מתחת לאף: סטגנוגרפיה להמונים

מבוא

בכל מאמר שתקראו על סטגנוגרפיה (להלן:סטגו) ייכתב משהו בסגנון "סטגנוגרפיה היא האומנות והמדע של החבאת מידע במקום גלוי".
תחשבו על המשפט הזה. המידע נמצא מולכם, אולי בתמונה בדף אינטרנט או קובץ מוסיקה שהורדתם, אבל בלי ידע מקדים על קיום אותו מידע, בעיני המתבונן זו תהיה תמונה תמימה ושום דבר מעבר.

במקום הזה מתקיים גם אחד ההבדלים המשמעותיים בין סטגו לקריפטוגרפיה.

מידע מוצפן לרוב מאוד קל לזהות ככזה. המידע יהיה מול העיניים, אבל זה לא אומר שהמידע זמין וניתן לקרוא בלי מפתח הצפנה.

השימוש בסטגו מופיע כבר בסיפורים על יוון העתיקה.

אחד הסיפורים הידועים מספר על שליט יווני היסטיאוס שרצה להעביר מסר לאחיינו.

הדרך אל האחיין הייתה ארוכה ומלאה בחיילים פרסים.

הפתרון שנמצא היה לגלח את ראשו של העבד חסר המזל, לקעקע את המסר, להמתין ששיערו יצמח ואז לשלוח אותו לדרכו.

לפי האגדה, המסר היה "הגיע הזמן להתחיל את המרד בפרסים".

בני האדם והמשחקים אותם הם משחקים

הצורך להסתיר מידע לא נעלם ורק השיטות השתכללו וכך השימוש בסטגו המשיך להתקיים לאורך ההיסטוריה בתרבויות ובמקומות שונים, בעיתות שלום ובזמנים של מלחמה.

בימינו ניתן למצוא שימוש בסטגו במגוון תחומים.

דוגמא אחת לשימוש בסטגו על ידי חובבים הוא באתגרי CTF.

כמעט בכל אתגר שמכבד את עצמו תהיה לפחות חידת סטגנוגרפיה אחת.
השימוש בסטגו לא מוגבל רק לשעשוע וטכניקות סטגו משמשות גם לדברים אפלים ונעשה בו שימשו על ידי פושעים, טרוריסטים, מפתחי רוגלות ועוד.

בשנת 2012 עצרה משטרת גרמניה צעיר אוסטרי בן 22 שהגיע לברלין אחרי שחזר לאירופה מפקיסטן.

בחיפוש עליו נמצאו בתחתונים שלו כרטיסי זכרון שהכילו סרטי פורנו עם שמות כמו Sexy Tanya.

בסופו של דבר התגלה שבסרטים האלו הוטמעו מעל ל100 מסמכים של אלקעידה שכללו תוכניות לביצוע פיגועים על אדמת אירופה, חטיפת ספינות נוסעים ותוכניות לאימון מגויסים חדשים שנכתבו בשפות בגרמנית, אנגלית, וערבית.

גורמים במודיעין האמריקאי הגדירו מאוחר יותר את המידע הזה כ"זהב טהור" (קריאה נוספת)

דוגמא אחרת לשימוש ציני בסטגו היא הדרך שבה קבוצת האקרים רוסית בשם Turla הפיצה Malware.

אם אתם מאלו שעוקבים אחרי כוכבת הפופ בריטני ספירס באינסטגרם, כנראה שגם אתם נחשפתם להתקפה.

תגובות תמימות למראה בדף שכללו האשטג שאיפשר השתלטות על מחשב הקורבן דרך תוסף פגיע בדפדפן.

לא ההתקפה הכי מקורית שראינו, אבל היופי הוא בפשטות.


קצת על ההתקפה אפשר לקרוא כאן.

לא מזמן אותה קבוצה הייתה בכותרות אחרי מספר פריצות שביצעו תוך כדי ניסיון לטשטש עקבות כך שיוליכו לאירן.

וזה עדיין לא נגמר

בשנים האחרונות התגלו שימוש בסטגו בmalware רבים.
Microcin, NetTraveler, Zberp, Enfal, Shamoon, KinS, ZeusVM, Triton
ועוד ועוד.

היתרון של שימוש בטכניקות האלו רב.

המידע עצמו מוחבא וגם שידור שלו אל היעד יראה תמים לחלוטין.

מערכות dpi מתקשות לזהות מידע מוחבא כזה. הן יראו תמונה שנשלחה, אבל לא את המידע המוטמע.

בארגונים, בטח כאלו שיש להם אלפי עובדים, יש המון מידע לגיטימי שיוצא החוצה, מיילים שנשלחים, תמונות שאולי מישהו מעלה לפייסבוק.

מערכות anti-APT מתקשות לעיתים הם כמויות מידע גדולות והן לא תמיד זולות כך שלא כל אירגון ישקיע.

משחק החתול והעכבר בין אלו שרוצים להגן על המידע לבין אלו שמנסים לגנוב אותו נמשך כבר אלפי שנים ותמיד צריך לזכור שמה שאתם רואים הוא לפעמים הרבה יותר ממה שנדמה לכם.

Wappalyzer – זיהוי טכנולוגיות באתר

Wappalyzer

כמה פעמים גלשתם לאתר, התחלתם לשוטט ולנסות לנחש באיזה טכנולוגיות הוא בנוי? אולי השתמשו במערכת לניהול תוכן?, אולי באמת כל אתר כתוב HTML ו-CSS או שהשתמשו בWordPress?, באיזה סוג דאטא בייס משתמשים?.

אפשר לנסות ולנחש, אפשר גם לנסות לקרוא את קוד המקור של האתר ולראות מה מאפיין אותו ולאיזה קבצים הוא מנסה לקורא, עבודה שיכולה לקחת שעות ובאתרים מורכבים אפילו יום-יומיים, מהצורך הזה פותח התוסף Wappalyzer, שעוזר לכם לקבל תמונה די מלאה (ברוב המקרים) על האתר בו אתם גולשים, כולל את הטכנולוגיות שבו בנו את האתר, אם השתמשו במערכת לניהול תוכן, האם יש בו שימוש בפריימוורק מסוימים, איזה דאטא בייס מזוהה באתר ובאילו ספריות הוא משתמש, לרוב כל עוד לא הוגדר אחרת כולל גם מספרי גרסא (לדגומא React 16.9.0).

דוגמא לתצוגה באתר וורדפרס:

היתרונות הבולטים של Wappalyzer

יש כמה יתרונות בולטים לשימוש בתוסף הזה, לדעתי זה תוסף חובה לכל מי שנמצא בתחום, גם בתור מפתח וגם בתור בודק חדירות.

זמן – התוסף הזה חוסך המון זמן, במקום לפתוח קוד מקור, לנסות לבדוק ולעקוב אחרי לינקים חיצונים, הטענה של ספריות וקריאה לקבצים שונים ומשונים בשרת בצד לקוח, התוסף עושה למענכם את העבודה הזו ומביא לכם "סיכום" מוגמר של עבודה סזיפית שאתם היתם צריכים לעשות

שקט (פסיבי) – בניגוד לכל מיני כלים כאלה ואחרים שסורקים את האתר בצורה אקטיבית, התוסף הזה לא מבצע שום פעולה "רועשת", סורק בצורה פסיבית את סביבת האתר ונותן לכם את הנתונים "על מגש של כסף" ללא צרוך בהורדה של כלים שונים מגיט האב או כל מקור אחר

זמינות – התוסף נמצא בדפדפן שלכם כל הזמן, הוא מלווה אתכם לכל אתר שאתם גולשים אליו בין אם זה אתרים שמעניין אתכם לדעת מה עומד מאחוריהם או סתם באמצע שיטוט ברחבי האינטרנט, החלונית הקטנה של התוסף נמצאת שם ובמידה ותבחרו – תלחצו עליה והדף הקטן של Wappalyzer יפתח בפניכם.

למי כדאי להשתמש בתוסף

חשבתם שרק בודקי חדירות צריכים תוסף כזה? אתם טועים ובגדול, התוסף הזה יכול לשמש מגוון עצום של מטרות, לא רק לאיסוף מודיעין על טכנולוגיות האתר כדי למלא דוח חדירות, התוסף הזה שימושי כמעט לכולם, בין אם אתם מנהלים או שיש לכם אתר ואתם רוצים לדעת על מה האתר מדווח החוצה, לא תמיד נרצה לחשוף את מספרי הגרסאות של הספריות או הפריימורקים שאנחנו משתמשים בהם בעיקר מטעמי אבטחה, התוסף נותן לכם לראות תמונה די מדוייקת על איך האתר שלכם "נראה" מבחוץ, גם למתכנים יש שימוש נרחב בכלי הזה גם לבדוק טכנולוגיות קיימות אבל לא פחות חשוב להתעדכן בטכנוגלויות חדשות, לפעמים ההבנה שאתר מאוד גדול עובד על WordPress יכולה לפתוח את הראש לכניסה והתעניינות בדברים חדשים, זה נכון גם לגבי ספריות מסוימות שאפשר לראות שימוש בהם ולהבין טוב יותר איך דברים עובדים.

מאיפה מורידים את התוסף

בעמוד הרשמי של התוסף אפשר לבחור את הפלטפורמה הרצויה, התוסף זמין גם לפיירפוקס וגם לכרום, בנוסף לעוד כמה פלטפורמות שהשימוש בו יכול להיות רלוונטי.

https://www.wappalyzer.com/download#extensions

מהו shodan וכיצד להשתמש בו

היי חברים אז פעם הבטחתי להסביר מה זה shodan ואיך ניתן למצוא דרכו מצלמות,מדפסות,מחשבים,שרתים ושאר הדברים ברשת

אז בתור התחלה כמה דברים
1 אין לי שום אחריות על מה שעשו עם הכלי הנל
2 אם אתם מתכוונים לחולל איתו נזקים יתפסו אותכם ללא ספק
3 זה מאמר עם מטרות לימוד בלבד!!!

למה בעצם החלטתי לכתוב את המאמר כי הרגע קיבלתי דיווח ממישהו ששודן הורידו את המחיר ל1$ במקום 48$ למנוי פרמיום לכל החיים
בקיצור תרשמו ואז תשדרגו למנוי פרמיום בעלות אפסית (אישית קניתי)

אז שודן זה בעצם מנוע חיפוש התקנים ברשת
בשונה מגוגל הוא לא מחפש אתרים אלא התקנים

משתמשי שודן כבר מצאו מלא דברים בין השאר מערכת לניהול פארק מים,רמזורים,מצלמות,תחנת דלק,מערכות ניהול בתי מלונות ואפילו תחנה גרעינית ליצירת חשמל ומאיץ חלקיקים
טוב אז איך זה עובד
אחת הבקשות הפשוטות זה default-password

טוב נסיים עם התאורייה נעבור לפרקטיקה
יש מלא סוגי בקשות חיפוש אני יכתוב כמה בסיסים (תכלס לא באלי שיתחילו להרוס כל מה שיש)
country: <מדינה>
city: <עיר>
os: <מערכת ההפעלה>
port: <פורט>
hostname: <חיפוש לפי דומיין>

לדוגמה בחיפוש המילה cisco נמצאו מעל 3 מליון התקנים (ולכו תדעו כמה מהם בעלי סיסמאות דיפולט)

כדי לממש את ההתקפה צריך טיפה להבין רשתות ואיך זה עובד
אחד מהדברים החשובים ביותר זה הבנת קודי מצב http שחוזרים אלינו (הבאתי רק כמה לדוגמה לא מצאתי באינטרנט סיכום נוח)

200 <הפלט תקין>
301 <הפניית משתמש>
401 <גישה לא מורשית>
403 <גישה נדחתה / אסורה>
404 <אין משאב המבוקש>
408 <אזל הזמן>
500 <שגיאת שרת פנימית>
503 <השירות לא זמין>

דוגמה לחיפוש לפי קוד מצב
200 cisco
לדוגמה פה איך עשיתי חיפוש על סיסמא ברירת מחדל על פורט 80 במדינת טייוואן
ופה ניתן לראות את השם משתמש והסיסמא
תראו כמה התקני dvr (למצלמות יש במדינת טייוואן) אני משער שחצי מהם פגיעות

יש גם מספר כלים שלא אפרט (ואתם יודעים למה) שנמצאים בגיטאב ומאפשרים לאסוף רשתות לצורך התקפות ddos מטורפות
לפני כשנה תוקפים הורידו את אתר github בעזרת אחת מההתקפות הגדולות של מליוני התקנים ברשת לכתבה
בקיצור בלי הגנות כמו vpn וכדומה לא להיכנס לשום מקום יתפסו אותכם מייד

בקיצור היה נחמד קצת לכתוב אולי יהיה עוד זמן לשטויות לביינתים כנסו לערוץ שלי

כיצד להתחיל בדיקות חדירות חלק 1 WEB

מה הכוונה בבדיקות חדירות?

בדיקת חדירות היא שיטה להעריך את האבטחה של מחשב, רשת, התקן טכנולוגי כזה או אחר אשר מכיל מידע, על ידי הדמייה של התקפה מכוונת, ניתוח וחקירת מערכות, בדיקת תגובה של מערכות הגנה וכו’.

מהי בדיקות חדירות לאתרים?

בדיקת חדירות לאתרים מתמקדת רק על הערכת מצב האבטחה של האפליקציה, שכאומרים אפליקציה כמובן שאתר אינטרנט נכנס לתוך הקטגוריה.
תהליך הבדיקה כולל ניתוח פעיל של האפליקציה לזיהוי חולשות, כשלים טכניים או פגיעות פוטנציאלית.
כל חולשה אשר תמצא תוצג לבעל האתר עם הערכת הסיכונים ושיכלול המשקל של החולשה בהתאם להשפעתה על הארגון וכמובן המלצה לפתרון הטכני.
מבדקי ה-WEB שלנו מתמקדים לפי בסיס ה- OWASP – Open Web Application Security Project אשר מנחה וממקד את החולשות העיקריות והכי חשובות בצד האפליקטיבי.

היכן תוכלו למצוא את כל החומר שיעזור לכם?

אני אישית ממליץ על הספר "סייבר ובדיקות חוסן ליישומי אינטרנט" שנכתב על ידי רומן זאיקין
הספר נותן את הבסיס וקצת מעבר לעולם הסייבר דברים שכדאי להכיר ועוד…
כך שאם אתם מחפשים היכן להתחיל אני אישית ממליץ על הספר הוא יתן לכם בסיס חזק.
הספר ילמד אותכם פרוטוקולים שונים, טכניקות מעולות, שימוש בכלים שונים, ידע בשפות תכנות ועוד….

חולשות ושפות שכדי להכיר:

על מנת להכיר חולשות בסיסיות ואולי גם בין החזקות, ושפות תכנות שחובה לדעת ממליץ ללכת לקרוא את הכתבה של עדן התותח לכתבה.
על מנת לדעת חולשות מתקדמות יותר ממליץ לכם לחפש באינטרנט את החולשות הבאות
open redirect
HTTP parameter pollution
cross site request forgery also known as CSRF
HTML injection
CRLF injection
tamplete injection
server side request forgery
XML external entity vulnerability
remote code execution also known RCE
LFI- local file inclusion
RFI – remote file inclusion
sub domain takeover
insecure direct object references
וכמובן ממליץ לכם לעבור על רשימת החולשות של OWASP TOP 10 לשנת 2017
לא כתבתי כאן את כל החולשות, ממליץ לכם אבל ללמוד את מה שכתבתי כולל מה שיש בכתבה של עדן על מנת לקבל היכרות ראשונית עם החולשות.

כיצד אוכל לתרגל חולשות אלה?

בעיקרון יש המון capture the flags, שאתם מוצאים חולשה ואם הצלחתם לבצע אותה קיבלתם את הדגל כמובן שזה הבסיסים ויש יותר מתקדמים וקשים.
המערכות הבאות אלה הם מערכות שאני אישית ניסיתי וממליץ לכם לנסות גם:
overthewire מערכת נחמדה שנותנת שלבים וככל שהשלב עולה כך גם הרמה.
מערכת האתגרים של רומן זאיקין מכסה את כל החולשות שמדוברות בספר,מערכת מומלצת.
https://github.com/romanzaikin/Owasp-TOP-10-Training-Panel
bWAPP- זוהי מכונה וירטואלית שמבצעים עליה בדיקות חוסן, המערכת הזאת הינה נותנת המון אפשרויות ואת כל החולשות של OWASP TOP 10 לשנת 2013 ועוד חולשות מסויימות.
מערכת האתרים של סהר
https://attackit.co.il
Hacker101- האקר101.
https://www.hacker101.com

כלים מומלצים

burp suite – תוכנה לבדיקת אבטחה לחץ כאן על מנת להרחיב.
dirbuster – תוכנה למציאת נתיבים ,אולי אפילו מוסתרים.
sqlmap – תוכנה לחולשת הsql injection אשר תבצע אוטומיטציה להתליך.
uniscan – סורק חולשות בסיסי.
Nessus – סורק חולשות בסיסי.
knockpy – תוכנה למציאת subdomain עשיתי עליה כתבה כאן
sublister – תוכנה למציאת subdomain .
builtwith – תוכנה או תוסף לדפדפן שיראה לכם איך האתר נבנה ויתן לכם פרטים עליו.
wpscan – תוכנה לסריקת מערכת wordpress.
torghost – תוכנה לשינוי כתובת IP ציבורית עשיתי עליה כתבה כאן

כיצד להרוויח כסף מבדיקות חוסן גם בלי עבודה קבועה בתחום?

כיום יש שני פלטפורמות גדולות לדבר הנקרא bug bounty שני הפלטפורמות הינם:
HackerOne – https://www.hackerone.com
bugcroud – https://www.bugcrowd.com
והפלטפורמה המועדפת עליי היא hackerone, מכיוון שלאחר לא קצת זמן הייתי עם bugcrowd עברתי לhackerone. ושם היה הרבה יותר לקוחות וגם בbug crowd יש דירוג חולשות משלהם.

שאלות נפוצות

–האם אני חייב לדעת את השפה על מנת למצוא חולשה?
כן. מכיוון שאם אתה לא יודע מה אתה עושה עדיף שלא תעשה אותו בכלל חוץ מזה כדי לדעת טכניקות מתקדמות כדי להבין מה עושים.

–איזה שפות תכנות צריך ללמוד?
כל שפות התכנות שצריך ללמוד על מנת לבצע בדיקת חדירות מספקת לאתר נמצא בכתבה של עדן לכתבה
–באיזה כלים אתה משתמש?
אני משתמש בעיקר burp suite מכיוון שכך ניתן לבחון את המערכת הכי נוח
–כמה זמן צריך להשקיע ביום?
כמות הזמן שתשקיעו ביום היא הכמות שתפתח אותכם, על מנת להיות טובים בתחום תצטרכו לדעת דבר או שתיים ולכן תצטרכו להערכתי להשקיע בערך 10 שעות בשבוע.
–האם זה חוקי?
הגבול בין חוקי או לא חוקי מאוד דק ומאוד משתנה בין חברה לחברה, לכן אני ממליץ לכם לפני שאתם בודקים חסינות על אתרים שיש להם אישור (מיותר לציין שאם אין לכם אישור זה עבירה פלילית לכל דבר) תקראו טוב מה מותר ומה אסור.
–האם השימוש בכלים אוטומטים יעשו אותי סקריפט קיד?
שימוש בכלים נוצרו על מנת להקל עלינו החוקרי סייבר אבל נוצר מצב שבו אנשים שלא מבינים מה קורה מאחורי הקלעים משתמשים בו וגורמים נזקים לפעמים גם עצומים, לכן אני אומר אל תשתמשו במשהו בלי שאתם מבינים איך הוא עובד.

אז, לאחר שקראתי את כל זה, זהו אני מוכן?

לא ממש לא, בדיקות חוסן לוקחות זמן והרבה ללמידה ותרגול אבל בסופו של דבר מי שיתמיד יצליח.
ממליץ לכם לחרוש את האינטרנט למצוא חומרים שיעזרו לכם טיפ קטן ממני מה שיכול לתת לכם קפיצה לעולם הסייבר זה הספר "סייבר ובדיקות חוסן ליישומי אינטרנט".

פרוטוקול Quic ואיך הוא הולך לשנות את האינטרנט

HTTP הוא פרוטוקול התקשורת הנפוץ בעולם באינטרנט ומשמש אותנו לגלישה ברשת עד היום
הגרסה החדשה HTTP/3 נועדה לעדכן את פרוטוקול התקשורת ולשפר את המהירות שלו על ידי מעבר מפרוטוקול TCP
לפרוטוקול QUIC

כיום פרוטוקול HTTP2 משתמש בתקן ה-TCP, תקן ותיק ואמין אך גם מסורבל ואיטי בהרבה האחראי על אמינות המידע העובר מצד א' לצד ב' וההפך

המקביל לו הוא פרוטוקול ה-UDP , שמעביר מידע בצורה לא מאומתת ולא אמינה , אך , מעביר את המידע הרבה יותר מהר מ-TCP

עקב הפער בין השניים נכנס לתחרות QUIC

פרוטוקול שגוגל פיתחה על מנת לקבל את המהירות של UDP
אך לא לוותר על אמינות המידע כמו בתקן ה-TCP

איך זה עובד? ראו three handshake
במקום להשתמש בthree handshake לאימות הימנות המידע , QUIC's handshake יבצע את אותה העבודה במהירות גבוהה יותר

תמחיש ויזואלי של הפרוטוקול

http-request-over-quic@2x

ארגון ה-IETF האחראי על תקני האינטרנט אישר כי HTTP3 תבוסס על QUIC ובשמו המלאHTTP-Over-Quic
בעוד מדובר בשינוי שייקח זמן רב, עדיין מדובר בחידוש לאחד מתקני הבסיס של האינטרנט המודרני אשר צפוי להפחית את זמן הטעינה של אתר בכ-75% (לא פחות ממדהים)

מקווה שלמדתם דבר חדש או שניים , אני הייתי DataDece , נשתמע!