Requisitos Checklist para escolher um Cloud Backup e Recovery Service Provider
A fraqueza terrível no coração da segurança global de telefonia móvel tornou-se um rojão úmido: redes mexidos tão rápido para consertar a falha que o pesquisador por trás da descoberta não está fazendo os detalhes público.
É alegado cinco operadoras empurrado para fora correções para seus clientes, explorando o bug.
A falha era para deixar milhões de aparelhos GSM vulneráveis a um ataque de seqüestro realizado em uma simples mensagem SMS. Esse ataque explorado criptografia fraca, pobre controle de processo e um bug JavaCard reservadas a assumir o controle do cartão SIM e, finalmente, o aparelho. Só que, se verificar que a criptografia não é fraco, o processo é controlado e que a falha não revelada permanece desconhecido.
A história veio à tona no mês passado, com manchetes sobre centenas de milhões de telefones que são vulneráveis a ataques e prometeu mais detalhes no chapéu conferência de hackers Preto quando o pesquisador de segurança Karsten Nohl iria revelar tudo.
Nossa própria análise - elogiado por sua precisão por Nohl - apontou que o número de SIMs ainda usando o relativamente fraco 56-bit DES criptografia estava aberto para debate. Follow-up perguntas confirmaram que operadores europeus mudaram-se para o Triple DES mais forte, e qualquer um que substituiu um SIM na última década é provavelmente seguro. (Substituir todos os SIM teria se transformou em um pesadelo financeiro para as redes.)
Os pobres processo, que viu SIMs respondendo a um SMS malformados com uma mensagem de erro assinado digitalmente que vazou dados sigilosos sobre o usuário, é outro desconhecido - embora em seu teste de Nohl descobriu um bom número de SIMs no campo ainda exibem este comportamento.
Mas a parte mais interessante da pesquisa de Nohl foi a suposta falha no JavaCard, que permite que um invasor para saltar entre software no SIM normalmente separados pelo hardware.
JavaCard é uma OS, compartilhando apenas uma sintaxe com a linguagem Java. JavaCard é usado em quase todos os SIMs, e uma boa parte dos cartões de crédito também, ea separação proporciona é fundamental para a idéia de ter mais de uma função em um único chip: um SIM pode conter um aplicativo para se conectar a um telefone GSM rede usando a chave privada do assinante, um app-a-onda pagar NFC com dados bancários sensíveis, e um aplicativo operador fornecidos mostram-meu-pré-pago-balance - nenhum dos quais podem interagir uns com os outros por razões de segurança e privacidade.
Nohl alegou ter quebrado a barreira entre esses apps, e que ele iria dizer a todos na conferência Black Hat, em Las Vegas este mês. Em vez disso ele disse à CNN que os operadores dos EUA ter sido tão rápido para emitir um patch - com base em seu próprio trabalho - que não há nenhum ponto sequer a discutir a vulnerabilidade descoberta e todos podem voltar para as suas vidas, como de costume.
"Elas [as redes móveis] estão adotando métodos hackers para torná-lo mais seguro", Nohl foi citado como dizendo em uma conferência de imprensa. "Abusando das vulnerabilidades Java para atualizar o [SIM] cartão é o resultado mais puro deste."
Alguém poderia perguntar sobre outras operadoras de todo o mundo, e como exatamente a falha foi explorada a fim de entregar uma solução para os clientes sortudos norte-americanos que não têm mais que se preocupar com isso. Se não fosse por um pedigree de Nohl pode até se perguntar se a coisa toda não fosse a criação de uma imaginação febril, ou se ele tinha sido emprestado para jogar para baixo o verdadeiro risco.
Mas Nohl, do Security Labs Research in Germany, quebrou a chave de sessão GPRS e usou um microscópio para ler a chave criptográfica fora de um smartcard , então ele sabe o que faz e tem se mostrado disposto a compartilhá-lo no passado. Nós já derrubou uma linha na esperança de obter mais detalhes sobre a vulnerabilidade que não é mais, mas ao mesmo tempo sentir-se livre para parar de entrar em pânico agora. ®
Nenhum comentário:
Postar um comentário