יום שני, 19 באוגוסט 2019

Exposure of TensorBoard interfaces in Fofa.so









Google AI family has an open source platform called Tensorflow, as part of Tensorflow there is a tool called TensorBoard.

"TensorFlow is an end-to-end open source platform for machine learning. It has a comprehensive, flexible ecosystem of tools, libraries and community resources that lets researchers push the state-of-the-art in ML and developers easily build and deploy ML powered applications"

This tool can be exposed to IoT search engines like Shodan, Fofa, Censys etc, as long as the users didn't properly secured the service.

I decided to use Fofa search engine for my proof of concept.

Attacker can search for TensorBoard in Fofa (similar to Shodan)
2.Type in search bar: "tensorflow" && title=="TensorBoard"

Most of the results I saw were not too sensitive 

Timeline:

17 Apr 2019
First email to Google security.
After responding I gave them proper deadline.

14.05.2019
"The team is working on changing the behaviour in the next major release of TensorFlow."

16.05.2019
I frankly don't know their release plan :( They are now in Alpha if that helps: https://www.tensorflow.org/alpha

03.07.2019
you're more than welcome to publish, and we're happy to have a look too! :D

04.07.2019
It's unclear from the team, they've been informed you want to publish and to be honest, they don't seem overly concerned at the prospect of disclosure. I've asked them for a rough estimate of time for the release (which might take a couple of days for them to respond), but I'd say use your judgement on the best course of action here with the knowledge that the team says this was a pretty well documented and non-hidden aspect of Tensorboard. 

Sorry, I know that's really non-definitive and we do appreciate the patience and taking into account the fix here.. It's a weird situation, but I'll keep you up to date with anything the product team has to say about it
---==
Now there is TensorFlow 2.0 Beta out there so I decided to publish my findings.















יום שבת, 9 במרץ 2019

בשם חופש המידע - איך השגתי את מספרי הצל שמסתתרים מאחורי הכוכביות




במשך קרוב לעשור אני עוסק בנושאים שונים הקשורים לפרצות טלפוניה

 אחד מהנושאים שחוזרים על עצמם שוב ושוב עם חוסר ההצלחה שלי לבצע שינוי מערכתי, הם מערכות טלפוניה לזיהוי לקוחות המתקשרים למספר מסויים, ומזוהים לפי  
מספר טלפון המזוהה שאיתו הם הציגו את עצמם

זיהוי שכזה כמזהה יחידני הינו בלתי חוקי, וניתן לעקיפה בקלות בעזרת שינוי שיחה מזוהה, שינוי שניתן לבצע בעזרת אפליקציות ייחודיות או הגדרה פשוטה למי שמתפעל מרכזיות טלפוניה בעלות ספקים זרים.

לא פעם התרעתי על חולשות הקשורות למשפחה זו של חולשות זיהוי לקוחות בממשקים טלפוניים, ובגדול נכשלתי.

רוב האופציות של אזרחים בישראל לבצע שינוי שיחה מזוהה, הינם על ידי שיחה ממערכת הממוקמת במדינות זרות, כאשר מערכות אלו לא תומכות בהתקשרות למספרים מקוצרים בצורת חיוג לכוכבית

לכן לפעמים לתוקף הפוטנציאלי יש בעיה - אין לו את הטלפון האמיתי שמסתתר מאחורי הכוכבית

בקשות חופש מידע הינן דרך אולטימטיבית לפגיעה בפרטיות, ולאיתור פרצות אבטחה - בשם החוק

הן במהותן חיוביות, אבל כמו שכתבתי פה כבר בעבר, ההשלכות שלהן יכולות להיות חסרות תקנה

לפני מספר חודשים החלטתי לחסוך הרבה כאב ראש מחקרי, ולהגיש בקשת חופש מידע בנושא הכוכביות

אני מקווה שהתוצר הזה יגרום הפעם לשינוי מודעות
מדובר על מאגר מידע חופשי, ועל שיטה שלא נועדה לאבטח אלא לקצר את תהליך ההתקשרות של הלקוחות ולפשט אותו.


להלן הדוח שקיבלתי
אם יש לכם מערכת טלפונית, אל תסתתרו מאחורי כוכבית בתואנה שאי אפשר להתקשר לשם באופן מזוייף, זאת אשליה אופטית
אשליה טלפונית שבקשת חופש מידע ממסמסת ביעילות


המאגר הזה מאוד יעיל גם לשימוש רגיל, כמו שיחות טלפון לאנשים ששוהים בחו"ל או מתקשרים ממערכות טלפוניה מבוססות אינטרנט שלא תומכות במספרי כוכבית

 אגב, התברר לי שהיה גורם נוסף שביקש בקשה דומה קצת לפני, ככה שההליך היה יחסית מהיר 

 לדעתי, יש לבצע תיקון לחוק שיגרום לכך שכל  בקשת חופש מידע תעבור סינון של איש אבטחת מידע שהוכשר לכך

בנוסף, יש לבצע מניעה מעקב ואכיפה אחר גורמי 
טרור ופשע שמנצלים בקשות חופש מידע לרעה 


כאן ניתן לראות בקשה שלישית בסגנון זה ומאגר , כללי של בקשות חופש מידע

https://foi.gov.il/he/node/5197 

יום רביעי, 13 בפברואר 2019

Hacking last mile solutions

Two years ago I was analyzing the needs of better security solutions in last mile solutions and hybrid robots.

IOActive should be named as a company who took this subject into the hands earlier then other

Now, Zimperium are joining as well, and I think it's time to push this sobject much forward.

We must have regulations regards cyber security of micro transportation.

איומים קיברנטיים על כלי תחבורה זעירה בישראל ובעולם

https://www.digitalwhisper.co.il/files/Zines/0x64/DW100-10-ElecTwoWheel.pdf

https://www.mail-archive.com/fulldisclosure@seclists.org/msg04986.html

Zimperium

https://www.geektime.co.il/xiaomi-m365-scooter-hacked/

https://blog.zimperium.com/dont-give-me-a-brake-xiaomi-scooter-hack-enables-dangerous-accelerations-and-stops-for-unsuspecting-riders/

https://youtu.be/ASygXa8UVYk

המצור הדיגיטלי של טינדר על רצועת עזה והאזורים שמעבר לקו הירוק, ומה הקשר לצפון קוריאה?

For my English reader: I've found that Passport  feature which is part of Tinder Plus services , is not supported in Gaza and behind ...