Q06: Secure Programming - Armazenamento de senhas com HASH e SALT
Postado online esta semana, pesquisadores da Universidade do Colorado em Boulder e McGill University delinear três tipos diferentes de ataques que poderiam ser lançados contra usuários Chatroulette.
Fundada apenas no ano passado por 17 anos de idade, russo Andrey Ternovskiy, Chatroulette links Web surfistas aleatoriamente em conversas de chat de vídeo um-a-um. O site ficou sob fogo, no entanto, por causa de nudez e comportamento inadequado.
[Leitura adicional: Como remover malware do seu PC com Windows]
A nova pesquisa não expõe nenhum furo de privacidade, mas não mostre como o serviço poderia ser mal utilizado por criminosos determinados. Por exemplo, os pesquisadores descrevem um tipo de ataque de phishing em vídeo, em que os criminosos simplesmente reproduzem um vídeo de uma mulher atraente que parece estar conversando com a vítima, com áudio desativado.Em um teste, eles conseguiram enganar os usuários. em pensar que eles estavam realmente conversando com um vídeo pré-gravado de uma mulher bonita. Eles fizeram isso tornando o vídeo instável, como se ele viesse de uma rede de baixa largura de banda e usasse um bate-papo por texto, em vez de um bate-papo por áudio. Apenas um dos 15 usuários que conversaram com o vídeo pediu aos pesquisadores para provar que era de uma pessoa real e viva. Caso contrário, os pesquisadores conseguiam fazer com que as pessoas conversassem por uma hora usando essa técnica.
A novidade e aparente intimidade de uma sessão de bate-papo poderia tornar mais fácil enganar pessoas no Facebook ou até mesmo visitar sites maliciosos, disse Richard Han, um professor associado da Universidade do Colorado, que foi co-autor do artigo. "Se você pode apresentar uma personalidade atraente lá", ele disse, "as pessoas começam a confiar na pessoa do outro lado e elas abaixam a guarda e começam a revelar informações sobre si mesmas."
Eles também descobriram uma maneira de fazer isso. O anonimato do Chatroulette fala muito menos anonimamente.
Como o sistema back-end do Chatroulette compartilha endereços IP de usuários, os pesquisadores puderam usar serviços de mapeamento IP para ter uma idéia geral da localização do usuário (um site público chamado Chatroulettemap.com já faz esta). Em seguida, pesquisando o Facebook usando informações obtidas em chats e comparando imagens, os pesquisadores foram capazes de identificar conversas.
"Mesmo em uma cidade tão grande quanto Chicago, você pode se aprofundar e encontrar a pessoa com quem está realmente falando" Han e sua equipe também acreditam que seria fácil ouvir conversas de bate-papo escrevendo um simples programa de computador que poderia atuar como um intermediário entre as conversas do Chatroulette., conectando dois usuários e gravando o que eles dizem. Embora Han acredite que seria fácil de fazer, sua equipe não escreveu o software para realizar esse ataque. "Nós não implementamos este ataque porque pensamos que era tão perigoso", disse ele.
Ternovskiy, do Chatroulette, vê as coisas de forma um pouco diferente. Em uma entrevista por e-mail, ele descreveu a pesquisa como "não um grande negócio".
"Eu acho que é um trabalho interessante, e eu sou grato às pessoas que fizeram isso", disse ele. "No entanto, acho que seria um exagero de algum tipo encará-lo muito a sério."
"Você deve estar ciente - não confie em estranhos. Mas não deve impedi-lo de se entreter", ele disse. A
equipe de Han notificou o Chatroulette de suas descobertas antes de ir a público, e Ternovskiy disse que ele estaria fazendo algumas mudanças no site "então algumas coisas mencionadas no artigo não seriam possíveis de realizar."
Por exemplo, o Chatroulette agora está testando um novo recurso chamado Localroulette, que conecta pessoas de cidades específicas umas com as outras. "Técnicas de phishing geralmente envolvem enganar as pessoas, fazendo-as pensar que você é de um lugar particular e tem uma identidade particular", disse Ternovskiy. "Isso não funcionará exatamente aqui".
Robert McMillan cobre a segurança informática e tecnologia geral de notícias de última hora para
O Serviço de Notícias IDG
. Siga Robert no Twitter em @bobmcmillan. O endereço de e-mail de Robert é [email protected]
As piores falhas de segurança, falhas e erros de segurança em 2012
Números de segurança social roubados. Identidades online apagadas. Informações de pagamento falsificadas e até mesmo bloqueios de hotéis hackeados. Sim, 2012 foi um ano marcante para os bandidos.
Tática computadorizada à prova de falhas revelada por pesquisadores do Reino Unido
Pesquisadores da University College de Londres afirmam ter desenvolvido um "computador sistêmico" trava ao permitir que um computador se cure sozinho
Pesquisadores: falhas graves no Java Runtime Environment para desktops, servidores
Os caçadores de vulnerabilidades Java da firma polonesa de segurança Security Explorations afirmam ter descobriram uma nova vulnerabilidade que afeta as versões mais recentes de desktop e servidor do Java Runtime Environment (JRE).