За последнюю неделю опубликовано 0 новых материалов.
Инструкция новичку Путеводитель по форуму Прокси для Telegram Показать подсказки , это бомба!

Исследователи Positive Technologies вновь продемонстрировали небезопасность SS7

  • Поучаствуй (в качестве покупателя) в любых пяти совместных покупках (кроме завершённых и "Моментальных") и получи группу "Новичок" навсегда -> ссылка на раздел
  • Получай до 480 рублей за каждого приглашенного пользователя!
    представляем Вам очередное расширение партнерской программы, подробности описаны тут -> ссылка
  • 90% материалов доступно к скачиванию после простой регистрации!
    Если же ты хочешь скачивать материалы без требования оставлять отзывы то получи группу "Новичок", 10 способов повышения описаны тут -> ссылка
  • К сожалению количество битых ссылок растет и мы уже не можем их оперативно восстанавливать поэтому просим помощи у каждого нашего пользователя.
    С сегодняшнего дня, за каждую восстановленную ссылку мы заплатим Вам.
    Подробнее тут -> ссылка
  • Перенесем твои заслуги с другого ресурса!
    Мы понимаем как сложно прокачивать аккаунты на форумах, вроде раскачал аккаунт, а тут появляется ресурс в 100 раз круче но тоже с системой прокачки и снова качать аккаунт...
    Предлагаем вам перенести Ваши заслуги на другом подобном ресурсе к нам.
    Подробности описаны тут -> ссылка
  • Вы можете получать по 2.5% с каждой покупки и продажи на маркете! Подробности в теме Партнёрская программа

News_Bot

Бот новостей и статей
Бот форума
29 Сен 2016
3.023
38
20
Исследователи Positive Technologies вновь продемонстрировали небезопасность SS7



О небезопасности набора сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), который до сих пор используют крупнейшие операторы связи по всему миру, говорят очень давно. Дело в том, что SS7 был разработан еще в 1975 году, а в настоящее время безнадежно устарел и фактически не имеет никакой защиты.

Исследователи не раз доказывали небезопасность SS7 и даже описывали возможные способы эксплуатации проблем стека. К примеру, немецкий эксперт Тобиас Энгель (Tobias Engel) дважды выступал на конференции Chaos Communication Congress, в 2010 и 2014 годах, предупреждая о том, что при помощи SS7 можно обнаружить и отследить практически любого жителя планеты, просто зная его телефонный номер.

В том же 2014 году специалисты компании Positive Technologies Дмитрий Курбатов и Сергей Пузанков представили доклад на конференции Positive Hack Days, в котором рассказывали не только о прослушке, но и о многих других возможностях хакеров в сигнальной сети SS7, включая DoS-атаки, фрод, перевод денег, перехват SMS-сообщений и определение местоположения абонента без его ведома.

Весной 2017 года и вовсе стало известно о том, что атаки с использованием уязвимостей SS7 перешли из теоретической плоскости в реальность. Тогда журналисты немецкого издания Süddeutsche Zeitung рассказали о проведенном ими расследовании, согласно которому преступники уже атакуют SS7, чтобы обходить механизм двухфакторной аутентификации, используемый банками, и осуществлять неавторизованные транзакции с чужих счетов.

К сожалению, даже это не смогло привлечь к проблеме должного внимания. Поэтому теперь специалисты компании Positive Technologies решили еще раз, не словом, но делом, продемонстрировать миру небезопасность SS7. Специалисты опубликовали proof-of-concept видеоролик, в котором атака предстает во всей красе.

Вначале исследователи узнали номер телефона и email-адрес (Gmail) своей теоретической жертвы, а затем инициировали процесс сброса пароля для данной учетной записи. Так как у жертвы была подключена двухфакторная аутентификация, исследователи воспользовались уязвимостями SS7 и перехватили SMS-сообщение, содержащее одноразовый код.

Захватив управление аккаунтом Gmail, специалисты направились прямиком на одну из крупнейших криптовалютных бирж мира, Coinbase, так как кошелек жертвы был привязан к скомпрометированному почтовому ящику. После этого осталось только сбросить пароль и здесь, еще раз перехватить SMS, и все денежные средства теоретического пострадавшего перешли в полное распоряжение исследователей.

Хотя со стороны, для неискушенного пользователя, атака может выглядеть как уязвимость Gmail или Coinbase, это совсем не так, уязвимы сами сотовые сети, а также ненадежна двухфакторная аутентификация через SMS. Напомню, что еще в середине 2016 года Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».
«Эксплуатация особенностей сигнальных сетей SS7 является лишь одним из нескольких способов перехвата SMS-сообщений. Но отказ от SMS для пересылки одноразовых паролей пока невозможен — это самая универсальная и доступная технология двухфакторной аутентификации. Поэтому каждому оператору связи необходимо анализировать уязвимости и планомерно повышать уровень защищенности абонентов», — говорит Сергей Пузанков, руководитель группы консалтинга в области безопасности телекоммуникационных систем Positive Technologies.​
 

Привет!

Мы группа людей которые решили помочь другим в решении их проблем, а так же пользователям с поиском самых свежих и качественных инфопродуктов. За 4 с небольшим месяца мы создали этот форум на который заходят ежедневно тысячи человек и посещаемость постоянно растёт. Мы создали панель лицензирования для защиты PHP скриптов от воровства и SEO панель для мониторинга наших сайтов и выбора верной стратегии их развития. Мы надеемся что то что мы создали пригодится Вам и возможно Вы поможете нам развиваться и совершенствоваться вместе с Вами.

Статистика форума

Темы
414.370
Сообщения
475.396
Пользователи
96.561
Новый пользователь
starushka

Приложения форума для iOS и Android


У ркн там нет власти ;)
Приватные разговоры
Помощь Пользователи
    Вы не присоединились ни к одной комнате.