Obviously some cards are fasted and can draw frames at a much higher frame rate… but that means that the game will be out of sync, or will be really fast, so there is a time axis synchronization on the top of it. so if your computer’s GPU is slow, you will play at the same rate, but will see less frames, or less of a smooth movement.

The Problem :

In StarCraft 2, the game has no frame limit by nature, which is very noticeable in the game’s Menus and empty terrains with no/few units …

What happens is that the GPU has all of the graphics, but has nearly no calculations to make in order to build the frame to draw, so it can draw a lot more frames in less time, which just heats the GPU and may cause black screens/crashes of the system.

The Fix :

Blizzard the magnificent who already got lots of questions from its customers, has offered a solution, which is to edit the “Documents'\StarCraft II\Variables.txt” file and add the two following lines :

frameratecap=60
frameratecapGlue=30

This effectively adds a frame rate limiter to the game, and holds it from drawing too many frames, if you got a strong GPU, you may want to adjust the values up a notch. Thanks Blizzard, GG.

Starcraft 2 - 0day Download Experience - Boosted

2010-07-29T12:10:00.001+01:00

The wonderful Starcraft 2 Wings of Liberty has been released earlier this week, and as a hardcore fan of the original game, wanted to get it just as it roll out, which meant the environmental way of downloading a digital copy.

If you happen to know Blizzard ( the magnificent ! ), their distribution tool is based on 2 channels, one which is the direct downloader over HTTP, and the other which is P2P based. which is the main issue when a new game rolls out, since there werent enough ppl that could share parts, and thus rendered the download for me ( in Israel ) to 90Kbps total, which is about 900Kbps under my acceptable ratio.

So i decided to go for the following – first i will download over a VM in the normal way ( so i could share like a normal user ), but i wanted to play right away (why else would i buy at day 0 ? :) so i had a second download running in the same time on my main computer, which i wanted to “tweak”.

The direction for me was to disable the P2P vector on my main computer, so i could download only from the HTTP source, which then climbs the the limits, and so i did.

When looking into the Log in the downloader i found the tracker ( the distributor of the list that is used to connect beteen the P2P users ) and found it to be http://eu.tracker.worldofwarcraft.com

then i ran a DNS Lookup on the FQDN of : eu.tracker.worldofwarcraft.com and got back a single resolution to - 80.239.178.125

In the following step, i configured a Firewall Rule to block any traffic from my computer to that IP Address, in order to prevent the sharing distribution.

The result was easy , the few seconds after the rule as been configured, the P2P connections dropped, and the entire download reverted to HTTP, which then made the download climb to 500KBPS, and eventually to 1.1MBPS

so i still let the VM download, so i would share the bits to let other users play, but i also started enjoying this fantastic game right away!.

Way to go Blizzard !

How To Downgrade Windows 7 Ultimate to Professional

2010-05-12T11:32:00.001+01:00

Recently, I had to build a workstation for myself that is based on Windows, and will be able to replace my laptop for some home office tasks. and i had a Windows 7 Ultimate trial that i was playing with for a few days, and already installed lots of the required software, and figured i will then just need a license for it and continue to work…

The day has come, and the trial period expired, when i discovered that the only license i actually have is for a Professional edition. so i though, the best way will be to downgrade the system, should be easy right ?

The Windows installation mechanism works only in one direction, from lower to higher , so you can upgrade from Home to Professional , and from Professional to Ultimate for example, but not the other way around.

If you try to use the Upgrade tool, it will halt on this limitation , and will pop up a message like “Windows 7 Ultimate cannot be upgraded to Windows 7 Professional” and asks you to run a fresh install …

Well, there is a solution that involves some Windows Registry editing, which can nail this sucker down.

Step-By-Step:

using the Start menu, type “regedit” and go to \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
you will get the following registry values that you need to alter
change the values of

value of “EditionID” from “Ultimate” to “Professional”
value of “ProductName” from “Windows 7 Ultimate” to “Windows 7 Professional”

The Windows 7 Upgrade utility will be now fooled , and you can upgrade with no real issue.

first impressions of Google’s Skipfish WVS

2010-03-26T21:23:00.001Z

after getting really interested in a late Google project, i spent few hours today with Google’s Skipfish v1.25b , which is a Google project for a web application security scanner , or as some times referred in the professional arena – a WVS ( web vulnerabilities scanner ) and is completely open source as i like it.

as i mentioned, i am playing with version v.1.25b ( although 1.26b is available at time of writing the article ) against a vulnerable demo web application that i wrote a few months back… and got some impressions on the current version.

first of all, i have to admit , its blazing fast … once given a destination to scan, the scan is fast , and the results are displayed in a very elegant way ( although a bit too hardcore ) moreover the depth and methods of detecting problems are quite impressive.

that being said .. the security checks themselves missed lots of the application vulnerabilities , including some quite basic SQL Injections which were there especially for security demonstrations. but i will give the credit and wait until this tool matures a little more before i try it again , and i am sure it will be much better.

the report is excellent , very insightful and shows track of the trace of the stream until the vulnerability has been detected , which is always good, nevertheless – i would like to see in future versions some different export mechanisms of reports, such as XML and PDF, to make it more usable in the IT security ecosystem environment.

there is a point to remember that at current time it is being written and managed by one person at Google , as compared to enterprise tools such as IBM’s Rational AppScan or Qualys etc, so you have to give credit here :)

for ease of use , it is easy , but i do expect a UI , since most people that will run this scanner will require some interaction with it that does not require any CLI / Linux skills, since it is not in their job requirements , they just need to run a tool and test for baseline ( unfortunately that also includes lots of “consultants” ).

if i am to rate this tool , i would rate it at its current version (1.25b) with 6.5 of 10 for now , since i really like the speed and the overall architecture of it , but i do see the need for some more maturity and some more robust security tests.

it detected 9 of 14 SQLi and 4 of 8 XSS , and none of the 4 persistent XSS vulnerabilities ( although it claims to detect it ) .. and yes , i have fed it some credentials as needed..

its a descent alternative to lots of the tools out there even in its current stage , and i would definitely go back to it when some holes are put to its belt.

Finally, just a quick install HOW-TO for it.
if you want to install it under CentOS ( i used 5.2 ) then do the following :

1. download and extract the tgz file anywhere ( example : tar zxpfv skipfish*.tgz )
2. install some neccesary packages for the install

- yum instll gcc
- yum install openssl-devel
- yum install libidn-devel

3. step into the folder extracted and run – make
4. there you go. :)

My New ESXi Lab System

2010-03-04T14:36:00.001Z

For a while now , i have been thinking about building a Lab Server at home , that will save me time and effort for my day to day dev and other tech stuff. and decided to go with VMWare’s ESXi solution for a virtual environment.

My basic requirements were :

need to run at least 6 resource demanding machines at the same time
need for virtual networking
silence in my lab
performance.

After some spec digging , I finally went for the following spec :

Motherboard : Gigabyte GA-X58A-UD3R (link)
Memory : Crosair 12GB (6x2GB) DDR3 1333 (link)
CPU : Intel i7 920 (link)
CPU Cooler : Thremaltake V1-AX CPU Cooler (link)
HD : 4x WD Caviar Blue 500GB 7200RPM 16MB WD5000AAKS (link)
RAID Controller : Adaptec 2405S (link)
Display : Gigabyte HD 4350 512MB GDDR2 DX10.1 HDTV DVI HDMI PCI-E (link)
Case : Antec - Nine Hundred Two (link)
PSU : Thermaltake ToughPower W0103 600W PFC (link)
Additional NIC : Intel PRO/1000 GT Desktop Adapter (link)

Although the Motherboard of my choice includes 3 (!) built in RAID controllers for different raid approaches , i had to introduce a more robust RAID controller that will support my demand for performance ( RAID 10 ) , will offload the CPU cycles to a dedicated processor , and will also be supported by VMWare ESXi , which is not trivial. same reason goes for the additional NIC – the Intel PRO/1000 MT is there in order for the ESXi HSC to have all drivers and hardware in my box officially supported.

Some design decisions :

first , i wanted to make sure that the network card is officially supported , because as of now , VMWare only supports specific certified hardware ( an up-to date list of supported hardware can always be found here ) but the problematic ones are always the network controller and the disk controller (which halt the install if the install process doesn't like them). that's why i went with an Intel one, which at the time can be purchased in eBay for around 25-30$.
for the disks , i chose 4 x Caviar Blue 500GB disks, and wanted to use them as a RAID 10 array , so all and all i will get 1TB of extremely fast storage, and i chose the Caviar Blue, because unlike the Caviar Green which throttles down to save energy , i need performance – and the Caviar Blue maintains a constant 7200RPM rate.
the network card consumed my one and only PCI slot on the Motherboard , so although i was already considering a PCI Express RAID Controller , this became an essential part. at first i thought i could try to use one of the onboard RAID controllers , but VMWare rejected them, which at the end was ok – since by introducing the Ataptec card , all of the CPU cycles that are required to maintain the RAID are offloaded to a dedicated processor on the card. choosing the adaptec was fairly easy , since i wanted 4 disks in RAID 10 and PCI Express , and then i came across this article from Overclock3d.net which was enough to convince me im taking the right approach.
for power supply i went as i always do with a Thermaltake Toughpower PSU , which i calculated based on their online PSU calculator , and multiplied by 1.6 as I always do when scaling a PSU.
for RAM , just wanted a Triple Channel memory, and as much of it as i can get for a descent price, same as for display – i just had to have a display adapter in , so this was a cheap one with DVI+VGA+HDMI which made sense to have for future screens if i ever need one on this system.
for the chasis , i wanted a box that will be cool , good air flow and fanning , and will be easy to build a heavy duty system into. my only complain will be that in order to mount drives , i had to take out the drive bay out ( the bold holders are hidden ) which took some time, but other than that , its an impressive beast. a good review of the box could be found here.

The ESXi latest version at time of install is the 4.0U1 which has more than a handful of features.

I am a happy chap today.

not one of my standard posts … but hey , its my blog :)

Barry.

Released : JSecurityModule

2009-12-18T23:30:00.001Z

As a passion, I keep developing my side projects and different concepts that always were of interest to me, and during that process I have always had to build input validation tools to overcome threats like SQL Injection or XSS etc. or even just to make sure that a user enters just the input type that i require of him.

That being said, I knew that it was easier to just build a simple framework that will retrieve both valid type input schemes to validate inputs against them , and also to build a simple yet robust signature matching engine that will help me build one framework that is dynamic and that i can include in any project that is built. Finally I decided to just release it to everyone who may find a use for it, and named it JSecurityModule.

Enjoy.

Install MySQL 5.1 on Debian 5.0.3 HOW-TO

2009-10-30T12:49:00.001Z

So i have seen some posts going on the Internet regarding problems People are having, trying to install MySQL on Debian, so i decided to give it a go – and install the latest GA MySQL on the latest Debian.

I am assuming that this is a dedicated Database server machine , so i installed it from scratch , using only the first CD image of the Debian 5.0.3 installation.

Just follow the Steps:

1. install debian 5.0.3 from cd-1 , when choice of what to install ,
   leave only "system" so its nice and small
2. edit /etc/apt/sources.list and add to it ->
       deb http://packages.dotdeb.org lenny all
       deb http://http.us.debian.org/debian stable main contrib non-free
3. apt-get update
4. apt-get install openssh-server
5. apt-get install mysql-server-5.1

Thats about it.

הזמנה – הרצאה על אבטחת מסדי נתונים, במיקרוסופט ישראל

2009-08-28T13:14:00.001+01:00

לפני כחודשיים פנה אליי ירון חקון, מנהל הפורום לאבטחת אפליקציות במיקרוסופט ישראל וביקש ממני לבוא ולהרצות על אבטחת מסדי נתונים , איומים ודרכי התמודדות… לירון אי אפשר לסרב …, אז כמובן שנעניתי בחיוב :)

ביום חמישי הקרוב – 3 לספטמבר 2009 , במשרדי מיקרוסופט ישראל שברעננה , אעביר הרצאה בנושא TOP 10 DB Threats.

הרשמה לאירוע :

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032422463&culture=he-IL

הערה : מי שרוצה לבוא לשמוע גם קצת על איך Imperva ניגשת לאבטחת מסדי נתונים, זה המקום.

איך להתקין Windows 7 מ USB DiskOnKey

2009-08-15T17:53:00.001+01:00

אחד הדברים שאני הכי אוהב לעשות זה למצוא דרכים מעניינות ובעיקר מהירות לבצע פעולות אפילו טריוויאליות כמו התקנת מערכת ההפעלה. מאחר ואני משתמש במחשב נייד של Lenovo מדגם X200, אשר מגיע ללא כונן DVD/CD – החלטתי לבדוק כיצד ניתן לבצע התקנה של Windows 7 מכונן USB.

הפלא ופלא , כל ההתקנה לקחה 8 דקות בזכות הפעולה המהירה של קריאה מכונן Flash.

בכל מקרה, החלטתי לשתף מדריך קצר שמסביר איך להכין USB DiskOnKey להתקנת Windows 7

נצא לדרך :

עלינו להכין מראש את הדברים הבאים :

1. דיסק און קי בגודל 4 ג’יגה אשר נמחק את כל תוכנו בתהליך

2. דיסק התקנה ( DVD ) של Windows 7 ( אגב , גם Vista אני מתקין ככה , אם בכלל )

3. כ20 דקות מזמנכם הפנוי.

נעבוד שלב שלב :

1. יש להכניס את הDOK – קיצור ל Disk On Key לחיבור הUSB

2. יש לפתוח CMD במחשב עם הרשאות Administrator

3. יש להקיש DISKPART ואנטר ולהמתין לשורת הפקודה המתאימה

4. כעת יש להריץ LIST DISK ולרשום בצד את מספר הדיסק שהוא הUSB

אצלי זה היה DISK 5 , אם אצלכם שונה ,אז נא להתייחס בהתאם עם הפקודות הבאות.

5. כעת יש להריץ את הפקודות הבאות ברצף :

SELECT DISK 5

CLEAN

CREATE PARTITION PRIMARY

SELECT PARTITION 1

ACTIVE

FORMAT FS=NTFS

( שימו לב שתהליך הפורמט יכול לקחת עד 5 דקות כי זה Low Level Format )

ASSIGN

EXIT

7. כעת נכניס את הDVD של Windows 7 לכונן שהאות שלו היא במקרה שלי T , כמו כן האות אשר קיבל הDOK שלי היא Y

8. באמצעות שורת הפקודה נבצע את הפקודות הבאות ( בהתאמה לאותיות )

T:

CD BOOT

BOOTSECT /NT60 Y:

9. כעת יש להעתיק את כל הקבצים מהDVD לכונן הUSB בהעתקה פשוטה.

10. סיימנו.

הערה : כדי להתקין מכונן הUSB , יש לשנות את סדר העליה כך השהמחשב יעלה מכונן הUSB.

בהצלחה !

iSCSI Storage Initiator / Target in a Linux Environment

2009-06-19T12:41:00.001+01:00

I have decided to share a short technical experience that i had recently. so in my pursue of a way to build a Home Linux Storage System , and also have a Software iSCSI interface to connect to it , since my home setup of hardware wont suffer an HBA addition . i did some research around sofware iSCSI. and although it is CPU Intensive, this might assist those of you that have a need for external disks.

the concept was to have a central home storage , have only small disks on my lab computers that will just run the thin OS , and then mount the drives from a central server – to which i connected a 1000/100/10 Switch just for data.

so the lab was divided into two.

1. A Linux Server that owns Physical Drives and serves as an iSCSI Target.

2. A Linux Workstation that needs to mount an external iSCSI disk Initiator.

1. How To Build The Linux Storage Server :

Install CENTOS 5.1
- yum update ( to update the OS to the latest )
- yum install kernel-devel ( optional )
- open firewall ports
- rpm -ivh iscsitarget-0.4.15-4.el5.i386.rpm
- rpm -ivh iscsitarget-kmdl-2.6.18-128.1.10.el5-0.4.15-4.el5.i686.rpm
- mkdir /home/iSCSI
- dd if=/dev/zero of=/home/iSCSI/LUN0 bs=1M count=512    ( 512 is size of disk in MB)
- vi /etc/ietd.conf and add the following lines
      Target iqn.2009-06.com.example:mydisk
      IncomingUser username password
      OutgoingUser username password
      Lun 0 Path=/home/iSCSI/LUN0,Type=fileio
      Alias mydisk
      InitialR2T Yes
      ImmediateData Yes
      MaxOutstandingR2T 8
- vi /etc/initiators.allow
      add -> ALL ALL ( note : This is an access list )
- reboot ( to make new kernel appear and load the module )
- /etc/init.d/iscsi-target restart
- validate in tail -f /var/log/messages

2. How To Have The Initiator Mount The Drive On The Workstation :

( my workstation is also a centos in this case )

- rpm -i iscsi-initiator-utils-6.2.0.868-0.18.el5.i386.rpm ( this is the util )

- vi /etc/iscsi/iscsid.conf
    #enable the following :
        node.session.auth.username = username
        node.session.auth.password = password
        discovery.sendtargets.auth.username = username
        discovery.sendtargets.auth.password = password
- /etc/init.d/iscsi start
- iscsiadm -m discovery -t sendtargets -p <ip of server>
- /etc/init.d/iscsi restart
- tail -f /var/log/messages --> to find the device representation
- fdisk /dev/sdd --> if the disk is sdd ...
        n primary partition
        w write table
- mkfs.ext3 /dev/sdd1
- mkdir /mnt/iscsi
- mount /dev/sdd1 /mnt/iscsi
- chkconfig iscsi on --> to mount at boot time auto
- vi /etc/fstab
         add line -> /dev/sdd1 /mnt/iscsi ext3 _netdev 0 0

by the way , mounting an iSCSI using Windows Vista is also an easy task .. play with it :)

Anyway, Thats it.

אינטגרציה בעולם הEnterprise Datacenter

2009-04-18T17:24:00.001+01:00

אחד התחומים המעניינים והמרתקים בעיני , הוא עולם ניהול סביבות Datacenter ( במקרה שלי - מזווית הSecurity בדרך כלל ) והצורך לבנות מערכות ותשתיות שרידות ומהירות מאוד , וגם לשמור על כללים חשובים של שימוש במינימום משאבים ( Green IT ) תוך מתן אותה רמת שירות, וגם לבצע ניטורים מלאים כדי לאתר כשלים מערכתיים לפני שהם קורים , וכמובן לתת מענה לאירועי אבטחת מידע בזמן אמת.

אחד הדברים שתמיד הפתיעו אותי הוא החוסר המשווע במרכזי בקרה שאכן לקחו את הצעד הנוסף לקשר אירועי אבטחה או לבצע אינטגרציה עם מערכות בצורה באמת מלאה אשר מאפשרת לקבל תמונה מלאה על הDATACENTER.

הדרך הכמעט נפוצה מכולם תמיד הייתה לשלוח Email על אירוע אבטחה כאשר הוא קורה - וזאת על מנת לתת לו מענה, אך בעולם של 1000 אימיילים ביום , הכיוון הוזנח ונעזב לטובת SNMP ולטובת SYSLOG אשר מייצרים אירועים רבים בשניה מהמרכות ואותו איש NOC\SOC לא תמיד יכול לבקר כמו שצריך ולוודא אם אכן מדובר באירוע אמיתי ואיך להגיב לו.

לפי דעתי, מוצר אשר מיועד להתחבר לסביבת Enterprise חייב לתת את האפשרויות השונות להתממשקות לכלי SIEM שונים וכלי בקרה שונים בצורת הNATIVE שלהם תוך כדי שנעשית הבנה לפני שליחת האירוע של מהו האירוע, מהי מהותו ומה נדרש לבצע.

כלומר , כאשר מוצר מותקן בסביבת Enterprise עליו לקחת בחשבון הימצאות כלי CMDB למיניהם , כלי SIEM למיניהם ומערכות Availability שונות. אם אינו מתחבר אליהן - מקבלים רק חלק מהתמונה שכנראה ברוב המקרים תיבלע בתוך המכלול.

IP-Expect The IP-Unexpected

2009-02-16T08:12:00.001Z

אחד הדברים אשר אנו מחפשים תמיד בפתרון רשתי כלשהו , הוא האימות של כתובת הIP האמיתית שמגיעה ממקור המשתמש הסופי ( לגיטימי או האקר ). עם זאת , ישנה בעיה ידועה כאשר כל מערכת אבטחת מידע יושבת מאחורי Proxy כזה או אחר.

הסיבה לבעיה נעוצה בעובדה ש Proxy ( או Load Balancer ), שובר את הTCP Stream ומייצג כתובות IP אחרות בחלק הפנימי שלו . לפי כך מערכות קלאסיות כמו IPS או דומות , אינן רואות את כתובות הIP האמיתיות אשר הגיעו מהעולם. לא ניתן לזהות את מקור ההתקפה בצורה קורלטיבית ומכך נגזר - שאי אפשר להגן בצורה יעילה כנגד התקפה על פי זיהוי מקור.

כאן בדיוק נכנס עולם ניתוח האפליקציה.

כאשר Proxy או כל TCP Terminator כלשהו ( כגון Load Balancer ) קיים , אחת התכונות שלו היא הוספה או עריכה של Headers - דוגמא טובה תהיה בHTTP Header. התוספת הרלוונטית במקרה של Proxy תהיה בצורת פרמטר X-Forwarded-For , אשר הינו פרמטר המכיל את הIP המקורי אשר קולף על ידי הProxy והוחלף בכתובת שלו עצמו.

על ידי קילוף הפרמטר והחלפת כתובת ה Source IP בכתובת שהוצגה בפרמטר , ניתן למעשה לבנות חוקים לגישה או להבין אירועים על פי כתובת המקור. מה שמשנה לחלוטין את זווית הראיה של מערכות אשר יושבות מאחורי Proxy.

כמובן רצוי לוודא שקיים Trust מסויים בין הProxy לבין אותה מערכת , כדי שהמערכת תדע שהHeader אכן שונה על ידי הProxy ולא על ידי אלמנט צד שלישי ,כגון האקר שרוצה לעקוף IP Filtering בצורה זו.

A New MSN Phishing ( Identity Theft ) Worm - ENG

2009-01-21T07:26:00.001Z

[ A Rewrite of this post in english , due to the importance ]

A few days back , I received a nice gift via my Msn IM account, i got the following link :

http://myparties.piclooks.com/?<user> ( where <user> is the infected sender ). in that case i got it through MSN , so i dont tknow if any other IM is compromised.

when clicking on that link you would get the following web window -

That screen immediately raised my suspicion that there is something wrong here. an unknown site is asking for my MSN / Hotmail credentials in order to provide me a service which natively could be provided via a normal API... so i started checking.

Viewing the client side source code was very nice , cause it shows a very simple - almost child-like html code that is generated via simple tools.

An IP address ( 64.34.154.82 ) was embedded in, which is not something that you would expect from a service, very unusual.

When disecting the URL to its basics and just going to piclooks.com , you would get the following output ( meaning , there is no actual homepage behind this application )

The summary is very simple , this is most probably a phising site , and not a very sophisticated one , which its whole purpose is to steal the online identities of those who are naive enough to play along.

be careful of this hoax.

A New MSN Phishing ( Identity Theft ) Attack

2009-01-19T19:37:00.001Z

קיבלתי היום מתנה חדשה דרך הIM שלי , את הקישור הבא :

http://myparties.piclooks.com/?<user> link , כאשר <user> מייצג את שם המשתמש של מי ששלח לי את ההודעה במקור דרך תוכנת הIM , במקרה הזה MSN.

המסך שהתקבל היה :

מה שבעצם העלה חשד הוא שיש אתר לא מוכר , אשר מבקש לקבל את הפרטים של משתמש\סיסמה של ה IM שלי , או של כתובת הדואר שלי ב Hotmail. וזה כמובן נראה חשוד... צפיה בקוד המקור החשידה אף היא מאחר ונראה היה שמדובר בקוד פשוט מאוד של Form אשר סה"כ מנסה לאסוף את המידע.

יתרה מכך , ישנה כתובת IP שהיא - 64.34.154.82 - מוטמעת בקוד המקור , דבר מאוד חריג.

פירוק הURL כדי לגשת ישירות לpiclooks.com הניב את התוצאה הבאה ( כלומר, אין כל Homepage מאחורי האפליקציה )

המסקנה , כנראה שמדובר באתר Phising אשר כל מטרתו היא לאסוף אינפורמציה כדי לגנוב זהויות של משתמשים. היזהרו.

My Blog Is 2yrs Old

2009-01-17T16:21:00.001Z

בתאריך ה4 לדצמבר 2006 , העליתי פוסט ראשון לבלוג - הפוסט היה UTM Antithesis .

מאז עברו שנתיים , והיו תקופות בהן כתבתי יותר או כתבתי פחות ... אבל היי .. לא שופטים ביומולדת.

Google Analytics Cookie Jar

2008-12-26T13:15:00.001Z

לאלו מכם שעוסקים בתחום אבטחת אפליקציות , או אלו מכם שעוסקים בפיתוח אפליקציות WEB שונות וודאי נתקלתם לא פעם בשאלות לגבי COOKIES שונים אשר קיימים באתרים השונים אליהם אתם ניגשים או מפתחים.

אני מקבל לא מעט שאלות לגבי עוגיות מאוד ספציפיות -עוגיות ה utm שמופיעות תמיד כ :

__utma , __utmb , __utmc , __utmv , __utmz

מדובר למעשה בעוגיות של מנגנון ה Google Analytics של גוגל. למי שאינו מכיר - מנגנון זה הינו מנגנון סטטיסטיקות ומעקב אחרי התנהגות גולשים באתרי אינטרנט אשר ניתן על ידי גוגל.

בכדי להבין את משמעות העוגיות הללו , אפרט את תפקידיהן :

utma

עוגיה זו הינה עוגיה מזן Persistant עם תאריך תפוגה של 2038 . מטרתה היא בעצם לספור את מספר החזרות של משתמש מסויים לאתר, ולכן בפעם הראשונה שניכנס לאתר נקבל SET לעוגיה , ומשם ואילך תמיד יגדל הערך בכל חזרה לאתר.

utmb + utmc

עוגיות אלו עובדות במשותף בכדי לדגום זמן שהיה באתר - כאשר utmb לוקחת SIMESTAMP של זמן הכניסה , וutmc מקבלת TIMESTAMP של זמן סיום הSESSION , או EXPIRATION. ולמעשה משמשות לשם אותן פונקציות ניתוח.

utmv

משמש עבור מערכת הדוחות של Google Analytics , למעשה אם הוגדרו סגמנטציות מסויימות או כל מבנה של חלוקת הדוח על פי התפלחות מסויימת של המשתמשים , המידע הסטטיסטי נאסף באמצעות עוגיה זו.

utmz

עוגיה זו שומרת על REFERRER ועל SOURCE URL שהפנה לאתר , עוגיה זו חיה במשך עד 6 חודשים. מטרתה בעצם לעזור לגוגל לדעת מי המקורות המפנים לאתר, ומקושרת למנגנון הניתוח שלהם לתעבורה ולהבנה ליעילות של KEYWORDS או כל קטגוריה אחרת.

נעבור לסיכונים

מה שחשוב להבין בסופו של יום , הוא שמבחינת פונקציונליות של האתר , אין כל קשר בין העוגיות הללו לבין המנגנון מאחורי האתר , כי הן משמשות מנגנון אשר אינו קשור לאופן הפעולה של האתר... לצורך העניין אם ב Web Application Firewall עסקינן , ניתן בהחלט להכניס את העוגיות הללו ל Ignore משכבת ההגנה , מבלי לחשוש לפגיעה באתר עצמו, ושימו לב - אני מתכוון רק לאתר עצמו..

יש להבין שהמידע בעוגיות אלו יכול להשפיע אם מישהו יבצע TAMPERING או INJECTION על מנגנון הURCHIN של גוגל , ובעצם הנזק הפוטנציאלי הקיים למנגנון ניתוח האתר יכול לעלות לנו בכסף. כי אם למשל אני מזריק לUTMC ערך הגדול ב10 ימים מUTMB , וכמו כן מכניס לUTMZ קישורים לגוגל עם מילות חיפוש לא נכונת .. ואני מבצע זאת על ידי מניפולציה על גבי מספר רב של מחשבים - אפשר פוטנציאלית לפגוע באמינות המידע שאנו מקבלים מהמערכת ולגרום לבעל האתר להשקיע משאבים וכסף במקום לא רלוונטי.

אם למשל הזרקתי לאלפי עוגיות ( גם בשימוש מקומי SPOOFED ) מילת חיפוש , נניח XYZ ... בעל האתר יבחין שהמילה XYZ כביכול מביאה אליו יותר נפח תעבורה - ואולי יבחר לשלם עבור השימוש בה לגוגל כדי להופיע בראש רשימות החיפוש וכדומה ... כמו גם למפרסמים באותו אתר. כנגזרת מכך אפשר להבין שהמניפולציה הפוטנציאלית לעוגיות אלו עלולה לפגוע בבעל האתר בצורה עקיפה.

דרך אחת למנוע התקפות כאלה היא על ידי הגנה כנגד COOKIE INJECTION. הגנה מסוג זה בנויה בעצם על מעקב אחרי פקודות SET של COOKIE בדרך כלל. הכוונה היא שמערכת שאמורה לשבת בין המשתמש לבין האתר מצפה לראות קודם SET לCOOKIE על ידי השרת, אם לא היה כזה SET - העוגיה הוכנסה באופן מלאכותי.

דרך שניה, על ידי COOKIE SIGNING ניתן לוודא שאכן העוגיה מכילה מה שהSETTER התכוון כאשר בנה אותה , ולא שובשו ערכים ( יעיל יותר מANTI-TAMPERING למיניהם , לפי דעתי ).

עוד מידע לגבי מנגנון הGoogle Analytics ניתן לקרוא בספרות הבאה :

Advanced Web Metrics With Google Analytics - Bryan Clifton

Google Analytics 2.0 - Jerri L. Ledford and Mary E. Tyler

Google Analytics Shortcuts - Justin Cutroni

Google's Latest "Get Faster Gmail" Notes

2008-12-22T09:05:00.001Z

לאלו מכם שנכנסו ביממה האחרונה לחשבון הGMAIL שלכם , ייתכן ששמתם לב להפתעה קטנה בחלקו העליון של החלון , "Get Faster Gmail". כחובב של כמעט כל דבר שגוגל מוציאה מתחת לידיים שלה - אני כנראה תמיד בין הראשונים לבדוק במה מדובר ... והפעם מעט הופתעתי.

גוגל כותבת בצורה משעשעת אבל חד ערכית , שכלי השימוש בגוגל בתוך דפדפן האינטרנט מנצלים את מלוא יכולות הדפדפן, וככזה ישנם ביצועים גבוהים לדפדפנים "מסויימים" שגוגל מגדירה פי שתיים מאשר בדפדפנים אחרים הקיימים בשוק ( Opera אפילו לא מוזכר ).

בצורה מפתיעה , או לא - גוגל מפנה את המשתמש להוריד Chrome או Firefox בכדי לשפר את חווית הגלישה , עם הערה קטנה למטה -> שבעתיד תהיה גרסה מותאמת לIE8... אם ככה ... אז למה לא לחכות עם הודעה כזו ?

ברוח הדברים - התמונה נלקחה באמצעות IE7.

Your Partner Or Your Problem

2008-12-18T09:36:00.001Z

במרוצת השנים האחרונות יצא לי לעבוד עם לא מעט לקוחות ואינטגרטורים שונים אשר בעבר נמנתי על חלקם. עם הזמן שמתי לב למספר דפוסים אשר חוזרים בין פרטנרים שונים, אשר במבט מעמיק יותר - יוצרים בעיות אבטחה לא פשוטות לארגונים בהם ישנן חברות השמה , או כל אינטגטרטור אשר מבצע עבודות אפליקציה ותשתית עבורם.

למעשה, כאשר אינטגרטור עובד עבור מוסד או חברה כלשהי , בחלק גדול מהמקרים - ברשותו שם משתמש וסיסמה לשרתים ולציודים שונים על מנת לתת להם תמיכה. באותה רמה אנשים קבועים אשר נותנים שירות לאורך תקופה אצל לקוחות, מחזיקים ברשותם סיסמאות ושרטוטי ארכיטקטורה רשתית ואפליקטיבית מפורטים - וכל זאת מהסיבה הלגיטימית של מתן שירות והבנה לאורך זמן של תהליכים על מנת לטפל בתקלות שעלולות לקרות.

איפה למעשה נוצרת בעיה... כאשר אותו אדם אשר מועסק על ידי אינטגרטור מסויים , מטפל בפועל במספר רב של לקוחות. ברוב מכריע של המקרים ישתמש באותו שם משתמש וסיסמה למערכות וציודים רבים בצורה חופפת בין לקוחות מסיבות של זיכרון אנושי. מה שקורה הוא שבדרך כלל הסיסמה אינה מורכבת , ולעתים אנשי הארגון אשר מקבל שירות אף יודעים אותה. מה שהופך ארגון לפגיע.

יתרה מכך , חברה משקיעה משאבים רבים בהגנה על שרטוטי ארכיטקטורה , ססמאות , מבני גישה ומודלים של נתוני Database למיניהם, אך אין ביכולתה לאכוף מדיניות על המחשב הנישא ( שאינו חייב להיות מחובר כדי שיהיו עליו נתונים ) של אותו טכנאי , אשר הרבה יותר פגיע לגניבה , ברוב המקרים לא יוצפן , ברוב המקרים ולא מתוך רוע לב - יזלזל במדיניות האבטחה של הארגון מאחר והוא אינו נאכף על ידה.

בצורה אבסורדית , אותו גורם אשר מטפל בנו מבפנים , יש לו גישה הכי גבוהה למערכות מאחר ובד"כ הוא הגורם המוסמך ביותר לטפל בהן - הוא גורם הסיכון הלא מבוקר והפגיע ביותר.

תשאלו את עצמכם פעם , לכמה מהלקוחות של האינטגרטור שלכם יש את אותו משתמש\סיסמה שהוגדר אצלכם ...

האם פתרון OTP מיושם אצלכם ? וגם אם כן , האם גם שם המשתמש ( Something You Know ) הוא אקראי ? כנראה שלא.

Security Assets Interoperability

2008-12-16T21:38:00.001Z

שלום לכולם,

אתם מוזמנים לקרוא את הפוסט האחרון שלי בבלוג ImperViews בקישור הבא :

http://blog.imperva.com/2008/12/the-interoperability-of-your-s.html

אלגברה להמונים - בחסות "לרדת בגדול".

2008-09-28T13:19:00.001+01:00

כל מילה מיותרת ,תקראו את הפוסט הזה...

http://cafe.themarker.com/view.php?t=645779

כשתוכנית טלויזיה מחליטה שאתה מפסיד , אתה מפסיד. וזה כנראה לא משנה אם המספרים רלוונטיים או לא רלוונטיים או אם ישנם מספר צופים שסיימו תיכון ויודעים לבצע חשבון פשוט

Google Chrome - My New Browser

2008-09-03T13:50:00.001+01:00

היום התקנתי את ה Web Browser החדש של גוגל - Google Chrome והוא מדהים.

לראשונה מזה לא מעט שנים , אני באמת מתלהב מדפדפן חדש, ומהרבה סיבות... קודם כל הוא קליל בטירוף עם כלי ניהול משימות זיכרון אשר ממש מאפשרות שינוי משמעותי מבחינת התצורה של הדפדפן על המחשב.

יכולות ניהול זיכרון מתקדמות מאוד חשובות לי בסביבה שלי שכן דברים רבים ומערכות רבות שאני עובד איתן הן מבוססות Web2.0 או Ajax ולכן חשוב לי מאוד לדעת שאני יכול לסגור Intance של הדפדפן מבלי לפגוע בשאר החלונות

בנוסף , אם אהבתם את מנהל ההורדות של Firefox , אז פה מדובר במהפכה אשר לוקחת את הטוב והופכת אותו לטוב יותר, שכן גם מערכת ההורדות וגם מערכת המעקב אחרי היסטורית הגלישה מבוססות על יכולות גוגליות מוכרות - אשר מאפשרות לחפש ממש כמו בGoole Desktop את החומר הנדרש לנו.

אחד הדברים שאני מוצא למעניינים הוא ההתבססות על המנוע של Mozilla ועם זאת , השימוש במנוע הParsing והבניה של Apple, וכך למעשה אנחנו מקבלים הכלאה בין האיכויות של SAFARI עם האיכויות של FIREFOX והמצויינות ההנדסית שמאפיינת את Google בכל צעד שלהם.

אגב, לדוברי השפה העברית, הממשק כולו ניתן להסבה לעברית במידת הצורך.

ובנוסף , גוגל כמו גוגל - Less Is More... הכל כלכך פשוט להפעלה , מראה נקי. קניתי.

משתמשים מגנים על משתמשים

2008-08-30T09:26:00.001+01:00

בסוף השבוע שעבר בוצעה התקפה על משתמשי FACEBOOK באמצעות פרצה שהתגלתה במערכת שליחת ההודעות של FACEBOOK, ההתקפה שלחה לכל משתמש מספר הודעות שהגיעו כביכול מחבריהם אשר הכילה קישור לאתר שברגע שהופנה - הוריד קוד זדוני למחשב הגולש.

החלק היפה בכל הסיפור הזה אינו דווקא מבנה ההתקפה , שכן גם כאן יש על מה לדבר - אלא לתגובת הגולשים אשר זיהו די מהר את ההתקפה, ומיהרו לפרסם לכל הפורומים וקבוצות FACEBOOK על ה"וירוס חדש בFACEBOOK" ולפתוח קבוצות תמיכה , ובכך מיזערו לחלוטין את השפעת ההתקפה.

זה הופך להיות מעניין , כאשר משתמשים מצליחים להגן על משתמשים. ואולי בעצם מישהו צריך להקים Taskforce כזה או אחר שמנטר מקומות כמו Facebook וכמו MySpace על מנת לאתר איומים כאלו ולהתריע עליהם בזמן... מישהו מרים את הכפפה ? סימנטק ? מקפי ? טרנד ? מעניין ...

בכל מקרה , זה בהחלט ג'ונגל שם בחוץ... מעניין מה עוד יקרה השנה בהקשר של רשתות חברתיות והתקפות מזנים חדשים.

ImperViews

2008-08-21T22:55:00.001+01:00

Confessions Of A Dangerous Mind הוא בלוג שהתחלתי לכתוב בשלהי 2006 , שהתחיל בכלל באנגלית והוסב לעברית כשראיתי שמעטים הבלוגרים שנותנים תשומת לב לתעשייה הישראלית.

לאחרונה הצטרפתי לצוות כתיבת בלוג אבטחת המידע של חברת Imperva בה אני עובד, הבלוג נקרא ImperViews וכותבים בו אנשים שונים מהארגון.

כתוצאה מכך, אתחיל לפצל את הכתיבה בין הבלוגים.

הזמן יגיד לאן ילך רוב הפוקוס.

בארי.

Confessions Of A Dangerous Mind is a blog ive been writing since the late 2006. This blog that started out as an English blog an later transferred in whole to a Hebrew one in order to pay attention to the Israeli industry.

Lately, I have joined Imperva's blogging team for the Security Blog - ImperViews, which is being written by different people at Imperva organization.

Following that decision, I will probably split my writing between this blog and the ImperViews Blog... Time will tell where I will put my focus.

- Barry.