Friday, February 24, 2012

A big damage by micro damage - Bruth force by SMS

תקיפות חד חד ערכיות כפי שהבנתי עד כה משמשות לשאיבה מניפולטיבית של מאגרי מידע, תוך כדי המחקר שאני עורך בנושא שמתי לב לתקיפה נוספת מעניינת לא פחות. על ידי שליחת בקשות לאיפוס סיסמא על ידי SMS ניתן בעצם לגרום למערכת לבזבז את מאגר הלקוחות שלה, ועל הדרך להטריד את כלל הלקוחות. פעולה זו של הזנת אלפי מספרי טלפון הינה פעולה מעניינת מאחר שעל כל תקיפה אפשרית הנתקף משלם בהודעת SMS שרכש... מאחר שאנו יכולים לנסות לשלוח הודעות בשם מספרי טלפון שאינם מוכרים במערכת המשמעות תהיה לרוב לדעת האם הלקוח מוכר, וכך שאיבה של מאגר לקוחות מסויים מהמערכת. בשלב השני תתחיל התקיפה, אנו נזין לתוך המערכת מספרי טלפון (Something the user know) ונשלח את הודעות האיפוס בSMS למכשירי הלקוחות (Something the user has). מאחר שכוונתנו בתסריט זה תהיה לפגוע להשיג מאגר ולהזיק לאובייקט, שליחת ההודעות תעשה בשעה 03:00 (Somthing the consumer don't like at all) מדובר פה על מצב שבו שאבנו מאגר מידע,ניצלנו אותו לפגוע כספית באופן מיידי ביעד (מישהו משלם על שליחת הודעות ה SMS) הלקוח נפגע (שלחנו אליו את ההודעות בשעה שהוא נוהג לישון) , היעד שיכול להיות עסק מקבל פניות נזעמות של לקוחות שהפריעו להם, יהיו כנראה לקוחות שיתעתקו מהשירות, ולאחר מכן כתבות בעיתון על תקיפת סייבר. התקיפה יכולה להיות ממוקדת ב50 משתמשים במשך מספר לילות, מדובר על תקיפה זעירה שיכולה להיות ממוענת דווקא לעובדי חברה בכירים, או כנגד עיתונאים שעלולים לאחר מכן לכתוב על הנושא ולפגוע ביעד. המסקנה שלי היא שמנגנוני איפוס סיסמא אשר מבוססים על מערכת לשליחת SMS אומנם מבטיחים הגעה מאובטחת יחסית ללקוח ) אבל על הדרך הם מסכנים את מאפס הסיסמא. כאשר מתבצעת פעולת איפוס כזו יש לבצעה בעזרת הזנה של מספר נייד יחד עם סיסמת הזדהות וקאפצ׳ה קשה לפיצוח.

No comments:

Post a Comment