יום רביעי, 5 בספטמבר 2018

פרוייקט מיפוי מרכזיות שמזהות לקוחות לפי Caller ID

לפני מספר שנים עסקתי רבות בפרצות הנובעות מהטמעה של זיהוי לקוחות ומשתמשים בעזרת Caller ID, ובפשטות השיחה המזוהה שלהם.
המחקרים כללו החל מפרצות בשערים חשמליים ועד מערכות פיננסיות ואחרות.
תוקפים פוטנציאליים יכולים לממש בקלות שינוי שיחה מזוהה, ולכן מי שמטמיע שיטות הזדהות שמבוססות שיחה מזוהה פוגע בלקוחות והמשתמשים שלו.
לאחרונה נתקלתי בכמה מקרים דומים, והבנתי שכדאי להשפיע בנושא רצוי לעשות משהו רוחבי ולא להילחם בטחנות רוח ובאופן נקודתי.
מטרת פרוייקט זה היא לבנות מסמך שיתופי, שבו מי שירצה יוכל לדווח ולהזין פרטי חברות מתקנים ומקומות שבהם מתעקשים לזהות עדיין את המשתמשים לפי מספר טלפון בלבד, וזאת בניגוד להוראות הרשות להגנת הפרטיות.

המטרה היא ליצור לחץ חיובי גם על מטמיעי המערכת וגם על רגולטורים כמו משרד התקשורות, שיכול לבצע צעדים אופורטיביים בכדי להילחם ביכולת לשנות שיחה מזוהה.

בניגוד למדינות כמו ארצות הברית, כאן במדינת ישראל חסרה חקיקה ספציפית האוסרת משפטית שינוי שיחה מזוהה או מזהה של הודעות SMS, ובפועל אין פיקוח בנושא.

במצב שבו ניתן לשנות בקלות מספר טלפון, ההתעקשות של ספקי שירותים רבים להמשיך לזהות את הלקוחות והמשתמשים בעזרת המספר המזוהה שמתקבל בזמן שיחה נכנסת, גורם לכך שאבטחת מערכות העובדות במשותף עם מרכזיות טלפוניות גרוע ולקוי.

אתם מוזמנים להשתתף ולתרום לפרוייקט מידע רלוונטי באופן אנונימי בעזרת הזנת פרטים בטופס הבא:




יום שבת, 18 באוגוסט 2018

מלחמת פרופגנדה ב IMDB


מכירים את IMDB?

עד כמה האתר משמש לכם כמקור מהימן לדירוג סרטים לפני שאתם בוחרים סרט?


לאחרונה יצא לאור סרט דוקומנטרי פרו רוסי בשם "A Sniper's Wars" המתעד צלף סרבי שהתנדב לקרבות במזרח אוקראינה.


https://m.imdb.com/title/tt7974772


מיד לאחר הפרסום, הסרט קיבל ביקורת שלילית של אלפי פרופילים מזוייפים, והראה כיצד הקרבות הפיזיים באוקראינה פולשים למרחב הקיברנטי והופכים לקרב תעמולה שבו הצד הפרו רוסי מקבל כיסוי חיובי בצורת סרט דוקו, ומאידך לאחר הפרסום של הסרט הצד השני נלחם בו, בצורה של הורדת הדירוג של הסרט על ידי מה שנראה כצבא של בוטים.


אני לא חקרתי עד כמה סרטים פוליטיים עוברים מלחמות דירוג של בוטים, אבל ברור לי שהשפעה על הדירוג מהווה קלף הסברתי שנראה יותר צדדים לעימותים ומחלוקות שיבחרו להשתמש בו, וזאת במקביל לעימותים הפיזיים או למניפולציות ברשתות חברתיות.


למרות שהנושא כבר סוקר בעבר, מסתבר שב IMDB לא השכילו להטמיע מערכת יעילה להתמודדות עם בוטים וביקורות מזויפות.

מאחר ש IMDB הינה חברה בבעלות Amazon, צריך לשאול את החברה כיצד היא מתמודדות עם הטיה פוליטית (ומסחרית) של ביקורות על סרטים, ולהבין האם היא אחראית להשפעה הפוליטית של הפלטפורמה שבבעלותה.

זה מאוד רלוונטי, כי אנשים רואים בביקורות שם לגיטימיות, בעוד שבפועל מדובר לא פעם בביקורות שנשלטות על ידי תוכנות, או גורמים מסחריים שרוצים לקדם צפיה בסרטים חדשים גם אם הם גרועים במיוחד.

במקרה של הסרט הספציפי, הבוטים הוגדרו כגברים המתגוררים מחוץ לארצות הברית.

https://www.imdb.com/title/tt7974772/reviews?ref_=tt_urv

לאחר בדיקה ידנית של מדרגים, התברר שרובם נפתחו באותו יום שבו דירגו והם נתנו ביקורות רק לסרט המדובר.


mailzfork
zellarablack
andrewsamchenko
revolutioner-00912
fourty-9
maksim-cypurdeev
royyuri
dimanowolf
sergiy-fakas
volodymyrivanov
mellonn
oleksiitroian
game-exe
glebbabenko

במהלך הכתיבה מצאתי חומר נוסף, ככה שהתברר שלפחות במקרה הזה היו גורמים פרו רוסים ששמו לב למניפולציה הספציפית קצת לפני שאני איתרתי אותה.


https://ru.espreso.tv/news/2018/07/30/novyy_fleshmob_ukrayncy_obrushyly_reytyng_fylma_o_serbskom_naemnyke_quotdnrquot

https://getsatisfaction.com/imdb/topics/fake-reviews-come-on-do-something-about-it?topic-reply-list%5Bsettings%5D%5Bfilter_by%5D=all&topic-reply-list%5Bsettings%5D%5Breply_id%5D=19670429#reply_19670429

https://getsatisfaction.com/imdb/topics/the-film-a-snipers-war-is-about-a-russian-murderer-who-killed-in-the-occupied-territory-of-ukraine-how-did-s565qucas124a





יום חמישי, 9 בנובמבר 2017

An anti theft system allowing attackers to kill remotely the engine in electric scooters made by INOKIM/MyWay, affected model - model Quick 3.


Claim: An anti theft system allowing attackers to kill remotely the engine in electric scooters made by INOKIM/MyWay, affected model - model Quick 3.




MYWAY/INOKIM created new model - Quick 3, This model has new mobile phone app.
The app has anti theft system, which allows the owners to remotely deactivate the engine, in any situation (on move or during parking), this by using Bluetooth connection to BT module in the electric scooter, It’s a feature.

Malicious attacker can use this Anti-Theft  feature, in order to deploy easy attack, and shot down the engine of the scooter, even while the driver is using it in high speed
Potential causalities can be injury or death.

The serial number of the scooter (VIN)  just like cars, is shown on the scooter with no physical protection, and that basically all you need to know in order to deploy an easy attack..
The anti thief option in the app, can be trigger any time as long as you have the VIN (Inokim serial number).

Risk: loosing control, Death, injury, road accidents etc.





Technical info:
Attacker can use at least two options in order to deploy attack:

1.VIN and Bluetooth
The VIN, a serial number of the scooter which supposed to be secret due to the potential uses, is shown on the shooter like many other cars, so attacker can take a picture of the scooter frame, or just look at it, and  then he can deploy attack with temporary username in the app, and verification by VINs of any scooter out there.





2.Remote control of victim's mobile phones, can allow attacker to control the phone of the owner/target remotely and then deploy an attack even from another country.

Example: Mircast, Trojan horse, spy software with full control of the phone, team-viewer, VNC.

Status:
Company didn't answer to emails sent by
29.07.2017
07.10.2017
National Cyber Security Authority in Israel, got notified and, no update has been given regards proactive changes in the company.

Since the feature is made  by design, and supposed to help preventing people from stealing the scooters, it's logic security problem, and not typical mistake, they knew about it.

P.S.
1.The way I got into the VIN problem, is by informers who shared with me the fear of using those scooters, included of live demo they made on their device, of how the scooter can be shot down remotely, in high speed.

The idea of using Mircast or Trojan horse and remote controlling the owner app is mine.

Since at least 3 other people knew about the problem, before it came to my attention, I decided that I must share it now.

Moreover, my research show that connected bikes and connected scooters are becoming very popular, so the community attention must be higher, into engines with remote killing switch..

I believe that international ISO, should make new working groups regards those small vehicles, protecting cars only can’t cover the immediate situation in the streets, we need to make cyber regulation for the new era of mini connected electric vehicles.

You are welcome to contact me for any request

Sources:


Video of the ECU and BT controller.

Android App


IOS app

User Guide Manual

Amitay Dan (popshark1)