סכנות במרחב הרשת

כולנו אוהבים קניות ברשת.. המחירים מפתים, האיכות סבירה ובעיקר? אין כמו ההרגשה של לפתוח חבילה שהגיעה הרגע מהדואר..

אך מעבר לכל החוויה הזו, יש גם צד אפל בעולם הסייבר, Black Friday  ו Cyber Monday   הינם

ימים מועדפים על פושעי הסייבר והסיבה לכך ברורה, מחירים מפתים יובילו את הגולש להוציא

את כרטיס האשראי שלהם ולבצע רכישה ולהעלות חיוך, אבל לא רק על הפנים של הקונה,

מאחורי המסך יושב לו האקר עם חיוך רחב יותר, ברגע זה פרטי האשראי שלכם מועברים להאקר ומשם… רק הזמן יגיד, החל מלמכור את הכרטיס למאגר ברשת  האפלה ועד לשופינג נרחב – על חשבונכם.

כיצד ה"קסם" הזה התרחש? באמצעות מתודת פישינג (דיוג בשפה בעברית).

באבטחת מידע, דִּיּוּג או פישינג (באנגלית: Phishing) הוא ניסיון לגניבת מידע רגיש על ידי התחזות ברשת האינטרנט. המידע עשוי להיות, בין היתר, שמות משתמש וסיסמאות או פרטים פיננסיים. פישינג מתבצע באמצעות התחזות לגורם לגיטימי המעוניין לקבל את המידע. לרוב שולח הגורם המתחזה הודעת מסרים מידיים או דואר אלקטרוני בשם אתר אינטרנט מוכר, בה מתבקש המשתמש ללחוץ על קישור. לאחר לחיצה על הקישור מגיע המשתמש לאתר מזויף בו הוא מתבקש להכניס את הפרטים אותם מבקש המתחזה לגנוב.

המילה פישינג נכתבת באנגלית (Phishing) והיא מושפעת מהמילה Phreaking. כך, מוחלפת האות F באותיות Ph. באופן דומה מזכירה המילה העברית "דיוג" את המילה דַּיִג. ניתן לכתוב את המילה גם ב־F כלומר Fishing מהפועל To fish שמשמעו לדוג.

אתרים נפוצים שפעולות פישינג מתבצעות בשמם הם אתרי רשתות חברתיות כגון פייסבוק וגוגל פלוס, אתרי מכירות פומביות כגון איביי ואתרי בנקים כגון בנק אוף אמריקה.

דיוג יכול להוות שלב ראשון לקראת תקיפת סייבר עתידית וככזה, הוא כלי מרכזי בלוחמת סייבר.

אז, כיצד נוכל להימנע מליפול לתרמית שכזו?

*תמיד לבדוק את הלינק- זה הדבר הראשון שצריך להדליק לכם נורה אדומה, רשום Faceb00k במקום Facebook? כנראה שאתם לא במקום הנכון.

*המנוי שלכם עומד להיגמר? חבילת התקשורת התרוקנה? תמיד תתקשרו לוודא, כמעט כל חברה מחזיקה קו יצירת קשר, ואם מדובר במנוי לנטפליקס או ספוטיפי, תמיד תוכלו להיכנס לחשבון ולוודא את העניין.

*יש ספק? אין ספק, בכל חשד שמתעורר לכם עדיף לדווח, השעה לא סבירה שבה המנכל התקשר, שינוי פתאומי ברוטינה של היום,מייל חשוד,סמס חשוד, כמו שכתבתי בהתחלה, יש ספק? אין ספק.

*שימו לב לכתובות המייל אשר מהם נשלח המייל אליכם, האם זה המייל הרשמי של אותו גוף?

*המטרה של התוקף הינה להלחיץ אתכם כמה שיותר על מנת שתדלגו על כלל נורות אלו ותעברו ישר להזנת הפרטים שלכם למערכת שלו, לכן חשוב לזכור, גם אם קיבלנו מייל\סמס או שיחת טלפון חשודה, תמיד לקחת מספר נשימות, ולבדוק הכל לעומק, אל תשחקו את המשחק לטובת התוקף, בדיקה של חמש דק' פשוטות יכולה למנוע נזק עצום.

Wappalyzer – זיהוי טכנולוגיות באתר

Wappalyzer

כמה פעמים גלשתם לאתר, התחלתם לשוטט ולנסות לנחש באיזה טכנולוגיות הוא בנוי? אולי השתמשו במערכת לניהול תוכן?, אולי באמת כל אתר כתוב HTML ו-CSS או שהשתמשו בWordPress?, באיזה סוג דאטא בייס משתמשים?.

אפשר לנסות ולנחש, אפשר גם לנסות לקרוא את קוד המקור של האתר ולראות מה מאפיין אותו ולאיזה קבצים הוא מנסה לקורא, עבודה שיכולה לקחת שעות ובאתרים מורכבים אפילו יום-יומיים, מהצורך הזה פותח התוסף Wappalyzer, שעוזר לכם לקבל תמונה די מלאה (ברוב המקרים) על האתר בו אתם גולשים, כולל את הטכנולוגיות שבו בנו את האתר, אם השתמשו במערכת לניהול תוכן, האם יש בו שימוש בפריימוורק מסוימים, איזה דאטא בייס מזוהה באתר ובאילו ספריות הוא משתמש, לרוב כל עוד לא הוגדר אחרת כולל גם מספרי גרסא (לדגומא React 16.9.0).

דוגמא לתצוגה באתר וורדפרס:

היתרונות הבולטים של Wappalyzer

יש כמה יתרונות בולטים לשימוש בתוסף הזה, לדעתי זה תוסף חובה לכל מי שנמצא בתחום, גם בתור מפתח וגם בתור בודק חדירות.

זמן – התוסף הזה חוסך המון זמן, במקום לפתוח קוד מקור, לנסות לבדוק ולעקוב אחרי לינקים חיצונים, הטענה של ספריות וקריאה לקבצים שונים ומשונים בשרת בצד לקוח, התוסף עושה למענכם את העבודה הזו ומביא לכם "סיכום" מוגמר של עבודה סזיפית שאתם היתם צריכים לעשות

שקט (פסיבי) – בניגוד לכל מיני כלים כאלה ואחרים שסורקים את האתר בצורה אקטיבית, התוסף הזה לא מבצע שום פעולה "רועשת", סורק בצורה פסיבית את סביבת האתר ונותן לכם את הנתונים "על מגש של כסף" ללא צרוך בהורדה של כלים שונים מגיט האב או כל מקור אחר

זמינות – התוסף נמצא בדפדפן שלכם כל הזמן, הוא מלווה אתכם לכל אתר שאתם גולשים אליו בין אם זה אתרים שמעניין אתכם לדעת מה עומד מאחוריהם או סתם באמצע שיטוט ברחבי האינטרנט, החלונית הקטנה של התוסף נמצאת שם ובמידה ותבחרו – תלחצו עליה והדף הקטן של Wappalyzer יפתח בפניכם.

למי כדאי להשתמש בתוסף

חשבתם שרק בודקי חדירות צריכים תוסף כזה? אתם טועים ובגדול, התוסף הזה יכול לשמש מגוון עצום של מטרות, לא רק לאיסוף מודיעין על טכנולוגיות האתר כדי למלא דוח חדירות, התוסף הזה שימושי כמעט לכולם, בין אם אתם מנהלים או שיש לכם אתר ואתם רוצים לדעת על מה האתר מדווח החוצה, לא תמיד נרצה לחשוף את מספרי הגרסאות של הספריות או הפריימורקים שאנחנו משתמשים בהם בעיקר מטעמי אבטחה, התוסף נותן לכם לראות תמונה די מדוייקת על איך האתר שלכם "נראה" מבחוץ, גם למתכנים יש שימוש נרחב בכלי הזה גם לבדוק טכנולוגיות קיימות אבל לא פחות חשוב להתעדכן בטכנוגלויות חדשות, לפעמים ההבנה שאתר מאוד גדול עובד על WordPress יכולה לפתוח את הראש לכניסה והתעניינות בדברים חדשים, זה נכון גם לגבי ספריות מסוימות שאפשר לראות שימוש בהם ולהבין טוב יותר איך דברים עובדים.

מאיפה מורידים את התוסף

בעמוד הרשמי של התוסף אפשר לבחור את הפלטפורמה הרצויה, התוסף זמין גם לפיירפוקס וגם לכרום, בנוסף לעוד כמה פלטפורמות שהשימוש בו יכול להיות רלוונטי.

https://www.wappalyzer.com/download#extensions

מהו shodan וכיצד להשתמש בו

היי חברים אז פעם הבטחתי להסביר מה זה shodan ואיך ניתן למצוא דרכו מצלמות,מדפסות,מחשבים,שרתים ושאר הדברים ברשת

אז בתור התחלה כמה דברים
1 אין לי שום אחריות על מה שעשו עם הכלי הנל
2 אם אתם מתכוונים לחולל איתו נזקים יתפסו אותכם ללא ספק
3 זה מאמר עם מטרות לימוד בלבד!!!

למה בעצם החלטתי לכתוב את המאמר כי הרגע קיבלתי דיווח ממישהו ששודן הורידו את המחיר ל1$ במקום 48$ למנוי פרמיום לכל החיים
בקיצור תרשמו ואז תשדרגו למנוי פרמיום בעלות אפסית (אישית קניתי)

אז שודן זה בעצם מנוע חיפוש התקנים ברשת
בשונה מגוגל הוא לא מחפש אתרים אלא התקנים

משתמשי שודן כבר מצאו מלא דברים בין השאר מערכת לניהול פארק מים,רמזורים,מצלמות,תחנת דלק,מערכות ניהול בתי מלונות ואפילו תחנה גרעינית ליצירת חשמל ומאיץ חלקיקים
טוב אז איך זה עובד
אחת הבקשות הפשוטות זה default-password

טוב נסיים עם התאורייה נעבור לפרקטיקה
יש מלא סוגי בקשות חיפוש אני יכתוב כמה בסיסים (תכלס לא באלי שיתחילו להרוס כל מה שיש)
country: <מדינה>
city: <עיר>
os: <מערכת ההפעלה>
port: <פורט>
hostname: <חיפוש לפי דומיין>

לדוגמה בחיפוש המילה cisco נמצאו מעל 3 מליון התקנים (ולכו תדעו כמה מהם בעלי סיסמאות דיפולט)

כדי לממש את ההתקפה צריך טיפה להבין רשתות ואיך זה עובד
אחד מהדברים החשובים ביותר זה הבנת קודי מצב http שחוזרים אלינו (הבאתי רק כמה לדוגמה לא מצאתי באינטרנט סיכום נוח)

200 <הפלט תקין>
301 <הפניית משתמש>
401 <גישה לא מורשית>
403 <גישה נדחתה / אסורה>
404 <אין משאב המבוקש>
408 <אזל הזמן>
500 <שגיאת שרת פנימית>
503 <השירות לא זמין>

דוגמה לחיפוש לפי קוד מצב
200 cisco
לדוגמה פה איך עשיתי חיפוש על סיסמא ברירת מחדל על פורט 80 במדינת טייוואן
ופה ניתן לראות את השם משתמש והסיסמא
תראו כמה התקני dvr (למצלמות יש במדינת טייוואן) אני משער שחצי מהם פגיעות

יש גם מספר כלים שלא אפרט (ואתם יודעים למה) שנמצאים בגיטאב ומאפשרים לאסוף רשתות לצורך התקפות ddos מטורפות
לפני כשנה תוקפים הורידו את אתר github בעזרת אחת מההתקפות הגדולות של מליוני התקנים ברשת לכתבה
בקיצור בלי הגנות כמו vpn וכדומה לא להיכנס לשום מקום יתפסו אותכם מייד

בקיצור היה נחמד קצת לכתוב אולי יהיה עוד זמן לשטויות לביינתים כנסו לערוץ שלי

דליפת מידע בחברת T-Mobile.

משתמשים בשירותי הPrepaid Wifi של חברת T-Mobile? אם כן החליפו מיד את הקוד האישי שלכם!

חברת התקשורת הממוקמת בארה"ב (אך נותנת שירותים גלובלים) חשפה היום שהחברה עמדה תחת מתקפה שבמהלכה נגנב מידע רגיש.

אז כיצד זה קרה?

הצהרה של חברת T-Mobile באתר הרשמי מצהירה על כך שצוות אבטחת המידע גילה נוזקה אשר איפשרה גישה למידע אשר היה מקושר לחשבונות הPrePaid Wireless של החברה.

עם זאת, החברה לא מסרה פרטים מדוייקים על כיצד התרחשה המתקפה, מתי זה קרה וכמה גישה הייתה להאקרים ולאיזה מידע יכלו לגשת בחשבונות החשופים.

אז איזה מידע הצליחו התוקפים להשיג?

  • שמות פרטיים ומשפחה
  • מספרי פלאפון
  • כתובות לחיוב
  • פירוט חבילות ושירותים

איזה מידע לא נחשף:

חברת    T-Moblie מאשרת שהמידע הבא לא נחשף לתוקפים

  • מידע פיננסי
  • סיסמאות

מה T-Moblie   עושה כעת?

החברה נקטה בכל הצעדים העומדים לרשותה, סגרה את החיבור שאיפשר לתוקפים את הגישה למידע, והודיעה לרשויות החוק על המקרה.

מעבר לכך, החברה עדכנה את כלל הלקוחות אשר נפגעו דרך המייל או דרך שירות הלקוחות, החברה החכימה להוסיף שבמידה ולא קיבלתם מייל המודיע אחרת, לא נחשפתם לפרצה הנוכחית.

אני לקוח T-Moblie, מה עלי לעשות בנוסף?

ממולץ לנקוט בצעדים הבאים:

  • יש לשנות את קוד ה PIN שלכם
  • לשים לב למייל פישינג (מה זה פישינג? לחץ כאן) – התוקפים עלולים לנצל את הרצון של החברה להודיע במייל ולנסות לשלוח מייל פישיניג אשר ידביק אתכם בנוזקה שוב.
  • החברה אומנם מסרה שמידע פיננסי לא נחשף, אך תמיד עדיף להיות עם "יד על הדופק" ולבדוק את חיובי האשראי.

סייבר ספייס – קהילת הסייבר החברתית הגדולה בישראל!

האקר ישראלי מצליח להדאיג את אינסטגרם!

הכירו את zHacker, חוקר סייבר, ואחת המוחות מאחורי גילוי החולשה באינסטגרם עליה נדבר היום.

סייבר סייבר ועוד פעם סייבר, אנחנו נחשפים למושג הזה יום יום ועדיין, עולם הסייבר כזה נרחב שבכל תת תחום אפשר למצוא דרך חשיבה מחוץ לקופסא ולנצח את Agent Smith (לאלו ממכם שכן הבינו את הרפרנס, you're are the real mvp's).

אז בואו נתחיל:

תום:

תוכל לשתף אותנו בדרך מציאת החולשה? כמובן מה שניתן לחשוף.

zHacker :

-לשם כך אני והשותף שלי השקענו ויצרנו Write Up מלא שאותו תוכלו לקרוא כאן.

תום:

וואו זה נשמע ממש מרשים, אמור לי, זה היה קשה?

zHacker :

אנומרציית משתמשים-לא קשה, היה כמה שעות בגג – לא משהו מסובך, הרבה התמדה.

תום:

מהי אנומרציית משתמשים:

zHacker :

אנומרציית משתמשים היא חולשה by the book
לא משהו רציני – ששווה להתריע אלא אם כן המשתמשים = מספרי טלפון = אימיילים שאז זה די מדיום במיוחד לחברות ענק כמו פייסבוק שאמור להיות להם חסימה לזה,

בנינו אלגוריתם אחרי אינספור ניסיונות (שבוע עבודה) שמנחש מספרי טלפון באופן רנדומלי – שעוקף תחסימה (אחרי x ניסיונות),
בתפארתו – הסקריפט שלח 15K בקשות בתוך 21 שעות ופלט 1K מספרי טלפון רנדומליים של משתמשי אינסטגרם פעילים.

עכשיו, חבר שלי (שותף לפרוייקט) הציע רעיון של לקשר כל מספר טלפון רנדומלי שמצאנו לפרטי החשבון שלו – ובכך להעלות את החולשה לקריטיקל בכמה רמות.

כשמשתמש אינסטגרם נרשם הוא מקבל הצעה לסינכרון אנשי קשר – בעצם פיצר של אינסטגרם שבו הקליינט שולח בקשה עם ליסט של טלפונים (האנשי קשר) והשרת של אינסטגרם בודק ב-DB שלו ומחזיר תשובה עם כל הפרטים של כל המספרי טלפון שרשומים כמשתמשי אינסטגרם – ככה המשתמש יידע למי לעקוב.
הבאלגן התחיל שהפיצר – לא יציב, שנית הוא מחזיר באופן אקראי את הפרטים ככה אי אפשר לדעת איזה מספר טלפון שייך לאיזה חשבון וכו..
עקפנו את זה בקונספט של "אם נשלח בבקשה אחת מספר טלפון אחד" השרת יחזיר את הפרטים של אותו מספר.
אינסטגרם לא מטומטמים והגבילו את המשתמש לשלוח 3 בקשות לפיצר פר 24 שעות, זה אומר כל חשבון יכול להשיג פרטים על 3 מספרי טלפון ביום.

משם זה קל, יצירת בוטנט – של אלפי – מאות אלפי בוטים של חשבונות אינסטגרם פיקטיביים שישלחו כל אחד מהם 3 בקשות ביום כשכל בקשה עם מספר טלפון בודד (אותו מספר טלפון של משתמש אינסטגרם ראנדומלי),
ב-PoC הסרטון הצגנו זליגת נתונים בזמן אמת שכן פתחנו 40 חשבונות פיקטיביים ובעזרת יכלנו לקבל פרטים אישיים של 120 חשבונות אינסטגרם ראנדומליים (40*3) כמובן שזה יותר מ-120 כי מספר טלפון יכול להיות משוייך לכמה חשבונות וכו..

זה הקונספט – תוקף יכול לקנות 100 שרתים ובתוך 10 ימים בלבד להשיג מיליון 1M פרטים אישיים של משתמשי אינסטגרם רנדומליים, כמובן שהוא צריך הרבה חשבונות בוטים פיקטיביים בשביל זה – אבל תיאורטית הוא יכול לעשות את זה גם עם 40 חשבונות – אבל כמובן זה ייקח לו שנה – שנתיים אפילו יותר להשיג מיליון 1M פרטים על משתמשי אינסטגרם בתנאי שהוא יריץ את ה-40 בוטים הללו שעתיים כל יום על מכונה אחת (בערך 1K פרטים אישיים של חשבונות אינסטגרם בשבוע),

שנינו יודעים שעם מספיק כסף לא בעיה לקנות רשימה של חשבונות אינסטגרם פיקטיביים – ולפתור את זה בקלות או סתם לפתוח מלא חשבונות עם פייטון ורשימה של שרתי פרוקסי להתחבר אליהם (שכן כתובת IP אחת לא יכולה לפתוח יותר מ-3 חשבונות אינסטגרם ביום),
עוד הצעה – הכי טובה זה לפתוח בחצי שעה מיליון משתמשי test accounts בפייסבוק (תעשה גוגל על זה) ואז להיכנס לאינסטגרם מפייסבוק בעזרת כל חשבון test, שורה תחתונה זה בר ביצוע בקלות – בנינו מימוש של ועבד מטורף!

עכשיו, בא נחבר את הפאזל, במתקפה מוצלחת אנחנו מקבלים את ה-

UserID
UserName
Full Name
Phone-Number

של משתמשי אינסטגרם רנדומליים,
תוקף יכול לבנות בשבוע DB מפלצתי כזה שכפי שהבנת מכיל רשומות של פרטיים אישים אודות משתמשי אינסטגרם.

תיאורטית עם מספיק זמן ומשאבים (כמה דולרים בודדים לקנות 100 שרתים ולבצע התקפה כל יום במשך חודש) יכולנו להשיג את הפרטים האישיים של כל משתמשי אינסטגרם,

זה כולל סמנכלים מפורסמים ואנשים כמוני וכמוך, טכנית בסופו של דבר הייתי יכול למצוא את המספר טלפון של קים קרדישאן או דונלד טראמפ,

זו הפרת פרטיות חמורה מאוד – בעצם דליפת נתונים, היה ניצול של זה לפני כשבוע בו חוקרים מצאו DB עם 419 מיליון פרטים אישיים מסוג אלו של משתמשי פייסבוק, פייסבוק הודיעה שהיא הורידה את הפיצר שלהם לפני כשנה וסגרה תפריצה, פה זה קרה לאינסטגרם – שפייסבוק חברת האם שלה.

תום:

האם חברת אינסטגרם העניקה לכם תשלום על מציאת החולשה? Bug Bounty.

zHacker :

-כן קיבלנו 4,000 דולר אחרי שהם שלחו לנו מכתב התנצלות על הטעות שעשו

תום:

נשמע נהדר! כל הכבוד ושאפו על היצרתיות, לסיום ולקראת השנה החדשה, אשמח שתיתן את עצת הזהב שלך, עצה אחת לשנה החדשה לקהל הקוראים שלנו.

ללמוד תכנות הארד קור – חולשות קליינט סייד וסרבר סייד אם כבר ווב, לא לפחד לצלול לשטח, CTFים ותוכניות BB לאו בשביל כסף אלא להשתפשף – ללמוד תכנות כמו שאמרתי בצורה יסודית – כל חולשה קיימת מבוססת על פאק תכנותי, כל PT טוב חייב להיות תכנת ממוצע – טוב

zHacker

תום:

תודה רבה על הזמן שהקדשת לנו, מאחלים ויודעים שזה רק ההתחלה ונשמע עלייך רבות!

zHacker :

תודה רבה, כמו כן הרשו לי לשתף אתכם שמצאתי חולשה חדשה במקום מסויים, לא אוכל כרגע לחשוף מעבר אך שווה להיות מוכנים לכך.

ולכם קוראים יקרים, חג שמח ושנה טובה!