..::SK's Blog::..: מאי 2010

יום חמישי, 27 במאי 2010

גם אני יוצא לחופשה!

שלום, אני בטוח ששמתם לב כי בזמן האחרון אני לא פעיל בפורום ובבלוג, הסיבה לכך היא שבזמן האחרון אני לחוץ מאד בין אם זה מבחנים, לימודים או חופשה!.
ברצוני ליידע אותכם כי לא פרשתי ולא כלום!, בתקופה הקרובה היעדר מהמחשב משום שאני יוצא לחופשה עד ה-9.6
אשמח אם תמשיכו להגיב בבלוג ותיהיו בריאים! :)

יום חמישי, 20 במאי 2010

No Access - אין גישה

לפני כמה שבועות נתקלתי בסקריפט קיד מעצבן במיוחד, אחד שהוריד ראדמין וחושב שהוא "האקר מטורף", כתוצאה מכך החלטתי לחשוב על איך ניתן לצמצם אפילו בקצת את תופעת הסקריפט קידס בארץ.
החלטתי לפתוח פרוייקט בשם No Access (אין גישה) שיפעל לצמצום התופעה.

הרעיון הראשון שבימים אלו אני שוקד עליו הוא שירות העלאת והורדת קבצים לכלי האקינג אקספלוייטים ועוד...
עמודי ההורדה וההעלאה יהיו מוגנים בסיסמא ורק מי שיצליח לפרוץ אותה יוכל להינות מהאפשרויות שהאתר מציע!

את הסיסמא משיגים בכך שפותרים אתגר האקינג שנמצא באתר (אני מודע לזה שיש כאלה שלא מתמחים בווב אלה ברברסינג ולכן יש אפשרות לבחור בין 2 אתגרים!), האתר לא קשה מדי ולא קל מדי, אני משאר שהסקריפט קידס לא יצליחו לעבור אותו!

הפרוייקט יצליח רק בשיתוף פעולה שלכם, אם תעלו את הקבצים שלכם לשם תוכלו לעזור לצמצם את התופעה!, אנו נדאג שתקבלו שירות שמעניק העלאת קבצים גדולים והאתר יהיה מאוחסן על אחסון בתשלום!, לכן יוצבו מודעות ADSENS באתר ובבלוג על מנת לממן את הפרוייקט.

ביינתים הפרוייקט הוא אישי אך אני מחפש שותפים:
שיודעים לתכנת אתגרי האקינג בווב
מישהו שיכול לתכנת אתגרי REVERSING
מעצב אתרים
* לא אתנגד גם לעוד מתכנת בשפת PHP

מי שמעוניין צרו קשר במייל:
no_access@windowslive.com

יום שני, 17 במאי 2010

הכינוי "האקר" ביום יום

היום נתקלתי בתופעה די ידוע אבל בכל זאת החלטתי להגדיש לזה פוסט בבלוג שלי.
אחרי החשיפה שלי בתוכנית של עמנואל רוזן, הוזמנתי לשיחה קצרה אם המחנכת שלי, היא אמרה שהצוות החינוכי ראה את התוכנית והחליט לזמן אותי לשיחה, למה?, בגלל שהכינוי האקר הוא כביכול שלילי, הם לא חשבו אפילו לברר מה באמת עומד מאחורי זה.

אני מודע לזה שזאת תופעה ידועה, אבל אנשים לא חושבים על ההשלכות של זה ולא טורחים לבדוק את העניין לעומק, עכשיו כביכול הפכתי לפושע האינטרנט הבית ספרי בשביל המורים.

התקשרתי למורה שלי והסברתי לה מה הפירוש האמיתי שעומד מאחורי הכינוי "האקר".
הסברתי לה על ההבדלים בין האקרים לקראקרים ואיפה אני עומד בכל הסיפור הזה, על מכתבי התודה שקבלתי מאתרים שדווחתי להם על חורי אבטחה ושלחתי אותה לערך של האקר בוויקיפדיה, אחרי זה כמו שאתם משארים לא היה לה הרבה לומר.

יש משפט שכדאי שאנשים יפנימו אותו (לקוח מוויקיפדיה): "האקרים בונים דברים, קראקרים הורסים אותם"

יום נעים וחג שבועות שמח, SK.

יום חמישי, 13 במאי 2010

נדבר על זה בבית, הבהרות, היה מצחיק

מי שקרא את הפוסט השני שלי יודע שצולמתי לתוכנית "נדבר על זה בבית".
אם ראיתם את התוכנית ואתם מבינים בנושא כנריאה שצחקתם די הרבה אתמול בערב, בעיקר מהקטע שלא הצלחתי להגות טוב "Sql Injection" והטענה שהכובע השחור "מרוויח 1000$ בחודש".

אז בעקבות כמה תגובות שקבלתי רציתי להבהיר כמה דברים:

קודם כל הקטע שבו אמרתי שאני יכול לפרוץ ליגאל לפייסבוק, התכוונתי שאני יכול לפרוץ לו לפייסבוק בעזרת PHISHING או KeyLogger (יש עוד דרכים כמו ברוט פורס אבל עזבו).

שנית, לא שדרו את הראיון שלי ושל דביר (לכל מי שחושב שדביר הוא הכובע השחור, לא).

למי ששואל, לא הסתדר לי השיער בבוקר (לא הספיק להתייבש) xD

ולסיום, צלמו אותי מקרוב מידי וזה עשה לי עיניים בגודל של 2 עטלפים :)

בכל מיקרה אני שמח שצחקתם קצת ולמי שרוצה להמשיך לצחוק אפשר לראות את התוכנית כאן:
http://www.mako.co.il/mako-vod-keshet/well_talk_at_home-s1/VOD-c6eaf94c1c09821004.htm

יום שלישי, 11 במאי 2010

תלונות טענות ודעות בקשר לחוק המחשבים

בעקבות שיחה קצרה שהייתה לי עם THELEADER ו-YAM החלטתי לכתוב פוסט על הנושא.

בפוסט הזה אני אפרסם טענות תלונות ודעות בקשר לחוק המחשבים!

קודם כל אני רוצה להתמקד בסעיף 6 בחוק המחשבים שנחקק בשנת 2005:

.	(א)	העורך תוכנה באופן שהוא מסגלה לגרום נזק או שיבוש למחשב או לחומר מחשב בלתי מסויימים, כדי לגרום שלא כדין נזק או שיבוש למחשב או לחומר מחשב, מסויימים או בלתי מסויימים, דינו – מאסר שלוש שנים.
	(ב)	המעביר לאחר או המחדיר למחשב של אחר תוכנה אשר סוגלה לגרום נזק או שיבוש כאמור בסעיף קטן (א), כדי לגרום שלא כדין נזק או שיבוש כאמור, דינו – מאסר חמש שנים.

התייחסות לחלק א':

למי שלא הבין, לפי החוק הזה אסור לפתח כלי האקינג ונגיפים אפילו אם זה למטרות לימוד!
מה זה אכפת לכם אם יצרתי משהו בסגנון ולא עשיתי בו שימוש למטרות זדון!?
והטמטום הגדול הוא אם לא השתמשתי בה ולא הפצתי אותה איך בידיוק תעלו עלי?!

התייחסות לחלק ב':

אם החלק הזה אני מסכים חלקית!, אני מבין את האיסור בהפצת כלי האקינג ווירוסים.
אבל מצד שני אם לא נשתף (אני לא בא פה בגישה של לשתף את הכלי) אז מקסימום הקראקרים יצטרכו לשבת קצת ולתכנת אחד משלהם, אחרי הכל הם קראקרים, ואני לא בטוח שהם כל כך נלהבים מחלק א' של הסעיף.

אולי הדעה שלי שגויה, אני מבין שהמטרה פה היא למגר את הקראקרים אבל זה כמו שיחליטו לא למכור סכינים בגלל שעבריין עלול להשתמש בהם ככלי נשק.

עכשיו אני רוצה לשתף אתכם בטענה שלי בקשר לנושא של "עד מתי זה חוקי?".
כדוגמא אני אתן את "SQL INJECTION", לפי החוק (בכללי) גם להוסיף גרש בשביל לבדוק האם קיימת פרצה זה לא חוקי!
(למרות שלא מי יודע מה נצמדים לחוק הזה...)

בכל מיקרה אני טוען שצריכים להוציא חוק שאומר שמותר להגיע לאיפה שרוצים וזה נחשב לחוקי כל עוד לא גרמת נזק או נכנסת לפאנל הניהול/משתמש כלשהו/פרסמת מידע!

בשביל שיהיה לכם יותר נוח להבין למה אני טוען ככה הינה הסבר קצר:

קודם תחשבו בקצרה מה זה כובע לבן ומה זה כובע שחור!

כובע לבן: האקרים שמנצלים את הידע שלהם למטרות טובות, לדוגמא: דיווח לבעלי אתרים על פרצות אבטחה הקיימות באתריהם = מנסים להצמד כמה שיותר לחוק!

כובע שחור: האקרים/קראקרים שמנצלים את הידע שלהם למטרות זדון! = לא ממש נצמדים אל החוק!

עכשיו אם עד עכשיו הכובעים השחורים לא הקשיבו לחוקים האלה אז למה שפטאום הם כן ילכו לפיהם?, תחשבו מה היה קורה אם כובעים לבנים היו הולכים ב-100% אם החוק הזה?, הם פשוט "היו משאירים את הבמה לכובעים השחורים!".
הרבה בעלי אתרים שלא מודעים לפרצות אבטחה הקיימות באתר שלהם לא היו מקבלים על כך דיווח ואני משאר שמד הפריצות היה עולה!

אני מקווה שנתתי לכם קצת חומר למחשבה!

יום ראשון, 9 במאי 2010

צילומים לתוכנית הטלוויזיה "נדבר על זה בבית"

היום נסעתי לצילומי התוכנית "נדבר על זה בבית" בהנחיית עמנואל רוזן!.
זאת תוכנית בנושא אקטואליה שמשודרת בערוץ 2 אחרי כוכב נולד.
הפעם אחד הנושאים אליו ידברו בתוכנית יהיה "האקרים צעירים" (14-).
לפי ההתרשמות שלי אפשר להגיד שצוות התוכנית לא עשו "שיעורי בית" ולמדו על הנושא!.
הם בקשו ממני להדגים SQL INJECTION ופריצה למשתמש הפייסבוק של הכתב.
אז למה אני מתכוון בזה שהם לא הכינו "שיעורי בית"?, הם לא טרחו לבדוק האם הדברים האלה חוקיים ואפשר לפרסם אותם בטלוויזיה!.
לכן לא יכולתי להעלאת את ה-PHISHING שלי לאחסון (גם לא יכולתי לעבוד איתו על WAMP משום שגם הוא לא היה מותקן על המחשב) ולא יכולתי להדגים SQL INJECTION (לפחות לא עד שלב מתקדם, הגעתי רק למצב שבו אני יודע את מספר הטבלאות).

הדבר היחיד אותו יכולתי להדגים בהקשר של הפייסבוק הוא תוכנת KeyLogger שתכנתתי (וגם ממנה הם לא ממש התלהבו).

כבר בבית הייתי מודע לעובדה שכניראה שהם לא בדקו מה חוקי ומה לא ולכן החלטתי לתכנת אתר קטן שמדמה אתר להעברת כספים (כמו PAYPAL)
ובאתר להדגים כיצד ניתן להעביר כסף מחשבון לחשבון כאשר קיימת פרצת אבטחה מסוג CSRF.

התגובה אותה קיבלתי היא: "זה לא אתר בנק אמיתי אז זה לא שווה".
אני מקווה שהם מודעים לעובדה שזה לא חוקי להדגים דבר כזה על אתר בנק אמיתי?!.

הקטע הכי מצחיק הוא שהדבר שממנו הם הכי התלהבו זה כשהראיתי להם את עבודתו של הברוט פורס שלי על מסמך טקסט, עכשיו הקטע המצחיק הוא שהם התלהבו "מאפקט המטריקס" שנוצר.

בכל מקרה אני אתמקד עכשיו בצדדים הטובים!.

היה ממש כיף, היו קטעים נורא מצחיקים בזמן הצילומים והיה נחמד לפגוש את דביר.
לקראת סוף הצילומים הגיעה גיא מזרחי, הספקתי לדבר איתו במשך כמה דקות אל:
"באיזה שלב SQL INJECTION נעשה לא חוקי".

כשבאתי לצאת ולנסוע הביתה קרתה לי פאדיחה ודפקתי את הראש בפנס התאורה.

אני מקווה שנהנתם מהפוסט ואשמח לתגובות (:

Hello World

שלום, היום, אחרי הרבה זמן של מחשבה, החלטתי לפתוח בלוג אבטחת מידע משלי!.
הסיבה העקרית שבגללה החלטתי לפתוח את הבלוג היא על מנת לשתף אותכם בחוויות שלי בתחום ההאקינג ובהתקדמות שלי בנושא!.
אשתדל לפרסם פוסט בכל פעם שבה יהיה לי נושא ראוי, ולהתמיד בכתיבה בבלוג.