איך מצאתי את עצמי בוקר אחד מצטלם מטיס LearJet


באחד מימי ספטמבר בשנת 1987, הגעתי כבכל יום למקום עבודתי בחברת תדיראן מחשבים. במקום חיכה צוות של צלמים ואיתם היחצ"ן הנודע ניסו כהן ז"ל. באותה תקופה לא חסר אקשן במקום עבודתי. תערוכות. ביקורים של האמן יעקב אגם, שהיה לקוח, ומאוחר יותר עברתי לעבוד עבורו באופן אישי. פינת המחשב ב"זהו זה", להקת משינה שהקליטה את אחד השירים הדיגיטלים הראשונים אשר נשמר על דיסקט אמיגה והופץ עם מחשבים חדשים. וכמובן סמס הררי, טייס בחיל האוויר, קברניט באל על, שהיה אחד מכתבי המחשבים אשר ליוו את הדרך הארוכה שעשה המחשב האישי החל מצעדיו הראשונים, והיה מי שליווה אותי במהלך פיתוח תוכנת "רשומון".

מי שהיה אמור לטוס לצד סמס הררי, על מנת להדגים סימולטור טיסה, ראשון מסוגו, אשר איפשר אינטרקציה בין שני טייסים, באופן שבו כל טייס ראה את רעהו ויכל להגיב לו, לטוס לצידו ואף לנהל מולו קרבות אוויר, לא הגיע. אני החלפתי אותו, ומאחר ובמקרה התעניינתי בנושא ומאחוריי אף מספר מועט של שיעורי טיס שלקחתי בהזדמנויות שונות, ובמקומות שונים בעולם, וכמובן שעות טיסה רבות על אותו סימולטור, שמחתי לקפוץ למים ולהמריא…

התוצאה, סדרה של כתבות. ניסו כהן ידע לשכפל את ההצלחה, וכך מצאתי כתבות דומות במעריב (מאת טל שחף), אנשים ומחשבים ועיתונים נוספים. הנה הכתבה במעריב. סמס הררי שבאותה תקופה שירת באופן פעיל בחיל האוויר, ביקש להופיע בשם בדוי, וכך גם (בלי שביקשתי) מופיע בכתבה שמי הפרטי בלבד….

ולסיום, הדבר הכי קרוב לחוויה עצמה…

מודעות פרסומת

אפשר גם וגם

מיכאל האפרתי Michael Haephrati

לפני מספר חודשים נחשפה פעילות ה"האקר הסעודי" והיקפה, אשר התבטאה בין השאר בגנבת פרטי אזרחים ישראלים לרבות מספרי כרטיסי אשראי שלהם ומספרי תעודות זהות, וכן פרטי חשבונות מייל ואינטרנט שונים שהם מחזיקים (שם משתמש וסיסמה). פעילות ההאקר הסעודי וחבורתו לא נפסקה וניתן לקרוא עליה ולהתעדכן בבלוג הבא.

אחד הכשלים שנחשפים מהפרשה נוגע לעובדה שפרטי מידע רגישים כגון מספרי כרטיסי אשראי ותעודות זהות, נשמרים על ידי אתרים רבים, ויש בכך פירצה הקוראת לגנב.

ביום ראשון האחרון הודיע משרד המשפטים כי הוא בכוונתו לאסור על אתרי אינטרנט לאסוף מספרי זהות של משתמשים ללא הצדקה ממשית. משמעות הדבר היא שאתרים יעברו להשתמש במספר לקוח שהם ייצרו לכל לקוח ולקוח. מספר הלקוח ישמש כמזהה חד ערכי לכל אחד מלקוחות האתר באופן שיאפשר להבדיל בין לקוחות הנושאים, לדוגמה, את אותו שם, וכך משה כהן מתל אביב הנושא מספר לקוח X יזוהה כלקוח שונה ממשה כהן מתל אביב הנושא מספר…

View original post 428 מילים נוספות

כמה קל לגבות (ולגנוב) הודעות סמס

הודעות טקסט (סמס) הפכו להיות חלק מחיינו ותופסים מקום הולך וגדל בדרך ההתקשרות בין אנשים. עם זאת, בשונה מהודעות מייל, כמה מכם שומרים הודעות סמס שנשלחו או התקבלו? מסיבה לא ברורה התרגלנו שהודעות הסמס נמחקות לאחר פרק זמן ואובדות לנצח בסל המיחזור של המרחב הקיברנטי.

מי שמשתמש בITunes ומחזיק במכשיר IPhone אולי יופתע לגלות עד כמה קל לשלוף את תוכן הודעות הסמס מהמחשב שלו.

אחרי חיבור המכשיר למחשב, מתבצע סינכרון, ולמרות שאין כל חיווי לכך בתוכנת ITunes שלכאורה מסנכרנת רק קבצי מדיה, הרי שמאותו רגע המידע הרגיש שמור כבר בתיקיה הבאה:

c:\users\שם המשתמש שלך\appdata\roaming\apple computer\Mobilesync\backup\תיקיה זמנית

עכשיו נסביר מה זה מה:

"שם המשתמש שלך", השם דרכו עשית לוג אין לWindows.

תיקיה זמנית, תיקיה בעלת שם אקראי שנוצרת על ידי ITunes. לכל מכשיר אייפון תיווצר תיקיה נפרדת.

אם תפתחו תיקיה זו תראו קבצים מוזרים למראה…

Image

אולם הקובץ בו נשמרות כל תכתובות הסמס, הנו קובץ ייחודי בעל שם אחיד לכולם.

שם הקובץ: 3d0d7e5fb2ce288813306e4d4636395e047a3d28 .

כן. פשוט וקליט…

נפתח את הקובץ ונראה משהו כזה:

Image

אולם בעזרת ידע או כלים מתאימים ניתן לשלוף כל הודעה, כולל הודעות שנשלחו או התקבלו, מאז שהמכשיר היה בשימוש.

רק לדוגמה, ניתן לטעון קובץ זה לאתר הבא, ולהמיר אותו לפורמט קריא כמו PDF או אקסל.

גם המרה לפורמט HTML אפשרית בקלות. לדוגמה:

<html><head><meta http-equiv="content-type" content="text/html; charset=UTF-8"></head><body>
<table border='0'><tr style='font-weight: bold'><td>Date</td><td>Number</td><td>Sent</td><td>Text</td></tr>
<tr><td>'2011-09-12 03:03:00'</td><td>'07777'</td><td></td><td>'בהתאם להחלטת משרד התקשורת, חסימת זיהוי מספר הפלאפון (קבועה או חד פעמית) אינה חלה בעת התקשרות לשירותי חירום ציבוריים'</td></tr>
<tr><td>'2011-09-12
אשר יוצג כך:
כמה פשוט…
ואין מדובר בתצוגת ההודעות כפי שהיא מופיעה בטלפון הנייד שלכם (רק ההודעות האחרונות) אלא כל ההודעות מיומו הראשון של המכשיר.
והרי לכם סיבה נוספת להגן על המחשב שלכם.

ויקיליקס הישראלי

היום פורסם כי גם בישראל יש אתר הטוען לכתר: ויקיליקס הישראלי. לפי יוצרי הבלוג, בבלוג ייחשפו מחדלי המערכת האמיתיים, אך להבדיל מאתר ויקיליקס העולמי, לא ייחשף בבלוג מידע העלול לפגוע בבטחון מדינת ישראל.

בפרסום הראשון בבלוג, מפורסמים פרטיה של סבתם של התינוקות אשר אושפזו שבורי עצמות, ואשר אחד מהם נפטר. לטענת האתר, נגד סבתם של התינוקות, אשר נמצאת ביחד עם בעלה במעצר בית, ישנן טענות רבות על לכאורה ניתוק ילדים מהוריהם שלא כדין. המידע פורסם גם בבלוג פרטי אחרי בשם "לשכת רווחה גבעתיים" אשר מאחוריו עומדת הבלוגרית, לורי שם-טוב, שבלוג נוסף שלה מתפרסם בקפה דה מרקר.

מי עומד מאחורי הבלוג החדש? ובכן, מדובר בבלוג המפורסם בפלטפורמת הבלוגים של גוגל – Blogger, ופרופיל בעל הבלוג אינו חושף הרבה. בעבר פורסמו פרטי מידע מאתר Wikileaks הנוגעים לישראל, כמו למשל במאמר הבא של עופר אדרת, אולם הפעם מדובר בניסיון ליצור גירסה ישראלית עצמאית אשר אינו תלויה באתר Wikileaks העולמי.

למה אני נגד מתקפת התגובה של ההאקרים הישראלים נגד אזרחים

בימים האחרונים אנו שומעים על האקרים ישראלים או פרו ישראלים שתוקפים חזרה מטרות כגון אזרחים סעודים, אתרי אינטרנט ערביים, או מפרסמים פרטי חשבונות וכרטיסי אשראי של סעודים או ערבים. אני מצידי, פעלתי בתחילת הפרשה וסגרתי להאקר את החשבון.

בחלק מהמתקפות, צורף גם מסר בנוסח: "תראו איך אתם עכשיו אוכלים אותה בגלל האח שלכם 0xOmar…".

בשמיעה (או קריאה) ראשונה, זה עושה הרגשה טובה ותחושה שהנה, אנחנו משיבים מלחמה לנבלות האלה ושפעם הבאה לא יתעסקו איתנו. גם אני חייכתי מתחת לשפם (שאין לי) כששמעתי על כך… ועם זאת, אני סבור שזו טעות לפעול בדרך הזו ושזה לא יוביל לשום מקום.

ברמה החוקית, למי שלא יודע, ביצוע עבירת מחשב בישראל כנגד אדם או יעד במדינה אחרת, כולל מדינה ערבית, הנו עבירה על החוק הישראלי. שנית, רוב הקורבנות (אם לא כל הקורבנות) של מתקפות מסוג זה אינם אשמים ואינם תומכים באותה קבוצת האקרים.

אם מישהו מאותם האקרים ישראלים איתר נקודתית חבר בקבוצת ההאקרים ויכול לגרום למחשב האישי שלו להעלות עשן ושכל תכולת הדיסק שלו תימחק, אז בבקשה, ועל אותו משקל, שאפו למי שהפיל את האתר של 0xOmar, אבל ככל שמדובר בטרור נגד חפים מפשע, הרי שלתפיסתי, טרור נגד אזרחים (סעודים) אינו תגובה הולמת או ראויה לטרור נגד אזרחים (ישראלים). לא זו הדרך.

הדבר משול להפגזת מטרות אזרחיות ואזרחים חפים מפשע, בתגובה לפיגוע חבלני בישראל. יש אנשים שתומכים בסוג תגובה כזה. אני לא נמנה עליהם. במידה לא מועטה, תגובה כזו רק מחלישה אותנו ולא מחזקת. היא מטשטשת ומסיטה את הפוקוס מעוצמת מעשיו המזעזעים של 0xOmar וקבוצת ההאקרים, וכך הופכת את השבת המלחמה הצודקת שעלינו לנהל נגדם לסוג של  "קרב כנופיות רחוב" בה זה תוקף את זה וזה תוקף חזרה.

ישנם אלה שמצדיקים פעולה מסוג זה כל עוד מדובר באזרחים של מדינת אויב אולם אני סבור שלא זה הקריטריון. מה פשע אזרח סעודי שפרטי כרטיס האשראי שלו נגנבו ופורסמו וכלל אין לו קשר להאקינג, ואולי בכלל אינו מבין במחשבים?

חבר ששאלתי אותו על כך ענה שהלב נמצא עם מי שתוקף בחזרה, ומעלה בכך במעט את המורל הלאומי (אם כי בדרך ילדותית משהו, ותוך כדי "ירידה לרמתם") ועם זאת, חוק הוא חוק גם אם אינו חכם (שכן מדובר כאן במדינות אויב). טוב, אני מאלה שחלמו (ותמיד יחלמו) על היום שבו ישרור שלום באיזורינו ואפשר יהיה לקחת את האוטו לנסיעה לאירופה דרך טורקיה…

התגובה למתקפת קבוצת ההאקרים צריכה להיות ממוקדת, זאת לצד השקעה בהקשחת ההגנה, כמו למשל קביעת דרישות סף לאתרי אינטרנט השומרים פרטים אישיים, וגם אלה שקולטים פרטים אישיים גם אם אינם שומרים פרטים אלה (למשל אתרים שמאפשרים תשלום בכרטיס אשראי דרך צד שלישי כגון Pay Pal).

לקריאה נוספת: איך הזהרתי מהפריצות לאלעל ולבורסה וגם מעללי ההאקר הסעודי.

גל של פריצות. הזהרתי! אז הזהרתי…

זה זמן לא מועט שאני מנסה להתחקות אחרי התופעה שכונתה "ההאקר הסעודי" ולמעשה מדובר בקבוצה הכוללת את : מוחמד, עומד חביב (שכפי שפורסם הוא אכן ממקסיקו, ובמקור: איחוד האמירויות), מוחמד האינדונזי, איברהים (סעודיה), מוחמד מסעודיה, עבדאללה (סעודיה) ואדם נוסף מהרשת הפלסטינאית שהגעתי אליו בדרך לא דרך ושמו רעיד.

אתמול שלחתי התרעות לכל העולם ואחותו על שתי פריצות מתוכננות. האחת לשרתי אל-על והשניה לבורסה בתל אביב.

פניתי לאנשים באל על אותם הכרתי מקשרי עבודה מהעבר. פניתי למשטרת ישראל. צייצתי בטוויטר. מה לא.

לא ממש עזר לי…

היום אני מבקש להתריע שלפי ה"חפרפרת", היעד הבא הוא בנק בשם Alfabank.

בנוסף, עומדת להתבצע התקפה על אתר בשם Witza.net על מנת להגיע לבסיס נתונים באתר זה. הם מזכירים אדם בשם Jesse Labrocco המכונה Omniscient.

גם הפעם הועברו הודעות לנוגעים בדבר.

מיכאל האפרתי

haephrati@gmail.com

(תודה לחפרפרת Perfect Beat על המידע)

 

מעללי ההאקר הסעודי בסוף השבוע האחרון

ההאקר הסעודי והקבוצה המזוהה איתו צוברים תאוצה. הערב (14.1.2012) הופיע פרסום לא מאומת לפיו האקר בשם Omar Habib נעצר, אולם 0xOmar חי וקיים בפורומים הסגורים של הקבוצה שלו. מדאיג לגלות שקבוצת אנונימוס הודיעה על הצטרפותה להאקר הסעודי. הערב אף פרסם רשימה רביעית של מספרי כרטיסי אשראי:

רשימה רביעית של כרטיסי אשראי

האם Omar Habib = 0xOmar ?

למרות הפרסומים הלא מאומתים על מעצרו של אדם בשם Omar Habib, הרי ש0xOmar מופיע online זמן רב לאחר הפרסום השנוי במחלוקת (הזמנים, לפי שעון השרת שהוא שעה קדימה משעון ישראל).

בשבוע האחרון הועלו לאתרי התכנים PasteBin ו-PasteBay אשר במקור מיועדים למפתחי תוכנה, קבצים עם מידע על פרטי כרטיסי אשראי, פרטי כניסה לחשבונות שונים, לרבות אוניברסיטאות, אתרי שידוכים וגם אתרים בעלי זיקה לאומית / בטחונית.

אין מדובר בהאקר אחד אלא בקבוצה, שבימים האחרונים מצטרפים לה חברים נוספים, אוהדים ומעריצים. הקבוצה כוללת האקרים ממרוקו ותוניס, דרום צרפת, מדינות המפרץ הפרסי, מצרים ומדינות נוספות. כך למשל, ההאקר LulzOps אשר מפרסם רשימות משלו של חשבונות מייל וסיסמאות שנפרצו על ידו.

מחדל אבטחה באוניברסיטת בר אילן

אני רוצה להתעכב על מקרה שאני רואה בו מחדל אבטחה חמור, ולעניות דעתי מיותר – ומיד אסביר. באחד הפוסטים (שכמובן לא אחשוף כאן), פרסמה הקבוצה סקריפט לביצוע SQL Injection לאתר של אוניברסיטת בר אילן. הפעלת הסקריפט שולפת שמות משתמש וסיסמאות של סגל האוניברסיטה.

כדי להמחיש אציג את הקוד הבא, בPHP, שחלק מפרטיו מוסווים ב"*" (כדי לא לגרום לאף אחד לגרום נזק…), והוא מתייחס לאתר פיקטיבי בשם blablabla.co.il.

הוראות פריצה מדוייקות לאוניברסיטת בר אילן

SQL Injection –

ניתן היה למנוע אותו באמצעות קידוד נכון של האתר ומתן הרשאות מינימליות למשתמש הקצה

כאן המקום להסביר עד כמה פשוט למנוע פריצה זו. ישנן הנחיות ברורות שאם מקפידים למלא אותן, ניתן בוודאות למנוע פריצה מסוג זה. מדובר בפריצה בה במסגרת קלט של האתר (לדוגמה: הקלדת שם משתמש, מילוי טופס, פניה דרך האתר וכד'), מכניסים במקום זאת קוד זדוני. ההאקר פרסם לינק שהוא למעשה קוד כזה. בדקתי את הלינק והפעלתו מביאה כאמור להצגה של פרטים חסויים של משתמשים וסיסמאות. מיד שלחתי הודעה לאוניברסיטה.

כדי למנוע זאת, ראשית, בכל מקום שמאפשר קלט מהמשתמש, יש לבצע וולידציה של הקלט. אם נוקטים באבטחת מידע מחמירה, אוסרים על קלט שאינו אחת מאותיות הא"ב, לרבות סימנים מיוחדים (מה שאומר שלא ניתן להשתמש בסימנים כגון: "%" או "$" וכו'). בנוסף מגדירים את האורך ואת סוג המשתנה שמבקשים מהמשתמש להקליד. לדוגמה: אם מדובר בשאלון שבו המשתמש מכניס את שנת הלידה שלו, להגביל את השדה ל-4 תווים מספריים, ועוד כיו"ב. במקרה שלפנינו, יש להגדיר את מבנה שמות המשתמש והסיסמה (אורך, תווים אסורים וכד'), ולאכוף הגבלות אלה. בנוסף, כל פריט מידע צריך להיות מאוכסן במשתנה, והגישה לדטה בייס ככל שהיא מתבצעת כפועל יוצא של קלט ממשתמש הקצה צריכה להיעשות בהרשאות הנמוכות ביותר שמאפשרות את המינימום ההכרחי. זה כמובן על קצה המזלג.

פרטי חשבונות וססמאות כניסה למשתמשי אוניברסיטת בר אילן

בינתיים: ממשיכים להתפרסם פרטי כרטיסי אשראי וחשבונות של ישראלים

לאור גל הפרסום של פרטי כרטיסי אשראי של ישראלים, קיים צורך לא רק לטפל בתופעה ובמקור שלה אלא גם להודיע מהר ככל האפשר לחברות האשראי ולמשתמשים. ניתן לשייך כל מספר כרטיס אשראי למנפיק שלו. הדבר נעשה על ידי תרגום 6 הספרות הראשונות של מספר כרטיס אשראי למנפיק שלו. הדבר נעשה באמצעות Bin Database.

בדרך זו ניתן לדעת אם מספר כרטיס אשראי משויך לחברה ישראלית ולפנות אליה עם הפרטים.

תוכנה קטנה שפיתחתי

פיתחתי תוכנה קטנה שמסוגלת לאתר פרסומים כאלה תוך סריקת כתובות נפוצות בלוגיקה מסויימת, והענקת דירוג לכל תוכן ושקלול מילות מפתח שנפוצות בהגיגיו של 0xOmar וכמובן חיפוש אחרי "4580" ו"5326" (הספרות הראשונות של מספרי כרטיסי אשראי ישראלים). התוכנה סורקת עשרות דפים בשניה והעלתה תכנים רבים של ההאקר, וגם הרבה פניות נואשות ("0Xmar, בבקשה! תן לי כרטיס אשראי!).

אין כניסה לישראלים

כרגע עוברת הפעילות לאתר ש0xOmar הקים. הוא פרסם את כתובת האתר וכתב:

"Israeli people, sorry, you cannot access my site"

מדובר באתר שמפרסם קבצי ענק עם פרטי כרטיסי אשראי של ישראלים (ולא רק, יש גם פרטים של הולנדים ושל תושבי מדינות נוספות שהקבוצה הציבה לעצמה כיעד להציק להם). בעקבות חשיפת המידע, הוא נצרב והועבר ידי ה"חפרפרת" PERFECT BEAT (ומיד אסביר…), למשטרת ישראל ולגורמים הנוספים שפרטיהם נגנבו. האתר ככל הנראה נפל (או הופל…).

החפרפרת Perfect Beat

כדי להגיע אל המידע נפתח חשבון פיקטיבי, מכתובת IP זרה (דרך פרוקסי), ואצל ספק שירות חינמי במדינה ערבית, תחת שם שבואו נאמר שהוא נפוץ שם. דרך חשבון מייל זה בוצעה ההתחברות לקבוצה. מי יודע, אולי 0xOmar יחפש עכשיו את הבוגד בקרב חבריו ותתבצע עריפת ראשים…

כך נראה האתר, כפי שנמסר לי על ידי PERFECT BEAT:

האתר - אין כניסה לישראלים

כתובת הIP של האתר מובילה לחברה בשם:

Network Operations Center
100 Pinehurst Ct
Missoula, MT
US
support@sharktech.net
+1-312-275-7678

ודרך בחינת רישומי הDNS וטווח כתובות הIP שהקבוצה משתמשת בה, הובילה לחברה נוספת בשם:

VIPAR

8300 E Maplewood Ave.
Suite 400
Greenwood Village, CO
USA

האתר שלו כבר מאונדקס בגוגל:

בתמונה הבאה ניתן לראות רשימה של חברי הקבוצה, בעוד ש0xOmar מופיע כAdministrator:

החברים על 0xOmar

בירור שערכתי העלה כי מדובר באתר של האקרים העושה שימוש בשירות בשם Army Proxy המציע כלי להענקת אנונימיות מלאה לאתרים ולגולשים. השירות הנו הסתרת כתובת IP והענקת אנונימיות לגולש. מן הסתם 0xOmar וחבורתו מפרים את תנאי השימוש בשירות זה.

בעודי כותב שורות אלה בוצעה מתקפה מסוג = Distributed Denial of Service או בקיצור (DDoS ) על Bank of America ודיווחתי עליה כאן (וגם כמובן לIC3 עליהם כתבתי כבר בפוסט אחר הנוגע לעוקץ הניגרי). המתקפה בוצעה על ידי אחד ה"brothers" שלו, וזה מדאיג מאד. בכלל קיים מידע רב (למשל מספרי כרטיסי אשראי של חשבונות בארה"ב) ש0xOmar והקבוצה שלו מעלים באתר הבא (בשפה הערבית). בעקבות בדיקה שערכתי, הגעתי לדף פייסבוק של הקבוצה. ומי עומד מאחורי דף זה? Raed Abu Maraq , תושב הרשות העובד במשרד הבריאות הפלסטינאי ולמד כאן

בתוך כך פרסם האקר ישראלי המכונה עומר כהן, ואימץ לעצמו את הכינוי 0xOmer, פרטי כרטיסי אשראי סעודיים. (אולי גם כאן ה-Bin Database יכול לאמת שאלה באמת מספרי כרטיסים מסעודיה…)

מילה אחרונה על השעה המופיעה באתר: הזמן המקומי של האתר משקף, לדעתי, את העובדה שההאקר 0xOmar אינו תושב מקסיקו אלא תושב סעודיה ומכאן הזמן המקומי שנצפה – שעה אחרינו.

לסיכום

המצב מדאיג ועם זאת, חשוב לחזור ולומר שאין כאן איזו פעולת האקינג מתוחכמת. נהפוך הוא: זו אינה יותר מפרצה קוראת לגנב. הגניבה היא החלק השולי, ואילו פרצת האבטחה הנה הבעיה המרכזית. ניתן באמצעים סבירים ובהשקעה נמוכה להעניק את מינימום אבטחת המידע המתבקש לכל אתר ואתר, ועל ידי כך למנוע מקרים כאלה בעתיד.

ההאקר הסעודי ייתפס בסופו של דבר, אולם אם לא ייעשה כאן שינוי שיחל בתקינה מתאימה, דרישות מחמירות בכל הקשור לאכסון מאגרי מידע מכל סוג שהוא, ובתוך כך שמירת מספרי כרטיסי אשראי והדרכה מתאימה לדרך הנכונה לעשות זאת – יבוא בעתיד הקרוב "האקר סעודי" חדש.

תודה לחפרפרת- Perfect Beat

מיכאל האפרתי haephrati@gmail.com