Friday, October 31, 2014

Google Drive add hidden logs, to spy and track files created in their service


This time I will share with you my finding, regards Google Drive/docs.

Lets start from old news,form a year ago:


NSA can track you with cookies from Google, iOS, Android – and it might be legal
By on December 11, 2013



Generally speaking

Above all,I like Google,I don't like to way they took our privacy.
This story will show you where is the limits,and why tracking files and the people who read them, it's not a smart move in the world where the privacy is waking up.

Google drive act as a cloud service by Google Inc, with abilities to store data,and writing docs it's one of the features the service gives,which is good as long as they tracking you,but don't leave hidden tracking mines in the files.

Here you can see the difference between Google Docs and Google Drive)

The finding

I was reading my CV which in the first time, has been written with Google Drive service, then I saw something really interesting,hyperlinks which were different then the original which was added by me.

I didn't ask Google to track for me my file.

Even after converting the file to PDF ,I had those Google mysterious tracking links.
Checking them out I saw how the redirection is being made:

Example:

This :


Takes you to :



Redirection
Original hyperlink
cookie string





I was getting a cookie as well,in the time when I clicked on the hyperlink and got redirected:



q=http://valleywag.gawker.com/facebook-lets-you-track-friends-precise-location-throug-1564328515
sa=D
sntz=1
usg=8888

Host: www.google.com
User-Agent:
DNT: 1
Cookie:PREF=ID=88:U=88:FF=0:LD=iw:NR=100:TM=111:LM=11:SG=2:S=aaaa; NID=67=888-pldwa-er-88_88-8888; SID=888888888_88888888888888-DKanetR1_8888888888888_8888888_8888-888-88-888_888_88_88; HSID=888; APISID=3T0NSCkPbont-Cks/88-88
Connection: keep-alive

Checking out in cookiepedia, show me this:
http://cookiepedia.co.uk/cookies/APISID



Lets see some videos,to have more proof :







Here is the exported PDF  from the drive:




Now I wanted to know more about Google behaviour, what is the purpose of those links,is someone knew about it or not?.s

Looking for the strings:" "&sa=D&sntz=1&usg=" in Google gave me only 92 normal results.



More digging gave me more explanation.

Conclusion


Google track hyperlinks in Google search, some people think it's related to redirection and nothing more,others saw the attack options,but having this in docs/drive is less known and this should concern not only the owner of the files but the readers of them.

Tracking users files, show us why Google don't see the red line.
Knowing that's your files are being tracked, and sent anonymously to Google,put anyone who gets them under surveillance.

You should think about it,as adding your own hidden tracking script, to spy on someone who gets a file from you.  

Solution

Always check the hyperlink before opening it.
Don't write the file in Drive/Doc
Don't add hyperlinks.

P.S.

I've done confirmation only in Drive,but it seems to be the same in Google docs as well. 
 
-----------------
For more info about Google tracking and it's uses:





Wednesday, October 29, 2014

מי רוצה לגנוב זהות דרך הטלפון? זה די קל ותעודה ביומטרית לא תעזור







מי רוצה לגנוב זהות דרך הטלפון? זה די קל ותעודה ביומטרית לא תעזור..
סקירת מגמות פרו אקטיבית

מאת:אמיתי דן
חוקר אבטחת מידע ומערכות פיזיות

www.amitaydan.com

מגמת השימוש בישראל של שירותי שינוי שיחה מזוהה,שינוי מזהה שולח מסרון,ואיתור מתקשר ממסר חסוי מתגברת ומצטרפת לשירותים וותיקים,וזאת עם השקת שני שירותים משלימים לשינוי שיחה מזוהה ואיתור מתקשר ממספר חסוי.

המחירים יורדים והנגישות עולה.

דמיינו את המצב הבא:


1.1.אנשים ובקרי שליטה מזייפים שיחה מזוהה,מתחזים לאחר ונתפסים.
1.2.אנשים ובקרי שליטה מתקשרים מחסוי והמספר האמיתי מתגלה.
1.3.מתבצעות הפללות דרך הודעות SMS עם שולח מזוייף.
1.4. כלל השיחות מנותבות דרך שירותים במדינות זרות,ומנותרות שם.


כפועל יוצא, מספר הטלפון כמזהה של בני אדם ובקרים מאבד מערכו.


מאז 2011 אני מתריע על הנושא,וההשלכות שלו על התפיסה שלנו בנוגע לביטחון האישי והפיזי.
הוכחתי  שניתן לפרוץ לשירותים מחוברי טלפון כמו פנגו, שערים רבים ונושאים אחרים שלא חשפתי כמו מערכות אזעקה,או מערכות שליטה ובקרה אחרות שמונחות טלפונית.

אני לא שוכח את הפרטיות וההגנה שמתקבלת  בזמן השימוש,אבל לכל שיחה יש שני צדדים.
אתם לא תרצו שחברת ספאם קולי תחזיק שירותי זיהוי שיחה חסויה,כאשר אתם מתקשרים אליה ממספר לא מזוהה,בזמן שהם התקשרו אליכם בכדי לגרום לשיחה חוזרת לאחר צלצול ניתוק.

ישנם שירותים שמנסים לקחת את היתרונות שבדבר,כמו שירות חדש ליצירת שיחה יוצאת עם שיחה מזוהה מהמשרד למרות שמדברים מהנייד.

בארצות הברית ישנה חקיקה ברורה בנושא שינוי שיחה מזוהה.

Caller ID Spoofing: Who's really on the line?
by: Joel Gurin and Sharon Gillett, Chief, Consumer & Governmental Affairs Bureau and Chief, Wireline Competition Bureau



בישראל תחום הפיקוח על עולם הזהויות הטלפוניות פרוץ, ואין ממש קושי להגיע לישראל בשיחת טלפון או SMS עם מספר טלפון מזוהה השייך לאדם אחר, שעוברת דרך ספקי טלפוניה שיושבים בכלל במדינות זרות.

הגבול הוירטואלי של עולם הטלפוניה פתוח לרווחה,והחקיקה לא מאפשרת לסגור אותו,כי היא איננה קיימת ולא ניתן לאכוף משהו שאיננו בלתי חוקי.


היכולת לשנות כתובת IP ולהשתמש בשירותים כמו Hola בעולם האינטרנט,אינם מקבילים לעולם הטלפוניה,מאחר ששם אנחנו מקבלים IP של מדינה זרה,ואילו כאן אנחנו בוחרים להיות הip הטלפוני של אדם או מכונה אחרת.

לדעתי צריך לעשות סדר,לפקח ולחוקק כי האינטרס הציבורי כיום מתחיל להיסדק,ובקרוב לא נסמוך יותר על מזהה הטלפון של מי שמתקשר אלינו.

בו בזמן,שירותי הטרדות רבים משתמשים במספרים חסויים כך שהצורך בפתרונות לאיתור המספר המסתתר גובר.

חשוב להבין,שהתחזות או הונאה יהיו תמיד עבירה פלילית אבל מה קורה כאשר אני מחליט להפוך את השיחה המזוהה למספר בינארי, ומוסר למישהו הודעה בשיחה מתנתקת?
(לדוגמה בזמן רכישת סמים, או לצורך השארת מסר בזמן הפעלת סוכן סמוי ללא השארת עקבות,שליחת הודעה מוסוות של סוס טרויאני למרכז הבקרה ושליטה)

אני לא נכנס לטכנולוגיה שמאחורי התהליך,אבל היכולת לשנות שיחה מזוהה הנה יכולת בסיסית שנוטרלה בספקים רבים,אך קיימת באחרים.

עצם ההתבססות על שיחה מזוהה לצורך הזדהות,הנה קלוקלת ומזמינה צרות.
 
 
מאמר טכני במגזין Digital Whisper מאת עדן משה, על שיטות לאיתור מספרים חסומים
 "עלGSM VoIP ומספרים חסויים"

 http://www.digitalwhisper.co.il/files/Zines/0x1E/DW30-3-GSMVOIP.pdf

Kevin Mitnick phone spoofing


Kevin Mitnick shows how easy it is to hack a phone
Famed hacker shows how easy it is for anyone, not just British tabloid journalists, to access a stranger's mobile phone voice mail

Kevin Mitnick - The Art of Deception


Unbelievable hacks: Money Transferring with Caller Id Spoofing


מחקר פורץ דרך

You Can Call But You Can’t Hide : Detecting Caller ID Spoofing Attacks

Hossen Mustafa Wenyuan Xu Ahmad-Reza Sadeghi and Steffen Schulz


 Fact Sheet 19: Caller ID and My Privacy




כאן ניתן לקרוא את תגובת המשטרה והמשרד לביטחון פנים לנושא

 יש לכם שער שנפתח באמצעות סלולר? הוא פרוץ, וזו רק הקטנה בבעיות

http://www.haaretz.co.il/captain/net/1.2193204

לקוחות פנגו? ייתכן שחשבונכם נפרץ
לא מעט נהגים ישראלים סומכים על אפליקציית "פנגו" למצוא חניה בקלות. אבל בדיקת מומחה לאבטחת מידע העלתה חשש כי האקרים יכלו לפרוץ לחשבון המשתמש, דרך המענה הקולי, ולחשוף את הנתונים האישיים שלו. מחברת פנגו נמסר כי "הבעיה טופלה באופן מיידי ומקיף, ולמיטב ידיעתנו, הלקוחות לא נפגעו"

http://www.mako.co.il/news-money/tech/Article-97c17b6af5da241004.htm


פעילות פרלמנטרית שביצעתי בנושא:

הזכות לפרטיות בעידן הטכנולוגי - לציון יום זכויות האדם הבינלאומי
התרעה והמלצות בנושא גנבת זהות טלפונית וזיופי שיחות

פרטי הדיון

http://main.knesset.gov.il/Activity/Committees/Science/Pages/CommitteeAgenda.aspx?tab=3&AgendaDate=10%2f12%2f2013+10%3a00%3a00

צילום הדיון

http://main.knesset.gov.il/Activity/committees/Science/Pages/CommitteeTVarchive.aspx?TopicID=4335

פרוטוקול

http://www.knesset.gov.il/protocols/data/rtf/mada/2013-12-10.rtf
http://fs.knesset.gov.il\19\committees\19_ptv_269043.doc

שירותים חדשים

שיחה מזוהה/SMS - שירות ישראלי
https://www.facebook.com/Magicallapp

זיהוי שיחה חסויה - שירות ישראלי
https://www.facebook.com/none.call.id



שירותים וותיקים

שירותים ישראלים עם תמיכה מקומית

שינויי שיחה מזוהה

שינוי זהות טלפונית - MasterSpy

http://www.masterspy.co.il/%D7%A9%D7%99%D7%A0%D7%95%D7%99-%D7%A9%D7%99%D7%97%D7%94-%D7%9E%D7%96%D7%95%D7%94%D7%94/c-47-1-0.htm


 שינוי זהות טלפונית - SpyNet

http://www.spynet.co.il/%D7%A9%D7%99%D7%97%D7%94-%D7%9E%D7%96%D7%95%D7%94%D7%94-%D7%97%D7%9B%D7%9E%D7%94-%D7%A4%D7%9C%D7%95%D7%A1-60-%D7%99%D7%97%D7%99%D7%93%D7%95%D7%AA-%D7%A9%D7%99%D7%A0%D7%95%D7%99-%D7%A9%D7%99%D7%97%D7%94-%D7%9E%D7%96%D7%95%D7%94%D7%94/p-167.htm

איתור שיחה חסויה



איתור שיחה חסויה-MasterSpy

http://www.masterspy.co.il/%D7%96%D7%99%D7%94%D7%95%D7%99-%D7%A9%D7%99%D7%97%D7%95%D7%AA-%D7%97%D7%A1%D7%95%D7%9E%D7%95%D7%AA-%D7%9C%D7%A9%D7%91%D7%95%D7%A2%D7%99%D7%99%D7%9D-14-%D7%A9%D7%99%D7%97%D7%95%D7%AA/p-112.htm

איתור שיחה חסויה-SpyNet

http://www.spynet.co.il/%D7%96%D7%99%D7%94%D7%95%D7%99-%D7%A9%D7%99%D7%97%D7%95%D7%AA-%D7%97%D7%A1%D7%95%D7%9E%D7%95%D7%AA-%D7%96%D7%99%D7%94%D7%95%D7%99-%D7%A9%D7%99%D7%97%D7%95%D7%AA-%D7%97%D7%A1%D7%95%D7%99%D7%95%D7%AA-%D7%97%D7%A1%D7%95%D7%99-%D7%92%D7%9C%D7%95%D7%99/c-74-1-0.htm


שינוי מזהה שולח במסרון



שינוי מזהה שולח במסרון – Masterspy

http://www.masterspy.co.il/SMS-%D7%9E%D7%A4%D7%95%D7%91%D7%A8%D7%A7/p-116.htm

בעולם



שינוי שיחה מזוהה


SpoofCard
http://www.spoofcard.com
https://itunes.apple.com/us/app/spoofcard-fun-way-to-prank/id553496558?mt=8#

Call From Work
https://itunes.apple.com/us/app/call-from-work-make-calls/id883783475?mt=8

Phone Ganster
https://play.google.com/store/apps/details?id=com.phone.gangster&hl=en

Telapi-API for deveopers
http://www.telapi.com
TelAPI Integrations

https://zapier.com/zapbook/telapi

http://www.teltech.co

איתור שיחה חסויה

Trapcall Unmask Blocked

http://www.trapcall.com

Ozeki Informatics Ltd.

http://ozekiphone.com/voip-how-to-unmask-caller-id-492.html

Sunday, October 26, 2014

Night hunting: Scientology vs Amitay Dan - Email Header Analyzer and OSINT 0-1







היום קיבלתי מייל משעשע,ניסו לצוד אותי.
קיבלתי מייל עם השם הבא:  יובל - המכון לאבחון :Re מאזן רווח

ביקשו ממני למלא פרטים אישיים.
אמרו לי שהמייל שקיבלתי נשלח מארצות הברית.
אמרו לי שאני אמור לקבל מתנה.
אמרו לי שהמתנה ממומנת על ידי אמריקאים.

אז אמרו.

המטרה הראשונית שלי הייתה להוכיח שמישהו שלח לי מייל פירסומי מישראל,ולא ממש בדקתי השולח עצמו...


לרוב שולחי מיילים דומים מצליחים להסתתר טוב יותר,הם ניסו להסביר שהם שלחו את המייל מארצות הברית.
הם חתמו שהם שלחו אותו מארצות הברית,אבל הם טעו ביעד.
הם טענו שהמייל לא פרסומי והם רק מציעים מתנה (אבל ביקשו פרטים בצורה שמזכירה משהו אחר)

החלטתי לבדוק מי באמת השולח,ולהבין מה העניין ולמה חשוב כ"כ להדגיש שמייל בעברית נשלח מארצות הברית.

הלכתי למקור של המייל,לנתונים שראים לנו מאיפה המייל הגיעו ובאיזו צורה.


X-CTCH-Spam-RefId: str=*****,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0

Received: from mxout7.netvision.net.il (mxout7.netvision.net.il [194.90.6.2]) by 0.0.0.0:2500 (trex/5.0.24); Mon, ** Oct 2014 00:00:00 GMT

MIME-version: 1.0 Received: from losangeles3 ([217.132.120.203]) by mxout7.netvision.net.il (Oracle Communications Messaging Server 7u4-24.01(7.0.4.24.0) 64bit (built Nov 17 2011)) with ESMTPA id <*******@mxout7.netvision.net.il> for ******@****.nz; Mon, 00 Oct 2014 00:00:00 +0000 (IST) 

Message-id: <*******@mxout7.netvision.net.il

From: =?*****?b?*********==?= 

 To: ******@****.nz 

Subject: =?windows-1255?B?*******?= 

Date: Mon, 00 Oct 2014 00:00:00 +0000

X-Priority: 1 (Highest) 

X-MSMail-priority: High 

X-Mailer: Microsoft Office Outlook, Build 11.0.5510 

Importance: High 

Thread-index: Ac/*******== 

X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2900.6157 

X-MAILFROM: us-research@bizdiagnosis.com 

Content-type: multipart/related; boundary="Boundary_(ID_*******/Q)"



מה אנחנו רואים?

  1. mxout7.netvision.net.il
  2. 194.90.6.2
  3. losangeles3
  4. 217.132.120.203
  5. Oracle Communications Messaging Server 7u4-24.01(7.0.4.24.0) 64bit (built Nov 17 2011
  6. Microsoft Office Outlook, Build 11.0.5510
  7. Produced By Microsoft MimeOLE V6.00.2900.6157
  8. www.bizdiagnosis.com
  9. us-research@bizdiagnosis.com
 כלי עבודה: 

a. מפענח IP - מכתובת למיקום

b. מפענח פרטי בעלי אתר (Who Is)
https://who.is

c.מנוע החיפוש Google

d. ממיר כתובת אינטרנט לכתובת IP

נתחיל לפענח את הנקודות החשובות,במקרה זה, כתובות ה IP:

e. מאמת אימיילים

https://tools.email-checker.com

 

 

1. mxout7.netvision.net.il

194.90.6.2
IP address :

194.90.6.2

IP number : 3260679682
Country : Israel  
Region:
City (Estimate) :
Latitude : 31° 30' North
Longitude : 34° 45' East
Time Zone : Jerusalem Standard Time
GMT Offset : 02:00:00




אימות נוסף:


194.90.6.2Israel HefaHaifaNetvision Shared Hosting Net Servers


Geolocation data from IPligence (Product: Max)
IP AddressCountryRegionCityISP
194.90.6.2Israel
Haifa013 Netvision Ltd
ContinentLatitudeLongitudeTime Zone
Middle East32.8234.99GMT+2


Geolocation data from IP Address Labs (Product: Pro)
IP AddressCountryRegionCityISP
194.90.6.2Israel --Netvision
ContinentLatitudeLongitudeOrganization
Asia31.534.75NetVision


Geolocation data from MaxMind (Product: GeoLiteCity)
IP AddressCountryRegionCityPostal CodeArea Code
194.90.6.2



אז השתכנענו שיש כאן מייל שנשלח מארץ שונה מהארץ המוצהרת..

נמשיך,

2. 194.90.6.2    
היינו כאן ..

3. losangeles3


4. 217.132.120.203

Geolocation data from IP2Location (Product: DB4)
IP AddressCountryRegionCityISP
217.132.120.203Israel HefaHaifaBb Hfa


Geolocation data from IPligence (Product: Max)
IP AddressCountryRegionCityISP
217.132.120.203Israel
Haifa013 Netvision
ContinentLatitudeLongitudeTime Zone
Middle East32.8234.99GMT+2


Geolocation data from IP Address Labs (Product: Pro)
IP AddressCountryRegionCityISP
217.132.120.203Israel Tel AvivTel AvivNetvision
ContinentLatitudeLongitudeOrganization
Asia32.066734.7667NetVision


Geolocation data from MaxMind (Product: GeoLiteCity)
IP AddressCountryRegionCityPostal CodeArea Code
217.132.120.203Israel




Registry Information for 217.132.120.203

 5. Oracle Communications Messaging Server
 פלטפורמת השרת שדרכו נשלח המייל -שירות של אורקל


 המייל הוצג כשולח,ואומת כקיים,אבל מעבר לכך כל השליחה בוצעה מישראל כפי שהוכח.
https://tools.email-checker.com





באופן כללי: ישנם שרותים רבים של זיופי מיילים, ככה שלא צריך להאמין לכתובת השולח מאחר והיא ניתנת לשינוי בקלות.
לדוגמא:
 
בחיפוש מהיר במייל נגלה מספר טלפון:03-7300852  
נותן את הפרטים הבאים: 

  1. המכון לאבחון עסקי - הפורטל העסקי מספר 1 בישראל
  2. www.hamahon.com
  3. https://he-il.facebook.com/bizdiagnosis
  4. http://www.bizdiagnosis.com/scientology.html 
עכשיו זה כבר נהיה מעניין :)

מתברר שעליתי פה על דואר שבא לצוד אנשים לכת הסיינטולוגיה.

"המכון לאבחון עסקי 1998."
סיינטולוגיה-חברות-קש

Admin Name: Yuval Ivankovski
Admin Organization: Business Diagnosis Inst
Admin Street: PO Box 39966
Admin City: Tel-Aviv
Admin State/Province: Tel-Aviv
Admin Postal Code: Tel-Aviv
Admin Country: IL
Admin Phone: +972.37300852
Admin Phone Ext:
Admin Fax: +972.37300852
Admin Fax Ext:  Admin Email:
yuvalivan@gmail.com
 


Admin Name: Yuval Ivankovski
Admin Organization: Business Diagnosis Inst
Admin Street: Lamed Aleph
Admin City: Tel-Aviv
Admin State/Province: Tel-Aviv
Admin Postal Code: Tel-Aviv
Admin Country: IL
Admin Phone: +972.37300852
Admin Phone Ext:
Admin Fax: +972.37300852
Admin Fax Ext:
Admin Email: yuvalivan@hotmail.com

אותו מספר טלפון מופיע בסוף המייל המקורי,מה שמאפשר הצלבה נוספת של נתונים

המייל המקורי:

שנה טובה.
בהמשך לפרסום תוצאות מחקרנו בערוץ 10 ובגלי-צה"ל–

במהלך 14 השנים האחרונות, לאחר שבחנו מעל 12 אלף עסקים בישראל, גילינו שרבים עומדים על רווחיות נמוכה מדי.

לאור המצב הביטחוני, וכמתנה לחג, נעניק סדנא מתנה לבעלי העסקים בישראל, בה נפרט את כל הטעויות שבגללן רובם לא מרוויחים מספיק.

המנחה של הסדנא הוא מחבר רב מכר בתחום הניהול, יועץ ומרצה בינלאומי בעל ניסיון עצום בהגדלת רווחים של עסקים תוך זמן קצר.

הסדנא תתקיים ביום שני, 3 לנובמבר, 17:30 עד 20:00, מול גני-התערוכה.

כניסה לבעלי עסקים ובני משפחותיהם בלבד.

נותרו מספר כרטיסים בודדים. הכניסה לבעלי עסקים ובני משפחותיהם בלבד.
הסדנה היא במימון אמריקאי מלא. אין צורך בתשלום, אך מותנה בהרשמה מראש

למימוש המתנה יש להשיב למייל זה ולמלא את הפרטים הבאים:
*מספר המקומות מוגבל – נא לא להגיע לפני קבלת אישור מהמשרד בארץ.

שם החברה/ העסק:

שם בעל העסק/ מנכ"ל :

כתובת :               

טלפון : 

טלפון נייד :

פקס:

אי-מייל :


נשמח לשיתוף פעולה מצידך במחקר הנוכחי שלנו:
מהי רמת החופש הכלכלי שלך?
חופש כלכלי מוגדר באופן הבא:
העסק רווחי,
הבעלים מושך שכר של 25,000 שקלים נטו ומעלה,
יש לבעלים זמן פנוי לנהל חייו האישיים, ולפיתוח העסק

השאלה היא: בין 0 ל-100 – עד כמה אתה מרוצה מהעסק שלך?
_____






שנה טובה,
ראש צוות סניף ארה"ב.                                                                            






(my email) - עסק רשום.
משלוח מכתב זה נעשה מארצות-הברית  
בחסות Business Diagnosis Institute  
 - לוס-אנג'לס, ארה"ב.
המכתב נשלח כשירות לציבור במסגרת מחקר אקדמי.
אין לראות בו דבר פרסומת לשירות כלשהו בתשלום.
אם ברצונך לקבל מידע בפקס או מייל לגבי שירותים בתשלום,
נא לשלוח מכתב זה במייל חוזר.
אם המכתב הגיע אליך בטעות, 
או שברצונך לא לקבל מכתבים נוספים נא להשיב חזרה
עם המילה "מחק" בשורת הנושא.          


© 1999-2014 המכון לאבחון עסקי לוס-אנג'לס. כל הזכויות שמורות.

המכון לאבחון עסקי ארה"ב
וונטורה בולוורד, וודלנד הילס, קליפורניה

 טלפון בישראל (24 שעות ביממה)  03-7300852






אז למה צריך האקרים?


בתחילת אוגוסט,אחד מחברי קבוצת דפקון בישראל (dc9723.org) העלה את הפוסט הבא:
----
בן של חבר נהרג בעזה.
הבן השאיר סלולארי עם קוד נעילה, אני עדיין לא יודע איזה טלפון והטלפון עדיין לא אצל המשפחה, אבל שאלו אותי אם אדע לפרוץ את הקוד מבלי למחוק את המידע.
אפשרי בעיקרון, לא?
----
חברי הקבוצה,נרתמו לנושא וניסו לסייע ולעזור לפרוץ את הנעילה.

במקביל בלי לבקש כלום,או לנסות לתעל את זה תקשורתית,חברת סלברייט הסכימה להירתם.
בפועל, לפי מה שהבנתי המשפחה הסתדרה,וגילתה את הסיסמא למכשיר.


ורד שביט בעלת הבלוג אבק דיגיטלי ,העלתה עכשיו ראיון שהיא עשתה עם החברה בעקבות הסיפור.


http://digital-era-death.blogspot.co.il/2014/10/blog-post_26.html


Saturday, October 25, 2014

Zendesk Contributors and acknowledgement list

Couple of weeks ago I've found a security problem in Zendesk
I will share with you my full story,as soon as I can.

Until then,wait for the next publication..



Thursday, October 23, 2014

Eventbrite - Security Wall Of Fame

Recently,Evenbrite decided to included me under thier's Wall Of Fame.
I have warned them about my finding.

Very soon I will share more information.


1/4


Sunday, October 19, 2014

Obama's Credit Card information wasn't exposed during his visit in the restaurant - it was a lie


Showing the world your credit card numbers, it's not a smart move,when you try to avoid identity thief.

Telling the world (or the Americans) that's your credit card have been blocked,and then showing it,make you double naive.

Obama should cancel his card immediately,to avoid identity problem.
Actually,I believe he have no  insurance for any bad used of his card...

"Obama reveals his credit card number as he pays at Texas restaurant"


"President Obama Says Credit Card Was Declined - The New York Times"
 
https://www.youtube.com/watch?v=V1TbyGmVImI

Update:
After double check, and attempt to but the original picture, I can confirm  that's the information of Obama's credit card, are secure.

It's impossible to get the original number. :) 

The original picture can be bought from here.

http://www.gettyimages.com/detail/news-photo/president-barack-obama-holds-up-his-credit-card-as-he-pays-news-photo/451979998?suri=1

http://www.imageforum-diffusion.afp.com
Item ID: Was8818387

"כרטיס האשראי של אובמה נדחה במסעדה בחשד להונאה"

"ביום שישי חתם נשיא ארה"ב על צו נשיאותי המורה על חיזוק האבטחה של כרטיסי האשראי הפדרליים ומערכות תשלומים ממשלתיות"


Friday, October 17, 2014

איסוף מודיעין טכנולוגי דרך שליחת אימייל שגוי לקרבן - עקיצה בשישים שניות

נניח ואנחנו רוצים לקבל נתונים מהירים על השרתים הפנימיים של חברה מסויימת,כיצד לדעתכם נוכל לעשות זאת מבלי לפרוץ אליה?

 אחת החולשות שניתן לנצל,כדי לאסוף מודיעין די מדוייק לקראת תקיפת חברה,או בכלל כדי לדעת מי ספקי השירות שלה היא העובדה ששליחת אימייל שגוי לשרת מביאה לתשובה מהירה שכוללת פרטים על היעד.

יש חברות שמסתירות פרטים,בעוד אחרות לא ממש או שהנושא לא חשוב להן.
אתרים ממשלתיים רגישים באותה מידה.

לדוגמא:


 Google .1
Delivered-To: qqq@qqqq.qq
Received: by 00.00.00.000 with SMTP id qq;
        qq, 17 qqq 0000 00:00:00 -0700 (PDT)
Received-SPF: pass (google.com: domain of  designates 00.000.000.000 as permitted sender) client-ip=00.000.000.000
Authentication-Results: qq.qqqq.com;
       spf=pass (google.com: domain of  designates 10.229.212.202 as permitted sender) smtp.mail=;
       dkim=pass header.i=@googlemail.com
X-Received: from mr.google.com ([00.000.000.000])
        by 00.000.000.000 with SMTP id 00000000.0.00000 (num_hops = 1);
        qq, 00 qqq 0000 00:00:00 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=googlemail.com; s=00000000;
        h=mime-version:from:to:subject:message-id:date:content-type;
        bh=qqqq
         Io9g==
X-Received: by 00.000.000.000 with SMTP id 00000000.0.00000000;
        qq, 00 Oct 0000 00:00:00 -0700 (PDT)
MIME-Version: 1.0
Return-Path: <>
Received: by 00.000.000.000 with SMTP id qqqq.0; qq, 00 Oct 0000
 00:00:00 -0700 (PDT)
From: Mail Delivery Subsystem <qqqqqqq@qqqqqq.qqq>
To: qqqqq@qqq.qq
X-Failed-Recipients: ***111***@google.com
Subject: Delivery Status Notification (Failure)
Message-ID: <qqqqq@qqqq.qqqq>
Date: Fri, 17 Oct 2014 00:00:00 +0000
Content-Type: text/plain; charset=ISO-8859-1

Delivery to the following recipient failed permanently:

     ***111***@google.com
  
eBay .2

Delivered-To: *****@*****.nz
Received: by **.***.**.*** with SMTP id ****;
        QQ, 00 QQ 2014 00:00:00 -0700 (PDT)
Received-SPF: pass (****.nz: domain of  designates **.***.***.*** as permitted sender) client-ip=**.***.***.***
Authentication-Results: **.****.***;
       spf=pass (***.nz: domain of  designates **.**.***.*** as permitted sender) smtp.mail=;
       dkim=pass header.i=@*****.nz
X-Received: from mr.google.com ([00.000.000.000])
        by **.***.***.*** with SMTP id *******.**.**** (num_hops = 1);
        **, 00 QQ 0000 00:00:00 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=******.nz; s=*****;
        h=mime-version:from:to:subject:message-id:date:content-type;
        bh=*************==
X-Received: by **.***.***.*** with SMTP id ********.**.***;
        **, 00 QQ 0000 00:00:00 -0700 (PDT)
MIME-Version: 1.0
Return-Path: <>
Received: by **.**.***.*** with SMTP id ******.80; **, ** QQ 0000
 00:00:00 -0000 (PDT)
From: Mail Delivery Subsystem <mailer-daemon@googlemail.com>
To: ****@****.com
X-Failed-Recipients: ******@ebay.com
Subject: Delivery Status Notification (Failure)
Message-ID: <*******@****.nz>
Date: Fri, 00 Oct 2014 00:00:00 +0000
Content-Type: text/plain; charset=ISO-00000-1

Delivery to the following recipient failed permanently:

     00000@ebay.com

Technical details of permanent failure: 
Google tried to deliver your message, but it was rejected by the server for the recipient domain ebay.com by data.ebay.com. [***.***.***.**].

The error that the other server returned was:
550 #5.1.0 Address rejected.




--

Saturday, October 11, 2014

פרצת אבטחה במערכת ה 'סוכן החכם' של אחת החברות הגדולות בעולם בתחום של גיוס עובדים


פרצת אבטחה שאיתרתי בחברה שמספקת שירותי גיוס,איפשרה לחדור ל 'סוכן החכם' שמתריע על עבודות פוטנציאליות.

ברשימת הנפגעים היו חברות מוכרות בעולם בתחום הפיננסים,הבנקאות,המסחר הקמעוני,וההייטק.
הפירצה תוקנה ובקרוב יפורסמו פרטים נוספים.

החברה איננה ישראלית.

כל עובד פוטנציאלי שהשתמש במערכת היה בסיכון.
 

Logic hacking and why you should avoid subscribe yourself into mailinglist

introduction

This research began one day,after I realized that's I have had too much spam in my email. So I decided to have some fun,and to find problem with the way of that's those companies  are keeping the privacy of the users,and the interest of their own business.

I decided to find problem in the system,and to make it much more secure. 

Since mailing lists,and marketing are not always equal to spam, there is needs to secure the mailing list database,but security is not always what we  understand in the first time ,its not always about the best firewall/antivirus/detection of APT attack, we need to understand the way of how people dealing with system,emails and how the system should be created. Its about logic security,thinking.

Sharing emails,I mean person to friends mailing lists, is nothing new,and we all have  friends which got this motivation to share with us the last deal they just got by the email. So what the problem? The sender included the password of their account in the body of the email.

Normal email which a person got by is newsletter subscription, has couple of weakness point,based of the interest of the side:

1.The regulation:You have to allow opt-in/opt-out ,which is the abilities to choose to unsubscribe yourself from the mailing-list.

2.The sender:The company behind the campaign want to track the users,they want to know where they are,included geo-location with maps,they want them to share the email with friends,they want them to see the email,even if that's mean to open the email in a different windows with personal address.

3.The receiver:The person who actually subscribe to the himself to the list,want to read it,to share it,to change sometime his information inside,to get update about the conference,or just the best deal.

4.The shipper: Shipping companies, there are the people who make money,totally legal money in the digital era,this by sending digital goods like emails. They want to get more users to theirs client,to have more abilities like adding SMS abilities, the security? well ,security is something which needs to improved.


Next step

Pattern hunting

After understanding a bit more about the situation in the marketing field,I was looking into my emails,as well as another website so I will be able to catch petters from the emails.

Very fast I was realized thats most of companies,who have are specialist in marketing emails/campaigns are exposing the users.

What you should hunt:

1.Forwards to friends.
2.Edit subscription information.
3.Unsubsribe.
4.View in a web page.
5.Campaigns unique token or code.
6.Sender unique token or code.
7.View in web page without SSL to secure the channel.
8.No configuration against scraping/robots.

The story got into really funny point,since even when I saw a try to secure the email of the client,after successful unsubscribe, the email appears with a timestamps.

After I gave a warning to more then five major companies in this field,I've realized that's we are suffering from something more then a weakness point,I was told that's the users are stupid because they are sharing the emails in the web,and more interesting answer.

The brainstorm with couple of them show,thats it's possible to secure but it's really hard to have the all interest join together,since regulator, end user ,client (of the sipper) and the shipper,have different needs,and somehow the privacy is the first to suffer.

Having information about the the things you should get into your email,is the best thing to ask, for a person who want to attack you. 

Currently I'm still waiting for answers related to the issue,but I will publish very soon more updates.

Until then,If you can share your marketing emails/newsletters it will be great.
Your welcome to use one of the following websites as well:

1.http://www.email-gallery.com
2.http://www.retailmail.com
3.https://www.theswizzle.com
4.http://www.retailmail.com
5.http://milled.com


If you have extra time,you better read this:

1.http://www.list-unsubscribe.com/

 


 
  

Thursday, October 9, 2014

Exposed of logs, related to users who used Conduit service to gets Divx software

English will be follow..
פרטי לוגים של התקנות של תוכנת Divx,שנעשו דרך שירותי Conduit חשופים ברשת למעלה מחצי שנה.

חברת Conduit קיבלה מספר התרעות בנושא,ומאחר שהם היו במיזוג כשאיתרתי את הנתונים,החלטתי להמתין כדי לא לפרסם את הנושא בזמן רגיש עסקית.

בפניה חוזרת לחברה שנעשתה לאחרונה נאמר לי שהנושא לא רלוונטי ,ולכן החלטתי לפרסם את הדברים, לדעתי זה רלוונטי.

מאחר שהחברה סירבה להסיר את הלוגים,ומאחר שהנתונים כבר ישנים יחסית החלטתי לפרסם את הנושא.

הפרטים כוללים:IP,סוג המחשב,מדינה ומספרים פנימיים,לא נחשפו פרטים כמו שמות המשתמשים.

החשיפה איננה קריטית.









Logs of successful installation related to Divx products have been exposed, via Coduit service in cloud server based on amazon.
The exposed logs included,but not limited to IPs.Country of the users.machine type (ex. Mac).

I was in contact with conduit related to this case couple of times,but they choose to avoid changing the status,and kept the data as is.

Since they where in the middle of merging, at the time when I spoke with them in the first time related to this case of Divx,I decided to avoid sharing the finding with the public.


Recently (21 Sep. 2014), I gave them another warning but they said "not relevant,thank you". 

In my opinion,this kind of data can be really useful related to BI (Businesses intelligence) and if someone have a zero-day tool against Divx software.
In any ways,IPs can be tracked and privacy should be kept in better ways.

  

Wednesday, October 1, 2014

POS - Point Of Sale and criminals




תקיפה של קופות רושמות ומערכות סליקה
White paper
By Amitay Dan

הקדמה


לאחרונה אנחנו שומעים על  מקרים רבים של פריצה לקופות רושמות הקרויות גם Point Of Sell.
האקרים שחלקם פועלים כחלק מקבוצות פשע מאורגנות, תוקפים קופות רושמות ומערכות לסליקת אשראי.

מאחר שקל יותר לחדור למערכות המחשוב של הסופר השכונתי,מאשר לבנק, ומכיוון שמחזור המכירות היומי במרכולים הגדולים,או בחנויות ענק,הינו גדול במיוחד, מטרות אלו הינן אטרקטיביות במיוחד.

איסו, מוצלח מביא פרטי אשראי,ולכן גם כמות של 300 לקוחות סולקים ביום,יכולים להביא למכפלת רווח לא רעה בכלל.

רק כדי להבין עד כמה פשוטה הפריצה,תשאלו את עצמכם כמה עמדות מחשב חשופות ראיתם בפעם האחרונה שביקרתם ברשת ידועה לממכר ציוד להרכבה עצמית.


 אם מעניין אותכם לקורא חומר נוסף,כאי לנסות את הספר האלקרוני הבא ולצפות בשקפים של הרצאה בנושא.

מבחינת התמודדות,ישנה צמיחה של פתרונות,כגון פתרון זה, אך מימושי תשלום כמו של Aplle Pay מאיצים את הדרך לעבר מעבר לשיטות תשלום ורטואליות ללא שימוש בכרטיס פלסטיק, ומנגד גורמים לכל הביצים להיערם בסל של חברה גדולה,מה שיגרום להאקרים את השרתים,ולגנבים פשוטים שעד היום הסתפקו בלכייס אותנו,לשדוד מכשיר אלקטרוני לצורך שוד מתוחכם.


תקיפות עמדות POS


פגיעה זו יכולה להתבצע בשלוש דרכים עיקריות:

1.חדירה על ידי תוכנה.
2.חדירה על ידי הטמנה פיזית של מכשיר שמצוטט לנתונים שעוברים בקופה.
3.חדירה למערכות שתומכות בקופה,בשרתים מרוחקים.


מבחינת הגדרה,קופה יכולה להיות עמדה שאתם רגילים לראות במסעדה או בסופר,אך גם מכשיר נייד לסליקה של כרטיס אשראי,כיום קופה הינה גם המצלמה בנייד שלכם שמצלמת את הכרטיס אשראי.


מטרת מסמך זה הינה להעלות רעיונות מוצלחים לדרך שבה התוקפים פועלים,או לדרכים אפשריות שכדאי להיות מודעים אליהן.


תקיפה יצירתית
 
 אם נשים את עצמנו בעמדת התוקף,יעלו די מהר דרכים נוספות מלבד חדירה אקטיבית למקום קיים.

1.עמדות משומשות- באתרים רבים כמו eBay  נמכרות עמדות מכירה משומשות ,לאחר רכישת המערכת,אפשר לבדוק את הכונן הקשיח,לחקור אותו ולנסות לדלות נתונים על עסקאות שבוצעו בו בעבר.


2.דרך נוספת היא לשכור קופות או מכשירי סליקה ניידים או נייחים ולשתול בתוכם התקני ציטוט יחודיים שנמכרים בדיוק למטרה זו.  לאחר מכן השוכר  הבא ישתמש במוצר הנגוע וכל הפרטים שיעברו בו יחשפו לתוקף.
3.אופציה אחרת ,ומעניינת לא פחות הינה למכור מכשירים משומשים עם התקני ציתות  (שוב eBay) וכך להגיע ללקוחות בטוחים בצורה מתוחכמת.

4.חדירה לבית עסק והטמנה של מכשיר ציטוט\תוכנה במכשיר הנגועים (די נפוץ כיום).

5.שימוש בהרשאות של אפליקציות למצלמה כדי לאתר צילום של כרטיס אשראי,לצורך חיוב (PayPal


עמדות קיוסק


ממקום קצת שונה כדאי להזכיר עמדות קיוסק שתפקידן לאפשר שירותים לאנשים מזדמנים.
עמדות אלו לרוב יותקנו בבתי מלון לצורך גלישה באינטרנט,או באתרים אחרים לצורך מכירת כרטיסים
(תחבורה ציבורית,בתי קולנוע,עמדות מכירה לתיירים)