הרצאה של איתי מאור ב Think-Next Academy על איך להיות פושע רשת בשישה שעורים קלים

18 באוקטובר 2012

אין תגובות

איתי מאור חוקר בחברת RSA Security הבטיח וקיים. בשישה צעדים קלים, אל מול עיני כל מי שהגיע להרצאה שנערכה ב Think-Next Academy, הדגים הסביר וביצע, הקמה של רשת של סוסים טרויאניים, ועוד נשאר לו זמן לתת לנו סיפורים ודוגמאות מהשטח.

אז להלן על הלוח תרשים ארכיטקטוני מלא של המערכת, וששת הצעדים להקמה. חדי העיין יבחינו שיש בסוף צעד שביעי, של איך עושים כסף מהמערכת שהקמת. לא יאומן כמה שזה פשוט, הבעיה הכי קשה למי שמתחיל עם זה תהיה להכנס לרשת האינטרנט המחתרתית, וזה באמת לא מי יודע מה קשה. לאחר מכן אתה יכול לקבל הדרכה (בתשלום סמלי), להוריד גירסאות התנסות של סוסים טרויאניים מדגמים שונים, ולקנות דגמים שונים שמחירם יכול לנוע מכמה עשרות דולרים לכלים פשוטים, עד אלפי דולרים לכלים סופר מתוחכמים.

לחלק מהכלים יש תשתית API למפתחים (נא לא לצחוק, זו הזדמנות עיסקית), המאפשרים לך להוסיף למוצר Add Ins למשימות מיוחדות, ואפילו לאחר הפיתוח להציע אותו באתר היצרן למכירה למי שמעוניין. יש לך פער ידע ? יש לוחות מודעות ופורומים שבהם תוכל לקבל עזרה. אתה רוצה הדרכה אישית ? יש מי שיתן לך אותה תמורת סכומים כספיים זניחים. אם אתה בכלל לא טכנולוג, אתה יכול לבקש שמישהו אחר יעשה לך ב OutSourcing את כל אחד מהשלבים בתהליך. לאחר שהקמת את הרשת שלך, ויש לך מידע למכירה, אתה יכול להציע אותו באחד הפורומים או לוחות המודעות לכל המרבה במחיר. רצוי שלא תפתח ציפיות בקטע הזה, עשרת אלפים כרטיסי אשראי תקפים, עם הקוד הסודי מאחורה, ופרטי הבעלים כולל התשובות לשאלות האבטחה, יעלו לך בקושי מאה דולר או משהו כזה.

חוסר המודעות לנושאי אבטחה תמיד מדהים אותי מחדש כאשר אני מסתובב בשטח. אני לא עוסק באבטחה באופן פעיל, ברוב המקרים שאני מטפל בהם, ההאקר שגרם את הנזק היה המפתח או הארכיטקט. אבל מצד שני, היו לי כמה מקרים שהעקבות הובילו להתערבות חיצונית, כך שאני מקפיד להישאר מעודכן. אבל למה צריך כלים מתוחכמים, אם הסיסמא שלך היא 1234# ?

איתי הציג תסריט שבו הסוס הטרויאני מאפשר לך לבצע Remote Desktop על הקורבן (יעני VPN), ובזמן אמת לבצע HTML Injection, כך שבזמן שאתה מקבל את מסך הבנק שלך כדי לשים שם משתמש וסיסמא, אתה תקבל על המסך המקורי של הבנק גם שאלות נוספות, כמו מה מספר כרטיס האשראי שלך, ומה הספרות הסודיות מאחורה (כן כן, על ה SSL הירוק עם הציור של המפתח) ולאחר ה Login החוקי שלך, ה VPN מאפשר לתוקף לפתוח חלון, שבו הוא יבצע כל מיני העברות בחשבון שלך. ואם ההעברה היא של סכום גבוה, והבנק מבקש ממך סיסמא שנשלחת למשל לטלפון הסלולארי שלך (יעני Two Factor Authentication), הוא יירט אותה, ויאשר את ההעברה, מבלי שאתה בכלל יודע שהפעולה התבצעה. כן, בסוף תגלה באיזה שהוא שלב שנעלם לך כל הכסף מהחשבון, אבל זה יהיה מאוחר מדי בשביל לעשות משהו.

תמיד מטריד אותי שלאף אחד לא אכפת מפרטיות, לאנשים אין מושג כמה מהמידע שלהם חשוף, וכמה קל לאסוף מהם מידע חסוי. לא צריך להיות מתוחכמים כמו בסרטון הזה, שגם אותו הציג איתי, כדי לדעת עליך יותר ממה שבריא לך.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *