The Internet's Own Boy: The Story of Aaron Swartz
Obsah:
- Odposlouchávání IP
- Spoofing výzkumné pracovníky společnosti Secure Science mohli získat přístup k účtům, které si nastavili pomocí služby online nazývané spoofcard, která uživatelům umožní, aby vypadali, jako by volali z libovolného čísla, které si přejí.
- Společnost Google opravila chyby, které umožnily útok společnosti Secure Science minulý týden, a do svého hlasového systému přidala požadavek na heslo, uvedla společnost ve svém prohlášení. "Spolupracovali jsme se společností Secure Science, abychom se vypořádali s otázkami, které vznesli se službou Google Voice, a my jsme již provedli několik vylepšení našich systémů," uvedla společnost. "Nedostali jsme žádné zprávy o přístupu k účtům způsobem popsaným ve zprávě, a takový přístup by vyžadoval splnění několika podmínek současně."
Výzkumníci společnosti Secure Science nedávno objevili způsob, jak uskutečňovat neoprávněné hovory jak od společnosti Skype, tak z nových komunikačních systémů Google Voice, podle spoluzakladatele firmy Lance James
Odposlouchávání IP
Útočník by mohl získat přístup k účtům pomocí techniky objevené výzkumnými pracovníky, pak pomocí nízkých nákladů PBX (soukromé pobočkové ústředny) program, aby tisíce hovorů přes tyto účty.
Volání by byla prakticky nedostupná, takže útočníci mohli nastavit automatizovaný nepořádek systémy stárnutí, aby se pokusily ukrást citlivé informace od obětí, útok známý jako vishing. Hovory mohou být zaznamenaná zpráva s dotazem na příjemci, aby si například mohl aktualizovat podrobnosti o svém bankovním účtu."Pokud ukradnu spoustu [účtů Skype], mohu nastavit [PBX], aby všechny ty čísla, a můžu nastavit virtuální Skype botnet pro odchozí hovory. Bylo to peklo na kolečkách pro phisher a bylo by to peklo útoku na Skype, "řekl James.
V Google Voice by útočník mohl dokonce ani při příchozích hovorech ani při příchozích hovorech neříká, "řekl James. K zablokování hovoru by útočník využíval funkci nazvanou Dočasné přesměrování volání, aby do účtu přidal další číslo, poté pomocí volného softwaru, jako je Asterisk, odpověděl na hovor dříve, než oběť někdy zaslechla zvonění. Poté stisknutím symbolu hvězdy může být hovor přesměrován na telefonní číslo oběti, což útočníkovi umožní poslouchat hovor.
Spoofing výzkumné pracovníky společnosti Secure Science mohli získat přístup k účtům, které si nastavili pomocí služby online nazývané spoofcard, která uživatelům umožní, aby vypadali, jako by volali z libovolného čísla, které si přejí.
Spoofcard byl použit v minulosti pro přístup k hlasovým účtům. Nejvíce známá byla vina, když účet BlackBerry herečky Lindsay Lohan byl napaden před třemi lety a pak poslal nevhodné zprávy.
Útoky na Google Voice a Skype používají různé techniky, ale v podstatě oba pracují, protože ani jedna služba nevyžaduje heslo pro přístup k jeho hlasovému systému
Aby útok Skype mohl fungovat, obět musí být do 30 minut od přihlášení do Skype zavlečena do návštěvy škodlivého webu. V útoku Google Voice (pdf) by hacker nejprve potřeboval znát telefonní číslo oběti, ale společnost Secure Science navrhla způsob, jak to zjistit pomocí SMS zpráv služby Google Voice.
Vadné adresy Google
Společnost Google opravila chyby, které umožnily útok společnosti Secure Science minulý týden, a do svého hlasového systému přidala požadavek na heslo, uvedla společnost ve svém prohlášení. "Spolupracovali jsme se společností Secure Science, abychom se vypořádali s otázkami, které vznesli se službou Google Voice, a my jsme již provedli několik vylepšení našich systémů," uvedla společnost. "Nedostali jsme žádné zprávy o přístupu k účtům způsobem popsaným ve zprávě, a takový přístup by vyžadoval splnění několika podmínek současně."
Skype chyby ještě nebyly patched, podle Jamesa. EBay, mateřská společnost společnosti Skype, neodpověděla okamžitě na žádost o připomínku.
Útoky ukazují, jak náročné bude bezpečně integrovat starý školní telefonní systém do svobodnějšího světa internetu, řekl James. "Takový druh dokazuje … jak snadné je VoIP, aby se zvedl," řekl. Věří, že tyto chyby téměř jistě ovlivňují i další systémy VoIP. "Tam jsou lidé, kteří mohou zjistit, jak využít telefonní linky."
Panel: Otevřené telefony jsou více zranitelné
Otevření mobilních softwarových platforem povede k většímu nebezpečí. v mobilním průmyslu je skvělá zpráva pro vývojáře aplikací, ale ne tak dobrá pro profesionály IT bezpečnosti, kteří chtějí spát v noci, říkali výkonní pracovníci bezpečnostního průmyslu ve čtvrtek.
Upozornění na bezpečnostní certifikáty nefungují, výzkumníci říkají
Výzkumníci v Carnegie Mellon říkají, že uživatelé většinou ignorují upozornění "neplatný certifikát" prohlížeče někdy zobrazují.
Chyby opouštějí servery, které jsou zranitelné útoky typu Denial-of-Service
Vzdáleným útočníkům, aby narazili na servery DNS a ovlivnili provoz jiných programů běžících na stejných strojích.