הערה! הפוסט מדבר על פירצת ה-DLL Hijacking כפי שהוצגה בפוסט הקודם. קריאת המידע שהופיע שם הכרחי לצורך הבנת הפוסט הנוכחי.
בתור בלוג אבטחת מידע המשתדל לפנות לקהל רב ככל האפשר ובמיוחד לאלו שמטרתם ללמוד, אני משתדל שהפוסטים שיוכנסו לבלוג יהיו בהירים כמה שאפשר – אך גם מדויקים באותה מידה. המידע שאני מביא כאן לרוב עובר מחקר מקיף שמתפרש על פני אתרים שונים ואנשים שונים שבודקים את נכונות הפרטים בהם אני לא בטוח, עיתונים מן המעלה הראשונה ואף לעיתים מקורות ראשונים (במידה ורלוונטי). כאחד שכזה, אני מרגיש צורך להתנצל על הפוסט האחרון שפורסם תחת הכותרת המפוצצת: "DLL Hijacking – הפירצה החדשה ב-Windows (חלונות) שמצא HD Moore". בסוף הפוסט אמנם הוצגה סברה לפיה הפירצה איננה כה חדשה, אך כשדברתי עם מספר חוקרי אבטחה ישראליים – העניין התבהר כחמור אף יותר.
אלו שקראו והעמיקו בתגובות של הפוסט האחרון (ואני מציע לעשות זאת בכל פעם – לעיתים מובא שם מידע שערכו איננו נופל מערך הכתבה עצמה) ודאי ראו את תגובתו של אביב, אחד מהאנשים שבאמת ראויים לכבוד שהם מקבלים (ואף מעבר לו) בתחום אבטחת המידע. אביב כתב תגובה בזו הלשון:
הפירצה איננה חדשה.
היא ידועה לפחות משנת 2000: http://www.securityfocus.com/bid/1699/info
ודווחה רשמית למיקרוסופט בשנת 2006: http://aviv.raffon.net/2006/12/14/IE7DLLloadHijackingCodeExecutionExploitPoC.aspx
לפני קצת יותר משנה, מיקרוסופט שחררה עדכון למערכת ההפעלה שאמור היה לעזור בפתרון הבעיה (כאמור, אינו פותר אותה לחלוטין): http://www.microsoft.com/technet/security/Bulletin/MS09-015.mspx
אתמול מיקרוסופט פרסמה מאמר המסביר (טכנית) את הבעיה ודרכים כיצד ניתן לפתור אותה ללא עדכון: http://www.microsoft.com/technet/security/advisory/2269637.mspx
והוא אכן צודק. בשיחה שלי שנערכה עם cP כשעתיים קודם לכן, הוא אמר לי לגגל DLL Search Order Hijacking – הופתעתי מהתוצאות. מילות המפתח שאכן מתארות במדויק את אופי המתקפה, מצאו תוצאות של קוד המשתמש לניצול הפירצה ("אקספלוייט") עוד מ-2006 שנכתב על ידי… אביב ראף – איש אבטחת מידע ישראלי, שלא במקרה היה זה שהגיב בבלוג. למרות שמאות (אם לא אלפי) עיתונים נכבדים באנגלית מן המעלה הראשונה, מסקרים את "הפירצה החדשה שמצא HD Moore" [וחיפוש ממש קצר מניב מעל 120 תוצאות מקוונות שנרשמו ב24 שעות האחרונות, למרות שחלפה הסערה]. העיתונים המקוונים המתקדמים יחסית מדווחים על כך שהבאג נמצא לפני 6 חודשים, אך כמעט אף לא אחד בעולם דיווח על כך שהפירצה קיימת כבר 10 שנים.
היחיד שאני מצאתי למען האמת, הוא HD Moore, שלא מכחיש את זה ואפילו דואג לפרט. בבלוג החברה הוא כתב:
As Thierry notes, a variation of this bug was originally published in 2000 by Georgi Guninski.
("כפי שתיירי הזכיר, גירסה אחרת של הבאג מקורה בפרסום בשנת 2000 שנעשה על ידי גאורגי גונינסקי.")
אז מה בכל זאת ההבדל? HD Moore מציין רק אחד שכזה וטוען שהוא "הגדול ביותר" – ההרחבה לפירצה ניתנת לניצול גם כשמקור ה-DLL שהתוכנה מנסה לטעון איננו בתיקיית המערכת (ספריות DLL השייכות לתוכנה ספציפית):
The biggest difference is that the new issues mostly apply to applications where the hijacked DLL does not exist in the system directory (application-specific libraries).
פתית מידע נוסף: למרות הצהרותיה, קרסה מיקרוסופט תחת פרסומי התקשורת השליליים ופירסמה תיקון לחור האבטחה. במקביל, החל גל האקספלויטים לעניין להציף את הרשת, ובין התוכנות הפגיעות – Powerpoint 2010 וכן חבילת Live (שניהן תוצרת מייקרוסופט), כמו גם uTorrent (קליינט ביטורנט) ואפילו Wireshark (תוכנה שמשמשת הרבה חוקרי אבטחת מידע ואפילו מפתחי אתרים לחקירת התעבורה העוברת ברשת).
פתית על הפתית: רוצה לציין הרבה הרבה הרבה [והמוני המונים] של תודה ל-TheLeader, שנתן אזכור לכתבה הקודמת בתוך אקספלויט DLL-Hijacking שהוא פירסם בexploit-db עבור uTorrent. נציין שיש סבירות גבוהה מאוד שהוא זה שהזין את הדוגמאות לרוב המדיות התקשורתיות בחו"ל אודות האקספלויטים (כולל האתר העצום The Register – כבוד!) – הוא הראשון שראיתי שכתב אקספלויטים עבור uTorrent, Wireshark ו-Powerpoint. סחתיין עליך חבר (:
מקורות להרחבה זו: הפוסט בבלוג החברה, תגובות לפוסט הקודם, האקספלויט שפרסם אביב (2006), עלון המידע של SecurityFocus משנת 2000, כתבה שמזכירה את תגלית חוקר האבטחה הישראלי אביב ראף ב-2006, כתבה על הכלי לחסימת הפירצה שנכתב על ידי מיקרוסופט.
התודות ניתנות ל: חדר ה-IRC [שרת irc.nix.co.il, חדר security#] שלנו (ו-cP שנכנס לעדכן), אביב ראף (בלוג מצוין), TheLeader (על הפירסום, בדיקת המאמר הקודם והתרומה לקהילה הישראלית).
ראיתי לנכון לכתוב פוסט חדש ולא לעדכן, למען ההוגנות והחשיפה שהמידע שהוצג מקודם היה לא מדויק במלואו. הפוסט הקודם יקשר לפוסט זה (:
- ים מסיקה
היו לי בערך 20 רעיונות לשמות לפוסט הזה. "מבוא לשיעור בתקשורת", "איך להשיג רייטינג בשיטת ynet", "ההאקרים הישראלים מנמנמים… לפחות לפי ynet" ועוד שלל רעיונות נחמדים. לבסוף הסתפקתי בכותרת הנוכחית, ובשיחה מעניינת בתחילת הפוסט:
עורך א: "בואו נייצר ידיעה גדולה. אני מתכוון, ממש גדולה. ענקית, עצומה."
עורך ב: "עיגול קצוות?"
עורך א: "חידוד פינות."
עורך ב: "על מה הפעם?"
עורך א: "איזה חבר מסר לי שנפרצו הרבה חשבונות, משהו שקשור לכסף וחשבונות בנק… יש חומר, אל תדאג."
עורך ב: "אה, נהדר, עונה על כל הדרישות שלנו: בר-ניפוח, מעורר המולה, מפחיד את הציבור, ידיעה בלעדית והכי חשוב – מביא רייטינג!"
כמובן שלא מדובר בשיחה אמיתית בין שני עורכים, אלא בהמצאה מהמוח הקודר שלי. למרות זאת, קשה לי שלא להאבק ביצר שלי להפוך את השיחה למגוחכת יותר, טיפשית יותר ועוקצת יותר, פשוט מכיוון שבזמן האחרון נראה כיאילו כך מתנהלת התקשורת. היא מתעקשת שלא לתת לעובדות לבלבל אותה, לייצר פאניקה ומחלוקות בציבור ולהשמיד כל חלקה טובה – זו התקשורת של מדינת ישראל, רמיסה של כל ערך והוגנות עבור הרייטינג והרווח האישי. היכן הם הזמנים שהתקשורת הייתה "כלב השמירה של הדמוקרטיה" במקום המחסלת העיקרית שלה? היכן הם הזמנים שהתקשורת ידעה לדווח על מאורעות כפי שהם, ולא לנפחם במימדים בלתי נתפשים רק על מנת להשיג רייטינג?
אני מדבר כמובן על הידיעה האחרונה בynet, לפיה נפרצו על ידי טורקים עשרות אלפי חשבונות כספים ופורסמו בקובץ אקסל (excel) באתר cyberwar. כאופייני לכתבות אבטחת המידע בynet, נראה שאף אחד לא עבר על הכתבה והיא נכתבה על ידי שטוטניקים גמורים. כנסו לכתבה ותפחדו לרגע. ל50% מהגולשים לא יהיה אכפת. 35% יפחדו, 13% ילכו לכתוב טוקבק ואולי 2% ילכו לחקור מה באמת קרה. שמח להיות מיוחד – ממליץ גם לכם להיות כשynet קופצים עד מעל הפופיק עם כתבות מוגזמות.
אז חקרתי. חקרתי והגעתי לקובץ המקורי שפורסם (שתוכלו להשיג בעצמכם אגב – הוא נקרא homeless.xml). הקובץ, שמכיל את שמות המשתמשים והסיסמאות של המשתמשים הישראליים, נגנב באופן ישיר מאתר ממסד הנתונים של אתר "הומלס" (ולא "אולי" או "כמעט", וגם לא מאף אתר אחר). באתר שבו פורסם הקובץ (הקובץ כבר מחוק, לידיעתכם), נכתב שנפרצו 32,560 משתמשים של האתר הומלס, כולל שם משתמש, סיסמה וכתובת דואר אלקטרוני. שימו לב שמי שלא עשה שם משתמש זהים לאתר "הומלס" ולתיבת הדואר האלקטרוני שלו – לא צריך לדאוג כלל, שכן הפרטים שנגנבו הם של האתר הומלס ולא של הדואר האלקטרוני. ynet מתיימר להציג עובדה שגויה, והכותרת הישנה של הכתבה אף ציינה במפורש:
הבלוג we-cms טוען כי 32 אלף ססמאות, פרטי חשבונות PayPal ופרטי אשראי של ישראלים שנגנבו מאתר מסחרי מרכזי בישראל – נמצאות בפורום טורקי בקובץ הזמין לכל אחד.
אז לא. ממש לא. לא פרטי אשראי, לא פרטי PayPal ולא "אתר מסחרי מרכזי". פשוט ניפוח טוטאלי, מכוער ועלוב של התקשורת שנוצר על מנת ליצור הפחדה.
אגב, קראו לי "קטנוני", אבל בעוד בפועל 32,560 חשבונות, בynet דווח – "האקרים טורקיים הצליחו להשיג ססמאות של 32,561 ישראלים". לא מעצבן אותי אחד פחות או אחד יותר, כמובן, אלא עקרון ההגזמה שחוזר גם פה: בשיניים ובציפורניים מוסיפים עוד משתמש כדי לגרום לזה להראות רציני יותר.
אבל מה יוצא לynet מכל העניין? בוא נבדוק:
- רייטינג! מי שעושה כתבה מנופחת ומוגזמת לחלוטין, מקבל רייטינג בגלל המאורע המיוחד והמרגש שהתרחש.
- רייטינג! מי שכותב דברים שמפחידים את הציבור, גורם לכך שהכתבות שלו יופצו ברמה עולמית.
- רייטינג! מי שכותב על דברים שלא היו ולא נבראו, יזכה לידיעה "בלעדית"! שעוזרת לקבל… (נחשו!… רייטינג!) איזה כיף!
- רייטינג! יצירת סכסוכים עתידיים לצורך רייטינג עתידי (הטורקים פורצים לכם לדבר הכי חשוב – חשבונות בנקאיים).
- רייטינג! יצירת סכסוכים בין קהילות בישראל לצורך אפשרות לפיתוח כתבות עתידיות ("ההאקרים הישראליים לא פועלים!")
למישהו עוד יש אילו שהן ספקות בקשר לכמה אפשר לסמוך על התקשורת בענייני אבטחה?
עד הניפוח הבא,
- ים מסיקה
נ.ב. – רציתי להזכיר לכולם שאנחנו זמינים גם ברשתות החברתיות (Facebook, Twitter וכו' – לינק למעלה, ב"דפים"), וכן גם בעדכונים דרך הדואר האלקטרוני (מוזמנים להרשם דרך השורה העליונה ביותר של האתר).
נ.ב. 2 – לשם הסר ספק, אני בהחלט לא מאשים כתבים כמו ארז-וולף (זה שגילה את הפירצה), שפעל נכון מאוד לפי דעתי וסיפק את כל הפרטים הטכנולוגיים הנחוצים על מנת שהידיעה תהיה בהירה ולא מוצפת בהצהרות שגויות ובאי דיוקים טכנולוגיים למינהם.
נ.ב. 3 – קראתי את מה שכתב באתרו עו"ד יהונתן קלינגר (בחור שאני מכבד מאוד). למרות כל מה שנאמר בפוסט הזה, ממליץ קריאה – בין היתר מכיוון שזה קשור לעניין הפריצה ומסכם את הרעיונות שלי בצורה הטובה ביותר.
אגב, לשם ההגינות: מסתבר שנחשפו מעל לעוד 70,000 כתובות (פורסם לאחר פרסום הידיעה הנוכחית, וכן הידיעה בynet). תוכלו לראות את כתובות המיילים שנפרצו, ללא סיסמאות, בקובץ שהעלתי עבורכם. אם מצאתם שהאימייל שלכם כלול שם, נא לשנות את הסיסמה.
לפני הכל! שימו לב! נוסף למעלה עמוד שנקרא "ברשתות חברתיות" ומכיל קישורים שלנו לפייסבוק ולטוויטר – אתם בהחלט מוזמנים להרשם ולעקוב אחרינו. יופיעו שם עדכונים שוטפים על כל מה שחדש בבלוג, ולפעמים (אם יהיה לי אקסטרה-פאוור) הגיגים ומחשבות מעניינות. נוסף על כן, תוכלו להרשם במקומות שונים באתר לרשימת התפוצה שלנו – שתעדכן אתכם בכל פוסט שרשמתי באופן אוטומטי. הבלוג שומר על ממוצע כניסות נאה לאחרונה ואני מאוד מרוצה, תודה רבה לכל המתעדכנים הקבועים.
ולעניינינו: ברוכים הבאים לפוסט נוסף של מבזקי ברק. השבוע לא עדכנתי את הבלוג בכלל (השבוע הראשון שפרט למבזקי ברק לא הופיע אף פוסט). אני מדגיש שאם מתחשק לכם לפרסם פה פוסטים על אבטחת מידע וטכנולוגיה, כל עוד שהפוסט יהיה מובן לכולם (גם למשתמשים לא טכנולוגיים) – אשמח לפרסם אותו כאן. להזכירכם (או לטובת הקוראים החדשים שהמעבר על שאר הפוסטים מומלץ עבורם), מבזקי הברק הן פינה מגניבה וחדשנית שמלקטת עבורכם את עדכוני השבוע שאני מצאתי כמעניינים מעולם אבטחת המידע. חושבים ששכחתי משהו? תוכלו ליצור איתי קשר באופן פרטי במייל בדף האודות או לפרסם אותו בתגובות – ואם אמצא אותו כאייטם מעניין אדאג להכניס אותו לפוסט. אז מה היה לנו השבוע?
ה-VeriSign הולך יחף - אחד מספקי האבטחה הגדולים ביותר בעולם, VeriSign, נתפס השבוע כשהוא חשוף לפירצת האבטחה הידועה לקוראים הקבועים – XSS. אופס? כידוע, פירצת הXSS מאפשרת להרצת קוד (מסוג JavaScript) על המחשב של המשתמש, דבר המאפשר "להגיע רחוק": מגניבת משתמשים ועד השתלת וירוסים קטלניים – הכל אפשרי.
ים אמר – וים צדק - אחד הפוסטים הראשונים שלי בבלוג היה על פיראטיות, ועל כמה המלחמה בה היא טיפשית ולא מועילה. דיברתי על מאפיינים שונים במלחמה חסרת-הסיכוי הזו שהופכים אותה למנוונת ועלובה, ולמרות זאת הכתבה זכתה לציון די נמוך (עקב חוסר הסכמה אידיאולוגית לדעתי, אך יש גם הסיכוי שעקב חוסר הסכמה מעשית). בכל מקרה, הנה ה"אמרתי לכם" שלי, וזה רק מתחיל: עונשו של משתמש בשם ג'ואל טננבאום הלומד באוניברסיטת בוסטון ונשפט בגין פיראטיות הופחת מ675 אלף דולרים ל67.5 אלף (90%). בנוסף לכך, נמתחה ביקורת חמורה על ידי השופט אודות התנהלות ה-RIAA (ההתאחדות האמריקנית של יצרני התקליטים). עוד נודע לנו בזכות הדו"ח הטכנולוגי של יוסי גורוביץ, שבסך הכל, בשנים 2008-2006 הוצאה אותה התאחדות עלובה 64 מיליון דולר וקיבלה בחזרה 1.36 מיליון דולר. באסה.
דפדפנים עם חורים - "חורי אבטחה" התגלו בתוספות לשני הדפדפנים Mozilla Firefox ו-Google Chrome. שימו לב שלא מדובר בחורי אבטחה שבאים Built-in עם הדפדפן, כפי ששאר הכותרות ברוב אתרי החדשות הפופוליסטיים מנסים למכור לכם! מדובר באפשרויות להתקנת תוספים (Add-ons) לדפדפן, כאשר אותו Add-on הוא זדוני ועלול לגרום נזק רב למשתמש. בשני מאגרי התוספות הרשמיים של הדפדפנים (המקומות שבו היצרניות מאגדות ונותנות אפשרות להוריד תוספות), התגלו תוספים מסוימים המכילים פרצות אבטחה, שעלולות לגרום לגניבת שמות משתמש וסיסמאות. מסוכן.
ארצות-הברית והסייבר – ארצות הברית, כידוע לנו כבר מעדכונים של השבועיים הקודמים, נכנסה לפאניקה טוטאלית (ואולי מוצדקת?) החודש עם שגעון ה"בוא-נקטין-את-פגיעות-הסייבר-שלנו-ונגדיל-את-הפרטיות-פה". סייבר (cyber), לכל מי שלא יודע, הוא כל דבר הקשור או נמצא במרחב האינטרנטי – וארצות הברית רוצה "לתקן את כל מה שקשור בזה". במסגרת השגעון כבר נכנס חוק שלנשיא מותר לנתק בהנפת אצבע חלקים נרחבים של ארצות-הברית מן האינטרנט. התוכנית אפילו זכתה לטיוטה מתאימה – וכנראה שמדובר במשהו גדול יותר ממה שאנחנו מסוגלים לדמיין. אין לנו הרבה לעשות חוץ מלחכות ולראות לאיפה זה מתפתח.
זוכרים את פרשת גוגל? - אני שומע במוחי את רוב הקהל צועק מיד (וצודק) "איזו מהן!", אך הפעם אני מדבר על זו שאוזכרה דווקא פעמים רבות בבלוג: פרשת איסוף הפרטים של רשתות הWi-Fi הבלתי מאובטחות. בקצרה, למי שלא מכיר: גוגל החביבים החליטו שיהיה ממש חביב, אם במסגרת פרויקט Street View, בו הם שולחים מכוניות מיוחדות של גוגל לסרוק כל חור בעולם ולהציג אותו במפות תלת מימדיות שלה, יאספו גם אותות הWi-Fi של הרשתות השכנות. הם טענו שזה היה בטעות, אבל אני לא נוהג לרשום בבלוג דברים שאני לא מאמין בהם. בקיצור, לאחר שבריטניה כבר הספיקה להאשים את גוגל, וקללות נשמעו בכל רחבי העולם על המדיניות הקלוקלת (דבר שגרם להפסקת עדכון המפות של Street-View באופן זמני), הצטרפו לעצבים גם האוסטרלים (אם כי באיחור ניכר, ולמרות פרסום התנצלות בבלוג הרשמי האוסטרלי של גוגל). המחדל קרה בסך הכל ב-30 מדינות… מעניין כמה סיפורים על גינויים נצטרך לשמוע.
פרצות אבטחה? אפל ראשונה! - וממקום שלא ציפינו לו – מחקר חדש: סיכום תוצאות מראה שבחצי הראשון של שנת 2010, מספר חורי האבטחה שנמצא במערכות שונות הוא זהה לזה שנמצא בכל שנת 2009! בראש הלהיטים של מספר פרצות האבטחה, מככבים: במקום הראשון והמפוקפק במיוחד – אפל (וואו?!), לאחר מכן חברת מסדי הנתונים אורקל (פה אני חייב להודות שלא הופתעתי, במיוחד אחרי שהשבוע הוציאה 59 עדכוני אבטחה חדשים) ולשלישית שהפתיעה דווקא לטובה: מיקרוסופט! (הופתעתי לטובה. בחיי. או שנמאס לאנשי אבטחת המידע למצוא באגים של מיקרוסופט, או שפשוט החברות האחרות פישלו בענק). מעוניינים במחקר? קבלו אותו במחיאות כפיים סוערות.
המלך העירום גירסת בריטניה: המלוכה בבריטניה מציעה פתרון מקורי לבעיית הפיראטיות: הספקית תשלם על כל תוכן פיראטי שהורד מהאינטרנט על ידי משתמשיה. כמה פשוט וקל! מה? אני שומע מישהו פה צועק איך לאכוף את זה? אה… בקשר לזה… תשמעו… זה לא ש… טוב נו. הבריטים כבר ימצאו דרך… או שלא.
סיסמאות? למי אכפת - מחקר מעניין החליט לבדוק את הרגלי הסיסמאות הגרועים של משתמשי האינטרנט. אם להגיד את אמת, לא מדובר בגילוי חדש והממצאים אפילו מפתיעים לטובה – לפי הממצאים שפורסמו בF-Secure, כ51% מהאוכלוסייה משתמשים בלוגיקה מסוימת על מנת ליצור את הסיסמה – דבר העוזר להם להזכר בה. 19.4 אחוזים משתמשים באותה סיסמה לכל השירותים שלהם, 20.7 אחוזים רושמים אותה על דף נייר ו8.8 אחוזים פשוט לא נוהגים לזכור את הסיסמה שלהם – הם משחזרים אותה בדואר האלקטרוני. הממצאים שהובאו פה הם ממוצעים, ואתם מוזמנים להסתכל בתמונה הכוללת כאן. הבלוג ממליץ: וודאו שאין לכם תוכנות זדוניות על המחשב, השתמשו בסיסמה עם 8 תווים ומעלה, הכניסו בסיסמה אותיות גדולות, קטנות ומספרים, ואם אתם ממש אשפי זכרון – הכניסו גם תווים מיוחדים כמו ~ או $. לא מומלץ להשתמש בכמה אתרים באותה סיסמה – הגדירו לפחות סיסמה נפרדת לחשבונות מאוד רגישים. מעקב אחרי ההוראות הללו יחסוך ממכם עוגמת נפש רבה, שכן לסיסמאות יש חשיבות רבה בעולם היום-יום. כפי שאמר הבחור הגדול קליפורד סטול (Clifford Stoll):
Treat your password like your toothbrush. Don't let anybody else use it, and get a new one every six months.
נינטש בשדה הקרב? - אז זהו, אחרי מיליון דיווחים שקראתי ולא הבאתי לבלוג על מנת לחסוך ממכם פאניקה ובלבולי שכל, נגמרה תקופת התמיכה בWindows XP SP2. מה זה אומר? כל מחשב עליו מותקנת מערכת ההפעלה הזו, פשוט לא יקבל יותר עדכונים חדשים – אפילו אם ימצאו חורי אבטחה (וכפי שכבר ראינו, ההיסטוריה של מיקרוסופט לא מזהירה במיוחד בתחום הזה). מה עושים? משדרגים לSP3 דרך מרכז העדכונים, או מחליפים מערכת הפעלה לאחת אחרת. (לבחירתם, לאו-דווקא ווינדוס 7. לינוקס ומק הן גם אופציה). על מנת לבדוק איזו גירסה יש לכם, לחצו על לחצן החלונות במקלדת (Win) יחד עם הלחצן Pause Break. אין כוח לחפש איפה הם? לחצו קליק ימני על המחשב שלי, ומאפיינים (Properties). חטטו שם קצת, ועד מהרה תגלו – מקסימום, תמיד יש גוגל.
Micrussia?: מיקרוסופט ורוסיה החליטו להתיידד באמצעות מהלך מוזר, לפיו מיקרוסופט תפתח בפני צוות המודיעין רוסיה את קוד המקור של מערכת ההפעלה החדישה ווינדוס 7. קוד המקור הוא הקוד שממנו נוצרה התוכנה (במקרה הספציפי שלנו: מערכת ההפעלה ווינדוס 7). מיקרוסופט פרסמה שמטרתה היא להגביר את מכירותיה ברוסיה. רק אני מריח פה משהו מסריח?
שועל האש שורף בשבילכם כסף: רוצים 3,000$? אין שום בעיה! צוות שועל האש החזיר לפעולה תוכנית למציאת חורי-אבטחה, זו הוצגה לראשונה לפני שלוש שנים. מטרת המשתתפים בתוכנית היא מציאת חורי אבטחה בדפדפן עם סיכון גבוה, וכמובן שלא יוצאים בידיים ריקות: מצאת משהו רציני? קיבלת 3,000$. אני מכיר הרבה שיתווכחו על המחיר, אבל אם למישהו יש אקסטרה-זמן, רצון מטורף לתרום לקהילה והרבה כוח לויכוחים עם מוזילה – הנה ההזדמנות. לפרטים נוספים.
ואיך אפשר לסיים בלי להזכיר את פינתינו החביבה, שמופיעה לגיקים המסורים כל שבוע מחדש:
תוכנות השבוע: התוכנה הראשונה היא Fork של Paros Proxy, והיא מהווה כלי נחמד ביותר לבדיקות חדירות – קבלו את Andiparos 1.0. השנייה היא פשוט חבילת אקספלויטים חביבה שפורסמה על ידי Malc0de. כמובן שכל שימוש לרעה בחומר זה הוא לחלוטין אסור על פי חוק והעובר עליו עתיד להשפט על הפרת חוקי מדינת ישראל בבית המשפט.
עד כאן להשבוע, נתראה בשבוע הבא (:
- ים מסיקה
זהו השבוע החמישי של "מבזקי ברק" – מבזקים מעולם הטכנולוגיה ואבטחת המידע. אני מודה לכם על כל התגובות למבזקי הברק הקודמים ועל הפידבקים החיוביים באמצעי הקשר השונים, זה מה שגורם לי להמשיך (; להזכירכם (או לטובת הקוראים החדשים שהמעבר על שאר הפוסטים מומלץ עבורם), מבזקי הברק הן פינה מגניבה וחדשנית שמלקטת עבורכם את עדכוני השבוע שאני מצאתי כמעניינים מעולם אבטחת המידע. חושבים ששכחתי משהו? תוכלו ליצור איתי קשר באופן פרטי במייל בדף האודות או לפרסם אותו בתגובות – ואם אמצא אותו כאייטם מעניין אדאג להכניס אותו לפוסט. אז מה היה לנו השבוע?
טלפון חכם? כנראה שלא כל-כך - 50 אנשים נעצרו ברומניה על שימוש אסור בטלפונים חכמים לצורך ריגול. אותם אנשים התקינו על הSmart-Phones של אנשים שונים תוכנות ריגול, שעזרו להם לרגל אחרי בנות-זוגם, מתחרים ואנשים אחרים שנפלו קורבן לאותו ריגול ממניעים אלו ואחרים. אמנם התוכנות לא ממש יכולות להיות מותקנות מרחוק, אבל בהחלט היינו מציעים לכם להתקין איזו תוכנת הגנה נורמלית לטלפונים הניידים שלכם (תחום שמתפתח בטירוף לאחרונה – שווה לעקוב).
AMTSO WHAT? – קווים מנחים לבדיקת וירוסים התקבלו לאחרונה על ידי לא אחרת מאשר… AMTSO. מה? מי זאת? גם אני לא שמעתי על החבר'ה, ובעקבות זה יצאתי למסע להבין במי לעזאזל מדובר. מסקנות: ראשית, מדובר בAnti-Malware Testing Standards Organization (ארגון הסטנדרטים לבדיקות נגד רושעה). שנית, מסתבר שהרבה מחברות האנטי-וירוסים הגדולות ביותר חברות בה, ואני מדבר על AVG, Avira, Avast, ESet, Symantec , McAfee, AV-TEST ועוד המוני שמות שמוכרים לנו מחברות האנטי-וירוס הגדולות. שלישית, אם תרצו להתקבל – אין שום בעיה. 2,000 יורו בשנה ואתם בפנים. לקווים המנחים שפורסמו (שני הקישורים התחתונים).
הכוכבים של Ynet – האתר של ידיעות אחרונות, ynet, פועל כרגיל. כשאני אומר "כרגיל", אני מתכוון כמובן למגמתיות הנתעבת שבאה לידי ביטוי כמעט בכל מילה שקיימת באתר. אז נכון, אולי הם מעתיקים את הכותרות מאתרי חוץ גדולים יותר, אבל הם רחוקים מלהיות תלית שכולה תכלת. אני מתכוון, כמובן, לפרשת "סרטוני הפורנו". כפי שדיווחנו לכם כבר במהלך השבוע, אתר הסרטונים הענק YouTube סבל מפרצת אבטחה חמורה הקרויה "XSS קבוע" באתר. הקורבנות לפי ynet הם כמובן לא המשתמשים, אלא… ג'סטין ביבר! שמספר נמוך עד בלתי-מורגש של סרטונים שלו הושחתו. כך גם נבחרה כותרת הענק על סרטוני פורנו, למרות שבפועל אולי 0.01% מהסרטונים באתר הובילו לאתרי פורנו.
נגסו בתפוח – השבוע הגיעו דיווחים רבים על פריצה לחנות האפליקציות לאייפון, הApp-Store שמנוהלת על ידי חברת הענק אפל. בסופו של דבר, הסתבר שפרצו לעשרות משתמשים וקנו דרך חשבונם האישי אפליקציות שונות במחירים מוגזמים (בכל חשבון בוזבזו, בדרך-כלל, בין 100$ ל1,400$). האפליקציות שנקנו, כמובן, היו שייכות לפורצים – ששלשלו סכומים נכבדים מאוד לכיסם הפרטי. מה שהדליק את התקשורת במיוחד בהתנהלות הפרשיה, הייתה התגובה של אפל – שמיהרה להכחיש, וגם כשהודתה אמרה שמדובר רק ב400 חשבונות. אם להיות אמיתי, מדובר באשמת בעלי החשבונות שבוודאי בחרו סיסמה פשוט והתקשורת ניפחה לגמרי. אבל נו טוב, מי אני שאתווכח עם תקשורת שתמיד כל-כך דואגת לדווח בכנות ולא לנפח כותרות…
Patch Tuesday - בזמן האחרון, לא עובר שבוע שאני לא רואה עשרות דיווחים על עדכוני האבטחה של מיקרוסופט. למי שלא קרא פוסטים קודמים, Patch Tuesday הוא כינוי ליום שלישי, בו מיקרוסופט מוציאה תיקונים לפרצות אבטחה במערכת שלה. בשבוע האחרון תוקנו ארבע פירצות – שלוש פירצות קריטיות המאפשרות השתלטות ממחשב מרוחק – 2 במערכת ההפעלה ווינדוס ואחת בחבילת Office, ועוד עדכון "חשוב" (מדורג מתחת ל"קריטי") לפירצה נוספת בOffice המאפשרת השתלטות ממחשב מרוחק. הפרצות לאופיס הודלפו על ידי ארגון בשם Vopen Security. כמובן שישנם עוד פרצות שהתגלו ולא הוצא עבורם עדיין טלאי (פרצות כאלו נקראות בעגה המקצועית Zero-Day), כמו זו שנמצאה עד לא מזמן ב-IIS 5.1… למיקרוסופט יש הרבה על מה לעבוד.
Oopsbuntu – השבוע לא נאשים רק את מיקרוסופט (למרות שזה כיף לא נורמלי), אלא גם נדווח לכם על פירצת אבטחה רצינית שנמצאה במערכת ההפעלה הלינוקסאית Ubuntu! הפירצה מאפשרת למשתמשים מקומיים להשיג גישת מנהל, ונמצאת במודל MOTD, שמאפשר להציג למשתמשים הודעת כניסה בעת התחברות מוצלחת. לפרטים נוספים.
התקפה חדשה בתאוצה - "חטיפת-טאבים" (התרגום הוא שלי, חופשי, מהמילה האנגלית Tabnapping) היא מתקפת פישינג (דיוג) חדשה ברשת. הבעיה: היא משגשגת. מאוד. בהמשך השבוע אולי יבוא סיקור מלא על המתקפה, אך לבנתיים אציע לכם להזהר – המתקפה מבוססת על כך שמתי שאתם עוברים לטאב אחר (טאב = "לשונית", אתר אחר שפתוח באותו חלון בדפדפן), היא מחליפה את הסמל של הדף שממנו עזבתם (favicon) וטוענת אתר הדומה לאתר מפורסם ומוכר. בקיצור: לפני שאתם מתחברים לשירות כלשהו, תמיד בדקו את שורת הכתובות שלכם וראו שהכתובת נכונה ומדויקת.
תחרות עם נשק יום הדין - DefCon הוא מפגש האקרים שנתי עולמי, המתקיים כל שנה וזוכה לחשיפה ענקית בכלי התקשורת. השנה מארגני דפקון מארגנים תחרות אדירה, הממומנת על ידי הבעלים של האתר http://www.social-engineer.org/ – הרעיון הכללי הוא להעלות את המודעות לנושא ההנדסה החברתית. לפי התכנון, כל משתתף יקבל תיק מסמכים מפורט על כתובת אותה הוא צריך לתקוף. המטרה: לאסוף כמה שיותר מידע. לפני הכנס יהיה מותר לאסוף כמה מידע שירצו על החברה, אך אסור יהיה להם עד הכנס ליצור איתה קשר באיזשהו אופן. בסופו של דבר, יהיו לכל קבוצה 5 דקות להסביר מה הלך שם. זה הולך להיות מסקרן.
שוב אדובי?! – כן כן. לאחר שכבר דיווחנו לכם בשבוע שעבר על הבעיות באבטחה של מוצרי אפל, הנה זה מגיע שוב. החברה לא הצליח לתקן את פירצות האבטחה בקורא קובצי הPDF שלה בצורה טובה מספיק, ולנו רק נשאר להכיר לאדובי את הביטוי Facepalm. לפוסט בדיגיטל וויספר על עקיפת ההגנה.
האם לפרוץ CAPTCHA זהו פשע? – CAPTCHA, או בשם המוכר יותר למשתמשים הביתיים "הקוד-המעצבן-הזה-שצריך-להעתיק-מהתמונה-בזמן-ההרשמה", הוא מנגנון הנועד לעצור רובוטים מלהרשם מאות פעמים ולהציף את האתר. הוא לא ממש אהוד על משתמשים, ובטח שלא על האקרים שמנסים להפיל אתרים. לאחרונה עלה דיון על האם לפרוץ את המנגנון המיוחד נחשב פשע, לאחר שחברה B קנתה מחברה A מספר עצום של כרטיסים, תוך כדי עקיפת מנגנוני הCAPTCHA שלה, עקב רצון למכור את הכרטיסים ולעשות רווח גבוה.
הפיראטים קיבלו בארררררררראש – אתר The Pirate Bay הענק והגדול שמשמש לשיתוף והורדה באינטרנט, נפרץ באמצעות שימוש בחור אבטחה בשם SQL Injection שהיה שם. איך נפלו גיבורים.. לאתר אמנם לא נגרם נזק, אך הושגו פרטים רגישים של משתמשים, כמו כתובת IP של המשתמשים בטראקר, סטטיסטיקות מדויקות של קבצים, שמות משתמשים וסיסמאות (אל דאגה – הסיסמה שלכם מוצפנת בMD5, אלגוריתם שדורש עבודה רבה מאוד אם רוצים לפענח אותה).
החוק להשבתת האינטרנט – סרט ההמשך - NSA (סוכנות הבטחון הלאומית של ארצות-הברית, National Security Agency) החליטה להערך לקראת מלחמת רשת (cyberwar). במסגרת ההחלטה, בשבוע שעבר הועבר החוק שנתן לנשיא ארה"ב (נכון לכתיבת שורות אלו אובאמה) את האפשרות לנתק חלקים נרחבים מרשת האינטרנט בעת מלחמה אינטרנטית. הNSA הוציאה תוכנית יקרה שנקראת "אזרח מושלם" (Perfect Citizen) שמטרתה להודיע על אפשרות להתקפה סייברית על לחברות הפרטיות והממשלתיות שאחראיות לייצור דברים החיוניים לארצות הברית, כמו חברות חשמל או תחנות אנרגיה גרעינית. ההגנה תתבצע באמצעות חיישנים מיוחדים הפרוסים ברשתות מחשוב קריטיות. יעניין לשמוע, שהמלחמה האינטרנטית כעת בראש כותרות מדורי הטכנולוגיה של ארצות-הברית.
פינת התוכנות השבועית לגיקים! – למרות שאתם ממשיכים לא להיות מועילים ולא לעדכן אותי, אני כל שבוע ממשיך ומביא תוכנות לגיקים שיצאו ממש השבוע.
- הראשונה היא inundator v0.5, שמטרתה היא להתחמק מIDS/IPS וWAFים, על ידי הצפתם בfalse positives. שקלתי הרבה אם להביא אותו, ובסוף החלטתי שכן – על מנת שתהיה לכם הגנה ראויה לפני שהכלי ישומש עליכם, מה שמביא אותנו לכלי השני.
- Safe3 SQL Injector הוא אחד הכלים החזקים ביותר שאני מכיר להזרקות SQL, ותומך בעוגיות, POST, GET, ב8 סוגי שרתי בסיס-נתונים, עקיפת WAF ועוד ועוד.
- הכלי השלישי והאחרון שיקפיץ כל לינוקסאי-רוורסר הוא REMnux, שהיא הפצת לינוקס מקונפגת במיוחד עבור רוורסינג של Maleware. מבוססת אובונטו.
עד כאן דיווחי השבוע, להתראות בשבוע הבא
ים מסיקה
שלום לכם, ותודה שחזרתם לקרוא כתבה נוספת בעניין ה-XSS. נעים מאוד לראות את כל התגובות שלכם לכתבה הקודמת, שהתפרסמה, אגב, גם בNewsgeek (וגם שם זכתה לתגובות אוהדות). רציתי להגיד לכולם תודה רבה, ושהתגובות שלכם הן מה שמשלהב אותי להמשיך להמשיך לכתוב פוסטים ב4 לפנות בוקר ;). היום נדבר על מקרה פרטי מאוד מעניין, שכמעט לא מוכר ולא מדובר. בהרבה מדריכים "מקיפים" לאבטחת מידע לא מצאתי מילה בנושא – וכשאני אומר "לא מצאתי מילה", אני מתכוון ל"חיפשתי בגירסאות האלקטרוניות של 'Web Application Hacker's Handbook' ו'XSS Attacks' באופן אלקטרוני, ולא מצאתי שום הזכרה לעניין הזה". האם חוסר המודעות העצומה גורמת לרשלנותן של כל-כך הרבה חברות ענק בנושא, הן של חברות ישראליות והן חברות חוץ? אינני יודע לענות לכם על כך בוודאות, אבל אני חושש שהתשובה היא כן. יש להבין שבהעדר רכישת אמצעים מקצועיים לאבטחת הערוצים התקשורתיים, כפי שכבר הזכרתי בעבר, רק הפרצות הנפוצות שמוכרות לבוני האתרים יטופלו.
אזהרה – למי שלא קרא את הפוסט על XSS-ים, אינני מתכוון לדוש בו שוב. בפוסט זה אני הולך להשתמש בכל הביטויים שהגדרתי בפוסט הקודם, ולכן אני מבקש מכם ללכת ולקרוא אותו כמה שיותר מהר. לעצלנים: לינק. באם לא הבנתם חלק מסוים במאמר, תוכלו בשמחה ליצור עמי קשר במייל ולפרט את החלק שלא הבנתם. אני מבטיח לעזור במגבלות הזמן והלחץ שיש לי בימים האחרונים.
כולנו זוכרים (אוי לקוראים הותיקים אם לא) את ההגדרה שהצגתי ל"שרת", החוטאת בדיוק למען קיצור אורכה – מחשב מרוחק המחובר לרשת האינטרנט, ומשמש אותנו למטרות שונות (פירוט נוסף כמובן מופיע בפוסט על הIRC). כשאנחנו אומרים "שרת הקבצים", אנחנו מתכוונים לשרת שמוצא עבורינו קובץ מסוים על המחשב שבו מאוחסן האתר, מאפשר ומבצע את שליחתו למשתמש. זאת אומרת: אם אני, ים, נכנס ל http://www.mesicka.com/index.php, שרת הקבצים ידע לשלוף עבורי את הקובץ index.php. (הוא אפילו יעבד את הקודים של הPHP שבו עבורי – ראו פוסט קודם).
לעניין – crossdomain.xml
ישנן מוסכמות על שמות של קבצים רבים שלהם יש חשיבות מסוימת, ולמרות שמשתמש רגיל יכול לצפות בחלקם – הם אינם חלק מתוכן האתר באופן ישיר. אתן דוגמה: בחלק מהאתרים ישנו קובץ בשם robots.txt (גם לנו יש). הקובץ, שכבר הוזכר באחד הפוסטים הקודמים שלי, בבירור לא נועד כדי להיות חלק מן התוכן באתר באופן ישיר, ומטרתו האמיתית היא להראות לרובוטים של מנועי החיפוש (זחלנים) מה לעשות (לקריאה נוספת). באופן דומה, יש את הקובץ htpasswd (קיים בשרתים מסוימים עליהם מותקן שרת דפי-אינטרנט בשם "Apache") שמטרתו היא להגביל כניסה לדף מסוים בשם משתמש וסיסמה – והצגת התוכן שלו, כמובן, איננה נגישה למשתמשים, שכן הוא מאחסן את שם המשתמש והסיסמה שיאפשרו גישה לדף. יש עוד מספר קבצים מיוחדים כאלו (שיעורי בית: חפשו על htaccess ועל sitemap.xml), חלקם אחראיים על תפקוד השרת עצמו (php.ini לדוגמה) וחלקם מבקשים משרתים אחרים דברים (robots.txt).
ובכן, למרות שהסוג השני יותר נדיר, הנה הצצה נדירה לקובץ שאת שמו מעטים מכירים: crossdomain.xml. מסתבר שהוא קיים בהמון אתרים, ולרוע המזל – לפעמים הוא יכול להיות ממש לא נחמד. הוא אינו בגדר וירוס, אבל אני מניח שכל קוראיי יסכימו שכמו שלא נמליץ לטבח להתחיל לתכנן ולבנות לבד בניין שדורש יעוץ אדריכלי, כך עדיף יהיה שלא כל בעל אתר יתעסק בקבצים שאיננו מבין בהם. חיזרו למאמרי הקודם בנושא הXSS, וקיראו שוב את ההגדרה המפורטת של "עוגיות" – פתיתי מידע שנשלחים מהשרת ונשמרים על המחשב שלנו, ובסופו של דבר מכילים פעמים רבות את פרטי ההתחברות. משנזכרתם, אוכל להגיד לכם למה אותו קובץ (שעד עכשיו הצגתי כקובץ אימה, שלא בצדק) משמש. עיקר המטרה של crossdomain.xml, הוא להגדיר לאילו אתרים יש גישה לעוגיות של האתר. במילים אחרות: אני, הבעלים של האתר www.mesicka.com, יכול להכניס קובץ חדש לאתר: www.mesicka.com/crossdomain.xml. בקובץ זה, אני יכול לכתוב שמתחשק לי לתת לwww.walla.co.il גישה לכל העוגיות של האתר שלי.
בהרבה מן הפעמים הקובץ הזה יכול להיות מועיל מאוד, ולעזור לי בצורה בלתי רגילה. אני יכול לקשר בין מספר מערכות ששייכות לי, ולמען האמת – אפילו השירות העצום והענק Twitter משתמש בקובץ שכזה. הסכנה האמיתית מגיעה כשאנשים חסרי ניסיון מתחילים לגעת ולשנות שורות בקוד של הקובץ, או מציפים אותו בשורות ללא ביקורת – והתוצאות עלולות להיות הרסניות. בל נשכח שאותן עוגיות (Cookies) הן חלק אינטגרלי מהאתר שלנו, וכוללות פרטי משתמשים. הסגרה שלהם לכל אתר אחר צריכה להעשות בקפידה יתרה, תוך כדי בטחון מלא בבעלים של האתר (המלצת השף: כל עוד זה לא אתר שלך – אל תעשה את זה!). ולאחר שסיימנו את ההקדמה המפרכת, כהרגלנו, בואו נעבור לאבטחת מידע!
* הערה: העברת העוגיה בשימוש ברעיון הcrossdomain.xml יכול להעשות רק דרך מספר טכנולוגיות מצומצמות, כמו Flash וSilverlight. למרות זאת, מאחר ורובם המוחלט של המשתמשים ברשת תומכים בטכנולוגיות אלו, אין פה בעיה.
ניצול הcrossdomain.xml
נכנס לעובי הקורה ונסתכל באותו קובץ של טוויטר. נתמקד בשורות הכוללות allow-access-from domain (מכיוון שהן מרכז המאמר), ונוכל לראות שהוא מקנה גישה לארבעה אתרים שמהווים חלקים מ-Twitter עצמו. נבדוק אתר אחר – YouTube (לחצו על-מנת להגיע לקובץ). הופה, גילינו משהו מעניין: יוטיוב מעניק גישה לעוגיות שלנו גם עבור האתר s.ytimg.com. אלוהים יודע מה זה.. מוזר. (*תודה לw3rp שהגיב לפוסט והודיע לנו שמדובר בשרת המאחסן קבצים, בבעלות YouTube.) עם הרגשת חוסר הבטיחות ואולי החשש הזו, נפנה אל אתר רדיו מעניין – Hideout. לאנשים לא טכנולוגיים מדי קצת קשה להבין מה הולך כאן, ולכן אעזור לכם: סימן הכוכבית במחשבים הוא אחד מקבוצת סימנים חשובה אשר קרויה Wildcards, שהם בעצם תווים שמסמנים תכונה מיוחדת. משמעות הכוכבית היא "הכל", ולכן במקרה שלנו Hideout פשוט מאפשר לכל האתרים לקחת את העוגיות שלו, כלומר – של המשתמשים שלו. מפתיע ומדהים? חסר אחריות לגמרי? מעצבן ומקומם? כל התשובות נכונות. למי שעדיין לא נפל האסימון עד כאן, הנה עזרה קטנה: אני יכול פשוט להקים אתר משלי, ולדעת שכשמשתמש יתחבר לאתר עם crossdomain לא מאובטח, ולאחר מכן לאתר שלי – אוכל פשוט לגנוב לו את העוגיות ששייכות לאותו אתר. XSS ממעלה שנייה, אם תרצו.
אז ברור שאתרים המרשים גישה לכל אתר שהוא, פשוט דורשים שיגנבו להם עוגיות. קצת קשה לדווח על עניין כזה מאחר ולא הרבה שמים על בחור בן אנונימי בן 18 שמנסה לדווח על פרצת אבטחה, אבל נו-מילא. רבים ממומחי האבטחה מזהירים שוב ושוב שלא להשתמש בנתינת גישה גורפת לעוגיות דרך הקובץ הארור, אלא אם אין באתר שום צורת התחברות על ידי עוגיות. יש להזהר מלתת גישה שכזו גם לאתרים עם חומת אש (Firewall, כלי המנסה להגן מפני חדירות למערכת), כי הוא יכול להעניק גישה למקומות שחומת האש מנסה לחסום.
אבל יש גם אנשים שמנסים להיות אחראיים, ולא מציינים את אותה כוכבית ארורה שעלולה לגרום לכל-כך הרבה צרות. גם אם יש עשרות אתרים שאיתם הם רוצים לשתף את העוגיות, הם רושמים את כל כתובות האתרים. אז מה רע, אתם שואלים? הבעיה עם העמסת כתובות אתרים על קובץ היא מובנת, והפעם לאו-דווקא מזווית של אבטחת מידע אלא מזווית אנושית: כשקונים דומיין (כתובת אתר), בדרך-כלל רוכשים אותו לתקופה של שנה עד שנתיים. לאחר מכן הוא מתפוגג (לא מיד, כי אם לאחר "תקופת חסד", תודה לגולש שוהם שביקש להבהיר), ואז כל אחד אחר יכול לרשום אותו שוב. זאת אומרת, שאם נעמיס, נניח, 1,000 כתובות על crossdomain.xml, הסיכוי שדומיין יפוג למחרת הוא כמעט ודאי. למען האמת, בהנחה שכל דומיין נרשם לשנה ולא לשנתיים, מספיקים 22 דומיינים על מנת שתהיה סבירות גבוהה מ-50% שאחד מהם יפוג ממש למחרת! (קראו על פרדוקס יום ההולדת על מנת להבין מדוע).
בואו נניח שיש לנו חברה בשם "חמציצים בע"מ". חמציצים בע"מ היקרים בדיוק עשו שיתוף פעולה עם "תותים עזאם", שמהווה חברה מאוד ותיקה לתותים בשוק. למעשה, "תותים עזאם" רכשו דומיין לשנה בדיוק לפני 362 ימים (עוד 3 ימים והדומיין חוגג יומולדת ויש צורך לחדש אותו). במסגרת השותפות הוחלט שכל אתר ישים קובץ crossdomain.xml, שיאפשר גישה לעוגיות האתר השני. עד כאן הכל דבש. יומיים לאחר מכן, בצער רב, מכריזים "תותים עזאם" על פשיטת רגל. תוך יום נגמרה תקופת ההשכרה של הדומיין, והוא פנוי למשכירים חדשים. אם "חמציצים בע"מ" לא יורידו את האתר של "תותים עזאם" מקובץ הcrossdomain.xml, יוכל גורם עוין ("שזיפים בלעם") להשתלט על הדומיין של תותים עזאם ולהשתיל שם Cookie Stealer. בכך, כל פעם שמישהו יתחבר ל"חמציצים בע"מ" ומיד אחרי זה יחפש בגוגל "תותים עזאם" ויגיע לאתר, שעכשיו בכלל בבעלות "שזיפים בלעם", יסגיר את פרטי ההתחברות שלו לאתר של "חמציצים בע"מ". מסוכן. (התבלבלתם? קראו שוב).
ישנם עשרות אתרים פגיעים. ניתן לראות עד כמה הנושא לא חלחל למודעות בעזרת שאילתות שונות לגוגל, שלאחר התלבטות ארוכה לא אחשוף כאן מחשש לניצול לרעה. אני מאמין שלמי שיש את השכל לבנות את שאילתת החיפוש, הוא גם בעל מספיק שכל על מנת שלא לפגוע באתרים סתם.
עד הפעם הבאה,
- ים מסיקה
ואגב, בונוס על שבירת שיא הכניסות לבלוג – Ninja Catty!
* כמו הפוסט הקודם, הפוסט נועד למטרות ידע בלבד(!) השימוש במידע זה למטרות רעות עובר על חוק המחשבים התשנ"ה (1995) והוא מהווה עבירה פלילית לכל דבר.
בזמן האחרון נראים יותר ויותר ניצוצות קלים של הבנת החומרה שבפרצות האבטחה באינטרנט. בנקים הנשדדים באמצעות האינטרנט הם אמנם קלישאה נפוצה, אבל לא קשה לראות שהפעולה עדיין אפשרית לביצוע. פריצות לאתרים ישראליים רבים בוצעונה לאחר המשט לטורקיה, ביניהם לאתר של סטימצקי, שגרמה לחברה נזק תדמיתי רב. בעוד המודעות גוברת, מעטים בעלי האתרים שטורחים לתקן . . . → Read More: פרצת האבטחה XSS – סיכון גבוה, עירנות נמוכה.
בעזרת כמה משתמשים שהגיבו בפורומים של גיא מזרחי, אנו אחד הבלוגים הראשונים שמפרסמים את המצאו של XSS בYouTube!
הXSS הוא מסוג קבוע, כך שהוא מהווה דרגת סיכון גבוהה במיוחד גם למשתמשים זהירים. מומלץ להתנתק מחשבונותיכם באופן מיידי, למחוק את העוגיות הקשורות לYouTube בדפדפן ולהשתדל להמנע כמה שיותר מכניסה לסרטוני YouTube עד שיפורסם שהפרצה נסתמה. . . . → Read More: עדכון חם חם חם! XSS לYouTube!
הגעתם לפוסט מבזקי הברק הרביעי, שמצליח כל שבוע לרשום מספר תגובות נאה במיוחד (וזו הסיבה שאני מתחיל לכתוב פוסט ב3:50 לפנות בוקר ומסיים ב6:05, מהיר יחסית), ולכן אני ממשיך לעדכן אתכם באותם "מבזקי ברק". להזכירכם (או לטובת הקוראים החדשים שהמעבר על שאר הפוסטים מומלץ עבורם), מבזקי הברק הן פינה מגניבה וחדשה שמלקטת עבורכם את . . . → Read More: סוף שבוע: מבזקי ברק (02/07/2010)
1. הגענו, ההרשמה התחילה בזמן והכל תקתק ממש כמו שצריך. ח"ח למארגני האירוע. חריגות במקומות הנכונים שצריך (עוד 10 דק' להרצאה זה מכובד ולא מפחית מרצינות הכנס, והזמן הזה חשוב לשאלות).
2. העיצוב הפנימי היה מרשים ביותר. כריות וכורסאות בצעי כרום שנבחרו והושמו בטוב-טעם בחדרים השונים, סטיקרים שעיטרו את השולחנות והכסאות וכלים שהכילו בלונים . . . → Read More: תמונות – DevFest Israel 2010 + סיכום וחתימה
אני כותב אליכם מאולם Avenue, כנס DevFest העוסק בפיתוחים חדשים בעולם האינטרנט ובעיקר אלו של גוגל. במהלך היום אעדכן את הפוסט כמה פעמים, על מנת לעדכן אתכם בחידושים ובמה שהולך כאן (ובהרצאות). אני עתיד לבחור במסלולים הבאים, לכל המעוניין: 11:15 – 12:00 : Website Compatibility – Tips and Tricks 12:00 – . . . → Read More: פוסט מאולם Avenue – כנס DevFest 2010
|
|
Recent Comments