מערכת ההצפנה שגם הFBI לא יכול לפרוץ

האירועים האחרונים יצרו בהלה רבה ואולי השכיחו מאיתנו את העובדה ששום מבצר לא נכבש. שום חומה לא הופלה. שום הגנה רצינית לא איבדה את תוקפה ואת תקפותה. בסך הכל מדובר בהאקרים – קאקרים שמנצלים טעויות של בעלי אתרים, וכפי שכבר כתבתי על כך, הדבר דומה לאדם שמשאיר את דלת ביתו פתוחה, ועוד מדליק את האור, והפורץ רואה ונכנס…

אבני היסוד של אמצעי אבטחת המידע הנמצאים בשימוש כיום עדיין מבטיחים בחלק מהמקרים הגנה בלתי ניתנת לפריצה לבמקרים אחרים הגנה שידרשו שנות אדם רבות על מנת לפרוץ, בוודאי שלא משאבים שמצויים ברשותו של 0xomar וחבורתו, גם אם יתאגדו וירתמו אלפי מחשבים לטובת פריצה אחת. גם אז, הצפנה אסימטרית מבוססת RSA עם מפתח מספיק גדול או הצפנה סימטרית מבוססת AES256 לא תיפרץ.

וכאן אני רוצה להציג כלי פשוט וחופשי. TrueCrypt הנה תוכנה הניתנת להורדת באתר: TrueCrypt.org.

הרעיון הוא כזה: נניח שיש לכם תיקיה ובה קבצים אותם אינכם רוצים שאיש יראה. ניתן ליצור קובץ שלמעשה יכיל בתוכו כונן וירטואלי מוצפן. כונן זה יכול להשמר על פני מחיצה שלמה (מה שפחות מומלץ) או בקובץ. הסיבה לכך שעדיף לשמור את הכונן הוירטואלי בקובץ ולא בpartition היא שקל יותר להעביר כונן וירטואלי כזה ממקום למקום, לעומת הצפנת partition שלא ניתנת להעתקה בקלות והיא נשארת מוצמדת להתקן עליו היא נוצרה, בין אם זה disk on key או כונן / דיסק אחר. אם יוכנס דיסק כזה למחשב, תופיע הודעה שיש לפרמט את ההתקן, מה שעלול לגרום בטעות לפירמוט ולאבדן המידע. לעומת זאת, יצירת כונן וירטואלי בתוך קובץ טומנת בחובה אפשרויות רבות. הדוגמה הפשוטה ביותר היא לתת לקובץ שם שלא יסגיר את היותו מוצפן. לדוגמה: letter100.doc. מסמך זה ניתן לצירוף להודעות מייל, העלאה לשרת אכסון קבצים, וכל פעולה אחרת, אולם כל עוד לא חשפתם את היותו כונן וירטואלי מוצפן של True Crypt, וכל עוד לא חשפתם לאיש את הסיסמה, לא ניתן יהיה לפתוח אותו ואת תכולתו. לגבי התכולה, התכולה יכולה להיות כל מה שנשמר בכונן או התקן, קרי: קבצים מכל סוג שהוא, תמונות, מסמכים, תוכנות, תיקיות. הכל נשמר והכל מוצפן בקובץ אחד. לשם כך, בוחרים באופציה: Create Volume

או אז מופיע הWizard הבא:

בשלב הבא קובעים את שיטת ההצפנה, את הסיסמה אשר מהווה בסיס ליצירת מפתח אקראי ארוך בהרבה, על בסיס תנועות העכבר בזמן יצירתה. ככל שתניעו את העכבר זמן רב יותר, הסיסמה תהיה חזקה יותר, שכן אלמנט האקראיות יהיה בעל משקל גדול יותר (וכאן המקום לציין כי במחשבים אין דבר כזה “אקראי”, אלא שאיפה להתקרב עד כמה שאפשר לאקראיות).

TrueCrypt אף הוסיפו פיצ’ר שמזכיר מזוודה עם מחיצה כפולה. אם תפס אתכם ההאקר הסעודי באישון לילה והצמיד אקדח לרכה, תוכלו לומר: בסדר בסדר, הנה הסיסמה, והוא יכניס אותה ותיפתח מחיצה שהכנתם מבעוד מועד. במחיצה זו ניתן לשים קבצים לא סודיים. ההגבלה היחידה היא שברגע שיצרתם מנגנון זה, אין אפשרות לשנות דבר במחיצה הלא סודית, על מנת שלא לפגוע בתכולת הביטים שיוצרים את המחיצה הסודית.

לצורך המאמר, יצרתי ציור שנראה כך:

ושמרתי אותו תחת השם : SecretDrawing.jpg.

עכשיו יצרתי מסמך טקסט בשם SecretText.txt שמכיל שורה אחת והיא:

“זהו הסוד שלי”

עכשיו, יצרתי כונן וירטואלי שכדי לפתוח אותו יש להכניס את הסיסמה הבאה: 1234567890abcdefghi

לא סיסמה גאונית, אבל זו כאמור הדגמה בלבד. למעשה, TrueCrypt עצמו יתריע על היות הסיסמה קצרה מדי:

הכונן שמור בקובץ ששמו: letter100.doc.

אם נפתח את הקובץ, נראה דבר כזה:

אולם אם אגרור קובץ זה אל חלון TrueCrypt

אז אבחר באופציה Mount, יופיע המסך הבא:

עכשיו אכניס את הסיסמה, והכונן הוירטואלי ייפתח.

וב”מחשב שלי” יופיע כונן חדש – N.

בתוך הכונן, ראו זה פלא, שני הקבצים…

עכשיו, שימו לב, תוכנת TrueCrypt היא פרוייקט קוד פתוח. כל האקר יכול לאתר את קוד המקור המלא, ועדיין, כשזוכרים שלא מספיק להצפין, ולא מספיק לבחור סיסמה חזקה, צריך גם לעשות זאת נכון (לדוגמה: לא לשמור את הסיסמה בגוף הקובץ המוצפן, ולא להשאיר “דלתות אחוריות” באפליקציות הצפנה, או בכלל לא לשמור כלום hard coded), וזו רק דוגמה לאיך לעשות זאת נכון במינימום השקעה ומינימום ידע.

בכתבה הבאה מתואר נסיון של הFBI  לפתוח הצפנה של דיסק שהוצפן בTrueCrypt ללא הצלחה. הסיבה, הדרך היחידה לפרוץ הצפנה מבוססת AES הנה “לנחש” את הסיסמה וככל שסיסמה זו ארוכה דיו, יהיה צורך באלפי שנים על מנת לנסות את כל הקומבינציות עד לאיתור הסיסמה הנכונה. דרך אחרת לפריצה מבוססת על סיסמאות נפוצות, מילים מהמילון וצירופים כאלה ואחרים, ושיטה זו (Dictionary) נוסתה על ידי צוות הFBI במהלך 5 חודשים אולם ללא הצלחה, זאת משום שאם הסיסמה הנה צירוף חסר משמעות של אותיות וסימנים מיוחדים, גם לשיטה זו אין סיכוי. ניתן לקרוא על בחירת סיסמאות במאמר הבא בו המלצתי למשל לעשות שימוש בתווים בלתי קריאים כחלק מהסיסמה.

להורדת הקובץ המוצפן: www.haephrati.com/letter100.doc

Advertisements

פרצה קוראת להאקר

מתקפות האקרים הם עניין שבשגרה ורובן לא מתפרסמות. מעטים המקרים בהם זכתה מתקפה כזו להד תקשורתי, כמו במקרה של ההאקר הסעודי. מזה זמן אני מנסה להתחקות אחרי התופעה, עוד מאותו יום בו נחרדנו לגלות ש”מאות אלפי מספרי כרטיסי אשראי נגנבו”

מהר מאוד התברר שמדובר באלפים בודדים, אולם אלפים נוספים המשיכו להתפרסם חדשות לבקרים, ובד בבד בוצעו מתקפות נגד אתרים שונים בישראל. מי שזכה לכינוי ההאקר הסעודי, 0xomar, הוא אדם שעד היום לא זוהה בוודאות. ישנה קבוצה של האקרים שהוא נמנה עליהם ואולי הוא אחד מהם. הקבוצה כוללת פעילים ממקסיקו, אינדונזיה, סעודיה ואף מהרשות הפלסטינית.
עם תחילת הפרשה פנו כלי התקשורת אל אותו האקר דרך כתובת מייל ששימשה אותו – 0xomar@mail.ru על מנת לראיין אותו, וכך גם ההאקר עצמו העביר מסרים והודעות לתקשורת דרך כתובת זו. כאשר התחלתי לחקור את התופעה, נודע לי שבינו לבין חברי הקבוצה מתקיימת תקשורת בערוצים אחרים ונוספים, ביניהם כתובת Hotmail. סגרתי לו את כתובת המייל הרוסית על מנת לגרום לו נזק היכן שניתן היה לגרום לו נזק באותה עת, אך מבלי לנתק ערוצי תקשורת אחרים, שלא לפגוע במאמצים לאתרו. לכתובת הספציפית הזו הייתה משמעות סימבולית בהיותה זו בה הכריז על עצמו לראשונה. במידה רבה, לאחר סגירת כתובת זו, גם אני ומומחים אחרים ידענו באיזה כתובות מייל נוספות הוא משתמש ובאיזה ערוצים הוא מעביר מסרים ומידע גנוב.

מבין הפלטפורמות ששימשו אותו להעברת מסרים היו האתרים http://www.pastebay.com ו- http://www.pastebin.com שנועדו לשימוש אחר לגמרי. אתרים אלו הם “איזור פתוח”, שאליו כל אחד מעתיק כל טקסט שהוא רוצה ומצד שני כל אחד יכול להעתיק ממנו כל טקסט שכבר קיים. הכלים פותחו על בסיס הסכמה ג’נטלמנית שמתכנת אחד לא יגנוב קוד ממתכנת אחר, למרות שברוב המקרים לא נעשה שימוש בהצפנה. ההאקר וקבוצתו הפכו פלטפורמות אלה למגרש המשחקים שלהם וניצלו את הקלות להעלאת תכנים, מבלי צורך להירשם ולהזדהות.

בחודש האחרון פרסמה הקבוצה פרטי חשבונות של משתמשים, מספרי כרטיסי אשראי ומידע אישי רב של אנשים. במהלך המחקר שערכתי, פיתחתי תוכנה שכל תפקידה הוא לאתר תכנים הכוללים מידע שחשוד כגנוב, כגון מספרי כרטיסי אשראי, והיא משמשת אותי להתריע מפני פריצות מתוכננות. בדיקה מעמיקה העלתה שאת התקשורת הממודרת יותר, מקיימת הקבוצה באמצעות פורום סגור המיועד לחברים שנרשמו אליו והרשמתם אושרה. במהלך ההתחקות אחרי הפרסומים, שלחתי אזהרות ככל שניתן ולכל מי שצריך. התרעתי למשל על שתי פריצות מתוכננות: לשרתי אל על, והשנייה, לבורסה בתל אביב. לצערי לא נעשה דבר והשרתים נפרצו.

לאן פנינו מועדות

המצב מדאיג ועם זאת, חשוב לחזור ולומר שאין כאן איזו פעולת האקינג מתוחכמת. נהפוך הוא: זו אינה יותר מ”פרצה קוראת לגנב”. גניבה היא החלק השולי, ואילו פרצת האבטחה היא הבעיה המרכזית. ניתן, באמצעים סבירים ובהשקעה נמוכה, להעניק את מינימום אבטחת המידע המתבקשת לכל אתר ועל ידי כך למנוע מקרים כאלה בעתיד. ההאקר הסעודי ייתפס בסופו של דבר. אולם, אם לא ייעשה שינוי בתקינה מתאימה – דרישות מחמירות בכל הקשור לאחסון מאגרי מידע מכל סוג שהוא, ובתוך כך שמירת מספרי כרטיסי אשראי והדרכה מתאימה לדרך הנכונה לעשות זאת – יבוא בעתיד הקרוב “האקר סעודי” חדש.

הכותב הינו איש הייטק, מומחה אבטחת מידע ומייסד חברת Target Eye LTD, בלונדון.
בלוג: haephrati.com

 

 

פורסם במגאזין עלונדון 3.12.2012.

איך סגרתי להאקר הסעודי את החשבון

ההאקר הסעודי שכינויו 0xOmar, התראיין מספר פעמים לכלי תקשורת ישראלים, על פי רוב, בדרך של החלפת שאלות ותשובות דרך כתובת המייל שמשמשת אותו: 0xOmar@mail.ru. כך למשל ראיון ב-Ynet, ראיון באתר Gawker ותרגום שלו פורסם ב- Rotter, או ראיון עם כתב The Marker , כולם נעשו דרך המייל.

אני מצטער להודיע שבפעם הבאה שכלי תקשורת כזה או אחר ירצה לקיים ראיון עם 0xOmar, (ומן הסתם בהיעדר אפשרות לקבוע עם הבחור בבית קפה…), הוא יגלה שכתובת המייל ששימשה את ההאקר להפצת ההודעות השונות ובכלל לקיום קשריו עם העולם החיצון, לרבות קיום ראיונות מסוג זה, אינה קיימת עוד.

הבוקר הבאתי לסגירתה.

ב-5.12 לא התעצלתי ושלחתי מכתב תלונה. שלחתי עותק למחלקת ה-PR של החברה וגם לכתובת abuse@mail.ru. בכל נושא של הטרדה, חשד לעבירה או לשימוש לא חוקי / תקין, ניתן וצריך לפנות לabuse@ של ספק השירות.

חברת mail.ru, אשר כתובתה :

Mail.Ru Inc.

5F, 47-2-2, Leningradsky prospect

Moscow, 125167,

RUSSIAN FEDERATION|

רשומה באיי הבתולה הבריטיים (איך לא?).  היא מתהדרת ב-1833 עובדים, 9000 שרתים, וכמעט 29 מיליון כניסות בחודש. מנכ”ל החברה, Matthew Hammond, ניתן להשגה בטלפון  00-971-4434-8422 (באיחוד האמירויות ?!), או במייל: ir@corp.mail.ru.

וכך כתבתי…

From: Michael Haephrati
Sent: Thursday, January 05, 2012 9:05 PM
To: ‘pr@corp.mail.ru’
Cc: ‘abuse@mail.ru’
Subject: 0xOmar

Dear Mail.ru,

A Saudi hacker, named 0xOmar, is using a “mail.ru” email address to conduct illegal activity, including stealing hundred thousand of credit card numbers from databases, taking advantage of security vulnerability in these web sites.

See: http://www.ynetnews.com/articles/0,7340,L-4171932,00.html

http://www.capitalfm.co.ke/news/2012/01/saudi-hacker-publishes-israeli-credit-card-details-online/

He is using the following mail box:

0xOmar@mail.ru

Please advise.

Thanks,

Michael Haephrati

Israel

 התגובה האוטומטית, לא איחרה לבוא… פתחו לי תלונה מספר:  Ticket#2012010521061577.

—–Original Message—–
From: Support Mail.ru [mailto:support@corp.mail.ru]
Sent: Thursday, January 05, 2012 9:08 PM
To: Michael
Subject: [Ticket#2012010521061577] 0xOmar

*** Это письмо сформировано автоматически, отвечать на него не нужно ***

Ваша заявка «0xOmar» получена.

Дата: 05.01.2012 23:08.

Ей присвоен номер 2012010521061577. Просьба при ответах не изменять тему письма и присвоенный заявке номер.

В ближайшее время мы свяжемся с Вами.

Обработка Вашей заявки может занять до 5 дней.

Спасибо за понимание.

——————————–

С уважением,

Cлужба поддержки почтовой системы Mail.ru

***This message was created automatically by mail-delivery software. Do not reply to this message.***

You request was received at 05.01.2012 23:08.  It was assigned the following ID: «0xOmar»

Please, do not change the subject and your request ID in your replies to this message.

It takes up to 5 days to process your request. We will contact you as soon as possible.

Thank you!

——————————–

Sincerely,

mail support service

Mail.ru

והבוקר הגיעה התשובה – החשבון נסגר!

הודעה על סגירת חשבון המייל של ההאקר הסעודי, בתגובה לפניית מיכאל האפרתי

הודעה על סגירת חשבון המייל של ההאקר הסעודי, בתגובה לפניית מיכאל האפרתי

לא הסתפקתי בכך ועשיתי מה שנקרא “וידוא הריגה”. שלחתי מייל לידידינו עם הצעה לקיים ראיון…

מייל להאקר הסעודי - רק ליתר בטחון

עשיתי וידוא הריגה - רק ליתר בטחון...

ואכן החשבון לא קיים יותר…

התגובה - אין אפשרות להעביר מייל לחשבון זה

התגובה - אין אפשרות להעביר מייל לחשבון זה

לידיעת מי שמעוניין לפתוח חשבון מייל בMail.ru, זה דף הרישום. ברם למי שעשוי לחשוב (כמוני) שעכשיו, כשהכתובת התפנתה, למה לא לתפוס עליה בעלות, אענה שמאחר והחשבון נחסם, לא ניתן לפתוח כתובת מייל בשם זה. ניסיתי…

אם עומר לא יכול לקבל את הכתובת הזו, אף אחד לא יכול...

אם עומר לא יכול לקבל את הכתובת הזו, אף אחד לא יכול...

כפי שאתם רואים, הופיעה רשימה של שמות חליפיים.

אם בכל זאת ירצה עומר להמשיך להשתמש בשירותי המייל של הספק הרוסי Mail.ru, מן הסתם תופענה לו רשימת השמות שהופיע לי כשניסיתי, ואולי כדאי לשים עין על רשימה זו למקרה שהוא יבחר באחד השְמות בפעם הבאה שיעשה שָמות…

אני לא משלה את עצמי… בזמן שכתבתי מאמר זה הוא יכל להספיק לפתוח תיבה חדשה, ומן הסתם גם עשה זאת כשגילה שהמייל שלו חתום, ועם זאת, נקודת המוצא שלי הייתה אותם ראיונות שהוא העניק באמצעות המייל, לאחר שפרסם כתובת זו לצד הצהרותיו. אין זה דבר שבשגרה שכלי תקשורת מקיימים ראיון במדיום זה, משום שקשה לאמת את זהות המרואיין. מכאן שאם עכשיו יפתח כתובת חדשה,  יהיה לו קשה יותר לטעון שזה באמת הוא (כל אחד יכול לפתוח כתובת בשם 0xOmar@gmail.com וכד’) ולקבל במה להפצת המסרים שלו ומידע כזה או אחר.

מיכאל האפרתי

haephrati@gmail.com