בלוג אבטחת מידע: 2011

יום שישי, 9 בדצמבר 2011

אם חשבתם שעוקבים אחריכם כנראה צדקתם

אני בטוח שכולכם מבינים שהטלפון זה לא הדבר הכי מאובטח שיש

עובדתית קיימים אתרים כגון jailbrakeme שמשתמשים בפרצה לפרוץ את

ה - Iphone שלנו, קיימים סוסים טוריאנים לאנדרויד ל - Iphone ול - Blackberry

שניתן למצוא עם קצת חיפוש באינטרנט.

אל תדאגו אם התקינו על הטלפון שלכם אז גם לא יהיה קל למצוא אותם.

ברור שחברות הענק הבינו שבתעשיה זו קיים לא מעט כסף ובנו מוצרים שונים שבצעים זאת.

אז מה באמת ניתן לעשות ?!

חשבתי על מספר דרכים לגלות דברים שכאלה (לא בהכרח הדברים הכי מתוחכמים אבל אני

מעריך שזה יעבוד) אשמח לתוספות מהצד שלכם במידה וניתן

שלב ראשון בטריה אם הבטריה מתרוקנת במהירות על אף שכלל האפלקציות סגורות

שלב שני תעבורה חברות הסלולאר גובים תשלומים על התעבורה ניתן להבין האם הייתה חריגה משמעותית

שלב שלישי התקינו SSH על המכשיר והתחברו אליו

שלב רביעי הריצו netstat -n ובידקו איפה המכשיר שלכם מבקר

שלב חמישי TCPDUMP הורידו מ - cydia והריצו

שלב שישי חברו את המחשב לנקודות WIFI שברשותכם והאזינו לתעבורה

ואל תגידו שלא הזהרתי אותכם בעבר

הזהרה ראשונה

הזהרה שנייה

הזהרה שלישית

לעוד מידע על הנושא ניתן לגלוש ללינק הבא

http://wikileaks.org/The-Spyfiles

יום שני, 31 באוקטובר 2011

פריצה לתא קולי של טלפון סלולרי

קווין מיטניק מציג כיצד לפרוץ לתא קולי, בבדיקה קטנה שערכתי על טלפונים שברשותי

של שתי חברות מובילות הופתעתי לגלות כי אחת מהם מאפשרת למנוי היזדהות ללא סיסמא

לעיונכם ולתשומת לבכם של חברות הסלולאר

יום ראשון, 9 באוקטובר 2011

אבנת מחפשת האקרים 2

אבנת מחפשת פורצים להצטרף לכוחותיה רצוי אנשים בעלי ידע

בתחום הפריצה ידע וניסיון ב - Buffer Overflow , reverse engineering חובה,

שירות צבאי חובה.

אם אתם חושבים שאתם מתאימים או לחילופין אתם מכירים חבר שמתאים לתפקיד

אשמח לשמוע.

קורות חיים ניתן לשלוח למייל roni@avnet.co.il

יום ראשון, 4 בספטמבר 2011

Cyber War

לא תמיד אנחנו מודעים לסוג התקיפות שמבוצעות מתחת לפני השטח

ללא מגבלות של כסף, מרחק וכדומה.

לא תמיד אנחנו יודעים עד איפה הגיעו ואיזה מידע השיגו.

להלן סרט המציג תחקיר שנערך על ידי NBC על המלחמה השקטה המבוצעת

בין סין לארצות הברית.

היום סוף סוף המדינות התעוררו והבינו שזה יכול להתבצע בכל שעה ובכל מקום

השאלה הנשאלת האם המדינות משקיעות מספיק מאמץ להתגונן מול האיום הנתון.

יום שבת, 27 באוגוסט 2011

How RSA Hacked - Detailed Analysis

על פי פרסומים שונים והבנה של אנשי אבטחת המידע המטרה העקרית של אחת המדינות

היתה לתקוף את Lockheed-Martin and Northrop-Grumman

אירגונים אלו החזיקו מידע רגיש על מטוסים ורכיבי לוחמה שונים והיו מוגנים

על ידי רכיבי אבטחת מידע שונים אשר אפשרו כניסה לאחר הזדהות חזקה (RSA TOKEN).

לכן תקיפה של ארגון כגון RSA יכולה לאפשר קבלת מפתח MASTER KEY לכלל הארגונים.

כל השאר כבר די ידוע אך מה שאותי עניין זה איך התבצעה התקיפה בפועל.

לאחרונה קראתי מאמר מעניין של F-SECURE שמדבר על איך איתר אחד החוקרים

בשם TIMO את הקבצים שנשלחו לעובדי חברת RSA.

קצת מידע מקדים לפני הכל: הקובץ שנשלח היה מסוג xls (אקסל )

שם הנושא של המייל שנשלח היה 2011 Recruitment plan

כמו כן ידוע כי היה שימוש בפרצה באוביקט מסוג פלאש.

TIMO כתב כלי אשר חיפש במאגרי הקבצים הזדונים של F-SECURE

ומטרתו לחפש קבצים הדומים לעובדות שתוארו מעלה.

לאחר זמן מה איתר TIMO מספר קבצים שבינהם היה קובץ מסוג MSG

קובץ של הודעת מייל, הקובץ הכיל את הודעת המייל המלאה שנשלחה ב - 3 למרץ

לעובדי RSA.

להלן תמונת מסך של הודעת הדואר המקורית שנשלחה:

לא רק שאותר הקובץ אלא התברר כי אחד העובדים של RSA העלה את הקובץ

ל - VIRUSTOTAL למטרת סריקה:

לאחר ניתוח הקובץ הזדוני התגלה כי קובץ האקסל ניצל פרצה ברכיב הפלאש

מסוג CVE-2011-0609 אשר העלתה סוס טוריאני מוכר Poison Ivy.

לאחר מכן התחבר הסוס הטוריאני למספר כתובות ששירתו את התוקף לשליטה

להלן רשימת הכתובות:

נ.ב אם אתם מנהלי אבטחה של ארגון ושומרים לוגים של ה - FW שווה לראות

האם הארגון שלכם גלש לכתובות הנ"ל.

לאחר קבלת השליטה המלאה על תחנת המשתמש בוצעה פריצה מלאה לרשת וקבלת

הרשאות על.

עכשיו השאלה הנשאלת היא האם הפריצה הייתה מתוחכמת או מורכבת?

המייל שנשלח לא היה מתוחכם למדי,השימוש בסוס טרויאני מוכר לא היה מתוחכם

שימו לב התגלה על ידי 18 מתוך 41 מנועים, הייתי מצפה לסוס טוריאני לא מזוהה.

אך השימוש ב - 0day היה מתוכם וגם האדם או הארגון שעמד מאחורי התקיפה.

ותחשבו על זה :)

לסיכום להלן סירטון המציג את תהליך ההדבקה שימו לב ל - X הקטן איך הוא

נעלם בסוף ההדבקה:

יום שישי, 19 באוגוסט 2011

Chrome Security Extensions

כולנו או ליתר דיוק רובנו משתמשים ב - chrome לא ? (שאלה תאורטית אל תענו)

אז לאלה שכן מצאתי ריכוז נחמד של extensions שיכולים קצת

להקל על החיים שלנו ולהפוך את הדפדפן הפשוט למכונת מלחמה :)

Web Developer toolbar :https://chrome.google.com/webstore/detail/bfbameneiokkgbdmiekhjnmfkcnldhhm
Web developer toolbar of firefox in its full glory.
Encooder / Decoder :https://chrome.google.com/webstore/detail/gncnbkghencmkfgeepfaonmegemakcol
Encoding/Decoding Plugin for various types of encoding like base64, rot13 or unix timestamp conversion
XSS Rays :https://chrome.google.com/webstore/detail/kkopfbcgaebdaklghbnfmjeeonmabidj
Anti XSS :https://chrome.google.com/webstore/detail/pohooglepenpccfcljdhhbmojeghijno
Xss Detection and protections tools
HTTP Request Maker :https://chrome.google.com/webstore/detail/kajfghlhfkcocafkcjlajldicbikpgnp?hl=en-US
Request Maker is a tool for penetration testing. With it you can easily capture requests made by web pages,
tamper with the URL, headers and POST data and, of course, make new requests.
Request Maker only captures requests sent via HTML forms and
XMLHttpRequestsCookie Editor :https://chrome.google.com/webstore/detail/fngmhnnpilhplaeedifhccceomclgfbg?hl=en-US
Edit This Cookie is a cookie manager. You can add, delete, edit, search, protect and block cookies
Port Scanner for All Hosts :https://chrome.google.com/webstore/detail/jdcggkdokjkfheicojgdkiemchjioaaa
Simplistic Port scanner doing a simple port scan for well known ports.
Chrome Whois :https://chrome.google.com/webstore/detail/jmmjpmkbadbdjphkkbmfchoidgbpnppg
Whois Information display within chrome browser
Firebug lite for Chrome :https://chrome.google.com/webstore/detail/bmagokdooijbeehmkpknfglimnifench
For those who don’t like Developers tools @ chrome and want to keep sync with good old firebug
HTTP Headers :https://chrome.google.com/webstore/detail/hplfkkmefamockhligfdcfgfnbcdddbg
Google Chrome extension that lets you quickly view HTTP Response Headers of a URL.
IP Address information :https://chrome.google.com/webstore/detail/lhgkegeccnckoiliokondpaaalbhafoa
See geolocation, DNS, whois, routing, search results, hosting, domainneighbors, BGP and ASN info of every IP address (IPv4 & IPv6).
Not Scripts :https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn
A clever extension that provides a high degree of ‘NoScript’ like control of javascript, iframes, and plugins on Google Chrome.
Proxy Switcher :https://chrome.google.com/webstore/detail/caehdcpeofiiigpdhbabniblemipncjj
A nice drop in replacement for Foxy Proxy and very good in working.
Session Manager :https://chrome.google.com/webstore/detail/bbcnbpafconjjigibnhbfmmgdbbkcjfi
Session Manager lets you save sessions of your opened tabs and windows, and to quickly re-open them whenever you like.
Cookie swap :https://chrome.google.com/webstore/detail/dffhipnliikkblkhpjapbecpmoilcama?hl=en-US
Swap cookies between two accounts
HTTP Response Browser :https://chrome.google.com/webstore/detail/mgekankhbggjkjpcbhacjgflbacnpljm?hl=en-US
Make HTTP requests from you browser and browse the response.
REST Client :https://chrome.google.com/webstore/detail/ahdjpgllmllekelefacdedbjnjaplfjn?hl=en-US
Helper for web developers for creating custom HTTP requests.
Network Utilities :https://chrome.google.com/webstore/detail/ekpdpmpcgcmpaeokmclflfpadaklgpji?hl=en-US
Tools like ping, tracert, W3C validator, dns blackhole list, dns lookup, domainneighbors and whois information.
DNS loopup :https://chrome.google.com/webstore/detail/hknchhafnlafkbiopkadkgmammdbaich?hl=en-US
Displays DNS records for the current page.
Tampermonkey :https://chrome.google.com/webstore/detail/dhdgffkkebhmkfjojejmpbldmpobfkfo
Grease Monkey drop in replacement
Exploit DB latest :https://chrome.google.com/webstore/detail/lkgjhdamnlnhppkolhfiocgnpciaiane
Displays latest 5 of exploitdb.
Wappalyzer :https://chrome.google.com/webstore/detail/gppongmhjkpfnbhagpmjfkannfbllamg
Web Technology Notifier :https://chrome.google.com/webstore/detail/fnpgnmindcbkjbpblcklealdhnogmlko
Displays the technologies used in the website, Frameworks, CMS, scripting etc
Web Securify :https://chrome.google.com/webstore/detail/emclbdbpcnhmopfkidjhlinikkohlkpn
Perform a Websecurify scan inside your browser.
Norton Web Safe :https://chrome.google.com/webstore/detail/jgeljojcemiefdiciedakpojojfmbhba?hl=en-US
Uses Norton SafeWeb API but we are NOT affiliated with Symantec!
QR / Bar Code Decoder :https://chrome.google.com/webstore/detail/fdbaidolhfnecgiloehbailojonjaloa?hl=en-US
QR & other BARcodes images in one click Decoding. Also can Encode selected text or current URL to QR code in one click, like others.
URL Shortner and Expander :https://chrome.google.com/webstore/detail/eclilalbnmdonojgjmkekinflhodgoii?hl=en-US
Supports upto 50 different services you can expand any url you receive before clicking on it and following the link.
Web Server Notifier :https://chrome.google.com/webstore/detail/najdkmbedaehkepolllmpdfccdgooajh?hl=en-US
Displays the Web server of the current page.
Password and hidden Revealer :https://chrome.google.com/webstore/detail/fgeopcldenngppapceagonnenonklpbn?hl=en-US
This version allows to see asterisk and hidden fields
Google Safe Browsing Check :https://chrome.google.com/webstore/detail/kcghpcmaemminjmoifneclajoomafben?hl=en-US
Adds one-click Google Safe Browsing diagnostic to your toolbar
Password Security Tester :https://chrome.google.com/webstore/detail/gfbpikfinaalbpbapnejhimpljlleikl
Test’s how secure is your password specially how easily it is to crack the password based on complexity.
Secure Login Helper :https://chrome.google.com/webstore/detail/gbnlondidnnfmfnglkpaoagecnkkpcjp
Redirects to Secure version if it exists.
Search file sharing :https://chrome.google.com/webstore/detail/cboohmbnadgdglnfblieggkgbapdkmjk
Simple search into public file sharing sites.
Download Master :https://chrome.google.com/webstore/detail/hdjacnejoohiamgmaciljlpniffgkojd?hl=en-US
Download Helper
AdBlock Plus :https://chrome.google.com/webstore/detail/cfhdojbkjhnklbpkdaibdccddilifddb?hl=en-US
Ads were yesterday! The successful extension Adblock Plus is now available forGoogle Chrome™.
Disable Extension :https://chrome.google.com/webstore/detail/ejhdjfmkegkpenillofhpmikailkjpkb?hl=en-US
Disable all extensions in one click, or enable all extensions in one click.
you also can enable or disable or uninstall the extensions one by one.
W3Spy :https://chrome.google.com/webstore/detail/doahnaigbgiblgnjhhaekbffljjpmacg?hl=en-US
This extension displays an icon in Google Chrome’s top bar; On-click, it will load a complete website report for the currently visible website. Powered by: W3Spy.net
מקור

http://www.pentestit.com/2011/07/18/list-chrome-extensions-security-professionals/

יום שישי, 29 ביולי 2011

FaceNiff For Android

FaceNiff היא אפלקציית למכשירי אנדרויד שנועדה לאפשר

האזנה לתעבורת Web על גבי רשתות WIFI וגניבת Sessions לאתרים שונים כגון:

Facebook,Twitter,Youtube,Amazon,Nasza-Klasa

לינק לאתר:

http://faceniff.ponury.net/

לינק להורדה:

http://faceniff.ponury.net/FaceNiff-2.0-alpha9.apk

יום חמישי, 7 ביולי 2011

Adventures in Analyzing Stuxnet

ללא ספק תולעת ה - Stuxnet הייתה תולעת מתוחכמת, אבל לא תמיד אנחנו

באמת מבינים עד כמה.

אם יש לכם קצת זמן תראו את הסירטון הבא ואני בטוח שתבינו

יום חמישי, 16 ביוני 2011

יום שישי, 10 ביוני 2011

נאום ביבי נתניהו בכנס אבטחת המידע INSS

ביום חמישי האחרון התקיים כנס אבטחת מידע של INSS, אחד מהגורמים

שהובילו אותי לכנס זה לשמוע מה יש לביבי נתניהו להגיד על נושא

אבטחת המידע בישראל.

אז למי שלא היה בהרצאה להלן ההרצאה המלאה.

תהנו

יום שישי, 20 במאי 2011

Screen spy new version

Hi all

just finished fixing a bug in screenspy on backtrack5

link for download - new script

enjoy

יום ראשון, 17 באפריל 2011

Sniffing USB traffic with VMWare

הרבה פעמים קורה שאנחנו צריכים להבין מה רכיב USB עושה מול

אפליקציה או לחילופין מול מערכת ההפעלה.

חיפשתי כבר הרבה זמן פיתרון לנושא ואכן מצאתי sniffer's שונים לביצוע

הפעולה אך הם לא עבדו כל כך טוב.

לאחרונה נתקלתי בכתבה מעניינת המציגה את ביצוע הפעולה שתוארה באמצעות

Vmware.

נראה פיתרון מדליק תהנו.

לינק לכתבה.

יום שישי, 25 במרץ 2011

IPHONE4 AND METASPLOIT 3.7.0 INSTALL GUIDE

בשבוע האחרון קיבלתי 4 IPHONE אחד הדברים הראשונים שחשבתי שחשוב

שיהיה לי עליו הוא 3.7.0 Metasploit חיפשתי קצת ב – Web ולא מצאתי מדריך מלא

ומוצלח להתקנתו.

אז התקנתי OPENSSH ופשוט חיברתי את כל מה שאני מכיר עם מה שמצאתי באינטרנט.

ובניתי מדריך מסודר להתקנתו.

נ.ב מומלץ לאחר התקנת ה - OPENSSH לבצע הכול דרך SSH פשוט נוח יותר.

(סיסמאת ברירת מחדל alpine)

-------------------------------------------------------------------------------------------------

install 'OpenSSH','APT 0.7 Strict' using cydia

cd /private/var

apt-get install subversion nano wget python

apt-get remove ruby rubygems

wget http://apt.saurik.com/dists/tangelo-0.9/main/binary-iphoneos-arm/debs/ruby_1.8.6-p111-5_iphoneos-arm.deb

dpkg -i ruby_1.8.6-p111-5_iphoneos-arm.deb

wget http://apt.saurik.com/dists/tangelo-0.9/main/binary-iphoneos-arm/debs/rubygems_1.2.0-3_iphoneos-arm.deb

dpkg -i rubygems_1.2.0-3_iphoneos-arm.deb

rm ruby*

wget http://updates.metasploit.com/data/releases/framework-3.6.0.tar.bz2

tar jxpf framework-3.6.0.tar.bz2

cd msf3

svn update

msf3

-------------------------------------------------------------------------------------------------

יום שישי, 11 במרץ 2011

Blogspot השתלטות על כל

ניר גולדשלגר חבר בצוות התקיפה של אבנת מציג תהליך השתלטות מלא

על כל בלוג ברשת השייך ל - GOOGLE -blogspot.com.

נ.ב כחלק מבדיחה פנימית שלנו חשבנו מה היה קורה אם הוא היה משתלט על הבלוג הראשי של

גוגל :) היה יכול להיות מעניין.

http://googleblog.blogspot.com/

יום שישי, 25 בפברואר 2011

Patriot NG is a Host IDS‟ tool that allows real-time monitoring changes in Windows systems. According to Wikipedia, an IDS is defined as “a program used to detect unauthorized access to a computer or a network”.

Prerequisites.

You need to have installed correctly Winpcap (http://www.winpcap.org/install/default.htm) to be fully functional Patriot 2.0.

Patriot monitors:

Changes in Registry keys: Indicating whether any sensitive key (autorun, internet explorer settings…) is altered.
New files in ‘Startup’ directories
New Users in the System
New Services installed
Changes in the hosts file
New scheduled jobs
Alteration of the integrity of Internet Explorer: (New BHOs, configuration changes, new toolbars)
Changes in ARP table (Prevention of MITM attacks)
Installation of new Drivers
New Netbios shares
TCP/IP Defense (New open ports, new connections made by processes, PortScan detection…)
Files in critical directories (New executables, new DLLs…)
New hidden windows (cmd.exe / Internet Explorer using OLE objects)
Netbios connections to the System
ARP Watch (New hosts in your network)
NIDS (Detect anomalous network traffic based on editable rules)