(Man in the middle (MITM-הסבר

אז מה זה בעצם מתקפת MITM

MITM או בשמה המלא Man in the middle ובעברית "התקפת האדם שבתווך" .
המתקפה נועדה להתקפת האזנה (Sniffing attack) על מידע הקשור בין שתי מכשירים מחשב וטלפון סלולרי ומערכות מידע מגוונות על ידי כך שהוא מתחזה לאנשים שהוא מתקשר איתם. התוקף בעצם מתחזה לאחד הצדדים, וכך נראה כאילו מתרחש חילופי מידע רגילים .מטרת התקיפה היא לגנוב מידע אישי, כגון פרטי הזדהות , פרטי חשבון ומספרי כרטיסי אשראי. ניתן להשתמש במידע שהושג במהלך מתקפה זו למטרות רבות, ניתן להשתמש במתקפה זו.

Man in the middle attack

דוגמה קצרה
דניאל ומתן מנהלים שיחה: דן רוצה לצותת לשיחה אך גם להישאר אנונימי. דן יכול לומר לדניאל שהוא מתן ולספר למתן שהוא בעצם דניאל. זה יגרום לדניאל להאמין שהוא מדבר עם מתן, תוך כדאי שהוא חושף את חלק מהשיחה בפני דן. דן יכול אז לאסוף מידע , לשנות את התגובה ולהעביר את המסר למתן (שחושב שהוא מדבר עם דניאל). ובעצם דן אוסף את כל המידע בשיחה ומנצל את זה לצרכים שלו.
בעצם מדוגמה זו אנחנו יכולים להבין איך המתקפה הזאת פועלת בין האנשים
דוגמה זו ממחישה כיצד מתקפה זו פועלת אך בפן החברתי ולא הטכני.

הסבר קצר על ARP
בשמו המלא Address Resolution Protocol . זה בעצם פרוטוקול תקשורת בין מחשבים לאיתור כתובת MAC Address.

כעת נעבור לסוגי שיטות לבצע מתקפה זו:
1. זיוף DNS
במקרה זה הקורבן עשוי לחשוב שהוא מבקר באתר בטוח ואמין , במציאות הוא מתקשר בפועל עם התוקף. מטרת השיטה זאת היא להסיט את התנועה מהאתר האמיתי.

2. SSL Attack
כאשר המכשיר שלך מתחבר לשרת לא מאובטח – המצוין על ידי "HTTP" – חיבור לשרת מאובטח פירושו כי פרוטוקולי אבטחה סטנדרטיים קיימים, הגנה על הנתונים שאתה משתף עם השרת. SSL מייצג את Secure Sockets Layer, פרוטוקול המקים קישורים מוצפנים בין הדפדפן שלך לשרת האינטרנט. בנוסף , התוקף מיירט את כל המידע העובר בין השרת למחשב של המשתמש.


3. Email
תוקפים רבים לפעמים מכוונים לחשבונות דוא"ל של בנקים . ברגע שהם מקבילים גישה הם יכולים לפקח על עסקאות בין הבנק ללקוחותיו. התוקפים יכולים אז לזייף את כתובת הדואר האלקטרוני של הבנק ולשלוח הוראות מדוא"ל של הבנק ללקוחות. זה משכנע את הלקוח למלא אחר הוראות התוקפים . כתוצאה מכך, התוקפים יכולים לגנוב כסף מהקןרבן .

4. זיוף HTTPS
כאשר רואים "HTTPS" בכתובת האתר ולא "HTTP" זה סימן לכך שאתר האינטרנט מאובטח וניתן לסמוך עליו. למעשה, ה- "S" מייצג "מאובטח". התוקף יכול לעקוב אחר האינטראקציות שלך עם אותו אתר ולגנוב מידע אישי שאתה משתף.


5. ציתות Wi-Fi
התוקף יכול להגדיר את שם הנתב עם השמות שנשמעים לגיטימיים. לאחר שמשתמש יתחבר ל- Wi-Fi של התוקף, התוקף יוכל לעקוב אחר הפעילות המקוונת של המשתמש ויהיה מסוגל ליירט אישורי כניסה, פרטי כרטיסי אשראי ועוד. זהו רק אחד מכמה סיכונים הקשורים לשימוש ב- Wi-Fi ציבורי.


6. Stealing browser cookies
מכיוון שקובצי Cookie מאחסנים מידע מהפעלת הגלישה שלך, התוקפים יכולים לקבל גישה לסיסמאות שלך, לכתובת ולמידע רגיש אחר.

לסיכום- מומלץ להיות זהירים ולא למהר עם האנשים שאתם מדברים איתם מומלץ לעקוב אחר השיטות כאן במקרה ואתם נתקלים בשיטה הדומה למצב שלכם.

אני הייתי ניר רז(NICK) ונתראה בכתבה הבאה!

Airgeddon-פריצת רשת אלחוטית בדקות ספורות!

"מכונה אחת יכולה לעשות עבודה של 50 אנשים אבל אדם אחד יכול לעשות עבודה של 50 מכונות"

הכירו את airgeddon- כלי שנכתב בשפת shell script ויעזור לכם להשיג את סיסמת הרשת האלחוטית בדקות ספורות!

אך לפני הכל ולפני שאדגים לכם כיצד ניתן לפרוץ עם הכלי הזה חשוב לי שתבינו מהי רשת אלחוטית ולמה לנו להשיג את הסיסמא שלה?
Wi-Fi היא טכנולוגיה המאפשרת למכשירים אלקטרוניים להעביר נתונים באופן אלחוטי באמצעות גלי מיקרו שהם חלק מספקטרום הקרינה האלקטרומגנטית
כיום כל רשת אלחוטית פרטית מוגנת עם סיסמא לרוב בהצפנה WPA2 (אם אינכם יודעים מהי הצפנה זו ממליץ לכם ללכת לקרוא את הכתבה על הצפנות ) על מנת לאפשר גישה רק לאנשים עם אישור. אבל מה אם יש שם משהו מעניין?
ובחזרה לairgeddon, airgeddon מציג אפשרויות רבות מevil-twin שזה פתיחת רשת אלחוטית מתחזה,ועד שימוש בbrute force.
אבל איך airgeddon עובד?
airgeddon הוא מציג מספר אפשרויות שהוא יעשה בזמן הרבה יותר מהיר מאשר ידני, לעומת זאת אם אינכם יודעים מה אתם עושים ממליץ לכם להבין קודם איך כל דבר עובד, היום אני אתמקד בשיטת הevil twin ובכן ידוע לנו שWPA2 הינו הצפנה חזקה ולא כל כך קל לפענח אותה עד היום אין שיטות טובות חוץ משימוש בbrute force ושימוש בsocial engineering.

מהו brute force?


brute force – הינו הפעלת כוח על סיסמא או הצפנה מסוימת בניסיון לנחש את הסיסמא, בעיקרון brute force מריץ סיסמאות עד אשר הוא ימצא את הסיסמא הנכונה. דבר זה יכול לקחת שעות ימים ואפילו חודשים תלוי בחוזק הסיסמא.

מהו evil twin?


evil twin – פתיחת רשת אלחוטית מתחזה לרשת אלחוטית קיימת במטרה להשיג מידע כגון סיסמאות שהגולשים מכניסים, השגת סיסמא לרשת אלחוטית קיימת ועוד..

כיצד להוריד airgeddon?


git clone https://github.com/v1s1t0r1sh3r3/airgeddon.git
cd airgeddon
airgrddon.sh/.
עכשיו יכול להיות שאין לכם את כל החבילות הדרושות להפעלת הכלי במקרה זה כל חבילה שכתוב עליה error תכתבו apt-get install package name

לאחר שהפעלתם את הכלי יפתח לכם מספר אפשרויות
אנחנו נבחר באפשרות מספר 7 evil attack menu

לאחר מכן נלחץ על האפשרות התשיעית evil twin AP attack with captive portal
מה שהאנחנו הולכים ליצור הוא בעצם רשת אלחוטית מתחזה לרשת שאותה אנחנו רוצים לפרוץ עם עמוד פישינג שיצוץ כל פעם שיש משתמש חדש ובאותו זמן ננתק את כל מי שמחובר ברשת האלחוטית שאנו רוצים לפרוץ אותה.
שימו לב: על מנת לבצע את ההתקפה אתם תצטרכו כרטיס רשת שתומך בmonitor mode
ממליץ על ALFA

לאחר מכן זה יסרוק את הרשתות הקרובות אליכם לחצו על CTRL+C על מנת להפסיק ולבחור רשת
לאחר שבחרתם את הרשת הרצויה בחרו באפשרות השנייה Deauth aireplay attack
ההתקפה הזו תנתק את המכשירים מן הרשת האלחוטית על מנת להשיג את הhandshake שבעזרתו נוכל לבדוק מה היא הסיסמא הנכונה.

לאחר שהכנסתם את ההגדרות זה ישאל אותכם האם כבר יש לכם handshake
במקרה שלי יש לי ואז אני פשוט אכתוב את הpath לhandshake
ולאחר מכן כל מה שנותר לכם הוא לבחור שפה וללחוץ אנטר.
אם עשיתם הכל נכון המסך שלכם יראה כך

כל מה שנותר לכם עכשיו זה לחכות או לנסות להפיל בפח את המטרה שלכם ולגרום לה להכניס את הסיסמא.

BotNets-הבוט עלי, המחשב עלייך.


היום נדבר על BotNets (רשת בוטים בעברית צחה), אז בואו נתחיל מהסבר קליל:

מהי רשת BotNet?

בוטנט הינה רשת המכילה מאות אם לא אלפים (אם לא מאות אלפים, ולא אני לא מגזים) של מחשבים המאפשרת לתוקף מאחורי הרשת לבצע שימוש בכוח עיבוד שלכם\תעבורת הרשת שלכם לטובת מניפולציה אישית שלו.

הפצה\הזרקה של BotNet

הפצה\הזרקה של BotNet יכולה להתבצע במספר מתודות, היום נתמקד במתודה המשתמשת בחולשה הכי גדולה של האנושות-סקרנות, על מנת להמחיש הינה תרחיש פעולה:


-התוקף מייצר קובץ זדוני לדומא(RAT (remote access trojan המאפשר גישה מרחוק למחשב הנתקף.

-לאחר מכן, התוקף יבחר דרך הפצה של הנוזקה הזדונית שהמטרה הראשית היא להדביק כמה שיותר אנשים
לשם כך, נוכל להשתמש בדיוג (Phishing) ובעצם לגרום לכמות מסיבית של אנשים להוריד את הקובץ,
לדוגמא ניקח את המשחק הפופולרי פורטנייט ונציע תוכנה ש"מחלקת" V-Bucks בחינם (בהנחה שהמטרה שלנו הינה גיימרים המשחקים במשחק, תוקף יכול להעלות מספר רב של מתודות דיוג על מנת להשיג את מבוקשו, החוכמה היא להתמקד בקהל הנתקף ושיכנועו להוריד את הנוזקה.

-לאחר הדבקה מסיבית של מחשבים(הזומבים), תיהיה ברשות התוקף כמות מספקת של כוח לבצע כאוות נפשו,
לדומא?
1)מתקפת מניעת שירות (Ddos) על ידי גרימת עומס מטורף על אתר מסויים (תחשבו שברגע נתון 10.000 איש נכנסים לאותו אתר ומציפים אותו בבקשות) הסוף? קריסה (בהתחשב שאין הגנה כגון
Cloudflare לאתר).

2)שימוש ברשת הזומבים על מנת לבצע כרייה של מטבעות וירטואלים.

3)הפצת הנוזקה באופן רפיטטבי, לאחר שהצליח ישתמש התוקף ברשת הזומבים על מנת להפיץ כמה שיותר את הנוזקה לכמה שיותר אנשים, הרי אם יש לנו אפשרות כזו אז למה לא?

שימוש נרחב בבוטים מתבצע גם על ידי ממשלות, סין לדוגמא בין הגדולות אם לא הגדולה ביותר בתחום,
חשבו לעצמכם כמה נזק ורוע אפשר לזרוע על ידי למשל הפצת חדשות שיקריות, על ידי הגבלת שירותים בעקבות עומס בקשות.. ודוגמאות? לא חסר..

אז כיצד נוודא שאנחנו לא חלק ממערך עצום של זומבים שמחכים ליום הדין?

-נבצע סריקה של המחשב בפרקי זמן קבועים.

-לא נתפתה לקבל מתנות בחינם-אין חינם ברשת, תמיד תיהיה עלות.

-נוודא שהמקור ששלח לנו את הקובץ המסויים אכן מוכר לנו.

מקווה שהצלחתי להעביר את המידע בצורה קצת שונה ומעניינת, מאמרים נוספים ממש בקרוב,

תום מלכה.

רכיב הNAT – כיצד מחשבים ביתיים יוצאים לעולם?

מצוקה בכתובות הIP:

IPv4 מוגבל במספר הכתובות שלו, ליתר דיוק קיימות בסך הכל 4,294,967,295 כתובות IP בגרסה 4, עקב הכמות הקטנה של כתובות מגרסה 4 , הוחלט למצוא פתרון שימנע מצב שבו נגמרות כתובות מגרסה 4 ,תקיעה של האינטרנט.

הפתרון לבעיה , היה כתיבת התקן RFC1918 שעל פיו ישנן כתובות IP חוקיות וכתובות שאינן חוקיות וניתן לתרגם ביניהן, כך מנעו בזבוז של כתובות IP חוקיות. הרכיב שמבצע את פעולת התקן נקרא NAT – ראשי תיבות של Network Address Translation או בעברית תרגום כתובות רשת.

סוגי NAT:

קיימים כמה סוגים של NAT:

PAT/NAPT/Hide – רשת של כתובות לא חוקיות אשר כתובת אחת חוקית מייצגת אותה. ניתן לראות לדוגמה רשת ביתית.

Static NAT – תחנה עם כתובת לא חוקית שמייצגת אותה כתובת חוקית אחת. לדוגמה שרת בתוך רשת ארגונית

Dynamic NAT – דומה ל-PAT, אולם הרשת הפנימית גדולה כך שאי אפשר לייצג את כל רכיביה באמצעות כתובת חוקית אחת , נדרשות כמה כתובות חוקיות.

על PAT/ NAPT / Hide ועוד שמות נוספים…

אבחר במאמר להתמקד בסוג זה של NAT כיוון שהוא הסוג שבו נעשה שימוש ברשתות ביתיות וחשוב להבנה. במאמר זה אשתמש בשם PAT על מנת להסביר על סוג זה.

PAT – Port Address Translation הינו סוג של NAT שלפיו מספר מחשבים ברשת פנימית ( בעלי כתובות לא חוקיות) מיוצגים באינטרנט (יוצאים החוצה מהרשת הפנימית LAN ) על ידי כתובת חוקית אחת. לנתב הביתי קיימת כתובת אחת חוקית , וכתובת אחת לא חוקית על מנת לתקשר עם הרשת המקומית. על מנת שמחשב ביתי יוכל לצאת אל האינטרנט הוא פונה אל הdefault gateway שלו (הכתובת הפנימית של הנתב) בעזרת כתובת הIP הפנימית שלו (שמוגדרים על ידי פרוטוקול DHCP שעליו לא אפרט , תוכלו לראות על הפרוטוקול בגוגל) , בנוסף המחשב ברשת הפנימית פותח פורט רנדומלי ופונה לנתב שיספק לו את השירות המבוקש באינטרנט – למשל המחשב ברשת הביתית מעוניין לגלוש לאתר אינטרנט בפורט 80 , והפורט הרנדומלי אותו סיפק לנתב הוא 1234 . כלומר מבחינת המחשב ברשת הפנימית: כתובת המקור היא הכתובת הפנימית שלו , פורט המקור הוא הפורט הרנדומלי שהקצה (1234) כתובת היעד היא הכתובת של האתר אותו הוא ביקש (כתובת מילולית שתורגמה על ידי DNS , תוכלו למצוא עוד מידע בגוגל) ופורט היעד הוא פורט 80. המידע הנ"ל נשלח אל הראוטר ( הנתב ) על מנת שיבצע תרגום של הכתובת הלא חוקית של המחשב לכתובת החוקית של הנתב. התרגום מתבצע כך שהראוטר מבקש את הבקשה מהאתר , כאילו שהראוטר עצמו מעוניין לגלוש לאתר ויחזיר את התשובות מהאתר למחשב ברשת הפנימית שביקש לגלוש באתר.

אז איך בעצם יידע הנתב איזה מחשב ביקש את האתר?

בנתב קיימת טבלאת NAT אשר תפקידה להזכיר לנתב איזה כתובת פנימית יצאה לאינטרנט עם כתובתו החוקית של הנתב ובאיזה פורט:

נניח שכתובת הנתב החוקית היא 5.5.5.5 והכתובת הפנימית של המחשב היא 10.0.0.15 , הפורט שהגריל המחשב הוא 1234 , מה שיידע הנתב על פי טבלאת הNAT הוא הדבר הבא:

10.0.0.15:1234 = 5.5.5.5:1234 כלומר , הפנייה שביצעת עם כתובתך החיצונית בפורט המקור 1234 היא בעצם פנייה שביצע המחשב ברשת הפנימית שכתובתו היא 10.0.0.15 בפורט 1234, ואליו תחזיר את הפקטות שחוזרות בנוגע לבקשה זו.

תמונה שממחישה בפשטות את הNAT

מתחת לאף: סטגנוגרפיה להמונים

מבוא

בכל מאמר שתקראו על סטגנוגרפיה (להלן:סטגו) ייכתב משהו בסגנון "סטגנוגרפיה היא האומנות והמדע של החבאת מידע במקום גלוי".
תחשבו על המשפט הזה. המידע נמצא מולכם, אולי בתמונה בדף אינטרנט או קובץ מוסיקה שהורדתם, אבל בלי ידע מקדים על קיום אותו מידע, בעיני המתבונן זו תהיה תמונה תמימה ושום דבר מעבר.

במקום הזה מתקיים גם אחד ההבדלים המשמעותיים בין סטגו לקריפטוגרפיה.

מידע מוצפן לרוב מאוד קל לזהות ככזה. המידע יהיה מול העיניים, אבל זה לא אומר שהמידע זמין וניתן לקרוא בלי מפתח הצפנה.

השימוש בסטגו מופיע כבר בסיפורים על יוון העתיקה.

אחד הסיפורים הידועים מספר על שליט יווני היסטיאוס שרצה להעביר מסר לאחיינו.

הדרך אל האחיין הייתה ארוכה ומלאה בחיילים פרסים.

הפתרון שנמצא היה לגלח את ראשו של העבד חסר המזל, לקעקע את המסר, להמתין ששיערו יצמח ואז לשלוח אותו לדרכו.

לפי האגדה, המסר היה "הגיע הזמן להתחיל את המרד בפרסים".

בני האדם והמשחקים אותם הם משחקים

הצורך להסתיר מידע לא נעלם ורק השיטות השתכללו וכך השימוש בסטגו המשיך להתקיים לאורך ההיסטוריה בתרבויות ובמקומות שונים, בעיתות שלום ובזמנים של מלחמה.

בימינו ניתן למצוא שימוש בסטגו במגוון תחומים.

דוגמא אחת לשימוש בסטגו על ידי חובבים הוא באתגרי CTF.

כמעט בכל אתגר שמכבד את עצמו תהיה לפחות חידת סטגנוגרפיה אחת.
השימוש בסטגו לא מוגבל רק לשעשוע וטכניקות סטגו משמשות גם לדברים אפלים ונעשה בו שימשו על ידי פושעים, טרוריסטים, מפתחי רוגלות ועוד.

בשנת 2012 עצרה משטרת גרמניה צעיר אוסטרי בן 22 שהגיע לברלין אחרי שחזר לאירופה מפקיסטן.

בחיפוש עליו נמצאו בתחתונים שלו כרטיסי זכרון שהכילו סרטי פורנו עם שמות כמו Sexy Tanya.

בסופו של דבר התגלה שבסרטים האלו הוטמעו מעל ל100 מסמכים של אלקעידה שכללו תוכניות לביצוע פיגועים על אדמת אירופה, חטיפת ספינות נוסעים ותוכניות לאימון מגויסים חדשים שנכתבו בשפות בגרמנית, אנגלית, וערבית.

גורמים במודיעין האמריקאי הגדירו מאוחר יותר את המידע הזה כ"זהב טהור" (קריאה נוספת)

דוגמא אחרת לשימוש ציני בסטגו היא הדרך שבה קבוצת האקרים רוסית בשם Turla הפיצה Malware.

אם אתם מאלו שעוקבים אחרי כוכבת הפופ בריטני ספירס באינסטגרם, כנראה שגם אתם נחשפתם להתקפה.

תגובות תמימות למראה בדף שכללו האשטג שאיפשר השתלטות על מחשב הקורבן דרך תוסף פגיע בדפדפן.

לא ההתקפה הכי מקורית שראינו, אבל היופי הוא בפשטות.


קצת על ההתקפה אפשר לקרוא כאן.

לא מזמן אותה קבוצה הייתה בכותרות אחרי מספר פריצות שביצעו תוך כדי ניסיון לטשטש עקבות כך שיוליכו לאירן.

וזה עדיין לא נגמר

בשנים האחרונות התגלו שימוש בסטגו בmalware רבים.
Microcin, NetTraveler, Zberp, Enfal, Shamoon, KinS, ZeusVM, Triton
ועוד ועוד.

היתרון של שימוש בטכניקות האלו רב.

המידע עצמו מוחבא וגם שידור שלו אל היעד יראה תמים לחלוטין.

מערכות dpi מתקשות לזהות מידע מוחבא כזה. הן יראו תמונה שנשלחה, אבל לא את המידע המוטמע.

בארגונים, בטח כאלו שיש להם אלפי עובדים, יש המון מידע לגיטימי שיוצא החוצה, מיילים שנשלחים, תמונות שאולי מישהו מעלה לפייסבוק.

מערכות anti-APT מתקשות לעיתים הם כמויות מידע גדולות והן לא תמיד זולות כך שלא כל אירגון ישקיע.

משחק החתול והעכבר בין אלו שרוצים להגן על המידע לבין אלו שמנסים לגנוב אותו נמשך כבר אלפי שנים ותמיד צריך לזכור שמה שאתם רואים הוא לפעמים הרבה יותר ממה שנדמה לכם.

סכנות במרחב הרשת

כולנו אוהבים קניות ברשת.. המחירים מפתים, האיכות סבירה ובעיקר? אין כמו ההרגשה של לפתוח חבילה שהגיעה הרגע מהדואר..

אך מעבר לכל החוויה הזו, יש גם צד אפל בעולם הסייבר, Black Friday  ו Cyber Monday   הינם

ימים מועדפים על פושעי הסייבר והסיבה לכך ברורה, מחירים מפתים יובילו את הגולש להוציא

את כרטיס האשראי שלהם ולבצע רכישה ולהעלות חיוך, אבל לא רק על הפנים של הקונה,

מאחורי המסך יושב לו האקר עם חיוך רחב יותר, ברגע זה פרטי האשראי שלכם מועברים להאקר ומשם… רק הזמן יגיד, החל מלמכור את הכרטיס למאגר ברשת  האפלה ועד לשופינג נרחב – על חשבונכם.

כיצד ה"קסם" הזה התרחש? באמצעות מתודת פישינג (דיוג בשפה בעברית).

באבטחת מידע, דִּיּוּג או פישינג (באנגלית: Phishing) הוא ניסיון לגניבת מידע רגיש על ידי התחזות ברשת האינטרנט. המידע עשוי להיות, בין היתר, שמות משתמש וסיסמאות או פרטים פיננסיים. פישינג מתבצע באמצעות התחזות לגורם לגיטימי המעוניין לקבל את המידע. לרוב שולח הגורם המתחזה הודעת מסרים מידיים או דואר אלקטרוני בשם אתר אינטרנט מוכר, בה מתבקש המשתמש ללחוץ על קישור. לאחר לחיצה על הקישור מגיע המשתמש לאתר מזויף בו הוא מתבקש להכניס את הפרטים אותם מבקש המתחזה לגנוב.

המילה פישינג נכתבת באנגלית (Phishing) והיא מושפעת מהמילה Phreaking. כך, מוחלפת האות F באותיות Ph. באופן דומה מזכירה המילה העברית "דיוג" את המילה דַּיִג. ניתן לכתוב את המילה גם ב־F כלומר Fishing מהפועל To fish שמשמעו לדוג.

אתרים נפוצים שפעולות פישינג מתבצעות בשמם הם אתרי רשתות חברתיות כגון פייסבוק וגוגל פלוס, אתרי מכירות פומביות כגון איביי ואתרי בנקים כגון בנק אוף אמריקה.

דיוג יכול להוות שלב ראשון לקראת תקיפת סייבר עתידית וככזה, הוא כלי מרכזי בלוחמת סייבר.

אז, כיצד נוכל להימנע מליפול לתרמית שכזו?

*תמיד לבדוק את הלינק- זה הדבר הראשון שצריך להדליק לכם נורה אדומה, רשום Faceb00k במקום Facebook? כנראה שאתם לא במקום הנכון.

*המנוי שלכם עומד להיגמר? חבילת התקשורת התרוקנה? תמיד תתקשרו לוודא, כמעט כל חברה מחזיקה קו יצירת קשר, ואם מדובר במנוי לנטפליקס או ספוטיפי, תמיד תוכלו להיכנס לחשבון ולוודא את העניין.

*יש ספק? אין ספק, בכל חשד שמתעורר לכם עדיף לדווח, השעה לא סבירה שבה המנכל התקשר, שינוי פתאומי ברוטינה של היום,מייל חשוד,סמס חשוד, כמו שכתבתי בהתחלה, יש ספק? אין ספק.

*שימו לב לכתובות המייל אשר מהם נשלח המייל אליכם, האם זה המייל הרשמי של אותו גוף?

*המטרה של התוקף הינה להלחיץ אתכם כמה שיותר על מנת שתדלגו על כלל נורות אלו ותעברו ישר להזנת הפרטים שלכם למערכת שלו, לכן חשוב לזכור, גם אם קיבלנו מייל\סמס או שיחת טלפון חשודה, תמיד לקחת מספר נשימות, ולבדוק הכל לעומק, אל תשחקו את המשחק לטובת התוקף, בדיקה של חמש דק' פשוטות יכולה למנוע נזק עצום.

מהו shodan וכיצד להשתמש בו

היי חברים אז פעם הבטחתי להסביר מה זה shodan ואיך ניתן למצוא דרכו מצלמות,מדפסות,מחשבים,שרתים ושאר הדברים ברשת

אז בתור התחלה כמה דברים
1 אין לי שום אחריות על מה שעשו עם הכלי הנל
2 אם אתם מתכוונים לחולל איתו נזקים יתפסו אותכם ללא ספק
3 זה מאמר עם מטרות לימוד בלבד!!!

למה בעצם החלטתי לכתוב את המאמר כי הרגע קיבלתי דיווח ממישהו ששודן הורידו את המחיר ל1$ במקום 48$ למנוי פרמיום לכל החיים
בקיצור תרשמו ואז תשדרגו למנוי פרמיום בעלות אפסית (אישית קניתי)

אז שודן זה בעצם מנוע חיפוש התקנים ברשת
בשונה מגוגל הוא לא מחפש אתרים אלא התקנים

משתמשי שודן כבר מצאו מלא דברים בין השאר מערכת לניהול פארק מים,רמזורים,מצלמות,תחנת דלק,מערכות ניהול בתי מלונות ואפילו תחנה גרעינית ליצירת חשמל ומאיץ חלקיקים
טוב אז איך זה עובד
אחת הבקשות הפשוטות זה default-password

טוב נסיים עם התאורייה נעבור לפרקטיקה
יש מלא סוגי בקשות חיפוש אני יכתוב כמה בסיסים (תכלס לא באלי שיתחילו להרוס כל מה שיש)
country: <מדינה>
city: <עיר>
os: <מערכת ההפעלה>
port: <פורט>
hostname: <חיפוש לפי דומיין>

לדוגמה בחיפוש המילה cisco נמצאו מעל 3 מליון התקנים (ולכו תדעו כמה מהם בעלי סיסמאות דיפולט)

כדי לממש את ההתקפה צריך טיפה להבין רשתות ואיך זה עובד
אחד מהדברים החשובים ביותר זה הבנת קודי מצב http שחוזרים אלינו (הבאתי רק כמה לדוגמה לא מצאתי באינטרנט סיכום נוח)

200 <הפלט תקין>
301 <הפניית משתמש>
401 <גישה לא מורשית>
403 <גישה נדחתה / אסורה>
404 <אין משאב המבוקש>
408 <אזל הזמן>
500 <שגיאת שרת פנימית>
503 <השירות לא זמין>

דוגמה לחיפוש לפי קוד מצב
200 cisco
לדוגמה פה איך עשיתי חיפוש על סיסמא ברירת מחדל על פורט 80 במדינת טייוואן
ופה ניתן לראות את השם משתמש והסיסמא
תראו כמה התקני dvr (למצלמות יש במדינת טייוואן) אני משער שחצי מהם פגיעות

יש גם מספר כלים שלא אפרט (ואתם יודעים למה) שנמצאים בגיטאב ומאפשרים לאסוף רשתות לצורך התקפות ddos מטורפות
לפני כשנה תוקפים הורידו את אתר github בעזרת אחת מההתקפות הגדולות של מליוני התקנים ברשת לכתבה
בקיצור בלי הגנות כמו vpn וכדומה לא להיכנס לשום מקום יתפסו אותכם מייד

בקיצור היה נחמד קצת לכתוב אולי יהיה עוד זמן לשטויות לביינתים כנסו לערוץ שלי

כיצד להתחיל בדיקות חדירות חלק 1 WEB

מה הכוונה בבדיקות חדירות?

בדיקת חדירות היא שיטה להעריך את האבטחה של מחשב, רשת, התקן טכנולוגי כזה או אחר אשר מכיל מידע, על ידי הדמייה של התקפה מכוונת, ניתוח וחקירת מערכות, בדיקת תגובה של מערכות הגנה וכו’.

מהי בדיקות חדירות לאתרים?

בדיקת חדירות לאתרים מתמקדת רק על הערכת מצב האבטחה של האפליקציה, שכאומרים אפליקציה כמובן שאתר אינטרנט נכנס לתוך הקטגוריה.
תהליך הבדיקה כולל ניתוח פעיל של האפליקציה לזיהוי חולשות, כשלים טכניים או פגיעות פוטנציאלית.
כל חולשה אשר תמצא תוצג לבעל האתר עם הערכת הסיכונים ושיכלול המשקל של החולשה בהתאם להשפעתה על הארגון וכמובן המלצה לפתרון הטכני.
מבדקי ה-WEB שלנו מתמקדים לפי בסיס ה- OWASP – Open Web Application Security Project אשר מנחה וממקד את החולשות העיקריות והכי חשובות בצד האפליקטיבי.

היכן תוכלו למצוא את כל החומר שיעזור לכם?

אני אישית ממליץ על הספר "סייבר ובדיקות חוסן ליישומי אינטרנט" שנכתב על ידי רומן זאיקין
הספר נותן את הבסיס וקצת מעבר לעולם הסייבר דברים שכדאי להכיר ועוד…
כך שאם אתם מחפשים היכן להתחיל אני אישית ממליץ על הספר הוא יתן לכם בסיס חזק.
הספר ילמד אותכם פרוטוקולים שונים, טכניקות מעולות, שימוש בכלים שונים, ידע בשפות תכנות ועוד….

חולשות ושפות שכדי להכיר:

על מנת להכיר חולשות בסיסיות ואולי גם בין החזקות, ושפות תכנות שחובה לדעת ממליץ ללכת לקרוא את הכתבה של עדן התותח לכתבה.
על מנת לדעת חולשות מתקדמות יותר ממליץ לכם לחפש באינטרנט את החולשות הבאות
open redirect
HTTP parameter pollution
cross site request forgery also known as CSRF
HTML injection
CRLF injection
tamplete injection
server side request forgery
XML external entity vulnerability
remote code execution also known RCE
LFI- local file inclusion
RFI – remote file inclusion
sub domain takeover
insecure direct object references
וכמובן ממליץ לכם לעבור על רשימת החולשות של OWASP TOP 10 לשנת 2017
לא כתבתי כאן את כל החולשות, ממליץ לכם אבל ללמוד את מה שכתבתי כולל מה שיש בכתבה של עדן על מנת לקבל היכרות ראשונית עם החולשות.

כיצד אוכל לתרגל חולשות אלה?

בעיקרון יש המון capture the flags, שאתם מוצאים חולשה ואם הצלחתם לבצע אותה קיבלתם את הדגל כמובן שזה הבסיסים ויש יותר מתקדמים וקשים.
המערכות הבאות אלה הם מערכות שאני אישית ניסיתי וממליץ לכם לנסות גם:
overthewire מערכת נחמדה שנותנת שלבים וככל שהשלב עולה כך גם הרמה.
מערכת האתגרים של רומן זאיקין מכסה את כל החולשות שמדוברות בספר,מערכת מומלצת.
https://github.com/romanzaikin/Owasp-TOP-10-Training-Panel
bWAPP- זוהי מכונה וירטואלית שמבצעים עליה בדיקות חוסן, המערכת הזאת הינה נותנת המון אפשרויות ואת כל החולשות של OWASP TOP 10 לשנת 2013 ועוד חולשות מסויימות.
מערכת האתרים של סהר
https://attackit.co.il
Hacker101- האקר101.
https://www.hacker101.com

כלים מומלצים

burp suite – תוכנה לבדיקת אבטחה לחץ כאן על מנת להרחיב.
dirbuster – תוכנה למציאת נתיבים ,אולי אפילו מוסתרים.
sqlmap – תוכנה לחולשת הsql injection אשר תבצע אוטומיטציה להתליך.
uniscan – סורק חולשות בסיסי.
Nessus – סורק חולשות בסיסי.
knockpy – תוכנה למציאת subdomain עשיתי עליה כתבה כאן
sublister – תוכנה למציאת subdomain .
builtwith – תוכנה או תוסף לדפדפן שיראה לכם איך האתר נבנה ויתן לכם פרטים עליו.
wpscan – תוכנה לסריקת מערכת wordpress.
torghost – תוכנה לשינוי כתובת IP ציבורית עשיתי עליה כתבה כאן

כיצד להרוויח כסף מבדיקות חוסן גם בלי עבודה קבועה בתחום?

כיום יש שני פלטפורמות גדולות לדבר הנקרא bug bounty שני הפלטפורמות הינם:
HackerOne – https://www.hackerone.com
bugcroud – https://www.bugcrowd.com
והפלטפורמה המועדפת עליי היא hackerone, מכיוון שלאחר לא קצת זמן הייתי עם bugcrowd עברתי לhackerone. ושם היה הרבה יותר לקוחות וגם בbug crowd יש דירוג חולשות משלהם.

שאלות נפוצות

–האם אני חייב לדעת את השפה על מנת למצוא חולשה?
כן. מכיוון שאם אתה לא יודע מה אתה עושה עדיף שלא תעשה אותו בכלל חוץ מזה כדי לדעת טכניקות מתקדמות כדי להבין מה עושים.

–איזה שפות תכנות צריך ללמוד?
כל שפות התכנות שצריך ללמוד על מנת לבצע בדיקת חדירות מספקת לאתר נמצא בכתבה של עדן לכתבה
–באיזה כלים אתה משתמש?
אני משתמש בעיקר burp suite מכיוון שכך ניתן לבחון את המערכת הכי נוח
–כמה זמן צריך להשקיע ביום?
כמות הזמן שתשקיעו ביום היא הכמות שתפתח אותכם, על מנת להיות טובים בתחום תצטרכו לדעת דבר או שתיים ולכן תצטרכו להערכתי להשקיע בערך 10 שעות בשבוע.
–האם זה חוקי?
הגבול בין חוקי או לא חוקי מאוד דק ומאוד משתנה בין חברה לחברה, לכן אני ממליץ לכם לפני שאתם בודקים חסינות על אתרים שיש להם אישור (מיותר לציין שאם אין לכם אישור זה עבירה פלילית לכל דבר) תקראו טוב מה מותר ומה אסור.
–האם השימוש בכלים אוטומטים יעשו אותי סקריפט קיד?
שימוש בכלים נוצרו על מנת להקל עלינו החוקרי סייבר אבל נוצר מצב שבו אנשים שלא מבינים מה קורה מאחורי הקלעים משתמשים בו וגורמים נזקים לפעמים גם עצומים, לכן אני אומר אל תשתמשו במשהו בלי שאתם מבינים איך הוא עובד.

אז, לאחר שקראתי את כל זה, זהו אני מוכן?

לא ממש לא, בדיקות חוסן לוקחות זמן והרבה ללמידה ותרגול אבל בסופו של דבר מי שיתמיד יצליח.
ממליץ לכם לחרוש את האינטרנט למצוא חומרים שיעזרו לכם טיפ קטן ממני מה שיכול לתת לכם קפיצה לעולם הסייבר זה הספר "סייבר ובדיקות חוסן ליישומי אינטרנט".

דליפת מידע בחברת T-Mobile.

משתמשים בשירותי הPrepaid Wifi של חברת T-Mobile? אם כן החליפו מיד את הקוד האישי שלכם!

חברת התקשורת הממוקמת בארה"ב (אך נותנת שירותים גלובלים) חשפה היום שהחברה עמדה תחת מתקפה שבמהלכה נגנב מידע רגיש.

אז כיצד זה קרה?

הצהרה של חברת T-Mobile באתר הרשמי מצהירה על כך שצוות אבטחת המידע גילה נוזקה אשר איפשרה גישה למידע אשר היה מקושר לחשבונות הPrePaid Wireless של החברה.

עם זאת, החברה לא מסרה פרטים מדוייקים על כיצד התרחשה המתקפה, מתי זה קרה וכמה גישה הייתה להאקרים ולאיזה מידע יכלו לגשת בחשבונות החשופים.

אז איזה מידע הצליחו התוקפים להשיג?

  • שמות פרטיים ומשפחה
  • מספרי פלאפון
  • כתובות לחיוב
  • פירוט חבילות ושירותים

איזה מידע לא נחשף:

חברת    T-Moblie מאשרת שהמידע הבא לא נחשף לתוקפים

  • מידע פיננסי
  • סיסמאות

מה T-Moblie   עושה כעת?

החברה נקטה בכל הצעדים העומדים לרשותה, סגרה את החיבור שאיפשר לתוקפים את הגישה למידע, והודיעה לרשויות החוק על המקרה.

מעבר לכך, החברה עדכנה את כלל הלקוחות אשר נפגעו דרך המייל או דרך שירות הלקוחות, החברה החכימה להוסיף שבמידה ולא קיבלתם מייל המודיע אחרת, לא נחשפתם לפרצה הנוכחית.

אני לקוח T-Moblie, מה עלי לעשות בנוסף?

ממולץ לנקוט בצעדים הבאים:

  • יש לשנות את קוד ה PIN שלכם
  • לשים לב למייל פישינג (מה זה פישינג? לחץ כאן) – התוקפים עלולים לנצל את הרצון של החברה להודיע במייל ולנסות לשלוח מייל פישיניג אשר ידביק אתכם בנוזקה שוב.
  • החברה אומנם מסרה שמידע פיננסי לא נחשף, אך תמיד עדיף להיות עם "יד על הדופק" ולבדוק את חיובי האשראי.

סייבר ספייס – קהילת הסייבר החברתית הגדולה בישראל!