איך ליצור רינגטון לאייפון

מכשיר האייפון הוא מכשיר פלאי וידידותי למשתמש אולם בכל הנוגע ליצירת רינגטון, או בחירת שיר והפיכתו לרינגטון הדבר קשה ואף מסובך.  קיימות מספר תוכנות ואפקליציות אשר מתיימרות לעשות זאת, אולם בכל אחת מהן עדיין נשאר לבצע מספר פעולות באופן ידני וכך למעשה אפליקציות אלה אינן תורמות הרבה, ואף עולות כסף. חשוב לומר: ניתן לייצר ולהמיר כל שיר או קטע ואף הקלטה קולית לרינגטון, ולעשות זאת ללא עלות כלשהי.

במאמר זה אסביר כיצד בכל זאת כל אלה ניתנים לביצוע ובחינם:

המצרכים הדרושים

התהליך כולו מצריך מכשיר אייפון, כבל USB, תוכנת ITunes וכמובן מחשב. הלחנתי קטע מוסיקלי קצר אותו ניתן לשמוע כאן, והפכתי אותו לרינגטון שלי. שם הקטע במקור הוא "סוף סוף".

הכנת הקטע הקולי

בשלב ראשון יש להכין או לבחור את הקטע הקולי, שאורכו עד 40 שניות, אשר ישמש בתור רינגטון. ניתן לבחון קובץ mp3 כלשהו. ניתן להקליט כל דבר, ובמידה והקובץ אינו נשמר בפורמט זה, אלא בפורמט .wav קיימת תוכנה אינטרנטית חינמית לביצוע ההמרה.

שם התוכנה Media.IO

מעבר להמרה עצמה, לעיתים נדרשת עריכה של הקטע. הוספת fade in ו-fade out, חיתוך וחיבור קטעים, וכיו"ב. כל אלה ניתנים לביצוע בכלי עריכת אודיו, ואינם מצריכים אפליקציית יצירת רינגטון ייעודית. כלים חינמיים לא חסרים – לדוגמה הכלי הבא. במקרה שלי, התוצר הסופי הוא קובץ בשם סוף סוף .mp3

המרת הפורמט

השלב הבא מצריך את תוכנת ITunes.

1. הוספת הקובץ לספריה

מוסיפים את קובץ הmp3 המעובד לספריית המוסיקה. ניתן לגרור או לבחור בתפריט Add File to Library

2. איתור הקובץ בספריה

עכשיו בוחרים את הוקבץ מתוך רשימת השירים ועם קליק ימני בוחרים בGet Info

או אז יופיע המסך הבא (יש לעבור לתצוגת Options):

בשלב זה יש להגביל את אורך הקטע ל-40 שניות. הדבר נעשה בכתיבת הערך 0:40 מימין ל"Stop Time".

לוחצים על OK ונחים קצת..

3. המרה לפורמט AAC

שוב בוחרים את הקובץ ברשימת השירים ובקליק ימני בוחרים בתפריט Create AAC Version

4. איתור הקובץ המומר

עכשיו יש לאתר את הקובץ שנוצר, דרך הExplorer או הFinder (אם אתם עובדים עם מק). הקובץ יהיה בתיקיית השירים של ITunes. ניתן לחפשו לפי השם שלו.

כפי שתראו, הקובץ שאותר הנו סוף סוף.m4a (זו הסיומת של קבצי AAC).

יש לשנות את שם הקובץ לm4r. 

לאחר השינוי, לחיצה כפולה עליו תפתח אותו מ-ITunes, אלא שהפעם הוא ייפתח כרינגטון בספריית הרינגטונים המקומית של המחשב.

ספריה זו נקראת Tunes והיא מופיעה אך ורק באם קיים לפחות רינגטון אחד.

עכשיו צריך לסנכרן ספריה זו עם ספריית הרינגטונים של המכשיר.

סינכרון בין ITunes למכשיר הIPhone

על מנת שכל מה שתואר כאן יעבוד, יש להגדיר סינכרון בין משכיר האייפון לתוכנת ITunes. כאשר מחברים את המכשיר בכבל USB, הוא יופיע בצד שמאל. לחיצה עליו תאפשר ביצוע Sync, כאשר ניתן להגדיר מה יסונכרן ומה לא, לרבות תמונות, וידאו, אנשי קשר, ובין השאר גם "Tones" קרי: רינגטונים. לאחר שינוי הסיומת של הקובץ, הוא הופך לרינגטון ומכאן הדרך פשוטה.

מודעות פרסומת

פרצה במאגר לשכת עורכי הדין

מאת: מיכאל האפרתי

ספר עורכי הדין

אתר לשכת עורכי הדין כולל את "ספר עורכי הדין", מאגר המכיל את פרטיהם של כל עורכי הדין בישראל החברים בלשכה, ומאפשר ביצוע חיפושים לפי תחומי התמחות או שם.

אם לדוגמה, אחפש את עורכי הדין ששם משפחתם "לוי", חלון החיפוש ייראה כך:

ולאחר לחיצה על "חיפוש" תופיע ההודעה הבאה:

גולש/ת יקר/ה,

"ספר עורכי הדין" (להלן: "המאגר") אליו הינך נכנס/ת, הוא רכושה הבלעדי של הלשכה ומיועד לשימוש פרטי בלבד.

מבלי לגרוע מאיזה מתנאי השימוש באתר זה, באשרך הודעה זו הינך מתחייב/ת שלא לעשות כל שימוש אחר במאגר או בכל חלק ממנו.

לחיצה על "אשר" מהווה אישור המשתמש לאמור בהודעה.

או אז מופיעות תוצאות החיפוש.

ניתן להכנס לכל תוצאה ותוצאה ולראות את פרטיו המלאים של עורך הדין, פרטים הכוללים: שם, כתובת, ת.ד., טלפון, נייד, פקס וכתובת דוא"ל.

כדי להגן את מאגר כזה ולמנוע שליפתו והפצתו, ישנן מספר שיטות אשר עשויות להגן על המידע ברמה סבירה ועד רמה גבוהה, הכל תלוי בשאלה עד כמה רגיש המידע.

בבואי לבדוק עד כמה מוגן המידע, השאלה הראשונה שתישאל היא האם ניתן להגיע למידע שאליו הגענו בעקבות השאילתה, וההסכמה לתנאי השימוש, שלא בדרך הרגילה, וללא לחיצה על "אשר" בחלון תנאי השימוש, אלא ישירות.

התשובה היא לצערי – כן.

כתובת הדף אליו הגענו בסופו של דבר היא: http://www.israelbar.org.il/lawyer_list_inner.asp?id=16214

מה שאומר שאם נכניס מספר כלשהו אחרי ה"id" נוכל להגיע לכל עורך דין ועורך דין.

בדיקה העלתה שהרשומות מתחילות ממספר 2, ורצות עד כ-40,000.

כיצד למנוע: נותנים לכל דף ודף כתובת שלא ניתנת לחיזוי עם מרכיב אקראי שאין בינו כל קשר לתוצאה.

זו רמת ההגנה הנמוכה ביותר. מכאן אפשר לעלות ולמנוע כניסה לדף תוצאה למי שלא נרשם או אישר את הסכמתו, ואז גם אם הגעתם לתוצאת חיפוש (לאחר שאישרתם את הסכמתם) ונתתם את כתובת דף התוצאה לחבר, אותו חבר לא יוכל להכנס סתם כך לדף זה, אלא יצטרך ללכת בצינורות המקובלים: לבצע שאילתה, לאשר את הסכמתו לתנאים ורק אז יופיע הדף.

ברמות הגנה גבוהות יותר, לאחר דקה או שתיים בהן בהיתם בפרטי עורך הדין, ה-session יסתיים ותצטרכו להכנס מחדש למערכת.

הגבלת שאילתות

ישנו כיוון נוסף שיש לתת עליו את הדעת. גם אם ננקוט בכל אמצעי אבטחת המידע האפשריים, עדיין יכול משתמש רשום, להכנס, לאשר את הסכמתו לתנאים, לבצע שאילתה ולשמור אצלו את תוצאותיה, להפיץ תוצאות אלה ולעשות בהן שימוש שונה מזה שהתיר בעל מאגר המידע. כדי למנוע זאת, נהוג להגביל את השאילתות בכמה אופנים:

  1. מספר התוצאות ששאילתה יכולה להניב
  2. מידע מינימלי שחייב להיות חלק משאילתה

על מנת להסביר, נניח שמישהו רוצה לשים ידו על מאגר מידע. הוא יכול לבצע חיפוש של כל עורכי הדין שמתגוררים בתל אביב, ואז לעבור לחיפה וכך לכל ישוב במדינת ישראל. הוא יכול לחפש את עורכי הדין ששם משפחתם מתחיל ב"א", וכך לעבור על כל אות בא"ב.

במאגרי מידע שמנגנון השאילתות שלהם אינו מוגן כלל, ניתן לבצע "שאילתה פתוחה". בשדה החיפוש פשוט לא רושמים דבר, ולוחצים על "חפש". על פי רוב, תופיע הודעת שגיאה, שנועדה להגביל את השימוש במאגר, אולם בספר עורכי הדין, אין זה המצב.

שאילתה פתוחה (או ריקה), פשוט תציג את כל עורכי הדין ברשימה. התוצאות הן על פני 50 עמודים, ואני מניח שכאן יושמה הגבלה על מספר התוצאות. אם בדף מוצגות 20 תוצאות, זה אומר ששאילתה פתוחה תוביל ל1000 תוצאות.

לא על כל מאגר מידע צריך להגן

לא כל מאגר מידע צריך להיות מוגן. אם אתר קיבוץ לוחמי הגיטאות מפרסם את אלפון החברים בו, ניתן לאפשר לא רק שאילתות פתוחות אלא הורדה של המאגר כולו בפורמט אקסל. אני מניח שאם לשכת עורכי הדין אינה מציעה הורדה של מאגר עורכי הדין כולו, ומגבילה את תוצאות החיפוש ל-50 דפים, שלא לדבר על הסכמת המשתמש הנדרשת לפני כל חיפוש, זה לא המקרה, ולכן מוטב לנקוט באמצעי אבטחת מידע מינימליים על מנת למנוע את התסריט הדמיוני הבא…

אודות bhavin189

bhavin189 (שם בדוי) הוא מתכנת הודי מהעיר Surat שבהודו, המציע את שירותיו באתרים רבים, לרבות עצות בYouTube כיצד לבצע טריק כזה או אחר.  bhavin189  אינו האקר, ומעולם לא פרץ לאתר כלשהו. הוא מתמחה בתחומים הבאים:

Form-fillers – SERPS – Adwords automation – Spiders – Crawlers – Extractors  – Google automation – Account-creators – Bots – Craigslist tools – twitter tools – SEO tools – social networking tools – facebook, orkut, bebo etc.
C#, VB.Net, VB6, VC++, MSXML, SQL, and VBScript.
PHP, javascript, HTML, XML, MySQL, SQLLite
Win32 APIs, Windows hooking, Localization, i18n, and multi-lingual solutions.

bhavin189 התבקש (באותו תסריט דמיוני) לבצע פרויקט במסגרתו יישלף המאגר. לא נדרש כאן האקר (ואין צורך או סיבה לפרוץ לאתר), שכן המידע חשוף וגלוי לכל. צריך רק לקחת. bhavin189  התבקש לפתח תוכנה בvb.net אשר תרוץ על כל הדפים האפשריים החל מhttp://www.israelbar.org.il/lawyer_list_inner.asp?id=2  ועד http://www.israelbar.org.il/lawyer_list_inner.asp?id=40000 . הוא פיתח את התוכנה בשעתיים, זאת מבלי שהוא מבין מילה אחת בעברית. הרצת התוכנה ארכה כיומיים, והניבה קובץ csv.

במהלך ההתייעצות שקדמה לפרוייקט, היה צריך לסמן בגוף כל דף את השדות השונים (בעברית) ולהפריד בין שדות שמופיעים מחוברים (למשל: להפריד שם משפחה משם פרטי).

 תהליך הייבוא לאקסל הוא פשוט מאד ומתבצע בעזרת כלי היבוא של התוכנה, בה ניתן לבחור את קידוד הטקסט המיובא (בדרך כלל הקידוד הנכון מופיע אוטומטית), ואת אופן ההפרדה בין שדות שונים. נהוג להפריד שדות או באמצעות תו מפריד (ל
משל פסיק), או על ידי קביעת רוחב קבוע לכל עמודה ועמודה.

מזמין העבודה יכל לייבא לתוכנת אקסל או לבסיס נתונים אקסס בתהליך ייבוא פשוט.

ואז לקבל מאגר מידע מנותק מהאתר ממנו הוא הגיע:

לבסוף נותרה בעיה קטנה: שמות המכילים מרכאות (") שיבשו את הייבוא, ומאחר ואני פרפקציוניסט היה לי חשוב לוודא שגם לבעיה זו יש פתרון, ואכן הפתרון נמצא: יצירת קובץ בו כל שדה מופרד בתו "טאב" (tab) במקום מופרד בפסיקים…

וכך נפתרו כל הבעיות, ואין לי ספק שבדרך הזו ניתן היה לשלוף את מאגר עורכי הדין כולו, ואתר זה הנו רק דוגמה לאתרים רבים ולמאגרי מידע רבים שפרוצים לכל ומוטב לתת את הדעת לכך ולנקוט באמצעים סבירים על מנת למנוע זאת.

 

כאן המקום לומר שאין במאמר זה כל התייחסות לפריצה לאתרים (או כלי ושיטות פריצה), וכל התהליך שתואר כאן מבוסס על גלישה לדפי אינטרנט בדרך הרגילה, וכן ביצוע אוטומציה של גלישה רגילה באמצעות תוכנת "רובוט" אשר נכנסת לכל דף ודף ברשימה ארוכה של דפים כאילו הייתה גולש פשוט.

במילים אחרות: שליפת מאגרי מידע בדרך זו משולה לאדם שפותח את ספר הטלפונים ועובר דף דף, ומעתיק את תוכנו לקובץ.

אם אותו אדם יפיץ את הקובץ שיצר, ייתכן ויפר את זכויות היוצרים של המאגר, אולם פעולת השליפה עצמה, חוקית כמו עלעול ועיון בספר טלפונים…. אולם במחשבה שנייה … אם תרצו לחפש עורך דין על מנת להתייעץ איתו בנושא, לפחות תדעו באיזה מאגר לאתר אותו…

עדכון 5.7.2012

בעקבות ההתראות שלי והמאמר שלי בנושא, לשכת עורכי הדין החלה בתיקון הפירצה ולשמחתי, כרגע לא ניתן להגיע לדף של תצוגת רשומה בודדת, אלא רק לדפדף בדף התוצאות, אז מוצגים פרטים חלקיים יותר ללא טלפון נייד וכתובת מייל. השלב הבא צריך להיות להחזיר את התצוגה הפרטנית, אולם למקם אותה תחת שם דף שאינו ניתן לחיזוי מראש (כתובת בעלת מרכיב אקראי) וכך תתוקן הפירצה.

 


לצורך הכנת הכתבה בוצעה התייעצות עם מתכנת מהודו, נכתבה תוכנה קטנה ונשלפו כ-100 רשומות ויובאו לתוכנת אקסל, אולם די בכך כדי להוות (POC (Proof of concept של הבעיה. 

מיכאל האפרתי

* לקריאה נוספת על טיוב נתונים, אני ממליץ על מאמר של ברוך עינב (מהתקופה בה היה מנהל מערכות המידע של אנשים ומחשבים) אודות תוכנת DataTune פרי פיתוחי (2001-2003)

כתבה על תוכנת DataTune

משלוח סמס מתוך תוכנה ללא תלות בחברת סלולר

התחרות בענף הסלולר, אשר תפסה תאוצה בשבוע האחרון לאחר כניסת שתי שחקניות חדשות לשוק: גולן טלקום והוט מובייל, מהווה אמתלה טובה להביא סקירה קצרה של הטכנולוגיה שמאחורי הסלולר, ובמקרה זה, משלוח הודעות SMS.

נניח שאתם רוצים להציע מוצר או שירות אשר כולל במסגרתו גם משלוח הודעות SMS. ההודעות עשויות להיות מקומיות (בארץ בלבד), או בינלאומיות (מכל מדינה לכל מדינה).

חברה בריטית ותיקה בשם CardBoardFish, מציעה תשתית טכנולוגית כזו, המקיפה את רוב מדינות העולם, ותעריף משלוח SMS בישראל (לצורך הדוגמה) יעלה כמחצית האגורה.

החברה מספקת תשתית אשר מנתבת את ההודעות על פני רוב חברות הסלולר בעולם כולו.

הדרך לצרוך שירות כזה הוא באמצעות התממשקות. זה יכול להיות אתר אינטרנט שמציע שירות הכולל משלוח SMS, או תוכנה (Desktop Applition), כאשר הדרכים להתממשק למערכת הנן:

  1. המרת מייל לסמס. שיטת Mail2SMS.
  2. פנייה לשרת HTTP באמצעות פקודת GET.
הטכנולוגיות הנתמכות על ידי החברה הן:
SMPP 3.3 ו-3.4
CIMD2
OIS
שפות התכנות הנתמכות כוללות: Soap, XML, Java, Visual Basic, PHP ו-Pearl. 
שפת ++C אינה נתמכת ישירות. פניתי לחברה וקיבלתי תשובה שאין להם תמיכה או דוגמאות קוד לשפה זו, שכנראה הולכת ונעלמת מן העולם. למרות זאת, כתבתי בעצמי תוכנה קטנה שעושה שימוש בשפה זו ובMFC אשר שולחת SMS לכל יעד בארץ ובעולם, ואף נידבתי את קוד התוכנה (עכשיו יש להם תמיכה ב++C … ).
התוכנה נראית כך:
והקסם מאחוריה הוא בהתממשקות שנעשית באופן הבא:
כל משתמש (כולל משתמש Trial כמו במקרה שלי), מקבל שם משתמש וסיסמה אשר הופכים לחלק מקוד התוכנה. 
התוכנה שלי עושה שימוש בClass קוד פתוח בשם WinHTTPClient אשר חיבר תוכניתן סיני בשם Sheng Chi.
כתבתי רוטינה בשם SendSMS אשר משמשת ה"מנוע" של התוכנה.
כפי שתראו יש צורך לקבוע פרמטר בשם DC עם ערך "4" ולקדד את ההודעה כHexadecimal, זאת על מנת שתתמוך בתווים בעברית (ובשפות נוספות), ולצורך כך כתבתי פונקציה נוספת בשם ConvertHex:
שם השולח יכול להיות מספר טלפון, או שם (באותיות לטיניות בלבד, וללא רווחים).
כתובת הנמען כוללת קידומת מדינה, ומספר טלפון (ללא ה"0" בהתחלה).
והעלות, כאמור, חינם לתקופת נסיון ולאחר מכן 0.006 יורו (כ-2 אגורות) להודעה.

למה אני נגד מתקפת התגובה של ההאקרים הישראלים נגד אזרחים

בימים האחרונים אנו שומעים על האקרים ישראלים או פרו ישראלים שתוקפים חזרה מטרות כגון אזרחים סעודים, אתרי אינטרנט ערביים, או מפרסמים פרטי חשבונות וכרטיסי אשראי של סעודים או ערבים. אני מצידי, פעלתי בתחילת הפרשה וסגרתי להאקר את החשבון.

בחלק מהמתקפות, צורף גם מסר בנוסח: "תראו איך אתם עכשיו אוכלים אותה בגלל האח שלכם 0xOmar…".

בשמיעה (או קריאה) ראשונה, זה עושה הרגשה טובה ותחושה שהנה, אנחנו משיבים מלחמה לנבלות האלה ושפעם הבאה לא יתעסקו איתנו. גם אני חייכתי מתחת לשפם (שאין לי) כששמעתי על כך… ועם זאת, אני סבור שזו טעות לפעול בדרך הזו ושזה לא יוביל לשום מקום.

ברמה החוקית, למי שלא יודע, ביצוע עבירת מחשב בישראל כנגד אדם או יעד במדינה אחרת, כולל מדינה ערבית, הנו עבירה על החוק הישראלי. שנית, רוב הקורבנות (אם לא כל הקורבנות) של מתקפות מסוג זה אינם אשמים ואינם תומכים באותה קבוצת האקרים.

אם מישהו מאותם האקרים ישראלים איתר נקודתית חבר בקבוצת ההאקרים ויכול לגרום למחשב האישי שלו להעלות עשן ושכל תכולת הדיסק שלו תימחק, אז בבקשה, ועל אותו משקל, שאפו למי שהפיל את האתר של 0xOmar, אבל ככל שמדובר בטרור נגד חפים מפשע, הרי שלתפיסתי, טרור נגד אזרחים (סעודים) אינו תגובה הולמת או ראויה לטרור נגד אזרחים (ישראלים). לא זו הדרך.

הדבר משול להפגזת מטרות אזרחיות ואזרחים חפים מפשע, בתגובה לפיגוע חבלני בישראל. יש אנשים שתומכים בסוג תגובה כזה. אני לא נמנה עליהם. במידה לא מועטה, תגובה כזו רק מחלישה אותנו ולא מחזקת. היא מטשטשת ומסיטה את הפוקוס מעוצמת מעשיו המזעזעים של 0xOmar וקבוצת ההאקרים, וכך הופכת את השבת המלחמה הצודקת שעלינו לנהל נגדם לסוג של  "קרב כנופיות רחוב" בה זה תוקף את זה וזה תוקף חזרה.

ישנם אלה שמצדיקים פעולה מסוג זה כל עוד מדובר באזרחים של מדינת אויב אולם אני סבור שלא זה הקריטריון. מה פשע אזרח סעודי שפרטי כרטיס האשראי שלו נגנבו ופורסמו וכלל אין לו קשר להאקינג, ואולי בכלל אינו מבין במחשבים?

חבר ששאלתי אותו על כך ענה שהלב נמצא עם מי שתוקף בחזרה, ומעלה בכך במעט את המורל הלאומי (אם כי בדרך ילדותית משהו, ותוך כדי "ירידה לרמתם") ועם זאת, חוק הוא חוק גם אם אינו חכם (שכן מדובר כאן במדינות אויב). טוב, אני מאלה שחלמו (ותמיד יחלמו) על היום שבו ישרור שלום באיזורינו ואפשר יהיה לקחת את האוטו לנסיעה לאירופה דרך טורקיה…

התגובה למתקפת קבוצת ההאקרים צריכה להיות ממוקדת, זאת לצד השקעה בהקשחת ההגנה, כמו למשל קביעת דרישות סף לאתרי אינטרנט השומרים פרטים אישיים, וגם אלה שקולטים פרטים אישיים גם אם אינם שומרים פרטים אלה (למשל אתרים שמאפשרים תשלום בכרטיס אשראי דרך צד שלישי כגון Pay Pal).

לקריאה נוספת: איך הזהרתי מהפריצות לאלעל ולבורסה וגם מעללי ההאקר הסעודי.

גל של פריצות. הזהרתי! אז הזהרתי…

זה זמן לא מועט שאני מנסה להתחקות אחרי התופעה שכונתה "ההאקר הסעודי" ולמעשה מדובר בקבוצה הכוללת את : מוחמד, עומד חביב (שכפי שפורסם הוא אכן ממקסיקו, ובמקור: איחוד האמירויות), מוחמד האינדונזי, איברהים (סעודיה), מוחמד מסעודיה, עבדאללה (סעודיה) ואדם נוסף מהרשת הפלסטינאית שהגעתי אליו בדרך לא דרך ושמו רעיד.

אתמול שלחתי התרעות לכל העולם ואחותו על שתי פריצות מתוכננות. האחת לשרתי אל-על והשניה לבורסה בתל אביב.

פניתי לאנשים באל על אותם הכרתי מקשרי עבודה מהעבר. פניתי למשטרת ישראל. צייצתי בטוויטר. מה לא.

לא ממש עזר לי…

היום אני מבקש להתריע שלפי ה"חפרפרת", היעד הבא הוא בנק בשם Alfabank.

בנוסף, עומדת להתבצע התקפה על אתר בשם Witza.net על מנת להגיע לבסיס נתונים באתר זה. הם מזכירים אדם בשם Jesse Labrocco המכונה Omniscient.

גם הפעם הועברו הודעות לנוגעים בדבר.

מיכאל האפרתי

haephrati@gmail.com

(תודה לחפרפרת Perfect Beat על המידע)

 

מעללי ההאקר הסעודי בסוף השבוע האחרון

ההאקר הסעודי והקבוצה המזוהה איתו צוברים תאוצה. הערב (14.1.2012) הופיע פרסום לא מאומת לפיו האקר בשם Omar Habib נעצר, אולם 0xOmar חי וקיים בפורומים הסגורים של הקבוצה שלו. מדאיג לגלות שקבוצת אנונימוס הודיעה על הצטרפותה להאקר הסעודי. הערב אף פרסם רשימה רביעית של מספרי כרטיסי אשראי:

רשימה רביעית של כרטיסי אשראי

האם Omar Habib = 0xOmar ?

למרות הפרסומים הלא מאומתים על מעצרו של אדם בשם Omar Habib, הרי ש0xOmar מופיע online זמן רב לאחר הפרסום השנוי במחלוקת (הזמנים, לפי שעון השרת שהוא שעה קדימה משעון ישראל).

בשבוע האחרון הועלו לאתרי התכנים PasteBin ו-PasteBay אשר במקור מיועדים למפתחי תוכנה, קבצים עם מידע על פרטי כרטיסי אשראי, פרטי כניסה לחשבונות שונים, לרבות אוניברסיטאות, אתרי שידוכים וגם אתרים בעלי זיקה לאומית / בטחונית.

אין מדובר בהאקר אחד אלא בקבוצה, שבימים האחרונים מצטרפים לה חברים נוספים, אוהדים ומעריצים. הקבוצה כוללת האקרים ממרוקו ותוניס, דרום צרפת, מדינות המפרץ הפרסי, מצרים ומדינות נוספות. כך למשל, ההאקר LulzOps אשר מפרסם רשימות משלו של חשבונות מייל וסיסמאות שנפרצו על ידו.

מחדל אבטחה באוניברסיטת בר אילן

אני רוצה להתעכב על מקרה שאני רואה בו מחדל אבטחה חמור, ולעניות דעתי מיותר – ומיד אסביר. באחד הפוסטים (שכמובן לא אחשוף כאן), פרסמה הקבוצה סקריפט לביצוע SQL Injection לאתר של אוניברסיטת בר אילן. הפעלת הסקריפט שולפת שמות משתמש וסיסמאות של סגל האוניברסיטה.

כדי להמחיש אציג את הקוד הבא, בPHP, שחלק מפרטיו מוסווים ב"*" (כדי לא לגרום לאף אחד לגרום נזק…), והוא מתייחס לאתר פיקטיבי בשם blablabla.co.il.

הוראות פריצה מדוייקות לאוניברסיטת בר אילן

SQL Injection –

ניתן היה למנוע אותו באמצעות קידוד נכון של האתר ומתן הרשאות מינימליות למשתמש הקצה

כאן המקום להסביר עד כמה פשוט למנוע פריצה זו. ישנן הנחיות ברורות שאם מקפידים למלא אותן, ניתן בוודאות למנוע פריצה מסוג זה. מדובר בפריצה בה במסגרת קלט של האתר (לדוגמה: הקלדת שם משתמש, מילוי טופס, פניה דרך האתר וכד'), מכניסים במקום זאת קוד זדוני. ההאקר פרסם לינק שהוא למעשה קוד כזה. בדקתי את הלינק והפעלתו מביאה כאמור להצגה של פרטים חסויים של משתמשים וסיסמאות. מיד שלחתי הודעה לאוניברסיטה.

כדי למנוע זאת, ראשית, בכל מקום שמאפשר קלט מהמשתמש, יש לבצע וולידציה של הקלט. אם נוקטים באבטחת מידע מחמירה, אוסרים על קלט שאינו אחת מאותיות הא"ב, לרבות סימנים מיוחדים (מה שאומר שלא ניתן להשתמש בסימנים כגון: "%" או "$" וכו'). בנוסף מגדירים את האורך ואת סוג המשתנה שמבקשים מהמשתמש להקליד. לדוגמה: אם מדובר בשאלון שבו המשתמש מכניס את שנת הלידה שלו, להגביל את השדה ל-4 תווים מספריים, ועוד כיו"ב. במקרה שלפנינו, יש להגדיר את מבנה שמות המשתמש והסיסמה (אורך, תווים אסורים וכד'), ולאכוף הגבלות אלה. בנוסף, כל פריט מידע צריך להיות מאוכסן במשתנה, והגישה לדטה בייס ככל שהיא מתבצעת כפועל יוצא של קלט ממשתמש הקצה צריכה להיעשות בהרשאות הנמוכות ביותר שמאפשרות את המינימום ההכרחי. זה כמובן על קצה המזלג.

פרטי חשבונות וססמאות כניסה למשתמשי אוניברסיטת בר אילן

בינתיים: ממשיכים להתפרסם פרטי כרטיסי אשראי וחשבונות של ישראלים

לאור גל הפרסום של פרטי כרטיסי אשראי של ישראלים, קיים צורך לא רק לטפל בתופעה ובמקור שלה אלא גם להודיע מהר ככל האפשר לחברות האשראי ולמשתמשים. ניתן לשייך כל מספר כרטיס אשראי למנפיק שלו. הדבר נעשה על ידי תרגום 6 הספרות הראשונות של מספר כרטיס אשראי למנפיק שלו. הדבר נעשה באמצעות Bin Database.

בדרך זו ניתן לדעת אם מספר כרטיס אשראי משויך לחברה ישראלית ולפנות אליה עם הפרטים.

תוכנה קטנה שפיתחתי

פיתחתי תוכנה קטנה שמסוגלת לאתר פרסומים כאלה תוך סריקת כתובות נפוצות בלוגיקה מסויימת, והענקת דירוג לכל תוכן ושקלול מילות מפתח שנפוצות בהגיגיו של 0xOmar וכמובן חיפוש אחרי "4580" ו"5326" (הספרות הראשונות של מספרי כרטיסי אשראי ישראלים). התוכנה סורקת עשרות דפים בשניה והעלתה תכנים רבים של ההאקר, וגם הרבה פניות נואשות ("0Xmar, בבקשה! תן לי כרטיס אשראי!).

אין כניסה לישראלים

כרגע עוברת הפעילות לאתר ש0xOmar הקים. הוא פרסם את כתובת האתר וכתב:

"Israeli people, sorry, you cannot access my site"

מדובר באתר שמפרסם קבצי ענק עם פרטי כרטיסי אשראי של ישראלים (ולא רק, יש גם פרטים של הולנדים ושל תושבי מדינות נוספות שהקבוצה הציבה לעצמה כיעד להציק להם). בעקבות חשיפת המידע, הוא נצרב והועבר ידי ה"חפרפרת" PERFECT BEAT (ומיד אסביר…), למשטרת ישראל ולגורמים הנוספים שפרטיהם נגנבו. האתר ככל הנראה נפל (או הופל…).

החפרפרת Perfect Beat

כדי להגיע אל המידע נפתח חשבון פיקטיבי, מכתובת IP זרה (דרך פרוקסי), ואצל ספק שירות חינמי במדינה ערבית, תחת שם שבואו נאמר שהוא נפוץ שם. דרך חשבון מייל זה בוצעה ההתחברות לקבוצה. מי יודע, אולי 0xOmar יחפש עכשיו את הבוגד בקרב חבריו ותתבצע עריפת ראשים…

כך נראה האתר, כפי שנמסר לי על ידי PERFECT BEAT:

האתר - אין כניסה לישראלים

כתובת הIP של האתר מובילה לחברה בשם:

Network Operations Center
100 Pinehurst Ct
Missoula, MT
US
support@sharktech.net
+1-312-275-7678

ודרך בחינת רישומי הDNS וטווח כתובות הIP שהקבוצה משתמשת בה, הובילה לחברה נוספת בשם:

VIPAR

8300 E Maplewood Ave.
Suite 400
Greenwood Village, CO
USA

האתר שלו כבר מאונדקס בגוגל:

בתמונה הבאה ניתן לראות רשימה של חברי הקבוצה, בעוד ש0xOmar מופיע כAdministrator:

החברים על 0xOmar

בירור שערכתי העלה כי מדובר באתר של האקרים העושה שימוש בשירות בשם Army Proxy המציע כלי להענקת אנונימיות מלאה לאתרים ולגולשים. השירות הנו הסתרת כתובת IP והענקת אנונימיות לגולש. מן הסתם 0xOmar וחבורתו מפרים את תנאי השימוש בשירות זה.

בעודי כותב שורות אלה בוצעה מתקפה מסוג = Distributed Denial of Service או בקיצור (DDoS ) על Bank of America ודיווחתי עליה כאן (וגם כמובן לIC3 עליהם כתבתי כבר בפוסט אחר הנוגע לעוקץ הניגרי). המתקפה בוצעה על ידי אחד ה"brothers" שלו, וזה מדאיג מאד. בכלל קיים מידע רב (למשל מספרי כרטיסי אשראי של חשבונות בארה"ב) ש0xOmar והקבוצה שלו מעלים באתר הבא (בשפה הערבית). בעקבות בדיקה שערכתי, הגעתי לדף פייסבוק של הקבוצה. ומי עומד מאחורי דף זה? Raed Abu Maraq , תושב הרשות העובד במשרד הבריאות הפלסטינאי ולמד כאן

בתוך כך פרסם האקר ישראלי המכונה עומר כהן, ואימץ לעצמו את הכינוי 0xOmer, פרטי כרטיסי אשראי סעודיים. (אולי גם כאן ה-Bin Database יכול לאמת שאלה באמת מספרי כרטיסים מסעודיה…)

מילה אחרונה על השעה המופיעה באתר: הזמן המקומי של האתר משקף, לדעתי, את העובדה שההאקר 0xOmar אינו תושב מקסיקו אלא תושב סעודיה ומכאן הזמן המקומי שנצפה – שעה אחרינו.

לסיכום

המצב מדאיג ועם זאת, חשוב לחזור ולומר שאין כאן איזו פעולת האקינג מתוחכמת. נהפוך הוא: זו אינה יותר מפרצה קוראת לגנב. הגניבה היא החלק השולי, ואילו פרצת האבטחה הנה הבעיה המרכזית. ניתן באמצעים סבירים ובהשקעה נמוכה להעניק את מינימום אבטחת המידע המתבקש לכל אתר ואתר, ועל ידי כך למנוע מקרים כאלה בעתיד.

ההאקר הסעודי ייתפס בסופו של דבר, אולם אם לא ייעשה כאן שינוי שיחל בתקינה מתאימה, דרישות מחמירות בכל הקשור לאכסון מאגרי מידע מכל סוג שהוא, ובתוך כך שמירת מספרי כרטיסי אשראי והדרכה מתאימה לדרך הנכונה לעשות זאת – יבוא בעתיד הקרוב "האקר סעודי" חדש.

תודה לחפרפרת- Perfect Beat

מיכאל האפרתי haephrati@gmail.com

האם המידע שלך מוגן

פעמים רבות שמעתי אנשים מציינים שמידע כזה או אחר מאוכסן על מדיה מגנטית נפרדת והגישה אליה היא ממחשב שאינו מחובר לאינטרנט. נראה שקיימת קונספציה לפיה מידע כזה בטוח ומוגן.

במאמר זה אנסה לענות על השאלה, כיצד תוכנות ניטור אוספות מידע גם ממדיה חיצונית, לרבות ממחשבים שכלל אינם מחוברים לאינטרנט.

הכספת

במהלך פיתוח תוכנת Target Eye Monitoring System, חשבתי על הפיצ'ר הזה שיבטיח שני דברים: ניטור מידע בזמן שבו האוביקט אינו מחובר לאינטרנט, וניטור מידע ממדיה נשלפת כגון דיסק און קי, גם אם זו מוכנסת למחשב בזמן שאינו מחובר לאינטרנט. קראתי לפיצ'ר זה: הכספת.

פיצ'ר זה, אשר למעשה נכלל בגירסה 2004 של התוכנה, מאפשר שורה של תהליכים אשר הופכים את הבלתי אפשרי לאפשרי.

הקומפיילר

תהליך התקנת "רכיב" של תוכנת ניטור, מבוסס על בניית סיפור כיסוי. אם האובייקט הוא טרוריסט חובב כדורגל, יבנה המפעיל סיפור כיסוי שימשוך את הטרוריסט לפתוח את הקובץ במסווה של סרטון על כדורגל, ועוד כהנה וכהנה. תוכנת Target Eye Monitoring System לא כללה מרכיב של החדרה מרחוק וגם היום מרכיב זה אינו חלק מהתוכנה, וההתקנה הנה באחריות משתמש הקצה, על פי רוב, רשות אכיפת חוק או סוכנות ביון כזו או אחרת. מי שמעורה בתחום יודע שהסיכוי לקבל מאפ"י (אגף הפיקוח על הייצוא במשרד הביטחון), היתרי ייצוא בטחוני למוצר הכולל מנגנון התקנה מרחוק נמוך אם לא אפסי. עם זאת, ניתן ליצור רכיב מותאם למשימה, והדבר נעשה באמצעות כלי הקרוי "הקומפיילר".

מסך הקומפיילר של טרגט איי בגירסת 2004

הערה כללית: תוכנת ניטור טובה יודעת להתקין את עצמה במספר מקומות, רצוי נסתרים, וליצור מספר תסריטי הפעלה חליפיים אשר מגבים זה את זה. תסריטים אלה כוללים גם מצב בו המחשב המנוטר אינו מחובר לאינטרנט, או שמחשב אחר מחובר לאינטרנט.

ניטור מידע ממחשב שאינו מחובר לאינטרנט

המנגנון הראשון הוא מנגנון ניטור בזמן שמחשב אינו מחובר לאינטרנט. מנגנון זה מבצע את אותן פעולות במצב ההפעלה הרגיל, אלא שבמקום לשדר את המידע לשרת מרוחק, נשמר המידע באופן מוצפן ונסתר במחשב המנוטר, מתוך מטרה לשדר את כל המידע שנאסף בהזדמנות הראשונה. מנגנון כזה צריך לקחת בחשבון מצב שבו נפח המידע יגדל מעבר לגודל מסויים ואז, בדומה למצלמת אבטחה, למחוק את הישן לטובת החדש.

ניטור מידע ממדיה נשלפת (Disk on key)

מנגנון נוסף, מזהה הכנסת דיסק און קי, וכאשר זה מוכנס, נאסף המידע שמאוכסן עליו, וגם אם המחשב אליו הוכנסה המדיה אינו מחובר לאינטרנט, נאסף המידע ומוסתר כחלק מהמנגנון הראשון. במהלך תהליך זה, ניתן להעביר מידע גם בכיוון ההפוך, קרי: להתקין תוכנה נסתרת המופעלת אוטומטית ( autorun) בדיסק און קי עצמו, עם עותק של הרכיב שמותקן במחשב אליו הוא הוכנס.

ניטור ממידע ממחשב שלעולם לא מחובר לאינטרנט

עכשיו, נניח שאותו דיסק און קי מוכנס לקודש הקודשים, מחשב נוסף אשר לעולם לא מתחבר לאינרנט. עם הכנסת הדיסק און קי, תותקן תוכנת הניטור במחשב זה, ותאסוף מידע אשר יישמר באופן נסתר ויאסף, זאת לאור העובדה שהוא לא מחובר לאינטרנט.

כאן ניתן להוסיף מנגנון נוסף (רביעי) אשר עם הכנסת דיסק און קי, לא רק מעתיקה אליו את הרכיב (בautorun), אלא שאם קיים מידע נסתר שנאסף בשל היות המחשב מנותק מהאינטרנט, הרי שמידע זה יועתק באופן נסתר לדיסק און קי, על מנת שאם תוכנס מדיה זו למחשב אחר, המידע יתווסף למידע נסתר שנאסף המחשב החדש, והראשון מבין שני המחשבים שיתחבר לאינטרנט – המידע ששמור בו (שתמיד יהיה עדכני לשני המחשבים + הדיסק און קי עצמו) ישודר לאינטרנט.

אז תחברו אחד ועוד אחד, ותראו עד כמה פשוט לנטר מחשב שלעולם לא היה מחובר לאינטרנט ולעולם לא יהיה מחובר…

אז איך בכל זאת להגן על המידע

להלן מספר פתרונות אשר יבטיחו מניעת זליגת מידע:

הצפנת דיסק

על מנת להבטיח שמידע לא יזלוג ממחשב (בין אם הוא מחובר או לא מחובר לאינטרנט), מומלץ להשתמש בהצפנת דיסק, כדוגמת BitLocker. הצפנה כזו תהפוך קבצים גם אם יזלגו החוצה לבלתי קריאים. על מנת לבצע פעולה זו באמצעות כלי מערכת ההפעלה Windows, יש להשתמש בגירסת Ultimate הכוללת פיצ'ר זה. אמנם בשנת 2009 פורסם כי חוקרים מחברת המחקר פראונהופר הגרמנית טוענים כי פיתחו דרכים לפריצת הצפנה זו (שידועה בחוזקתה עד כי גם גופי אכיפת חוק אינם מסוגלים לפתוח הצפנה של קבצים שהוצפנו על מחשב אחד ללא המחשב עצמו), אולם למעשה, אין מדובר בפריצת ההצפנה עצמה אלא סוג של סימולציה המחייבת נוכחות פיסית וחיבור התקן USB למחשב המוצפן מה שאומר שהשילוב של Bit Locker ורב בריח אמור לספק את ההגנה והשקט הנפשי…

נטרול מנגנון AutoRun למדיה חיצונית

הכוונה היא למנוע הפעלה אוטומטית של כל מדיה, לרבות DVD ותקליטורים, וכמובן Disk on key.

מפעילים את כלי הניהול: Gpedit.msc

Gpedit.msc

כלי הניהול של Windows

עוברים לComputer Configuration

משם מרחיבים לAdministrative Templates

ואז Windows Components

ולחיצה על Autoplay Policies.

ואז בחירה בEnabled, ובחירה בAll drives באופציה Turn off Autoplay.

לאחר מכן יש לבצע אתחול של המחשב.

המסקנה

המסקנה המתבקשת היא ששום מידע אינו מוגן ב100%, וטריקים של בידוד מחשב מרשת האינטרנט בוודאי שאינם עובדים, כל עוד למחשב המבודד אינטראקציה כלשהי עם העולם. ברור שמחשב ששמור בכספת ועליו מידע יקר ערך, יישמר כל עוד אין כל אינטראקציה עם מחשב זה, אולם כשם שעובד בית חולים שגר בבית סטרילי, מביא איתו הביתה את המחלות, כך גם קיימת סכנה לשלמות מידע השמור במחשב "סטרילי" כל עוד זה בא במגע כזה או אחר, ישיר או עקיף, עם מדיה או התקנים חיצוניים.

* הקלק כאן למידע נוסף על טרגט איי