Confessions Of A Dangerous Mind

Recently, I had to build a workstation for myself that is based on Windows, and will be able to replace my laptop for some home office tasks. and i had a Windows 7 Ultimate trial that i was playing with for a few days, and already installed lots of the required software, and figured i will then just need a license for it and continue to work…

The day has come, and the trial period expired, when i discovered that the only license i actually have is for a Professional edition. so i though, the best way will be to downgrade the system, should be easy right ?

The Windows installation mechanism works only in one direction, from lower to higher , so you can upgrade from Home to Professional , and from Professional to Ultimate for example, but not the other way around.

If you try to use the Upgrade tool, it will halt on this limitation , and will pop up a message like “Windows 7 Ultimate cannot be upgraded to Windows 7 Professional” and asks you to run a fresh install …

Well, there is a solution that involves some Windows Registry editing, which can nail this sucker down.

Step-By-Step:

1. using the Start menu, type “regedit” and go to \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
2. you will get the following registry values that you need to alter
3. change the values of
1. value of “EditionID” from “Ultimate” to “Professional”
2. value of “ProductName” from “Windows 7 Ultimate” to “Windows 7 Professional”
4. The Windows 7 Upgrade utility will be now fooled , and you can upgrade with no real issue.

Labels: issues, software, solution

Posted by barry at 11:32 AM | Link | Comments

after getting really interested in a late Google project, i spent few hours today with Google’s Skipfish v1.25b , which is a Google project for a web application security scanner , or as some times referred in the professional arena – a WVS ( web vulnerabilities scanner ) and is completely open source as i like it.

as i mentioned, i am playing with version v.1.25b ( although 1.26b is available at time of writing the article ) against a vulnerable demo web application that i wrote a few months back… and got some impressions on the current version.

first of all, i have to admit , its blazing fast … once given a destination to scan, the scan is fast , and the results are displayed in a very elegant way ( although a bit too hardcore ) moreover the depth and methods of detecting problems are quite impressive.

that being said .. the security checks themselves missed lots of the application vulnerabilities , including some quite basic SQL Injections which were there especially for security demonstrations. but i will give the credit and wait until this tool matures a little more before i try it again , and i am sure it will be much better.

the report is excellent , very insightful and shows track of the trace of the stream until the vulnerability has been detected , which is always good, nevertheless – i would like to see in future versions some different export mechanisms of reports, such as XML and PDF, to make it more usable in the IT security ecosystem environment.

there is a point to remember that at current time it is being written and managed by one person at Google , as compared to enterprise tools such as IBM’s Rational AppScan or Qualys etc, so you have to give credit here :)

for ease of use , it is easy , but i do expect a UI , since most people that will run this scanner will require some interaction with it that does not require any CLI / Linux skills, since it is not in their job requirements , they just need to run a tool and test for baseline ( unfortunately that also includes lots of “consultants” ).

if i am to rate this tool , i would rate it at its current version (1.25b) with 6.5 of 10 for now , since i really like the speed and the overall architecture of it , but i do see the need for some more maturity and some more robust security tests.

it detected 9 of 14 SQLi and 4 of 8 XSS , and none of the 4 persistent XSS vulnerabilities ( although it claims to detect it ) .. and yes , i have fed it some credentials as needed..

its a descent alternative to lots of the tools out there even in its current stage , and i would definitely go back to it when some holes are put to its belt.

 

Finally, just a quick install HOW-TO for it.
if you want to install it under CentOS ( i used 5.2 ) then do the following :

1. download and extract the tgz file anywhere ( example : tar zxpfv skipfish*.tgz )
2. install some neccesary packages for the install

- yum instll gcc
- yum install openssl-devel
- yum install libidn-devel

3. step into the folder extracted and run – make
4. there you go. :)

Labels: consulting, english, hacking, linux, software, technology

Posted by barry at 9:23 PM | Link | Comments

היום התקנתי את ה Web Browser החדש של גוגל - Google Chrome והוא מדהים.

לראשונה מזה לא מעט שנים , אני באמת מתלהב מדפדפן חדש, ומהרבה סיבות... קודם כל הוא קליל בטירוף עם כלי ניהול משימות זיכרון אשר ממש מאפשרות שינוי משמעותי מבחינת התצורה של הדפדפן על המחשב.

יכולות ניהול זיכרון מתקדמות מאוד חשובות לי בסביבה שלי שכן דברים רבים ומערכות רבות שאני עובד איתן הן מבוססות Web2.0 או Ajax ולכן חשוב לי מאוד לדעת שאני יכול לסגור Intance של הדפדפן מבלי לפגוע בשאר החלונות

בנוסף , אם אהבתם את מנהל ההורדות של Firefox , אז פה מדובר במהפכה אשר לוקחת את הטוב והופכת אותו לטוב יותר, שכן גם מערכת ההורדות וגם מערכת המעקב אחרי היסטורית הגלישה מבוססות על יכולות גוגליות מוכרות - אשר מאפשרות לחפש ממש כמו בGoole Desktop את החומר הנדרש לנו.

אחד הדברים שאני מוצא למעניינים הוא ההתבססות על המנוע של Mozilla ועם זאת , השימוש במנוע הParsing והבניה של Apple, וכך למעשה אנחנו מקבלים הכלאה בין האיכויות של SAFARI עם האיכויות של FIREFOX והמצויינות ההנדסית שמאפיינת את Google בכל צעד שלהם.

אגב, לדוברי השפה העברית, הממשק כולו ניתן להסבה לעברית במידת הצורך.

ובנוסף , גוגל כמו גוגל - Less Is More... הכל כלכך פשוט להפעלה , מראה נקי. קניתי.

Labels: blog, links, review, software

Posted by barry at 1:50 PM | Link | Comments

ועם כותרת משונה שכזו , נסביר...

במשך השנים, פיתחתי דעה די מוצקת לגבי כיצד אני רואה ורוצה לראות יישום של מערכות אבטחת מידע אשר מטפלות בהגנה על המידע עצמו - צריכות להיבנות מבחינת ארכיטקטורה.

כמו שרבים וטובים יודעים, פתרונות אבטחת המידע השונים המושתתים על טכנולוגיה - מתחלקים כמעט תמיד לשתי תצורות שונות - Host Based מבוסס AGENT , וNetwork Based מבוסס Appliance.

העיקרון תמיד היה פשוט . מצד אחד יש את פתרונות הAGENT אשר תפקידם הוא אכן לבצע פעולות מתקדמות להגנה על תחנת הקצה\שרת , ומצד שני יש את פתרונות הAPPLIANCE אשר נועדו לבצע את כל הבדיקות האפשריות לפני שההתקפה מגיעה בכלל למערכת הקצה.

ובכן , כפי שכותרת המאמר מציינת , אכן אני נגד פתרונות הAgent ברוב המקרים. אני אפילו מאמין שאם ניתן היה לבצע הכל בשכבת הACCESS ולא היו בעיות של גישה פיזית למערכות - לא הייתה הצדקה כלל לפתרונות AGENT.

ומה מניע את עמדתי ?

כאשר אנו מתקינים Agent על השרת, יש לקחת בחשבון שתהיה תמיד פגיעה בביצועים , אבל במקום סתם לזרוק מושגים , אסביר : כאשר Packet מגיע מהרשת לכיוון השרת עליו לעבור דרך מנגנוני ההגנה שהושמו על ידי הAgent שהותקן. כלומר - עלינו לנסות ולהבין מה הפעולה הקשה ביותר שיבצע אותו Agent ? והתשובה היא לא תמיד פשוטה ...

כאשר Packet לגיטימי (!) עובר דרך המערכת ,סימן שהיה עליו לעבור דרך כל מנגנוני הבדיקה , הסטטיסטיקה , הקורולציה וההגנה ולהיות מסומן כתקין כדי לעבור. נניח שאנחנו מדברים על מערכת סטנדרטית ש95% מהתעבורה אליה היא תעבורה תקינה ולא זדונית , כלומר עבור 95% מהתעבורה המערכת הולכת לעבור דרך כל פילטר אפשרי , ורק 5% הזדוני - באופן פארדוסקלי - יעצר אך יעמיס הכי מעט על המערכת.

מובן שאין מנוס ,וישנם דברים שצריכים להיבדק ברמת מקטע מקומי , אך אלו דברים בודדים כגון גישה פיזית, וביצוע פעולות Localhost אשר הינן כ0.5% מסך הפעולות שמבוצעות על השרת ... ואם כך , לפתרון מאסת התעבורה - אין סקאלאביליות בכלל. ופתרון Agent-ONLY אינו יכול להיכנס לנישת פתרון כאשר מדובר בכמויות מידע ובמערכות גדלות.

לעומת זאת , פתרונות הAppliance השונים , נבנים תוך ראיה מסוג שונה --> Throughput.

כלומר , כאשר אנו מטמיעים פתרון בתצורת Appliance אנו לוקחים בחשבון מראש את נפחי התעבורה שעלינו לטפל בהם , ולפי כך בוחרים את הAppliance המתאים לנו , תוך הבנה שאין צורך להשקיע בחומרה מחוזקת לשרתים המאחסנים מידע או אפליקציה.

קחו לדוגמא מערכות AntiVirus רשתיות , ומערכות AntiSpam רשתיות , ומערכות Application Firewall רשתיות ... ממש ניתן לראות את הטיפול המשופר בעומסים על המערכות ועל תעבורת הרשת. וזאת מאחר והטיפול בכל התעבורה המלוכלת ( או נקי ה! ) קורה בשלב לפני הגישה לשרת עצמו.

Labels: architecture, issues, managment, software, technology, utm

Posted by barry at 2:58 PM | Link | Comments

בשעה טובה ומוצלחת , שוחרר היום לאוויר Mozilla Firefox 3.0 .

במשך החודשים האחרונים אני עוקב בסדרתיות אחר הגרסאות השונות אשר יוצאות , RC אחרי RC ופשוט נדהם לראות איך נראית ומתנהגת אפליקציה אשר בנויה על ידי הקהילה ולא על ידי חברה בעלת משאבים בלתי נלאים כמו מיקרוסופט ( שלא יובן לא נכון , אני ממש לא נגד ).

בכל מקרה, חווית השימוש שלי עד כה היא שיפור משמעותי בהצגת אתרים לעומת הגרסה הקודמת , עם פיצ'רים מצויינים כמו הרישום לRSS או לBOOKMARK ישר משורת הכתובת. ה Gestures עובדים מעולה ( פעולות שנשלטות על ידי תנועת העכבר ) ובאופן כללי המערכת יציבה יותר ( לא קרס לי פעם אחת עד עכשיו , מה שאי אפשר להגיד על המתחרה ... )

מה שכמובן מעניין הוא הפרסום הרב של קרן Mozilla לגבי רמת האבטחה אשר מספק הדפדפן החדש, ולצערי או לשמחתי - רק ימים יגידו האם היה שינוי מהותי עד כדי כך, והאם באמת הדפדפן נבנה לפי מתודולוגיות קוד נכונות אשר ימנעו את כל הבעיות שלמדנו להכיר בשנים האחרונות ( מי יכול לשכוח את הStack Overflow הכיפי שהתגלה לפני 8 חודשים בFF הקודם ).

בכל מקרה, נתחיל לחפור את הFF החדש ממש כמו כולם, אם יש חורים ( ותמיד יש ) אני מניח שנגלה בקרוב.

באותה נימה , ממתין לIE8.

Labels: news, software

Posted by barry at 10:09 PM | Link | Comments

למי שמכיר ויודע , לאחרונה הצפתי מספר פעמים את נושא ההתקפות בוקטורים חדשים לקראת 2008, מי שהספיק להשתתף אולי בהרצאה שלי לגבי Differentiated Vector Attacks אפילו קיבל מספר דוגמאות חיות ודרכים ליישום התקפות מסוג זה.

והנה מסתיים לאט לאט השבוע הראשון של 2008 , והוירוס הראשון ( שאני יודע עליו ) מופץ דרך אפליקציה בתוך FACEBOOK. ובדרך די מרשימה.

הראשונים לנתח ולתפוס את ההתקפה היו חברת Fortinet אשר מראים בקישור הבא את מבנה ההתקפה והתחושה למשתמש.

בגדול - הופצה אפליקציה אשר גורמת למשתמש להבין שכדאי לו להתקין אותה בעמוד הFB שלו , בכדי לגלות אנשים אשר "דלוקים" על אותו משתמש. כאשר המשתמש מתקין את האפליקציה , מגיע אליו לינק על גבי IFRame אשר סוחב עימו את הוירוס Zango.

לא רע ... וגם די אפקטיבי.

Labels: social, software, technology, threats, utm, virus

Posted by barry at 11:29 AM | Link | Comments

משהו מעניין מתרחש בעולם אבטחת המידע לאחרונה ... רבים מנבים ויש מספק יישומים שאפילו מנצלים נכון את יכולות הGRID , שהן בעיקר חלוקת כח עיבוד על פני מחשבים רבים על גבי רשת כלשהי - לצורך ביצוע משימה כזו או אחרת. הניהול למשימות מתבצע כPIVOT על ידי מערכת מרכזית שמחלקת TASKS וכל החברים ברשת הGRID אחראים לבצע חלק קטן מאותה מטלה ולהחזיר תשובה.

ובכן , לאחרונה החלו להשתמש מדענים - גם ביכולות העיבוד של מעבדי הGPU ( מעבדי הגרפיקה ) של מחשבים שונים - על מנת להפיק מקסימום כח מעבד זמין ומבלי להפריע לעבודה הסבירה של משתמש . המשמעות היא שניתן לבצע משימות רבות אשר דורשות כח מעבד , ועדיין לתת בעת צרה לרשת הGRID להשתמש בכח העיבוד המתמטי של מעבד הגרפיקה.

למה אני טורח לכתוב ? בגלל הסיבה הזו ( לינק כאן ) . חברת elcomsoft בנתה מוצר די מעניין בתצורה שלו. המוצר משמש לפריצת ססמאות WINDOWS מורכבות ככל שיהיו , על ידי שימוש בחלק ניכר של מחשבי הארגון לצורך שבירת הסיסמאות אל מול הhash או בכל צורה אחרת המקובלת ( בעיקר Brute Force ) ואם אני לא טועה , הם הראשונים לאפשר רכישה של כלי קנייני אשר מבצע את הפעולה הזו על ידי הקמת GRID ייעודי לפעולה זו.

למעשה העיקרון פשוט , אם יש לי רשת IP - ועל כל מחשב ( לא משנה כוחו ) יש AGENT שמקושר לשרת אשר יודע לחלק לAGENTS המקושרים אליו משימות , ניתן להגיע לעוצמות של מחשבי על בכדי לפצח סיסמאות.

אגב , אני מכיר ניסוי אוניברסיטאי ( ברוסיה ) לניסיון שבירת AES256 באמצעות GRID , אך לא מכיר את תוצאותיו. יש כאן מגמה מעניינת ואיפשהו מובנת מאליו לגבי הכיוון של תחום הCryptoanalysis.

מאמר מעניין בנושא ניתן לקרוא בקישור הבא.

נכון להיום , הטכנולוגיה לפריצת סיסמאות באמצעות רשת GRID הוגשה לאישור כפטנט על ידי חברת elcomsoft אשר ממוקמת במוסקבה.

Labels: bruteforce, encryption, grid, passwords, software, technology

Posted by barry at 8:25 PM | Link | Comments

למי שאינו מכיר , SECUNIA הינה ארגון אשר מחזיק באחד מאתרי מעקב אחר בעיות אבטחת המידע , מהגדולים , אם לא הגדול והמקיף ביותר בתחומו, עם מאות ואלפי ארגונים וחברות אבטחת מידע אשר תורמים לתוכן שלו.

SECUNIA מפתח אפליקציה ארגונית אשר נקראת SNSI שהינו Secunia Network Security Inspector אשר מטרתו לבדוק את האפלקציות המתוקנות בארגון,  ולספק מידע אודות גרסאות פגיעות , עדכוני אבטחת וכדומה , אשר רלווניים לארגון.

לאחרונה פיתחה כלי חדש בשם PSI , שהינו כלי דומה - אך מיועד למשתמש הפרטי הביתי - ובחינם !

מטרת הכלי הוא שוב  -לסרוק את המחשב האישי שלכם , לחפש מפגעים ופגיעויות ( מעין VA מתחכם ) ולהצליב מול המאגר האדיר של SECUNIA - ואז לדווח לכם על פגיעוית אפלקטיביות , ולכמובן להציע עדכוני אבטחה בהתאם. האפליקציה משתמשת בשיטת הניקוד של Secunia בשביל לבצע חישובים לגבי רמת העדכון , והאבטחה של המערכת.

אחת התכונות החשובות של האפליקציה היא להסביר עבור גרסה מסויימת - מדוע יש להסיר אותה, מה הפגיעות שהתגלתה , המלצות יצרן והוראות מפורטות ביותר לגבי המשך הפעילות. אחד היתרונות שמצאתי בכלי זה , הוא שגם אם התקנו עדכון , אבל גרסה ישנה עדיין נשמרה במערכת - נקבל חיווי על כך עם הסברים כיצד להסדיר את הבעיה.

קישור לתוכנה : כאן כמובן

Labels: gadget, managment, news, service, software, vulnerability

Posted by barry at 7:29 AM | Link | Comments

בעקבות מספר בקשות ושאלות שנשאלתי בדואר אלקטרוני ועל ידי כל מיני חברים ( בעיקר בעקבות הקמת שרת הקבצים הביתי שלי ) החלטתי לבנות מעין מדריך קצר ולעניין, אשר מסביר כיצד מקימים שרת קבצים פשוט מבוסס לינוקס. שימו לב , לא שמתי יותר מידי דגשים על התממשקויות למערכות צד שלישי וכדומה, אלא בעיקר על יצירת מערכת SHARING עובדת עם רמת אבטחה סבירה.

הסיבה לכך שהקמתי את שרת הקבצים הייתה - ריבוי הסרטים , שירים , קליפים , מסמכים ותמונות שיש לי ברשת הביתית שלי , והקושי בנגישות אליהם בכל פעם. החלטתי שאני רוצה לאפשר לכל המחשבים לצפות בסרטים , לנגן שירים ולראות תמונות באותו הזמן , וכמובן בקוד פתוח ובקלות. יחד עם כל שרתי הקבצים הנמכרים כיום לשימוש ביתי במאות דולרים - החלטתי שזה לא בשבילי - אני צריך משהו שאפשר לשדרג כל הזמן , ומשהו שיעלה מעט.

חומרה נדרשת :

המפרט אשר אני ממליץ עליו לצורך הקמת שרת ביתי שכזה :

• מחשב מדף פשוט עד 1000 ש"ח ( ניתן לקנות בכל חנות אינטרנט ) עם בקר SATA ומפרט בסיסי.
• להוסיף הרדיסק SATA לפי הצורך - אני ממליץ 500GB של WD ( בערך 500 ש"ח ).
• להחליף קירור בקירור שקט של 12" למאווררים - ( כ50 ש"ח ).
• כרטיס רשת 10/100 כלשהו, עדיף Intel בגלל התמיכה ללינוקס ( כ 35 ש"ח )

החומרה שלי ( הייתה קיימת , ולכן השתמשתי ) :

אני השתמשתי ב : מחשב VIA EPIA 1200 פשוט עם 256MB זיכרון ( אולי אגדיל ) דיסק קשיח 40GB למע' הפעלה ( IDE ) בקר PCI עבור כרטיס RAID של Sweex ( בחומרה ) שאליו מחוברים 2 דיסקים של 500GB בRAID1 ( זה כי אני תמיד מגזים ) וכמובן ממשק רשתי פשוט של 10/100 של INTEL.

LINUX :

כדאי לדעת צעדי לינוקס בסיסיים בכי להשתמש במדריך הזה , בכדי להקל על עריכת קבצים וההתקנה אותה אין בכוונתי להסביר כאן. לצורך ההקמה נשתמש בCENTOS LINUX 5 אשר ניתן להוריד בחינם מהקישור הבא mirror.isoc.org.il . שימו לב , יש להוריד או DVD או 6 דיסקים , למרות שלא נצטרך את כולם. אגב, כל גרסת לינוקס תתאים. -- יש להתקין את הלינוקס נקי לחלוטין , ולדעתי אין צורך בFIREWALL עליו.

SAMBA :

בלינוקס , הגורם המקשר את סביבת פרוטוקול SMB של חלונות , לבין לינוקס - הוא פרוייקט סמבה , אשר משמש כממשק בין מערכות ההפעלה השונות. בעצם המטרה שלנו היא לקבל SHARE של מחשב הלינוקס - במחשבי החלונות שלנו.

יש להתקין את samba על המחשב , ולהקפיד על גרסה אחרונה כמובן ( בסביבת REDHAT\CENTOS\FEDORA הפקודה היא yum -y install samba )

כעת יש להוסיף משתמשים למערכת , לצורך העניין נקרא למשתמש linuxshare במדריך זה ( למי שלא זוכר , מוסיפים משתמש זה על ידי useradd -m -G users -s /bin/bash linuxshare ) אסמן את שם המשתמש עם קו תחתי מעכשיו , שיהיה קל לשים לב ולשנות בהתאם.

יש לקבוע למשתמש החדש סיסמה על ידי passwd linuxshare

כעת יש לערוך את הקובץ - etc/samba/smb.conf/ אשר מכיל את הקונפיגורציה המתאימה לאפליקציה ויש להכניס את השורות הבאות.

# general definitions
[global]

workgroup = MSHOME
server string = My File Share
log file = /var/log/samba/log.%m
max log size = 50 

# security config
security = user
hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny= 0.0.0.0/0

# server password file
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd

# shares
[FileServer]
comment = File Server Share
path = /home/linuxshare
valid users = linuxshare
public = no
writable = yes
printable = no
create mask = 0765

הערה : שימו לב לשורת הhosts allow , אשר משמשת כמעין IP FILTER שמאפשר התחברות רק מכתובות הרשת הרלוונטית , יש לשנות בהתאמה , כמובן את 127. רצוי להשאיר כי מדובר בloopback

כעת עלינו להעתיק את קובץ הסיסמאות של מע' ההפעלה בכדי לשייך את המשתמשים הקיימים במערכת למערכת הSAMBA שלנו על ידי -

cat /etc/passwd | mksmbpasswd.sh > /etc/samba/smbpasswd
chmod 600 /etc/samba/smbpasswd

כעת עלינו לקבוע סיסמת משתמש השיתוף על ידי הפקודה

smbpasswd linuxshare

עתה נפעיל את הישום בפעם הראשונה ואף נוסיף אותו לסקריפט העליה של המחשב ( בכדי שיעלה בכל פעם מחדש כמובן )

service smb start
/sbin/chkconfig --level 345 smb on

זהו , כעת לכו ל"שכנים ברשת" והתחברו לשרת שלכם באמצעות השם והסיסמה שבחרתם. במידה ועקבתם אחר כל ההוראות , זה אמור לעבוד.

אולי הייתי מוסיף גם CLAMAV בתור אנטיוירוס שיסרוק כל העתקת קבצים לשרת ( אצלי יש AV רשתי )

אני מאמין גדול בשרתי קבצים ביתיים , אני מאמין שהם מקלים את העבודה,  לטווח ארוך חוסכים באמצעי אכסון ומשאבים - שכן אין צוך שלכל מחשב בבית ( ולי יש 8 פעילים ) יהיה  דיסק קשיח מפוצץ , אלא מספיק שיהיה משהו כמו 80GB למשתמש ממוצע ( אני לא ממוצע כנראה ) ושיהיה שרת קבצים עם רוב האכסון עליו , כך ניתן להגדיר לכל משתמש נפח משלו , או נפח אכסון כללי לכולם , אצלי למשל הMy Documents בסביבת הWindows הוא בעצם Mount לכונן רשתי מתאים.

אגב , ניתן לשלב במערכת גם CLAMAV אשר בודק את הקבצים הנכתבים לדיסק המשותף , אצלי זה מוטמע , אבל פוגע בביצועים ,כשאני אמצא איך לשפר - אני אכתוב מדריך גם לזה פה. בנתיים המחבר בין האלמנטים הוא בunstable ולכן לא רלוונטי.

בהצלחה.

Labels: access, architecture, design, guide, linux, script, service, software, solution

Posted by barry at 9:26 PM | Link | Comments

בתור משתמש המוגדר "כבד" בכלים שונים במחשב , ואחד שמנסה תוכנות ושירותים חדשים הניתנים באמצעות תשתיות האינטרנט , אני נתקל כמוכם באלפי תוכנות אשר ניתנות לשימוש בחינם למשתמש הקצה , אך מפתחיהן מרוויחים את לחמם באמצעות שתילת פרסומות מותאמות לקוח בממשקים הגרפיים של אותן אפליקציות.

ובכן , כפי שוודאי ידוע לכם ( ראו פוסטים קודמים שפרסמתי כאן וגם כאן ) שירותים אלו מושתתים על היכולת של תוכנת הקצה לתקשר עם שרת פרסומות של החברות הספקיות , ומשיכת באנרים ופרסומות בכדי להציגן בממשקי המשתמש.

איך זה עובד ?

כאשר אני מתקין תוכנה כלשהי אשר מופעלת במודל הפרסום , לאחר ההפעלה שלה , יוצרת התוכנה קשר עם שרת nameserver שיושב במיקום ידוע מראש , ומספק בחזרה כתובות למשוך מהן פרסומות , התוכנה אז מושכת פרסומות ומציגה אותן לפי רוטציה מסויימת למשתמש , כמובן מידי פעם מתרחש עדכון לפרסומות.

ניתן לחסום את הפרסומות ?

כן, ניתן. זאת משום שעל מנת ליצור תקשורת עם אותם מאגרי פרסומות , על האפליקציה לצאת בבקשת תקשורת החוצה , כמובן שבמערכות האבטחה או הנתבים , PORT 80 פתוח מבפנים החוצה לטובת גלישה , ולכן התוכנות יוצרות קשר דרך HTTP בדרך כלל בכדי למשוך את המידע. מהסיבה הזו בדיוק , ניתן לבצע חסימה לכתובות הIP , לURL או למהדרין למבנה הבקשה בשכבת הTRANSPORT במערכות הIPS.

שאלת השימוש ההוגן ( רמז : זה כנראה מותר )

למעשה , כאשר אני מתקין אפליקציה מסויימת כFREEWARE או מודל דומה , אני מודע לכך שהשימוש מחייב אותי לצפיה בפרסומות . אך אין כל דרישה ממני לספק לאותן תוכנות גישה מלאה למשאבי רשת לפי רצונם. הרי שזכותו של ארגון להחליט שהוא חוסם גישה לאתרים מסויימים וכתובות IP מסויימות , ואין בעצם כל התערבות בקוד התוכנה , בצורת הפעולה שלה מבחינתנו ( התוכנות יודעות להציג באנר ריק כשאין תקשורת בדרך כלל ) ובעצם אנחנו מנהלים את משאבי הרשת שלנו כראות עינינו.

כמובן שמעבר לשאלת הפרת EULA כזה או אחר ( שלפי דעתי אינו מופר כאן ) נשאלת שאלה אתית , האם בעצם מותר לי להשתמש בתוכנה אשר המודל העסקי שלה הוא - שימוש תמורת צפיה בפרסומות , להשתמש בה כאשר הצד המרוויח הוא רק אני .

בהחלט נושא למחשבה...

Labels: ethics, law, social, software, technology

Posted by barry at 7:44 PM | Link | Comments

בתור מי שראה חלק ניכר ממערכות המחשוב ברשתות ENT בארץ, הופתעתי לא פעם לגלות שאין פתרון Software Deployment מרכזי אמיתי ללקוחות , פרט לפתרונות הWSUS \ SMS של מיקרוסופט. למרות שאלו פתרונות טובים בנישתם - הם נופלים כאשר מדובר באפליקציות של יצרנים אחרים.

על מה אני בעצם מדבר ומה כל הגישטל... בעצם חישבו על מצב בו ארגון בעל 3000 משתמשים חי וקיים מזה תקופה ( אני מניח שבגודל זה - מעל 10 שנים ). וזה אומר שיש תוכנות המותקנות על כל המחשבים בארגון , החל ממערכת ההפעלה , לתיקוני וטלאי אבטחה שונים . גרסאות שונות ומשונות של תוכנות שונות , ביניהן FLASH . וכמובן תוכנות צד שלישי שהמשתמש התקין עבור עצמו. נדרש פתרון מסויים אשר מאפשר לבצע אחידת בכל הרשת , להסיר גרסאות לא רלוונטיות , לעדכן לגרסאות חדשות מה שצריך , להטליא תוכנות מסויימות וכמובן לבצע מעקב שוטף.

הדבר נראה מעניין יותר כאשר אנו מדברים על חוות שרתים מרוחקות אשר פרוסות בעולם , ויש צורך לבצע עדכוני אבטחה \ אפליקציה ממקום מרוכז וכמובן לוודא שהשרת תמיד נמצא במצב תקין שכזה . במקרים כאלו - הפתרונות הללו נדרשים.

בעצם על מה אני מדבר - Software Deployment \ Asset Managment \ Patching Services מרכזיים אשר מטרתם כמובן לוודא ולקיים ארגון ולאפשר לו להמשיך להתקיים בגדילה וכמובן לשמר על רמת אבטחת מידע , עדכניות אפליקטיבית , אחידות אפליקטיבית , ולשמר ידע אודות שינוי התנהגותי במבנה אפליקטיבי של ארגון.

המערכות הלו בד"כ עובדות בתצורת שרת POLICY מרכזי , עם PROXIES ( במידת הצורך ) פזורים באתרים מרוחקים.. וכמובן CLIENT על כל תחנה , אשר מהווה גורם הדיווח וההפעלה על ידי השרת. אציין גם בצורה שהיא טיפטיפה BIAS , אחד הפתרונות האהובים עליי בתחום זה ומנסיוני איתו כמובן - BigFix אשר נראה מעולה ומבדיקותיי בסביבות מעבדה - נראה בעל התושיה הרבה הביותר . כאשר בין המדדים יש את גישת הLINUX\UNIX\WINDOWS\MAC ולא רק סביבה אחת כמובן.
אגב - ישנם מוצרים רבים בתחום זה , חלקם אפילו תוצרת כחול לבן ( Prefix ) , וישנם גם פתרונות מוכוונים DATACENTER ( כגון OPSWARE ) .

אך כמובן שאת המיד הזה תעקלו כאשר תגיעו לנקודה קריטית - בה תהיה ההבנה שמערכת כזו חוסכת לארגון בן 250 עמדות - 1 איש IT אשר מבצע תמיכה באפליקציה ובתחנות . מאחר ורוב התפעול של פיזור אפליקציה , עדכוני גרסה , ושחזור - יכולים להתבצע ממקום מרכזי.

היופי של מערכות כאלו הוא היכולת למשל להחליף מערכות של שרתי AV ( מערכת BIGFIX למשל יכולה לדבר מול אתרי חברות הAV ולדחוף בעצמה את עדכון הDAT האחרון , ודומים לאלה ... ) ולכן ניתן מיידית לחסוך במשאבים מסויימים ( במצב כזה , שימו את החומרה הכי חלשה בארגון לשרת הAV , רק בכדי שיהיה HEARTBEAT ... אני אישית היית שם אותו על VMWARE )

Labels: architecture, design, software, solution

Posted by barry at 9:01 AM | Link | Comments

[ how to block logmein - נושא ]

למי שלא מכיר את שירות LOGMEIN , מדובר בשירות מצויין המאפשר גישה פשוטה מרחוק לצורך השתלטות מרחוק על מחשב , ועל ידי התקנת תוכנת קצה קלת משקל. התוכנה לאח מכן פותחת בעצמה פורט 443 אשר פתוח אצל כולנו בFW , ואז בעצם יוצרת קשר מוצפן עם האתר של LOGMEIN.COM .
לאחר מכן , המשתמש יכול לגשת לאותו אתר LOGMEIN.COM ולהכניס את המשתמש והסיסמה , ובעצם להשלים קישור בינו לבין מחשב המרוחק. יתרה מכך , לשירות LOGMEIN יש תוספת שנקראת LOGMEIN-BACKUP אשר מאפשר גיבוי נתונים מרחוק , כלומר המחשב בארגון עלול לשפוך מידע החוצה לשרת או אתר חיצוני , אותו שרת יעביר מידע הלאה והלאה , והנה יש לכם זליגת מידע לפי הספר.

תחשבו על זה , אתם לא מרשים גישה מרחוק לארגון שלכם , אבל תוכנה כזו לא דורשת שתפנו ישירות למחשב, אלא היא פונה בעצמה לאתר , ואתם בעצם ניגשים לאותו אתר - ולכן בצורה פשוטה וברורה -הFW אינו רלוונטי בתמונה.

אגב , שירות LOGMEIN משתמש בשיטת CIPHER BLOCK CHAINING - CBC , בכדי לאפשר לשירות לעבוד בתצורה קרובה לSTREAMING ככל האפשר תוך שמירה על הצפנה - או במילים אחרות - ממש כמו כן שירות VPN שאנחנו מכירים - ולכן אכן מדובר בפתיחת ערוץ VPN מוצפן לארגון ללא רשות או הסכמה של מדיניות אבטחת המידע והגורם האמון עליה.

שאלת השאלות היא כמובן - איך חוסמים LOGMEIN בארגון.
ובכן מדובר במתודולוגיה פשוטה ליישום. החסימה אינה מבחוץ פנימה , אלא מבפנים החוצה

אסביר כיצד יש לטפל בנושא לארגונים שרואים בך איום - ברמה רשתית וברמה אפליקטיבית , שכן התמודדות נכונה אינה יכולה להסתמך רק על הרשת , או רק על בסיס התוכנה המותקנת . ולכן בכדי לעטוף פיתרון - יש לבצע את שניהם.

קודם כל ברמה רשתית
למעשה יש ליצור חוק חסימה בFW מעלה אותו חוק שמאפשר גישה החוצה
ופירוטו יהיה כדלקמן:

אני הייתי גם מגדיר ALERT ספציפית לחוק שכזה ...
החסימה היא בעצם לטווח הכתובות השמור שרכשה חברת LOGMEIN מארגון IANA.
תנסו את זה , זה עובד.

ניתן ומומלץ גם לחסום את הFQDN המתאים של חברת LOGMEIN - שהוא - secure.logmein.com
כך בעצם שינוי כתובות יחסם גם כן ( לא להקטין ראש , לחסום בשתי הדרכים ) למעשה גם אותו ACTIVEX אשר מדבר עם LOGMEIN יושב תחת הכתובת הזו , ולכן חשוב לחסום

אגב , אני אישית מעדיף להטמיע את החוק הזה במערכות IPS ולא במערכות FW , מאחר ושם אני גם יכול לצפות בדפוסי התנהגות , למשל - אם התוכנה מתעדכנת וכעת מנסה לגשת לכתובות אחרות וכדומה . מה גם שהדינאמיות לשינוי היא קלה יותר , כי גם המשתמש עצמו לא מרגיש בפעולת הIPS ולכן אם אני רוצה לתפוס על חם - קל יותר מאשר עם FW.

עכשיו ברמה אפליקטיבית
במידה ובארגון מוטמעת מערכת בקרת אפליקציה על תחנות הקצה והשרתים , כמו למשל מערכת Cisco CSA או Integrity של Checkpoint , ואפילו בתצורה קצת פחות מכוונת אבטחה - Microsoft GPO - ניתן ליצור הגנה חלקית על המערכת על ידי בדיקת קיום הקבצים הבאים :

כמו כן יש לאתר בתקית הTemporary Internet Files וברגיסטרי את קיום הקישור ל -
שהינו DPF , ולוודא שהוא מוסר ומדווח למנהל המערכת.
( שווה גם להריץ חיפוש לקבצים אלו במידה ומותקנים בתיקיה אחרת )

במידה וקיימים , יש להסיר אותם או לסגור את הService שלהם במערכת
שימו לב - אם יש לכם מערכת כגון BigFix מוטמעת בארגון , אפילו קל יותר - ניתן להסיר את האפליקציה בצורה מסודרת ברגע שהיא מתגלה - ולהתריע על קיומה למנהל אבטחת המידע

יש לזכור בכל מקרה שקיום תוכנה כזו בארגון דורש פיקוח קפדני , ואם הוא אסור על ידי מדיניות , מה שאני מאמין שיקרה בכל ארגון שהCSO מודע לקיום האפליקציה הזו - יש לדווח לגורם האמון על מדיניות אבטחת המידע , על הפרתה , ולהרתיע את אותו גורם שהפעיל את האפליקציה בארגון.

חשוב לציין שישנן חברות אשר הטמיעו אלמנט חסימה כבר במערכות האבטחה הקיימות שלהן , לדוגמא , חברת CHECKPOINT הטמיעה חתימה במערכת הSmartDefense שלה , שהוא חלק מפתרון הUTM-1 , אשר מאפשר לחסום בדיוק בשיטה שציינתי את LOGMEIN , ללא צורך בהגדרות מסובכות - אלא רק סימון V ( לינק לעמוד בצ'קפוינט - כאן ) הפתרון קיים אצלם החלק מהעדכון שבוצע למערכות מנויים בסוף אפריל 2007 , כך שלמי שיש שירות עדכוני תוכנה פעיל על הFW - ההגנה קיימת - רק להפעיל.

Labels: access, hazard, software, thesis, vulnerability

Posted by barry at 2:05 PM | Link | Comments

לאחר מספר אלפי התקנות בקריירה שלי , אני תמיד זוכר שלכל מוצר טוב ככל שיהיה ישנן נקודות תורפה אשר מתגלות עם הזמן , ואלו - לעתים מופיעות אצל יותר מיצרן אחד , בשל איפלמנטציה דומה או ארכיטקטורת חומרה דומה.

בבעיה מסוג זה נתקלתי עם מכונות FORTIGATE60 ועם מכונת JUNIPER-SSG20 אשר שתיהן מכונות דומות מבחינת יכולת חומרה וכח עיבוד ASIC...

אני לא נכנס בכלל לפינה של ATERA או SBOX ואפילו מוצרים מתקדמים כגון WATCHGUARD וכדומה אשר סובלים מאותן מחלות בדיוק - אבל במוצרים אלו בגלל הארכיטקטורה - הבעיות הללו יותר צפויות מאשר אצל שתי המערכות שציינתי למעלה ( שמבחינתי מייצגים אותן היצרנים המובילים והטובים ביותר מבחינה טכנולוגית היום בשוק הFW בפרט והUTM בכלל ).

ובכן הבעיה היא כזו - FLASHGET.
נכון , אותו מוצר שהינו DOWNLOAD MANAGER יודע לבצע MULTITHREADING בשביל לאפשר להוריד יותר מהר. למי שלא מכיר , מדובר בתוכנה חינמית אשר מבצעת ניהול חכם להורדות ומאפשרת הורדה באמצעות יצירת חלוקה לפרוסות של קובץ ההורדה ומשיכתו ממספר מקומות במקביל , או במקרה הנבדק - מאותו מקום על גבי כמה סשנים.

מנסיוני , מכונת הFORTIGATE60 סוחבת 90MB+ של ROUTING בעת הצורך , וחברו - הSSG20 לא פחות בהרבה. בנוסף מכונת הFGT60 תומכת עד 200,000 סשנים במקביל , כאשר הSSG20 עד 8000 ברשיון מורחב ( הספירה שונה כמובן כי הם סופרים ESTABLISHED בלבד ). שתי המכונות מבצעות PACKET-FORWARDING וROUTING על גבי מנוע ASIC . הסיבה שאני מציין זאת היא בשל היכולת התיאורטית להגיע לקצבים וביצועים אדירים.

ובכן - לא כך הדבר הפעם.
כבדיקה הפעלתי את הFLASHGET עם בקשה MULTITHREADED DOWNLOAD מאותו אתר מרוחק , על גבי 10 פרוסות שונות . שתי המכונות הגיעו לMAX SESSIONS והתחילו להפיל תעבורה.

כן כן , שתי מכונות מדהימות קיבלו DOS בצורה מאוד מאוד קלה על ידי משתמש אחד מתוך 10 ברשת אשר סה"כ ביצע הורדה של קובץ ( בשתי המערכות הAV פעל על התעבורה כמובן ). לא הצלחתי לשחזר את התופעה במכונות גדולות יותר.

מעניין ...

אגב , יותר מאוחר הצלחתי למנוע את התופעה של הMULTITHREAD ולהגיע למצב שההורדה עוברת דרך הIPS של הFGT60 ושם מתבצעת חתיכה של SESSIONS מיותרים , וכך בעצם נפתרה הבעיה - אבל לא בצורה שקופה של OUT-OF-THE-BOX. בSSG - עדיין לא נפתר.

Labels: ddos, software, vulnerability

Posted by barry at 9:30 PM | Link | Comments

בתקופה האחרונה התעסקתי רבות בשדרוג ורנון סביבת העבודה הביתית שלי. ובזה אני מתכוון לסביבה הממוחשבת בה אני עובד כשאני בבית והסביבה נראית פחות או יותר אותו דבר , רק משתדרגת כל הזמן מבחינת כח מחשוב ועזרים מהצד.

נסדר לכם קצת את האוזן ,
מתחת לשולחן ישנם 3 מחשבים , כאשר 2 הן תחנות עבודה חזקות ועוד מחשב אחד חזק המתפקד
כשרת VM ומהווה שרת מעבדה עבורי. הסביבה כוללת אבזור של אמצעי קלט אלחוטיים , נקודות חיבור לUSB , לוח כתיבה וכל כלי אחר לו אני זקוק מהצד - והכל כדי להגיע לחווית העבודה הנוחה ביותר עבורי על המחשב.

ובכן , מזה זמן מה אני שוקל להחליף את תצורת הKVM שלי לתצורה בה יש לי 2 מסכים - כאשר אחד לכל מחשב ( לשרת מתחברים גם ככה בCONSOLE או בRDP ) ועדיין לעבור בין המחשבים ללא צורך בעוד מקלדת ועכבר.

לאחר מחקר מצאתי ( ואפילו קניתי ! ) את התוכנה הנפלאה Multiplicity מבית stardock אשר גרמה לי לעשות את הצעד האחרון ולהסב את סביבת העבודה לסביבה שאתם רואים בתמונה.
למעשה על ידי התקנה של SRV במחשב אחד אליו מחוברים המקלדת והעכבר , והתקנת CLN בתחנה השניה - מתבצעת העברה על גבי הרשת של התעבורה של המקלדת ועכבר ביניהם.
למעשה אני גורר את העכבר בין המחשבים ומתבצע מעבר ! כאשר אני עם העכבר על המחשב השני - המקלדת הופכת להיות שלו.

כדי ליצור את הסביבה מושלמת , הKVM עדיין מחובר אצלי ( רק לחיבורי הPS/2 ) על מנת ליצור גיבוי אם יש בעיית רשת , או למקרה שמחשב הSRV כבוי ( ואז אין Multiplicity )

בגרסה שאני קניתי , שהיא הבסיסית - המחשבים גם חולקים Clipboard - כלומר אני יכול לעשות COPY במחשב אחד , ואז PASTE במחשב שני וזה מקל מאוד על העבודה , כמובן שניתן להחליט על סנכרון של דברים נוספים כמו גלגל הגלילה בעכבר , כפתורי NUMLOCK \ CAPSLOCK וכדומה ויש גם שליטה בF-LOCK המופיע רבות במקלדות של MICROSOFT . בגרסת הPRO אפשר גם לעשות DRAG&DROP לקבצים וכמו כן עבודה עם עד 6 מסכים. אציין גם שמחשב אחד רץ אצלי עם VISTA והשני עם XP , ללא כל קושי ! ( גרסה אחרונה ) אני ממליץ בחום למי שמנסה לשפר את סביבת העבודה שלו הכוללת יותר ממחשב אחד

[ ** תיקון 11/4/07 ** ]
שדרגתי לגרסת הPRO , שיתוף הקבצים פשוט שווה את זה , אני לקוח מרוצה של המוצר

מבחינת תקשורת - מדובר על פאקטבים בגודל 49 בתים כל אחד , כאשר ישנו שימוש בTCP
ובPORT מספר 30564 ( ניתן לשינוי ) המידע אינו CLEARTEXT בפאקט וניתן לבצע אימות תחנות על ידי ססמה. סהכ עושה את העבודה ובלי עומס.

אני חייב להגיד שהשינוי עושה פלאים , לקח לי קצת זמן לארגן הכל , כי החלטתי על DESIGN שאומר שבין המחשבים יש גם כרטיס רשת ייעודי להעברת נתונים ביניהם ( המתג מעל המחשבים מטפל ב8 אובייקטים , זו החלטה קלה שעלתה 80 שקלים סהכ לשני כרטיסים וכבל ). לקח זמן להתרגל לעבודה עם 2 מחשבים במקביל בלי לעבור עם KVM ביניהם כל הזמן , אבל ברגע שהתרגלתי - העבודה הפכה להיות איכותית ומשובחת , ההתייעלות מדהימה.

לינק לאתר של Multiplicity.

שיהיה לכולנו חג שמח ,
בארי שטיימן.

Labels: software

Posted by barry at 4:30 PM | Link | Comments

לפני כחודשיים שיחררה חברת צ'קפוינט את תוצר הOEM שלה עם חברת CrossBeam אשר מהווה פלטפורמה חזקה למערכת הUTM-1 Firewall של חברת צ'קפוינט. זאת על ידי בניית מודולים וחומרה שמותאמת במיוחד לתעבורת רשת.

ובכן , בשיטוט הקבוע שלי באתרי התוכן - והפעם - YouTube המעולה , חיפשתי לראות אם יש סרטונים מכנסים וכדומה - ולכן חיפשתי "checkpoint" ולא תאמינו מה מצאתי !
מישהו ( ככל הנראה מרוסיה ) לקח מכונה כזו ( בדגם UTM-1 450 לפי הסרטון ) והדגים כיצד הוא מתקין על המכונה Windows XP ! כן כן , אכן כך

טוב , אני הייתי מנסה VISTA אם הייתי מכיר את הארכיטקטורה של המכונה - אבל לדעתי זה יהיה OVERKILL למכונה , חבל שהבחור לא הריץ Vista Upgrade Advisor על המכונה :)
לאחר כמה צפיות בסרטון ועצירה במקומות המעניינים BIOS מיושן של חברת Phenoix , מה גם - דיסק קשיח שאינו תעשייתי כלל ולכן אני לא יודע כמה הוא מסוגל להחזיק מעמד ( למי שמכיר קצת Firewall-1 , המכונה רושמת כל הזמן לדיסק בכל הקשור ללוגים והתראות ולכן הדיסק עובד כל הזמן ) למרות שאני מאמין שיצרן כמו צ'קפוינט לא יקח סיכון RMA גבוה כלכך ולכן יתכן שאני מפספס עם הדיסקים. בכל מקרה - לפי הסרטון , המעבד הוא גם סלרון ( לא יודע מה המהירות - מטושטש מידי ).

עכשיו , ההגיון עובד כאן ברמה מסויימת - שכן מערכות צ'קפוינט רצות על סביבות X86 באמצעות גרסה מוקשחת של RedHat שנקראת SecurePlatform ( או SPLAT ) ולכן הגיוני שלא יכתבו את כל המוצר מחדש עבור מכשיר חדש, אבל אני באמת חייב לציין שצפיתי לראות אותם מתעלים על המתחרים שלהם באמצעות FIRMWARE כלשהו , ולא זכיתי לכך ... אולי בהמשך.


לחצו כאן לצפיה בסרטון

Labels: funny, software

Posted by barry at 12:51 PM | Link | Comments

למרות שאני מתנגד לחלוטין לכל מה שקשור לגניבת זכויות יוצרים ולימוש לרעה בכלים טכנולוגיים על מנת לעקוף מערכות רישוי וכדומה , שכן אני מאמין שעל מנת לקבל שירות איכותי ומוצרים איכותיים , החברות המפתחות אותם צריכות לקבל תשלום הוגן עבורן. שימו לב , אני לא מצדד בשום שלב בכוחניות כלשהי בתחום זה , אלא כקונספט. אני חושב שבכדי לקבל מוצרים ארגוניים ( ואני מתכוון רק לארגוניים ) טובים ואיכותיים הכוללים עדכוני אבטחה עליהם עמלים אנשי פיתוח בשעות הקטנות של הלילה , כשבדלי הסיגריה מצטברים במאפרה , והקפה השחור מצהיב את השיניים שלהם...

בכל מקרה , הקדמה זו הייתה רק מאחר שאני רוצה לשתף אתכם במשהו. אני מקבל המון פניות מארגונים אשר הסיבה שאינם מאפשרים להשתמש בתוכנות IM למיניהן הן הפרסומות אשר מוצגות בתוכנות הללו. משרדים בעלי אנשים דתיים , אשר לא מעוניינים לקבל פרסומות עם נערות בביקיני. או בתי ספר אשר אינם רוצים שילדים יחשפו לתכנים לא רלוונטיים וכדומה. תוכנות שמזמן הפכו לכלי ארגוני כגון MSN Messenger המעולה , אינן מורשות לשימוש בארגונים רבים בשל התכנים אליהם עלולים להיחשף העובדים\מקבלי השירות באותם מוסדות.


ובכן , אני מציג כאן כדוגמא טכנית בלבד - כיצד ניתן לבצע הפעלה של תוכנות אלו ללא פעלת הפרסומות בהן, זהו מעין POC.

את הדוגמא המצולמת ביצעתי עם מוצר Fortigate כGateway Firewall. למעשה בניתי סינון תכנים אשר מחפש בURL את האתרים ad.msn.co.il שמציג את הפרסומת בחלון הראשי של מסנג'ר
או את האתר rad.msn.com אשר מציג את המשפט הפרסומי מתחת לחלון השיחה. כמו כן סיננתי את מילות התוכן [CACHECLEAN] מהתכנים ( קצת Sniffing ) ומאותו רגע המסנג'ר הפך לנקי.
לא מורכב במיוחד ...
כמו כן , אני לא יודע איזו עוד השפעה יש לגורם הבא - אבל כאשר חסמתי את הSyntax הבא :
"config.messenger.msn.com/Config/MsgrConfig.asmx" אז למעשה היה נשמר אפילו הלוגו של מסנג'ר בחלון הפרסומת התחתון ומנוע הפרסומות לא היה מותנע אפילו.

אגב, ניתן היה גם לבצע כחתימת IPS סטנדרטית באותה מערכת , ובכדי לחסוך מעצמי מיילים מיותרים ... הנה שתי החתימות הרלוונטיות ( בפורמט של Fotigate )

חתימה ראשונה
F-SBID( --name "bs_MSN-AD-Stop.A"; --protocol tcp; --flow established ; --regex "ADSAdClient31.dll"; --no_case)
חתימה שניה
F-SBID( --name "bs_MSN-AD-Stop.B"; --protocol tcp; --flow established ; --content "ad.msn.co.il"; --no_case)

שוב ,אני לא מכוון לכך שזהו שימוש הולם במוצר , שכן זוהי עשויה להיות הפרה של הסכם השימוש בו לפי דעתי ( לא בדקתי לחלוטין ) אבל מבחינה חוקית - לא נגעתי בתוכנה , אלא רק סיננתי אתרים בדרך ולכן יש כאן פן של חפות פשע מסויימת :).
אני אגב , הסרתי את הסינון לאחר כתיבת המאמר.

הערה : מדובר בהדגמה בלבד ובדיקת היתכנות טכנית , ואין לקחת במה שכתבתי כהנחיה לביצוע עבירה כלשהי או שימוש לא חוקי כזה או אחר במוצד.

Labels: script, software

Posted by barry at 8:12 PM | Link | Comments

מובן שלא תשמעו אותי מדבר לטובה על הפרת זכויות יוצרים ופריצה למערכת רישוי כזו או אחרת. אבל אני חייב לציין שאני התרשמתי לטובה. מערכת בקרת הרישום והאקטיבציה שהציגו MICROSOFT עם גרסאות הVISTA השונות נראתה מרשימה ביותר.

בעיקר הגרסה לארגונים. הגרסה לארגונים דורשת שתקים אצלך בארגון שרת KMS שהוא שרת ניהול מפתחות , עליו צריכים להיות 25 או יותר רשיונות לVISTA , מה גם שהתחנות לא רק מבצעות מולו את הרישום , הם גם מוודאות רישום בכל 180 יום באמצעות HEARTBEAT.

מה שהופך את ההמשך למעניין.
אנשים טובים מצאו שישנם מספר קבצים אשר יצאו עם גרסאת הBETA RC2 של VISTA אשר ניתן להחליפם בקבצים בגרסת הRTM ( גרסת ההשקה ) וכך מערכת הVISTA מקבלת אקטיבציה , והינה פעילה לחלוטין עם אפשרויות להתעדכן ומה לא.

כמו כן , נמצא באינטרנט עותק VMWARE של שרת KMS שכזה , עם 25 רשיונות , שכל אחד יכול להריץ אצלו על VMPLAYER ולהפעיל את הVISTA שלו ( גרסאות הBUSINESS )

הפרצה הראשונה היא היותר מעניינת, בוצעה על ידי האקר שמכנה את עצמו בשם "Dr.Chang" ואת הלינק למאמר שלו אני לא אפרסם כאן מטעמי אתיקה. אבל ממש לא קשה על פי הניק הזה למצוא את הנתון הזה , שהפך לדי מפורסם בסך הכל באינטרנט בשבוע האחרון. יש איזה נושא מדובר שצריך להשיג מספר סידורי מאלה שהופצו בעת שחרור גרסת הRC2 , מה שלרוב המשתמשים שניסו את הגרסה כבר יש. אפילו לי צריך להיות אפישהו.

אני חצוי , כי אני מאמין בזכויות יוצרים , כמו שאני מאמין גם בקוד פתוח. לדעתי אם חברה רוצה לדרוש כסף על מוצר רוחני שלה , זכותה המלאה לעשות זאת. עם זאת אני שמח שיש מוחות בריאים אשר רואים במערכות רישוי שכאלה אתגרים אמיתיים. אלו המדענים האמיתיים של עולם הסייברספייס ( מושג שלא שמעתי הרבה זמן ).

Labels: hacking, software

Posted by barry at 3:56 PM | Link | Comments