Archive for the 'אבטחת מידע' Category

אתר חיל מודיעין – פירצה לרגל שיפוצים

אתר חיל המודיעין סגור עקב שיפוצים, כבר מעל שבוע, מוגזם, אבל זה לא הכל.

בתחתית העמוד יש שורה:
"להורדת טפסי התחקיר הבטחוני יש לגלוש לכתובת : לחץ כאן"

הקישור "לחץ כאן" מוביל, ל…
http://tinyurl.com/Amanitur
tinyurl, אתר קיצור כתובות,
כתובת היעד האמיתית הינה:
http://www1.idf.il/SIP_STORAGE/AMAN/files///6 //44226.pdf

tinyurl הינו אתר חיצוני לא רק לחיל מודיעין אלא למדינת ישראל בכללה, השרת (לפי בדיקת whois של הIP) נמצא בהולנד.

למה זה רע או מה יכולים לעשות בעלי האתר tinyurl או פורץ שנכנס למערכותיהם:

א.  לשנות את מטרת הקישור, אפשרות אחת, למטרות תעמולה,
אפשרות שנייה למטרות גניבת פרטים: האם הייתם מעלים בדעתכם שאתר הנראה בדיוק כמו אתר חיל המודיעין, ונכנסנו אליו מתוך קישור שהופיע באתר חיל המודיעין, הוא לא אתר חיל המודיעין?
ומכאן אפשר לבקש מהמלש"ב להכניס את הפרטים שלו וכדו', ויש לנו פרטים על מועמד לגיוס לחיל מודיעין.

ב. בלי לשנות את הקישור, לבצע סטטיסטיקות אודות מלש"בים.

ג. צאצא של א' או ב', לבצע תקיפות ספציפיות על מחשבים שזוהו כמחשבים של מלש"ב של חיל מודיעין ע"פ המידע שנאסף וכך להגיע למידע נוסף בהמשך.

 

עדכון: האתר עודכן והקישור כמובן שנמחק

להורדת טפסי התחקיר הבטחוני יש לגלוש לכתובת : לחץ כאן

איך לא בונים אתרים או פרצת אבטחה מעניינת באתר אופיס דיפו

הסיפור היה לפני מעל חצי שנה, ולא פורסם עד עכשיו עקב חוסר תגובה ברורה של אופיס דיפו.
אני לא יודע מה המצב של הבעיה עכשיו.

אדם שיש לי קשר איתו המשתמש באתר העסקי של אופיס דיפו http://bsdnet.officedepot.co.il התלונן בפני שאינטרנט אקספלורר (להלן IE) ופיירפוקס (להלן FF) מתנתקים ומתחברים באופן סינכרוני לאתר ומכיוון שכך הוא לא יכול להכנס לשני משתמשים באתר במקביל, דבר שהוא נהג לעשות קודם מטעמי נוחות,
שמעתי, הבעיה היתה נשמעת לי קצת מוזרה ובאתי לנסות למצוא מה הבעיה.

המחשבה הראשונה היתה,
מכיוון שיש אנשים המעוניינים בתכונה כמו זו של סינכרון חיבור של אתרים בין IE לFF יכול להיות שהכניסו את התכונה הזו לFF?
אומנם לא שמעתי על כך, אבל לא על כל התכונות של FF אני שומע לפני שהם יוצאות, בדקתי בchangelog (רשימת שינויים, תוכנות בעיקר) ולא מצאתי כל מידע על תוספת פיצ'ר בסגנון זה.
ואז חשבתי שבעצם מותקנת על אותו FF גם הרחבה בשם IE TAB שמיועדת לספק תאימות לIE אולי הוסיפו לה את הפיצ'ר הזה שמפריע לו, בדקתי וגם לזה לא מצאתי זכר.

ואז עלה במוחי המחשבה שבעצם אני ייבאתי בשבילו עוגיות מIE לא מזמן ואולי ייתכן שזה קשור לבעיה,
בדקתי את הנושא ע"י העתקת העוגיה למחשב נוסף ואכן מאז ביצוע העתקה כל החיבורים והניתוקים התבצעו בצורה סינכרונית (גם אם המחשב שבו נמצאת העוגיה ממוקם בIP שונה)

זמן "פג התוקף" של העוגיה היה בדקה האחרונה של השנה הנוצרית 2009
התוכן שלה הוא בסגנון זה:
ShopperManager%2FODONLINE=T5KRG4J3E74M8KDKHWLGW7X53B1R83C9
גם במקרה של ניתוק או התחברות לא יהיה כל שינוי בעוגיה אלא רק ברישום הנמצא על שרתי האתר של מה אומרת העוגיה (מנותק \ משתמש X מחובר)

דוגמה לניצול אפשרי של פרצה זו יכולה להיות ע"י ישיבה של מספר שניות במחשב המשמש את הקורבן,
ביצוע של העתקת העוגיה שתהיה יעילה גם במקרים ומדובר בקורבן יותר אחראי מהנורמה שטורח לנתק את המשתמש שלו על מנת למנוע שימוש בלתי מורשה,
לאחר מכן כל אימת שהקורבן יתחבר למשתמש שלו באתר יהיה בידי התוקף את כל האפשרויות שאמורות להיות רק ברשות הקורבן ללא כל סימן על מחשב הקורבן מכיוון שלא הוחדר למחשב שום דבר,
את זה עלול לנצל התוקף לדברים כגון ריגול עסקי ע"י מעקב אחר היסטוריית ההזמנות או גרימת נזקים ע"י הזמנות מזויפות ועוד ועוד כיד הדמיון הרעה עליו…

פרצת אבטחה באתר התאוריה

אם היה מתקשר אליכם דקות לאחר שנרשמתם למבחן תאוריה אדם שיודע שנרשמתם, את מספר תעודת הזהות שבו נרשמתם והזמן והמקום אליו נרשמתם, הייתם מפקפקים בכך שהוא ממשרד הרישוי\תחבורה?

מבחני התאוריה ללימוד נהיגה בישראל מתנהלים ע"י חברות טלדור ומנפוואר, להם יש אתר שבו נרשמים לתור למבחן תאוריה.
לאחר ההרשמה התקבל למייל שנרשמים ממנו קישור לכתובת כגון זו:
https://teory.co.il/printme.asp?id=62139
בכתובת זו היה את פרטי ההרשמה להדפסה בשביל להציג במקום שבו נבחנים.

הבעיה היא שהמספר שנמצא בכתובת הוא מספר סידורי בלי שום הגנה נוספת.
כלומר, היה ניתן לעבור לפרטים של מי שנרשם אחריך פשוט ע"י כניסה לכתובת עם מספר עוקב (https://teory.co.il/printme.asp?id=62140) וכן הלאה.

דוגמאות לפרטים שנחשפו:הדגמת הפרצההדגמת הפרצההדגמת הפרצה

עלי לציין לשבח את חברת אפריקום (מפתחי האתר) על תיקון מהיר מאוד של התקלה לאחר הדיווח.