Confessions Of A Dangerous Mind

החלטתי לכתוב פוסט קצר ולחסוך מעצמי את הטלפונים שקיבלתי בשבועיים האחרונים … ובגדול – איך לפשט את תהליך ה”פריצה” של אייפון מדור 2G או 3G ולהתקין עליו OS 3.0 אשר כולל בתוכו כבר את כל הפיצ’רים החדשים , וכמובן כולל עברית מובנית.

* הערה חשובה : נכון לזמן הכתיבה , הפתרון עדיין לא מתאים לiPhone 3GS ( הדור השלישי )

אני אסביר איך עושים את זה עם PC, התהליך הוא פשוט , בהצלחה :

1. להתקין iTunes בגרסה 8.2 ומעלה.

2. להיכנס לאתר redsn0w.com ולהוריד את redsn0w עבור Windows

3. להוריד את הקובץ bootloader.zip מאחד מהקישורים הבאים :

http://www.mediafire.com/?9mdezqi2jem

http://forums.macrumors.com/showthread.php?t=535550

http://iphonefreakz.com/iphone-firmwares ( אפשר להוריד פה גם את הipsw )

# עכשיו יש לנו כל מה שצריך כדי להתחיל לעבוד.

4. צריך לחבר את הiPhone למחשב ולהתקין עליו OS3 דרך העדכון \ או דרך קובץ שהורדנו.

הערה חשובה - נא לוודא שהורדנו את הקובץ iPhone1,2_3.0_7A341_Restore.ipsw

5. אחרי שמסתיים התהליך יש לוודא 2 דברים

א. האייפון כבוי לחלוטין.

ב. האייפון מחובר למחשב.

6. כעת יש לפרוס את bootloader.zip לאנשהו ולוודא שאתם יודעים איפה נמצא קובץ הipsw של הimage שהורדתם מאפל כדי לשדרג את הiPhone.

7. להריץ redsn0w ולהגיד לו איפה נמצאים הBL-4.6.bin , BL-3.9.bin וכמובן קובץ הגרסה ( ipsw ) ולשים לב לדברים הבאים :

א. אם יש לכם אייפון 2G ( הדור הראשון ) צריך לסמן באפשרויות Cydia + Unlock

# במקרה של 2G , סיימתם את התהליך , תתחדשו.

ב. אם יש לכם אייפון 3G ( הדור השני ) צריך לסמן Cydia.

האפליקציה תבצע רק Jailbreak

# להמשיך רק אם יש לכם iPhone 3G

8. לאחר סיום התהליך של הJailbreak , יש להפעיל את Cydia ולהוסיף את הSource הבא :

repo666.ultrasn0w.com

9. לחפש בCydia ולהתקין את ultrasn0w.

10. Reboot למכשיר הiPhone.

11. תתחדשו.

Labels: cellular, hacking, iphone, manual

Posted by barry at 12:56 PM | קישור לקטע | תגובות

I have decided to share a short technical experience that i had recently. so in my pursue of a way to build a Home Linux Storage System , and also have a Software iSCSI interface to connect to it , since my home setup of hardware wont suffer an HBA addition . i did some research around sofware iSCSI. and although it is CPU Intensive, this might assist those of you that have a need for external disks.

the concept was to have a central home storage , have only small disks on my lab computers that will just run the thin OS , and then mount the drives from a central server – to which i connected a 1000/100/10 Switch just for data.

so the lab was divided into two.

1. A Linux Server that owns Physical Drives and serves as an iSCSI Target.

2. A Linux Workstation that needs to mount an external iSCSI disk Initiator.

1. How To Build The Linux Storage Server :

Install CENTOS 5.1
- yum update ( to update the OS to the latest )
- yum install kernel-devel ( optional )
- open firewall ports
- rpm -ivh iscsitarget-0.4.15-4.el5.i386.rpm
- rpm -ivh iscsitarget-kmdl-2.6.18-128.1.10.el5-0.4.15-4.el5.i686.rpm
- mkdir /home/iSCSI
- dd if=/dev/zero of=/home/iSCSI/LUN0 bs=1M count=512    ( 512 is size of disk in MB)
- vi /etc/ietd.conf and add the following lines
      Target iqn.2009-06.com.example:mydisk
      IncomingUser username password
      OutgoingUser username password
      Lun 0 Path=/home/iSCSI/LUN0,Type=fileio
      Alias mydisk
      InitialR2T Yes
      ImmediateData Yes
      MaxOutstandingR2T 8
- vi /etc/initiators.allow 
      add -> ALL ALL ( note : This is an access list )
- reboot ( to make new kernel appear and load the module )
- /etc/init.d/iscsi-target restart
- validate in tail -f /var/log/messages

2. How To Have The Initiator Mount The Drive On The Workstation :

( my workstation is also a centos in this case )

-  rpm -i iscsi-initiator-utils-6.2.0.868-0.18.el5.i386.rpm ( this is the util )

- vi /etc/iscsi/iscsid.conf
    #enable the following :
        node.session.auth.username = username
        node.session.auth.password = password
        discovery.sendtargets.auth.username = username
        discovery.sendtargets.auth.password = password
- /etc/init.d/iscsi start
- iscsiadm -m discovery -t sendtargets -p <ip of server>
- /etc/init.d/iscsi restart
- tail -f /var/log/messages --> to find the device representation
- fdisk /dev/sdd --> if the disk is sdd ...
        n primary partition
        w write table
- mkfs.ext3 /dev/sdd1
- mkdir /mnt/iscsi
- mount /dev/sdd1 /mnt/iscsi
- chkconfig iscsi on --> to mount at boot time auto
- vi /etc/fstab
         add line -> /dev/sdd1 /mnt/iscsi ext3 _netdev 0 0

by the way , mounting an iSCSI using Windows Vista is also an easy task .. play with it :)

Anyway, Thats it.

Labels: concepts, guide, iscsi, linux, solution

Posted by barry at 2:41 PM | קישור לקטע | תגובות

אחד התחומים המעניינים והמרתקים בעיני , הוא עולם ניהול סביבות Datacenter ( במקרה שלי - מזווית הSecurity בדרך כלל ) והצורך לבנות מערכות ותשתיות שרידות ומהירות מאוד , וגם לשמור על כללים חשובים של שימוש במינימום משאבים ( Green IT ) תוך מתן אותה רמת שירות, וגם לבצע ניטורים מלאים כדי לאתר כשלים מערכתיים לפני שהם קורים , וכמובן לתת מענה לאירועי אבטחת מידע בזמן אמת.

אחד הדברים שתמיד הפתיעו אותי הוא החוסר המשווע במרכזי בקרה שאכן לקחו את הצעד הנוסף לקשר אירועי אבטחה או לבצע אינטגרציה עם מערכות בצורה באמת מלאה אשר מאפשרת לקבל תמונה מלאה על הDATACENTER.

הדרך הכמעט נפוצה מכולם תמיד הייתה לשלוח Email על אירוע אבטחה כאשר הוא קורה - וזאת על מנת לתת לו מענה, אך בעולם של 1000 אימיילים ביום , הכיוון הוזנח ונעזב לטובת SNMP ולטובת SYSLOG אשר מייצרים אירועים רבים בשניה מהמרכות ואותו איש NOC\SOC לא תמיד יכול לבקר כמו שצריך ולוודא אם אכן מדובר באירוע אמיתי ואיך להגיב לו.

לפי דעתי, מוצר אשר מיועד להתחבר לסביבת Enterprise חייב לתת את האפשרויות השונות להתממשקות לכלי SIEM שונים וכלי בקרה שונים בצורת הNATIVE שלהם תוך כדי שנעשית הבנה לפני שליחת האירוע של מהו האירוע, מהי מהותו ומה נדרש לבצע.

כלומר , כאשר מוצר מותקן בסביבת Enterprise עליו לקחת בחשבון הימצאות כלי CMDB למיניהם , כלי SIEM למיניהם ומערכות Availability שונות. אם אינו מתחבר אליהן - מקבלים רק חלק מהתמונה שכנראה ברוב המקרים תיבלע בתוך המכלול.

Labels: concepts, datacenter, managment, technology

Posted by barry at 7:24 PM | קישור לקטע | תגובות

אחד הדברים אשר אנו מחפשים תמיד בפתרון רשתי כלשהו , הוא האימות של כתובת הIP האמיתית שמגיעה ממקור המשתמש הסופי ( לגיטימי או האקר ). עם זאת , ישנה בעיה ידועה כאשר כל מערכת אבטחת מידע יושבת מאחורי Proxy כזה או אחר.

הסיבה לבעיה נעוצה בעובדה ש Proxy ( או Load Balancer ), שובר את הTCP Stream ומייצג כתובות IP אחרות בחלק הפנימי שלו . לפי כך מערכות קלאסיות כמו IPS או דומות , אינן רואות את כתובות הIP האמיתיות אשר הגיעו מהעולם. לא ניתן לזהות את מקור ההתקפה בצורה קורלטיבית ומכך נגזר - שאי אפשר להגן בצורה יעילה כנגד התקפה על פי זיהוי מקור.

כאן בדיוק נכנס עולם ניתוח האפליקציה.

כאשר Proxy או כל TCP Terminator כלשהו ( כגון Load Balancer ) קיים , אחת התכונות שלו היא הוספה או עריכה של Headers - דוגמא טובה תהיה בHTTP Header. התוספת הרלוונטית במקרה של Proxy תהיה בצורת פרמטר X-Forwarded-For , אשר הינו פרמטר המכיל את הIP המקורי אשר קולף על ידי הProxy והוחלף בכתובת שלו עצמו.

על ידי קילוף הפרמטר והחלפת כתובת ה Source IP בכתובת שהוצגה בפרמטר , ניתן למעשה לבנות חוקים לגישה או להבין אירועים על פי כתובת המקור. מה שמשנה לחלוטין את זווית הראיה של מערכות אשר יושבות מאחורי Proxy.

כמובן רצוי לוודא שקיים Trust מסויים בין הProxy לבין אותה מערכת , כדי שהמערכת תדע שהHeader אכן שונה על ידי הProxy ולא על ידי אלמנט צד שלישי ,כגון האקר שרוצה לעקוף IP Filtering בצורה זו.

Labels: design, imperva, technology, waf

Posted by barry at 10:12 AM | קישור לקטע | תגובות

[ A Rewrite of this post in english , due to the importance ]

A few days back , I received a nice gift via my Msn IM account, i got the following link :

http://myparties.piclooks.com/?<user> ( where <user> is the infected sender ). in that case i got it through MSN , so i dont tknow if any other IM is compromised.

when clicking on that link you would get the following web window -

That screen immediately raised my suspicion that there is something wrong here. an unknown site is asking for my MSN / Hotmail credentials in order to provide me a service which natively could be provided via a normal API... so i started checking.

Viewing the client side source code was very nice , cause it shows a very simple - almost child-like html code that is generated via simple tools.

An IP address (  64.34.154.82 ) was embedded in, which is not something that you would expect from a service, very unusual.

When disecting the URL to its basics and just going to piclooks.com , you would get the following output ( meaning , there is no actual homepage behind this application )

The summary is very simple , this is most probably a phising site , and not a very sophisticated one , which its whole purpose is to steal the online identities of those who are naive enough to play along.

be careful of this hoax.

Labels: english, passwords, privacy, sbn, script, spam, threats, virus, vulnerability

Posted by barry at 9:26 AM | קישור לקטע | תגובות

קיבלתי היום מתנה חדשה דרך הIM שלי , את הקישור הבא :

http://myparties.piclooks.com/?<user> link , כאשר <user> מייצג את שם המשתמש של מי ששלח לי את ההודעה במקור דרך תוכנת הIM , במקרה הזה MSN.

המסך שהתקבל היה :

מה שבעצם העלה חשד הוא שיש אתר לא מוכר , אשר מבקש לקבל את הפרטים של משתמש\סיסמה של ה IM שלי , או של כתובת הדואר שלי ב Hotmail. וזה כמובן נראה חשוד... צפיה בקוד המקור החשידה אף היא מאחר ונראה היה שמדובר בקוד פשוט מאוד של Form אשר סה"כ מנסה לאסוף את המידע.

יתרה מכך , ישנה כתובת IP שהיא - 64.34.154.82 - מוטמעת בקוד המקור , דבר מאוד חריג.

פירוק הURL כדי לגשת ישירות לpiclooks.com הניב את התוצאה הבאה ( כלומר, אין כל Homepage מאחורי האפליקציה )

המסקנה , כנראה שמדובר באתר Phising אשר כל מטרתו היא לאסוף אינפורמציה כדי לגנוב זהויות של משתמשים. היזהרו.

Labels: social, spam, threats, virus

Posted by barry at 9:37 PM | קישור לקטע | תגובות

בתאריך ה4 לדצמבר 2006 , העליתי פוסט ראשון לבלוג - הפוסט היה UTM Antithesis .

מאז עברו שנתיים , והיו תקופות בהן כתבתי יותר או כתבתי פחות ... אבל היי .. לא שופטים ביומולדת.

Labels: blog, news

Posted by barry at 6:21 PM | קישור לקטע | תגובות