Ανεξαρτήτως των μέτρων ασφαλείας που λαμβάνει κάποιος, το μόνο που χρειάζεται ένας καταρτισμένος χάκερ για να παραβιάσει το smartphone του, να βρει την τοποθεσία του και να υποκλέψει τις συνομιλίες του είναι ο αριθμός τηλεφώνου του.

Το εν λόγω «hack», όπως αναφέρει ο Guardian, είχε παρουσιαστεί πρώτα από τον Γερμανό ερευνητή ασφαλείας Κάρστεν Νολ το 2014 σε συνδιάσκεψη χάκερ στο Αμβούργο. Ο ίδιος έδειξε ότι αυτό είναι δυνατό και σήμερα, στην εκπομπή «60 Minutes» του CBS.

Η μέθοδος αυτή χρησιμοποιεί την υπηρεσία Signalling System No.7 (SS7), γνωστή επίσης ως C7 ή CCSS7, που λειτουργεί ως διαμεσολαβητής μεταξύ διαφορετικών δικτύων κινητής τηλεφωνίας.

Όταν γίνονται κλήσεις μεταξύ δικτύων, το SS7 διαχειρίζεται λεπτομέρειες όπως η «μετάφραση» αριθμών, η μεταφορά μηνυμάτων SMS κ.α.

Αποκτώντας πρόσβαση στο SS7, ο επιτιθέμενος μπορεί να βρει τη θέση κάποιου, να διαβάσει τα μηνύματα, να υποκλέψει συνομιλίες κ.α., απλά και μόνο χρησιμοποιώντας τον αριθμό τηλεφώνου ως μέσο ταυτοποίησης.

Ο Νολ εργάζεται στον τομέα της ανάλυσης τρωτών σημείων στο SS7 για λογαριασμό σειράς εταιρειών του χώρου της κινητής τηλεφωνίας.

Στο πλαίσιο της επίδειξης, μπόρεσε να εντοπίσει ένα ολοκαίνουριο τηλέφωνο που είχε δοθεί στον Τεντ Λιου, μέλος του Κογκρέσου, στην Καλιφόρνια, χρησιμοποιώντας μόνο τον αριθμό τηλεφώνου.

Ο Νολ ήταν σε θέση να παρακολουθήσει τις κινήσεις του Λιου στο Λος Άντζελες, να διαβάσει τα μηνύματά του και να καταγράψει συνομιλίες μεταξύ του ίδιου και των συνεργατών του.

Σύμφωνα με το Ars Technica, το SS7 χρησιμοποιείται από πάνω από 800 εταιρείες τηλεπικοινωνιών ανά τον κόσμο.

Κάποιες εταιρείες αναφέρουν ότι είναι σε διαδικασία αντικατάστασής του από πιο ασφαλές πρωτόκολλο (Diameter), ωστόσο θεωρείται ότι θα παραμείνει σε υπηρεσία για αρκετά χρόνια ακόμα.

ΠΗΓΗ: naftemporiki.gr

Ο Δημήτρης Καρακώστας και ο Διονύσης Ζήνδρος αναβάθμισαν την επίθεση BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) για να διαπερνά τους πιο κοινούς αλγόριθμους κρυπτογράφησης του Ιστού.



Οι δύο διδακτορικοί φοιτητές που παρουσίασαν την επίθεση «BREACH» κυκλοφόρησαν μάλιστα και ένα framework που θα βοηθήσει τους χάκερ (με καλές προθέσεις) και τις υπηρεσίες πληροφοριών να κατασκοπεύουν Facebook και Gmail.


Η ελληνική ομάδα απέδειξε πως στο Διαδίκτυο δεν μπορεί να υπάρξει ο όρος ασφάλειαΣτο «Black Hat Asia», το ζευγάρι απέδειξε για άλλη μια φορά πως στο Internet δεν μπορεί να υπάρξει ο όρος ασφάλεια ακόμα και στις πιο δημοφιλείς διαδικτυακές υπηρεσίες, που επενδύουν ένα σωρό χρήματα και εργατοώρες για να προστατευτούν.

Η νέα έκδοση του BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) είναι ακόμα πιο ισχυρή: οι χάκερ μπορούν να στοχεύσουν «θορυβώδη» end-points που δεν χρησιμοποιούν ισχυρούς αλγόριθμους κρυπτογράφησης, συμπεριλαμβανομένης και της AES 128 bit.


Η ομάδα αναφέρει ότι η νέα επίθεση είναι επίσης 500 φορές πιο γρήγορη από την αρχική επίθεση.

Η αρχική επίθεση «BREACH» κυκλοφόρησε στο Black Hat στο 2013 και έτυχε διεθνούς αναγνώρισης. Η επίθεση πρόσβαλε τον κοινό Deflate αλγόριθμο συμπίεσης δεδομένων που χρησιμοποιείται για να εξοικονομήσει bandwidth στις επικοινωνίες μέσω διαδικτύου.

Όπως αναφέρει το secnews, ο Καρακώστας και ο Ζήνδρος (@dionyziz) από το Εθνικό Μετσόβιο Πολυτεχνείο και το Πανεπιστήμιο Αθηνών περιέγραψαν το project τους στο έγγραφο Practical New Developments on BREACH (PDF).

Στη σκηνή του «Black Hat Asia», παρουσίασαν το πώς θα μπορούσε να χρησιμοποιηθεί η επίθεση για να διαβάσετε τα μηνύματα του θύματος στο Facebook αλλά και μηνύματα ηλεκτρονικού ταχυδρομείου στο Gmail, χρησιμοποιώντας το «Rupture» framework, που ανέπτυξαν και καθιστά την επίθεση πολύ πιο απλή.


Ήδη η είδηση έχει αρχίσει και αναπαράγεται από διεθνή ΜΜΕ τα οποία ασχολούνται με τεχνολογικά θέματα...


«Μια επίθεση όμως δεν είναι παιδικό παιχνίδι» ανέφεραν και πρόσθεσαν ότι «θα χρειάζονταν εβδομάδες για να παραβιάσουν με επιτυχία έναν στόχο».Το «Rupture» framework είναι ανοικτού κώδικα και αναπτύσσεται από διδακτορικούς φοιτητές της ομάδας.

zougla.gr

Με βίντεο που ανέβασαν στο YouTube προειδοποιούν ότι θα χακάρουν όλους τους λογαριασμούς των τζιχαντιστών, επισημαίνοντας ότι ήδη έχουν καταφέρει να "ρίξουν" πολλούς λογαριασμούς στο Twitter, που συνδέονται με τον ISIS.

«Θα τους χτυπήσουμε ξανά. Θα υπερασπιστούμε τα δικαιώματα της ελευθερίας και της ανοχής», δηλώνει ο εκφωνητής των «Anonymous» στο βίντεο.

Δείτε το βίντεο εδώ:

enikos.gr