The Active Directory Botnet
Talaan ng mga Nilalaman:
Ang mga mananaliksik sa Secure Science ay kamakailan-lamang na natuklasan ang mga paraan upang gumawa ng mga hindi awtorisadong tawag mula sa parehong Skype at ng bagong mga sistema ng komunikasyon ng Google Voice, ayon kay Lance James, ang cofounder ng kumpanya.
Eavesdropping by IP
ang mga diskarte na natuklasan ng mga mananaliksik, pagkatapos ay gamitin ang isang mababang gastos PBX (pribadong palitan ng sangay) na programa upang gumawa ng libu-libong mga tawag sa pamamagitan ng mga account na iyon.
"Kung nakawin ko ang isang grupo ng mga [Skype account], maaari ko bang i-set up ang [isang PBX] upang i-round-robin ang lahat ng mga numerong, at maaari ko bang i-set up ang isang virtual Skype botnet upang makagawa ng mga papalabas na tawag. Ito ay magiging impiyerno sa mga gulong para sa isang phisher at ito ay magiging isang impiyerno ng isang pag-atake para sa Skype, "sabi ni James.
Sa Google Voice, kahit na maharang o manunubok sa mga papasok na tawag, sinabi ni James. Upang mahadlangan ang isang tawag, ang magsasalakay ay gumamit ng isang tampok na tinatawag na Temporary Call Forwarding upang magdagdag ng isa pang numero sa account, pagkatapos ay gamitin ang libreng software tulad ng Asterisk upang sagutin ang tawag bago ang biktima ay narinig ang isang ring. Sa pamamagitan ng pagpindot sa simbolo ng bituin, ang tawag ay maaring maipasa sa telepono ng biktima, na nagbibigay ng tagasalakay ng isang paraan upang makinig sa tawag.
Spoofing Ang isang mananaliksik ng Tawag ng
Secure Science ay nagawang ma-access ang mga account na kanilang na-set up gamit ang isang online na serbisyo na tinatawag na spoofcard, na nagpapahintulot sa mga user na lumitaw na parang tumatawag sila mula sa anumang numero na nais nila.
Spoofcard ay ginamit sa nakaraan upang ma-access ang mga voicemail account. Ang karamihan sa mga piling-piling, ito ay blamed kapag ang aktres Lindsay Lohan ng BlackBerry account ay na-hack tatlong taon na ang nakaraan at pagkatapos ay ginagamit upang magpadala ng mga hindi naaangkop na mga mensahe.
Ang mga pag-atake sa Google Voice at Skype gumamit ng iba't ibang mga diskarte, ngunit mahalagang pareho silang gumagana dahil alinman sa serbisyo ay nangangailangan ng isang password upang ma-access ang sistema ng voicemail nito.
Para sa pag-atake ng Skype upang gumana, ang biktima ay kailangang tricked sa pagbisita sa isang malisyosong Web site sa loob ng 30 minuto na naka-log in sa Skype. Sa pag-atake ng Google Voice (pdf), kailangan munang malaman ng hacker ang numero ng telepono ng biktima, ngunit ang Secure Science ay gumawa ng isang paraan upang malaman ito gamit ang Short Message Service (SMS) ng Google Voice.
Mga Kahulugan ng Google Address
Patched ng Google ang mga bug na pinagana ang pag-atake ng Secure Science noong nakaraang linggo at nagdagdag ng kinakailangan sa password sa system ng voicemail nito, sinabi ng kumpanya sa isang pahayag. "Kami ay nagtatrabaho sa koordinasyon sa Secure Science upang matugunan ang mga isyu na itinaas nila sa Google Voice, at gumawa na kami ng maraming mga pagpapabuti sa aming mga sistema," sinabi ng kumpanya. "Hindi kami nakatanggap ng anumang mga ulat ng anumang mga account na na-access sa paraan na inilarawan sa ulat, at ang ganitong pag-access ay nangangailangan ng ilang mga kondisyon na matugunan nang sabay-sabay."
Ang Skype flaws ay hindi pa nai-patched, ayon kay James. Ang EBay, ang magulang na kumpanya ng Skype, ay hindi kaagad tumugon sa isang kahilingan para sa komento.
Ang mga pag-atake ay nagpapakita kung gaano mapanlinlang ang ligtas na isama ang sistema ng telepono sa lumang paaralan sa mas libreng pag-ikot ng mundo sa Internet, sinabi ni James. "Ang ganitong uri ng nagpapatunay … kung gaano kadali ang VOIP ay magtaas," sabi niya. Siya ay naniniwala na ang mga ganitong uri ng mga flaws halos tiyak na nakakaapekto sa iba pang mga sistema ng VOIP pati na rin. "May mga taong lumitaw diyan kung sino ang maaaring malaman kung paano i-tap ang mga linya ng iyong telepono."
Kung ang Google ay prosecuted, maaari itong kumatawan isang kagiliw-giliw na hamon sa E-commerce Directive ng EU, na nagsasaad na ang mga tagapagbigay ng serbisyo ay hindi kinakailangan upang subaybayan ang nilalaman na dumadaloy sa kanilang mga network o nilalaman ng pre-screen na nai-post sa kanilang mga serbisyo.
Kung ang mga singil ay isinampa, "mapanganib para sa hinaharap ng nilalaman na binuo ng gumagamit," sabi ni Stefano Hesse, pinuno ng komunikasyon para sa Google sa katimugang Europa, noong Lunes.
Ginamit ni Christopher Fowler, isang estudyante sa Georgia Highlands College, ang mga kredensyal sa pag-login ng isang ng mga guro ng paaralan upang ma-access ang computer network ng paaralan, sinasabi ng mga awtoridad. Pinag-uusapan din niya ang sistema ng telepono ng VoIP (voice over Internet protocol) ng paaralan. "Nakuha niya ang isang password mula sa isang propesor sa matematika na may keystroke logger. Iyan ay nagbigay sa kanya ng access sa maraming mga administrative machine,"
Si Fowler, isang mahilig sa computer, ay nag-hang sa IT department ng paaralan at kilala sa mga tauhan doon, sinabi ni Davis. Hindi malinaw na gumawa siya ng anumang masama sa impormasyon na nakolekta niya mula sa kanyang pag-hack, idinagdag niya. "Ito ay isang trahedya, ang batang ito ay nagkaroon ng kanyang buong buhay sa unahan niya, at ito ang kanyang pinili."
Habang ang Apple - at partikular na iPhone - ang mga tsismis ay isang dosenang isang dosenang, ang isang ito ay maaaring may merito. Para sa AT & T, ang isang mas mura na plano sa serbisyo sa antas ng entry ay maaaring humimok sa mga mamimili na nasa-bakod na nagmamahal sa iPhone ngunit hindi ang mga buwanang bayad na kasama nito. Ang isang $ 10 na diskwento ay maaaring hindi mukhang magkano, ngunit maaari itong maakit ang mga bagong tagasuskribi, lalo na kung sinamahan ng isang mas murang iPhon
[Karagdagang pagbabasa: Ang pinakamahusay na mga teleponong Android para sa bawat badyet. ]