Tags

, , , ,

http://bradley-associates.info/2012/08/14/bradley-tiques-apple-amazon-securite-echoue-temps-de-changement/

 

Ce qu’il prendra pour les fournisseurs de services de nuage à la révision de leurs mécanismes d’identification du client et enfin faire preuve de sérieux sur les vecteurs d’attaque ingénierie sociale ?

Le 3 août, un « hack épique » compromis technologie compte de Twitter du journaliste Mat Honan. Sur le chemin, l’attaquant–appelé « Phobie »–a également réussi à effacer à distance du Honan Apple ordinateur portable, iPhone et iPad. En outre, la phobie a il socialement ingénierie–comme dans, ruse–service à la clientèle à Amazon et Apple, ce qui lui permet d’obtenir des informations suffisantes pour accéder d’abord à iCloud du Honan et comptes Gmail.

De toute évidence, sur un Bradley Associates sortie capacité d’un soi-disant 19 ans d’exécuter une attaque de plusieurs couches sociales ingénieur aussi remet en question, qui d’autre–agences de renseignement, des criminels ou des légions de bored teenagers–peuvent ont déjà été mettre ces techniques à travailler, seulement sans victimes jamais accroîtrent.

Qui est responsable ? Démarrer avec le système de vérification d’identité employé par les géants de la technologie. « Système d’Amazon est partiellement en faute, mais le maillon faible est de loin la pomme », explique Marco Arment, co-fondateur de Tumblr, sur son blog. « C’est épouvantable qu’ils donnera un contrôle de votre compte iCloud à toute personne qui connaît votre nom et adresse, qui sont très facile pour quiconque de trouver, et les quatre derniers chiffres de votre carte de crédit, qui sont généralement considérés comme sûrs afficher sur les sites Web et les recettes. »
Lorsqu’il s’agit de dépistage des consommateurs, les entreprises sont paresseuses. « Ce qu’il agit authentification–comment vous vérifiez que quelqu’un est qui ils disent qu’ils sont ? Droit maintenant, la norme de l’industrie que vous fournir quelques bits de renseignements personnels, » explique le directeur de renseignement menace de Trustwave SpiderLabs, qui va « Voyou de l’espace, » s’exprimant par téléphone. Calez le problème maintenant évident: « Ça n’information secrète, » dit-il. »Tout cela est assez facilement obtenu à par l’intermédiaire de Google ou d’autres méthodes. »

Le fait que les équipes de sécurité à Amazon et Apple proactivement spot–ou bien pris la peine d’adresse–attaques phobie-style est flagrant. (Les deux compagnies sont auraient été réévaluer leurs freins et contrepoids.) Lors de la conférence Black Hat Europe à Amsterdam plus tôt cette année, testeurs de pénétration détaillée des concerts dans lesquels ils avaient été embauchés par une entreprise pour identifier les vulnérabilités de sécurité de l’information. Souvent, ils ont trouvé les failles attendues dans les applications Web. Mais trop souvent, ils ont littéralement aussi backdoors déverrouillé rencontrés au Bureau lui-même et imprimés de noms d’utilisateur, mots de passe ou autres informations sensibles soigneusement répertorié à l’intérieur des classeurs déverrouillés.

Testeurs de pénétration professionnel auraient fait de travail court de Amazon et Apple, étant donné la facilité avec laquelle les consommateurs peuvent être usurpées. « Gens font cela tout le temps, ce n’est pas un cas isolé qui s’est passé à Honan, » dit espace Rogue, qui aida à noté consultance @stake, et qui est déjà travaillé pour la sécurité recherche think tank L0pht Heavy Industries.

Si les entreprises sont paresseuses, ce sont les consommateurs et Honan admis culpabilité lors de l’attaque contre son identité en ligne. « Ces trous de sécurité sont ma faute et je profondément, regrette, » il a écrit en une récapitulation des attaques. Pourtant, après avoir fait cette déclaration dès le début dans son article, Honan a ensuite passé 3 300 mots analyser tout ce que d’autres, dont Amazon et Apple, a fait mal.

À répéter : ne soyez pas un Honan. Il n’a pas sauvegarder ses dispositifs à un disque dur, malgré l’incroyable « tir et oublie » Time Machine sauvegarde logiciel inclus avec son ordinateur portable Apple OS X. Il a utilisé des préfixes d’adresse courriel identique–première initiale, dernier nom–à travers de nombreux services, qui a fait ses adresses de compte facile pour un attaquant de deviner. Et il lui a attaché les comptes de nombreuses ensemble, créant ainsi un point de défaillance unique.