יום שישי, 31 באוקטובר 2014

Google Drive add hidden logs, to spy and track files created in their service


This time I will share with you my finding, regards Google Drive/docs.

Lets start from old news,form a year ago:


NSA can track you with cookies from Google, iOS, Android – and it might be legal
By on December 11, 2013



Generally speaking

Above all,I like Google,I don't like to way they took our privacy.
This story will show you where is the limits,and why tracking files and the people who read them, it's not a smart move in the world where the privacy is waking up.

Google drive act as a cloud service by Google Inc, with abilities to store data,and writing docs it's one of the features the service gives,which is good as long as they tracking you,but don't leave hidden tracking mines in the files.

Here you can see the difference between Google Docs and Google Drive)

The finding

I was reading my CV which in the first time, has been written with Google Drive service, then I saw something really interesting,hyperlinks which were different then the original which was added by me.

I didn't ask Google to track for me my file.

Even after converting the file to PDF ,I had those Google mysterious tracking links.
Checking them out I saw how the redirection is being made:

Example:

This :


Takes you to :



Redirection
Original hyperlink
cookie string





I was getting a cookie as well,in the time when I clicked on the hyperlink and got redirected:



q=http://valleywag.gawker.com/facebook-lets-you-track-friends-precise-location-throug-1564328515
sa=D
sntz=1
usg=8888

Host: www.google.com
User-Agent:
DNT: 1
Cookie:PREF=ID=88:U=88:FF=0:LD=iw:NR=100:TM=111:LM=11:SG=2:S=aaaa; NID=67=888-pldwa-er-88_88-8888; SID=888888888_88888888888888-DKanetR1_8888888888888_8888888_8888-888-88-888_888_88_88; HSID=888; APISID=3T0NSCkPbont-Cks/88-88
Connection: keep-alive

Checking out in cookiepedia, show me this:
http://cookiepedia.co.uk/cookies/APISID



Lets see some videos,to have more proof :







Here is the exported PDF  from the drive:




Now I wanted to know more about Google behaviour, what is the purpose of those links,is someone knew about it or not?.s

Looking for the strings:" "&sa=D&sntz=1&usg=" in Google gave me only 92 normal results.



More digging gave me more explanation.

Conclusion


Google track hyperlinks in Google search, some people think it's related to redirection and nothing more,others saw the attack options,but having this in docs/drive is less known and this should concern not only the owner of the files but the readers of them.

Tracking users files, show us why Google don't see the red line.
Knowing that's your files are being tracked, and sent anonymously to Google,put anyone who gets them under surveillance.

You should think about it,as adding your own hidden tracking script, to spy on someone who gets a file from you.  

Solution

Always check the hyperlink before opening it.
Don't write the file in Drive/Doc
Don't add hyperlinks.

P.S.

I've done confirmation only in Drive,but it seems to be the same in Google docs as well. 
 
-----------------
For more info about Google tracking and it's uses:





יום ראשון, 26 באוקטובר 2014

אז למה צריך האקרים?


בתחילת אוגוסט,אחד מחברי קבוצת דפקון בישראל (dc9723.org) העלה את הפוסט הבא:
----
בן של חבר נהרג בעזה.
הבן השאיר סלולארי עם קוד נעילה, אני עדיין לא יודע איזה טלפון והטלפון עדיין לא אצל המשפחה, אבל שאלו אותי אם אדע לפרוץ את הקוד מבלי למחוק את המידע.
אפשרי בעיקרון, לא?
----
חברי הקבוצה,נרתמו לנושא וניסו לסייע ולעזור לפרוץ את הנעילה.

במקביל בלי לבקש כלום,או לנסות לתעל את זה תקשורתית,חברת סלברייט הסכימה להירתם.
בפועל, לפי מה שהבנתי המשפחה הסתדרה,וגילתה את הסיסמא למכשיר.


ורד שביט בעלת הבלוג אבק דיגיטלי ,העלתה עכשיו ראיון שהיא עשתה עם החברה בעקבות הסיפור.


http://digital-era-death.blogspot.co.il/2014/10/blog-post_26.html


יום שבת, 25 באוקטובר 2014

יום חמישי, 23 באוקטובר 2014

Eventbrite - Security Wall Of Fame

Recently,Evenbrite decided to included me under thier's Wall Of Fame.
I have warned them about my finding.

Very soon I will share more information.


1/4


יום ראשון, 19 באוקטובר 2014

Obama's Credit Card information wasn't exposed during his visit in the restaurant - it was a lie


Showing the world your credit card numbers, it's not a smart move,when you try to avoid identity thief.

Telling the world (or the Americans) that's your credit card have been blocked,and then showing it,make you double naive.

Obama should cancel his card immediately,to avoid identity problem.
Actually,I believe he have no  insurance for any bad used of his card...

"Obama reveals his credit card number as he pays at Texas restaurant"


"President Obama Says Credit Card Was Declined - The New York Times"
 
https://www.youtube.com/watch?v=V1TbyGmVImI

Update:
After double check, and attempt to but the original picture, I can confirm  that's the information of Obama's credit card, are secure.

It's impossible to get the original number. :) 

The original picture can be bought from here.

http://www.gettyimages.com/detail/news-photo/president-barack-obama-holds-up-his-credit-card-as-he-pays-news-photo/451979998?suri=1

http://www.imageforum-diffusion.afp.com
Item ID: Was8818387

"כרטיס האשראי של אובמה נדחה במסעדה בחשד להונאה"

"ביום שישי חתם נשיא ארה"ב על צו נשיאותי המורה על חיזוק האבטחה של כרטיסי האשראי הפדרליים ומערכות תשלומים ממשלתיות"


יום שבת, 11 באוקטובר 2014

פרצת אבטחה במערכת ה 'סוכן החכם' של אחת החברות הגדולות בעולם בתחום של גיוס עובדים


פרצת אבטחה שאיתרתי בחברה שמספקת שירותי גיוס,איפשרה לחדור ל 'סוכן החכם' שמתריע על עבודות פוטנציאליות.

ברשימת הנפגעים היו חברות מוכרות בעולם בתחום הפיננסים,הבנקאות,המסחר הקמעוני,וההייטק.
הפירצה תוקנה ובקרוב יפורסמו פרטים נוספים.

החברה איננה ישראלית.

כל עובד פוטנציאלי שהשתמש במערכת היה בסיכון.
 

Logic hacking and why you should avoid subscribe yourself into mailinglist

introduction

This research began one day,after I realized that's I have had too much spam in my email. So I decided to have some fun,and to find problem with the way of that's those companies  are keeping the privacy of the users,and the interest of their own business.

I decided to find problem in the system,and to make it much more secure. 

Since mailing lists,and marketing are not always equal to spam, there is needs to secure the mailing list database,but security is not always what we  understand in the first time ,its not always about the best firewall/antivirus/detection of APT attack, we need to understand the way of how people dealing with system,emails and how the system should be created. Its about logic security,thinking.

Sharing emails,I mean person to friends mailing lists, is nothing new,and we all have  friends which got this motivation to share with us the last deal they just got by the email. So what the problem? The sender included the password of their account in the body of the email.

Normal email which a person got by is newsletter subscription, has couple of weakness point,based of the interest of the side:

1.The regulation:You have to allow opt-in/opt-out ,which is the abilities to choose to unsubscribe yourself from the mailing-list.

2.The sender:The company behind the campaign want to track the users,they want to know where they are,included geo-location with maps,they want them to share the email with friends,they want them to see the email,even if that's mean to open the email in a different windows with personal address.

3.The receiver:The person who actually subscribe to the himself to the list,want to read it,to share it,to change sometime his information inside,to get update about the conference,or just the best deal.

4.The shipper: Shipping companies, there are the people who make money,totally legal money in the digital era,this by sending digital goods like emails. They want to get more users to theirs client,to have more abilities like adding SMS abilities, the security? well ,security is something which needs to improved.


Next step

Pattern hunting

After understanding a bit more about the situation in the marketing field,I was looking into my emails,as well as another website so I will be able to catch petters from the emails.

Very fast I was realized thats most of companies,who have are specialist in marketing emails/campaigns are exposing the users.

What you should hunt:

1.Forwards to friends.
2.Edit subscription information.
3.Unsubsribe.
4.View in a web page.
5.Campaigns unique token or code.
6.Sender unique token or code.
7.View in web page without SSL to secure the channel.
8.No configuration against scraping/robots.

The story got into really funny point,since even when I saw a try to secure the email of the client,after successful unsubscribe, the email appears with a timestamps.

After I gave a warning to more then five major companies in this field,I've realized that's we are suffering from something more then a weakness point,I was told that's the users are stupid because they are sharing the emails in the web,and more interesting answer.

The brainstorm with couple of them show,thats it's possible to secure but it's really hard to have the all interest join together,since regulator, end user ,client (of the sipper) and the shipper,have different needs,and somehow the privacy is the first to suffer.

Having information about the the things you should get into your email,is the best thing to ask, for a person who want to attack you. 

Currently I'm still waiting for answers related to the issue,but I will publish very soon more updates.

Until then,If you can share your marketing emails/newsletters it will be great.
Your welcome to use one of the following websites as well:

1.http://www.email-gallery.com
2.http://www.retailmail.com
3.https://www.theswizzle.com
4.http://www.retailmail.com
5.http://milled.com


If you have extra time,you better read this:

1.http://www.list-unsubscribe.com/

 


 
  

יום חמישי, 9 באוקטובר 2014

Exposed of logs, related to users who used Conduit service to gets Divx software

English will be follow..
פרטי לוגים של התקנות של תוכנת Divx,שנעשו דרך שירותי Conduit חשופים ברשת למעלה מחצי שנה.

חברת Conduit קיבלה מספר התרעות בנושא,ומאחר שהם היו במיזוג כשאיתרתי את הנתונים,החלטתי להמתין כדי לא לפרסם את הנושא בזמן רגיש עסקית.

בפניה חוזרת לחברה שנעשתה לאחרונה נאמר לי שהנושא לא רלוונטי ,ולכן החלטתי לפרסם את הדברים, לדעתי זה רלוונטי.

מאחר שהחברה סירבה להסיר את הלוגים,ומאחר שהנתונים כבר ישנים יחסית החלטתי לפרסם את הנושא.

הפרטים כוללים:IP,סוג המחשב,מדינה ומספרים פנימיים,לא נחשפו פרטים כמו שמות המשתמשים.

החשיפה איננה קריטית.









Logs of successful installation related to Divx products have been exposed, via Coduit service in cloud server based on amazon.
The exposed logs included,but not limited to IPs.Country of the users.machine type (ex. Mac).

I was in contact with conduit related to this case couple of times,but they choose to avoid changing the status,and kept the data as is.

Since they where in the middle of merging, at the time when I spoke with them in the first time related to this case of Divx,I decided to avoid sharing the finding with the public.


Recently (21 Sep. 2014), I gave them another warning but they said "not relevant,thank you". 

In my opinion,this kind of data can be really useful related to BI (Businesses intelligence) and if someone have a zero-day tool against Divx software.
In any ways,IPs can be tracked and privacy should be kept in better ways.

  

יום רביעי, 1 באוקטובר 2014

POS - Point Of Sale and criminals




תקיפה של קופות רושמות ומערכות סליקה
White paper
By Amitay Dan

הקדמה


לאחרונה אנחנו שומעים על  מקרים רבים של פריצה לקופות רושמות הקרויות גם Point Of Sell.
האקרים שחלקם פועלים כחלק מקבוצות פשע מאורגנות, תוקפים קופות רושמות ומערכות לסליקת אשראי.

מאחר שקל יותר לחדור למערכות המחשוב של הסופר השכונתי,מאשר לבנק, ומכיוון שמחזור המכירות היומי במרכולים הגדולים,או בחנויות ענק,הינו גדול במיוחד, מטרות אלו הינן אטרקטיביות במיוחד.

איסו, מוצלח מביא פרטי אשראי,ולכן גם כמות של 300 לקוחות סולקים ביום,יכולים להביא למכפלת רווח לא רעה בכלל.

רק כדי להבין עד כמה פשוטה הפריצה,תשאלו את עצמכם כמה עמדות מחשב חשופות ראיתם בפעם האחרונה שביקרתם ברשת ידועה לממכר ציוד להרכבה עצמית.


 אם מעניין אותכם לקורא חומר נוסף,כאי לנסות את הספר האלקרוני הבא ולצפות בשקפים של הרצאה בנושא.

מבחינת התמודדות,ישנה צמיחה של פתרונות,כגון פתרון זה, אך מימושי תשלום כמו של Aplle Pay מאיצים את הדרך לעבר מעבר לשיטות תשלום ורטואליות ללא שימוש בכרטיס פלסטיק, ומנגד גורמים לכל הביצים להיערם בסל של חברה גדולה,מה שיגרום להאקרים את השרתים,ולגנבים פשוטים שעד היום הסתפקו בלכייס אותנו,לשדוד מכשיר אלקטרוני לצורך שוד מתוחכם.


תקיפות עמדות POS


פגיעה זו יכולה להתבצע בשלוש דרכים עיקריות:

1.חדירה על ידי תוכנה.
2.חדירה על ידי הטמנה פיזית של מכשיר שמצוטט לנתונים שעוברים בקופה.
3.חדירה למערכות שתומכות בקופה,בשרתים מרוחקים.


מבחינת הגדרה,קופה יכולה להיות עמדה שאתם רגילים לראות במסעדה או בסופר,אך גם מכשיר נייד לסליקה של כרטיס אשראי,כיום קופה הינה גם המצלמה בנייד שלכם שמצלמת את הכרטיס אשראי.


מטרת מסמך זה הינה להעלות רעיונות מוצלחים לדרך שבה התוקפים פועלים,או לדרכים אפשריות שכדאי להיות מודעים אליהן.


תקיפה יצירתית
 
 אם נשים את עצמנו בעמדת התוקף,יעלו די מהר דרכים נוספות מלבד חדירה אקטיבית למקום קיים.

1.עמדות משומשות- באתרים רבים כמו eBay  נמכרות עמדות מכירה משומשות ,לאחר רכישת המערכת,אפשר לבדוק את הכונן הקשיח,לחקור אותו ולנסות לדלות נתונים על עסקאות שבוצעו בו בעבר.


2.דרך נוספת היא לשכור קופות או מכשירי סליקה ניידים או נייחים ולשתול בתוכם התקני ציטוט יחודיים שנמכרים בדיוק למטרה זו.  לאחר מכן השוכר  הבא ישתמש במוצר הנגוע וכל הפרטים שיעברו בו יחשפו לתוקף.
3.אופציה אחרת ,ומעניינת לא פחות הינה למכור מכשירים משומשים עם התקני ציתות  (שוב eBay) וכך להגיע ללקוחות בטוחים בצורה מתוחכמת.

4.חדירה לבית עסק והטמנה של מכשיר ציטוט\תוכנה במכשיר הנגועים (די נפוץ כיום).

5.שימוש בהרשאות של אפליקציות למצלמה כדי לאתר צילום של כרטיס אשראי,לצורך חיוב (PayPal


עמדות קיוסק


ממקום קצת שונה כדאי להזכיר עמדות קיוסק שתפקידן לאפשר שירותים לאנשים מזדמנים.
עמדות אלו לרוב יותקנו בבתי מלון לצורך גלישה באינטרנט,או באתרים אחרים לצורך מכירת כרטיסים
(תחבורה ציבורית,בתי קולנוע,עמדות מכירה לתיירים)

Personal security exposure of passengers in the Gett/Uber

Companies and ordinary people are using everyday Caller ID as a way to identified incoming calls, its easy and help us to communicate. Spoo...