מספר דברים, גרסת אפריל 2014

כמה דברים שנוספו מאז הפוסט הקודם וכמה שלא הספיקו להכנס לפוסט הקודם:

– אנשי התארגנות Cyber Together שלחו לי קצת יותר מידע על ההתארגנות הזו (ממתין לאישור פרסום בעניין הזה) וגם אישרו לפרסום פומבי את המפגש הקרוב, שיתקיים השבוע:

הקליקו כאן לקריאת המשך הפוסט…

גרועחלשבסדרטובמצוין (1 הצבעות, ממוצע: 3.00 מתוך 5)
Loading...

הקטע שהכי הצחיק אותי היום

אין לי באמת רצון או צורך להתייחס לפרשיה של היום, או יותר נכון להגיד היומית, אבל אני חייב לשתף אתכם בקטע הכי מצחיק שראיתי בנושא.
אתר ONE, שהיה מעורב שלא מרצונו בפרשה, מסביר את הצד שלו, ואת עיני צדה שם הפסקה הבאה:
"
האקרים הצליחו לחדור לאחת מחוות השרתים של האתר במהלך משחק העונה בין מ.ס. אשדוד ובין עירוני קריית שמונה, במהלך הפריצה הצליחו ההאקרים להפנות למספר דקות חלק מגולשי האתר לדף הפרסום שלהם.
"

חסרי לב. חיכו שכולם (חוץ מאלו שגולשים ב-ONE במקביל לצפייה במשחק, כמובן) יכססו ציפורניים מול המשחק שחיכינו לו זה 2000 שנות גלות (והסתיים בתיקו אפס) ואז הם היכו. כשאף אחד לא שם לב.
ערמומיים האויבים האלו. תדאגו שהפיירוול שלכם יישן עם עין אחת פקוחה (ושלא יראה משחקי כדורגל).

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

מפגש קהילת מפתחי Security בנושאים: Fuzz Testing & SQL Injection Anywhere

בפוסט זה אני רוצה לספר לכם על מפגש של קהילת מפתחי אבטחת מידע (במסגרתה מתקיימים מדי פעם מפגשים דומים במשרדי "מיקרוסופט" בישראל). נראה לי שתוכן המפגש הפעם הוא כללי למדי ולא נראה שנועד לקדם מוצר זה או אחר (מקסימום ההתייחסות ל-MS הוא בראיה של הזרקת SQL במסגרת סביבת Net.) כך שנראה לי שהוא יכול להתאים לכל מי שרוצה להעשיר קצת ידע בנושאי המפגש, שהוא, כמובן, בחינם.
המידע אודות מפגש זה הגיע דרך רשימת הדיוור של Owasp Israel.

"
מפגש קהילת מפתחי Security בנושאים: Fuzz Testing & SQL Injection Anywhere

מזהה אירוע: 1032467489

יום שלישי 02 נובמבר 2010 17:45 – יום שלישי 02 נובמבר 2010 20:15 (GMT+02:00)

משרדי מיקרוסופט
אולם דקל
הפנינה 2 (צומת רעננה מרכז)
רעננה ישראל

מבט כולל על אירוע

לקראת Tech-Ed שיתקיים בסוף חודש נובמבר, פותחים את החודש עם מפגש שיכלול שתי הרצאות בנושאי Security, הראשונה תעסוק בשיטת בדיקות תוכנה הנקראת Fuzzing. וההרצאה השנייה תעסוק סביב נושא SQL injection.

הרצאה ראשונה – Fuzzing

בדיקות מסוג FUZZING מאפשרות גילוי שגיאות נסתרות שבדרך כלל לא היו מתגלות בשיטות בדיקה אחרות. לנושא זה קשר הדוק לבדיקות אבטחת מידע שכן סוגי הבעיות שניתנות למצוא בעזרת Fuzz Testing הן Buffer Overflow (רלוונטי יותר לקוד legacy אך גם ל-Interop), זליגת זיכרון, קריסה ועוד. במהלך ההרצאה נציג את השיטות והכלים השונים בביצוע הבדיקה.

הנושאים העיקריים בהם נדון בהרצאה ראשונה כוללים:

חלק א' – Fuzzing

• What is fuzzing?

• Dumb & Smart fuzzing

• Fuzzing targets

• Fuzzing strategies

• How to catch the bugs

• Fuzzing with code coverage

• Tools & Statistics

אודות המרצה: יבגני ברויטמן

הינו יועץ אבטחת מידע אפליקטיבי ומנהל תחום הפיתוח בחברת Q.rity. ליבגני 8 שנות ניסיון בתחומי פיתוח תכנה הנוגעים לאבטחת מידע. בין השאר הוא מתמחה בכתיבת Fuzzers ייעודיים. פרטים נוספים: http://il.linkedin.com/in/ivgenib


הרצאה שנייה- SQL Injection Anywhere

ההרצאה תציג טכניקת ניצול SQL Injection חדשה שמאפשרת לנצל פרצות שנחשבו עד כה לבלתי נצילות. בנוסף יוצגו דרכי התמודדות נגד SQL Injection בסביבת .NET.

חלק ב'-SQL Injection

• SQL Injection Brief

• Binary SQL Injection Brief

• The Problem

• The Solution – New SQL Injection Technique!

Exceptions

• Summary and Questions

אודות המרצה: גיל כהן

מומחה אבטחת מידע מזה מספר שנים, מועסק בחברת Q.rity כיועץ אבטחת מידע, בעל ניסיון רב בפיתוח ב-.NET , ובביצוע בדיקות Penetration Tests.
סדר יום:

17:45-18:00 – התכנסות

18:00-19:00 – חלק א' (Fuzzing), עלפי רשימת הנושאים.

19:00-19:10 – הפסקה וכיבוד קל

19:10-20:10 – חלק ב' (SQL Injection), עלפי רשימת הנושאים.

20:15 – סיום משוער
נשמח מאוד לראותכם.

ירון חקון, מנהל הקבוצה yaron@qrity.com
"

תלמדו ותהנו!
.

מפגש קהילת מפתחי Security בנושאים: Fuzz Testing & SQL Injection Anywhere

מזהה אירוע: 1032467489

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

יש סיכון בלפרוץ למידע של אנשים מפורסמים…

ג'סטין ביבר (Justin Bieber) הוא זמר נעורים בן 16, שזוכה לפופולריות גבוהה בקרב הדור הצעיר.
לאחרונה פרץ לחשבון הטוויטר של חבר של מר ביבר הצעיר נער בשם Kevin Kristopik שמצא כך את הטלפון של הכוכב הצעיר ואפילו התגאה פומבית (בטוויטר שלו, כמובן) בכך שביצע את הפריצה והשיג את המספר של האליל. לא ברור מה הוא עשה עם המספר הזה.

בכל מקרה, ביבר ידידנו לא פראייר ומבין היטב את כוחו ברשת (יש לו 4.6 מיליון עוקבים בטוויטר). הנקמה הגיע בדמות הודעת טוויטר קצרה (וזמנית, היא כבר נמחקה) הקוראת לעוקבים להתקשר אליו למספר טלפון סלולרי או לשלוח אליו SMS. הטלפון היה כמובן של ההאקר… מה שכמובן גרם להאקר להטרדה סלולרית המונית שאילצה אותו להחליף מספר (מסכן מי שיקבל את המספר הזה מחברת הטלפונים…).

ואני אומר – כבוד מר ביבר הצעיר! בהחלט מנה אחת אפיים.

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

נער טוען לפריצת כרטיס התחבורה הציבורית "רב-קו"

נער בן 17, יוסי דהן, העוסק בפיתוח יישומים ל-iPhone, iPad ולטוויטר, במסגרת חברת Appmobil, טוען שהצליח לפרוץ את כרטיס הנסיעות החדש של (חלק) מהתחבורה הציבורית בישראל, רב-קו, (המבוסס על תקן Calypso).
טענה זו מובאת בכתבה באתר TheMarker, שכוללת בעיקר ציטוטים של הבחור ושל תגובת משרד התחבורה. נראה שלא נעשה ניסיון אמיתי על ידי העיתון לבדוק ולאמת בפועל את דברי הבחור ואת תגובת משרד התחבורה. העיקר, כרגיל, שיש כתבה מהירה ורעש ציבורי. נסתפק בזאת.

כמה הערות שלי, לאחר שבטובכם כמובן תקראו את הקישורים של הרב-קו ושל הכתבה:
– רשום לגבי הכרטיס: "רק הכרטיס בעל הפרטים מאפשר טעינה של חופשי חודשי, קבלת הנחות גמלאים, ילדים, נכים וביטוח המאפשר החזר כספי במקרה בו הכרטיס נהרס או אבד. כרטיס אנונימי ניתן תמורת תשלום של 10 ש"ח." אני עוד יכול להבין את מניעת ההנחות וההטבות, למניעת התחזות ואובדן הכנסות, אבל למה כרטיס אנונימי (שזה בדיוק מה שהיה עם כרטיסי הנייר) צריך לעלות 10 ש"ח?! הרי רק על נפח המידע שנחסך מהאחסון הדיגיטלי במסדי הנתונים של חברות התחבורה השונות היה צריך לסבסד את הכרטיסים האלו.
מצד שני, אנונימיות מפריעה למאמצי השיווק…

– מר דהן טוען "הצלחתי לנתח את כל המידע שיש בכרטיס הרב-קו, ואפילו להחליפו במידע קיים. עם עוד מעט עבודה אוכל בלי בעיה לטעון את הכרטיס בכמה נסיעות שאני רוצה, ואפילו לשנות פרטים". רגע, אני ממש לא מומחה לכרטיסים חכמים, ואולי מי מקהל הקוראים יוכל להאיר את עיניי ועיניי שאר הקוראים, אבל אם הוא הצליח להחליף במידע קיים את כל המידע שיש בכרטיס, לדבריו, אז למה הוא צריך "עוד מעט עבודה" בכדי לטעון את הכרטיס בכמה נסיעות שהוא רוצה ואפילו לשנות פרטים? הוא לא כבר עשה את זה?…

– מצוטט ש"דהן מציין כי מטרתו בפריצה היתה להוכיח באיזו קלות ניתן לפרוץ למאגרי מידע, ובעיקר למאגר הביומטרי." הא?! מה קשר מחט לתחת? איך הוא הגיע מכרטיס בודד אל פריצת מאגר נתונים?!

– בהמשך הכתבה מר דהן ממשיך להתרחב ולהתלהב עד מאוד על האפשרויות הנרחבות של מעקב אלקטרוני אחר נוסעי התחבורה הציבורית. נראה לי שהוא נסחף מעט והמעקב הזה, אני משער, יכול להיות גם בחלקו על בסיס הכרטיס האנונימי כי אני משער שגם לכרטיס זה יש מספר סידורי שהשימוש בו נרשם ומעקב פיזי קצר אחר אדם יכול להצליב בין הכרטיס האנונימי לבין אדם מסוים.

– תגובת דובר דן כמובן מוציאה במידה מסוימת את העוקץ מהכתבה.

– בדיוק חזרתי לפני מספר שבועות מפריז, שם עשיתי שימוש בכרטיס דומה לטובת מנוי שבועי למטרו, אבל נראה שהכרטיס שלהם שונה כי אין לו פס מגנטי (אבל יש כמובן שבב). כמו כן הטעינה, ככל שאני ראיתי, *כן* מחייבת מגע עם מערכת הטעינה (אם כי זה כמובן לא אומר שהטעינה היא לא אלחוטית).
מכיוון שמדובר בסה"כ בתקנים שנעשה בהם שימוש נרחב במדינות רבות ולאורך שנים ומדובר בייצור הכרטיסים על ידי חברה ידועה בתחום (ASK), הרי שייתכן שמר דהן הצליח למעשה לפרוץ לחלק ממערכת ההסעות הציבורית בצרפת (אבל לא רק כרטיסים, כן? גם מאגרי מידע!) ובכך למוטט את הסיכוי של חברות תחבורה ציבורית שם להרוויח כסף. אוּ – לָה – לָה…
אתם, כמובן, כמו מר דהן, מוזמנים לבדוק או להפריך את טענותיו. ממילא הוא אמר שנדרשת "רק עוד מעט עבודה", מה זה קצת עבודה לעומת נסיעה חינם בתחבורה ציבורית?

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...