יום שישי, 24 בדצמבר 2010

Wifi Hot Spot איך להפוך את המחשב שלנו ל

הרבה פעמים אנו רוצים לגלוש דרך הטלפון בצורה מאובטחת אבל

לא תמיד יש לנו רשת Wifi שניתן לסמוך עליה.

במקרה שלי יש לי 3G אבל מה קורה אם אין לנו את זה ובכל זאת אנו

רוצים את היכולת לגלוש מאובטח אך דרך הטלפון.

את האמת לספר הכל התחיל שרציתי לקחת את ה - windows 7 שלי להפוך

אותו ל - hot spot ולראות בעזרת sniffer מה אנשים עושים עם האינטרנט שלי :).

היום כבר אני עושה את הכל בעזרת ה - Android שלי כלומר גם פותח hotspot וגם

מאזין לתעבורה.

אבל נחזור לאפליקציה, virtualrouter :

לינק להורדה


חיסרון אחד קיים:

The Wireless Network create/shared with Virtual Router uses WPA2 Encryption, and there is not way to turn off that encryption. This is actually a feature of the Wireless Hosted Network API's built into Windows 7 and 2008 R2 to ensure the best security possible.

כמו כן למחשב הנייד שלכם חייב להיות קישור לאינטרנט חוטי או סלולארי.

יום חמישי, 25 בנובמבר 2010

ScreenSpy meterpreter script

Hi guys

just finished writing a great meterpreter script for metasploit

i was looking for a long time for a script that will give me the ability

to get interactive view of remote desktops when using meterperter,

but didn't find any script that can be used for this task.

so i decided to meet the challenge and create my own script.

hope you like it :)

i would love to hear your comments or any suggestions that you might have

link for downloading the script



יום שבת, 6 בנובמבר 2010

כלי נחמד להסרת וירוס או סוס טוריאני עקשן

לא פעם יוצא לי לעזור לחברים בהסרת וירוסים או סוסים טוריאנים.

קיימים לא מעט "טריקים" שיכולים לעזור בפעולה זו אך לאחרונה

נתקלתי בכלי חביב ויעיל שמבצע את הפעולה בצורה יעילה ופשוטה.

לכלי קוראים Combofix וניתן להורדה ב:



מצורף הסבר מפורט בלינק למטה אשמח לשמוע אם הוא איתר

משהו מעניין בהצלחה :)

נ.ב מומלץ להרצה גם אם האנטי וירוס לא גילה לכם כלום על המחשב.





יום שישי, 22 באוקטובר 2010

The Google Toilet

בעבר כתבתי כתבה נחמדה על GOOGLE ועל הכוח שיש להם בידיים

למי שלא קרא


כנראה שלא רק אני חושב ככה וחבר מהעבודה הראה לי סרטון מצחיק שהייתי

חייב לשתף אותו תהנו




תודה אנטולי על הסרטון

יום שישי, 8 באוקטובר 2010

ללא מילים

לא פעם קורה שרואים משהו מעניין באחד הבלוגים שקוראים.

אבל מעט הפעמים שהמשהו הזה באמת גורם לך..... (תשלימו אתם)




מקור הבלוג של ברק הורביץ.

יום שישי, 17 בספטמבר 2010

אבטחת מידע במדפסות

לא פעם קורה שאנחנו כארגון מחליטים לזרוק או לתרום ציוד ישן שיושב

בחברה. אז בד"כ הסיכון בהוצאת מחשב דיי ברורה ולכן או מוציאים את

ה - Hard Disk או לחילופין מבצעים Wipe מספר פעמים.

אך כאשר אנו תורמים מדפסות או מוכרים אותם האם אנחנו מודעים לסכנה שבהם?

האם אנחנו מערבים את מחלקת אבטחת המידע בהחלטה ?

המדפסות של היום מחזיקות רכיב זיכרון שאוגר בתוכו לא מעט מידע.

אבל במקרה הזה תמונה שווה אלף מילים ולכן הכנתי קטע וידאו קצר:




יום שבת, 21 באוגוסט 2010

RootKit

קיימות לא מעט תוכנות לזיהוי Rootkit במחשב, לאחרונה נזכרתי בתוכנה טובה

שעבדתי איתה מספר פעמים וחשבתי שהיא יכולה להיות שימושית גם לכם.

שם התוכנה: GMER.

גירסה אחרונה:GMER 1.0.15.15281

תמונת מסך:


תיאור קצר של המחבר:


GMER is an application that detects and removes rootkits

It scans for

hidden processes
hidden threads
hidden modules
hidden services
hidden files
hidden Alternate Data Streams
hidden registry keys
drivers hooking SSDT
drivers hooking IDT
drivers hooking IRP calls inline hooks
לינק להורדה

יום שישי, 6 באוגוסט 2010

DEFCON 18


כנס ה - DEFCON הוא אחד מכנסיי אבטחת המידע והאקרים החשובים ביותר.

מכיוון שלא הייתי שם ואני מעריך שרובכם גם לא היה שם, זה לא אומר שלא

ניתן לקרוא את החומרים והמצגות שהיו בכנס (זה עדיין לא הכנס אבל הכי קרוב

שאפשר :)

להלן רשימת הנושאים, ניתן להוריד בלינק למטה כ -106 מצגות העוסקות בנושא:

  1. A New Approach to Digital Forensic Methodology And !!BUSTED!! Case studies David C. Smith Samuel Petreski
  2. A Survey and Examination of the Adequacy of the Laws Related to Cyber Warfare. Dondi ―spookdoctor06‖ West
  3. Advanced Format String Attacks Presented by Paul Haas
  4. Air Traffic Control Insecurity 2.0 Righter Kunkel
  5. Analyzing vulnerability assessment data the easy way… Schuberg Philis Seccubus
  6. Attack the Key Own the Lock. datagram & Schuyler Towne
  7. Attacking .NET Applications at Runtime Jon McCoy
  8. Attacking JBoss like a Boss Krpata
  9. au.bug William-LeGrand
  10. Be a Mentor Marisa Fagan InfoSec Mentors Project
  11. BlindElephant:Web Application Fingerprinting With Static Files Patrick Thomas
  12. Blitzableiter –BETA Release Countering Flash Exploits Felix "FX" Lindner
  13. Browser Based Defenses x06d
  14. Build a Lie Detector / Beat a Lie Detector. Rain, J03b34r
  15. Building a Security Operations Center with little or no money. Pyorre
  16. Changing Threats To Privacy Marlinspike
  17. Cloud ComputingA Weapon of Mass Destruction? David M. N. Bryan
  18. Connection Strings Chema Alonso Informática 64
  19. Constricting the Web. Offensive Python for Web Hackers Nathan Hamiel, Marcin Wielgoszewski
  20. Crawling Bittorrent DHTs for Fun and Profit Scott Wolchok
  21. Cyber [Crime|War] Connecting the dots Iftach Ian Amit Managing Partner, Security & Innovation
  22. Cyberterrorism & the Security of the National Drinking Water Infrastructure John McNabb

לינק ישיר להורדת כלל המצגות


יום שישי, 23 ביולי 2010

תולעת חדשה יצאה לעולם האם אתם מוכנים

בתאריך 16 ליולי הוציאה חברת MICROSOFT הודעה על פגיעות שהתגלתה

בקבצים מסוג LNK. (קיצור דרך).

החולשה מאפשרת הרצת קוד על המכונה.

להלן ה - Advisory של Microsoft

http://www.microsoft.com/technet/security/advisory/2286198.mspx

קיימת כבר תולעת אחת המנצלת באג זה והערכה שלי שבקרוב נראה עוד כמה כאלה.

מה שיותר בעייתי הוא שעדיין Microsoft לא הוציאה טלאי אבטחה לנושא.

מה שמשאיר הרבה אירגונים חשופים לפגיעות וכרגע הדרך היחידה לפתור את

זה היא או לגשת ללניק הבא ולהריץ את הכלי ש - Microsoft מספקים:


או לבצע ידנית את הפעולות הבאות:

Using the interactive method

  1. Click Start, click Run, type regedit in the Open box, and then click OK.
  2. Locate and then select the following registry key:
    HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
  3. Click the File menu and then click Export.
  4. In the Export Registry File dialog box, type LNK_Icon_Backup.reg and then click Save.
    Note This will create a backup of this registry key in the My Documents folder by default .
  5. Select the value (Default) on the right pane in the Registy Editor. Press ENTER to edit the value of the key. Delete the value, so that the value is blank, and press ENTER.
  6. Locate and then select the following registry key:
    HKEY_CLASSES_ROOT\piffile\shellex\IconHandler
  7. Click the File menu and then click Export.
  8. In the Export Registry File dialog box, type PIF_Icon_Backup.reg and then click Save.
    Note This will create a backup of this registry key in the My Documents folder by default
  9. Select the value (Default) on the right pane in the Registy Editor. Press ENTER to edit the value of the key. Delete the value, so that the value is blank, and press ENTER.
אני כבר רואה את כמות החברות במשק אשר יפגעו מהבעיה האבטחית הזאת בהצלחה לכולם.



יום חמישי, 22 ביולי 2010

עידכון אבטחת מידע חודש יולי 2010

להלן עידכון אבטחת מידע לחודש יולי 2010 תהנו:



יום שישי, 9 ביולי 2010

אבטחת מידע בגלישה ברשת אלחוטית פתוחה

כולנו הינו שם אנחנו בחופשה או לחילופין קפצנו לחבר ואנחנו רק רוצים להתחבר

לחשבון בנק ולבדוק משהו קטן או לחילופין להוריד איזו תוכנה שחסרה לנו , לראות

אם שלחו לנו EMAIL חשוב.

גלישה בבתי קפה או ברשת אלחוטית פתוחה היא דבר שבשיגרה.

אך כפי שרובכם מכירים קיימות לא מעט סכנות בקישורים מסוג זה ולא תמיד אנחנו

יודעים איזה האקר יושב בצד השני או במקרה הזה לצידינו.

ניסיתי לחשוב על הסיכונים העיקרים שטמונים בגלישה ברשת אלחוטית פתוחה:

א. גניבת שמות משתמשים וסיסמאות.

ב. ניתוב המשתמש לדף זדוני.

ג. MITM.

ד. השתלטת סוס טוריאני עם הורדת כל קובץ מרשת האינטרנט.

ה. האזנה למידע העובר בתווך.

ועוד....

אז איך בכל זאת ניתן להימנע מהאיומים שתוארו.

הפיתרון בו אני הייתי משתמש עד היום היה שימוש ב - SSH TUNNEL

אך פיתרון שכזה דורש ידע ושרת SSH שלא קיים לכולם

ולכן חיפשתי פיתרון יותר כללי ויותר פשוט שייתן מענה דומה אך ללא כל העבודה.

אני חושב שהפתרון הנ"ל דיי מבטיח - HotSpot Shield.

להלן קצת פרטים מהאתר של התוכנה:


Hotspot Shield creates a virtual private network (VPN) between your laptop or iPhone and our Internet gateway. This impenetrable tunnel prevents snoopers, hackers, ISP’s, from viewing your web browsing activities, instant messages, downloads, credit card information or anything else you send over the network. Hotspot Shield security application is free to download, employs the latest VPN technology, and is easy to install and use.
  • Secure your web session, data, online shopping, and personal information online with HTTPS encryption.
  • Protect yourself from identity theft online.
  • Hide your IP address for your privacy online.
  • Access all content privately without censorship; bypass firewalls.
  • Protect yourself from snoopers at Wi-Fi hotspots, hotels, airports, corporate offices.

מה שאהבתי שניתן ליישם את הפיתרון גם ב - IPHONE אבל מה עם ANDROID :).

את התוכנה ניתן להוריד בלינק הבא.

נ.ב שמעתי שהיו קצת בעיות ל - Windows 7 עם התוכנה אז מומלץ לבחון את הנושא לפני ההורדה.


יום חמישי, 24 ביוני 2010

התקפות על כספומטים חלק ב

לפני כשנה הצגתי מאמר מעניין על סוס טוריאני שפותח במטרה לתקוף כספומטים.

אך על מנת להגיע למצב בו סוס טוריאני מותקן בכספומט בד"כ נהיה צריכים גישה פיזית.

אך עדיין מצבים אלו דורשים משאבים לא פשוטים ולא תמיד ניתנים להשגה.

אז איך עושים את זה במודל KISS = KEEP IT SIMPLE STUPID :).

בחיפושי אחרי התשובה איתרתי כמה תמונות מענינות אשר יכולות להמחיש בצורה טובה

את התשובה לשאלה.










השיטות הנ"ל קצת מיושנות מכיוון שהם דורשות מהתוקף לחזור ולאסוף את הנתונים,

מצב המסכן אותו באופן ישיר.

אבל מה אם היינו יכולים להתקין רכיב אשר ישלח לנו את כל המידע בעזרת הודעות SMS.

את הרכיבים הבאים ניתן לרכוש באינטרנט בעלות של 7000$ או לחילופין להכין באופן עצמאי

בעלות זולה יותר.





ולכל החכמים שעכשיו אומרים בראש אההה SIM שטויות אפשר לעלות על זה.

אז גם את זה ניתן לפתור הן בקנייה של SIM במדינות אירופה השונות על ידי שימוש במזומן

ללא יכולת זיהוי הקונה והן על ידי שליחת המידע על גבי האינטרנט (GPRS או WIFI).

אז מתי זה יקרה אצלנו הערכה שלי בקרוב מאוד.

ולסיום סרטון קצר:


יום שישי, 11 ביוני 2010

אבנת מחפשת האקרים

אם אתה אוהב לפרוץ למערכות מידע בזמנך החופשי ועד עכשיו נושא זה

היה תחביב בלבד עבורך.

אז הגיע הזמן להפוך את זה למקצוע.

אני נשמע כמו פרסומת זולה אני יודע אבל בואו נמשיך.

אבנת מחפשת פורצים בעלי ידע להצטרף לכוחותיה רצוי אנשים בעלי ידע

בתחום הפריצה התשתיתי והאפלקטיבי

אם אתם חושבים שאתם מתאימים או לחילופין אתם מכירים חבר שמתאים לתפקיד

אשמח לשמוע.

קורות חיים ניתן לשלוח למייל roni@avnet.co.il

יום שישי, 4 ביוני 2010

?האם המידע שלנו ברשת לא גלויי לתוקף

הרבה חברות במשק משקיעות לא מעט מאמצים באבטחת מידע כאשר המיקוד הוא

הגנה על המידע שלהם.

בד"כ המידע הרגיש קיים בכל מיני סוגי קבצים היושבים על שרת מרכזי או Storage הנגיש

לכולם על ידי שימוש בפרוטוקול ה - SMB.

על מנת להגן על המידע מוגדר סט הרשאות לכל משתמש ומשתמש אשר מאפשר גישה למידע

הרלוונטי שלו.

עד פה הכל נשמע טוב לא ?

אך מה קורה מהרגע שמנכ"ל החברה ניגש לחומר הרלוונטי ומושך אותו על ידי פרוטוקול ה - SMB

או לחילופין מה קורה כאשר מערכת מבצעת העלאה או משיכה של קבצים באופן אוטומטי ממערכת

אחרת?

לכך נוצר הכלי הבא WP_SMBPlugin כלי זה הוא ADDON ל - SNIFFER המוכר

Wireshark

ובגדול מה שהוא מאפשר לאחר האזנה לרשת שיכולה להתבצע על ידי פעולת MITM.

הורדת הקובץ הרלוונטי לתחנת התוקף.

קיימות קצת מגבלות לכלי אך עדיין כלי נחמד ביותר.

לקריאה מעמיקה יותר על הכלי ומגבלותיו - לינק

להורדת הכלי - לינק

תהנו

יום שבת, 22 במאי 2010

עדכון אבטחת מידע חודש מאי

להלן קטע וידאו המתאר את מפגעי אבטחת המידע שהתגלו במהלך חודש מאי:


יום שבת, 8 במאי 2010

הרשאות

כאשר אנו מקשיחים מערכת או לחילופין פורצים למערכת רצוי לדעת לאן קיימת

גישה כגון הרשאה ל:
  • קבצים
  • שירותים
  • Registry
  • processes
  • kernel objects
כלי שנכתב על ידי Sysinternal מספק תשובה לשאלות הנ"ל הכלי עובד מ - Cmdline.

וניתן להורדה מהלינק הבא

יום שישי, 23 באפריל 2010

עידכון אבטחת מידע חודש אפריל 2010

להלן קטע וידאו המתאר את מפגעי אבטחת המידע שהתגלו במהלך חודש אפריל:




יום שבת, 17 באפריל 2010

אבטחת מידע כוללת

לא מעט התקפות בשנה האחרונה מבוססות על פגיעויות ברכיבי

תוכנה צד שלישי של מערכת ההפעלה כגון PDF,ZIP,WORD,IE וכדומה.

כמו כן לא מעט אירגונים מעדכנים כחלק ממדיניות אבטחת המידע באופן יומי או שבועי

את טלאי האבטחה אך עדיין מאפשרים למשתמשים להשתמש בגירסה ישנה של IE או PDF,

במרבית הזמנים הדבר נובע מחוסר ידיעה או יכולת להתמודד, חשוב לציין כי לנושא זה חשופים

לא רק משתמשי הרשת אלא גם המשתמשים הפרטיים.

ברמת הארגון ניתן להתמודד על ידי שימוש בסקריפטיים ייעודים או לחילופין

מערכות כגון SMS ועל ידי רכיבים אלה ניתן למפות את גירסאות התוכנה הקיימות על

תכנות הקצה ולקבוע מדינות אבטחת מידע לעדכונים רכיבים אלו.

ברמת המשתמש הבודד איתרתי תוכנה נחמדה מבית Secunia.

את התוכנה ניתן להוריד בלינק הבא:

PSI

בהצלחה........



יום שישי, 9 באפריל 2010

Google הסינים נגד

ניתוח קל של הפריצה שהתבצעה אל מול Google על ידי הסינים

חשוב לציין כי כפי שניתן לראות הפריצה לא התמקדה אך ורק ב - GOOGLE אלא

ב - Adobe גם כן מה שיכול אולי להצביע על כך שהמתקיפים היו מעוניינים בנתוני קוד של שני

החברות, ועד היום לא באמת יודעים איזה סוג מידע הושג.

השגה של קוד שכזה יכולה לשפר באופן משמעותי את רמת התקיפה העתידית

שלהם.

להלן סירטון וידאו קצר המציג את הניתוח:



יום שישי, 2 באפריל 2010

העתיד כבר פה

באחת הכתבות שלי ציינתי כרטיס נחמד למדיה סנטר ובחיפושי באינטרנט נתקלתי

במחשב חדש המריץ ubuntu ומסוגל בו זמנית להריץ 3D וה - 1080P.

חשבתי שזה יכול לעניין כמה ממכם.

קחו בחשבון שבעתיד המאוד קרוב נראה את הדברים האלה יותר ויותר ובגדלים קטנים

יותר מה שיכול להשפיע בצורה עקיפה על אבטחת המידע ועל צורות התקיפה.

להלן סירטון וידאו המציג את הרכיב:




יום שלישי, 23 במרץ 2010

עדכון אבטחה חודש מרץ 2010



יום שישי, 12 במרץ 2010

נוסטלגיה

שהייתי ילד אהבתי לשחק בכל מיני צעצועים אחד מהם היה SUB7,

כאשר SUB7 יצא לעולם היה לי צעצוע מאוד נחמד לשחק בו אך עם השנים הוא

נעלם וחזר לארגז המשחקים הסגור שלי.

אך היום יצא לי לראות שיצאה גירסא חדשה שלו, עוד לא יצא לי לבדוק אותה אבל חשבתי

שזה יכול לעניין כמה ממכם.

אחחחחחחחחחחח איזו נוסטלגיה

להלן חלק מהיכולות של הסוס הטרויאני:

SubSeven.exe (911KB)

Client:

- Transfer View (view upload/download details <-> from host)
- Window View (View active Windows on SubSeven)

Managers:

- File Manager (upload/download/run/delete/play files on host)
- Registry Manager (modify/add/remove registry entries on host)
- Service Manager (refresh services/install services/remove services/remote host management)
- Process Manager (view active/kill active processes to dll level)
- Fun Manager (general office pranks)

Spying:

- Desktop (view and click the remote host desktop)
- Webcam (view the webcam on the remote host)
- Audio (capture mic/line-in input no the remote host)
GIF - 2.4 kb

Network:

- TCP Tunnel (relay remote host ports to local PC)
- Traffic Viewer (lists active network connections on remote host)
- Network Browser (list shares on remote host, allows mapping)

System:

- Remote Shell (view the command prompt on the remote host as if it was local)
- Password (recover lost/forgotten passwords for various browsers, storage, mail clients and instant messengers)
- Installed Apps (list installed applications)
- Server Options (stop/start/remove server on remote host)

Built in Tools:

- Static IP Notification Client (SIN client) (a listening tool that allows your remote hosts to notify you when they are online)
- NO-IP account / IP auto update tool (allows you to enter your NO-IP account information to auto update the website of IP changes)
- Shortcut Panel (allows you to add your favorite utilities as shortcuts
- Hint and Active running status bar (gives you some helpful information)

EditServer.exe (254KB)

Server Status:

- Read (allows you to browse and then read the server settings)
- Server extensions (allows you to check which extension you want the server to use)
- Install directory (allows you where you would like the server to be installed)
- Protect server (allows you to password protect the server)
- Melt server (allows the server to disappear once executed)
- Wait for reboot (waits to execute upon next reboot)
- Run Visible (allows the host computer to know the server is running)
- Server name (what it says)

Fake Messages:

- Enable (actives the fake message option)
- Message icon (allows you to choose your icon for the message)
- Available buttons (select what options the host computer has to press)
- Message title (the title text for the message)
- Message text (the body text of the message)
- Test (allows you to test the message on your PC)

Startup methods:

- Registry Run (installs under registry run key)
- Registry RunServices (installs under registry runservices key)
- Registry RunOnce (installs under registry runonce key)
- ActiveX (installs in the activeX key path)
- Explorer (installs on execution of explorer shell)
- Winlogon (same as above for winlogon)
- Policies (executes upon windows policies startup)
- Key name (keyname for registry entries. For example Remote Host Server)

Notifications:

- S.I.N (specify your local network external IP address here, or for local testing 127.0.0.1)
- CGI/PHP (specify your website address, e.g http://www.host.com, generate the script and upload it to your php/cgi host)

Bind Files:

- Select a file to bind to the server. The binded file will execute along with the server - for example you may want to execute tinyvnc for full screen management)

Win Firewall:

- Disable Firewall (turns off the firewall providing UAC is off)
- Disable Win defender (turns off windows defender)
- Disable UAC (turns off UAC upon next reboot)

Exe Icon:

- Load .dll/exe (load up an exe or .dll file to extract icons and use them on your server)
- Browser (browse to .ico files)

Server.exe (58.5KB)


אז איפה מורידים אתם שואלים ?
לינק להורדה

MoocherHunter


פעמים רבות לקוחות מבקשים ממני לבדוק קיום של AP זדוני בתוך הרשת שלהם כדוגמת

מקרה בנק הדואר בו הושתל AP זדוני למטרת חדירה, פעילות האיתור מתבצעת בדרכים

שונות ומוכרות ולא בה אני רוצה להתרכז היום,אלא מה קורה מהרגע שאתרנו AP מה

עושים איך מאתרים את האדם המחובר לאותו AP זדוני ?!

נכון שאפשר להשתמש בכלים הסטנדרטים לבצע פעולה זו אבל בחיפושי באינטרנט נתקלתי בכלי הבא:

MoocherHunter™ identifies the location of an 802.11-based wireless moocher or hacker by the traffic they send across the network. If they want to mooch from you or use your wireless network for illegal purposes (e.g. warez downloading or illegal filesharing), then they have no choice but to reveal themselves by sending traffic across in order to accomplish their objectives. MoocherHunter™ enables the owner of the wireless network to detect traffic from this unauthorized wireless client (using either MoocherHunter™'s Passive or Active mode) and enables the owner, armed with a laptop and directional antenna, to isolate and track down the source.


Because it is not based on fixed or statically-positioned hardware, MoocherHunter™ allows the user to move freely and walk towards the actual geographical location of the moocher/hacker. And of course, as part of the free OSWA-Assistant™ wireless auditing LiveCD toolkit, MoocherHunter™ is also FREE for end-users to use on their existing laptops (so long as it is only run within the OSWA-Assistant™ environment) with off-the-shelf supported wireless cards


הערה: קיים סירטון מעניין באתר שלהם בו הם מדגמים את יכולת האיתור.

להורדת הכלי וצפייה בסירטון יש ללחוץ על הלינק הבא:

לינק להורדה

יום שבת, 27 בפברואר 2010

עדכון אבטחת מידע חודש פברואר 2010

וידאו המרכז את עידכוני אבטחת המידע של חודש פברואר

Sourcefire VRT Vulnerability Report February 2010 from Sourcefire VRT on Vimeo.


יום שבת, 13 בפברואר 2010

BlackBerry Trojan are you safe ?

Shomocon 2010 הסתיים לפני מספר ימים והיה כנס דיי מעניין השנה

כחלק מהרצאות שנערכו בכנס הייתה הרצאה אחת מעניינית שתפסה את עיני.

ההרצאה דיברה על היכולת שלכתוב סוס טוריאני למכשיר מסוג BlackBerry,

כבר ראינו לא מעט טוריאנים לטלפונים סלולארים המכילים מערכת הפעלה מסוג

Sybian, ואני מעריך שקיימים לא מעט סוסים טוריאנים אף למערכת ה - Android

אבל עכשיו הגיע התור של טלפון ה - BlackBerry.

הסוס הטוריאני הוא קוד שפותח בשפת Java.

ההתקנה של הקוד הזדוני יכולה להתבצע הן על ידי הנדסה חברתית

או לחילופין על ידי הורדת אפליקציה מהאינטרנט.

מהרגע שהקוד הותקן הוא מאפשר לתוקף לבצע ככל העולה על רוחו

מקריאת הודעות, הקלטה שיחות, קבלת מיקום של האדם דרך מכשיר ה -

GPS ועוד מספר דברים מעניינים ונחמדים.

להלן סרטון וידאו המדגים את יכולות הסוס הטוריאני:

TXSBBSpy Demo from Veracode on Vimeo.




להלן המצגת כפי שהוצגה על ידי Tyler Shields

להורדת המצגת לחץ כאן

ואחרון אחרון חביב להלן קוד הסוס הטוריאני

להורדת הסוס הטוריאני לחץ כאן

אז כיצד להתגונן אתם בטח שואלים:

אחת השיטות העיקריות להתגונן היא למנוע גישה מאפליקציות שהורדנו

לגשת למיילים שלנו ולרשימת הטלפונים שאנו מחזיקים.

דבר נוסף הוא להימנע מלתת לאפליקציות באופן אוטומטי גישה כ -

trust application.

בנוסף חברות פרטיות המחזיקות שרת BlackBerry יכולות לקבוע Policy

על מנת למנוע מהמשתמשים להתקין אפליקציות צד שלישי.

יום שישי, 5 בפברואר 2010

קונספירציה או דמיון מפותח

לא מזמן יצא לי לשחק עם טלפון מסוג Android וחשבתי על רעיון דמיוני נחמד.

חשבו על הדבר הבא נניח שממשלת ארצות הברית הייתה רוצה לדעת הכול על כל

אדם בעולם איך הייתה עושה זאת בקלות.

אחד הייתה פונה לאחת מהחברות הגדולות בעולם במקרה הזה בחרתי ב – Google.

לאחר מכן עוזרת ל – Google לפתח מערכת חינם שחברות הטלפונים ירצו להשתמש בה

על מנת להוריד עלויות בבניית טלפון סלולארי וכך בעצם ליצור מצב שהמערכת שלהם

נמצאת בכל טלפון במקרה שלנו לדוגמא Android.

לאחר מכן לאתר את האנשים שהמידע שלהם מעניין על ידי שימוש

ב - Google toolbar שקיים בכל מחשב ומחשב ברחבי העולם.

לאחר איתור המחשב הרלוונטי לשלוח פקודה ל – Google toolbar כך שברגע שמתחבר

אליו טלפון מסוג Android יבצע פעולות שונות כגון:

האזנה לשיחות ושמירתם באופן מוצפן על גבי הטלפון.

העברת כלל הודעות ה – SMS של המשתמש.

שימוש ב – GPS על מנת לאתר את מיקומו של האדם בכל עת שארצות הברית רוצה.

לקבוע נקודות GPS מעניינות כגון בסיסים צבאיים, או משרדי ביטחון על מנת
לאתר אנשים עם מידע פוטנציאלי.

לקבוע תהליך האזנה מהרגע שהאדם הגיע למקום עד הרגע שיצא.

לקבל את ה – Calendar של האדם הכוללות את כל הפגישות שאמורות להיות לו
או לחילופין שהיו.

לקרוא את המיילים שלו שהגיעו לטלפון.

בעתיד לקרוא את טביעת האצבע של האדם הרלוונטי על ידי שימוש במסך מגע מתקדם.

לשמור את סיסמאות המייל הארגוני של האדם הרלוונטי וסיסמאות אתרי מייל חיצונים.

ברגע שהתחבר הטלפון שוב למחשב או לכל רשת אלחוטית להעביר את המידע הרלוונטי

לארצות הברית.

בנוסף להוציא כל מידע רלוונטי ממחשב היעד על ידי שימוש ב – Google toolbar.

כמובן שהכול הוא פרי דמיוני המפותח ואין קשר בין Google לממשלת ארצות הברית

עד כמה שידוע לי אבל זה עדיין נשמע מעניין או מפחיד לחלק מהאנשים :)

חומר חדש ומעניין לכתבה הנוכחית








יום שישי, 22 בינואר 2010

עידכון אבטחת מידע ינואר

וידאו קצר המתאר את בעיות אבטחת מידע שהתגלו בחודש ינואר:





יום שישי, 15 בינואר 2010

Forensic

לא פעם קורה שאני צריך להגיע ללקוח ולנתח מה קרה על תחנה.

אז נכון שקיימים לא מעט כלים ל - Forensic אבל בנוסף קיים לא מעט מידע שניתן

להוציא באופן ידני ממערכת ההפעלה ללא הפעלת כל כלי או שינוי מידע על הדיסק

הקשיח.

irongeek ריכז את החומר באופן מאוד יעיל:



Windows Explorer

Not to be confused with Internet Explorer, Windows Explorer is the default GUI shell for Windows 7 / Vista / XP. It leaves all sorts of data in the registry and file system for a forensics investigation.

Description: Recently opened files from Windows Explorer
Location: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent
Why you care: It can be quite useful to know what files have been opened recently. Think someone is accessing records of embezzlement? Maybe there is a pointer to the Excel file here that can lead you to where the data has been stored. You may also see links to videos and images in here. I've had this lead to personal embarrassment before while doing a presentation for the ISSA. :)
Entry by: Irongeek, but thanks to Nir.

Description: Network Shortcuts
Location: C:\Users\\AppData\Roaming\Microsoft\Windows\Network Shortcuts
Why you care: This could show an investigator what fileservers the person is accessing, or on a captured laptop a little about the internal network (useful for pen-testing).
Entry by: Irongeek, but thanks to Nir.

Description: Items recently ran from the "Run" bar
Location:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Why you care: Useful to know what the person is running using the Windows Run bar, but in Vista and Windows 7 lots of folks use "Search programs and files" text box, which does not show up in this registry key.
Entry by: Irongeek, but thanks to Nir.

Description:ComDlg32 recently opened/saved files
Location: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
Why you care: This key has sub keys by file extension that can let you know what people have been opening/saving to when the common file save/open dialog comes up. Values are in HEX, but readable if you open them in ASCII view.
Entry by: Irongeek, but thanks to Nir.

Description: ComDlg32 recently opened/saved folders
Location:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
Why you care: Much like the entry above, but the last folders. Values are in HEX, but readable if you open them in ASCII view.
Entry by: Irongeek, but thanks to Nir.

Description: Recent Docs
Location: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
Why you care: It can be quite useful to know what files have been opened recently. Got to know where people as sticking their data. :)
Entry by: Irongeek, but thanks to Nir.

Description: EXE to main window title cache
Location: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
Why you care: Once again, it's useful to know what folks are running on a system, and this might give you an idea what an exe is before you run it yourself (in a VM of course).
Entry by: Irongeek, but thanks to Nir.

Description: User Assist
Location: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Why you care: This key is suppose to contain information about programs and shortcuts accessed by the Windows GUI, including execution count and the date of last execution, but the way it's stored is less than obvious. Didier Stevens has a tool far parsing the data here:
http://blog.didierstevens.com/programs/userassist/
The version I tested does not seem to work in Windows 7, but Mr. Stevens is on the case.
Entry by: Irongeek, but thanks to Nir and Didier Stevens.

Windows General

Even more Windows Forensics goodness (or badness depending on your perspective).

Description: Temp folder
Location: C:\Users\\AppData\Local\Temp
Why you care: Lots of programs need a safe place, where the user has permissions, to dump temp data. This is the place to look. They may have wiped/shredded the main file, but there could be a version in this directory depending on how the application works.
Entry by: Irongeek, but thanks to Nir.

Description: Recycle Bin
Location: C:\$Recycle.Bin
Why you care: Do I really need to say?
Entry by: Irongeek, but thanks to Nir.

Description: Last logged on user
Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Why you care: Lets you know who logged in last, and may also give you a user name to attack if you're a pen-tester.
Entry by: Irongeek, but thanks to Nir.

Description: Event logs
Location: Should be in C:\Windows\System32\config or C:\Windows\System32\winevt\Logs depending on OS
Why you care: These may be relocated, so do a desktop search for *.evt and *.evtx. Let you know all sorts of things about what is happening on the box.
Entry by: Irongeek.

Description: Last key edited by RegEdit
Location: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit
Why you care: Can be useful to know if the user was tweaking the registry for some purpose (like writing an article on Forensically interesting spots in the Windows 7 file system and registry).
Entry by: Irongeek, but thanks to Nir.

Description: List of Installed USB devices, both connected and unconnected
Location: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
Why you care: It can be useful to know what USB devices have be connected to a box, and even the vendor and serial number of the device in some cases. Think someone copied the data to a thumbdrive? This may help you trace down what thumbdrive. Think how useful it can be to help tie something a user physical possesses to a box.
Entry by: Irongeek.

Description: List of installed USB storage devices
Location: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
Why you care: Much like the installed USB devices entry, but just for USB storage. Think someone copied the data to a thumbdrive? This may help you trace down what thumbdrive. CleanAfterMe scrubs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB but not USBSTOR when I tested last.
Entry by: Irongeek.

Description: SetupAPI Device Log
Location: C:\windows\inf\setupapi.dev.log
Why you care: Log that can help you find out what USB devices have been installed, including thumbdrives. CleanAfterMe scrubs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB but not this file when I tested last.
Entry by: Irongeek, but thanks to Nir.

Description: Windows Prefetch
Location: C:\Windows\Prefetch
Why you care: Windows Prefetch is a feature in Windows XP and newer system (Including Windows 7) that is ment to speed up commonly executed application and boot load times by recording what on the system is accessed. Mark McKinnon has a tool you might be interested in for parsing this data. Also, you may want to read the Wikipedia entry: http://en.wikipedia.org/wiki/Prefetcher
Entry by: Irongeek, but thanks to Nir and Mark McKinnon.

Internet Explorer

Description: Internet Explorer Temp Folder (IE Cache)
Location: C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files
Why you care: Look at cached files to see what sort of content people are surfing around for. Also, a great place to start looking if you want to add to your pr0n collection.
Entry by: Irongeek, but thanks to Nir.

Description: IE Cookies
Location: C:\Users\\AppData\Roaming\Microsoft\Windows\Cookies
Why you care: Let's you know where people have been surfing, and possibly a password or at least a session ID to a website they authenticate to.
Entry by: Irongeek, but thanks to Nir.

Description: Internet Explorer History
Location: C:\Users\\AppData\Local\Microsoft\Windows\History
Why you care: Again, useful to know what sites someone has visited, when, and how many times.
Entry by: Irongeek, but thanks to Nir.

Description: IE Typed URLs
Location: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedUrls
Why you care: Despite the name, you can not be 100% sure they were typed into the Internet Explorer URL bar, but this can help you distinguished between sites that were manually entered, and ones accessed via a link. The presumption is that if a URL shows up in the TypedURLs key, the person really meant to go there. This is not necessarily the case, just do a search for what happened to poor Julie Amero.
Entry by: Irongeek, but thanks to Nir.

Description: Internet Explorer Forms AutoComplete
Location: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage1
Why you care: This registry key stores autocomplete information for IE, but in an obfuscated form. For old versions of IE try Nir's PSPV, for IE 7 and newer try IE PassView to decode this data.
Entry by: Irongeek, but thanks to Nir.

Description: Internet Explorer Password AutoComplete
Location: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
Why you care: This registry key stores autocomplete password information for IE, but in an obfuscated form. For old versions of IE try Nir's PSPV, for IE 7 and newer try IE PassView.
Entry by: Irongeek, but thanks to Nir.
Description: Printer spool folder
Location: C:\Windows\System32\spool\PRINTERS
Why you care: Sometimes a print job will get stuck here, and we all know what useful information people sometimes print. To read these spl files you will need the right PCL/PostScript parser. Try some of the tool listed at the bottom of this page: http://www.undocprint.org/formats/winspool/spl
I had ok luck with O&K Printer Viewer and LBV SPLViewer.
Entry by: Irongeek.



Firefox

I Did these tests in Firefox 3.5 (mostly). Results may vary. Take a look at anything in C:\Users\\AppData\Local\Mozilla\Firefox\Profiles\.default\, but especially *.sqllite files.

Description: Firefox Cached Pages
Location: C:\Users\\AppData\Local\Mozilla\Firefox\Profiles\.default\Cache
Why you care: While IE stored its cache in easy to read file names, Firefox makes it a little harder. You will have to open up these files to look at their headers to see what they are, or use a tool like MozillaCacheVeiwer. Files with names like _CACHE_001_ are good for looking at the banners of recently accessed sites (so you can see the server type and the like), which will be useful to a pen-tester wanting to fingerprint system. "_CACHE_MAP_" seems to be an index of items in the cache, but I've not looked into it enough yet myself. Check out http://www.securityfocus.com/infocus/1832 for more info on _CACHE_MAP_. Of course, these _CACHE_ files are also awesome for attaching dates to server access.
Entry by: Irongeek, but thanks to Nir.

Description: Firefox Form History File
Location: C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\.default\formhistory.sqlite
Why you care: This file has tons of information about web forms filled out in Firefox, when they were filled out, and what with. This is an SQLLite file that contains the browsing history for Firefox/Mozilla. You can use the Open Source app SQLLiteStudio to read the file. For other SQLLite tools, check out this site.
Entry by: Irongeek.

Description: Firefox Passwords File
Location: C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\.default\signons.sqlite
Why you care: This SQLLite file should contain Firefox's stored passwords. Nir has a tool for grabbing Firefox passwords, but it failed on my Firefox 3.5.2 installation (you can still use Firefox itself to see the password, under security options). You can use the SQLLiteStudio app to read the file, but the information is obfuscated. For other SQLLite tools, check out this site. Even if you can't find the passwords, you can find "Disabled hosts", which may tell you what sites the owner sees as too sensitive to store passwords for.
Entry by: Irongeek.

Description: Firefox Cookies
Location: C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\.default\cookies.sqlite
Why you care: Let's you know where people have been surfing, and possible a password or at least a session ID to a website they authenticate to. You can use the SQLLiteStudio to read the file, or Nir's Cookie viewer.
Entry by: Irongeek, but thanks to Nir.

Other Apps

These are items that may not fit in other categorizes. Just about anything in "C:\Users\\AppData\" is worth taking a look at.

Description: Recently Opened Office Docs
Location: C:\Users\\AppData\Roaming\Microsoft\Office\Recent
Why you care: Yet another way to see what files someone has been accessing. Notice how it's hard to cover all activity tracks?
Entry by: Irongeek, but thanks to Nir.

Description: Files recently accessed by Windows Media Player
Location: HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\RecentFileList
Why you care: I could not get this one to work in Windows 7, maybe it has moved?
Entry by: Irongeek, but thanks to Nir.

Description: Offline Outlook Mailbox
Location: C:\Users\\AppData\Local\Microsoft\Outlook\outlook.ost
Why you care: Here is were your Outlook 2007 mailbox is stored, and email is always a useful source of forensic information. If you find a freeware or open source parser please let me know (my quick search only showed commercial ones). Byte Bucket suggested this http://www.five-ten-sg.com/libpst/ but I have yet to test it.
Entry by: Irongeek.

Description: Temp folder for Outlook attachments
Location: C:\Users\\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\\
Why you care: Here is were Outlook 2007 sometimes puts attachments you directly open from an email. If you are trying to find the exact location of this folder, look in the reg key: HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\Security
Entry by: Irongeek.

Description: Flash Cookies Location
Location: C:\Users\\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\\
Why you care: So, you deleted all of the cookies you browsers have so folks can't track where you have been, but what about cookie that Adobe Flash makes at times? Lots of wiping software seems to miss this area, and it's a great way to know where someone has been.
Entry by: Irongeek.




WPA שווה בדיקה שירות חדש פריצת

שירות חדש יצא לא מזמן המאפשר פריצת WPA ב - 20 דקות

על פי בעל האתר פריצת WPA-PSK יכולה לקחת שבועות או חודשים

כאשר אצלינו קיימת גישה ל - 400 CPU שיבחנו את ה - Packet אל מול מילון המכיל

135 מליון מילים.

וכמה זה עולה אתם שואלים 17$ בלבד.

אז אם בא לכם לפרוץ WPA של השכנה או לחילופין של אחד הלקוחות שלכם (באישור בלבד)

לינק לשירות

יום שישי, 1 בינואר 2010

מדיה סנטר

לא כל כך קשור לאבטחת מידע אבל עדיין מעניין לפי דעתי , מכיוון וכולנו אנשי מחשבים

שאוהבים מחשבים אני בטוח שלא מעט מכם מחזיקים מדיה סנטר (HTPC) בבית

או לחילופין Notebook חלש שמריץ DIVX.

אז לאלה שקנו והשקיעו כסף במחשבים חזקים אתם מוסדרים ויכולים לראות

סרטים באיכות של 1080p.

אבל מה קורה עם כל המסכנים שאין להם את היכולת להשקיע או רוצים לקחת

איזה מחשב נייד ישן ולהפוך אותו למדיה סנטר המריץ סרטים של 1080p

אז עד עכשיו זה היה בלתי אפשרי אך brodcom מצאו את הפיתרון בשבילכם כאשר

ייצרו כרטיס mini-PCIE המאפשר לראות סרטים באיכות גבוהה.

העלות של הכרטיס היא 69$ וניתן לרכוש אותו מה - 1.6.2010 בלינק הבא:

לינק לרכישת הכרטיס