יום שני, 19 באוגוסט 2019

Exposure of TensorBoard interfaces in Fofa.so









Google AI family has an open source platform called Tensorflow, as part of Tensorflow there is a tool called TensorBoard.

"TensorFlow is an end-to-end open source platform for machine learning. It has a comprehensive, flexible ecosystem of tools, libraries and community resources that lets researchers push the state-of-the-art in ML and developers easily build and deploy ML powered applications"

This tool can be exposed to IoT search engines like Shodan, Fofa, Censys etc, as long as the users didn't properly secured the service.

I decided to use Fofa search engine for my proof of concept.

Attacker can search for TensorBoard in Fofa (similar to Shodan)
2.Type in search bar: "tensorflow" && title=="TensorBoard"

Most of the results I saw were not too sensitive 

Timeline:

17 Apr 2019
First email to Google security.
After responding I gave them proper deadline.

14.05.2019
"The team is working on changing the behaviour in the next major release of TensorFlow."

16.05.2019
I frankly don't know their release plan :( They are now in Alpha if that helps: https://www.tensorflow.org/alpha

03.07.2019
you're more than welcome to publish, and we're happy to have a look too! :D

04.07.2019
It's unclear from the team, they've been informed you want to publish and to be honest, they don't seem overly concerned at the prospect of disclosure. I've asked them for a rough estimate of time for the release (which might take a couple of days for them to respond), but I'd say use your judgement on the best course of action here with the knowledge that the team says this was a pretty well documented and non-hidden aspect of Tensorboard. 

Sorry, I know that's really non-definitive and we do appreciate the patience and taking into account the fix here.. It's a weird situation, but I'll keep you up to date with anything the product team has to say about it
---==
Now there is TensorFlow 2.0 Beta out there so I decided to publish my findings.















יום שישי, 16 באוגוסט 2019

סיפור על קיוסק העיתונים - פלטפורמה להפצה פיראטית של עיתונים שנכנסה לשימוש במסמך רשמי של וועדת הבחירות לכנסת ה21



תכנת Telegram הפכה בשנים האחרונות לפלטפורמה שגורמים רבים משתמשים בה, בין היתר נעשה בה שימוש בהקשר של טלגראס, ערוצים להפצה של תכנים פוליטיים מסחריים ועוד.
בחודשים האחרונים מסופק בה שירות חדש הצובר פופולריות בשם קיוסק העיתונים @newspaperil – שירות זה משמש להפצת עיתונים ומגזינים פיראטית תוך פגיעה בזכויות יוצרים.
    
מידי יום, מופצים בשירות זה עיתונים שונים ומגזינים אשר נסרקים על ידי גורם אלמוני ומועלים לערוץ באופן דיגיטלי, כך שלמשתמשים נחסך הצורך לרכוש עיתונים ומנויים - דבר המהווה איום על המוצאים לאור.
כיום יש לשירות למעלה מ10,000 משתמשים, והמספר עולה מחודש לחודש.




מאחר שמדובר בשירות שפוגע בכלי התקשורת, אין ממש להיטות לפרסם עליו אייטמים ולכן לא רואים כמעט אזכורים פומביים שלו.

החלטתי היום לבדוק מי כן השתמש בשירות, ולמצוא אזכורים מעניינים שמראים כיצד הפיראטיות של העיתונים באה לידי שימוש, אז פניתי ל .Google

באופן מפתיע הסתבר לי שאחד הגורמים הראשונים בישראל, שהשתמש ופרסם באינטרנט מסמך המכיל תוכן שהופץ פיראטית על ידי קיוסק העיתונים - היה גורם ממשלתי, ועדת הבחירות המרכזית לכנסת ה21 בראשות השופט מלצר.
המסמך שם הינו צילום של עיתון הארץ, אשר הוגש לוועדה כראיה תומכת לצורך שלילת מועמדות לכנסת של ד"ר עופר כסיף ממפלגת חד"ש.

את הבקשה הגישו ח"כ אביגדור ליברמן, ח"כ עודד פורר, סיעת ישראל ביתנו, המסמך הוגש לוועדה כחלק מהבקשה.

לא ברור מי מהמבקשים היה זה ששלח את המסמך, אבל הוא השתמש בעיתון שהופץ בצורה המעודדת הפרת 
זכויות יוצרים, וגרם לפרסום של השירות בתוך מסמך ממשלתי רשמי.












  בחיפוש של הערך בטוויטר, נראה שאנשי תקשורת רבים מודעים לשירות ועושים בו שימוש, החל מרני רהב, יאיר נתניהו (כפי שחשף העיתונאי אמיתי זיו), ועד חדשות 12 וגורמים אחרים.








יום שבת, 9 במרץ 2019

בשם חופש המידע - איך השגתי את מספרי הצל שמסתתרים מאחורי הכוכביות




במשך קרוב לעשור אני עוסק בנושאים שונים הקשורים לפרצות טלפוניה

 אחד מהנושאים שחוזרים על עצמם שוב ושוב עם חוסר ההצלחה שלי לבצע שינוי מערכתי, הם מערכות טלפוניה לזיהוי לקוחות המתקשרים למספר מסויים, ומזוהים לפי  
מספר טלפון המזוהה שאיתו הם הציגו את עצמם

זיהוי שכזה כמזהה יחידני הינו בלתי חוקי, וניתן לעקיפה בקלות בעזרת שינוי שיחה מזוהה, שינוי שניתן לבצע בעזרת אפליקציות ייחודיות או הגדרה פשוטה למי שמתפעל מרכזיות טלפוניה בעלות ספקים זרים.

לא פעם התרעתי על חולשות הקשורות למשפחה זו של חולשות זיהוי לקוחות בממשקים טלפוניים, ובגדול נכשלתי.

רוב האופציות של אזרחים בישראל לבצע שינוי שיחה מזוהה, הינם על ידי שיחה ממערכת הממוקמת במדינות זרות, כאשר מערכות אלו לא תומכות בהתקשרות למספרים מקוצרים בצורת חיוג לכוכבית

לכן לפעמים לתוקף הפוטנציאלי יש בעיה - אין לו את הטלפון האמיתי שמסתתר מאחורי הכוכבית

בקשות חופש מידע הינן דרך אולטימטיבית לפגיעה בפרטיות, ולאיתור פרצות אבטחה - בשם החוק

הן במהותן חיוביות, אבל כמו שכתבתי פה כבר בעבר, ההשלכות שלהן יכולות להיות חסרות תקנה

לפני מספר חודשים החלטתי לחסוך הרבה כאב ראש מחקרי, ולהגיש בקשת חופש מידע בנושא הכוכביות

אני מקווה שהתוצר הזה יגרום הפעם לשינוי מודעות
מדובר על מאגר מידע חופשי, ועל שיטה שלא נועדה לאבטח אלא לקצר את תהליך ההתקשרות של הלקוחות ולפשט אותו.


להלן הדוח שקיבלתי
אם יש לכם מערכת טלפונית, אל תסתתרו מאחורי כוכבית בתואנה שאי אפשר להתקשר לשם באופן מזוייף, זאת אשליה אופטית
אשליה טלפונית שבקשת חופש מידע ממסמסת ביעילות


המאגר הזה מאוד יעיל גם לשימוש רגיל, כמו שיחות טלפון לאנשים ששוהים בחו"ל או מתקשרים ממערכות טלפוניה מבוססות אינטרנט שלא תומכות במספרי כוכבית

 אגב, התברר לי שהיה גורם נוסף שביקש בקשה דומה קצת לפני, ככה שההליך היה יחסית מהיר 

 לדעתי, יש לבצע תיקון לחוק שיגרום לכך שכל  בקשת חופש מידע תעבור סינון של איש אבטחת מידע שהוכשר לכך

בנוסף, יש לבצע מניעה מעקב ואכיפה אחר גורמי 
טרור ופשע שמנצלים בקשות חופש מידע לרעה 


כאן ניתן לראות בקשה שלישית בסגנון זה ומאגר , כללי של בקשות חופש מידע

https://foi.gov.il/he/node/5197