Ce qu’il prendra pour les fournisseurs de services de nuage à la révision de leurs mécanismes d’identification du client et enfin faire preuve de sérieux sur les vecteurs d’attaque ingénierie sociale ?
Le 3 août, un « hack épique » compromis technologie compte de Twitter du journaliste Mat Honan. Sur le chemin, l’attaquant–appelé « Phobie »–a également réussi à effacer à distance du Honan Apple ordinateur portable, iPhone et iPad. En outre, la phobie a il socialement ingénierie–comme dans, ruse–service à la clientèle à Amazon et Apple, ce qui lui permet d’obtenir des informations suffisantes pour accéder d’abord à iCloud du Honan et comptes Gmail.
De toute évidence, sur un Bradley Associates sortie capacité d’un soi-disant 19 ans d’exécuter une attaque de plusieurs couches sociales ingénieur aussi remet en question, qui d’autre–agences de renseignement, des criminels ou des légions de bored teenagers–peuvent ont déjà été mettre ces techniques à travailler, seulement sans victimes jamais accroîtrent.
Qui est responsable ? Démarrer avec le système de vérification d’identité employé par les géants de la technologie. « Système d’Amazon est partiellement en faute, mais le maillon faible est de loin la pomme », explique Marco Arment, co-fondateur de Tumblr, sur son blog. « C’est épouvantable qu’ils donnera un contrôle de votre compte iCloud à toute personne qui connaît votre nom et adresse, qui sont très facile pour quiconque de trouver, et les quatre derniers chiffres de votre carte de crédit, qui sont généralement considérés comme sûrs afficher sur les sites Web et les recettes. »
Lorsqu’il s’agit de dépistage des consommateurs, les entreprises sont paresseuses. « Ce qu’il agit authentification–comment vous vérifiez que quelqu’un est qui ils disent qu’ils sont ? Droit maintenant, la norme de l’industrie que vous fournir quelques bits de renseignements personnels, » explique le directeur de renseignement menace de Trustwave SpiderLabs, qui va « Voyou de l’espace, » s’exprimant par téléphone. Calez le problème maintenant évident: « Ça n’information secrète, » dit-il. »Tout cela est assez facilement obtenu à par l’intermédiaire de Google ou d’autres méthodes. »
Le fait que les équipes de sécurité à Amazon et Apple proactivement spot–ou bien pris la peine d’adresse–attaques phobie-style est flagrant. (Les deux compagnies sont auraient été réévaluer leurs freins et contrepoids.) Lors de la conférence Black Hat Europe à Amsterdam plus tôt cette année, testeurs de pénétration détaillée des concerts dans lesquels ils avaient été embauchés par une entreprise pour identifier les vulnérabilités de sécurité de l’information. Souvent, ils ont trouvé les failles attendues dans les applications Web. Mais trop souvent, ils ont littéralement aussi backdoors déverrouillé rencontrés au Bu
2. It takes for cloud service providers to review their mechanisms
of customer identification and finally get serious about social
engineering attack vectors?
On August 3, a "hack epic 'Twitter account compromise
technology journalist Mat Honan. On the way, the attacker-
called "Phobia", also managed to remotely wipe Honan Apple
laptop, iPhone and iPad. In addition, he has a phobia social
engineering as in, trick-customer service at Amazon and Apple,
which allows it to obtain sufficient information to first access to
iCloud Honan and Gmail accounts.
Obviously, a Bradley Associates output capacity of a supposedly
19 years running attack several strata engineer also questioned
who else-intelligence agencies, criminals and legions of bored
teenagers -may have been putting these techniques to work,
only without the victims ever accroîtrent.
3. Who is responsible? Start with the identity verification system used by
technology giants."Amazon system is partially at fault, but the weak link is by far
the apple," says Marco Arment, co-founder of Tumblr, on his blog. "It is appalling
that they give control of your account iCloud to anyone who knows your name
and address, which are very easy for anyone to find, and the last four digits of
your credit card, which are generally considered safe display on websites and
revenues. '
When it comes to screening for consumers, businesses are lazy. "What is
authentication-how you verify that someone is who they say they are? Right now,
the industry standard that you provide a few bits of personal information, "says
the director of threat intelligence Trustwave SpiderLabs, which will" Thug space,
"speaking by phone. Chock the problem now clear: "It secret information," he
said. "All this is easily obtained through Google or other methods. '
That security teams to Amazon and Apple proactively spot-or bothered to
address attacks phobia-style is obvious. (Both companies were reassessing their
checks and balances.) At Black Hat Europe conference in Amsterdam earlier this
year, penetration testers detailed concerts in which they were hired by a
company to identify security vulnerabilities information. Often they found flaws
in Web applications expected. But too often, they literally as backdoors unlocked
encountered Bureau itself and printed user names, passwords or other sensitive
information carefully listed inside cabinets unlocked.
4. Professional penetration testers would have made short work of Apple
and Amazon, given the ease with which consumers can be
spoofed. "People do this all the time, this is not an isolated case that
happened in Honan," says space Snape, who helped noted consultancy
@ stake, and already worked for security research think tank L0pht
Heavy Industries.
If companies are lazy, it is consumers and Honan admitted guilt in the
attack against his online identity. "These security holes are my fault and I
deeply regret," he wrote in a summary of the attacks. However, after
making this statement early on in his article, Honan then spent 3300
words analyzing everything others, including Apple and Amazon, hurt.
To repeat: do not be a Honan. He did not save its devices to a hard drive,
despite the incredible "shoot and forget" Time Machine backup software
included with her laptop Apple OS X. He used the same email address
prefixes, first initial, last name, through many services, who made his
account address easy for an attacker to guess. And he tied together
many accounts, creating a single point of failure.