בלוג אבטחת מידע

עיתונים רבותיי בנושא cyber security

2012-01-07T11:57:00.002+02:00

The Hacker News Magazine | All Issues Download Free

THN Magazine is a free monthly magazine designed to spread awareness and knowledge about cyber security. Our goal is to provide the most up-to-date information on a wide variety of topics that relate to hackers and security experts worldwide.

We welcome contributions from readers and hackers like YOU! Simply submit your idea or article tothehackernews@gmail.com and your submission could be featured in our next edition.

Some topics of interest include, but are not limited to:

New attack and defense techniques
Vulnerability discovery
Small tactics and techniques; Big attacks and impact
Mobile hacking
Professional exploit development
Security and hacking events around the world
Technical book reviews
Security and hacking threats
Security tools
Expert interviews

THN Magazine Download

Issue 08 | January 2012 | Enter at your own Risk ? - Download - RAR Format | PDF Format

Issue 07 | December 2011 | Who we are ? - Download - RAR Format | PDF Format

Issue 04 | September 2011 | No One is Secure Edition Download - RAR Format | PDF Format

Issue 03 | June 2011 | Total Exposure Edition Download - RAR Format | PDF Format

Issue 02 | May 2011 | Social Engineering Edition Download - RAR Format | PDF Format

Issue 01 | April 2011 | Anonymous Hackers Edition Download - RAR Format | PDF Format

מקור:http://thehackernews.com/p/magazine.html

אם חשבתם שעוקבים אחריכם כנראה צדקתם

2011-12-09T22:59:00.006+02:00

אני בטוח שכולכם מבינים שהטלפון זה לא הדבר הכי מאובטח שיש

עובדתית קיימים אתרים כגון jailbrakeme שמשתמשים בפרצה לפרוץ את

ה - Iphone שלנו, קיימים סוסים טוריאנים לאנדרויד ל - Iphone ול - Blackberry

שניתן למצוא עם קצת חיפוש באינטרנט.

אל תדאגו אם התקינו על הטלפון שלכם אז גם לא יהיה קל למצוא אותם.

ברור שחברות הענק הבינו שבתעשיה זו קיים לא מעט כסף ובנו מוצרים שונים שבצעים זאת.

אז מה באמת ניתן לעשות ?!

חשבתי על מספר דרכים לגלות דברים שכאלה (לא בהכרח הדברים הכי מתוחכמים אבל אני

מעריך שזה יעבוד) אשמח לתוספות מהצד שלכם במידה וניתן

שלב ראשון בטריה אם הבטריה מתרוקנת במהירות על אף שכלל האפלקציות סגורות

שלב שני תעבורה חברות הסלולאר גובים תשלומים על התעבורה ניתן להבין האם הייתה חריגה משמעותית

שלב שלישי התקינו SSH על המכשיר והתחברו אליו

שלב רביעי הריצו netstat -n ובידקו איפה המכשיר שלכם מבקר

שלב חמישי TCPDUMP הורידו מ - cydia והריצו

שלב שישי חברו את המחשב לנקודות WIFI שברשותכם והאזינו לתעבורה

ואל תגידו שלא הזהרתי אותכם בעבר

הזהרה ראשונה

הזהרה שנייה

הזהרה שלישית

לעוד מידע על הנושא ניתן לגלוש ללינק הבא

http://wikileaks.org/The-Spyfiles

פריצה לתא קולי של טלפון סלולרי

2011-10-31T22:58:00.004+02:00

קווין מיטניק מציג כיצד לפרוץ לתא קולי, בבדיקה קטנה שערכתי על טלפונים שברשותי

של שתי חברות מובילות הופתעתי לגלות כי אחת מהם מאפשרת למנוי היזדהות ללא סיסמא

לעיונכם ולתשומת לבכם של חברות הסלולאר

אבנת מחפשת האקרים 2

2011-10-09T21:19:00.005+02:00

אבנת מחפשת פורצים להצטרף לכוחותיה רצוי אנשים בעלי ידע

בתחום הפריצה ידע וניסיון ב - Buffer Overflow , reverse engineering חובה,

שירות צבאי חובה.

אם אתם חושבים שאתם מתאימים או לחילופין אתם מכירים חבר שמתאים לתפקיד

אשמח לשמוע.

קורות חיים ניתן לשלוח למייל roni@avnet.co.il

Cyber War

2011-09-04T20:20:00.004+03:00

לא תמיד אנחנו מודעים לסוג התקיפות שמבוצעות מתחת לפני השטח

ללא מגבלות של כסף, מרחק וכדומה.

לא תמיד אנחנו יודעים עד איפה הגיעו ואיזה מידע השיגו.

להלן סרט המציג תחקיר שנערך על ידי NBC על המלחמה השקטה המבוצעת

בין סין לארצות הברית.

היום סוף סוף המדינות התעוררו והבינו שזה יכול להתבצע בכל שעה ובכל מקום

השאלה הנשאלת האם המדינות משקיעות מספיק מאמץ להתגונן מול האיום הנתון.

How RSA Hacked - Detailed Analysis

2011-08-27T21:08:00.010+03:00

על פי פרסומים שונים והבנה של אנשי אבטחת המידע המטרה העקרית של אחת המדינות

היתה לתקוף את Lockheed-Martin and Northrop-Grumman

אירגונים אלו החזיקו מידע רגיש על מטוסים ורכיבי לוחמה שונים והיו מוגנים

על ידי רכיבי אבטחת מידע שונים אשר אפשרו כניסה לאחר הזדהות חזקה (RSA TOKEN).

לכן תקיפה של ארגון כגון RSA יכולה לאפשר קבלת מפתח MASTER KEY לכלל הארגונים.

כל השאר כבר די ידוע אך מה שאותי עניין זה איך התבצעה התקיפה בפועל.

לאחרונה קראתי מאמר מעניין של F-SECURE שמדבר על איך איתר אחד החוקרים

בשם TIMO את הקבצים שנשלחו לעובדי חברת RSA.

קצת מידע מקדים לפני הכל: הקובץ שנשלח היה מסוג xls (אקסל )

שם הנושא של המייל שנשלח היה 2011 Recruitment plan

כמו כן ידוע כי היה שימוש בפרצה באוביקט מסוג פלאש.

TIMO כתב כלי אשר חיפש במאגרי הקבצים הזדונים של F-SECURE

ומטרתו לחפש קבצים הדומים לעובדות שתוארו מעלה.

לאחר זמן מה איתר TIMO מספר קבצים שבינהם היה קובץ מסוג MSG

קובץ של הודעת מייל, הקובץ הכיל את הודעת המייל המלאה שנשלחה ב - 3 למרץ

לעובדי RSA.

להלן תמונת מסך של הודעת הדואר המקורית שנשלחה:

לא רק שאותר הקובץ אלא התברר כי אחד העובדים של RSA העלה את הקובץ

ל - VIRUSTOTAL למטרת סריקה:

לאחר ניתוח הקובץ הזדוני התגלה כי קובץ האקסל ניצל פרצה ברכיב הפלאש

מסוג CVE-2011-0609 אשר העלתה סוס טוריאני מוכר Poison Ivy.

לאחר מכן התחבר הסוס הטוריאני למספר כתובות ששירתו את התוקף לשליטה

להלן רשימת הכתובות:

נ.ב אם אתם מנהלי אבטחה של ארגון ושומרים לוגים של ה - FW שווה לראות

האם הארגון שלכם גלש לכתובות הנ"ל.

לאחר קבלת השליטה המלאה על תחנת המשתמש בוצעה פריצה מלאה לרשת וקבלת

הרשאות על.

עכשיו השאלה הנשאלת היא האם הפריצה הייתה מתוחכמת או מורכבת?

המייל שנשלח לא היה מתוחכם למדי,השימוש בסוס טרויאני מוכר לא היה מתוחכם

שימו לב התגלה על ידי 18 מתוך 41 מנועים, הייתי מצפה לסוס טוריאני לא מזוהה.

אך השימוש ב - 0day היה מתוכם וגם האדם או הארגון שעמד מאחורי התקיפה.

ותחשבו על זה :)

לסיכום להלן סירטון המציג את תהליך ההדבקה שימו לב ל - X הקטן איך הוא

נעלם בסוף ההדבקה:

Chrome Security Extensions

2011-08-19T19:17:00.007+03:00

כולנו או ליתר דיוק רובנו משתמשים ב - chrome לא ? (שאלה תאורטית אל תענו)

אז לאלה שכן מצאתי ריכוז נחמד של extensions שיכולים קצת

להקל על החיים שלנו ולהפוך את הדפדפן הפשוט למכונת מלחמה :)

Web Developer toolbar :https://chrome.google.com/webstore/detail/bfbameneiokkgbdmiekhjnmfkcnldhhm
Web developer toolbar of firefox in its full glory.
Encooder / Decoder :https://chrome.google.com/webstore/detail/gncnbkghencmkfgeepfaonmegemakcol
Encoding/Decoding Plugin for various types of encoding like base64, rot13 or unix timestamp conversion
XSS Rays :https://chrome.google.com/webstore/detail/kkopfbcgaebdaklghbnfmjeeonmabidj
Anti XSS :https://chrome.google.com/webstore/detail/pohooglepenpccfcljdhhbmojeghijno
Xss Detection and protections tools
HTTP Request Maker :https://chrome.google.com/webstore/detail/kajfghlhfkcocafkcjlajldicbikpgnp?hl=en-US
Request Maker is a tool for penetration testing. With it you can easily capture requests made by web pages,
tamper with the URL, headers and POST data and, of course, make new requests.
Request Maker only captures requests sent via HTML forms and
XMLHttpRequestsCookie Editor :https://chrome.google.com/webstore/detail/fngmhnnpilhplaeedifhccceomclgfbg?hl=en-US
Edit This Cookie is a cookie manager. You can add, delete, edit, search, protect and block cookies
Port Scanner for All Hosts :https://chrome.google.com/webstore/detail/jdcggkdokjkfheicojgdkiemchjioaaa
Simplistic Port scanner doing a simple port scan for well known ports.
Chrome Whois :https://chrome.google.com/webstore/detail/jmmjpmkbadbdjphkkbmfchoidgbpnppg
Whois Information display within chrome browser
Firebug lite for Chrome :https://chrome.google.com/webstore/detail/bmagokdooijbeehmkpknfglimnifench
For those who don’t like Developers tools @ chrome and want to keep sync with good old firebug
HTTP Headers :https://chrome.google.com/webstore/detail/hplfkkmefamockhligfdcfgfnbcdddbg
Google Chrome extension that lets you quickly view HTTP Response Headers of a URL.
IP Address information :https://chrome.google.com/webstore/detail/lhgkegeccnckoiliokondpaaalbhafoa
See geolocation, DNS, whois, routing, search results, hosting, domainneighbors, BGP and ASN info of every IP address (IPv4 & IPv6).
Not Scripts :https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn
A clever extension that provides a high degree of ‘NoScript’ like control of javascript, iframes, and plugins on Google Chrome.
Proxy Switcher :https://chrome.google.com/webstore/detail/caehdcpeofiiigpdhbabniblemipncjj
A nice drop in replacement for Foxy Proxy and very good in working.
Session Manager :https://chrome.google.com/webstore/detail/bbcnbpafconjjigibnhbfmmgdbbkcjfi
Session Manager lets you save sessions of your opened tabs and windows, and to quickly re-open them whenever you like.
Cookie swap :https://chrome.google.com/webstore/detail/dffhipnliikkblkhpjapbecpmoilcama?hl=en-US
Swap cookies between two accounts
HTTP Response Browser :https://chrome.google.com/webstore/detail/mgekankhbggjkjpcbhacjgflbacnpljm?hl=en-US
Make HTTP requests from you browser and browse the response.
REST Client :https://chrome.google.com/webstore/detail/ahdjpgllmllekelefacdedbjnjaplfjn?hl=en-US
Helper for web developers for creating custom HTTP requests.
Network Utilities :https://chrome.google.com/webstore/detail/ekpdpmpcgcmpaeokmclflfpadaklgpji?hl=en-US
Tools like ping, tracert, W3C validator, dns blackhole list, dns lookup, domainneighbors and whois information.
DNS loopup :https://chrome.google.com/webstore/detail/hknchhafnlafkbiopkadkgmammdbaich?hl=en-US
Displays DNS records for the current page.
Tampermonkey :https://chrome.google.com/webstore/detail/dhdgffkkebhmkfjojejmpbldmpobfkfo
Grease Monkey drop in replacement
Exploit DB latest :https://chrome.google.com/webstore/detail/lkgjhdamnlnhppkolhfiocgnpciaiane
Displays latest 5 of exploitdb.
Wappalyzer :https://chrome.google.com/webstore/detail/gppongmhjkpfnbhagpmjfkannfbllamg
Web Technology Notifier :https://chrome.google.com/webstore/detail/fnpgnmindcbkjbpblcklealdhnogmlko
Displays the technologies used in the website, Frameworks, CMS, scripting etc
Web Securify :https://chrome.google.com/webstore/detail/emclbdbpcnhmopfkidjhlinikkohlkpn
Perform a Websecurify scan inside your browser.
Norton Web Safe :https://chrome.google.com/webstore/detail/jgeljojcemiefdiciedakpojojfmbhba?hl=en-US
Uses Norton SafeWeb API but we are NOT affiliated with Symantec!
QR / Bar Code Decoder :https://chrome.google.com/webstore/detail/fdbaidolhfnecgiloehbailojonjaloa?hl=en-US
QR & other BARcodes images in one click Decoding. Also can Encode selected text or current URL to QR code in one click, like others.
URL Shortner and Expander :https://chrome.google.com/webstore/detail/eclilalbnmdonojgjmkekinflhodgoii?hl=en-US
Supports upto 50 different services you can expand any url you receive before clicking on it and following the link.
Web Server Notifier :https://chrome.google.com/webstore/detail/najdkmbedaehkepolllmpdfccdgooajh?hl=en-US
Displays the Web server of the current page.
Password and hidden Revealer :https://chrome.google.com/webstore/detail/fgeopcldenngppapceagonnenonklpbn?hl=en-US
This version allows to see asterisk and hidden fields
Google Safe Browsing Check :https://chrome.google.com/webstore/detail/kcghpcmaemminjmoifneclajoomafben?hl=en-US
Adds one-click Google Safe Browsing diagnostic to your toolbar
Password Security Tester :https://chrome.google.com/webstore/detail/gfbpikfinaalbpbapnejhimpljlleikl
Test’s how secure is your password specially how easily it is to crack the password based on complexity.
Secure Login Helper :https://chrome.google.com/webstore/detail/gbnlondidnnfmfnglkpaoagecnkkpcjp
Redirects to Secure version if it exists.
Search file sharing :https://chrome.google.com/webstore/detail/cboohmbnadgdglnfblieggkgbapdkmjk
Simple search into public file sharing sites.
Download Master :https://chrome.google.com/webstore/detail/hdjacnejoohiamgmaciljlpniffgkojd?hl=en-US
Download Helper
AdBlock Plus :https://chrome.google.com/webstore/detail/cfhdojbkjhnklbpkdaibdccddilifddb?hl=en-US
Ads were yesterday! The successful extension Adblock Plus is now available forGoogle Chrome™.
Disable Extension :https://chrome.google.com/webstore/detail/ejhdjfmkegkpenillofhpmikailkjpkb?hl=en-US
Disable all extensions in one click, or enable all extensions in one click.
you also can enable or disable or uninstall the extensions one by one.
W3Spy :https://chrome.google.com/webstore/detail/doahnaigbgiblgnjhhaekbffljjpmacg?hl=en-US
This extension displays an icon in Google Chrome’s top bar; On-click, it will load a complete website report for the currently visible website. Powered by: W3Spy.net
מקור

http://www.pentestit.com/2011/07/18/list-chrome-extensions-security-professionals/

FaceNiff For Android

2011-07-29T21:31:00.003+03:00

FaceNiff היא אפלקציית למכשירי אנדרויד שנועדה לאפשר

האזנה לתעבורת Web על גבי רשתות WIFI וגניבת Sessions לאתרים שונים כגון:

Facebook,Twitter,Youtube,Amazon,Nasza-Klasa

לינק לאתר:

http://faceniff.ponury.net/

לינק להורדה:

http://faceniff.ponury.net/FaceNiff-2.0-alpha9.apk

Adventures in Analyzing Stuxnet

2011-07-07T21:09:00.000+03:00

ללא ספק תולעת ה - Stuxnet הייתה תולעת מתוחכמת, אבל לא תמיד אנחנו

באמת מבינים עד כמה.

אם יש לכם קצת זמן תראו את הסירטון הבא ואני בטוח שתבינו

stuxnet

2011-06-16T21:09:00.012+03:00

פרומו לסרטון הבא שאני הולך להציג לכם

נאום ביבי נתניהו בכנס אבטחת המידע INSS

2011-06-10T08:55:00.009+03:00

ביום חמישי האחרון התקיים כנס אבטחת מידע של INSS, אחד מהגורמים

שהובילו אותי לכנס זה לשמוע מה יש לביבי נתניהו להגיד על נושא

אבטחת המידע בישראל.

אז למי שלא היה בהרצאה להלן ההרצאה המלאה.

תהנו

Screen spy new version

2011-05-20T20:11:00.004+03:00

Hi all

just finished fixing a bug in screenspy on backtrack5

link for download - new script

enjoy

Sniffing USB traffic with VMWare

2011-04-17T18:11:00.003+03:00

הרבה פעמים קורה שאנחנו צריכים להבין מה רכיב USB עושה מול

אפליקציה או לחילופין מול מערכת ההפעלה.

חיפשתי כבר הרבה זמן פיתרון לנושא ואכן מצאתי sniffer's שונים לביצוע

הפעולה אך הם לא עבדו כל כך טוב.

לאחרונה נתקלתי בכתבה מעניינת המציגה את ביצוע הפעולה שתוארה באמצעות

Vmware.

נראה פיתרון מדליק תהנו.

לינק לכתבה.

IPHONE4 AND METASPLOIT 3.7.0 INSTALL GUIDE

2011-03-25T18:48:00.006+02:00

בשבוע האחרון קיבלתי 4 IPHONE אחד הדברים הראשונים שחשבתי שחשוב

שיהיה לי עליו הוא 3.7.0 Metasploit חיפשתי קצת ב – Web ולא מצאתי מדריך מלא

ומוצלח להתקנתו.

אז התקנתי OPENSSH ופשוט חיברתי את כל מה שאני מכיר עם מה שמצאתי באינטרנט.

ובניתי מדריך מסודר להתקנתו.

נ.ב מומלץ לאחר התקנת ה - OPENSSH לבצע הכול דרך SSH פשוט נוח יותר.

(סיסמאת ברירת מחדל alpine)

-------------------------------------------------------------------------------------------------

install 'OpenSSH','APT 0.7 Strict' using cydia

cd /private/var

apt-get install subversion nano wget python

apt-get remove ruby rubygems

wget http://apt.saurik.com/dists/tangelo-0.9/main/binary-iphoneos-arm/debs/ruby_1.8.6-p111-5_iphoneos-arm.deb

dpkg -i ruby_1.8.6-p111-5_iphoneos-arm.deb

wget http://apt.saurik.com/dists/tangelo-0.9/main/binary-iphoneos-arm/debs/rubygems_1.2.0-3_iphoneos-arm.deb

dpkg -i rubygems_1.2.0-3_iphoneos-arm.deb

rm ruby*

wget http://updates.metasploit.com/data/releases/framework-3.6.0.tar.bz2

tar jxpf framework-3.6.0.tar.bz2

cd msf3

svn update

msf3

-------------------------------------------------------------------------------------------------

Blogspot השתלטות על כל

2011-03-11T15:43:00.006+02:00

ניר גולדשלגר חבר בצוות התקיפה של אבנת מציג תהליך השתלטות מלא

על כל בלוג ברשת השייך ל - GOOGLE -blogspot.com.

נ.ב כחלק מבדיחה פנימית שלנו חשבנו מה היה קורה אם הוא היה משתלט על הבלוג הראשי של

גוגל :) היה יכול להיות מעניין.

http://googleblog.blogspot.com/

Patriot NG Host IDS v2.0

2011-02-25T07:58:00.005+02:00

Patriot NG is a Host IDS‟ tool that allows real-time monitoring changes in Windows systems. According to Wikipedia, an IDS is defined as “a program used to detect unauthorized access to a computer or a network”.

Prerequisites.

You need to have installed correctly Winpcap (http://www.winpcap.org/install/default.htm) to be fully functional Patriot 2.0.

Patriot monitors:

Changes in Registry keys: Indicating whether any sensitive key (autorun, internet explorer settings…) is altered.
New files in ‘Startup’ directories
New Users in the System
New Services installed
Changes in the hosts file
New scheduled jobs
Alteration of the integrity of Internet Explorer: (New BHOs, configuration changes, new toolbars)
Changes in ARP table (Prevention of MITM attacks)
Installation of new Drivers
New Netbios shares
TCP/IP Defense (New open ports, new connections made by processes, PortScan detection…)
Files in critical directories (New executables, new DLLs…)
New hidden windows (cmd.exe / Internet Explorer using OLE objects)
Netbios connections to the System
ARP Watch (New hosts in your network)
NIDS (Detect anomalous network traffic based on editable rules)

Download

RDP

2011-02-10T19:26:00.008+02:00

קיימים לא מעט ארגונים אשר משתמשים בגישת ההפרדה

בין רשת ה - DMZ לבין הרשת הפנימית, וברשת הפנימית בין סיגמנט השרתים

לבין סיגמנט המשתמשים , שימוש בהפרדה בין סיגמנטים

ורק גישה ב - RDP ובשימוש ב - Policy מוקשח על השרת הם חשיבה נכונה

ואבטחתית אשר בד"כ מצמצמות את הסיכונים הקיימים.

כאשר אנחנו מגבילים את המשתמש אך ורק לפורט RDP-3389 ומקשיחים את

השרת כראוי מתקיימת סביבת הגנה טובה.

לאחרונה יצא לי להיתקל בכלי שקצת שובר את תפיסת האבטחה שציינתי

הכלי מנצל את פרוטוקול ה - RDP ומאפשר למשתמש "לרכוב" על צינור ה -

RDP בשירותים שונים, אז איך זה נראה:

ואיפה מורידים את זה את בטח שואלים:

http://sourceforge.net/projects/rdp2tcp/files/

עלמנת להתקין את צד ה - Server אנחנו עדיין צריכים לשבור

חלק מהקשחה שמבוצעת אבל מניסיון זה תמיד אפשרי בצורה

כזאת או אחרת.

Online Hash Crackers Web Sites

2011-01-14T01:10:00.004+02:00

חשבתי לרכז לעצמי ולאחרים רשימה מסודרת של

online hash crackers web sites

MD5

web-security-services

(IRC Bots)

plain-text.info (irc.Plain-Text.info #rainbowcrack - irc.rizon.net #rainbowcrack)

md5.overclock.ch (irc.rizon.net #md5)

c0llision.net (irc.after-all.org #md5crack - ircd.hopto.org #md5crack - ix.dal.net #md5crack)

NTLM

SHA1

Web-Security-Services

http://www.stringfunction.com/sha1-decrypter.html

SHA 256-512

MySQL

WPA-PSK (free)

(costs $$$)

מקור

http://hashcrack.ath.cx/onlinehashcrackers.htm

Wifi Hot Spot איך להפוך את המחשב שלנו ל

2010-12-24T21:27:00.007+02:00

הרבה פעמים אנו רוצים לגלוש דרך הטלפון בצורה מאובטחת אבל

לא תמיד יש לנו רשת Wifi שניתן לסמוך עליה.

במקרה שלי יש לי 3G אבל מה קורה אם אין לנו את זה ובכל זאת אנו

רוצים את היכולת לגלוש מאובטח אך דרך הטלפון.

את האמת לספר הכל התחיל שרציתי לקחת את ה - windows 7 שלי להפוך

אותו ל - hot spot ולראות בעזרת sniffer מה אנשים עושים עם האינטרנט שלי :).

היום כבר אני עושה את הכל בעזרת ה - Android שלי כלומר גם פותח hotspot וגם

מאזין לתעבורה.

אבל נחזור לאפליקציה, virtualrouter :

לינק להורדה

חיסרון אחד קיים:

The Wireless Network create/shared with Virtual Router uses WPA2 Encryption, and there is not way to turn off that encryption. This is actually a feature of the Wireless Hosted Network API's built into Windows 7 and 2008 R2 to ensure the best security possible.

כמו כן למחשב הנייד שלכם חייב להיות קישור לאינטרנט חוטי או סלולארי.

ScreenSpy meterpreter script

2010-11-25T17:39:00.005+02:00

Hi guys

just finished writing a great meterpreter script for metasploit

i was looking for a long time for a script that will give me the ability

to get interactive view of remote desktops when using meterperter,

but didn't find any script that can be used for this task.

so i decided to meet the challenge and create my own script.

hope you like it :)

i would love to hear your comments or any suggestions that you might have

link for downloading the script

כלי נחמד להסרת וירוס או סוס טוריאני עקשן

2010-11-06T14:01:00.004+02:00

לא פעם יוצא לי לעזור לחברים בהסרת וירוסים או סוסים טוריאנים.

קיימים לא מעט "טריקים" שיכולים לעזור בפעולה זו אך לאחרונה

נתקלתי בכלי חביב ויעיל שמבצע את הפעולה בצורה יעילה ופשוטה.

לכלי קוראים Combofix וניתן להורדה ב:

מצורף הסבר מפורט בלינק למטה אשמח לשמוע אם הוא איתר

משהו מעניין בהצלחה :)

נ.ב מומלץ להרצה גם אם האנטי וירוס לא גילה לכם כלום על המחשב.

http://www.bleepingcomputer.com/combofix/how-to-use-combofix

The Google Toilet

2010-10-22T17:35:00.007+02:00

בעבר כתבתי כתבה נחמדה על GOOGLE ועל הכוח שיש להם בידיים

למי שלא קרא

http://ronibachar.blogspot.com/2010/02/blog-post.html

כנראה שלא רק אני חושב ככה וחבר מהעבודה הראה לי סרטון מצחיק שהייתי

חייב לשתף אותו תהנו

תודה אנטולי על הסרטון

ללא מילים

2010-10-08T08:57:00.006+02:00

לא פעם קורה שרואים משהו מעניין באחד הבלוגים שקוראים.

אבל מעט הפעמים שהמשהו הזה באמת גורם לך..... (תשלימו אתם)

מקור הבלוג של ברק הורביץ.

אבטחת מידע במדפסות

2010-09-17T10:17:00.003+02:00

לא פעם קורה שאנחנו כארגון מחליטים לזרוק או לתרום ציוד ישן שיושב

בחברה. אז בד"כ הסיכון בהוצאת מחשב דיי ברורה ולכן או מוציאים את

ה - Hard Disk או לחילופין מבצעים Wipe מספר פעמים.

אך כאשר אנו תורמים מדפסות או מוכרים אותם האם אנחנו מודעים לסכנה שבהם?

האם אנחנו מערבים את מחלקת אבטחת המידע בהחלטה ?

המדפסות של היום מחזיקות רכיב זיכרון שאוגר בתוכו לא מעט מידע.

אבל במקרה הזה תמונה שווה אלף מילים ולכן הכנתי קטע וידאו קצר:

RootKit

2010-08-21T13:09:00.007+03:00

קיימות לא מעט תוכנות לזיהוי Rootkit במחשב, לאחרונה נזכרתי בתוכנה טובה

שעבדתי איתה מספר פעמים וחשבתי שהיא יכולה להיות שימושית גם לכם.

שם התוכנה: GMER.

גירסה אחרונה:GMER 1.0.15.15281

תמונת מסך:

תיאור קצר של המחבר:

GMER is an application that detects and removes rootkits

It scans for

hidden processes
hidden threads
hidden modules
hidden services
hidden files
hidden Alternate Data Streams
hidden registry keys
drivers hooking SSDT
drivers hooking IDT
drivers hooking IRP calls inline hooks

לינק להורדה

http://www.gmer.net/

DEFCON 18

2010-08-06T20:56:00.004+03:00

כנס ה - DEFCON הוא אחד מכנסיי אבטחת המידע והאקרים החשובים ביותר.

מכיוון שלא הייתי שם ואני מעריך שרובכם גם לא היה שם, זה לא אומר שלא

ניתן לקרוא את החומרים והמצגות שהיו בכנס (זה עדיין לא הכנס אבל הכי קרוב

שאפשר :)

להלן רשימת הנושאים, ניתן להוריד בלינק למטה כ -106 מצגות העוסקות בנושא:

A New Approach to Digital Forensic Methodology And !!BUSTED!! Case studies David C. Smith Samuel Petreski
A Survey and Examination of the Adequacy of the Laws Related to Cyber Warfare. Dondi ―spookdoctor06‖ West
Advanced Format String Attacks Presented by Paul Haas
Air Traffic Control Insecurity 2.0 Righter Kunkel
Analyzing vulnerability assessment data the easy way… Schuberg Philis Seccubus
Attack the Key Own the Lock. datagram & Schuyler Towne
Attacking .NET Applications at Runtime Jon McCoy
Attacking JBoss like a Boss Krpata
au.bug William-LeGrand
Be a Mentor Marisa Fagan InfoSec Mentors Project
BlindElephant:Web Application Fingerprinting With Static Files Patrick Thomas
Blitzableiter –BETA Release Countering Flash Exploits Felix "FX" Lindner
Browser Based Defenses x06d
Build a Lie Detector / Beat a Lie Detector. Rain, J03b34r
Building a Security Operations Center with little or no money. Pyorre
Changing Threats To Privacy Marlinspike
Cloud ComputingA Weapon of Mass Destruction? David M. N. Bryan
Connection Strings Chema Alonso Informática 64
Constricting the Web. Offensive Python for Web Hackers Nathan Hamiel, Marcin Wielgoszewski
Crawling Bittorrent DHTs for Fun and Profit Scott Wolchok
Cyber [Crime|War] Connecting the dots Iftach Ian Amit Managing Partner, Security & Innovation
Cyberterrorism & the Security of the National Drinking Water Infrastructure John McNabb

לינק ישיר להורדת כלל המצגות

לינק להורדה בעזרת Bitornet

תולעת חדשה יצאה לעולם האם אתם מוכנים

2010-07-23T22:12:00.006+03:00

בתאריך 16 ליולי הוציאה חברת MICROSOFT הודעה על פגיעות שהתגלתה

בקבצים מסוג LNK. (קיצור דרך).

החולשה מאפשרת הרצת קוד על המכונה.

להלן ה - Advisory של Microsoft

http://www.microsoft.com/technet/security/advisory/2286198.mspx

קיימת כבר תולעת אחת המנצלת באג זה והערכה שלי שבקרוב נראה עוד כמה כאלה.

מה שיותר בעייתי הוא שעדיין Microsoft לא הוציאה טלאי אבטחה לנושא.

מה שמשאיר הרבה אירגונים חשופים לפגיעות וכרגע הדרך היחידה לפתור את

זה היא או לגשת ללניק הבא ולהריץ את הכלי ש - Microsoft מספקים:

http://support.microsoft.com/kb/2286198

או לבצע ידנית את הפעולות הבאות:

Using the interactive method

Click Start, click Run, type regedit in the Open box, and then click OK.
Locate and then select the following registry key:
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
Click the File menu and then click Export.
In the Export Registry File dialog box, type LNK_Icon_Backup.reg and then click Save.
Note This will create a backup of this registry key in the My Documents folder by default .
Select the value (Default) on the right pane in the Registy Editor. Press ENTER to edit the value of the key. Delete the value, so that the value is blank, and press ENTER.
Locate and then select the following registry key:
HKEY_CLASSES_ROOT\piffile\shellex\IconHandler
Click the File menu and then click Export.
In the Export Registry File dialog box, type PIF_Icon_Backup.reg and then click Save.
Note This will create a backup of this registry key in the My Documents folder by default
Select the value (Default) on the right pane in the Registy Editor. Press ENTER to edit the value of the key. Delete the value, so that the value is blank, and press ENTER.

אני כבר רואה את כמות החברות במשק אשר יפגעו מהבעיה האבטחית הזאת בהצלחה לכולם.

עידכון אבטחת מידע חודש יולי 2010

2010-07-22T21:48:00.003+03:00

להלן עידכון אבטחת מידע לחודש יולי 2010 תהנו:

אבטחת מידע בגלישה ברשת אלחוטית פתוחה

2010-07-09T23:34:00.007+03:00

כולנו הינו שם אנחנו בחופשה או לחילופין קפצנו לחבר ואנחנו רק רוצים להתחבר

לחשבון בנק ולבדוק משהו קטן או לחילופין להוריד איזו תוכנה שחסרה לנו , לראות

אם שלחו לנו EMAIL חשוב.

גלישה בבתי קפה או ברשת אלחוטית פתוחה היא דבר שבשיגרה.

אך כפי שרובכם מכירים קיימות לא מעט סכנות בקישורים מסוג זה ולא תמיד אנחנו

יודעים איזה האקר יושב בצד השני או במקרה הזה לצידינו.

ניסיתי לחשוב על הסיכונים העיקרים שטמונים בגלישה ברשת אלחוטית פתוחה:

א. גניבת שמות משתמשים וסיסמאות.

ב. ניתוב המשתמש לדף זדוני.

ג. MITM.

ד. השתלטת סוס טוריאני עם הורדת כל קובץ מרשת האינטרנט.

ה. האזנה למידע העובר בתווך.

ועוד....

אז איך בכל זאת ניתן להימנע מהאיומים שתוארו.

הפיתרון בו אני הייתי משתמש עד היום היה שימוש ב - SSH TUNNEL

אך פיתרון שכזה דורש ידע ושרת SSH שלא קיים לכולם

ולכן חיפשתי פיתרון יותר כללי ויותר פשוט שייתן מענה דומה אך ללא כל העבודה.

אני חושב שהפתרון הנ"ל דיי מבטיח - HotSpot Shield.

להלן קצת פרטים מהאתר של התוכנה:

Hotspot Shield creates a virtual private network (VPN) between your laptop or iPhone and our Internet gateway. This impenetrable tunnel prevents snoopers, hackers, ISP’s, from viewing your web browsing activities, instant messages, downloads, credit card information or anything else you send over the network. Hotspot Shield security application is free to download, employs the latest VPN technology, and is easy to install and use.

Secure your web session, data, online shopping, and personal information online with HTTPS encryption.
Protect yourself from identity theft online.
Hide your IP address for your privacy online.
Access all content privately without censorship; bypass firewalls.
Protect yourself from snoopers at Wi-Fi hotspots, hotels, airports, corporate offices.

מה שאהבתי שניתן ליישם את הפיתרון גם ב - IPHONE אבל מה עם ANDROID :).

את התוכנה ניתן להוריד בלינק הבא.

נ.ב שמעתי שהיו קצת בעיות ל - Windows 7 עם התוכנה אז מומלץ לבחון את הנושא לפני ההורדה.

התקפות על כספומטים חלק ב

2010-06-24T19:13:00.010+03:00

לפני כשנה הצגתי מאמר מעניין על סוס טוריאני שפותח במטרה לתקוף כספומטים.

אך על מנת להגיע למצב בו סוס טוריאני מותקן בכספומט בד"כ נהיה צריכים גישה פיזית.

אך עדיין מצבים אלו דורשים משאבים לא פשוטים ולא תמיד ניתנים להשגה.

אז איך עושים את זה במודל KISS = KEEP IT SIMPLE STUPID :).

בחיפושי אחרי התשובה איתרתי כמה תמונות מענינות אשר יכולות להמחיש בצורה טובה

את התשובה לשאלה.

השיטות הנ"ל קצת מיושנות מכיוון שהם דורשות מהתוקף לחזור ולאסוף את הנתונים,

מצב המסכן אותו באופן ישיר.

אבל מה אם היינו יכולים להתקין רכיב אשר ישלח לנו את כל המידע בעזרת הודעות SMS.

את הרכיבים הבאים ניתן לרכוש באינטרנט בעלות של 7000$ או לחילופין להכין באופן עצמאי

בעלות זולה יותר.

ולכל החכמים שעכשיו אומרים בראש אההה SIM שטויות אפשר לעלות על זה.

אז גם את זה ניתן לפתור הן בקנייה של SIM במדינות אירופה השונות על ידי שימוש במזומן

ללא יכולת זיהוי הקונה והן על ידי שליחת המידע על גבי האינטרנט (GPRS או WIFI).

אז מתי זה יקרה אצלנו הערכה שלי בקרוב מאוד.

ולסיום סרטון קצר:

אבנת מחפשת האקרים

2010-06-11T14:52:00.003+03:00

אם אתה אוהב לפרוץ למערכות מידע בזמנך החופשי ועד עכשיו נושא זה

היה תחביב בלבד עבורך.

אז הגיע הזמן להפוך את זה למקצוע.

אני נשמע כמו פרסומת זולה אני יודע אבל בואו נמשיך.

אבנת מחפשת פורצים בעלי ידע להצטרף לכוחותיה רצוי אנשים בעלי ידע

בתחום הפריצה התשתיתי והאפלקטיבי

אם אתם חושבים שאתם מתאימים או לחילופין אתם מכירים חבר שמתאים לתפקיד

אשמח לשמוע.

קורות חיים ניתן לשלוח למייל roni@avnet.co.il

?האם המידע שלנו ברשת לא גלויי לתוקף

2010-06-04T16:44:00.006+03:00

הרבה חברות במשק משקיעות לא מעט מאמצים באבטחת מידע כאשר המיקוד הוא

הגנה על המידע שלהם.

בד"כ המידע הרגיש קיים בכל מיני סוגי קבצים היושבים על שרת מרכזי או Storage הנגיש

לכולם על ידי שימוש בפרוטוקול ה - SMB.

על מנת להגן על המידע מוגדר סט הרשאות לכל משתמש ומשתמש אשר מאפשר גישה למידע

הרלוונטי שלו.

עד פה הכל נשמע טוב לא ?

אך מה קורה מהרגע שמנכ"ל החברה ניגש לחומר הרלוונטי ומושך אותו על ידי פרוטוקול ה - SMB

או לחילופין מה קורה כאשר מערכת מבצעת העלאה או משיכה של קבצים באופן אוטומטי ממערכת

אחרת?

לכך נוצר הכלי הבא WP_SMBPlugin כלי זה הוא ADDON ל - SNIFFER המוכר

Wireshark

ובגדול מה שהוא מאפשר לאחר האזנה לרשת שיכולה להתבצע על ידי פעולת MITM.

הורדת הקובץ הרלוונטי לתחנת התוקף.

קיימות קצת מגבלות לכלי אך עדיין כלי נחמד ביותר.

לקריאה מעמיקה יותר על הכלי ומגבלותיו - לינק

להורדת הכלי - לינק

תהנו

עדכון אבטחת מידע חודש מאי

2010-05-22T11:02:00.002+03:00

להלן קטע וידאו המתאר את מפגעי אבטחת המידע שהתגלו במהלך חודש מאי:

הרשאות

2010-05-08T08:48:00.003+03:00

כאשר אנו מקשיחים מערכת או לחילופין פורצים למערכת רצוי לדעת לאן קיימת

גישה כגון הרשאה ל:

קבצים
שירותים
Registry
processes
kernel objects

כלי שנכתב על ידי Sysinternal מספק תשובה לשאלות הנ"ל הכלי עובד מ - Cmdline.

וניתן להורדה מהלינק הבא

עידכון אבטחת מידע חודש אפריל 2010

2010-04-23T19:04:00.003+03:00

להלן קטע וידאו המתאר את מפגעי אבטחת המידע שהתגלו במהלך חודש אפריל:

אבטחת מידע כוללת

2010-04-17T11:27:00.005+03:00

לא מעט התקפות בשנה האחרונה מבוססות על פגיעויות ברכיבי

תוכנה צד שלישי של מערכת ההפעלה כגון PDF,ZIP,WORD,IE וכדומה.

כמו כן לא מעט אירגונים מעדכנים כחלק ממדיניות אבטחת המידע באופן יומי או שבועי

את טלאי האבטחה אך עדיין מאפשרים למשתמשים להשתמש בגירסה ישנה של IE או PDF,

במרבית הזמנים הדבר נובע מחוסר ידיעה או יכולת להתמודד, חשוב לציין כי לנושא זה חשופים

לא רק משתמשי הרשת אלא גם המשתמשים הפרטיים.

ברמת הארגון ניתן להתמודד על ידי שימוש בסקריפטיים ייעודים או לחילופין

מערכות כגון SMS ועל ידי רכיבים אלה ניתן למפות את גירסאות התוכנה הקיימות על

תכנות הקצה ולקבוע מדינות אבטחת מידע לעדכונים רכיבים אלו.

ברמת המשתמש הבודד איתרתי תוכנה נחמדה מבית Secunia.

את התוכנה ניתן להוריד בלינק הבא:

PSI

בהצלחה........

Google הסינים נגד

2010-04-09T20:27:00.006+03:00

ניתוח קל של הפריצה שהתבצעה אל מול Google על ידי הסינים

חשוב לציין כי כפי שניתן לראות הפריצה לא התמקדה אך ורק ב - GOOGLE אלא

ב - Adobe גם כן מה שיכול אולי להצביע על כך שהמתקיפים היו מעוניינים בנתוני קוד של שני

החברות, ועד היום לא באמת יודעים איזה סוג מידע הושג.

השגה של קוד שכזה יכולה לשפר באופן משמעותי את רמת התקיפה העתידית

שלהם.

להלן סירטון וידאו קצר המציג את הניתוח:

העתיד כבר פה

2010-04-02T19:07:00.004+03:00

באחת הכתבות שלי ציינתי כרטיס נחמד למדיה סנטר ובחיפושי באינטרנט נתקלתי

במחשב חדש המריץ ubuntu ומסוגל בו זמנית להריץ 3D וה - 1080P.

חשבתי שזה יכול לעניין כמה ממכם.

קחו בחשבון שבעתיד המאוד קרוב נראה את הדברים האלה יותר ויותר ובגדלים קטנים

יותר מה שיכול להשפיע בצורה עקיפה על אבטחת המידע ועל צורות התקיפה.

להלן סירטון וידאו המציג את הרכיב:

עדכון אבטחה חודש מרץ 2010

2010-03-23T21:17:00.008+02:00

נוסטלגיה

2010-03-12T22:29:00.004+02:00

שהייתי ילד אהבתי לשחק בכל מיני צעצועים אחד מהם היה SUB7,

כאשר SUB7 יצא לעולם היה לי צעצוע מאוד נחמד לשחק בו אך עם השנים הוא

נעלם וחזר לארגז המשחקים הסגור שלי.

אך היום יצא לי לראות שיצאה גירסא חדשה שלו, עוד לא יצא לי לבדוק אותה אבל חשבתי

שזה יכול לעניין כמה ממכם.

אחחחחחחחחחחח איזו נוסטלגיה

להלן חלק מהיכולות של הסוס הטרויאני:

SubSeven.exe (911KB)

Client:

- Transfer View (view upload/download details <-> from host)
- Window View (View active Windows on SubSeven)

Managers:

- File Manager (upload/download/run/delete/play files on host)
- Registry Manager (modify/add/remove registry entries on host)
- Service Manager (refresh services/install services/remove services/remote host management)
- Process Manager (view active/kill active processes to dll level)
- Fun Manager (general office pranks)

Spying:

- Desktop (view and click the remote host desktop)
- Webcam (view the webcam on the remote host)
- Audio (capture mic/line-in input no the remote host)
GIF - 2.4 kb

Network:

- TCP Tunnel (relay remote host ports to local PC)
- Traffic Viewer (lists active network connections on remote host)
- Network Browser (list shares on remote host, allows mapping)

System:

- Remote Shell (view the command prompt on the remote host as if it was local)
- Password (recover lost/forgotten passwords for various browsers, storage, mail clients and instant messengers)
- Installed Apps (list installed applications)
- Server Options (stop/start/remove server on remote host)

Built in Tools:

- Static IP Notification Client (SIN client) (a listening tool that allows your remote hosts to notify you when they are online)
- NO-IP account / IP auto update tool (allows you to enter your NO-IP account information to auto update the website of IP changes)
- Shortcut Panel (allows you to add your favorite utilities as shortcuts
- Hint and Active running status bar (gives you some helpful information)

EditServer.exe (254KB)

Server Status:

- Read (allows you to browse and then read the server settings)
- Server extensions (allows you to check which extension you want the server to use)
- Install directory (allows you where you would like the server to be installed)
- Protect server (allows you to password protect the server)
- Melt server (allows the server to disappear once executed)
- Wait for reboot (waits to execute upon next reboot)
- Run Visible (allows the host computer to know the server is running)
- Server name (what it says)

Fake Messages:

- Enable (actives the fake message option)
- Message icon (allows you to choose your icon for the message)
- Available buttons (select what options the host computer has to press)
- Message title (the title text for the message)
- Message text (the body text of the message)
- Test (allows you to test the message on your PC)

Startup methods:

- Registry Run (installs under registry run key)
- Registry RunServices (installs under registry runservices key)
- Registry RunOnce (installs under registry runonce key)
- ActiveX (installs in the activeX key path)
- Explorer (installs on execution of explorer shell)
- Winlogon (same as above for winlogon)
- Policies (executes upon windows policies startup)
- Key name (keyname for registry entries. For example Remote Host Server)

Notifications:

- S.I.N (specify your local network external IP address here, or for local testing 127.0.0.1)
- CGI/PHP (specify your website address, e.g http://www.host.com, generate the script and upload it to your php/cgi host)

Bind Files:

- Select a file to bind to the server. The binded file will execute along with the server - for example you may want to execute tinyvnc for full screen management)

Win Firewall:

- Disable Firewall (turns off the firewall providing UAC is off)
- Disable Win defender (turns off windows defender)
- Disable UAC (turns off UAC upon next reboot)

Exe Icon:

- Load .dll/exe (load up an exe or .dll file to extract icons and use them on your server)
- Browser (browse to .ico files)

Server.exe (58.5KB)

אז איפה מורידים אתם שואלים ?
לינק להורדה

MoocherHunter

2010-03-12T09:02:00.006+02:00

פעמים רבות לקוחות מבקשים ממני לבדוק קיום של AP זדוני בתוך הרשת שלהם כדוגמת

מקרה בנק הדואר בו הושתל AP זדוני למטרת חדירה, פעילות האיתור מתבצעת בדרכים

שונות ומוכרות ולא בה אני רוצה להתרכז היום,אלא מה קורה מהרגע שאתרנו AP מה

עושים איך מאתרים את האדם המחובר לאותו AP זדוני ?!

נכון שאפשר להשתמש בכלים הסטנדרטים לבצע פעולה זו אבל בחיפושי באינטרנט נתקלתי בכלי הבא:

MoocherHunter™ identifies the location of an 802.11-based wireless moocher or hacker by the traffic they send across the network. If they want to mooch from you or use your wireless network for illegal purposes (e.g. warez downloading or illegal filesharing), then they have no choice but to reveal themselves by sending traffic across in order to accomplish their objectives. MoocherHunter™ enables the owner of the wireless network to detect traffic from this unauthorized wireless client (using either MoocherHunter™'s Passive or Active mode) and enables the owner, armed with a laptop and directional antenna, to isolate and track down the source.

Because it is not based on fixed or statically-positioned hardware, MoocherHunter™ allows the user to move freely and walk towards the actual geographical location of the moocher/hacker. And of course, as part of the free OSWA-Assistant™ wireless auditing LiveCD toolkit, MoocherHunter™ is also FREE for end-users to use on their existing laptops (so long as it is only run within the OSWA-Assistant™ environment) with off-the-shelf supported wireless cards

הערה: קיים סירטון מעניין באתר שלהם בו הם מדגמים את יכולת האיתור.

להורדת הכלי וצפייה בסירטון יש ללחוץ על הלינק הבא:

לינק להורדה

עדכון אבטחת מידע חודש פברואר 2010

2010-02-27T08:56:00.002+02:00

וידאו המרכז את עידכוני אבטחת המידע של חודש פברואר

Sourcefire VRT Vulnerability Report February 2010 from Sourcefire VRT on Vimeo.

BlackBerry Trojan are you safe ?

2010-02-13T23:22:00.005+02:00

Shomocon 2010 הסתיים לפני מספר ימים והיה כנס דיי מעניין השנה

כחלק מהרצאות שנערכו בכנס הייתה הרצאה אחת מעניינית שתפסה את עיני.

ההרצאה דיברה על היכולת שלכתוב סוס טוריאני למכשיר מסוג BlackBerry,

כבר ראינו לא מעט טוריאנים לטלפונים סלולארים המכילים מערכת הפעלה מסוג

Sybian, ואני מעריך שקיימים לא מעט סוסים טוריאנים אף למערכת ה - Android

אבל עכשיו הגיע התור של טלפון ה - BlackBerry.

הסוס הטוריאני הוא קוד שפותח בשפת Java.

ההתקנה של הקוד הזדוני יכולה להתבצע הן על ידי הנדסה חברתית

או לחילופין על ידי הורדת אפליקציה מהאינטרנט.

מהרגע שהקוד הותקן הוא מאפשר לתוקף לבצע ככל העולה על רוחו

מקריאת הודעות, הקלטה שיחות, קבלת מיקום של האדם דרך מכשיר ה -

GPS ועוד מספר דברים מעניינים ונחמדים.

להלן סרטון וידאו המדגים את יכולות הסוס הטוריאני:

TXSBBSpy Demo from Veracode on Vimeo.

להלן המצגת כפי שהוצגה על ידי Tyler Shields

להורדת המצגת לחץ כאן

ואחרון אחרון חביב להלן קוד הסוס הטוריאני

להורדת הסוס הטוריאני לחץ כאן

אז כיצד להתגונן אתם בטח שואלים:

אחת השיטות העיקריות להתגונן היא למנוע גישה מאפליקציות שהורדנו

לגשת למיילים שלנו ולרשימת הטלפונים שאנו מחזיקים.

דבר נוסף הוא להימנע מלתת לאפליקציות באופן אוטומטי גישה כ -

trust application.

בנוסף חברות פרטיות המחזיקות שרת BlackBerry יכולות לקבוע Policy

על מנת למנוע מהמשתמשים להתקין אפליקציות צד שלישי.

קונספירציה או דמיון מפותח

2010-02-05T21:19:00.013+02:00

לא מזמן יצא לי לשחק עם טלפון מסוג Android וחשבתי על רעיון דמיוני נחמד.

חשבו על הדבר הבא נניח שממשלת ארצות הברית הייתה רוצה לדעת הכול על כל

אדם בעולם איך הייתה עושה זאת בקלות.

אחד הייתה פונה לאחת מהחברות הגדולות בעולם במקרה הזה בחרתי ב – Google.

לאחר מכן עוזרת ל – Google לפתח מערכת חינם שחברות הטלפונים ירצו להשתמש בה

על מנת להוריד עלויות בבניית טלפון סלולארי וכך בעצם ליצור מצב שהמערכת שלהם

נמצאת בכל טלפון במקרה שלנו לדוגמא Android.

לאחר מכן לאתר את האנשים שהמידע שלהם מעניין על ידי שימוש

ב - Google toolbar שקיים בכל מחשב ומחשב ברחבי העולם.

לאחר איתור המחשב הרלוונטי לשלוח פקודה ל – Google toolbar כך שברגע שמתחבר

אליו טלפון מסוג Android יבצע פעולות שונות כגון:

האזנה לשיחות ושמירתם באופן מוצפן על גבי הטלפון.

העברת כלל הודעות ה – SMS של המשתמש.

שימוש ב – GPS על מנת לאתר את מיקומו של האדם בכל עת שארצות הברית רוצה.

לקבוע נקודות GPS מעניינות כגון בסיסים צבאיים, או משרדי ביטחון על מנת
לאתר אנשים עם מידע פוטנציאלי.

לקבוע תהליך האזנה מהרגע שהאדם הגיע למקום עד הרגע שיצא.

לקבל את ה – Calendar של האדם הכוללות את כל הפגישות שאמורות להיות לו
או לחילופין שהיו.

לקרוא את המיילים שלו שהגיעו לטלפון.

בעתיד לקרוא את טביעת האצבע של האדם הרלוונטי על ידי שימוש במסך מגע מתקדם.

לשמור את סיסמאות המייל הארגוני של האדם הרלוונטי וסיסמאות אתרי מייל חיצונים.

ברגע שהתחבר הטלפון שוב למחשב או לכל רשת אלחוטית להעביר את המידע הרלוונטי

לארצות הברית.

בנוסף להוציא כל מידע רלוונטי ממחשב היעד על ידי שימוש ב – Google toolbar.

כמובן שהכול הוא פרי דמיוני המפותח ואין קשר בין Google לממשלת ארצות הברית

עד כמה שידוע לי אבל זה עדיין נשמע מעניין או מפחיד לחלק מהאנשים :)

חומר חדש ומעניין לכתבה הנוכחית

עידכון אבטחת מידע ינואר

2010-01-22T13:28:00.002+02:00

וידאו קצר המתאר את בעיות אבטחת מידע שהתגלו בחודש ינואר:

Forensic

2010-01-15T23:46:00.011+02:00

לא פעם קורה שאני צריך להגיע ללקוח ולנתח מה קרה על תחנה.

אז נכון שקיימים לא מעט כלים ל - Forensic אבל בנוסף קיים לא מעט מידע שניתן

להוציא באופן ידני ממערכת ההפעלה ללא הפעלת כל כלי או שינוי מידע על הדיסק

הקשיח.

irongeek ריכז את החומר באופן מאוד יעיל:

Windows Explorer

Not to be confused with Internet Explorer, Windows Explorer is the default GUI shell for Windows 7 / Vista / XP. It leaves all sorts of data in the registry and file system for a forensics investigation.

Description: Recently opened files from Windows Explorer
Location: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent
Why you care: It can be quite useful to know what files have been opened recently. Think someone is accessing records of embezzlement? Maybe there is a pointer to the Excel file here that can lead you to where the data has been stored. You may also see links to videos and images in here. I've had this lead to personal embarrassment before while doing a presentation for the ISSA. :)
Entry by: Irongeek, but thanks to Nir.

Description: Network Shortcuts
Location: C:\Users\\AppData\Roaming\Microsoft\Windows\Network Shortcuts
Why you care: This could show an investigator what fileservers the person is accessing, or on a captured laptop a little about the internal network (useful for pen-testing).
Entry by: Irongeek, but thanks to Nir.

Description: Items recently ran from the "Run" bar
Location:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Why you care: Useful to know what the person is running using the Windows Run bar, but in Vista and Windows 7 lots of folks use "Search programs and files" text box, which does not show up in this registry key.
Entry by: Irongeek, but thanks to Nir.

Description:ComDlg32 recently opened/saved files
Location: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
Why you care: This key has sub keys by file extension that can let you know what people have been opening/saving to when the common file save/open dialog comes up. Values are in HEX, but readable if you open them in ASCII view.
Entry by: Irongeek, but thanks to Nir.

Description: ComDlg32 recently opened/saved folders
Location:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
Why you care: Much like the entry above, but the last folders. Values are in HEX, but readable if you open them in ASCII view.
Entry by: Irongeek, but thanks to Nir.

Description: Recent Docs
Location: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
Why you care: It can be quite useful to know what files have been opened recently. Got to know where people as sticking their data. :)
Entry by: Irongeek, but thanks to Nir.

Description: EXE to main window title cache
Location: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
Why you care: Once again, it's useful to know what folks are running on a system, and this might give you an idea what an exe is before you run it yourself (in a VM of course).
Entry by: Irongeek, but thanks to Nir.

Description: User Assist
Location: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Why you care: This key is suppose to contain information about programs and shortcuts accessed by the Windows GUI, including execution count and the date of last execution, but the way it's stored is less than obvious. Didier Stevens has a tool far parsing the data here:
http://blog.didierstevens.com/programs/userassist/
The version I tested does not seem to work in Windows 7, but Mr. Stevens is on the case.
Entry by: Irongeek, but thanks to Nir and Didier Stevens.

Windows General

Even more Windows Forensics goodness (or badness depending on your perspective).

Description: Temp folder
Location: C:\Users\\AppData\Local\Temp
Why you care: Lots of programs need a safe place, where the user has permissions, to dump temp data. This is the place to look. They may have wiped/shredded the main file, but there could be a version in this directory depending on how the application works.
Entry by: Irongeek, but thanks to Nir.

Description: Recycle Bin
Location: C:\$Recycle.Bin
Why you care: Do I really need to say?
Entry by: Irongeek, but thanks to Nir.

Description: Last logged on user
Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Why you care: Lets you know who logged in last, and may also give you a user name to attack if you're a pen-tester.
Entry by: Irongeek, but thanks to Nir.

Description: Event logs
Location: Should be in C:\Windows\System32\config or C:\Windows\System32\winevt\Logs depending on OS
Why you care: These may be relocated, so do a desktop search for *.evt and *.evtx. Let you know all sorts of things about what is happening on the box.
Entry by: Irongeek.

Description: Last key edited by RegEdit
Location: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit
Why you care: Can be useful to know if the user was tweaking the registry for some purpose (like writing an article on Forensically interesting spots in the Windows 7 file system and registry).
Entry by: Irongeek, but thanks to Nir.

Description: List of Installed USB devices, both connected and unconnected
Location: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
Why you care: It can be useful to know what USB devices have be connected to a box, and even the vendor and serial number of the device in some cases. Think someone copied the data to a thumbdrive? This may help you trace down what thumbdrive. Think how useful it can be to help tie something a user physical possesses to a box.
Entry by: Irongeek.

Description: List of installed USB storage devices
Location: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
Why you care: Much like the installed USB devices entry, but just for USB storage. Think someone copied the data to a thumbdrive? This may help you trace down what thumbdrive. CleanAfterMe scrubs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB but not USBSTOR when I tested last.
Entry by: Irongeek.

Description: SetupAPI Device Log
Location: C:\windows\inf\setupapi.dev.log
Why you care: Log that can help you find out what USB devices have been installed, including thumbdrives. CleanAfterMe scrubs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB but not this file when I tested last.
Entry by: Irongeek, but thanks to Nir.

Description: Windows Prefetch
Location: C:\Windows\Prefetch
Why you care: Windows Prefetch is a feature in Windows XP and newer system (Including Windows 7) that is ment to speed up commonly executed application and boot load times by recording what on the system is accessed. Mark McKinnon has a tool you might be interested in for parsing this data. Also, you may want to read the Wikipedia entry: http://en.wikipedia.org/wiki/Prefetcher
Entry by: Irongeek, but thanks to Nir and Mark McKinnon.

Internet Explorer

Description: Internet Explorer Temp Folder (IE Cache)
Location: C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files
Why you care: Look at cached files to see what sort of content people are surfing around for. Also, a great place to start looking if you want to add to your pr0n collection.
Entry by: Irongeek, but thanks to Nir.

Description: IE Cookies
Location: C:\Users\\AppData\Roaming\Microsoft\Windows\Cookies
Why you care: Let's you know where people have been surfing, and possibly a password or at least a session ID to a website they authenticate to.
Entry by: Irongeek, but thanks to Nir.

Description: Internet Explorer History
Location: C:\Users\\AppData\Local\Microsoft\Windows\History
Why you care: Again, useful to know what sites someone has visited, when, and how many times.
Entry by: Irongeek, but thanks to Nir.

Description: IE Typed URLs
Location: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedUrls
Why you care: Despite the name, you can not be 100% sure they were typed into the Internet Explorer URL bar, but this can help you distinguished between sites that were manually entered, and ones accessed via a link. The presumption is that if a URL shows up in the TypedURLs key, the person really meant to go there. This is not necessarily the case, just do a search for what happened to poor Julie Amero.
Entry by: Irongeek, but thanks to Nir.

Description: Internet Explorer Forms AutoComplete
Location: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage1
Why you care: This registry key stores autocomplete information for IE, but in an obfuscated form. For old versions of IE try Nir's PSPV, for IE 7 and newer try IE PassView to decode this data.
Entry by: Irongeek, but thanks to Nir.

Description: Internet Explorer Password AutoComplete
Location: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
Why you care: This registry key stores autocomplete password information for IE, but in an obfuscated form. For old versions of IE try Nir's PSPV, for IE 7 and newer try IE PassView.
Entry by: Irongeek, but thanks to Nir.
Description: Printer spool folder
Location: C:\Windows\System32\spool\PRINTERS
Why you care: Sometimes a print job will get stuck here, and we all know what useful information people sometimes print. To read these spl files you will need the right PCL/PostScript parser. Try some of the tool listed at the bottom of this page: http://www.undocprint.org/formats/winspool/spl
I had ok luck with O&K Printer Viewer and LBV SPLViewer.
Entry by: Irongeek.

Firefox

I Did these tests in Firefox 3.5 (mostly). Results may vary. Take a look at anything in C:\Users\\AppData\Local\Mozilla\Firefox\Profiles\.default\, but especially *.sqllite files.

Description: Firefox Cached Pages
Location: C:\Users\\AppData\Local\Mozilla\Firefox\Profiles\.default\Cache
Why you care: While IE stored its cache in easy to read file names, Firefox makes it a little harder. You will have to open up these files to look at their headers to see what they are, or use a tool like MozillaCacheVeiwer. Files with names like _CACHE_001_ are good for looking at the banners of recently accessed sites (so you can see the server type and the like), which will be useful to a pen-tester wanting to fingerprint system. "_CACHE_MAP_" seems to be an index of items in the cache, but I've not looked into it enough yet myself. Check out http://www.securityfocus.com/infocus/1832 for more info on _CACHE_MAP_. Of course, these _CACHE_ files are also awesome for attaching dates to server access.
Entry by: Irongeek, but thanks to Nir.

Description: Firefox Form History File
Location: C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\.default\formhistory.sqlite
Why you care: This file has tons of information about web forms filled out in Firefox, when they were filled out, and what with. This is an SQLLite file that contains the browsing history for Firefox/Mozilla. You can use the Open Source app SQLLiteStudio to read the file. For other SQLLite tools, check out this site.
Entry by: Irongeek.

Description: Firefox Passwords File
Location: C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\.default\signons.sqlite
Why you care: This SQLLite file should contain Firefox's stored passwords. Nir has a tool for grabbing Firefox passwords, but it failed on my Firefox 3.5.2 installation (you can still use Firefox itself to see the password, under security options). You can use the SQLLiteStudio app to read the file, but the information is obfuscated. For other SQLLite tools, check out this site. Even if you can't find the passwords, you can find "Disabled hosts", which may tell you what sites the owner sees as too sensitive to store passwords for.
Entry by: Irongeek.

Description: Firefox Cookies
Location: C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\.default\cookies.sqlite
Why you care: Let's you know where people have been surfing, and possible a password or at least a session ID to a website they authenticate to. You can use the SQLLiteStudio to read the file, or Nir's Cookie viewer.
Entry by: Irongeek, but thanks to Nir.

Other Apps

These are items that may not fit in other categorizes. Just about anything in "C:\Users\\AppData\" is worth taking a look at.

Description: Recently Opened Office Docs
Location: C:\Users\\AppData\Roaming\Microsoft\Office\Recent
Why you care: Yet another way to see what files someone has been accessing. Notice how it's hard to cover all activity tracks?
Entry by: Irongeek, but thanks to Nir.

Description: Files recently accessed by Windows Media Player
Location: HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\RecentFileList
Why you care: I could not get this one to work in Windows 7, maybe it has moved?
Entry by: Irongeek, but thanks to Nir.

Description: Offline Outlook Mailbox
Location: C:\Users\\AppData\Local\Microsoft\Outlook\outlook.ost
Why you care: Here is were your Outlook 2007 mailbox is stored, and email is always a useful source of forensic information. If you find a freeware or open source parser please let me know (my quick search only showed commercial ones). Byte Bucket suggested this http://www.five-ten-sg.com/libpst/ but I have yet to test it.
Entry by: Irongeek.

Description: Temp folder for Outlook attachments
Location: C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\\
Why you care: Here is were Outlook 2007 sometimes puts attachments you directly open from an email. If you are trying to find the exact location of this folder, look in the reg key: HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\Security
Entry by: Irongeek.

Description: Flash Cookies Location
Location: C:\Users\\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\\
Why you care: So, you deleted all of the cookies you browsers have so folks can't track where you have been, but what about cookie that Adobe Flash makes at times? Lots of wiping software seems to miss this area, and it's a great way to know where someone has been.
Entry by: Irongeek.

WPA שווה בדיקה שירות חדש פריצת

2010-01-15T17:36:00.004+02:00

שירות חדש יצא לא מזמן המאפשר פריצת WPA ב - 20 דקות

על פי בעל האתר פריצת WPA-PSK יכולה לקחת שבועות או חודשים

כאשר אצלינו קיימת גישה ל - 400 CPU שיבחנו את ה - Packet אל מול מילון המכיל

135 מליון מילים.

וכמה זה עולה אתם שואלים 17$ בלבד.

אז אם בא לכם לפרוץ WPA של השכנה או לחילופין של אחד הלקוחות שלכם (באישור בלבד)

לינק לשירות

מדיה סנטר

2010-01-01T10:25:00.007+02:00

לא כל כך קשור לאבטחת מידע אבל עדיין מעניין לפי דעתי , מכיוון וכולנו אנשי מחשבים

שאוהבים מחשבים אני בטוח שלא מעט מכם מחזיקים מדיה סנטר (HTPC) בבית

או לחילופין Notebook חלש שמריץ DIVX.

אז לאלה שקנו והשקיעו כסף במחשבים חזקים אתם מוסדרים ויכולים לראות

סרטים באיכות של 1080p.

אבל מה קורה עם כל המסכנים שאין להם את היכולת להשקיע או רוצים לקחת

איזה מחשב נייד ישן ולהפוך אותו למדיה סנטר המריץ סרטים של 1080p

אז עד עכשיו זה היה בלתי אפשרי אך brodcom מצאו את הפיתרון בשבילכם כאשר

ייצרו כרטיס mini-PCIE המאפשר לראות סרטים באיכות גבוהה.

העלות של הכרטיס היא 69$ וניתן לרכוש אותו מה - 1.6.2010 בלינק הבא:

לינק לרכישת הכרטיס

IPHONE תולעת חדשה

2009-12-04T14:46:00.018+02:00

מי לא פורץ את ה - IPHONE שלו, כמעט כל חבר שלי שיש לו IPHONE ביצע תהליך של

פריצה על ה - IPHONE שלו. הבעיה המרכזית היא שברוב המקרים משאירים את ה - SSH

עם סיסמת ברירת המחדל כאשר ה - Service נמצא במצב של ON.

אז עד עכשיו זה לא הזיז לאף אחד אבל כאשר יצאה התולעת הראשונה ששינתה את

ה - wallpaper אנשים התחילו להתעורר.

אבל לא על התולעת הזאת אני רוצה לדבר אלא על תולעת חדשה שאותרה השבוע.

התולעת גונבת סיסמאות ומידע נוסף מה - IPhone ומעבירה אותם לאתר התוקף הנמצא בכתובת

92.61.38.16

להלן תמונת מסך של חלק מהפקודות שהתולעת מבצעת:

בנוסף התולעת מאפשרת לתוקף להריץ פקודות מרוחקות על המכשיר דרך אתר השליטה.

מסקנות סגרו את ה - Serivce של ה - SSH או שנו את הסיסמא לסיסמא מורכבת.

הסבר קצר איך לשנות את הסיסמא:

0: Install MobileTerminal Package
MobileTerminal Package

1: Run MobileTerminal

This program will be on your SpringBoard are called "Terminal".

2: Obtain Administrator Access

Run "su root" and provide the root password. The default password as provided by Apple is "alpine".

Here I also run "cd" only to shorten the otherwise very long prompt.
iPhone:~ mobile$ su root
Password:
iPhone:/var/mobile root# cd
iPhone:~ root#

3: Change the root Password

Run "passwd" and type in your new password twice. Please note that your keypresses will not be displayed on the terminal screen (for security).
iPhone:~ root# passwd
Changing password for root.
New password:
Retype new password:
iPhone:~ root#

4: Change the mobile Password

This is the regular user account on the device. Run "passwd mobile" and repeat as directed above.
iPhone:~ root# passwd mobile
Changing password for mobile.
New password:
Retype new password:
iPhone:~ root#

5: Close MobileTerminal

Congratulations! Your job is done!

Wireless Keylogger

2009-11-28T10:34:00.011+02:00

Keylogger הוא רכיב המאפשר לבצע האזנה להקלדות תווים על המקלדת, רכיב ה - Keylogger

יכול להיות הן חומרתי והן תוכנתי.

קיים היתרון משמעותי לרכיב Keylogger חומרתי מכיוון שהוא יכול לתפוס את כל הקלדות

המשתמש ללא תלות ב - Process קיים או לחילופין באיום של תוכנת ה - Antivirus הקיימת

על המחשב.

אבל הבעיה הקיימת ברכיב זה שהוא דורש פעם אחת התקנת פיזית ופעם שנייה שליפה של

הרכיב ולכן דורש שני גישות פיזיות למחשב.

אבל בשביל זה אני פה מה דעתכם על Keylogger עם התקנה פיזית הדורש גישה אחת בלבד,

למה אני מתכוון חישבו מה היה קורה אם היה לכם Keylogger שהתקנתם על המחשב וכל התווים

היו משודרים על גבי גלי רדיו למחשב שלכם ללא צורך לקבל גישה פיזית נוספת למחשב.

מי רוצה לבנות אחד כזה ? :)

Introduction

Familiar with the concept of hardware keylogging? A hardware keylogger is a perfect solution for monitoring user activity, at very low risk of disclosure. A hardware keylogger is a purely electronic device, so no access to the operating system is required, no traces are left, and software has no possibility of detecting such a device. However, the hardware keylogger concept inherits one weakness: physical access to the keylogger is required for retrieving captured data. This problem has finally found its solution: a Wireless Keylogger.

KeeLog has already released one open source PS/2 hardware keylogger design to the public. Now, we are doing it again with the DIY Wireless Keylogger. This design is fully free for private and commercial use, with the following restrictions:

All materials presented on this web page are the intellectual property of KeeLog and using them constitutes acceptance of the license terms below and the general User Agreement.
This Wireless Keylogger project is provided as is, with all faults, and with no warranty whatsoever.
Reproduction of this article, or any materials contained within, are allowed only if given proper credit to it's authors in the form of a link to the source webpage:
http://www.keelog.com/wireless_keylogger.html

You should not use the Wireless Keylogger to intercept data you are not authorized to possess, especially passwords, banking data, confidential correspondence etc. Most countries recognize this as a crime.

The Wireless Keylogger consists of two main building blocks: the transmitter, and the receiver. The actual keylogging takes place in the transmitter, which is in fact a PS/2 hardware keylogger, with a built-in 2.4 GHz wireless module. Captured keystroke data is transmitted through the radio-link in real-time, rather than getting stored. The receiver on the other hand, is a wireless acquisition unit with a USB interface. All keystroke data received from the transmitter is sent to the host computer via USB. From the software side, this data is available through a virtual COM port, allowing any terminal client to be used for visualizing keystroke data.

Wireless Keylogger block scheme

The entire system works in real-time, so text typed on the remote computer is seen immediately on the receiver side. The system has a maximum range of around 50 yards (meters). This corresponds to an effective range of around 20 yards (meters) through 2-4 walls, depending on their thickness.


Wireless Keylogger transmitter	Wireless Keylogger receiver

Both the transmitter and the receiver are based on the same schematics and circuit board. Both have the same form factor, and are intended for mounting on PS/2 and USB extension cables. The recommended housing is an EMC-balun enclosure, which makes the device resemble a standard extension cable.

Components

This article describes the entire assembly process of the DIY Wireless Keylogger. Depending on your skills, you may choose to create your own Wireless Keylogger from scratch, or order a preassembled one from us. We can deliver a set of components with pre-programmed microcontrollers and standard casing (as seen on pictures), or a fully assembled and tested set of devices. Please scroll to the kits section for more details.

If you decide to create your own Wireless Keylogger, you should have some basic experience with electronics and soldering, ideally with SMT (Surface Mounted Technology). The easiest option includes ordering a kit with components from us, and doing the soldering, cabling, and final assembly on your own. This involves having a temperature-controlled soldering iron and quite good soldering skills. If you decide to design and produce the PCBs yourself, you should have significant experience in this field and proper equipment.

The table below summarizes the BOM (Bill of Materials) contained in a single transmitter or receiver unit. An additional PS/2 extension cable is required for the transmitter, and a USB type A connector or cable is required for the receiver.


Set of electronic components	Cables, enclosure, and PCBs

Designator	Description	Footprint	Qty
U1	Microcontroller AT91SAM7S64	TQFP64	1
U2	Transceiver nRF2401	QFN24	1
U3	Voltage regulator MCP1700T-330	SOT-23	1
Q1	Crystal 18.432 MHz	HC-49 SMD	1
Q2	Crystal 16 MHz	HC-49 SMD	1
R1, R2	Resistor 1.5 kΩ	0805	2
R3, R4	Resistor 27 Ω	0805	2
R5	Resistor 1 MΩ	0805	1
R6	Resistor 22 kΩ	0805	1
C1, C27	Capacitor 10 nF	0805	2
C2, C28	Capacitor 1 nF	0805	2
C3, C4, C6, C7, C8	Capacitor 22 pF	0805	5
C5	Capacitor 33 nF	0805	1
C9	Capacitor 2.2 pF	0805	1
C10, C11	Capacitor 1 pF	0805	2
C12, C22, C23, C24, C25, C26, C32, C33, C34, C42, C43	Capacitor 100 nF	0805	11
C21, C31, C41	Capacitor 1 µF	0805	3
L1	Ferrite Bead	0805	1
L2	Inductor 3.6 nH	0805	1
L3	Inductor 18 nH	0805	1

Wireless Keylogger BOM (PDF version)

Both the transmitter and the receiver use the same PCB and the same set of components (they differ by cabling and firmware). The Atmel AT91SAM7S64 microcontroller and the nRF2401 wireless transceiver are the core components. Both require crystals for proper operation. Besides the MCP1700 voltage regulator, all other components are passive (resistors, capacitors, and a few inductors). A simple wire is recommended for the dipole antenna. The double-sided two-layer PCB is shown on the pictures below.


PCB layout - top side (PDF version)	PCB layout - bottom side (PDF version)

If you feel skilled enough to manufacture PCBs yourself, you may use the 1:1 mask set available below. The reference design uses FR4 with 1.0 mm thickness.


PCB mask - top side (PDF version)	PCB mask - bottom side (PDF version)

Building the DIY Wireless Keylogger can be a lot of fun for electronics enthusiasts. However, we're perfectly aware, that hunting for components retail and soldering 0603 footprints can take all that pleasure away. That's why we've prepared two different kits, with the most common component sets:

Complete component set for transmitter or receiver ($40 or €30 per set)
Assembled transmitter or receiver mini-board ($90 or €70 per piece)

If you wish to purchase any of the above kits, have an additional request, or want more information, please contact our Sales Department.

Assembly

The Wireless Keylogger electrical circuit is composed of two main building-blocks: the AT91SAM7S64 microcontroller and the nRF2401 transceiver. The accompanying passive components are mainly oscillator and RF circuitry. The entire circuit is powered with 3.3V, generated by the MCP1700 regulator and filtered by a set of capacitors. Power is drawn directly through the PS/2 bus (transmitter), or USB (receiver). If you already have assembled mini-boards, skip to the wiring section. If you have decided to assemble the circuit boards yourself, you'll need to follow the schematics and guidelines below.

Wireless Keylogger electrical schematics (PDF version)

Use a fine tip for soldering (typically smaller than 0.5 mm) and soldering flux (for example RMA7). Don't overheat the components. Start the assembly with the nRF2401 transceiver, as it has the most difficult footprint. Proceed with the AT91SAM7S64 microcontroller and the MCP1700 voltage regulator. Always make sure pin 1 matches the first pad on the PCB. Finally, solder all the auxiliary circuitry: crystals, resistors, capacitors, and inductors. Leave the antenna for the end. You can use a dedicated ISM 2.4 GHz antenna, or simply make a quarter-wave dipole antenna from a piece of wire. The optimal length is 1.23" (3.125 cm). Assembled mini-boards should look similar to the ones on the pictures below.


Assembled PCB top side with microcontroller	Assembled PCB bottom side with transceiver

After assembling the circuit boards, it's time for the cabling. Apart from firmware, this is the place where the transmitter differs from the receiver. The transmitter should be coupled in parallel with the PS/2 bus. The PCB has pads for connections leading both to the computer, and to the keyboard. The receiver, on the other hand, should have a standard connection to the USB port. The images below show how the connections should be made.


Transmitter PS/2 wiring diagram (PDF version)	Receiver USB wiring diagram (PDF version)

Use PS/2 and USB extension cables, cut them open, and isolate the signal lines. The tricky part is to identify how the wires inside correspond to signal lines. Some PS/2 and USB cables have standardized colors, however trusting in this is very risky. The recommended solution would be to use a short-circuit tester or ohmmeter to find out which wire corresponds to which signal. The diagrams below will be helpful.

PS/2 plug pinout (transmitter unit)

Signal	Description	PS/2 pin	Comments
VCC	+5V power	4	must be connected to module
GND	Power ground	3
CLK	Clock	5
DATA	Data	1
NC	Unused lines	2, 6	not used by module if present, leave in original state
SHLD	Shield	-	not used by module if present, leave in original state

USB plug pinout (receiver unit)

Signal	Description	USB pin	Comments
VCC	+5V power	1	must be connected to module
D-	Data	2
D+	Data	3
GND	Power ground	4
SHLD	Shield	-	not used by module if present, leave in original state

If the microcontrollers you're using aren't programmed yet, this is a good moment to upload firmware using the ISP (In-System Programming) technology. Read the firmware section to get more details. When this is done, the mini-boards should look similar to the ones on the pictures below.


Transmitter circuit board wired to PS/2 bus	Receiver circuit board wired to USB

Before putting the enclosure on, we recommend to do one last check. Use a short-circuit tester or ohmmeter to check the resistance between the power supply (VCC) and ground (GND) on the USB and PS/2 connector. The presence of a short circuit here means, that the whole circuit should be revised, otherwise it could lead to damaging your computer. If everything's OK, mount the enclosure using glue or resin, and you're set to go.

Power-up

Once you have a transmitter-receiver pair of devices assembled, it's time for the first test. We recommend to use a single computer for testing both devices. First, power down the computer and connect the transmitter unit between the PS/2 keyboard and PS/2 port.


Connect the transmitter unit to the PS/2 port	Connect the PS/2 keyboard to the transmitter unit

When done, boot the computer and make sure the PS/2 keyboard is working properly (no influence of the keylogger should be noticeable). Now it's time to test the receiver unit. Before you proceed, please download the KeeLog driver files first. Unzip and save the files to the local hard disk on your computer. Then, plug the receiver unit into a free USB port (no need to power down the computer). Make sure it's in a position enabling reception of the radio signals coming from the transmitter.

Connect the receiver unit to a free USB port

The first time the receiver unit is connected, a driver installation dialog will appear. Strictly speaking, it will use the bundled virtual COM port driver delivered with most operating systems, such as Windows. However, the corresponding INF description file has to be selected manually. When the system asks for a driver, browse to the location where the driver file was saved. The pictures below illustrate the process.


Choose to locate and install driver software	Choose to browse for driver

Choose to show browse option	Browse to driver location

If the driver installation process was successful, the receiver unit should be visible as a USB to serial converter. Open the Device Manager in Windows to find out, and check which virtual port was assigned to the device.

Receiver unit visible in the Device Manager

To start receiving keystroke data from the transmitter unit, you may use any terminal client, such as Hyperterminal. We recommend to use our free Simple Serial Monitor application for it's flexibility and ease of use.

Simple Serial Monitor (free terminal client from KeeLog)

After launching Simple Serial Monitor (or any alternative application), remember to set the correct COM port. If everything proceeded correctly, the receiver unit will immediately show all keystrokes typed on the PS/2 keyboard.


Remote computer with PS/2 transmitter unit	Local computer with USB receiver unit

The next step would be to test the same using two different computers. Make sure they are in transmission range. If you see text popping up in the terminal window, then your Wireless Keylogger set is ready for it's first real mission. Remember to use this device only for legitimate purposes!

מקור לכתבה והורדת קבצים רלוונטים

?אנטי וירוס בחינם - טוב

2009-11-12T16:27:00.012+02:00

הרבה פעמים חברים פונים אלי ומבקשים אנטי וירוס שלא עולה כסף

אך עדיין מגן בצורה תקינה על המחשב ברמת אבטחת המידע אז נכון שכולם מכירים

את AVG ואת AVAST.

לא מזמן נתקלתי באנטי וירוס שלפי דעתי נחשב לבין הטובים באנטי וירוסים החינמיים.

אני יודע שאפשר להוריד טורנטים של אנטי וירוסים מסחריים ולא לשלם עליהם אגורה.

אך עדיין קיימים אנשים ישרים שלא מוכנים לעשות דברים כאלה.

אז המלצתי החמה לאותם אנשים היא:

AVIRA - לינק להורדה

סימולציות תקיפה

2009-10-30T16:55:00.004+02:00

בדיקות תקיפה הם סימולציות המאפשרות לארגון לראות היכן הוא עומד ביחס לסטנדרטים המקצועיים אליהם הוא שואף להגיע.

אך מנקודת מבט של מישהו שעוסק במקצוע נראה כי הארגונים לא משתמשים בכלי זה בצורה מסודרת וקבועה (מלבד הארגונים הנתונים לרגולציות של המערכת הבנקאית או הביטוחית).

עכשיו זה לא שאני מנסה למכור את התחום הזה יותר אלא אני באמת מאמין שכלי זה הוא אחד הכלים המרכזיים אשר יכול לשפר את רמת האבטחה בארגון. והרבה פעמים אני נוטה לראות כי כלי זה הוא הרבה יותר חזק מכל המוצרים האחרים הנמכרים בתחום מכיוון שכלי זה מדגים בצורה מחולטת את הסכנה המידית בטווח הקצר ובטווח הארוך.

אך כמו בכל כלי צריך לדעת איך להשתמש בו, ועל פי הנראה בשטח לא תמיד יודעים איך להשתמש דוגמא קלאסית היא השימוש בכלים אוטומטים כגון SKYBOX ודומים לו. האם באמת כלי שכזה יכול לאפשר לנו לראות היכן אנחנו עומדים?

בתשובתי לשאלה זו היא לא. כלי אוטומטי בחיים לא יכול לבצע מה שאדם חושב.

מניסיוני ניתן לראות כי הרבה פעמים מחשבה ושילוב של מספר דברים יחדיו משיגים את המטרה ולכלי אוטומטי אין את הבינה הזאת.
אני מעריך שחברות המוצרים הנ"ל יטענו כי הם מבצעים תשאול של הלקוח והבנת הרשת ופה זה מכוון אותי לשאלה הבא איך בוחרים מי יבצע את בחינת התקיפה שהזמנו.

האם לכל אחד יש רישיון להחזיק אקדח ולהשתמש בו ?

לא כל אחד שפותח חברה יכול לבוא ולבצע בדיקות חדירה ראו מקרה בנק הדואר למי שמכיר את הפרטים הקטנים אחד מהאנשים שביצע את התקיפה מכר שירותי יעוץ לאבטחה למספר רב של ארגונים.

אם לא זה אז מה הניסיון שלו, אם הוא יודע לדבר על אבטחת מידע האם זה אומר בהכרח שהוא יודע לבצע אבטחה ?!

איך בחרנו את החברה איתה אנחנו עובדים ?

האם עשינו השוואה במערכות שהם בחנו או שמענו שמועה שהם טובים?

מי מבצע את בדיקת החדירה אצלי, מה הניסיון שלו האם הוא יכול לראות את התמונה המלאה של הארגון שלי?

ועוד מספר רב של שאלות שאני מעריך שאם תעצרו ותישאלו את עצמכם תוכלו לדעת היכן אתם עומדים.
בנוסף אני נוטה לראות כי כלי זה מיושם בד"כ בסוף סקר במטרה לסגור את כל הפינות הקיימות ולראות האם ביצעו את סגירת מעגלי האבטחה כראוי אך האם זה נכון להשתמש בו אך ורק בסוף למה לא להשתמש בו בכל התהליך ולשפר את ההגנה תוך כדי. יכול להיות שבסוף זה יהיה מאוחר מדי ויעלה יותר מדי לתקן.

ותחשבו על זה ;)

Digital Whisper

2009-10-16T17:44:00.001+02:00

Digital Whisper הוא גיליון טכנולוגי חדש עם דגש על אבטחת מידע

הרעיון מאחורי Digital Whisper הוא ליצור נקודה אשר תספק לקורא

הישראלי תוכן בעברית על מחשבים, עם דגש כבד על הנושאים הבאים:

אבטחת מידע והאקינג.
הינדוס לאחור (Reverse Engineering) וניתוח קוד.
מערכות הפעלה וסביבות עבודה.
פרוטוקולים ורשתות תקשורת.
סטגנוגרפיה, קריפטוגרפיה וקריפטו-אנליזה.
פיתוח ואלגוריתמיקה.
ועוד כל מה שימצא לנכון כמעניין...

להלן לינק לגליון הראשון מקווה שתהנו

http://www.digitalwhisper.co.il/issue1

הבלוג חוגג שנה

2009-10-10T11:19:00.003+02:00

לאחר שנה של כתיבה, הבלוג חוגג שנת פעילות - מזל טוב :)

שמחתי לראות את כמות האנשים גדלה וגדלה במשך הזמן,

כאשר כמות נכבדת חזרה שוב ושוב.

חסר לי קצת ממכם תגובות להבין איפה פגעתי מה מעניין יותר ומה פחות.

וזהו מתחילים שנה חדשה עם כתבות חדשות ומעניינות.

מקווה שתהנו ותגיבו ;)

konboot - מפתח גנבים

2009-09-25T11:11:00.006+03:00

לא פעם בפריצה אנחנו מגיעים למחשב שהדרך להיכנס אליו היא שימוש בפריצה

"פיזית" כלומר לא להשתמש ב - EXPLOIT מרוחק אלא גישה פיזית למחשב והעלאת מערכת

הפעלה שלנו שתאפשר לנו לבצע דברים על המחשב הנתקף.

בעבר הייתי משתמש ב - LIVE LINUX, ERD,OPHCRACK או לחילופין לוקח את ה - SAM

ופורץ אותו במחשב שלי.

אבל לא מזמן נתקלתי בתוכנה מעניינת, לתוכנה קוראים Konboot והיא מאפשר לעלות

את המחשב הנתקף ולהיכנס לפרופיל המשתמש בלבד ללא שימוש בסיסמא.

זאת אומרת שניתן להיכנס לכל מחשב מהעלאת התוכנה על ידי Enter בלבד, נחמד לא?

רוצים לנסות - לינק להורדת התוכנה

http://www.piotrbania.com/all/kon-boot

החלק היפה שזה עובד גם ב - Linux וגם ב - Windows.

קהילת אנשי ההיי-טק

2009-09-11T17:39:00.001+03:00

יוזמה מעניינת לא קשורה לאבטחת מידע אבל עדיין חשובה מאוד.

'חברים' הוא אתר קהילתי שבמרכזו עומדת מטרה אחת: להעצים את כוח הקנייה של חברי האתר – קהילת אנשי ההיי-טק. רתמנו כמה חברים שעובדים במגוון חברות היי-טק, חילקנו משימות ובזמננו החופשי בנינו את האתר. עכשיו יש לנו מקום לאגור בו כוח קנייה ולהתחיל ליהנות ממנו.
למה אנחנו צריכים כוח קנייה?
כמעט לכל חברה יש מה שנקרא 'רווחה', אבל כולנו יודעים שאין לנו מה לעשות עם 2.5% הנחה בחנות אופטיקה או 5% ברשת הלבשה. קהילת אנשי ההיי-טק בישראל היא כוח כלכלי חזק ומשמעותי. כשנאגד את הכוח הזה נוכל ליהנות מהנחות משמעותיות ומחירים מיוחדים שיתאימו לנו, אטרקציות זמינות במחירים של ''חבר'', נופשים במחירים זולים ומוצרים נבחרים בהנחה אמיתית.

להרשמה

HSBC FRANCE WAS HACKED

2009-09-06T19:48:00.003+03:00

למי שלא הספיק לראות לפני שלושה ימים נפרץ HSBC בנק בצרפת על ידי

פעולת SQL INJECTION להלן תיאור הפריצה :

In February 2008, HSBC was named the world’s most valuable banking brand by The Banker magazine. As of April 2, 2008, according to Forbes magazine, HSBC was the fourth largest bank in the world in terms of
assets ($2,348.98 billion), the second largest in terms of sales ($146.50 billion), the largest in terms of market value ($180.81 billion). It was also the most profitable bank in the world with $19.13 billion in net income in 2007.
In Europe HSBC SA operates around 380 branches in France since the takeover of Credit Commercial de France, primarily operating under the HSBC brand. HSBC France is now the HSBC Group’s lead bank in the Eurozone, focusing on certain capital market products for a global audience, and high net worth and international business in France.
HSBC is one of world’s strongest banks by some measures.” … I quote from wikipedia. Hard power, especially as regards security of database, where an ordinary unsecured parameter allows full access to all the bank’s database. Very serious and dangerous, especially with a bank that has internet banking. The server is mssql and the error does not apear in page, like in mysql, so I will print this kind of screens. First we see available databases and some tables from the internet database:

Being mssql server, exploiting the vulnerability, we can access the whole server.In this print screen we can see those partitions and directories:

On the E partition we have the backup,where we can find all internet b. data:

Again important admin accounts passwords are stored in CLEAR TEXT:

Although, I’ve proposed to show everything on my blog and I will not blur print screens, I made an exception this time.I have not published syntax and the vulnerable parameter, as it was not secure and I would be jeopradized more data and more accounts.Probably many innocent people had suffered.What did i do?I had no contact address on website to report problems and i sent an email to webmaster, to admin, abuse and security.I got the answer? NONE, except some messagess automatically generated wich they have announced me as Mr X or Mr Y are gone on vacation !!!
Is unbelievable as a big bank not to find a competent person to answer mail, to ask more, possibly to thank for things reported.We can assume that nobody has read my email, but i see the distinguished gentlemen from HSBC France to visit my blog.Nobody was interested to ask who is the vulnerable parameter. I do not mind me, but the parameter was not secure.This parameter is not secure even now.THE PARAMETER IS NOW VULNERABLE.I wait. I expect to be contacted. I wait untill monday,then I will publish the vulnerable parameter and the syntax.Can so they will move their disgusting ass.
And to show that vulnerability is real and not secured, i have never done a print screen today:

מקור

אתרי אינטרנט

2009-08-29T14:09:00.002+03:00

לא פעם אתרי אינטרנט נפרצים על ידי בעיות אבטחה שונות ולפעמים

לוקח לא מעט זמן לבעל האתר לדעת בכלל שהאתר שלו נפרץ ושאחד הדפים

בו שונה.

מערכת חדשה של חברת sucuri מאפשרת לנו לבחון את האתר ב - Online

ולהודיע לנו על כל שינוי שהתבצע בו.

השירות חינם ומאפשר מענה פשוט ונוח לבעיה.

להלן קצת מידע על השירות:

Sucuri in Detail

Live DEMO Available here login using user: demo@sucuri.net, pass: demo

USB

2009-08-15T14:58:00.006+03:00

לא מזמן פנה אלי חבר וביקש ממני פיתרון לבעיה שנתקל בה,

הבעיה הייתה שהוא לא בטוח אם הוכנס Disk On Key לתחנה מסוימת למרות

שהנוהלים אוסרים זאת.

בתחילה אמרתי לו שניתן להוציא את הערך מה - Registry אבל אז נזכרתי בתוכנה

נחמדה שיכולה לעזור גם לכן לבחון בעיה דומה.

לתוכנה קוראים Usbdeview התוכנה מאפשרת לראות אילו רכיבים הותקנו במחשב,

איזה סוג, מתי הותקנו, ומתי חוברו בפעם האחרונה.

להלן תצלום מסך המציג את התוכנה:

לינק להורדה.

Defcon 17

2009-08-02T22:39:00.006+03:00

Defcon הוא אחד מכנסיי האבטחה המובילים בעולם, קיימות בו לא מעט הרצאות

חדישות בתחום אבטחת המידע.

למי שלא הספיק ללכת חשבתי לצרף לינק להורדת ה - CD.

תהנו.

RFID

2009-07-19T00:05:00.002+03:00

אני יודע שתחום ה - RFID הוא תחום לא חדש אבל עדיין לא פעם אני רואה בעיות אבטחה דיי גדולות בתחום הנ"ל, RFID לא רק משפיע על אבטחה פיזית אלא גם על אבטחת מידע.

אז בו נתחיל בהסבר מה זה Rfid

RFID הינה טכנולוגיה ותיקה לזיהוי באמצעות תדרי רדיו, שהחלה לצבור תאוצה בשנים האחרונות ומתחילה לחדור כמעט לכל תחומי חיינו. RFID הינם ראשי תיבות של Radio Frequency Identification, זאת אומרת, זיהוי באמצעות תדרי רדיו.
בעיקרה, טכנולוגית ה-RFID מאפשרת איתור פריטים וזיהוי חפצים בצורה אלחוטית, ללא צורך בשדה ראייה או במגע ישיר מול החפץ אותו רוצים לזהות.

טכנולוגית ה-RFID פותחה הרחק בשנות ה-60, אך היא החלה לצבור תאוצה וקהל לקוחות רחב רק בשנים האחרונות. זאת מכיוון שבעבר, טכנולוגיית ה-RFID הייתה מאוד יקרה, טווחי הקריאה היו מצומצמים ועלות התגים הייתה מאוד גבוה.
כיום, עם ההתפתחויות הטכנולוגיות האחרונות ומזעור השבבים, עלות התגים ירדה משמעותית, מרחקי הקריאה השתפרו וגדלו והטכנולוגיה בשלה יותר ליישומים מעשיים כמו אחסנה, ניהול מלאי, לוגיסטיקה, מחסנים ממוחשבים, רפואה ועוד.

טכנולוגית RFID משתמשת בשדה אלקטרומגנטי הנוצר ע"י קורא קרבה (RFID reader) להעברת אנרגיה לתגי קרבה (RFID tags) בטווחים קצרים. בעזרת האנרגיה שנוצרת ע"י השדה, תגי הקרבה מסוגלים לפעול ללא צורך במקור מתח חיצוני ומשדרים לקורא קרבה את תוכן הזכרון הצרוב בתוכם.

מערכות RFID מורכבות בדרך כלל משני חלקים עיקריים:

תגי קרבה ( Transponder): תגי קרבה ( RFID Cards/Tags ) מיוצרים במגוון רחב של תדרים, צורות וגדלים, אך לכולם מכנה משותף: שבב מחשב (שבב זכרון), המסוגל לאחסן נתונים ולשדר אותם בחזרה לקורא קרבה כאשר התג מקבל אנרגיה מהשדה המגנטי. כל תג קרבה מורכב משבב (Integrated Circuit) ומאנטנה. האנרגיה מסופקת לשבב דרך השדה האלקטרומגנטי שנוצר ע"י הקורא, נאגר בקבל (Capacitor) שנמצא על התג ומספק אנרגיה לשבב ומאפשרת לו לשלוח את המידע השמור בזכרון בחזרה לקורא.
קיימים תגים בעלי גודל זכרון שונה, היכולים להכיל רק מספר סידורי של התג (64Bit) ועד לנתונים רבים היכולים להגיע ל-4Kb ויותר (כיום כבר קיימים תגי UHF בעלי זכרון של 64Kb).

קוראי קרבה (Interrogator): קוראי קרבה (RFID Readers) כוללים אנטנה חיצונית או אנטנה פנימית וקיימים קוראי קרבה היכולים להתחבר ליותר מאנטנה אחת. קורא RFID מייצר מסביבו שדה אלקטרומגנטי בתדר מסוים (…900Mhz, 13.56Mhz, 125Khz) וכל תג קרבה אשר נכנס לתחום השדה ומקבל מספיק אנרגיה משדר בחזרה לקורא קרבה את תוכן הזכרון הצרוב בו. גודל השדה המגנטי שנוצר תלוי בצורת האנטנה ובהספק של הקורא. קוראי הקרבה מחובר למחשב דרך כבל תקשורת רגיל או דרך הרשת.(לינק למקור)

להלן רשימה של סוגי RFID ומרחק הקליטה שלהם:

סוגי מידע האגורים על הכרטיסים UID,USER DATA ,META DATA.

קיימות אין סוף דוגמאות לשימושים ב – RFID כגון בקרות כניסה בארגונים (דלתות חניונים אזורים ממודרים), כרטיסי רכבת, כרטיסי אשראי, בארקוד על מוצרים בסופרמרקט, דרכונים,Login למחשבים ועוד.

התקפות שניתן לבצע על RFID:

Replay Attack : מאפשרת ביצוע פעולה של העתקת תוכן רכיב ה – RFID ושידורו מחדש.

Alter Attack : התקפה המאפשרת שינוי המידע הפנימי האגור ברכיב ה – RFID במהלך שידור האות ללא נגיעה ברכיב עצמו. כגון ה – UID אשר בהרבה מקרים מצביע על סוג המשתמש . האם הוא מורשה להיכנס בכל הדלתות או הוא מוגבל לאזורים מסוימים בלבד.

DOS ATTACK : חסימת אות השידור של ה – RFID.

רוב האנשים מחזיקים את כרטיס ה – RFID (כרטיס הכניסה לארגון,לרכבת, כרטיס אשראי) בכיסם, דבר זה מאפשר איתור אנשים מסוימים כגון התרחיש הבא:

נניח שאדם עובד במפעל סודי המאפשר כניסה בעזרת כרטיסי קירבה מסוג RFID והאדם הנ"ל מחזיק בארנקו את הכרטיס, אז כל התקרבות לאדם במרחק של כמה מטרים בסופר, בקניון או בכל מקום אחר תוכל לאשר לי כמרגל כי האדם הזה עובד במפעל הסודי ואולי גם לשכפל את נתוני הגישה הפיזית שלו בתוך אותו ארגון.

מניעת גישה לחדר המנכ"ל על ידי פעולת DOS.

כניסה למחשב - שיכפול וביצוע פעולת Replay Attack תאפשר כניסה אוטומטית לרשת.

קיימים גם לא מעט כלים, כאשר אחד הכלים המובילים הוא Rfdump .

אז השאלה הנשאלת היא האם הטכנולוגיה עוזרת באמת לאבטחת המידע או בעצם פותחת חורים חדשים?

להלן כמה סרטים הממחשים את הסיכונים בנושא ה -RFID

הועידה ה - 10 לאבטחת מידע

2009-07-18T11:14:00.005+03:00

אני מרצה בועידה ה - 10 לאבטחת מידע אשמח לראות את כולכם שם.

בין הנושאים שיידונו בכנס:

האיום הגדל והולך של פשעי מחשב - מגמות באבטחת מידע בישראל ובעולם והקשר בין המיתון הכלכלי לגידול בפשעי המחשב.

פתרונות אבטחה לתשתיות המחשוב בהיבט האנושי והטכנולוגי - הדרכה והטמעת מדיניות אבטחת מידע פנימית והגברת המודעות בתוך הארגון.

אבטחת אפליקציות, אבטחת יישומי האינטרנט Web 2.0 - חסימת כניסת תוכנות זדוניות, חסימת פריצה לאתר האינטרנט, מניעת דלף מידע.

ניהול סיכונים בסביבת מערכות מידע - זיהוי הסיכונים הטכנולוגיים, הטמעת כלי בדיקה לעמידות ארגונים בפני התקפות האקרים, יישום תקן CobiT - הלכה למעשה.

ביצוע סקרי אבטחת מערכות מידע - בחינה, זיהוי וניתוח חוסנו ומידת חשיפתו של הארגון לסיכונים. החזר השקעה מהטמעת מערכות ופתרונות אבטחת מידע.

עקרונות רגולציה וחשיבותה בתחום אבטחת המידע – פיקוח ממוקד סיכון, החמרת תקני האבטחה הנהוגים בשוק ההון, יצירה ופיתוח יכולת להגיב במקרים של שינויים.

פיתוח תכנית המשכיות עסקית בשעת אסון.

Hacking The End Point User

בין הדוברים:

רוני בכר,ראש תחום תקיפה, Avnet

סנ"צ יצחק שופן, ראש מפלג עבירות מחשב , יחידת לה"ב

אשר אלעזר, מנהל תחום ייעוץ אבטחת מידע – CISSP, CSSI, BDO consulting group

Sergey Novikov, Senior Virus Analyst & Manager of corporate communication under Kaspersky Lab's Antivirus Research Department

Farrer Eion, Product Director, Websense

עודד רוטר, מנהל תחום פיתוח מוצרים ו- Presale, בזק בין לאומי

עמוס בר סלע, מנהל אבטחת מידע, ישראכרט

דורי פישר , CTO תחום אבטחת מידע We!

אריק נחמיאס, אנליסט אבטחת מידע בכיר We!

נדב אריכא , יועץ אבטחת מידע וידע, nasecurity

שחר מאור, אנליסט, STKI

שמעון גרופר,סגן נשיא לטכנולוגיות בחטיבת eSafe, Aladdin-safenet

עמי הופמן,מנהל אבטחת מידע, בזק בין לאומי

Enterasys תגריל קונסולה של Wii Nintendo בין משתתפי הכנס

14:30 ארוחת צהריים

ההשתתפות בכנס איננה כרוכה בעלות אך מחייבת הרשמה מוקדמת ואישור ההפקה

לינק להרשמה

טלפונים סלולריים

2009-07-02T20:27:00.018+03:00

ככל שאני רואה את התקדמות הטכנולוגית אין לי ספק כי הטלפונים יהפכו להיות כלי מרכזי בחיים

שלנו ויחזיקו מידע רגיש מאוד.

היום כבר ניתן לראות התקפות על טלפונים סלולריים על ידי שליחת SMS והשתלטת סוסים טוריאני

מקרה לדוגמא שקרה אתמול.

מקרים נוספים כוללים גניבת מכשירים המכילים מידע רגיש ועוד.

ההגנות הקיימות בתחום כוללות מגוון של מוצרים מ - ANTIVIRUS ועד ל - FW.

אך לאחרונה הציגו בפני מוצר נוסף דיי מעניין שמציעה חברת Microsoft בחינם.

MobileAdmin היא תוכנה המאפשרת למנהלי EXCHANGE לבצע מחיקה מלאה של כלל

המידע הקיים על טלפונים המבצעים פעולת סינכרון אל מול הארגון.

לתוכנה קיימות שתי פונקציות עיקריות:

הראשונה היא לבחון מתי המכשיר ביצע את הסינכרון האחרון שלו אל מול ה - Exchange.

השנייה היא אופציה המאפשרת ביצוע WIPE למכשיר בסנכרון הבא.

עם זאת יש לקחת בחשבון כי כאשר המכשיר מדווח לחברות הסלולאר כמכשיר גנוב או

אבוד יש ביכולתם למנוע מהמכשיר הנ"ל להתחבר שוב לרשת הסלולאר (אחת הפעולות הראשונות

שמתבצעת).

מצב זה יכול לפגוע בנו ולמנוע מאיתנו לבצע את פעולת ה - WIPE .

ולכן רצוי בשלב הראשוני להימנע מפעולה שכזו.

סוסים טרויאנים לכספומטים

2009-06-18T19:37:00.030+03:00

כיום מרבית הכספומטים מריצים כבר מערכות מיקרוסופט מלאות דבר זה מביא לעולם הכספומטים

התקפות חדשות ומתוחכמות.

לאחרונה התגלה מקרה דיי מעניין בתחום הכספומטים. מתברר שבמזרח אירופה אותרו

סוסים טרויאנים שרצו במשך 18 חודשים במערכות הכספומטים.

הסוסים הטרויאנים ביצעו מספר פעולות:

א. האזנה לפס המגנטי של כלל כרטיסי האשראי שעברו בכספומט כאשר

במידה ומדובר בכרטיס אשראי השייך לבנק , הסוס שמר את הקוד האישי של הכרטיס

הרלוונטי בלוגים הפנימיים שלו.

ב. הסוס הטוריאני ידע לזהות קוד ייחודי אשר הוחדר לכרטיס האשראי שמחזיק הפורץ ,

ובכך אפשר לפורץ לקבל ממשק ניהול המכיל כ - 10 פקודות ייחודיות המיועדות

למטרת ניהול הסוס הטרויאני.

ג. כחלק מאופציות הניהול היה ניתן להדפיס דרך הכספומט את כלל מספרי כרטיסי האשראי

שנאגרו על ידי הסוס הטוריאני וכמובן הקוד הסודי של כל אחד ואחד מהם.

מחיקת הלוג של הסוס הטוריאני באופן שלא יהיה ניתן לאתר אותו.

יכולת הסרת הסוס הטוריאני מהכספומט הנגוע.

הוצאת כלל הכסף הקיים במכונה.

מקרים דומים לאלה ניתן למנוע על ידי ביצוע מספר פעולות כגון:

א. שימוש בתוכנה לחתימת כלל הקבצים במערכת (TRIPWIRE).

ב. השוואה של הקבצים הקיימים בין כל כספומט וכספומט במטרה לאתר

קובץ שונה במערכת ההפעלה.

ג. התראה במידה ונכנס קובץ חדש למערכת או לחילופין נפתחה דלת

הכספומט על ידי טכנאי.

ד. נהלים ברורים לגבי עבודה של טכנאים בשטח הכספומטים.

לינק לכתבה הראשונה בנושא

לינק לכתבה השנייה בנושא

Wireless כלי לפריצת

2009-06-09T20:54:00.008+03:00

לא פעם קרה לי שחברים או עובדים שעובדים איתי חיפשו כלי קל וטוב לפריצת Wifi.

תמיד המלצתי על Aircrack אבל גם זה היה להם קצת מסובך.

אז קבלו כלי פשוט ונוח שעושה הכל בעצמו באופן אוטומטי

להורדת הכלי

הכלי עדיין מבוסס על Aircrack ועדיין דורש הרצת Linux על אף שניתן להריץ

אותו גם תחת Windows רק צריך את ה - Drivers הרלוונטים.

להלן חלק מהאופציות שהכלי מאפשר:

Mac address filtering bypass (via mac spoofing)
Auto reveal hidden SSID
Client-less Access Point injection
Shared Key Authentication
WEP Decloaking (future version)
Whitelists (crack only APs included in the list)
Blacklists (do not crack APs included in the list)

http://code.google.com/p/wepbuster/

אובמה מדבר על אבטחת מידע

2009-05-30T20:51:00.006+03:00

אובמה מתייחס ל - Cybersecurity הוא מזכיר כי בבחירות האקרים הצליחו לחדור

למחשבים שלהם לאימיליים, למידע רגיש לגבי נסיעות שלהם ברחבי אמריקה ועוד.

אומבה מעריך כי 1 טרליון נגנב מפעילויות פשע בתחום הטכנולוגיה,

הוא מזכיר בנוסף איך פורצים הצליחו להפסיק את החשמל בערים, בנוסף הוא מזכיר

את וירוס ה - Confilker ואיך הוא פגע בצבא.

מדהים לראות כי אובמה מבין את החשיבות לעניין ואת המרחק של אמריקה מהמקום

שהם צריכים להיות ומהם הצעדים הנחוצים להגן על הרשת בצורה טובה יותר.

ILHACK כנס

2009-05-26T16:47:00.039+03:00

כמה תמונות מכנס ה - ILHACK באדיבות כלכליסט

Checkpoint כנס

2009-05-24T20:31:00.006+03:00

ב- 9.6.09 אני מבצע הרצאה מעניינת בתחום אבטחת המידע כאשר המיקוד

הוא נושא ה - Wireless, וכיצד השימוש ב - Wireless יכול להשפיע על חדירה ישירה

למחשב האישי של כל אחד מאיתנו, כולכם מוזמנים.

להרשמה לכנס ניתן ללחוץ

איסוף מידע

2009-05-16T10:33:00.028+03:00

כל בדיקת תקיפה מתחילה עם תהליך איסוף מידע על היעד.

קיימים לא מעט דרכים לאסוף מידע שכזה אך לאחרונה נתקלתי בכלי

שמשיג פרטים מעניינים מסריקה פשוטה של אתר היעד של החברה.

הכלי הוצג לראשונה ב - Blackhat Europe 09.

הכלי מאפשר לנתח את ה – Metadata של מסמכי Office,Pdf,Open Office

ועוד מספר רב של תוכנות.

לאחר הניתוח הכלי מוציא מידע כגון:

שמות משתמשים
ספריות
שמות מדפסות
כתובות דואר
גרסאות התוכנות שבשימוש – טוב מאוד לביצוע תקיפה ממוקדת על תחנת משתמש.

להלן מספר תמונות מסך של הכלי:

לאחר העלאת הכלי יש ללחוץ על Project –> New ובו לבחור את שם האתר

אותו אנחנו הולכים לתקוף ולאן ישמרו הקבצים עם הורדתם.

לאחר בחירת הפרויקט יופיע החלון הבא בו ניתן לבחור את סוג

הקבצים להורדה (המלצה שלי להשאיר את זה על כל הקבצים).

לצורך ההדגמה אני יוריד קבצים מאתר של Blackhat

לאחר ההורדה ניתן ללחוץ על הקובץ בעזרת מקש ימין של העכבר

ועל ידי כך למשוך את ה – MetaData של הקובץ

לינק להורדה

אין ספק שהרצה פשוטה של הכלי יכולה לעלות את רמת אבטחת המידע

ולמנוע זליגה של נתונים רגישים החוצה.

גם הגדולים נופלים 2

2009-05-05T21:06:00.005+03:00

ב - 16 לאפריל פירסמתי כתבה המציגה כיצד התבצע XSS באתר Symantec.

לינק לכתבה

עכשיו החליטו לבצע זאת גם ל - Mcafee שלא תרגיש בודדת במערכה :)

מדהים לראות אך שהחברות הגדולות שדוגלות ב - Security ומפתחות מוצרי הגנה לנושא,

פגיעות לבעיות אבטחה בסיסיות, כנראה באמת הסנדלר הולך יחף.

אז איך מבצעים את זה:

Go to the McAfee Rebate Center
Click on Get Rebate
Include this line of code into the 'Date Purchased' field:
Click on continue

להלן דוגמא הממחישה את השימוש בהתקפה ומאפשרת ניתוב לאתר התוקף:

כמובן אל תנסו את זה בבית.

לינק מלא לכתבה

בלוג אבטחת מידע

עיתונים רבותיי בנושא cyber security

אם חשבתם שעוקבים אחריכם כנראה צדקתם

פריצה לתא קולי של טלפון סלולרי

אבנת מחפשת האקרים 2

Cyber War

How RSA Hacked - Detailed Analysis

Chrome Security Extensions

FaceNiff For Android

Adventures in Analyzing Stuxnet

stuxnet

נאום ביבי נתניהו בכנס אבטחת המידע INSS

Screen spy new version

Sniffing USB traffic with VMWare

IPHONE4 AND METASPLOIT 3.7.0 INSTALL GUIDE

Blogspot השתלטות על כל

Patriot NG Host IDS v2.0

Prerequisites.

RDP

Online Hash Crackers Web Sites

Wifi Hot Spot איך להפוך את המחשב שלנו ל

ScreenSpy meterpreter script

כלי נחמד להסרת וירוס או סוס טוריאני עקשן

The Google Toilet

ללא מילים

אבטחת מידע במדפסות

RootKit

DEFCON 18

תולעת חדשה יצאה לעולם האם אתם מוכנים

Using the interactive method

עידכון אבטחת מידע חודש יולי 2010

אבטחת מידע בגלישה ברשת אלחוטית פתוחה

התקפות על כספומטים חלק ב

אבנת מחפשת האקרים

?האם המידע שלנו ברשת לא גלויי לתוקף

עדכון אבטחת מידע חודש מאי

הרשאות

עידכון אבטחת מידע חודש אפריל 2010

אבטחת מידע כוללת

Google הסינים נגד

העתיד כבר פה

עדכון אבטחה חודש מרץ 2010

נוסטלגיה

MoocherHunter

עדכון אבטחת מידע חודש פברואר 2010

BlackBerry Trojan are you safe ?

קונספירציה או דמיון מפותח

עידכון אבטחת מידע ינואר

Forensic

WPA שווה בדיקה שירות חדש פריצת

מדיה סנטר

IPHONE תולעת חדשה

Wireless Keylogger

Introduction

Wireless Keylogger block scheme

Wireless Keylogger transmitter

Wireless Keylogger receiver

Components

Set of electronic components

Cables, enclosure, and PCBs

Wireless Keylogger BOM (PDF version)

PCB layout - top side (PDF version)

PCB layout - bottom side (PDF version)

PCB mask - top side (PDF version)

PCB mask - bottom side (PDF version)

Assembly

Wireless Keylogger electrical schematics (PDF version)

Assembled PCB top side with microcontroller

Assembled PCB bottom side with transceiver

Transmitter PS/2 wiring diagram (PDF version)

Receiver USB wiring diagram (PDF version)

Transmitter circuit board wired to PS/2 bus

Receiver circuit board wired to USB

Power-up

Connect the transmitter unit to the PS/2 port

Connect the PS/2 keyboard to the transmitter unit

Connect the receiver unit to a free USB port

Choose to locate and install driver software

Choose to browse for driver

Choose to show browse option