Какво ни казаха днес от Google и какво не ни казаха?

1
26

Както днес от kaldata.com ви съобщихме, от Google излязоха със съобщение, за това, че ние, интернет потребители и притежатели на електронни пощенски кутия в Gmail, а и не само там трябва да сме нащрек за атаки към акаунтите ни, които биха могли да са подпомогнати от (трети) страни подпомагани от про-правителствени групи и стъпки за предотвратяването на подобен пробив, както и това, че от Гугъл ще представят специална предупредителна лента, ако подобно нещо ни се случи. Но точно днес, това малко изглеждаше „ни в клин, ни в ръкав“. Особено, че в официалният документ не се споменаваше има ли конкретен повод за издаването на релийза.

С появата на заплахи като Stuxnet и Duqu, увеличаването на индустриалният шионаж посредством Мрежата и особено разкритието, че Flame не е някаква интелигентна приумица на поредната хактивистка група търсеща внимание, а че е внимателно подготвена целенасочена атака от страна на администрацията на Барак Обама и израелска страна, „опит за атака от про-правителствена страна“ не звучи толкова екзотично сякаш. Разбира се, може да си кажем: „Това не се отнася до мен“ и на този етап може би ще сме прави, но докога?
Ето малко предистория и подробности (макар и нахвърляни в доста сбит вариант) около една атака подготвяна дълго време и случила се миналата седмица. Възможни изводи и вероятности за бъдещето оставяме на вас, нашите читатели.

CloudFlare, набиращата все по-голяма популярност мрежа предоставяща съдържание (CDN) и решения за сигурност, миналата седмица пострада от пробив в сигурността, което позволи на хактивистката група UGNazi да разбие Gmail акаунта на шефа на компанията Матю Принс и да вземе контрол над акаунтите на един от клиентите на CloudFlare. От компанията не казват кой точно е бил обект на атаката, но според някои, че това е бил 4chan.org* (след като тези дни беше хакнат сайта им и посещаващите го бяха пренасочвани към Туитър-акаунта на хактивистката група). Тези дни, седмица след атаката, CloudFlare съобщават още информация за това какво може да се е случило. Оказва се, че атаката е била в резултат от уязвимост в протоколите за сигурност на AT&T и Google. Това е позволило на хакера да вземе контрол над акаунта на клиента на компанията.

Според компанията, ето какво се е случило: хакерът е получил достъп до акаунта на Принс в Gmail и понеже от CloudFlare изпращат имейли на всички администратори, когато даден потребител си смени паролата, потребителят е използвал тази информация да получи достъп до акаунта на шефа на компанията.

Пробивът съобщен по този начин не изглежда като висш пилотаж за опитен злоумишленик (и заради това от CloudFlare заявиха, че вече са сменили политиката си оттогава и, че тази им практика е била „глупост“ от тяхна страна), но тъй като Принс е използвал двустепенна верификация за защита на акаунта си, да се вземе контрол над него не е било толкова лесно, та на въпросният атакуващ му се е наложило да използва някои по-„изкусни“ методи за това. Посредством методи и от социалното инженерство, хакерът е успял да накара AT&T да пренасочи гласовата поща на Принс към пощенската кутия на измамници. След това, хакерът е влязъл в Гмеил и е използвал опцията за възстановяване на акаунта, за да може от Gmail да се обадят на телефона на Принс като му доставят ПИН-код за новта парола. За да стане това, хакерът е трябвало да запише стандартно гласово съобщение, за да може от Гугъл да мислят, че действително човек вдига телефона.
Ако Принс е бил вдигнал телефона си, може би това е щяло поне за момента да забави пробива.

Работата е там, продължава изданието, че двустепенната верификация е трябвало да спре атаката на този етап. Но неизвестно защо, тя не е успяла. От Гугъл са зявили, че са открили опасна уязвимост не в самата система за двустепенна верификация, а в системата за възстановяване на акаунтите. „Вече блокирахме този вектор на атаки, за да предотвратим по-нататъшни пробиви на сигурност“, сухо съобщават от Гугъл. Нещо повече, пред известна онлайн медия за сигурност от Гугъл признаха, че: „ако администраторски акаунт, който е опълномощен да изпраща инструкции за обновяване на паролата към регистриран втори имейл адрес, бива успешно възстановен, двустепенната верификация бива изключвана като опция в резултат на този процес. Ако вторият имейл акаунт (този, който е дал за верификация) е компрометиран, това би било предпоставка за пробив в акаунта на човека.“ От Гугъл нямат информация за компрометиране на други акаунти.

От другата страна:

Представителите на UGNazi, хакерската група, която стои зад атаката:
„4chan.org е терен на който педофили споделят своите „колекции“ и отвратилни перверзници, киснат там. Сайтът почти е лишен от мониторинг и постове на педофили стоят недокоснати супер много време.“
В съобщението се пояснява, че това не е направено с някакви благороднически цели и, че групата не иска да се хвали със своето благородие и т.н. „Направихме го защото можем!“ завършва тяхното кратко съобщение.

*Повече за 4chan.org на: https://en.wikipedia.org/wiki/4chan

0 0 гласа
Оценете статията
Абонирай се
Извести ме за
guest
1 Коментар
стари
нови оценка
Отзиви
Всички коментари