אז כמו שאני משתדל לעשות מידי פעם כשיש לי טיפה זמן אני נכנס לכאן..רואה מה המצב בסצינה המקומית ומשתדל לזרוק פה מאמר מעניין כדי שישאר חי (: אז הפעם אני אנסה לחדש משהו למעטים מכם שעדיין בהתחלה בתחום ה spoofing
כמו שרובכם יודעים spoofing הוא למעשה בתרגום מדוייק: "הÄתÌÅל, מÈתÇח, שÑÄטÌÈה, תÌÄעÀתÌÅעÇ; לÄגÀלÅג, תיאר באופן פרודי; רÄמÌÈה, הוÉנÈה" (morfix) אבל בהקשר שלנו אנחנו מדברים על מתקפה דיי חזקה על מחשבים, שבתכלית הקיצור מטרתה לעבוד על המחשב המותקף(הלקוח) ולגרום לו לחשוב שהוא רואה או מדבר עם משהו אחד שלמעשה זה משהו אחר
לדוגמא: הקלאסית והמוכרת ביותר היא הונאת אתרי הבנקים הגדולה, כאשר מספר האקרים גרמו למשתמשים שניסו לגלוש לאתר הבנק לגלוש לאתר מתחזה ולהכניס שם את כל הפרטים העסיסיים
ולעיניננו: מה שנלמד היום זה על קובץ נחמד בשם hosts שיושב בנתיב הבא: C:\WINDOWS\system32\drivers\etc (כדי לראות אותו יש לאפשר צפיה בקובצי מערכת מוסתרים)
מה הקובץ הזה? הקובץ הפשוט מאוד הזה, הוא פשוט סוג של רשומה פנימית שמשמשת את פרוטוקול ה tcp\ip על מנת לקשר בין כתובות שמיות לבין כתובות ip לדוגמא:
walla.co.il שווה לאייפי שלו 192.118.82.140
אז נכון שזה תפקידו של שרת הdns לבצע את ההמרות הנ"ל אבל הוא התחנה הבאה אחרי בדיקה ראשונית של פרוטוקול ה tcp/ip בקובץ הוסטס
אז למה זה טוב לי?
בתחתית קובץ ההוסטס תמצאו את השורות הבאות
קוד:client host
127.0.0.1 localhost
אחרי השורות האלה כל מה שתוסיפו בתבנית הקבועה (כתובת איי פי רווח ושם) יהיה הגישור בין השם לכתובת האיי פי שנתתם לו גם אם בשרתי הdns הוא מוגדר אחרת
לדוגמא: אם נכתוב כך
קוד:client host
127.0.0.1 localhost 192.118.82.140 google.co.il
ונשמור את קובץ ההוסט עם השינוי(ללא סיומת) כעת מי שיכנס לדפדפן לדוגמא ויכתוב את הכתובת של גוגל google.co.il יגיע למעשה לאתר שהאיי פי שלו הוא 192.118.82.140 (וואלה במקרה הזה חח)
המח שלכם מתחיל לפרוח למקומות מעניינים כבר? חח אם לא אז הינה כמה שימושים חמודים שניתן לבצע בקובץ הזה מהקל לקשה
1: לקשר את האיי פי של אתר מסויים לשם שלו בלי הנתיב המלא למשל במקום לכתוב איי פי וכתובת שלמה (google.co.il) נכתוב איי פי רווח ואז google וכעת כשניכנס לדפדפן ונכתוב google נגיע לגוגל (:
2: ללכת לחבר לכתוב לו את הכתובת איי פי של אתר סקס רווח ואת הכתובת המילולית של אתר רגיל כמו וואלה חחח נחשו את התוצאה...
3: השימוש המעניין שלנו כתיבת קובץ batch שברגע שחברכם יפעיל אותו במחשב שלו הוא יכתוב מחדש את קובץ ההוסט כך שהכתובת למשל למשל של אתר red-board תוביל לאיי פי של השרת אירוח הפרטי שלכם, שם תעתיקו את הדפים העיקריים של rb ובעיקר את דף ההתחברות (: ותוסיפו לדף ההיתחברות מאפיין שישלח את הפרטים אל דף אחר שיושב אצלכם בשרת למשל בש.my friend password.txt ובנוסף ישלח את הפרטים באמת לדף האימות של rb ומשם הוא ימשיך נורמלי לאתר האמיתי
התוצאה? : חבר שלכם גלש לאן שהוא חשב שהוא גולש כשלמעשה הוא גלש למקום אחר שיותר מאוחר רק הוביל אותו בשושו למקום שהוא חפץ להגיע אילו מלכתחילה
הוא לא הרגיש בכלום (: ולכם יש את הסיסמה
שאלה עיונית למחשבה! האם ניתן לעשות זאת גם לאתר הבנק שלו? אם כן מה יקשה עלינו?
נכון הסמל של המנעול ליד הכתובת באתר של הבנק נראה חיוני פתאום? חחח
לסיכום רק נאמר שמתקפה זו משוייכת למשפחה ענפה בשם משפחת מתקפות men in the middle שמטרתה לעמוד באמצע התקשורת בין נקודה א ל ב בכל דרך שתיהיה ולבצע או ניתור של מידע או ניתוב מחדש של מידע וכו וכו מקווה שנהנתם מההשקעה הזריזה בשעה זו של הלילה המשך סצינה נהדרת לכולם An7iVi2uS
10/04/2008 12:13:14
T--As
כל הכבוד אחי על כתיבת המאמר (: קראיתי על הקובץ מלפני כמה שנים טובות ..
במה יעסוק המאמר הבא שלך? .. (אני מקווה שבקרוב תכתוב על עוד נושאים :P )[ההודעה נערכה על-ידי T--As ב-10/04/2008 12:13:30]
10/04/2008 15:54:04
MasterBlaster
הטכניקה שהצגת כאן היא בעצם רק חלק מקבוצה גדולה יותר של התקפות שזכו לכינוי "חוואות מקוונת" - Pharming (על משקל פישינג). המשותף לכל ההתקפות הללו הוא שהן מנצלות חולשות ידועות במנגנון ה-DNS כדי לאפשר לתוקף פוטנציאלי ליצור אתר מזויף שאליו הוא יפנה גולשים אקראיים, בתקווה שאלה האחרונים יפלו בפח ויקלידו פרטים רגישים.
פעם אפילו התחלתי לכתוב מאמר על הנושא אבל נטשתי אותו די מהר. מכל מקום, חשוב להזכיר שהטכניקה שהצגת לא מוגבלת רק למערכות ווינדוס. תחת רוב הוריאנטים של יוניקס, למשל, יש קובץ הוסטס עם תחביר כמעט זהה שיושב בנתיב:
קוד:/etc/hosts[ההודעה נערכה על-ידי MasterBlaster ב-10/04/2008 15:57:11]
10/04/2008 17:54:48
antivirus
T--As הכל כמובן תלוי בזמן אחי אם אני חוזר עייף אז אני מקדיש רבע שעה אם יש לי טיפה זמן באיזה יום שישי אני יכול לכתוב אפילו על משהו מקיף יותר השאלה על העניים של מי זה נופל כל ההשקעה הזאת מבין? ו MasterBlaster תודה על התוספת
10/04/2008 20:12:22
T--As
לאנשים שרוצים ללמוד תתחום לעומק (: תאמין לי מאמרים כאלה יעזרו רבות לקהילה
10/04/2008 23:47:00
antivirus
להעציב אותך? חח ישבתי הצהריים האלה שעה וכתבתי מאמר עמוק על משפחות firewalls שונות על הסוגים, היתרונות, החסרונות, וההבדלים המהותיים. על הפאייר וואל של אקס פי כמה שורות וכו וכו ואז משהו השתבש בשרתים פה וכששלחתי את התגובה הכל הלך פייפר אז התייאשתי והלכתי זה כבר מבאס..חח
11/04/2008 09:46:00
T--As
חחח מכשול קטן מונע ממך לכתוב מאמר שעוד אלפים יקראו אותו ויעזרו בו :P? פעם הבאה תעשה משאני עושה חח תכתוב על מסמך טקסט לכל מקרה זה רוק מועיל ואין שום דבר מזיק ..
אגב אכפת לך אם אני יפרסם את המאמרים שלך באתר קטן וחמוד שאני בונה ? אם לא אכפת לך תשלח לי כמה מהמאמרים שלך באיסי )12302340) או פה תעשה אשכול ותשים שם את כל המאמרים שכתבת ?
11/04/2008 14:27:48
T4uSBaZ
דוגרי וגם אני רוצה את כל המאמרים
אז תפרסם פה : D =]
11/04/2008 16:44:05
antivirus
אוקי אני אשב על זה אולי מוצ"ש שוב
13/04/2008 14:37:43
zEt0s-
תודה רבה אחלה מאמר =] הכרתי את ההוסט ובעיקרון זה לא חידש לי כלום מה שרשמת, אבל הדרכי חשיבה עם החבר-זה דבר שלא חשבתי עליו :)
13/04/2008 21:45:29
antivirus
חח כן נכון זה מה שעושה את ההבדל בדרך כלל בכל תחום, זה נקרא לצאת מהקופסה. פעם trancer הראה לי איך בחמש דקות אפשר לתכנת משחק מחשב איקס עיגול עם ממשק "גרפי" ושהמשב ישחק נגדך ותמיד ינצח וכל זה בעזרת batch files , כשראיתי את זה רתי לעצמי בלב , אם אפשר לתכנת משחק ואפילו שזה היה דיי פשוט, אבל משחק שלם וגרפיקהומחשבה שך המחשב , וכל זה ב"שפת תיכנות" שתמיד ידעתי ולא הצלחתי ליישם ככה אז הכל! אפשרי
תמיד צריך לחפש לצאת מהקופסה
22/04/2008 15:56:14
tweester
יפה מאוד מעניין משכת אותי לנושא... תגיד אתה במקרה יודע אם יש דרך מסויימת לערוך ככה קבצי sys? ואגב קוראים לך שחר לא?
23/04/2008 15:42:29
antivirus
בעזרת batch file כאילו? כי אם כן ברור אפשר לעשות איתם כמעט הכל. כל מה שאתה צריך זה להריץ אותם בתור אדמין במערכת אחרת לא יצליח לך
מדריך לbatch files
http://www.computerhope.com/batch.htm
ואממ..לא לא קוראים לי שחר לומרות שזה שם יפה
25/04/2008 09:30:22
cp77fk4r
קבצי מערכת אלה קבצים רגילים שפשוט יש להם הרשאה קצת שונה מלקבצים רגילים, יש להם הרשאת +S, מה שצריך לעשות זה פשוט להוריד אותה ע"י הפקודה: ATTRIB -S, יש סיכוי גם שיש להם +H (מוסתרים), אז פשוט תבצע את הפקודה בצורה הזאת: ATTRIB -S -H [ פה אתה מבצע את העריכה של הקובץ] ATTRIB +S +H
וזהו.
הפקודה ATTRIB די מקבילה לפקודה CHMOD היוניקסאית.[ההודעה נערכה על-ידי cp77fk4r ב-25/04/2008 09:32:41]
29/04/2008 12:43:43
k0sty4
אתה גם יכולת להרחיב קצת יותר על הspoofing . אחרי הכל יש הרבה דברים אחרים כגון E-mail spoofing וכמובן Login spoofing שזה גם דברים שבן אדם דרוצה להבין לעומק מה זה למעשה spoofing בצורה מעמיקה. hosts spoofing זה נושא שנראה לי יש מספיק מדריכים עליו (זה אחרי הכל הנושא הפשוט והמופץ ביותר בסצנה הישראלית).
P.S. עם כבר מתחילים לכתוב פה על התקפות והאקספלוייטים, אולי כדאי במקום לכתוב מאמר אחד בנפרד על כל נושא לכתוב מאמר אחד גדול על נושאים כגון Rootkit, פצצת Fork, ועל Bluejacking. זה נושאים שבזמן האחרון קשה למצוא עליהם מידע בעיברית, והם מהווים חלק חשוב מאוד בעולם ההתקפות (לפחות כך זה היה כאשר עוד התעניינתי בזה).
עמודים:
1