לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה ●●● ברוכים הבאים אל פורום צבא וביטחון ●●● לפני הכתיבה בפורום חובה לקרוא את דבר המנהל ●●● עקבו אחרינו! ●●● חץ ימינה  

לך אחורה   לובי הפורומים > חיילים, צבא וביטחון > צבא ובטחון
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
 
כלי אשכול חפש באשכול זה



  #6  
ישן 27-01-2014, 11:50
צלמית המשתמש של Narion
  Narion Narion אינו מחובר  
 
חבר מתאריך: 24.12.08
הודעות: 8,552
בתגובה להודעה מספר 5 שנכתבה על ידי Reshef914 שמתחילה ב "בעיתון ידיעות אחרונות של היום..."

ציטוט:
במקור נכתב על ידי Reshef914
בעיתון ידיעות אחרונות של היום נכתב כי הסוס הטרויאני הופץ דרך מייל שהתקבל מהכתובת shabakreport@gmail.com או משהו כזה.
לא משנה כמה תוכנות והגנה תהיה לך, שום דבר לא ייחפה על טיפשות. צריך לחדד את ההדרכה והנהלים.
אני אישית הייתי מופתע אם הייתי רואה מייל מהשב"כ אצלי בתיבה בעל הסיומת Gmail.
הכי פשוט לפעמים הוא ההכי מועיל.


מה שיותר מרתיח מכל הפרשה הזאת, זה שבסופו של דבר כל גוף יטיל את האחריות על השני, לא ימצאו אשמים, ותקרית זהה תתרכש שוב בעתיד (עקב" הפקת הלקחים" המרשימה שלנו).

יש הרבה עבודה למבקר המדינה, חבל רק שאף אחד לא באמת שם על הדו"ח שלו.
_____________________________________

תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #11  
ישן 19-02-2014, 04:13
צלמית המשתמש של פסטן
  פסטן פסטן אינו מחובר  
 
חבר מתאריך: 14.12.09
הודעות: 9,751
בתגובה להודעה מספר 7 שנכתבה על ידי lior432 שמתחילה ב "סביר להניח שהמייל לא הגיע..."

ציטוט:
במקור נכתב על ידי lior432
סביר להניח שהמייל לא הגיע מג'ימייל, שם כל attachment נסרקת בצורה די יעילה. זה כנראה הגיע ממקור אחר מה שמעלה שתי תהיות: (בהנחה שהפרסום בעיקרו נכון)
1. הטרויאני הזה אמור להיות מוכר הן מבחינת חתימה והן מבחינת התנהגות ליישומי ה- AV בתחנות. מדוע הוא לא זוהה?
2. סביר להניח שכתובת שרת הדואר ממנו הגיע המייל אינו משוייך מבחינת DNS לגוגל, מדוע לא זיהה יישום האנטי ספאם\וירוס את השליחה כבעייתית עוד לפני שהיא הגיע לשרת הדואר הפנימי?



לא סביר ולא כלום. כידוע ג'ימייל לא יכולה לדעת מה יש בתוך ארכיב מוצפן. לכן שולחים malware samples בארכיבים מוצפנים (זה גם
עוזר למנוע פתיחה שלהם בטעות ועוד) עם סיומת שונה מ-zip (שגוגל מסתכלת פנימה וחוסמת). הרגע שלחתי לעצמי את הבינאריים של
Xtreme RAT הנ"ל בקובץ עם סיומת foo במקום עם סיומת ה-zip שהיית לו כשהורדתי אותו. גוגל לא צייץ. צא מהסרט. וזה אפילו לא היה
ארכיב מוצפן.

זה ממש לא סיפור לעשות לבינארי של הוירוס packing. למען האמת, וירוסים רבים אכן נוהגים לעשות זאת. הפתעה!
לגוגל - ולאף אחד אחר - אין דרך לדעת איזה בינארי יפרוש הבינארי שנפרש מהבינארי הראשון שהרצת. לבד מלהריץ את הקוד ממש בתוך
sandbox אין דרך לדעת מה נמצא שם בפנים, וגם אז נכנסים לאותו מירוץ שיש ב-anti-debugging.

הנה דוגמה, ולא סתם דוגמה, אלא דוגמה עם Xtreme RAT ממש: http://code.google.com/p/malware-lu/wiki/en_xtreme_RAT
יש לנו קובץ zip שכמעט אף-אחד לא זיהה בזמנו, שבתוכו יש בינארי, שבתוכו בינארי שמכיל בינארי שלישי ארוז בצורה ייעודית, שבתורו הוא
אריזת UPX של הבינארי של ה-Xtreme RAT הזה. כן. גוגל ממש אמורים לעלות על זה.


ועכשיו לגבי התחנות. ב-350 יורו אפשר לקנות את הסורסים של ה-Xtreme RAT הזה. או עם קצת חיפוש בגוגל. (אפילו שאת הגרסה שלא
קונים זה קצת סיפור לקמפל.)
בהינתן הסורס, לייצר build שלא יקפיץ אף אחת מהחתימות המוכרות זה די קל. מבחינת התנהגות, RAT לא עושה שום דבר שאפשר "רע"
שאפשר לזהות, ובטח שלא אמורים לזהות.


באמת, "זה לא מדע טילים" פה. אלה דברים די בסיסיים.
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס

אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #13  
ישן 19-02-2014, 17:00
צלמית המשתמש של פסטן
  פסטן פסטן אינו מחובר  
 
חבר מתאריך: 14.12.09
הודעות: 9,751
בתגובה להודעה מספר 12 שנכתבה על ידי Reshef914 שמתחילה ב "[QUOTE=פסטן] [B]באמת, "זה..."

ציטוט:
במקור נכתב על ידי Reshef914
חתיכת מדע טילים. חצי מההודעה שלך הייתה בג'יבריש בשבילי
זה יחסי, כמובן. בשביל מי שלא קשור לתחום בשום צורה זה אולי נשמע מסובך להחריד, אבל בשביל מי שמתיימר להבין משהו, מדובר בדברים בסיסיים.

אנלוגיה להמחשה. ראיתי אצלך בחתימה עסק של צילום. בשבילי זה הכל סינית.
אבל ממי שיתחיל לדבר על צילום ולהעלות תהיות "למה הצילום של המִנהל האזרחי לא יצא טוב? הרי הוא יכל לעשות א,ב,ג" אתה מצפה לדעת מה זה F numbers ומה זה ISO numbers ואפילו קצת יותר, נכון?

בחזרה לפרשתנו, אם יש משהו ספציפי שלא הבנת מהתגובה שלי למעלה ואתה רוצה שאסביר אתה מוזמן להגיד מה.
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס

אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #16  
ישן 19-02-2014, 15:10
צלמית המשתמש של efekt
  efekt efekt אינו מחובר  
 
חבר מתאריך: 31.12.08
הודעות: 14,245
גדול!
בתגובה להודעה מספר 11 שנכתבה על ידי פסטן שמתחילה ב "[QUOTE=lior432]סביר להניח..."

ציטוט:
במקור נכתב על ידי פסטן
הנה דוגמה, ולא סתם דוגמה, אלא דוגמה עם Xtreme RAT ממש: http://code.google.com/p/malware-lu/wiki/en_xtreme_RAT
יש לנו קובץ zip שכמעט אף-אחד לא זיהה בזמנו, שבתוכו יש בינארי, שבתוכו בינארי שמכיל בינארי שלישי ארוז בצורה ייעודית, שבתורו הוא
אריזת UPX של הבינארי של ה-Xtreme RAT הזה. כן. גוגל ממש אמורים לעלות על זה.

אבל זה לא כ"כ משולל המציאות שגוגל יחפרו פנימה כדי לגלות את המהות האמיתית של הקובץ. אני בטוח שה-NSA (ולא רק הם) עושים את זה, אולי לגוגל יש תהליכים פנימיים שמתייגים קבצים כאלה ומפנים אליהם את תשומת ליבם של מומחי אבטחה של גוגל, בעדיפות זו או אחרת (כנראה בתקצוב נמוך יותר של שעות-אדם), התהליך אפילו לא חייב להיות בעדיפות גבוהה. גוגל הם חטטנים לא קטנים, ובהתחשב בנפח התעבורה שזורמת בשרתים שלהם אני מניח שהם ירצו לדעת על כל פיפס קטן שעובר שם.
אתה בטח לא חושב שאם תשלח קובץ ZIP מוגן בסיסמה דרך GMAIL, גוגל לא יציצו בתוכן שלו...? אז בטח כשאותו קובץ חשוד נשלח להרבה אנשים, איפה-שהוא באחד השרתים של גוגל תקפוץ איזו JOB ותרים איזה דגל... ככה לפחות נראה לי (אני כמובן לא מכיר את התהליכים הפנימיים שם).
_____________________________________
"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:
במקור נכתב על ידי Carl Sagan
"If you wish to make an apple pie from scratch, you must first invent the universe"


תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #17  
ישן 19-02-2014, 16:51
צלמית המשתמש של פסטן
  פסטן פסטן אינו מחובר  
 
חבר מתאריך: 14.12.09
הודעות: 9,751
בתגובה להודעה מספר 16 שנכתבה על ידי efekt שמתחילה ב "גדול!"

ציטוט:
במקור נכתב על ידי efekt
אבל זה לא כ"כ משולל המציאות שגוגל יחפרו פנימה כדי לגלות את המהות האמיתית של הקובץ. אני בטוח שה-NSA (ולא רק הם) עושים את זה, אולי לגוגל יש תהליכים פנימיים שמתייגים קבצים כאלה ומפנים אליהם את תשומת ליבם של מומחי אבטחה של גוגל, בעדיפות זו או אחרת (כנראה בתקצוב נמוך יותר של שעות-אדם), התהליך אפילו לא חייב להיות בעדיפות גבוהה. גוגל הם חטטנים לא קטנים, ובהתחשב בנפח התעבורה שזורמת בשרתים שלהם אני מניח שהם ירצו לדעת על כל פיפס קטן שעובר שם.
אתה בטח לא חושב שאם תשלח קובץ ZIP מוגן בסיסמה דרך GMAIL, גוגל לא יציצו בתוכן שלו...? אז בטח כשאותו קובץ חשוד נשלח להרבה אנשים, איפה-שהוא באחד השרתים של גוגל תקפוץ איזו JOB ותרים איזה דגל... ככה לפחות נראה לי (אני כמובן לא מכיר את התהליכים הפנימיים שם).


גוגל מחטטים המון, ודאי. איך הם יודעים להעביר דואר זבל ישר לתיקיית Spam? איך הם יודעים לתת התראה מעל מייל שכנראה
מדובר בפישינג? אבל במקרה הזה לא מדובר על זה שהם לא רוצים או לא מנסים "לחטט", אלא שבאופן מעשי הם לא יכולים.

אולי הם רוצים להציץ בסיסמה, ויש מקרים בהם הם אפילו יכולים, אבל זה לא משנה. אני יכול לשלוח לעצמי את הזיפ המוצפן של
Xtreme RAT (שאפשר להוריד מכאן: https://sites.google.com/site/xxtremerat/) שהסיסמה שלו היא "123". לא משהו שגוגל
לא מסוגלים להתמודד איתו. אתה מוזמן להוריד ולשלוח לעצמך כדי לבדוק.
ברגע שאני פורש את הזיפ, Windows Defender מתריע ומוחק קבצים, אבל אף אחד לא מפריע לי לשלוח את הזיפ המוצפן. (שוב,
בשינוי הסיומת, כי גוגל חוסמים קבצי zip שבתוכם יש exe-ים.)

האם הם עוקבים אחרי "שליחות חשודות" או לא? אולי כן. אולי לא. זה לא מעניין ולא קשור.
העובדה הפשוטה היא שהם לא מונעים שליחות מהסוג המדובר. שליחה לרשימת התפוצה זה לגיטימי. שליחה של תמונה או PDF
זה לגיטימי. אם הקובץ ששולחים לא בעייתי, הוא עובר.

את הבינארי הראשי שבתוך הזיפ ג'ימייל לא נותנים לשלוח, אבל אם אני מכניס אותו לתוך זיפ מוצפן (שוב, עם הסיסמה "123") עם
סיומת שונה מ-exe
ג'ימייל שולח אותו כמו גדול. (אפילו ש-43/50 אנטיוירוסים של VirusTotal מתריעים עליו. שים לב לשם הקובץ
ולתאריך הבדיקה.)

זה המצב. במציאות. ג'ימייל לא חוסמים את השליחה. מה הם חוקרים בצד לא מעניין אותי.
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס

אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #19  
ישן 19-02-2014, 17:08
צלמית המשתמש של פסטן
  פסטן פסטן אינו מחובר  
 
חבר מתאריך: 14.12.09
הודעות: 9,751
בתגובה להודעה מספר 18 שנכתבה על ידי Rשף שמתחילה ב "[QUOTE=פסטן]לא סביר ולא כלום...."

ציטוט:
במקור נכתב על ידי Rשף
לא ענית לשאלות של lior432 על זיהוי בתחנת הקצה- של הבינארי והמקור החשוד למייל.
כנראה אני מדמיין:
ציטוט:
במקור נכתב על ידי פסטן
ועכשיו לגבי התחנות. ב-350 יורו אפשר לקנות את הסורסים של ה-Xtreme RAT הזה. או עם קצת חיפוש בגוגל. (אפילו שאת הגרסה שלא
קונים זה קצת סיפור לקמפל.)
בהינתן הסורס, לייצר build שלא יקפיץ אף אחת מהחתימות המוכרות זה די קל. מבחינת התנהגות, RAT לא עושה שום דבר שאפשר "רע"
שאפשר לזהות, ובטח שלא אמורים לזהות.
הסיפור לגבי הכתובת החשודה נובע מההנחה ההזויה שהמייל לא באמת הגיע מג'ימייל:
ציטוט:
במקור נכתב על ידי lior432
סביר להניח שהמייל לא הגיע מג'ימייל, שם כל attachment נסרקת בצורה די יעילה. זה כנראה הגיע ממקור אחר מה שמעלה שתי תהיות: (בהנחה שהפרסום בעיקרו נכון)
1. הטרויאני הזה אמור להיות מוכר הן מבחינת חתימה והן מבחינת התנהגות ליישומי ה- AV בתחנות. מדוע הוא לא זוהה?
2. סביר להניח שכתובת שרת הדואר ממנו הגיע המייל אינו משוייך מבחינת DNS לגוגל, מדוע לא זיהה יישום האנטי ספאם\וירוס את השליחה כבעייתית עוד לפני שהיא הגיע לשרת הדואר הפנימי?
אבל מאחר שהוסבר כבר שאין שום בעיה שהמייל יגיע מכתובת ג'ימייל, כל הנקודה השניה נעלמת.
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס

אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך

קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 09:25

הדף נוצר ב 0.08 שניות עם 12 שאילתות

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2024 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר