Escolhendo uma nuvem de hospedagem parceiro com confiança
Qualquer pessoa que queira saber a hora líderes mundiais chegam na Austrália para a próxima cimeira do G20 só precisa ouvir transmissões de aeroportos australianos, pesquisador Ed Farrell afirmou no Ruxcon conferência.
Notícias de VIP chegadas do aeroporto são apenas uma das peças de informação interessante o consultor de segurança Sydney monitorados sinais pager por cerca de cinco meses este ano reuniu mais de 1,1 milhões de transmissões.
Dentro desse cache, ele encontrou a Organização de Ciência e Tecnologia de Defesa (DSTO) e IBM transmitindo seus centros de dados de solicitação de mudança de identidades (essencialmente acessar credenciais), hospitais emitem registros médicos sensíveis, incluindo nomes e endereços, e um grande aeroporto não identificado que anunciou os nomes dos VIPs de entrada.
"Nos primeiros cinco minutos de audição eu estava capturando as coisas que não deveriam ter sido transmitidos - coisas como arquivos confidenciais de pacientes, um serviço de call-out para um caixa eletrônico, e algumas coisas os serviços de emergência", disse Farrell.
"A equipe de segurança do aeroporto de [um] foram coordenar os movimentos de alguns dos delegados do G20 e estavam transmitindo seus movimentos em texto puro.
"Havia alguns da DSTO para fora em Morebank e IBM tinha enviado pessoal mudar pedidos também."
Ele acrescentou que os aeroportos também transmitiram a chegada de estrelas da música pop, incluindo Katy Perry em março.
Mensagens de pager capturados foram transmitidos em uma mochila durante Ruxcon . Darren Pauli. © The Register
Espionagem pager de Farrell, confinado à escuta da POCSAG protocolo, não era novo, mas fez ilustrar os riscos que a tecnologia antiquada apresentados nos dias de hoje.
Ele tem capturado e usado transmitido dados de solicitação de mudança para entrar centros de dados como parte de profissionais testes de penetração de engenharia social que também serviu como uma demonstração de que os criminosos audaciosos poderia fazer para ter acesso às instalações.
Custou Farrell não mais de R $ 9 para adquirir um sintonizador capaz de capturar as informações que, juntamente com a riqueza de informações-hacking pager disponíveis on-line fez a antiga tecnologia um vector fácil de ataque.
Organizações não precisa jogar fora o pager humilde, nem seguir a rota de criptografia, mas simplesmente garantir que as mensagens eram benignos.
"A realidade é que, se as mensagens são genéricos o suficiente para que eles não estão divulgando informações confidenciais, em seguida, havia pouco risco."
Ele disse que entre 20 e 30 por cento das mensagens eram ou não sem sentido ou aparentemente benigno transmissões máquina-a-máquina - no entanto, ele foi capaz de correlacionar algumas das últimas páginas para determinar que foi emitido pelo Departamento de Defesa, mas não a sua contents.®
Nenhum comentário:
Postar um comentário