סדקים

נא להכיר: אתר הרפובליקה הדמוקרטית של קוריאה.
הפאנץ' ליין? נמצא בפורומים.
לקרוא אפשר, האפשרות להגיב חסומה.
כמה טוב שאצלנו המצב הרבה יותר שפוי ונבחרינו אינם עסוקים במציאת רעיונות חדשים שכאלה כי אחרת הבדיחה היתה עלינו.

מזה שנים מספר מתרוצצות שמועות על כניסתה של גוגל לתחום אכסון הקבצים ברשת.
שם הקוד הפופולרי לשירות המשוער הוא Gdrive, אם כי הוא מעולם לא הוכרז על ידי גוגל עצמה.
פה ושם נמצאו מיני פתרונות בתצורת תוספי פיירפוקס ותוכנות שונות אשר ידעו להתמשק עם הג'ימייל ונפח האכסון הרב שבו, מה שלא התקבל בעין יפה במפקדת גוגל (בזמנו נחסמתי לכמה שעות מכניסה לחשבון המייל שלי עקב שימוש בתוסף כזה בדיוק כאשר רציתי לאכסן מסת קבצים באחד מחשבונות הג'ימייל שלי).
פתרון אכסון "טהור", לא היה בנמצא בגוגל.
אך לא עוד.
בעודי משוטט בGoogle Docs שלי שמתי לב לכותרת אדומה ונוצצת המכריזה " New! Upload any file". (הקליקו על התמונה להגדלה)

בהיותי היצור הסקרן שהנני, והיות ובין כה וכה אני מתקשה לישון, לחצתי על הקישור שהעביר אותי לעמוד נוסף ובעמוד הנוסף מצאתי את הקישור הבא.
מה יש בו , בקישור, אתם בוודאי תמהים.
ובכן, יש בו הכרזה שבשבועיים הקרובים תתווסף האפשרות להעלות כל קובץ ללGoogle Docs ולא רק קבצי טקסט.
מגבלת הגודל תהיה עד 100 מגה לקובץ בודד וסך הכל של 10240 מגה (שמתרגמים לכעשרה גי'גה, למי שמתקשה בחשבון) שזה צנוע ביחס ל25 הג'יגה שמיקרוסופט נותנים באתר הSkyDrive שלהם (והאתר עצמו הוא לא רע בכלל, אני חייב להודות)
אז בינתיים הכל בשושו (הכל יחסי, כן?) ומוצנע תחת Google Docs ולא כעוד שירות עצמאי של גוגל אך יהיה מעניין לראות לאן הניסיון הזה יתפתח.

אלכס רויכמן הנושא בתואר Chief Architect & Head of Security Labs במעבדות Checkmarx פרסם מסמך בן 17 עמודים בו הוא מתאר התקפה חדשה בשם xshm (Cross-Site History Manipulation) שנכון לעכשיו השפעתה המזיקה תקפה לדפדפן אינטרנט אקספלורר (אני לא מאוד מעודכן בימים האחרונים, אבל אני שומע שיש גל של פרצות אבטחה באקספלורר 6, הייתכן?)
במסמך מתואר מנגון אבטחה קריטי בשם SOM (Same Origin Policy)
מה שהמנגנון הזה אמור לעשות הוא לבצע הפרדה בין האתרים השונים שבהם אנחנו גולשים.
כלומר, אם שלחתי בקשת HTTP לגורם א' אני יכול לקבל תגובה רק מאותו גורם ולא נגיד מגורם ב' גם אם בדרך כלשהי אני נמצא באתר שלו במקביל.
על פי חברת checkmarx (הישראלית), בעזרת אובייקט היסטוריה בדפדפן, אפשר לעקוף את ההפרדה הזו מה שיכול שמוביל לישום של פרצת האבטחה שיכול להתבטא, לא שחשבנו אחרת, בגניבת מידע רגיש, סיסמאות שמורות וכיו"ב.
אני לא מאוד משוכנע שלא מדובר במעטפת חדשה לבעיה ישנה, אבל היות והידע שלי בנושא אבטחת יישומי רשת הוא גבולי, אני אמתין לעוד מידע בנושא.
כרגע מדובר בנושא טרי ואין יותר מדי מידע מלבד המסמך שפורסם.
את המסמך המדובר ומידע נוסף תמצאו בקישור הזה על מנת לקבל הסברים ברורים יותר משלי.

מידע נוסף
• דף אינטרנט של חברת checkmarx המדגים את הפרצה אפשר למצוא בקישור הזה.
• וכאן אפשר ללמוד על Same origin policy.
  

כותרת קצת צולעת שמנסה לתרגם את המונח tactiacl exploitations.
HD Moore (לא צריך להציג, כן?) והאקר בשם valsmith מציגים את הגישה שלהם לבדיקות חוסן (pen testing) בתחילת ההרצאה HD Moote טוען שיש יותר מדי אנשים שנכנסים לתחום ונסמכים על כלים כמוnessus או Metasploit שהוא עצמו ייסד.
הביעה בשימוש בכלים מסוג זה על פי מור היא שהיום קיימת בעית אבטחה, מחר המערכת תוטלא ולכן הסתמכות יתרה על בדיקות אוטומטיות בסופו של דבר הופכת למוגבלת ולכן כדאי לפתח כישורים שלא מסתמכים על פגיעות אבטחה כזו או אחרת או על כלים אוטומטיים.
בשורת הסיכום במצגת נלווית להרצאה (אם כי המצגת נושאת שם של כנס אחר) שורת הסיכום היא שכלים הם לא תחליף לכשרון.
הוידאו הוא מלפני שנתיים.
אני מאוד נהניתי לצפות בו למרות שהרוב כאן הם בהחלט א,ב של התחום ולא טכניקות Cutting edge (אבל זה כל הרעיון בעצם:)

ביננו, מי לא היה רוצה אחד כזה?

הבלוגר ממוצא הודי אמית אגראוול גילה שחשבון הדואר שלו נפרץ ואינו נגיש עבורו.
מעבר לתחושת חוסר האונים הטבעית שמתלווה לאובדן פרטיות, היה פוטנציאל לנזק כלכלי.
תיבת הדואר שנפרצה שימשה ככתובות הדואר אליה תשלח הסיסמה לחשבון שדרכו הוא משתמש בGoogle apps וזו כבר בעיה מקצועית.
סוף טוב הכל טוב, אמית מילא את הטופס הבא ובעזרת כמה חברים הצליח לקבל שליטה על החשבון שלו בחזרה.
כשנכס למייל, אגב, קיבל הודעה מההאקר שאמר שהמטרה לא היתה לפגוע בו אלא רק משהו שנבע מחיבת ההאקר לגילוי פרצות אבטחה ווביות (ובקשה לסכום כסף צנוע).
אמית מצרף כמה טיפים מעולים על מנת להיות מוכנים לפעם הבאה שמישהו יפרוץ לחשבון הג'ימייל שלכם ותרצו להוכיח בעלות.
ידעתם למשל שאפשר לצרף מספר סלולרי ולקבל הודעת SMS אם שכחתם סיסמא (אגב, בדקתי ואצלי לא התקבלה שום הודעה).
על כל זה תוכלו לקרוא בבלוג המשובח של אמית אגראוול שנמצא בדיוק כאן

תמונה שווה אלף מילים וסרטון וידאו של חמש דקות שקול לעשרות מאמרים, כנראה.
לא שחשבתי שהקמת אתר מזויף לצרכי דיוג (Phisins) זו משימה מורכבת מידי, אבל הדגמה קצרה של התהליך כפי שצולם בrejashhackingarticles הופכת את העניין למוחשי יותר.
כמובן שעדיין צריך לשלוח אלפי מיילים ולקוות שמישהו יתפתה ללחוץ על הלינק שמצורף להודעת "חשבון פייפאל שלכם נפרץ, לחצו על הלינק המצורף כדי להגדיר סיסמא חדשה", ובכל זאת ומכיוון שמדובר בתעשיה משגשגת, כנראה שיש מי שאכן מתפתה.

How To Maker A Phisher (Fake Login Site) – video powered by Metacafe