אפשר גם וגם

מיכאל האפרתי Michael Haephrati

לפני מספר חודשים נחשפה פעילות ה"האקר הסעודי" והיקפה, אשר התבטאה בין השאר בגנבת פרטי אזרחים ישראלים לרבות מספרי כרטיסי אשראי שלהם ומספרי תעודות זהות, וכן פרטי חשבונות מייל ואינטרנט שונים שהם מחזיקים (שם משתמש וסיסמה). פעילות ההאקר הסעודי וחבורתו לא נפסקה וניתן לקרוא עליה ולהתעדכן בבלוג הבא.

אחד הכשלים שנחשפים מהפרשה נוגע לעובדה שפרטי מידע רגישים כגון מספרי כרטיסי אשראי ותעודות זהות, נשמרים על ידי אתרים רבים, ויש בכך פירצה הקוראת לגנב.

ביום ראשון האחרון הודיע משרד המשפטים כי הוא בכוונתו לאסור על אתרי אינטרנט לאסוף מספרי זהות של משתמשים ללא הצדקה ממשית. משמעות הדבר היא שאתרים יעברו להשתמש במספר לקוח שהם ייצרו לכל לקוח ולקוח. מספר הלקוח ישמש כמזהה חד ערכי לכל אחד מלקוחות האתר באופן שיאפשר להבדיל בין לקוחות הנושאים, לדוגמה, את אותו שם, וכך משה כהן מתל אביב הנושא מספר לקוח X יזוהה כלקוח שונה ממשה כהן מתל אביב הנושא מספר…

View original post 428 מילים נוספות

מודעות פרסומת

החפרפרת נחשפת

עדכון:

החפרפרת פתחה בלוג חדש לדיווחים היומיומיים שלה: בלוג החפרפרת

 

זה זמן מה שבפוסטים שאני מפרסם מופיעה דמות מסתורית, שמה "החפרפרת" או Perfect Beat. נכתב עליה שהתמקמה (באמצעות פרוקסי, כמובן) במקום טוב בתוך רשת חבריו של ההאקר הסעודי 0xOmar, וכך הגיע לידיה מידע שיועד לחברים בלבד. היא התריעה ומצד שני שמרה על אנונימיות על מנת שהכיסוי שלה כחברה באותה רשת סגורה לא יחשף. מאז נסגר האתר של 0xOmar, ורוב המידע בנוגע לפריצות אתרים מתפרסם ממילא בערוצים פתוחים כגון אתר PasteBin ו-PasteBay (שאגב, היא גם נאבקת על סגירתם…).

היום ה"חפרפרת" נחשפת לראשונה.

ככה היא גומלת…

Perfect Beat היא מיכל. זה הבלוג שלה. היא מקדישה אותו למוסיקה, תרבות, יוגה, התעמלות וכל נושא רוחני או תרבותי אחר, והנה מאז הופעת תופעת ההאקר הסעודי, הפך הבלוג לנושא הדגל במלחמה נגד 0xOmar וחבורתו, ובהגנה על קורבנותיו באשר הם, וכיום השריד היחיד לאופיו של הבלוג המקורי הנו סגנון הכתיבה המיוחד של מיכל, והשילוב של לינק, כדרך קבע, לאיזה קטע מוסיקאלי לשיבוב הנפש, גם בקטעים שמוקדשים לפריצה כזו או אחרת, תקראו לזה אתנחתא תרבותית

וכך כותבת על עצמה Perfect Beat:

כשאתה מחביא את מעלותיך, ומעמעם את צבעיך,
הירח שבי שולח את מעלתו, ומעניק גוון.
כשהשמש שבך מקבלת, והירח שבי מטפח,
נקטר נשמתך הזהוב זוהר.
ככה אני גומלת.

סוכנות מודיעין של אדם אחד

מיכל בוודאי לא דמיינה שתהפוך לסוכנות מודיעין של אדם אחד, עת תקדיש זמן כה רב לשילוב של איתור ההודעות על הפריצות וההפלות בדסק המודיעין הפרטי שלה, ומשלוח הודעות לבעלי האתרים בארץ וגם בחו"ל.

רק הערב שלחה התרעה לנמל התעופה הבינלאומי בפראג, על פריצה לאתר, ובד בבד היא מעבירה עשרות התרעות בשבוע ובחלק גדול מהמקרים מקבלת תגובות אוהדות ואסירות תודה, וגם… הצעות עבודה, אותן (לידיעת המעסיק הנוכחי) היא דוחה בנימוס. בחלק קטן מהמקרים, היא מקבלת תגובות מתנשאות, ממנהלי אבטחת המידע של אתר כזה או אחר, שמעדיפים להדוף את המאמצים הכנים והבלתי נלאים של בחורה אחת, ואולי כך להגן וקצת לטייח את מחדליהם שלהם.

אז הגיע הזמן לחשוף אותה ולתת לה את ההכרה והתודה שמגיעים לה.

אבל אולי לפני כן, כדאי להזכר…

סרט רע

הפוסט של מיכל מה-12.1.2012 הופך לבעל נופך היסטורי משהו כשקוראים אותו היום:

לא זוכרת אם זה היה ביום רביעי, או חמישי שעבר,

הקיצר, באותו יום היה מזג אוויר… (חחח – גדולים אסי וגורי ותודה לצבי -זה אני- על הלינק ליוטיוב שריסק אותי מצחוק)

שווחחתי עם 012 אודות DOMAIN שהעברנו אליהם מנטוויזן ואודות תיבות מייל ליוזרים שנזקקתי לפתוח,

הנציגה שלהם שאלה אותי: "מה לא שמעת על האקר שפירסם את כרטיסי האשראי של ישראלים?"

שו???? ,עניתי, לא לא שמעתי.

אמרה "סרט רע" ויעצה לי להתקשר מהר לברר אם גם אני ברשימה.

אצלי במשרד אמרו לי שכבר פרסמו הודעת הרגעה שהכל בשליטה, אבל בכל זאת התקשרתי ומחברת האשראי נעניתי שלא. מזלי!!! 🙂

כשהגעתי הביתה התחלתי לחפור קצת יותר (סוקרנתי מאוד).

מה פרסם? אופו פירסם???

אז מי היא ה"חפרפרת"?

מיכל, תושבת אזור המרכז, אינה אשת מחשבים או אבטחת מידע, אולם מהתרשמות אישית שלי, מתגלה מיכל כאוטודידקטית בעלת כישורי למידה מדהימים השולטת ברזי המרחב הקיברנטי כלוליין בקרקס, ואשר מושגים טכניים מהז'אנר שגורים בפיה, והיא לומדת ולומדת בקצב כמעט לא אנושי. הדבר המדהים מכל הוא שהיא עושה זאת בהתנדבות וכמעט מסביב לשעון. היא דיווחה על פריצות במהלך סופי השבוע האחרונים, ובשעות הלילה אם היה צריך. היא חוקרת כל תופעה והופכת אותה לפני ולפנים, תוך שהיא משרטטת את מחשבותיה עד כי כאילו הקורא שומע אותה חושבת בקול רם.

ריבונו של האינטרנט

אם לחזור לרגע להתחלה, את אותו פוסט היסטורי היא סיימה במילים:

ריבונו של האינטרנט!!!

הכי מטורף שהמשתמשים האלה מהרשימה  שנתנו באתרים מייל, נתנו את אותה סיסמה שהם נכנסים לתיבה הז ואולי אף משתמשים באותה סיסמה לכל השימושים שלהם.

ברשימה מצאתי אדם שאני מכירה אישית, הייטקיסט שכותב אפליקציות בחברה בה הוא עובד,

וכמה הופתעתי שאפילו הוא נתן את המייל שלו ואת אותה הסיסמא של תיבת המייל שלו. הזו. הזוי.

אנשים בחיי, בכל אתר שאתם פותחים חשבון ואתם מתבקשים לתת את המייל שלכם,

אל, פשוט בשום פנים ואופן לא, אל תשתמשו באותה סיסמה שאתם משתמשים בתיבה הפרטית הזו.

ריבונו של האינטרנט!!!

כל כך הרגיז אותי לראות מה האקר הזה פירסם והקלות הבלתי נתפסת של ההפצה,

אז מהר כתבתי לשרתים שהיו עדיין פעילים בקשה שיסירו את הלינקים.

ואכן גם מפיילסוניק הסירו וגם מוואפלוד.

אז איך הכל החל

תפקיד ה"חפרפרת" הוענק לה כאשר חדרה לפורום סגור של חברים רשומים באתר של 0xOmar, שבינתיים הופל. כדי להירשם לאתר, נרשמה לכתובת מייל בgaza.net וממנה פעלה. האתר היה חסום לכתובת IP מישראל, ומיכל דאגה לגלוש דרך פרוקסי ותוך שימוש בכתובת IP ממדינה אחרת.

מידע רב ערך שהשיגה, חלקו לפחות, לא פורסם בפורומים פתוחים לכל, או פורומים שאינם חסומים לישראלים, וכך תודות למידע שהעבירה לי, פרסמתי על הפריצה המתוכננת לאתר הבורסה ואתר אל על.

מעבר להערכה הרבה שרוחשים לה, פיתחה מיכל במהלך השבועות האחרונים את סגנונה המיוחד, אשר בא לידי ביטוי לא רק בהודעות שהיא שולחת לבעלי האתרים, אלא בבלוג האישי שלה בקפה דה מרקר. בדומה למבקר תיאטרון (או מבקר מסעדות) חד לשון, כך גם סגנונה המיוחד של מיכל, ודוגמאות לא חסרות:

יוסטון, הצילו יוסטון!!!

 

איפה מגדל הפיקוח איפה

יא אלללללה.

הכל התחיל אתמול בערך ב 4 וחצי, פתאום הקפה התנתק ולא ניתן היה להתחבר לשרת.. היתה לי תחושה מוזרה.

שעה מאוחר יותר, כשהייתי כבר בבית ראיתי שפרצו לאסותא ולשיבא, לדן  ולהארץ. הופה…. התחילה התקפה.

התחלתי לבדוק ואז המצררים הגיעו….אאוץ

אוקסמר פרץ לאתר http://area.co.il וגנב משם פרטים של 170000 חשבונות משתמשים. אאוצ.

מסתבר שהאתר שייך לאושייה באינטרנט שאני לא מכירה אלי שביט, שברשותו מספר אתרים ולרובם אוקסמר פרץ והשחית.

כמובן שמיד התרעתי לבעל האתר.

הפעם ניסיתי להגדיל ראש. לא מספיק מסתבר להתריע בפני בעל האתר. צריך לחפש את השרת שמארח. HOST

דרך ה IP שהותקף הבנתי שבעצם האקרים מצאו פירצה אצל ה HOST ROOT ומשם זולגים לאתרים שמתארחים תחתיו.

אאוצ רציני. מה קורה יוסטון???????

ככה ישבתי עד 3 בבוקר, מתריעה במיילים לכל מי שנפגע, ומחפשת את הסרבר הגבוה באיררכיה.

לחלק זה עבד במיידי והם תקנו את האתר. חלק הסירו את העמוד הזדוני אך עדיין לא הצליחו לשחזר את האתר

ולאתרים אחרים פרצו כדי לגנוב מידע…אאוץ

אתרים שהושחתו ועדיין לא תוקנו:

http://ransys.com/

http://www.royal-angora.com/

http://rikikud.co.il/

http://www.iridology-clinic.co.il/page/%D7%93%D7%A3_%D7%94%D7%91%D7%99%D7%AA.aspx

http://www.ttv.co.il/template/default.aspx?pn6Vq=E&2ntrVq

http://www.gordon.ac.il/index.html

 http://phone4usa.ru/files/

אתרים שהושחתו וחזרו לתפקד:

http://area.co.il/index.php?page=contact

http://50-live.com/

http://harsuf.co.il/

http://gabishaked.co.il/

http://studio-makingof.com/

http://www.holmesplace.com/default.aspx?PageId=1

http://www.che.org.il/news/new.aspx?NewId=124

http://www.irmi.co.il/

אתרים שהשחתו, עמוד של האקר התוקף הוסר, אך האתר לא שוחזר:

http://www.zimrat.com/nowar.html

http://www.zimrat.com/index.html

http://www.watershows.co.il/Cms/

http://www.kibush.co.il/ash.htm

http://www.berger-sisters.co.il/index.html

http://byon-it.com/index.html

http://www.watershows.co.il/Cms/

http://www.cognit.co.il/assets/index.html

http://www.antiquette.net/assets/index.html

מעניין הוא שרוב השרתים שנפרצו הם של LINUX

והיתר הם SERVER 2003

2008 לא ראיתי…. מעניין.

בנוסף האקרים פרצו לבנק פידליטי בגאנה ומידע זלג – שלחתי התראות

כמן כן פרצו לחברת יהלומים באנגולה וגנבו מידע- שלחתי התראות

וחניבעל – האקר הישראלי פרץ למוסדות ממשלה אירניים ושיחרר משם מידע לרשת.

עדיין מיצררים נורים בקצב…הזירה בוערת אין ספק.

הרסו לי את ה WWW

עצוב לי.

מי שמכיר באמת מוחות שיכולים למצוא פתרונות למצב ההזוי הזה תפנו אליו בבקשה לקרוא את הפוסטים האלו.

תודה.

חפרפרת? MOI?

במהלך האירועים האחרונים שפקדו אותנו, באחד הפוסטים שלה, התייחסה לתפקיד שנפל עליה בן לילה, ה"חפרפרת", ובין השאר כתבה:

חפרפרת??? MOI …???? כוחות האור נגד כוחות האופל

איזה באזזז של סופ"ש… כמה שסער בחוץ, ככה סער בזירת האינטרנט הרוחשת.

הסקרנות המשיכה להניע אותי. 

מדהים כמה הרוע ברשת מבעבע…

והיא מסיימת במילים:

כל מי שגילה שכרטיס האשראי שלו ברשימה פשוט חייב להחליף סיסמא חייב חייב חייב!!!

אחת החברות שהזהירה, החזירה לה במכתב תודה ולא רק… כך כתב בעל האתר:

"מיכל , שיחקת אותה בגדול !!!

קראתי עלייך ואכן צופה שתגיעי רחוק .

יש לך את כל הכלים בעולם .

במידה ועיסקית את פנוייה להצעות…"

וכאן באה הצעת עבודה, וזה אומר הכל, שכן בלי תארים מפוצצים או רזומה ארוך, מיכל עושה את מה שכל בעל חברה צריך – אדם שנותן את הנשמה.

פעילת ה-Greenpeace של המרחב הקיברנטי

למי שקורא את מיכל (זהירות! ממכר!), מתגלה עולם עמוק כמו אוקיינוס, ועשיר לא פחות, של ביטויים ומטבעות לשון, פרי מוחה הקודח, אשר נתחמים בתוך מה שנראה כמו ז'אנר חדש, אשר זר שיגיע לביקור בעולמה (כמו גם הזבוב שעל הקיר), יידרש למילון מונחים או לקסיקון, שייראה מן הסתם כך (לפי סדר אלפביתי, כמובן):

אווצ – רוצה לומר: ואללה – זה לא היה במקום!
אווצ רציני – כמו אווצ אבל בדרגה גבוהה יותר.
בעעע – פעיה של כאב / תדהמה / אכזבה שלא ניתן לבטא במילים של בני אדם. לדוגמה: "בעעעעעעעעעעעע אסון!!!!"
הופה – במילים אחרות: יפה! שיחת אותה!
וואו – ההתרגשות רק גוברת… משהו הולך לקרות (טוב? רע? אין לדעת)…
טושה – במילים אחרות: אז הנה, החזרת לי! יופי לך!
יא אללללללללה –  ביטוי שמקבל נופך מיוחד כשהוא נאמר על 0xomar, אבל לא רק.
יוסטון… – המשפט המפורסם של טום הנקס בסרט אפולו 13, מקבל אצל מיכל משמעויות חדשות, כמו "יוסטון אפשר להרגיע… ".
פאי פאי פאי – קריאת שמחה והתרגשות. לדוגמה: "פאי פאי פאי- הSUPER8 & TAB בTLV" או "פאי כסילה שכמותי…".
פששששש כבוד – קריאת הערכה וכבוד.
ריבונו של האינטרנט – אמירה מתבקשת לאור הענקת זכות הקיום לWWW כיקום בפני עצמו שככזה יש לו בורא עולם רחום וחנון.
רמת הכוננות ירדה – במילים אחרות: חברים, הגיע הרגע דיווח מהמטה. יהיה טוב!
שו? – או בלשון העם WTF ? מתאים לסיטואציה בה מיכל מגלה process לא מוכר, הגדרות שלא עושות שכל, או כל תופעה אל טבעית אחרת (וזה מביא אותי לחשוב שאולי הגיע הזמן לעשות סדרה תואמת ל"תיקים באפילה" אבל על האינטרנט…)
שיאו – ביטוי תדהמה שמלווה בתוספת. לדוגמה: "שיאו, חלסטרה חלסטרה חלסטרה…."
MOI – רוצה לומר: "מי אני?", רק במבטא צרפתי קוויבקי…
WWW – מיכל רואה עצמה (ודי בצדק, תסכימו) אזרחית הWWW אשר עושה את מה שהיא עושה כדי לשמור על טוהרו ויופיו של הWWW שכמוהו כמחצב נדיר, שמיכל שומרת פן יכחד מעולמנו, משל הייתה פעילת גרינפיס של המרחב הקיברנטי.

"מיקי גורדוס" של ההאקר הסעודי

היא אינה מחפשת פרסום. היא אינה מחפשת הכרה. היא בוודאי שלא עושה זאת עבור תשלום. מיכל עושה זאת משום שהיא אינה יכולה לעמוד מנגד ולא לעשות דבר. השאלה, מה מניע אותה, נראית לה לא במקום, שכן לתפיסתה, איך יכול אדם, ישראלי, תושב כדור הארץ, לקרוא על אתר שהופל או שמתוכננת נגדו מתקפה, ולא להזהיר את בעליו, ובמידה רבה, הפכה מיכל, למיקי גורדוס של ההאקר הסעודי, והיא העיניים והאוזניים של כולנו, שומעת ראשונה, יודעת לפני כולנו, ומדווחת. ופוסט זה נועד לומר לה תודה!

עדכון:

החפרפרת פתחה בלוג חדש לדיווחים היומיומיים שלה: בלוג החפרפרת

למה אני נגד מתקפת התגובה של ההאקרים הישראלים נגד אזרחים

בימים האחרונים אנו שומעים על האקרים ישראלים או פרו ישראלים שתוקפים חזרה מטרות כגון אזרחים סעודים, אתרי אינטרנט ערביים, או מפרסמים פרטי חשבונות וכרטיסי אשראי של סעודים או ערבים. אני מצידי, פעלתי בתחילת הפרשה וסגרתי להאקר את החשבון.

בחלק מהמתקפות, צורף גם מסר בנוסח: "תראו איך אתם עכשיו אוכלים אותה בגלל האח שלכם 0xOmar…".

בשמיעה (או קריאה) ראשונה, זה עושה הרגשה טובה ותחושה שהנה, אנחנו משיבים מלחמה לנבלות האלה ושפעם הבאה לא יתעסקו איתנו. גם אני חייכתי מתחת לשפם (שאין לי) כששמעתי על כך… ועם זאת, אני סבור שזו טעות לפעול בדרך הזו ושזה לא יוביל לשום מקום.

ברמה החוקית, למי שלא יודע, ביצוע עבירת מחשב בישראל כנגד אדם או יעד במדינה אחרת, כולל מדינה ערבית, הנו עבירה על החוק הישראלי. שנית, רוב הקורבנות (אם לא כל הקורבנות) של מתקפות מסוג זה אינם אשמים ואינם תומכים באותה קבוצת האקרים.

אם מישהו מאותם האקרים ישראלים איתר נקודתית חבר בקבוצת ההאקרים ויכול לגרום למחשב האישי שלו להעלות עשן ושכל תכולת הדיסק שלו תימחק, אז בבקשה, ועל אותו משקל, שאפו למי שהפיל את האתר של 0xOmar, אבל ככל שמדובר בטרור נגד חפים מפשע, הרי שלתפיסתי, טרור נגד אזרחים (סעודים) אינו תגובה הולמת או ראויה לטרור נגד אזרחים (ישראלים). לא זו הדרך.

הדבר משול להפגזת מטרות אזרחיות ואזרחים חפים מפשע, בתגובה לפיגוע חבלני בישראל. יש אנשים שתומכים בסוג תגובה כזה. אני לא נמנה עליהם. במידה לא מועטה, תגובה כזו רק מחלישה אותנו ולא מחזקת. היא מטשטשת ומסיטה את הפוקוס מעוצמת מעשיו המזעזעים של 0xOmar וקבוצת ההאקרים, וכך הופכת את השבת המלחמה הצודקת שעלינו לנהל נגדם לסוג של  "קרב כנופיות רחוב" בה זה תוקף את זה וזה תוקף חזרה.

ישנם אלה שמצדיקים פעולה מסוג זה כל עוד מדובר באזרחים של מדינת אויב אולם אני סבור שלא זה הקריטריון. מה פשע אזרח סעודי שפרטי כרטיס האשראי שלו נגנבו ופורסמו וכלל אין לו קשר להאקינג, ואולי בכלל אינו מבין במחשבים?

חבר ששאלתי אותו על כך ענה שהלב נמצא עם מי שתוקף בחזרה, ומעלה בכך במעט את המורל הלאומי (אם כי בדרך ילדותית משהו, ותוך כדי "ירידה לרמתם") ועם זאת, חוק הוא חוק גם אם אינו חכם (שכן מדובר כאן במדינות אויב). טוב, אני מאלה שחלמו (ותמיד יחלמו) על היום שבו ישרור שלום באיזורינו ואפשר יהיה לקחת את האוטו לנסיעה לאירופה דרך טורקיה…

התגובה למתקפת קבוצת ההאקרים צריכה להיות ממוקדת, זאת לצד השקעה בהקשחת ההגנה, כמו למשל קביעת דרישות סף לאתרי אינטרנט השומרים פרטים אישיים, וגם אלה שקולטים פרטים אישיים גם אם אינם שומרים פרטים אלה (למשל אתרים שמאפשרים תשלום בכרטיס אשראי דרך צד שלישי כגון Pay Pal).

לקריאה נוספת: איך הזהרתי מהפריצות לאלעל ולבורסה וגם מעללי ההאקר הסעודי.

גל של פריצות. הזהרתי! אז הזהרתי…

זה זמן לא מועט שאני מנסה להתחקות אחרי התופעה שכונתה "ההאקר הסעודי" ולמעשה מדובר בקבוצה הכוללת את : מוחמד, עומד חביב (שכפי שפורסם הוא אכן ממקסיקו, ובמקור: איחוד האמירויות), מוחמד האינדונזי, איברהים (סעודיה), מוחמד מסעודיה, עבדאללה (סעודיה) ואדם נוסף מהרשת הפלסטינאית שהגעתי אליו בדרך לא דרך ושמו רעיד.

אתמול שלחתי התרעות לכל העולם ואחותו על שתי פריצות מתוכננות. האחת לשרתי אל-על והשניה לבורסה בתל אביב.

פניתי לאנשים באל על אותם הכרתי מקשרי עבודה מהעבר. פניתי למשטרת ישראל. צייצתי בטוויטר. מה לא.

לא ממש עזר לי…

היום אני מבקש להתריע שלפי ה"חפרפרת", היעד הבא הוא בנק בשם Alfabank.

בנוסף, עומדת להתבצע התקפה על אתר בשם Witza.net על מנת להגיע לבסיס נתונים באתר זה. הם מזכירים אדם בשם Jesse Labrocco המכונה Omniscient.

גם הפעם הועברו הודעות לנוגעים בדבר.

מיכאל האפרתי

haephrati@gmail.com

(תודה לחפרפרת Perfect Beat על המידע)

 

מעללי ההאקר הסעודי בסוף השבוע האחרון

ההאקר הסעודי והקבוצה המזוהה איתו צוברים תאוצה. הערב (14.1.2012) הופיע פרסום לא מאומת לפיו האקר בשם Omar Habib נעצר, אולם 0xOmar חי וקיים בפורומים הסגורים של הקבוצה שלו. מדאיג לגלות שקבוצת אנונימוס הודיעה על הצטרפותה להאקר הסעודי. הערב אף פרסם רשימה רביעית של מספרי כרטיסי אשראי:

רשימה רביעית של כרטיסי אשראי

האם Omar Habib = 0xOmar ?

למרות הפרסומים הלא מאומתים על מעצרו של אדם בשם Omar Habib, הרי ש0xOmar מופיע online זמן רב לאחר הפרסום השנוי במחלוקת (הזמנים, לפי שעון השרת שהוא שעה קדימה משעון ישראל).

בשבוע האחרון הועלו לאתרי התכנים PasteBin ו-PasteBay אשר במקור מיועדים למפתחי תוכנה, קבצים עם מידע על פרטי כרטיסי אשראי, פרטי כניסה לחשבונות שונים, לרבות אוניברסיטאות, אתרי שידוכים וגם אתרים בעלי זיקה לאומית / בטחונית.

אין מדובר בהאקר אחד אלא בקבוצה, שבימים האחרונים מצטרפים לה חברים נוספים, אוהדים ומעריצים. הקבוצה כוללת האקרים ממרוקו ותוניס, דרום צרפת, מדינות המפרץ הפרסי, מצרים ומדינות נוספות. כך למשל, ההאקר LulzOps אשר מפרסם רשימות משלו של חשבונות מייל וסיסמאות שנפרצו על ידו.

מחדל אבטחה באוניברסיטת בר אילן

אני רוצה להתעכב על מקרה שאני רואה בו מחדל אבטחה חמור, ולעניות דעתי מיותר – ומיד אסביר. באחד הפוסטים (שכמובן לא אחשוף כאן), פרסמה הקבוצה סקריפט לביצוע SQL Injection לאתר של אוניברסיטת בר אילן. הפעלת הסקריפט שולפת שמות משתמש וסיסמאות של סגל האוניברסיטה.

כדי להמחיש אציג את הקוד הבא, בPHP, שחלק מפרטיו מוסווים ב"*" (כדי לא לגרום לאף אחד לגרום נזק…), והוא מתייחס לאתר פיקטיבי בשם blablabla.co.il.

הוראות פריצה מדוייקות לאוניברסיטת בר אילן

SQL Injection –

ניתן היה למנוע אותו באמצעות קידוד נכון של האתר ומתן הרשאות מינימליות למשתמש הקצה

כאן המקום להסביר עד כמה פשוט למנוע פריצה זו. ישנן הנחיות ברורות שאם מקפידים למלא אותן, ניתן בוודאות למנוע פריצה מסוג זה. מדובר בפריצה בה במסגרת קלט של האתר (לדוגמה: הקלדת שם משתמש, מילוי טופס, פניה דרך האתר וכד'), מכניסים במקום זאת קוד זדוני. ההאקר פרסם לינק שהוא למעשה קוד כזה. בדקתי את הלינק והפעלתו מביאה כאמור להצגה של פרטים חסויים של משתמשים וסיסמאות. מיד שלחתי הודעה לאוניברסיטה.

כדי למנוע זאת, ראשית, בכל מקום שמאפשר קלט מהמשתמש, יש לבצע וולידציה של הקלט. אם נוקטים באבטחת מידע מחמירה, אוסרים על קלט שאינו אחת מאותיות הא"ב, לרבות סימנים מיוחדים (מה שאומר שלא ניתן להשתמש בסימנים כגון: "%" או "$" וכו'). בנוסף מגדירים את האורך ואת סוג המשתנה שמבקשים מהמשתמש להקליד. לדוגמה: אם מדובר בשאלון שבו המשתמש מכניס את שנת הלידה שלו, להגביל את השדה ל-4 תווים מספריים, ועוד כיו"ב. במקרה שלפנינו, יש להגדיר את מבנה שמות המשתמש והסיסמה (אורך, תווים אסורים וכד'), ולאכוף הגבלות אלה. בנוסף, כל פריט מידע צריך להיות מאוכסן במשתנה, והגישה לדטה בייס ככל שהיא מתבצעת כפועל יוצא של קלט ממשתמש הקצה צריכה להיעשות בהרשאות הנמוכות ביותר שמאפשרות את המינימום ההכרחי. זה כמובן על קצה המזלג.

פרטי חשבונות וססמאות כניסה למשתמשי אוניברסיטת בר אילן

בינתיים: ממשיכים להתפרסם פרטי כרטיסי אשראי וחשבונות של ישראלים

לאור גל הפרסום של פרטי כרטיסי אשראי של ישראלים, קיים צורך לא רק לטפל בתופעה ובמקור שלה אלא גם להודיע מהר ככל האפשר לחברות האשראי ולמשתמשים. ניתן לשייך כל מספר כרטיס אשראי למנפיק שלו. הדבר נעשה על ידי תרגום 6 הספרות הראשונות של מספר כרטיס אשראי למנפיק שלו. הדבר נעשה באמצעות Bin Database.

בדרך זו ניתן לדעת אם מספר כרטיס אשראי משויך לחברה ישראלית ולפנות אליה עם הפרטים.

תוכנה קטנה שפיתחתי

פיתחתי תוכנה קטנה שמסוגלת לאתר פרסומים כאלה תוך סריקת כתובות נפוצות בלוגיקה מסויימת, והענקת דירוג לכל תוכן ושקלול מילות מפתח שנפוצות בהגיגיו של 0xOmar וכמובן חיפוש אחרי "4580" ו"5326" (הספרות הראשונות של מספרי כרטיסי אשראי ישראלים). התוכנה סורקת עשרות דפים בשניה והעלתה תכנים רבים של ההאקר, וגם הרבה פניות נואשות ("0Xmar, בבקשה! תן לי כרטיס אשראי!).

אין כניסה לישראלים

כרגע עוברת הפעילות לאתר ש0xOmar הקים. הוא פרסם את כתובת האתר וכתב:

"Israeli people, sorry, you cannot access my site"

מדובר באתר שמפרסם קבצי ענק עם פרטי כרטיסי אשראי של ישראלים (ולא רק, יש גם פרטים של הולנדים ושל תושבי מדינות נוספות שהקבוצה הציבה לעצמה כיעד להציק להם). בעקבות חשיפת המידע, הוא נצרב והועבר ידי ה"חפרפרת" PERFECT BEAT (ומיד אסביר…), למשטרת ישראל ולגורמים הנוספים שפרטיהם נגנבו. האתר ככל הנראה נפל (או הופל…).

החפרפרת Perfect Beat

כדי להגיע אל המידע נפתח חשבון פיקטיבי, מכתובת IP זרה (דרך פרוקסי), ואצל ספק שירות חינמי במדינה ערבית, תחת שם שבואו נאמר שהוא נפוץ שם. דרך חשבון מייל זה בוצעה ההתחברות לקבוצה. מי יודע, אולי 0xOmar יחפש עכשיו את הבוגד בקרב חבריו ותתבצע עריפת ראשים…

כך נראה האתר, כפי שנמסר לי על ידי PERFECT BEAT:

האתר - אין כניסה לישראלים

כתובת הIP של האתר מובילה לחברה בשם:

Network Operations Center
100 Pinehurst Ct
Missoula, MT
US
support@sharktech.net
+1-312-275-7678

ודרך בחינת רישומי הDNS וטווח כתובות הIP שהקבוצה משתמשת בה, הובילה לחברה נוספת בשם:

VIPAR

8300 E Maplewood Ave.
Suite 400
Greenwood Village, CO
USA

האתר שלו כבר מאונדקס בגוגל:

בתמונה הבאה ניתן לראות רשימה של חברי הקבוצה, בעוד ש0xOmar מופיע כAdministrator:

החברים על 0xOmar

בירור שערכתי העלה כי מדובר באתר של האקרים העושה שימוש בשירות בשם Army Proxy המציע כלי להענקת אנונימיות מלאה לאתרים ולגולשים. השירות הנו הסתרת כתובת IP והענקת אנונימיות לגולש. מן הסתם 0xOmar וחבורתו מפרים את תנאי השימוש בשירות זה.

בעודי כותב שורות אלה בוצעה מתקפה מסוג = Distributed Denial of Service או בקיצור (DDoS ) על Bank of America ודיווחתי עליה כאן (וגם כמובן לIC3 עליהם כתבתי כבר בפוסט אחר הנוגע לעוקץ הניגרי). המתקפה בוצעה על ידי אחד ה"brothers" שלו, וזה מדאיג מאד. בכלל קיים מידע רב (למשל מספרי כרטיסי אשראי של חשבונות בארה"ב) ש0xOmar והקבוצה שלו מעלים באתר הבא (בשפה הערבית). בעקבות בדיקה שערכתי, הגעתי לדף פייסבוק של הקבוצה. ומי עומד מאחורי דף זה? Raed Abu Maraq , תושב הרשות העובד במשרד הבריאות הפלסטינאי ולמד כאן

בתוך כך פרסם האקר ישראלי המכונה עומר כהן, ואימץ לעצמו את הכינוי 0xOmer, פרטי כרטיסי אשראי סעודיים. (אולי גם כאן ה-Bin Database יכול לאמת שאלה באמת מספרי כרטיסים מסעודיה…)

מילה אחרונה על השעה המופיעה באתר: הזמן המקומי של האתר משקף, לדעתי, את העובדה שההאקר 0xOmar אינו תושב מקסיקו אלא תושב סעודיה ומכאן הזמן המקומי שנצפה – שעה אחרינו.

לסיכום

המצב מדאיג ועם זאת, חשוב לחזור ולומר שאין כאן איזו פעולת האקינג מתוחכמת. נהפוך הוא: זו אינה יותר מפרצה קוראת לגנב. הגניבה היא החלק השולי, ואילו פרצת האבטחה הנה הבעיה המרכזית. ניתן באמצעים סבירים ובהשקעה נמוכה להעניק את מינימום אבטחת המידע המתבקש לכל אתר ואתר, ועל ידי כך למנוע מקרים כאלה בעתיד.

ההאקר הסעודי ייתפס בסופו של דבר, אולם אם לא ייעשה כאן שינוי שיחל בתקינה מתאימה, דרישות מחמירות בכל הקשור לאכסון מאגרי מידע מכל סוג שהוא, ובתוך כך שמירת מספרי כרטיסי אשראי והדרכה מתאימה לדרך הנכונה לעשות זאת – יבוא בעתיד הקרוב "האקר סעודי" חדש.

תודה לחפרפרת- Perfect Beat

מיכאל האפרתי haephrati@gmail.com

איך סגרתי להאקר הסעודי את החשבון

ההאקר הסעודי שכינויו 0xOmar, התראיין מספר פעמים לכלי תקשורת ישראלים, על פי רוב, בדרך של החלפת שאלות ותשובות דרך כתובת המייל שמשמשת אותו: 0xOmar@mail.ru. כך למשל ראיון ב-Ynet, ראיון באתר Gawker ותרגום שלו פורסם ב- Rotter, או ראיון עם כתב The Marker , כולם נעשו דרך המייל.

אני מצטער להודיע שבפעם הבאה שכלי תקשורת כזה או אחר ירצה לקיים ראיון עם 0xOmar, (ומן הסתם בהיעדר אפשרות לקבוע עם הבחור בבית קפה…), הוא יגלה שכתובת המייל ששימשה את ההאקר להפצת ההודעות השונות ובכלל לקיום קשריו עם העולם החיצון, לרבות קיום ראיונות מסוג זה, אינה קיימת עוד.

הבוקר הבאתי לסגירתה.

ב-5.12 לא התעצלתי ושלחתי מכתב תלונה. שלחתי עותק למחלקת ה-PR של החברה וגם לכתובת abuse@mail.ru. בכל נושא של הטרדה, חשד לעבירה או לשימוש לא חוקי / תקין, ניתן וצריך לפנות לabuse@ של ספק השירות.

חברת mail.ru, אשר כתובתה :

Mail.Ru Inc.

5F, 47-2-2, Leningradsky prospect

Moscow, 125167,

RUSSIAN FEDERATION|

רשומה באיי הבתולה הבריטיים (איך לא?).  היא מתהדרת ב-1833 עובדים, 9000 שרתים, וכמעט 29 מיליון כניסות בחודש. מנכ"ל החברה, Matthew Hammond, ניתן להשגה בטלפון  00-971-4434-8422 (באיחוד האמירויות ?!), או במייל: ir@corp.mail.ru.

וכך כתבתי…

From: Michael Haephrati
Sent: Thursday, January 05, 2012 9:05 PM
To: 'pr@corp.mail.ru'
Cc: 'abuse@mail.ru'
Subject: 0xOmar

Dear Mail.ru,

A Saudi hacker, named 0xOmar, is using a "mail.ru" email address to conduct illegal activity, including stealing hundred thousand of credit card numbers from databases, taking advantage of security vulnerability in these web sites.

See: http://www.ynetnews.com/articles/0,7340,L-4171932,00.html

http://www.capitalfm.co.ke/news/2012/01/saudi-hacker-publishes-israeli-credit-card-details-online/

He is using the following mail box:

0xOmar@mail.ru

Please advise.

Thanks,

Michael Haephrati

Israel

 התגובה האוטומטית, לא איחרה לבוא… פתחו לי תלונה מספר:  Ticket#2012010521061577.

—–Original Message—–
From: Support Mail.ru [mailto:support@corp.mail.ru]
Sent: Thursday, January 05, 2012 9:08 PM
To: Michael
Subject: [Ticket#2012010521061577] 0xOmar

*** Это письмо сформировано автоматически, отвечать на него не нужно ***

Ваша заявка «0xOmar» получена.

Дата: 05.01.2012 23:08.

Ей присвоен номер 2012010521061577. Просьба при ответах не изменять тему письма и присвоенный заявке номер.

В ближайшее время мы свяжемся с Вами.

Обработка Вашей заявки может занять до 5 дней.

Спасибо за понимание.

——————————–

С уважением,

Cлужба поддержки почтовой системы Mail.ru

***This message was created automatically by mail-delivery software. Do not reply to this message.***

You request was received at 05.01.2012 23:08.  It was assigned the following ID: «0xOmar»

Please, do not change the subject and your request ID in your replies to this message.

It takes up to 5 days to process your request. We will contact you as soon as possible.

Thank you!

——————————–

Sincerely,

mail support service

Mail.ru

והבוקר הגיעה התשובה – החשבון נסגר!

הודעה על סגירת חשבון המייל של ההאקר הסעודי, בתגובה לפניית מיכאל האפרתי

הודעה על סגירת חשבון המייל של ההאקר הסעודי, בתגובה לפניית מיכאל האפרתי

לא הסתפקתי בכך ועשיתי מה שנקרא "וידוא הריגה". שלחתי מייל לידידינו עם הצעה לקיים ראיון…

מייל להאקר הסעודי - רק ליתר בטחון

עשיתי וידוא הריגה - רק ליתר בטחון...

ואכן החשבון לא קיים יותר…

התגובה - אין אפשרות להעביר מייל לחשבון זה

התגובה - אין אפשרות להעביר מייל לחשבון זה

לידיעת מי שמעוניין לפתוח חשבון מייל בMail.ru, זה דף הרישום. ברם למי שעשוי לחשוב (כמוני) שעכשיו, כשהכתובת התפנתה, למה לא לתפוס עליה בעלות, אענה שמאחר והחשבון נחסם, לא ניתן לפתוח כתובת מייל בשם זה. ניסיתי…

אם עומר לא יכול לקבל את הכתובת הזו, אף אחד לא יכול...

אם עומר לא יכול לקבל את הכתובת הזו, אף אחד לא יכול...

כפי שאתם רואים, הופיעה רשימה של שמות חליפיים.

אם בכל זאת ירצה עומר להמשיך להשתמש בשירותי המייל של הספק הרוסי Mail.ru, מן הסתם תופענה לו רשימת השמות שהופיע לי כשניסיתי, ואולי כדאי לשים עין על רשימה זו למקרה שהוא יבחר באחד השְמות בפעם הבאה שיעשה שָמות…

אני לא משלה את עצמי… בזמן שכתבתי מאמר זה הוא יכל להספיק לפתוח תיבה חדשה, ומן הסתם גם עשה זאת כשגילה שהמייל שלו חתום, ועם זאת, נקודת המוצא שלי הייתה אותם ראיונות שהוא העניק באמצעות המייל, לאחר שפרסם כתובת זו לצד הצהרותיו. אין זה דבר שבשגרה שכלי תקשורת מקיימים ראיון במדיום זה, משום שקשה לאמת את זהות המרואיין. מכאן שאם עכשיו יפתח כתובת חדשה,  יהיה לו קשה יותר לטעון שזה באמת הוא (כל אחד יכול לפתוח כתובת בשם 0xOmar@gmail.com וכד') ולקבל במה להפצת המסרים שלו ומידע כזה או אחר.

מיכאל האפרתי

haephrati@gmail.com

איך מתודת Two Factor Authenrication יכלה למנוע שימוש לא מורשה בכרטיסי אשראי

(פוסט זה נבחר ל"נבחרי השבוע 6.1.2012 בNewsGeek).

פרשת גניבת מספרי כרטיסי האשראי יצרה בהלה רבה והותירה רבים בתחושה של היעדר ביטחון בדבר שעד כה נחשב בטוח, והוא רכישה מקוונת בכרטיס אשראי.

חקירה מעמיקה יותר העלתה שהמחדל היה במספר אתרים אשר בניגוד לכל הכללים והנהלים, שמרו מספרי כרטיסי אשראי מלאים בצירוף פרטים מזהים נוספים באופן לא מוצפן ולא מאובטח. ההאקרים אינם ממש האקרים אלא עוברי אורח שעברו באתרים אלה. ראו אור ודלת פתוחה (בעוד שאיש אינו בבית), ופשוט נכנסו ולקחו. לא צריך מומחיות מיוחדת על מנת לעשות את מה שהם עשו.

הבעיתיות באופן הרכישה המקוונת כיום

על מנת להציע פתרון לבעיה, יש לתת את הדעת לאופן שבו מתבצעות רכישות באינטרנט. כיום, וברוב החנויות או האתרים, די בכרטיס אשראי תקף על פרטיו (מספר, תוקף ו-3 ספרות מאחור) על מנת לבצע רכישה. כאן טמונה הבעיה. נכון שלו נמנעו אותם אתרים מלהחזיק מספרי כרטיס אשראי של לקוחות, או דאגו להצפין אותם בהצפנה העומדת בתקן, לא ניתן היה להשיג את פרטיהם, ברם אם יתבצע מעבר לאימות מורכב יותר, לא תהיה כלל פירצה הקוראת לגנב.

מתודת Two Factor Authenticaiton

Two Factor Authentication – אימות באמצעות שני אופנים, הנו מושג באבטחת מידע שפירושו אימות אשר מתבצע על ידי שני אמצעים, האחד, פיסי (או בג'רגון המקצועי – Something you have), והשני, מידע (או something you know).

עכשיו, קחו מושג זה צעד קדימה ובהנחה שאופן ביצוע רכישות מקוונות ישתנה ויתבסס על צורת אימות זו, והנה ונגנב מספר כרטיס האשראי שלך, הרי שהמספר נופל תחת הקטגוריה – something you know, בעוד שהמרכיב הנוסף, שהנו פיסי, לא יהיה בידי ההאקר, ומכאן שלא יגרם כל נזק.

מתיאוריה לפרקטיקה

הפרקטיקה הנדרשת כאן יכולה להתממש בדרך כל אביזר שכל בעל כרטיס יקבל. האביזר יציג מספר אקראי אשר יאומת על ידי אתר הרכישה כאותנטי, וללא הקלדת מספר זה (המשתנה בכל לחיצה על כפתור ההפעלה של האביזר) לא ניתן יהיה לבצע רכישה. למרות שחברות אשראי, במיוחד ביפן, נותנות לכל לקוח אביזר כזה, והשימוש בשיטה זו הפך שם לסטנדרט, יש שיטות נוספות ליישום המתודה. למשל, קבלת מסרון ובו מספר בן 4 ספרות, שונה בכל פעם. מאחורי שיטה זו עומד הרעיון שמספר הכרטיס הוא המידע שידוע (something you know), בעוד שמכשיר הטלפון והימצאותו ברשות המשתמש הנו (something you have).

כיוונים נוספים

ניתן לפתח שיטות נוספות על בסיס השילוב בין פרטי כרטיס לכתובת IP או מידע חד ערכי המשוייך למחשב נייד או טלפון נייד, ברמה של MAC Address או HardwareID המיוצר באופן אחר, ועל ידי כך להבטיח הגנה מקסימלית נגד שימוש לא מורשה בכרטיס אשראי.