Android

Les services VoIP sont vulnérables aux botnets, les chercheurs en sécurité disent

Mikko Hypponen - 'Cyber Arms Race' at Les Assises de la Sécurité et des Systèmes d'Information 2018

Mikko Hypponen - 'Cyber Arms Race' at Les Assises de la Sécurité et des Systèmes d'Information 2018

Table des matières:

Anonim

Des failles dans les systèmes de téléphonie populaires sur Internet pourraient être exploitées pour créer un réseau de comptes de téléphone piraté, un peu comme les botnets qui ont fait des ravages dans les ordinateurs ces dernières années.

Des chercheurs de Secure Science ont récemment découvert des moyens de passer des appels non autorisés à partir de Skype et des nouveaux systèmes de communication Google Voice, selon Lance James, cofondateur de l'entreprise.

Eavesdropping par IP

Un attaquant pourrait accéder aux comptes en utilisant les techniques découvertes par les chercheurs, puis utiliser un PBX à faible coût (échange de branche privée) pour faire des milliers d'appels à travers ces comptes.

Les appels seraient pratiquement introuvables, de sorte que les attaquants pourraient mettre en place un désordre automatisé systèmes vieillissants pour essayer de voler des informations sensibles aux victimes, une attaque connue sous le nom de vishing. Les appels peuvent être un message enregistré demandant au destinataire de mettre à jour les détails de son compte bancaire, par exemple.

"Si je vole beaucoup de [comptes Skype], je peux configurer [un PBX] pour faire un tour complet de tous ces numéros, et je peux mettre en place un botnet virtuel Skype pour faire des appels sortants, ce serait un véritable enfer pour un phisher et ce serait une sacrée attaque pour Skype, "dit James.

Dans Google Voice, l'attaquant pourrait même intercepter ou snoop sur les appels entrants, James a dit. Pour intercepter un appel, l'attaquant utiliserait une fonction appelée Renvoi temporaire d'appel pour ajouter un autre numéro au compte, puis utiliser un logiciel gratuit tel qu'Asterisk pour répondre à l'appel avant que la victime n'entende un appel. En appuyant ensuite sur le symbole de l'étoile, l'appel pourrait être transmis au téléphone de la victime, permettant à l'attaquant d'écouter l'appel

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Spoofing Source de l'appel

Les chercheurs de Secure Science ont pu accéder aux comptes qu'ils avaient configurés à l'aide d'un service en ligne appelé spoofcard, qui permet aux utilisateurs de faire croire qu'ils appellent à partir du numéro qu'ils désirent.

Spoofcard a été utilisé dans le passé pour accéder aux comptes de messagerie vocale. Le plus célèbre, il a été blâmé lorsque le compte BlackBerry de l'actrice Lindsay Lohan a été piraté il y a trois ans et envoyé des messages inappropriés.

Les attaques sur Google Voice et Skype utilisent différentes techniques, mais elles fonctionnent toutes les deux Pour accéder à son système de messagerie vocale.

Pour que l'attaque Skype fonctionne, la victime devrait être amenée à visiter un site Web malveillant dans les 30 minutes suivant sa connexion à Skype. Dans l'attaque de Google Voice (pdf), le pirate doit d'abord connaître le numéro de téléphone de la victime, mais Secure Science a imaginé un moyen de le comprendre en utilisant le service de messages courts (SMS) de Google Voice.

Google Adresses > Google a corrigé les bogues qui ont permis l'attaque de Secure Science la semaine dernière et a ajouté un mot de passe à son système de messagerie vocale, a indiqué la compagnie dans un communiqué. «Nous avons travaillé en coordination avec Secure Science pour résoudre les problèmes qu'ils ont soulevés avec Google Voice, et nous avons déjà apporté plusieurs améliorations à nos systèmes», a déclaré la société. "Nous n'avons reçu aucun rapport de l'accès aux comptes de la manière décrite dans le rapport, et un tel accès nécessiterait un certain nombre de conditions à remplir simultanément."

Les failles de Skype n'ont pas encore été corrigées, selon James. EBay, la société mère de Skype, n'a pas immédiatement répondu à une demande de commentaire

Les attaques montrent à quel point il sera difficile d'intégrer en toute sécurité le système téléphonique old-school dans le monde plus libre de l'Internet, a déclaré James. "Ce genre de prouve … comme la VoIP est facile à bousiller", a-t-il dit. Il croit que ce genre de défauts affecte aussi certainement les autres systèmes VoIP. "Il y a des gens qui savent comment exploiter vos lignes téléphoniques."

Les chercheurs du MIT disent que les traits plus denses peuvent être gravés sur des puces Les chercheurs du Massachusetts Institute of Technology disent avoir fait une percée avec la technologie de la lumière qui pourrait éventuellement aider les fabricants de puces à créer des circuits plus fins.

Les chercheurs du MIT disent que les traits plus denses peuvent être gravés sur des puces Les chercheurs du Massachusetts Institute of Technology disent avoir fait une percée avec la technologie de la lumière qui pourrait éventuellement aider les fabricants de puces à créer des circuits plus fins.

Les chercheurs ont trouvé un moyen de focaliser un faisceau de lumière Rajesh Menon, ingénieur de recherche au département de génie électrique et d'informatique du MIT, a déclaré que les fabricants de puces dépendent de la lumière pour tracer des schémas de circuits sur les puces, mais la plupart des les techniques utilisées aujourd'hui ne peuvent pas produire de motifs plus petits que la longueur d'onde de la lumière elle-même.

Malgré le nombre croissant de cyberattaques réussies lancées par des pirates informatiques d'Asie de l'Est contre des entreprises et des institutions gouvernementales dans le monde ces dernières années, les cybercriminels d'Europe de l'Est sont une menace plus sophistiquée. Les cybercriminels européens restent une menace plus sophistiquée pour l'Internet mondial, disent les chercheurs en sécurité.

Malgré le nombre croissant de cyberattaques réussies lancées par des pirates informatiques d'Asie de l'Est contre des entreprises et des institutions gouvernementales dans le monde ces dernières années, les cybercriminels d'Europe de l'Est sont une menace plus sophistiquée. Les cybercriminels européens restent une menace plus sophistiquée pour l'Internet mondial, disent les chercheurs en sécurité.

"Alors que les pirates informatiques d'Asie de l'Est dominent les manchettes de la cybersécurité dans le monde avec des intrusions et des menaces persistantes avancées (APT), ce serait une erreur pour conclure que ces attaquants sont la seule ou la plus grande menace criminelle pour l'Internet mondial aujourd'hui " Tom Kellermann, vice-président de la cybersécurité du fournisseur d'antivirus Trend Micro, a déclaré dans un rapport intitulé "Pierre le Grand contre Sun Tzu".

Les services bancaires aux consommateurs ont été durement touchés par les hackers. les banques - comme celles du Royaume-Uni - ont mis en place des contrôles de sécurité plus stricts. Mais les systèmes de banque d'affaires - utilisés pour transférer des sommes d'argent beaucoup plus importantes - sont plus fréquemment ciblés, en particulier aux États-Unis, a déclaré Dave Jevans, PDG d'IronKey et fondateur du groupe de travail Anti-Phishing. Il est arrivé que le secteur de la vente au détail - du

Les services bancaires aux consommateurs ont été durement touchés par les hackers. les banques - comme celles du Royaume-Uni - ont mis en place des contrôles de sécurité plus stricts. Mais les systèmes de banque d'affaires - utilisés pour transférer des sommes d'argent beaucoup plus importantes - sont plus fréquemment ciblés, en particulier aux États-Unis, a déclaré Dave Jevans, PDG d'IronKey et fondateur du groupe de travail Anti-Phishing. Il est arrivé que le secteur de la vente au détail - du

[Plus d'informations: Comment supprimer les logiciels malveillants sur votre PC Windows]