Sunday, October 28, 2012

פרצות אבטחת מידע עקב חקיקה, לקראת בחירות

פרצות אבטחת מידע עקב חקיקה

הקדמה


באופן מסורתי מקובל להתייחס לפרצות אבטחת מידע ככאלו המתרחשות עקב כשלים בתוכנה בקוד או בשיטות
העבודה, לעתים דווקא חוקים האוסרים משהו חדש יגרמו לטריגר שיביא לשימוש בלתי חוקי בשיטה שלא הייתה
מוכרת עד כה.

במחקר שערכתי עולה שלעתים דווקא חקיקה אם בתצורה של חוק יחיד ואם בהתנגשות בין חוקים ,היא זו שתגרום
להיווצרות הכשל,ולכן בחינה של חוקים תקנות ותקנונים שונים תביא לעתים לאיתור פרצות אבטחה שיטתיות.
בתקציר זה בחרתי להדגים את המחקר על שיטת הבחירות במדינת ישראל.

אדגיש שאין בכך ביקורת על הממסד אלא רצון להפנות את תשומת הלב לכך שיש לבדוק מה המשמעות באספקט
הדיגיטלי של החוקים והתקנות בזמן בנייתם ,לפני הכנסתם לתוקף ולאחר החלתם לאור שינויים בלתי צפויים.
עיון בספר הבוחרים של מפלגות – לקראת בחירות מקדימות.

תקציר זה מביא בחשבון שכיום נמצאים ברחבי האינטרנט ואצל אנשים רבים מאגרי מידע אשר נגנבו ממשרד הפנים
ולפיהם ניתן לדעת פרטים רבים על אזרחים ובהם את מספרי תעודת הזהות שלהם.

הזנה של מספר תעודת זהות תביא לקבלת תשובה מי התפקד למפלגה מסוימת ומי לא (לרוב לצורך בדיקת זכאות
להצבעה בבחירות מקדימות).

עקב כך אנו נוכל בקלות לדעת מהי הדעה הפוליטית של בוחר ספציפי, ואם נבחר בכך נוכל להריץ את כל מאגר
תעודת הזהות שנגנב וכך לדעת מיהם כלל המתפקדים במפלגה.

בעוד שבעבר ספרי הבוחרים השונים של המתפקדים למפלגות היו מתפרסמים בעיקר באופן מודפס כיום ניתנת
למצביע היכולת לבדוק את זכאותו לבחור בבחירות המקדימות למפלגה ,או את מיקום הקלפי במפלגות לאחר הזנת
תעודת זהות.

כנראה שהדבר נובע מתיקון מס' 5 תשנ"ו 1996- לחוק המפלגות:

(ג) מפלגה תקיים רישום של חבריה, לרבות חברי המפלגה בסניפיה; הרישום יכלול את מספר הזהות של כל חבר
ויהווה ראיה לכאורה לחברות במפלגה ,חשוב להבין שלעתים החוסר בהנחיה כיצד לזהות בוחרים מביאה ללקונה
בחוק שהיא זו שגורמת להיווצרות בעיות אבטחת מידע,ומכשול שגורם לגופים ופרטים כמו מפלגות או עובדי מדינה
לעבור על תקנונים או חוקים אחרים,לא הוגדר שלא לזהות על פי תעודת זהות,כן הוגדר שהבחירות יהיו חשאיות.
לכאורה זיהוי באינטרנט על פי תעודת זהות מהווה ייעול של הליכי בדיקת זכאות לבחור בהתאם לחוק, ולכן כיום
המצב הוא שהמפלגות הנוהגות כך פועלות בצורה שהבוחר ידע שהבקשה שלו התקבלה והוא רשאי לבחור את
נבחריו במפלגה.

כפי שציינתי המחוקק לא הגדיר את הדרכים המדויקות לעיון בספרי הבוחרים, ולכן הדבר פותח פתח הפוגע כיום
בעיקרון החשאיות וגורם לשרשרת של עברות מסוגים שונים על כלל המעורבים.

הרשות למדע וטכנולוגיה במשרד המשפטים פרסמה הנחיה האוסרת לזהות אנשים על פי נתונים הנמצאים במאגר
אגרון ללא מזהה נוסף והנחתה שמי שייתן גישה למידע מרחוק באמצעים שבהם הזנת תעודת זהות בלבד רשם
המאגרים יראה אותו כמי שעבר על חוק הגנת הפרטיות,אי לכך המצב כיום הוא שהמפלגות עוברות לכאורה על
תקנות רמו”ט וחוק הגנת הפרטיות בעוד שהן מנסות לפעול על פי חוק המפלגות ולאפשר בירור זכות הצבעה..

בנוסף,מאחר שהמפלגות מציגות מצג של חשאיות נוצר מצב שאוכלוסיות רגישות כמו עובדי מדינה בכירים מתפקדות, וזאת
למרות שהמצב הוא שהחקיקה גורמת לכך שהמפלגות מציגות את ספר הבוחרים בצורה שהופכת אותו לגלוי (חיפוש
על פי תעודת זהות) ,ולכן אין חשאיות ובעצם אסור לאותן אוכלוסיות להתפקד על פי הנחיות המדינה או הצבא.

"חייל יוכל להצביע בבחירות מקדימות (פריימריז) בתנאי שתהיינה אלו בחירות חשאיות המונעות כל אפשרות לזהות
את השתייכותו הפוליטית של החייל.”

כיום המצב בשטח הוא שהמדינה חוקקה את חוק המפלגות שגרם למפלגות לפתח ממשקי אינטרנט שבהם מתבצע
זיהוי על פי תעודת הזהות של הבוחר, באופן שמתנגש עם חוק הגנת הפרטיות ותקנות חדשות של הרשות למדע
וטכנולוגיה המסדירות את המצב.

לסיטואציה מעניינת זו נכנסו גם הנחיות התקש"יר לגבי התפקדות עובדי מדינה בכירים ופקודות הצבא בנוגע להתפקדות
חיילים אשר משאירות את הדברים

לסיכום

במאמר זה מודגם כיצד חוקים תקנות וסיטואציות דינמיות (גנבת מאגרי מידע) גרמו לכך שאזרחים עוברים על חוקים
ותקנות מאחר שהם פועלים על פי חוקים אחרים, לעתים הדבר נובע מלקונה בחוק שמביאה להחרפת המצב.

כחוקר אבטחת מידע אני מודע למצב זה ולכן עיון בחוקים מביא אותי לאתר נקודות תורפה בעולם אבטחת המידע
אשר נוצרות עקב הלקונה שבחוקים ,הוואקום שנוצר או ההתנגשות בין החוקים הגורמת לכשלים בשיטות שלמות.

מצב זה מביא לכך שניתן ללא כל צורך במבדק חדירות להגיע למסקנה שיש אתר אינטרנט בעל פרצת אבטחה
הגורמת בו בזמן לבעליו לעבור על חוק אזרחי ופלילי,על המשתמשים באתר לעבור על חוקים אחרים (תקנות/פקודות)
ולי כחוקר אבטחת מידע לגלות עולם חדש של פרצות אבטחת מידע שאין מודעות מספקת אליהן,אשר עלולות לאפשר בעתיד לחוקר /האקר לתבוע את בעלי האתר על תביעת רשלנות יחד עם תביעת פיצויים ייצוגית ותלונה שמשמעותה פלילית.

ביבליוגרפיה:

כתבי אישום נגד מעורבים בפרשית אגרון
http://www.calcalist.co.il/internet/articles/0,7340,L-3556077,00.html

"שימוש במזהה חד חד ערכי לאיתור מאגרי מידע פרוצים" מאת אמיתי דן
http://www.digitalwhisper.co.il/files/Zines/0x1D/DW29-5-DBSearch.pdf

מתן מידע לגבי התפקדות של חיילים ועובדי מדינה על ידי בלוג של שלי יחימוביץ
http://www.shelly.org.il/node/5140

חוק המפלגות, התשנ"ב - 1992 (חוק בחירות מקדימות)
http://www.knesset.gov.il/elections16/heb/laws/party_law.htm#3

חוק בחירות לגופים ציבוריים, תשי"ד 1954-
http://www.justice.gov.il/NR/rdonlyres/0FA4E85F-F9D2-49D2-A35D-FE4295DA3C74/22581/ChokBchirotLegufimtziburiim.doc

פקודות צבאיות בנושא
http://www.aka.idf.il/rights/asp/info.asp?moduleId=2&catId=22703&docId=22724

הנחיות התקש"יר
http://www.civil-service.gov.il/NR/rdonlyres/06E12F9A-BD57-4238-86E1-1197C4B731AE/0/guide2008.pdf

הנחיות רמו"ט -פרשיית אגרון (מאגר משרד הפנים)
http://www.justice.gov.il/MOJHeb/ILITA/News/crackedcase.htm
http://www.justice.gov.il/NR/rdonlyres/58F10E28-D61B-4A96-B2E2-FC066421A908/18744/draft110.pdf


אתר מפלגת העבודה – בירור מצב התפקדות על פי תעודת זהות
http://www.havoda.org.il/Web/JoinUs/2014.aspx

אתר מפלגת קדימה – בירור מצב התפקדות על פי תעודת זהות
https://secure.kadima.org.il/mitpakdim2012


מנגנון בדיקת מצב התפקדות -מפלגת הליכוד-אתר בתפעול המטה הלאומי בליכוד (אתר לא רשמי המחובר למאגר נתונים)
https://www.code99.co.il

מנגנון בדיקת זכאות הצבעה באתר ההסתדרות
http://www.bhirot.histadrut.org.il/index.php?page_id=2130

Friday, August 17, 2012

Accelerators button - hacking into Internet kiosk with IE






While looking at Internet kiosk we can find many ways to hack into it, I would like to share what I've found about the Accelerators button.


First, we needs to understand that while we gets into full control of the Internet or computer kiosk, many times we can take control on many places in the whole system. (and those systems made to be used by the crowds so this is high risk)


As I've realized there are Internet and consumer service kiosks based on Internet Explorer interface.
This days many of them are using touch screens.


Unlike smart-phones, most of us used to touch this kind screens just by typing with our fingers,that what we where told.
I'm wondering why.


Now, back to Internet explorer,there is something called Accelerator,and since it's not so known it's can be forgotten while securing computer kiosk with interface build in with Internet Explorer.


If you go into your IE in your laptop/computer you can see that using the right click the Accelerator,but how can you do so with touch screen in Computer kiosk?


I've realized that the answer is not to type but to grope, as strange it's looks doing so will show out this blue magic symbol, and now you step foreword.


I will share one way from here:


You might type on the Accelerators symbol, now go to learn more about Accelerator,Options,Internet options,Browsing history,Setting,View files...


So now we needs full control,and full virtual keyboard will do the job
Here is the location: C:\windows\system32 now double click on OSK and you done step two.

Please don't use it to hack, this information is only for making secure systems

Friday, April 6, 2012

The day when fingerprints rule out from being an evidance


The day when fingerprints has rule out from being an evidence
Introduction
I'm wondering what's can be done for stopping burglars from stealing from places biometric databases
I'm wondering what is the value of biometric data which belongs to 20,000 people.
As I know, and after speaking with a friend which work in a place that have an online and offline biometric databases as well as many other companies and places (from laptops to doors,companies and many more product) fingerprints it's a good tool to recognized people identity.

According to Wikipedia:

       Track record

Fingerprinting has served all governments worldwide during the past 100 years or so to provide accurate identification of criminals. No two fingerprints have ever been found identical in many billions of human and automated computer comparisons.[60]Fingerprints are the fundamental tool for the identification of people with a criminal history in every police agency.[5] It remains the most commonly gathered forensic evidence worldwide and in most jurisdictions fingerprint examination outnumbers all other forensic examination casework combined. Moreover, it continues to expand as the premier method for identifying persons, with tens of thousands of people added to fingerprint repositories daily in America alone far more than other forensic databases.
In the recent years, the idea behind loosing privacy has been changed, and now people don't care about it like the past,it's not something strange to share you life,and Facebook is the ultimate example of why the concept of 'Privacy' has to be change.
Thinking behind the box
          What's gonna be if someone will  share his own fingerprint, with no name on it?
We can found very easy recording of people who burn there own ID or PASSPORT, but what about sharing them?
If you share your own fingerprints you can change the whole picture, systems won't be able to know if that you or your friend (they can try)



In my opinion in the time that doors have a locked based on offline biometric database, which can be extract (worker ID and fingerprint) and then the identity is being lost or at least can't be use again based on fingerprints only  we should start thinking again about using fingerprints so often.
I do think that we should avoid privacy from being lost, but in the same time I'm thinking about more situations
Simulation
1. Play one – The day after a huge amount of fingerprints will be lost
There is a super-market  with 50 workers with an offline biometric access between doors, the warehouse has been broken and the fingerprint biometric database has been stolen or just copied, someone bought the database and upload it to the internet with all the info.
A year later a thief did a crime and used a fake fingerprint with one of the workers fingerprint's
 Can one of those fingerprint might be as an evidence in the court?
While thinking about the subject I have realized that if someone will hack database of 500,000 people, this tool will change for ever as a legitimate law of this kind of tool to recognize people criminals which are suspect of crime

Can we take the risk?

2. Play two – Sharing private info instead of avoiding losing

After realizing the first one I got an idea, assuming that finger print is public knowledge what can be done with that?
So lets be creative, now we can open a public database that people will share there own biometric data with the public like bugmenot.com
In this website people are sharing there own user and password so others wont have to register for random websites and then when  a finger print will be found in a crime scene ,the conviction will be avoid if it will be based on the finger print with no extra support .
It's like an insurance for people who do crime for living.


I do know that electronic biometric database won't give you all the  info you needs to fake fingerprint's, but since people can share there own fingerprints they can do it with a scanner as well.
Imagine a place that let people to share there identity for free with others by scanning it. 

3. Play three – Public fingerprints database of crime cartel 

Some of the main target in the crime scene which is leader of the biggest drug cartel is being arrested of killing two people, he did a mistake and didn't hide the gun well.

Two years before, the crime cartel got an idea from hackers who helping them, the idea was simple: instead of hiding the fingerprints with gloves, they can steal 100,000 people fingerprint from workers clock in/out and then add to this stolen database to the cartel fingerprints database.
The next act was to share the database in the Internet so anyone will be able to fake with it his fingerprint's.
The idea got spread to many other cartel and crime members together with privacy freedom fighter has been start to share there own biometric info, included fingerprints.
Back to the court, the judge got an new breakthrough claim from the suspect's lawyer, "the fingerprint is in public database for two years,and any one can use it " the judge in the first time in the history declaim the fingerprint as proof for the crime since public data can't be an evidence of one person..

4. Play four – Creating innocent product that stealing biometric data

A new company of hackers got an idea, let's build product that will steal people fingerprints.
The first step was to build handles with hidden fingerprint readers


With the built in reader they picked up the results and send it by radio signal for later use.
Some time to open doors, and sometime to steal companies workers databases without attacking any secure database of the company

After time the stolen database has been stolen again and published in the internet, the victim companies had to stop recognized worker with finger print reader.
5. Play five – stealing fingerprint's and DNA in the same time
Since fingerprints readers are very similar to ATM which are being used in banks, a designer got an idea, why don't we create an fingerprints scammers?  just like ATM scamming but the data will be fingerprints and DNA.
A system that looking just like the front of the finger print reader can be attached to the original one, by that we will be able to steal the fingerprints and the DNA of the victim in the same time.
6. Play six – sharing or stealing people faces
In the recent years faking people faces became more and more simple,
since that many systems are using cameras to recognized the area, we can create masks of ourselves as well as others and by that even faces wont be a strong evidence like the past.
Since we can share our biometric database, we can share our faces as well so other can use it and we the thief will stay out of jail.

Into conclusion

I'm not the fan of loosing privacy, and I wont build a database with finger prints based on stealing hardware,databases or public knowledge.

Yet, while using fingerprint for so many years as a tool to fight crimes, like a murder, or just for clock in or out ,we should realized that new technology or systems can avoid us from keeping the traditional uses of this kind of tool in the future.
I think that in the future people finger print will be stolen by meaning.
I'm sure that this can be done right now

  If fingerprint is not enough so lets do the same with faces, now think again about the consequence


:For extra read









Saturday, March 3, 2012

Steve Jobs & hidden phreaking tools in any Iphone

As I was mention in this blog, Steve Jobs has a record in phreaking


Since that, I got an idea that maybe he hide a back door for modern phone hacking or just for fun

Next step was to play with an option which is mostly an unknown, it's called "pause" or "wait" by that you can get two options:

Dialing preloaded numbers and tones (like * or #) after that you don't needs to remember the extensions number anytime you call

The second options is to dial a new preloaded  number in one click  during the call

You can play with it while adding new contact, or edit one, click on the number and then one click on +*# after it you gonna see the pause and the wait _as well as * +# after that its all about your knowledge

 ----

After using it for around month I realized that something is missing, there is more than normal uses, there is always another side to the coin.

I didn't believe that Steve Jobes will do something so close to phreaking without making new tool, new era.


So I start to think
.
 Thinking and thinking and then I got the idea,which was  a bit shocking
 If  I can change the signal of the phone to be as defult (and not by application) a blue box machine  I can play with the phone much more then now..


So I did it



For one week my phone was a blue box rider, with no needs for any application


 I really think that Steve Jobs is one of the greatest people I never met

My phone can send DTMF, 2600mhz blue box or even play a song as defult 



For extra knowledge you can visit here:

http://www.projectmf.org

http://www.projectmf.com


 





 


Sunday, February 26, 2012

Phones apps as a tool to locate people

שמתי לב למשהו מעניין,
 כשמתחברים לאתר פייסבוק מהנייד ולא מכניסים שם למכשיר, התוכנה כותבת מאיזה IP התחברנו. מדובר בIP גיאוגרפי שמסופק על ידי חברת התקשורת.

כשניסיתי לבצע זאת בערים שונות הIP של חברת הסלולר השתנה. המיקום שקיבלתי בעיר שבה אני גר, היה מדויק, ואילו בערים אחרות הנתונים השתנו בהתאם.

 מישהו יודע איפה הנתונים מאוכסנים? אם נגיע להיסטורית המיקומים המצב יהיה מענין יותר. אפשר לקחת את הנושא קדימה גם על ידי אפליקציות שמהותן הוא מעקב אחר מיקומי הIP של המשתמשים.

אני מאמין שכבר עכשיו הנתונים הללו נאגרים וממפים את המיקום שלכם במחשבה שניה לפחות בפייסבוק הן נשמרות בחברה וגם המשתמש יכול לגשת לנתונים.

 במצב זה המיקום יכול להיות סטטי (wifi מקומי) דינמי מבוסס מודם (wifi של אוטובוס) ולעיתים גלישה מבוססת ספק סלולר. בדקתם פעם מי ספק השירות של האפליקציה שלכם, מי כתב אותה והיכן השרתים שלה ממוקמים?

 לפעמים עדיף אפליקציות מתוצרת מקומית לגבי פייסבוק עדיף תמיד לתת שם למכשיר שממנו גלשתם, אחרת המיקום שלכם נשלח בצורה גלויה לאימייל.

 מצטט: התחברות לפייסבוק באמצעות מכשיר לא ידוע מ-* , (מיקום גיאוגרפי), *‏ (כתובת IP=*.*.*.*‏)‏   התקן בלתי מוכר חדש נכנס לחשבונך בפייסבוק (יום * * * *‏ בשעה ****‏‏) מ-* *, *, *‏ (כתובת IP=*.*.*.*‏)‏.(הערה: מיקום זה מבוסס על מידע שהתקבל מספקית האינטרנט או התקשורת האלחוטית שלך.) זה היית אתה? אם כן, תוכל להתעלם מהמשך ההודעה.

Friday, February 24, 2012

A big damage by micro damage - Bruth force by SMS

תקיפות חד חד ערכיות כפי שהבנתי עד כה משמשות לשאיבה מניפולטיבית של מאגרי מידע, תוך כדי המחקר שאני עורך בנושא שמתי לב לתקיפה נוספת מעניינת לא פחות. על ידי שליחת בקשות לאיפוס סיסמא על ידי SMS ניתן בעצם לגרום למערכת לבזבז את מאגר הלקוחות שלה, ועל הדרך להטריד את כלל הלקוחות. פעולה זו של הזנת אלפי מספרי טלפון הינה פעולה מעניינת מאחר שעל כל תקיפה אפשרית הנתקף משלם בהודעת SMS שרכש... מאחר שאנו יכולים לנסות לשלוח הודעות בשם מספרי טלפון שאינם מוכרים במערכת המשמעות תהיה לרוב לדעת האם הלקוח מוכר, וכך שאיבה של מאגר לקוחות מסויים מהמערכת. בשלב השני תתחיל התקיפה, אנו נזין לתוך המערכת מספרי טלפון (Something the user know) ונשלח את הודעות האיפוס בSMS למכשירי הלקוחות (Something the user has). מאחר שכוונתנו בתסריט זה תהיה לפגוע להשיג מאגר ולהזיק לאובייקט, שליחת ההודעות תעשה בשעה 03:00 (Somthing the consumer don't like at all) מדובר פה על מצב שבו שאבנו מאגר מידע,ניצלנו אותו לפגוע כספית באופן מיידי ביעד (מישהו משלם על שליחת הודעות ה SMS) הלקוח נפגע (שלחנו אליו את ההודעות בשעה שהוא נוהג לישון) , היעד שיכול להיות עסק מקבל פניות נזעמות של לקוחות שהפריעו להם, יהיו כנראה לקוחות שיתעתקו מהשירות, ולאחר מכן כתבות בעיתון על תקיפת סייבר. התקיפה יכולה להיות ממוקדת ב50 משתמשים במשך מספר לילות, מדובר על תקיפה זעירה שיכולה להיות ממוענת דווקא לעובדי חברה בכירים, או כנגד עיתונאים שעלולים לאחר מכן לכתוב על הנושא ולפגוע ביעד. המסקנה שלי היא שמנגנוני איפוס סיסמא אשר מבוססים על מערכת לשליחת SMS אומנם מבטיחים הגעה מאובטחת יחסית ללקוח ) אבל על הדרך הם מסכנים את מאפס הסיסמא. כאשר מתבצעת פעולת איפוס כזו יש לבצעה בעזרת הזנה של מספר נייד יחד עם סיסמת הזדהות וקאפצ׳ה קשה לפיצוח.

Thursday, February 9, 2012

History of the phreaking- reqwest for info

הייתה לי שיחה עם מישהו שסיפר לי שכבר לפני עשרות שנים אנשים היו "מתקתקים" לטלפון כדי לגנוב שיחות.
אם יש למישהו מושג לגבי הנושא, אני אשמח לשמוע.

Hacking phone system by the flash buttom -כפתור האיתות בטלפון ציבורי במערכת נותנות שירות

טלפונים  ציבוריים ארגוניים

בטלפונים רבים קיימים כפתורי פלאש,
לעתים כפתורים אלו מותקנים בטלפונים שמיועדים לציבור הרחב  כלקוחות בתוך ארגון.
מאחר וכפתור פלאש מיועד בין היתר להעברת שיחות, הרי ששימוש בפונקציה המקורית שלו תאפשר ללקוח לחדור למערכת הטלפוניה בארגון.

במערכות טלפון ציבוריות רבות הלקוח מרים את השפופרת ומקבל צליל חיוג מיידי השולח אותו למענה אנושי/קולי של המערכת, לעתים הוא מתבקש להזדהות.

לקוח סביר יזדהה, לקוח סקרן עלול ללחוץ על כפתור האיתות (Flash)

בשלב הבא, יתכן שיהיה מצב שבו יתקבל צליל נקי (והשיחה החינמית שחויגה בחיוג האוטומטי ראשוני תישאר ב Hold)
לאחר מכן, הטלפון החינמי הופך להיות שלוחה ארגונית רגילה.

בשלב הבא הלקוח יוכל להתקשר לשלוחות אחרות, ובמקרים אחרים אף לבצע שיחות לקווי חוץ. (או קווי פרמיום)
אם מדובר באדם בעל כוונות לחדור לארגון יתכן והוא ינסה לשאוב מידע בשיטה זו.

חשוב להבין שניתן להפוך שלוחה טלפונית לשלוחה ארגונית לכל דבר.

אחת מהדרכים  המינימליות למנוע את הבעיה היא לשתק את כפתור האיתות בטלפון שמותקן לטובת הלקוחות במערכות ארגונים שמאפשרים שיחות חינם לשירות הלקוחות שלהם. (מתוך המבנה הפיזי של הארגון).

בנוסף, ניתן להגדיר את השלוחה בתוך המרכזיה בצורה שיכולת לבצע מעבר לתצורת טלפון רגילה לא תתאפשר.

לדוגמא:http://www.cisco.com/en/US/products/ps10033/products_qanda_item09186a0080a36627.shtml