Hagytam, hogy egy hacker betörjön a hangpostámba - és másodpercek alatt meg is tette

Hagytam, hogy egy hacker betörjön a hangpostámba - és másodpercek alatt meg is tette

- Szia, Dell. Ő Andrew az EFF-nél. Megszakadt a kapcsolatunk. Ó, azt hiszem, hívhatsz.


optad_b

Telefoncímkével játszottam Andrew Crockerrel, az Electronic Frontier Alapítvány jogásztársával egy folyamatos beszélgetés során nemzetbiztonsági levelek . Egy hetes hangpostaüzenet volt, éppen a postaládámban ült. De a telefonomon nem hallgattam az üzenetét. A laptopomon olvastam egy csevegőszobában egy találóan „Phr3ak” nevű hackerrel.

- Hívás vége - felelte Phr3ak, mintha visszaadná a postaládámat - amire soha többé nem fogok támaszkodni.



'Minden szolgáltatónál működik, és több országban tesztelték' - tette hozzá. - Természetesen engedélyével.

A valóságban a Phr3ak az Jamie Woodruff , egy 21 éves biztonsági kutató az angliai Rishtonból, akinek engedélye volt betörni a hangpostámba. Ha nem, demonstrációja súlyos bűncselekményt jelentett volna a brit adatvédelmi törvény (DPA) szerint. Újságírók és magánszemek vádolták a most hírhedteket Hírek Nemzetközi telefonhackelési botrány évek előtt állnak a rács mögött. Amerikában a számítógépes csalások évtizedeket kereshetnek.

Annak ellenére, hogy a Murdoch-i vitát követően a hangposta-hackeléssel szembeni fellépés megtörtént A világ hírei sajnos maga a cselekmény könnyebb, mint valaha.

'Alapvetően a mobiltelefonomról érkező kimenő hívás továbbításra kerül a VoIP [Voice over IP] szerveremre' - magyarázta Woodruff. - Ezután meghamisítom a kimenő hívást; Átverem a telefonját, hogy azt gondolja, hogy helyben hív, és így megkerüli a hangposta szervert. '



Lehet, hogy ez nem hangzik egyszerűen a többiek számára, de ez nem egy új technika. Valójában, ami a hackelést illeti, ez a kihasználás elemi. Évek óta az emberek telefonon 'hamisítanak', azzal csalják a telefonrendszereket, hogy azt higgyék, más telefonszámról hívnak. Gyakrabban ártalmatlan tréfaként alkalmazzák, de sokkal több ördögi alkalmazás van. Például ügyvédi irodának, rendőrkapitányságnak vagy telefonos társaságnak való megjelenés egy idegen számára hasznos eszköz azoknak a szociális mérnököknek, akik információt keresnek a védjegyeikről, különben nem tehetik közzé.

A nyilvánosság számára jelenleg elérhető kezdetleges eszköz neve SpoofCard. Az árért a felhasználók tárcsázhatnak egy 800-as számot, megadhatják egyedi PIN-kódjukat, és rendelkezhetnek bármilyen kívánt kimenő számmal. A személyiség elrejtése érdekében a támadók a Skype segítségével könnyedén kezdeményezhetik a hívást, miközben egy virtuális magánhálózaton (VPN) keresztül irányítják őket. De Woodruff nem használja a SpoofCard-ot.

- A SpoofCard szar - jegyezte meg Woodruff, miután a beérkezett üzeneteimbe beszivárgott. 'Az enyém ingyenes, gyorsabb, és nem igényel külső szám hívását.' A névtelenek maradásának lépései azonban ugyanazok: VPN használata és a VoIP protokollok szabványos webes titkosításon (SSL) keresztül történő továbbításának biztosítása.

A telefoncég trükkje, hogy azt gondolják, ő vagyok, elengedhetetlen Woodruff demonstrációjához. Bármely más számtól a rendszer mindig megköveteli az egyedi PIN-kódomat. Velem (vagy inkább a telefonomként) álcázva meghallgathatta az összes üzenetemet, törölhette őket, megváltoztathatta az üdvözletemet és még a jelszavamat is.

Szerencsére ki tudom javítani ezt a lyukat azzal, hogy mindig PIN kódot kérek. Hamarosan megtudtam, hogy sok barátomnál nincs engedélyezve ez a lehetőség. (Több kollégám sürgetett, hogy módosítsa saját hangposta beállításait, amikor megbeszéltük ezt a történetet.)

Woodruff egy önállóan etikus hacker volt, aki határozott volt abban, hogy soha nem fog senkit támadni senkivel - legalábbis nem az ő engedélyük nélkül. 'Mindig írásbeli és szóbeli felhatalmazásom van' - mondta.



A Southamptoni Egyetem tavaly áprilisi hackathonján Woodruff sebezhetőséget azonosított Facebook és elismerték a penetrációs teszt mérnök az IT biztonsági szakértők ( MAGA ), a Nemzetbiztonsági Ügynökség (NSA) által elismert tanúsítvány. A múlt héten, az Innotech Summit 2014 konferencián megosztotta színpadát Mustafah Al-Bassam volt lulzseci hackerrel és Borris Johnson londoni polgármesterrel az adatvédelemről, az adatokról és az online jogszabályokról.

Habár néhány beállítás megváltoztatásával képes voltam megvédeni magam Woodruff támadásától, van egy másik jelentős biztonsági hiba, amelytől soha nem szabadulok meg: a telefoncég. Az ügyfélszolgálati ügynököknek túl sok energiájuk van. Ha valaki elég meggyőző lenne, vagy esetleg lenne megfelelő információja rólam, szívesen visszaállítaná a jelszavamat.

'Sírhatok, és úgy tehetek, mintha demenciában szenvednék' - írta Woodruff biztosan. - Engednek. Bízz bennem. Amikor az emberek kívül vannak a komfortzónán, könnyű. '

A hackerek minden eddiginél jobban számítanak a kiszámítható emberi lustaságra, hogy megszerezzék számukra a szükséges hozzáférést, különösen most, amikor olyan sok vállalat lépéseket tesz az adatvédelem fokozása érdekében. Napokba vagy hetekbe telhet, mire a számítógép kitalálja a jelszavamat, ha egy ilyen támadást még megengedtek is. Nem kell ötletgazdának néhány apró információ kibontása: nyilvánvaló válaszok a nyilvánvaló biztonsági kérdésekre; anyám leánykori neve; vagy egy 9 jegyű társadalombiztosítási szám (SSN), amelyet születésem óta használok.

És ha a telefoncéget nem lehet ilyen könnyen átverni, mindig ott vagy.

Képzelje el, hogy sürgős hívást kap egy nem megfelelő pillanatban. A banktól származik - mondja a hívóazonosítója. Valaki megpróbálja kimeríteni a fiókját. Egy éber csalási osztály munkatársa azt állítja, hogy jelezte a gyanús tevékenységet. „Engedélyezni szeretné ezt a visszavonást, uram?” Természetesen nem. 'Ellenőrizheti a társadalombiztosítási szám utolsó négy számjegyét?'

Igen, az áhított, szupertitkos SSN-em - csak ennyit kért a telefontársaságom, amikor felhívtam az értékes PIN-kódom alaphelyzetbe állítását. És mi az SSN? Szám, amelyet nem tudok megváltoztatni, amit rendszeresen a jelszavakkal mondanak. Ki fér hozzá? Minden amerikai kormányzati ügynökség és szinte minden olyan cég, akivel valaha is volt szerződésem. Megkönnyíthetnénk a lopást?

'Tehetnek-e valamit a telefoncégek ennek megakadályozására?' egy megtört engem kérdezi végül Woodruff.

'Nem tehetnek semmit' - válaszolja. 'Még a 2-faktoros hitelesítés is csak elrontaná a hívást, vagy feldühítené az embereket.'

- Tehát valószínűleg akkor mindannyian abba kellene hagynunk a hangposta használatát?

'Igen.'

A képet készítette szalimfadhley / Flickr (CC BY SA 2.0) | Remix: Fernando Alfonso III