Bot e Botnet - Dicionário de Informática
Índice:
- Eavesdropping por IP
- Spoofing Os pesquisadores do Secure Science conseguiram acessar as contas que tinham configurado usando um serviço online chamado spoofcard, que permite aos usuários fazer parecer como se estivessem ligando de qualquer número que desejassem.
- O Google corrigiu os bugs que ativaram o ataque da Secure Science na semana passada e adicionou um requisito de senha ao sistema de correio de voz, informou a empresa em um comunicado. "Temos trabalhado em coordenação com a Secure Science para resolver os problemas que eles levantaram com o Google Voice, e já fizemos várias melhorias em nossos sistemas", disse a empresa. "Não recebemos nenhum relato de contas sendo acessadas da maneira descrita no relatório, e esse acesso exigiria um número de condições a serem atendidas simultaneamente."
Pesquisadores da Secure Science descobriram recentemente maneiras de fazer chamadas não autorizadas do Skype e dos novos sistemas de comunicação do Google Voice, segundo Lance James, o cofundador da empresa.
Eavesdropping por IP
Um invasor pode acessar contas usando técnicas descobertas pelos pesquisadores, em seguida, usar um PBX de baixo custo (private branch exchange) programa para fazer milhares de chamadas através dessas contas.
"Se eu roubar um monte de [contas do Skype], posso configurar [um PBX] para arredondar todos esses números e eu posso configurar um botnet virtual do Skype para fazer chamadas de saída. Seria um inferno para um phisher e seria um inferno de um ataque para o Skype ", disse James.
No Google Voice, o invasor poderia até interceptar ou bisbilhotar as chamadas recebidas, disse James. Para interceptar uma chamada, o invasor usaria um recurso chamado Encaminhamento de chamada temporária para adicionar outro número à conta e usar software gratuito como o Asterisk para atender a chamada antes que a vítima tenha ouvido um toque. Pressionando então o símbolo de estrela, a chamada poderia então ser encaminhada para o telefone da vítima, dando ao atacante uma maneira de ouvir a chamada.
Spoofing Os pesquisadores do Secure Science conseguiram acessar as contas que tinham configurado usando um serviço online chamado spoofcard, que permite aos usuários fazer parecer como se estivessem ligando de qualquer número que desejassem.
O cartão de crédito foi usado no passado para acessar contas de correio de voz. Mais notoriamente, foi culpa quando a conta BlackBerry da atriz Lindsay Lohan foi hackeada há três anos e depois usada para enviar mensagens inapropriadas.
Os ataques ao Google Voice e Skype usam técnicas diferentes, mas essencialmente funcionam porque nenhum dos serviços exige uma senha para acessar o sistema de correio de voz
Para que o ataque ao Skype funcione, a vítima teria que ser levada a visitar um site mal-intencionado dentro de 30 minutos após o login no Skype. No ataque do Google Voice (pdf), o hacker precisaria primeiro saber o número de telefone da vítima, mas a Secure Science criou uma maneira de descobrir isso usando o Serviço de Mensagens Curtas (SMS) do Google Voice.
Google Addresses Falhas
O Google corrigiu os bugs que ativaram o ataque da Secure Science na semana passada e adicionou um requisito de senha ao sistema de correio de voz, informou a empresa em um comunicado. "Temos trabalhado em coordenação com a Secure Science para resolver os problemas que eles levantaram com o Google Voice, e já fizemos várias melhorias em nossos sistemas", disse a empresa. "Não recebemos nenhum relato de contas sendo acessadas da maneira descrita no relatório, e esse acesso exigiria um número de condições a serem atendidas simultaneamente."
As falhas do Skype ainda não foram corrigidas, de acordo com James. O eBay, empresa-mãe do Skype, não respondeu imediatamente a um pedido de comentário.
Os ataques mostram quão complicada será a integração segura do sistema de telefonia tradicional ao mundo mais livre da internet, disse James. "Isso prova que o VoIP é fácil de estragar", disse ele. Ele acredita que esses tipos de falhas quase certamente afetam outros sistemas VoIP também. "Há pessoas por aí que podem descobrir como tocar em suas linhas telefônicas".
Avisos de segurança não funcionam, dizem pesquisadores
Pesquisadores da Carnegie Mellon dizem que usuários ignoram em grande parte os avisos de "certificado inválido" que navegadores às vezes são exibidos.
Pesquisadores de segurança estão vendo uma pressão renovada do Gumblar, o nome de um código malicioso que se espalha comprometendo Web legítimos Pesquisadores de segurança estão vendo um ressurgimento do Gumblar, o nome de um código malicioso que se espalha por meio do comprometimento de sites legítimos, mas inseguros. Em maio, milhares de sites foram encontrados hackeados servir um iframe, que é uma maneira de levar o conteúdo de um site para outro. O iframe levou ao domínio "gumblar.cn&qu
O Gumblar também mudou suas táticas. Em vez de hospedar a carga maliciosa em um servidor remoto, os hackers agora colocam esse código em sites comprometidos, dizem os fornecedores da IBM e da ScanSafe. Também parece que o Gumblar foi atualizado para usar uma das vulnerabilidades mais recentes nos programas Adobe Reader e Acrobat, de acordo com o blog IBM Security Systems Frequency X.
Senhas específicas de aplicativos enfraquecem a autenticação de dois fatores do Google, dizem pesquisadores Pesquisadores descobriram uma brecha no sistema de autenticação do Google que permitia para ignorar a verificação de login em duas etapas da empresa abusando das senhas exclusivas usadas para aplicativos individuais.
Pesquisadores do provedor de autenticação de dois fatores Duo Security descobriram uma brecha no sistema de autenticação do Google que permitiu ignorar a verificação de login em duas etapas da empresa abusando das senhas exclusivas usadas para conectar aplicativos individuais às contas do Google.