Wednesday, June 1, 2016

Projects and articles

Mini CV 
Project and articles - mixing of Hebrew and English
Feel free to contact me for a job,projects and challenges 

My art Blog : www.hacktevision.blogspot.com
(about art and lights hacking)
My personal website: www.amitaydan.com
Twitter: https://twitter.com/popshark1
Linkdein: https://www.linkedin.com/in/amitay-dan-a63647aa

If you have an interesting job offer or request for service/consulting/product needs ,feel free to contact me.



מגזין Digital Whisper

הבנקאי הטלפוני- כבר לא כל כך בטוח...
-חדירה לחשבונות בנק דרך הטלפון-

http://www.digitalwhisper.co.il/0x3E

כשלים בתהליכי הטמעת מוצרים טכנולוגיים

http://www.digitalwhisper.co.il/issue26


שימוש במזהה חד חד ערכי לאיתור מאגרי מידע פרוצים

http://www.digitalwhisper.co.il/issue29


מתקפות מבוססות The Text Warzone - SMS

http://www.digitalwhisper.co.il/issue30


זיהוי אנשים ומטופלים על פי מבנה כף יד ורנטגן

http://www.digitalwhisper.co.il/issue35

 התנגשויות בין חוקים, תקנות, פקודות ומידע אישי

 http://www.digitalwhisper.co.il/issue38


תקיפת בתי חולים על ידי מטופלים









http://www.digitalwhisper.co.il/issue44

פרצות בשערים חשמליים

http://www.haaretz.co.il/captain/net/1.2193204

http://www.israeldefense.co.il/?CategoryID=760&ArticleID=5519

פרצת אבטחה באפליקציית פנגו - (שרותי חניה) מסע ממספר טלפון ללוחית זיהוי

 http://www.mako.co.il/news-money/tech/Article-97c17b6af5da241004.htm

http://popshark11.blogspot.co.il/2013/12/blog-post.html

פרצת אבטחה בחברת אורנג - From MSISDN user-agent of the phone

 http://popshark11.blogspot.co.il/2014/03/msisdn-to-user-agent-or-how-i-had.html

http://www.haaretz.com/news/1.584241#

http://www.haaretz.co.il/captain/gadget/.premium-1.2289303

פרצת אבטחה בחברת אינטרנט רימון

http://www.haaretz.co.il/captain/net/1.2400447

מאמרים נוספים:


 GeekTime
 פרצה חוקית מאפשרת לגלות ברשת מהי העמדה הפוליטית של הסובבים אתכם

http://www.newsgeek.co.il/elections-and-the-internet

Israel Defense Tech
סימון מטרות סלולריות

http://tech.israeldefense.co.il/?q=node/154

פעילות פרלמנטרית

הזכות לפרטיות בעידן הטכנולוגי - לציון יום זכויות האדם הבינלאומי
התרעה והמלצות בנושא גניבת זהות טלפונית וזיופי שיחות

ENGLISH ARTICLES


Hackin9

Online Banking Security Magazine
 Security Bridge in DTMF

http://hakin9.org/online-banking-security-magazine-12011-2

Hakin9
The Day When Fingerprints Has Rule Out From Being An Evidence

http://hakin9.org/hakin9-062012-biometrics


Geekcon 2012

  Team project
License Plate Generator

http://www.geekcon.org/2012/tiki/tiki-index.php?page=Geekapixel
http://lph.intrpx.com

Walls of fame/awards


Security Researcher Acknowledgments for Microsoft Online Services

http://technet.microsoft.com/en-us/security/cc308575

Eventbrite Security Wall Of Fame 

https://www.eventbrite.com/walloffame

Zendesk Contributors and acknowledgement list


Media

 English


http://www.haaretz.com/news/1.584241#


 http://www.vosizneias.com/160935/2014/04/07/jerusalem-it-security-expert-finds-loophole-that-allows-scofflaw-haredi-smartphone-users-to-be-detected/

 http://matzav.com/users-of-non-kosher-phones-revealed-through-security-loophole

 http://www.jewishhigh.com/view/129360.html

 http://www.i24news.tv/fr/actu/technologie/140407-waze-propose-de-localiser-les-bains-juifs-rituels

 Hebrew

http://www.haaretz.co.il/captain/gadget/.premium-1.2289303

 http://www.kikarhashabat.co.il/%D7%90%D7%95%D7%A8%D7%A0%D7%92-%D7%90%D7%A4%D7%A9%D7%A8%D7%94-%D7%9C%D7%92%D7%9C%D7%95%D7%AA-%D7%9E%D7%99-%D7%9E%D7%97%D7%96%D7%99%D7%A7-%D7%90%D7%99%D7%99.html

 http://www.ch10.co.il/%D7%98%D7%90%D7%A6/%D7%A1%D7%9C%D7%95%D7%9C%D7%90%D7%A8%D7%99/%D7%9B%D7%9A-%D7%99%D7%9B%D7%9C%D7%95-%D7%9C%D7%97%D7%A9%D7%95%D7%A3-%D7%97%D7%A8%D7%93%D7%99%D7%9D-%D7%A9%D7%94%D7%A9%D7%AA%D7%9E%D7%A9%D7%95-%D7%91%D7%9E%D7%9B%D7%A9%D7%99%D7%A8%D7%99%D7%9D-%D7%9C/?ModPagespeed=noscript

http://www.bhol.co.il/Article.aspx?id=66828&cat=34

Sunday, January 17, 2016

Schooly exposed in Amazon AWS

Today, Haaretz newspaper published my study, about Schooly, a platform, which enable schools to have online system, to support verity of activities related to the schools needs

 There was a huge exposure, included very sensitive information of kids
 

It's all started from a research that's me and Samuel Crdillo were doing, about Amazon AWS, and later a tool has been created which called "Bucket-Hunter"





Before publishing, out work, I was thinking how can I limit the impact on Israeli users

So I went to Google, and made some Google Dorks (strings, which brings you sensitive results).


As more as I checked, Schooly were the main results, all over Google, this while checking for Hebrew words, like ID + s3.amazonaws.com 

The problem went far away, since it was not only Google exposure, but the main bucket were open to anyone






Just before speaking with Schooly, they fixed the ability to see the bucket list. Yet, downloading the files were possible even after few month

In the situation when young kids are being exposed, the government should open protection program.







The problem were in both side, Schooly as well as the schools who publish sensitive information of kids (six years old is too sensitive) 

The files which exposed in the bucket were under schooly care, yet if a school is published something it's different story.

It's time for the ministry of education, to make a change - since this is a big failure of 100,000, kids which have a potential identity and physical reaction to the exposure.



Wednesday, December 23, 2015

מדינת ישראל נגד ניר עזרא - השלכות פסיקת בית המשפט העליון על פעילות מנועי חיפוש חוקרים ורובוטים אגרסיביים רע"פ 8617/14 רע"פ 8464/14

רובוט חיפוש עבריין מחשב
מאת אמיתי דן popshark1@


כל מידע "הנכנס" למחשב – בין שנוצר על-ידי מחשב אחר ובין שנוצר כתוצאה מפעילות המשתמש במחשב מקים את הדרישה ההתנהגותית בעבירה

במהלך יום שלישי האחרון (‏ג' בטבת התשע"ו (‏15.12.2015), בית המשפט העליון עסק באופן תקדימי בערעור משפטי בנושא חדירה לחומר מחשב, מטרת מאמר זה הנה להסביר מדוע החברות שמפעילות מנועי חיפוש אוטומטיים וסורקים מסוגים שונים, הופכות עכשיו לעברייניות בכל הקשור לפעילותן בתחומי השיפוט בישראל, בדיוק כמונו חוקרי אבטחת המידע שכעת לא נמהר לדווח על פרצות שמסכנות את האזרחים.

אין סיבה לרובוט יהיה מותר משהו שלי כחוקר אסור, וזה מה שבית המשפט בעצם קבע בלי לשים לב.  הוא גם סייג ואמר על הדרך שלכבות מזגנים ומוצרי חשמל בעלי מחשב, זה בסדר וזוטי דברים ושכח שכאלא יש גם בבתים חכמים, אבל אסור לפרוץ למטוסים.

סעיף 4 לחוק המחשבים:
"החודר שלא כדין לחומר מחשב הנמצא במחשב, דינו – מאסר שלוש שנים; לעניין זה, "חדירה לחומר מחשב" – חדירה באמצעות התקשרות או התחברות עם מחשב, או על ידי הפעלתו, אך למעט חדירה לחומר מחשב שהיא האזנה לפי חוק האזנת סתר, תשל"ט-1979".


פסק הדין מרתק ומחכים, מביא הקשרים מהמשפט העברי (שרון אהרוני-גולדנברג "האקר כהלכה? חדירה למחשב בראי המשפט העברי" מאזני משפט ח' 237 (תשע"ג)) אבל לדעתי טעו שם, בצורה שתפגע בעתיד עולם אבטחת המידע בישראל, בין היתר נפגעים שם מנועי חיפוש.

מאחר שהנושא כבר סוקר בעיתון הארץ, רוטר פורטל Law.co.il ואתר החדשות News1, אני ממליץ להתחיל שם ולחזור לפה אחרי שקראתם את ההתייחסויות עד כה, ובעדיפות לקריאה מקדימה של פסק הדין.

עיקר הטעות למיטב הבנתי היא, שבית המשפט החליט לפרש את המונח חדירה לחומר מחשב באופן רחב, וללא חובה בעקיפת חסימה בדרך ליעד, ז"א לא משנה איך נכנסת כל עוד אין לך אישור אתה עבריין, גם אם נעזרת במחשב אדם או מכונה. הוא הוסיף ואמר, שאם תהיה עקיפה של מחסום בדרך, העונש יהיה חמור יותר. לכן, נוצר מצב שבו קל מאוד לגלוש למקומות בעייתיים כנגד הוראות פסק הדין.

י. "אם כן כיצד מפרשים "חדירה" למחשב? ניתן לפרש "חדירה" במובן של השגת שליטה; קרי, כל פעולה של שליטה במחשב והפעלתו מקיימת את מונח החדירה. פרשנות חלופית – "מילולית" – מרחיבה אף יותר. לפי פרשנות זו, כל ממשק בין מחשבים (דוגמת שליחת דוא"ל) מקיים את דרישת החדירה, שכן המחשב השולח מחדיר מידע למחשב המקבל. כאמור, נראה כי דעת הרוב בספרות תומכת בגישה זו."
(המשנה לנשיאה א. רובינשטיין)


טו. "סקרנו את עמדת המלומדים ואת עמדת המשפט המשוה ואף עמדנו בקצרה על יחסו של המשפט העברי לסוגיה; ועתה – להכרעה לענייננו. דומני שיש לקבל את הדעה הרווחת בקרב המלומדים, לפיה יש לפרש את המונח "חדירה" פרשנות מרחיבה. פרשנות נאמנה לתכלית החוק, ובמיוחד במבט צופה פני עתיד, מחייבת הגדרה כללית ל"חדירה", כך שכל מידע "הנכנס" למחשב – בין שנוצר על-ידי מחשב אחר ובין שנוצר כתוצאה מפעילות המשתמש במחשב – מקים את הדרישה ההתנהגותית בעבירה. דומה שהדבר תואם גם את השכל הישר, המבקש לטעמי לצמצם "דרכי מילוט". אם נעניק למונח "חדירה" פרשנות הקשורה לטכנולוגיה ספציפית שהנמצאת היום לנגד עינינו, ניאלץ להשתתף בעל כורחנו במשחק מתמיד של "חתול ועכבר", וכידוע הטכנולוגיה דהאידנא בטבעה מהירה עשרות מונים מן החוק. באשר לפרשנות המונח "שלא כדין" דומה, כי הפרשנות הראויה למונח היא שימוש במחשב בהיעדר הסכמת בעליו. ודוק, עקיפת מכשול טכנולוגי בהחלט עשויה להיות בעלת משמעות לעניין קיומה של הסכמה לשימוש במחשב.
(המשנה לנשיאה א. רובינשטיין)


כמו שאתם רואים, בית המשפט פסק שכל מידע המגיע למחשב כלשהו, בין אם מחשב יצר אותו (כולל תוכנה , א"ד), ובין אם נוצר כתוצאה של המשתמש (ז"א בן אדם , א"ד) יוצר פעולה בלתי חוקית, כל עוד לא הייתה הסכמה של הבעלים. למיטב הבנתי ובעקבות מחקר שמתנהל על ידי בתקופה האחרונה,הפרשנות הנרחבת של בית המשפט העליון,גורמת עכשיו לכך לבעיות שלא נצפו על ידו.

בית המשפט בפסיקתו, גורם לכך שלא רק חוקרי אבטחה, חוקרים אקדמיים או גולשים, גם מנועי החיפוש  שבהם רובינו משתמשים ביום יום נכנסים כרגע תחת החוק, וכל שנותר הוא להוכיח שמנוע חיפוש כלשהו אגר נתונים בתאריך כלשהו באופן שיהווה חדירה ללא הסכמה למערכת כלשהי או למאגר נתונים אחר, וזאת בדרך לתביעה משפטית נגד המפעילה שלו הפועלים בשטח ווירטואלי או פיזי, הכפוף לחוקי מדינת ישראל.

זה לא משנה יותר אם הגדרתי לרובוטי החיפוש מה לעשות, כל עוד לא אישרתי להם להיכנס הם עבריינים עכשיו וזה שהשארתי את המחשב פתוח איננו מתיר להם להיכנס.

"טו. איני רואה סיבה מדוע יגן החוק על ראובן, שסיסמה נדרשת לשם שימוש במחשבו, אך לא על שמעון אשר לא השכיל להתקין במחשבו הגנה מסוג זה. בית ללא מנעול אינו הפקר – וכך הדין גם במחשב; והדברים נכונים במיוחד נוכח תכלית החוק (ראו פסקה י"א מעלה). מובן כי מקרים שבהם נעשה הדבר באופן תמים ללא כוונה פלילית, כפי שיתכן שיארע בסביבות עבודה, לא ייכללו בגדר האמור, בראש וראשונה כיון שבעל המחשב ש"נחדר" לא יראה זאת כחדירה שלא כדין ולא יתלונן – ונשוב לכך."

ישנם כיום מנועי חיפוש רבים שסורקים את רשת האינטרנט, החל מאתרי אינטרנט ועד לגישה למערכות בקרה רגישות, או למזגנים ביתיים. גם מנועי חיפוש רגילים (Yahoo,Bing,Google,Yandex) סורקים את הרשת ולא פעם מוצאים מוצרים ואתרים שונים שמחוברים אליה, אשר גישה אליהם הפכה להיות כיום בלתי חוקית מאחר שבעליהם לא אישר גישה אליהם, או שפשוט לא חסם את הבקר לכניסה מבחוץ בעזרת סיסמה.

במקביל, מפותחים גם מנועי חיפוש אחרים שמיועדים לחיפוש של מוצרים רגישים, כמו משאבות ראוטרים, בקרים תעשייתיים, ממשקי שליטה ובקרה ועוד. הידוע בהם נקרא Shodan אבל יש לו מתחרה סינית בשם ZoomEye. חוקרי אבטחה והאקרים, או גורמים אחרים יכולים בעזרתם של מנועים אלו להתחבר לאותם מכשירים שמופו על ידי המערכת, שאף העתיקה מהם נתונים.

לאחרונה פרסמתי מאמר שסקר פיתוחים אקדמיים, בעולם מנועי החיפוש. מאמר זה הראה כיצד שתי אוניברסיטאות יצרו בחודשיים האחרונים (University of Michigan and Northeastern University-China) מנועי חיפוש מתחרים, ששניהם מיועדים לאיתור חולשות אבטחה ככה שגם באקדמיה היום ממפים עם מנועי חיפוש מכשירים חשופי רשת, ושואבים מהם מידע מקטלגים ומפרסמים.


"Censys is a search engine that allows computer scientists to ask questions about the devices and networks that compose the Internet. Driven by Internet-wide scanning, Censys lets researchers find specific hosts and create aggregate reports on how devices, websites, and certificates are configured and deployed"

מנוע החיפוש האקדמאי Censys, סורק את רשת האינטרנט, ומאפשר לחוקרים להבין כיצד מכשירים אתרים ותעודות (אבטחה) הוגדרו והותקנו. הבדיקות הללו הינן בדיקות שמתאפשרות עקב סריקה, שכיום מוגדרת כחדירה בלתי חוקית על ידי בית המשפט.



צריך להבין, שהעובדה שתוכנת מחשב היא זו שמבצעת את פעולת החדירה ולא אדם, איננה מסירה אחריות מהשולח (הבעלים שלה).

בנוסף לאמור, להבנתי הייתה כאן טעות שיפוטית נוספת. בית המשפט העליון הבין שמזגן ממחושב המכובה על ידי מישהו אחר, הינו החריג שבו לא יהיה מקום לדון את הפורץ לדין.

שימו לב לניגודיות הבאה,סעיף ו בפסק הדין הנו השלב של ההקדמה לפסק הדין ואיננו מחייב אלא מביא את הדעה האישית, אבל בפסיקה בסעיף י”ז - מכשירים חשמליים כמו מזגן המופעלים דרך מחשב זה משהו שאפשר לכבות לפי התקדים החדש, ובעצם לקבל הגנה אם מכבים אותו, והדבר מובא באופן חד משמעי.

ו. "פיתוחים טכנולוגיים דוגמת מחשוב לביש, מכוניות אוטונומיות וארנקים סלולריים – והברכה השורה בצידם – יתקשו מאוד להשתלב במרקם החיים האנושי כל עוד השימוש בהם אינו זוכה להגנה משפטית כדבעי ואין צורך להכביר מלים; לשון אחר, לפני שהמכונית האוטונומית תעלה על הכביש, יהיה עלינו לאסדר בצורה טובה יותר את הטיפול בפצחנים המסוגלים להשתלט עליה בלחיצת כפתור, במישור הטכנולוגי וגם במישור המשפטי. הוא הדין לארנק הנייד, והדמיון עשוי להפליג, אך ככל שיפליג – לא יפליג דיו."
 

יז. בתרחיש השביעי אדם מכבה מכשיר חשמלי המופעל באמצעות מחשב – דוגמת מזגן – ללא רשות.. דבר זה גורם לכך שבתים חכמים רבים המכילים מכשירים חכמים לא יזכו להגנת החוק כנגד האקרים, או מכונות, וזאת בניגוד לחדירה למנוע של מחשב או מכונית אוטונומית.” “ברי, כי אדם המכבה מזגן ללא קבלת רשות, או צעיר ה"מסתנן" לפורום אינטרנטי סגור כעניין היתולי לא יקימו את יסודות העבירה; אך לא כן אדם המשבית את מערכת מיזוג האויר במטוס, או אדם ה"מסתנן" להתכתבויות פנימיות של בכירי משרד הביטחון. אומר שוב, מקרים מסוג זה מחייבים שימוש בשכל ישר תוך תשומת לב לתכלית החוק ולהיגיון שבבסיסו.)

יש הרבה חכמה בכך שרגולוציה פרואקטיבית, יכולה להביא להגנה טובה על מערכות. אבל האבסרוד כאן עצום. בית המשפט לא מבין שחברות שמפקירות ביודעין או במחדל את המשתמשים, כולל חברות המפתחות רכבים אוטנומיים כדבריו, מאכסנות מאגרים רגישים בטחונית לא יוכלו עכשיו לקבל התרעות מקדימות אותן התרעות שבגוף בריא מאפשרות לגוף להבריא את עצמו.

האנליסטית קרן אלעזרי חוקרת רבות את הנושא של ההשלכות החיוביות של ההאקרים על מערכת האינטרנט, והרצאתה Hackers: the Internet's immune system היא בדיוק מה שהיה חסר כאן לבית המשפט, כדי להבין את חומרת המצב שאליו הוא מכניס את מה שמחובר לאינטרנט בישראל.

אנחנו לא נתריע, והשערים ישארו פרוצים, כולל שערי הכניסה לקיבוץ שלכם, או היישוב שבו אתם גרים, אגב הם עדיין פרוצים ברובם, כי לא הקשיבו לאותן התרעות שבית המשפט מנסה לחסום, ולא לקחו אחריות על המצב, שנוצר בכלל משיטה פשוטה ויעילה שאיפשרה לפתוח מכשירים על בסיס שיחה מזוהה, משהו שכשל והתפוגג.

אישית, יצא לי להתריע בין היתר על פרצה שגרמה לאלפי מכוניות במדינת ישראל, המחוברות לרשת האינטרנט, להיחשף החוצה. פסק דין כמו זה יגרום לי לחשוב יותר מפעמיים האם לדווח בכלל, ואני בטוח שכמוני גם רבים אחרים שבאופן קבוע מתריעים על פרצות אבטחה של אתרים שמסכנים משתמשי רשת, או בעלי תשתיות קריטיות.

לדעתי בית המשפט פתח תיבת פנדורה, שתגרום לפחות אבטחה. ולמנועי חיפוש רובוטיים שמאפשרים ביקורת ובדיקה להיות בלתי חוקיים, כולל Google להיות בעתיד הלא רחוק מוגבלים חוקית, ואף נקנסים על הפרת פרטיות מעצם תפקודם בסריקת הרשת, למטרות אבטחה ואיתור מכשירים רגישים חשופי רשת, או סריקה שוטפת המביאה גם מכשירים רגישים.


במחקר האחרון שבו אני עוסק בימים אלו, אני מוכיח כיצד רובוטים ומנועי חיפוש פולשים דיגיטלית לבתים חכמים, שומרים את פרטי הגישה ומאפשרים לצפות במה שהתרחש בבית גם בדיעבד. אני יכול להבין למה הפסיקה גם גאונית, למה היא הלכה שנים קדימה,  אבל איך שאני לא מנתח את המצב מנועי החיפוש שאתם משתמשים בהם, ובכלל פעולות רובוטיות אינן חוקיות יותר לפחות עד להודעה חדשה.

אם אתם רוצים להנות קצת, ולקבל רקע נוסף אני ממליץ לצפות בסרט הבא, העוסק ברובוט פושע




מיפוי רובוטי של דפים:







אמיתי דן הנו חוקר אבטחת מידע, הנוהג להתריע על פרצות אבטחה. בעברו פעל בין היתר במסגרת מחקר רב קבוצתי באוניברסיטת תל אביב,  בנושא פרצות אבטחה בתשתיות קריטיות מחקר זה הוזמן על ידי משרד המדע.