Extras

Extras

quarta-feira, 20 de agosto de 2014

COMO VÁRIAS AGÊNCIAS DE APLICAÇÃO DA LEI PODERIAM CORTAR SEU COMPUTADOR ATRAVÉS DE VÍDEOS DO YOUTUBE

Devemos estar preocupados com a forma ordinária da aplicação da lei em todo o mundo está fazendo uso destas ferramentas


por MIKE MASNICK | TECNOLOGIA SUJEIRA |

Quando escrevi recentemente sobre o Google começar a fazer uso de SSL para rankings de busca , um dos nossos comentadores observou que nem todos os sites realmente "precisa" HTTPS. Enquanto eu costumava acordar, eu tenho cada vez mais encostado na outra direção, e eu pode ter sido empurrado sobre a borda inteiramente por um novo relatório de pesquisa do Laboratório Cidadão por Morgan Marquis-Boire (talvez mais conhecido como Morgan Mayhem ), intitulado Cat vídeo de Schrodinger ea Morte de Clear-Texto . Ele também escreveu sobre isso no Intercept (onde agora funciona), explicando como assistir a um vídeo no YouTube gato poderia fazê-lo cortado (mas não mais).

O ponto-chave foi a seguinte: empresas produtoras chamada tecnologia "lícito interceptar", que era geralmente (mas nem sempre) vendido para governos e agências de aplicação da lei criaram ferramentas de hacking que se aproveitaram de sítios não-SSL'd usar um básico man-in-the-middle ataque para invadir computadores de destino.


Empresas como Hacking equipe e FinFisher vender dispositivos chamados "dispositivos de injeção de rede." Estes são racks de máquinas físicas implantadas dentro de prestadores de serviços de internet em todo o mundo, que permitem a simples exploração de alvos. A fim de fazer isso, eles injetar conteúdo malicioso no tráfego de navegação na internet todos os dias das pessoas. Uma maneira que Hacking Equipe realiza esta é tirando proveito de fluxos de vídeo do YouTube não criptografadas para comprometer usuários. O dispositivo Hacking equipe tem como alvo um usuário, aguarda que o usuário de assistir a um vídeo no YouTube como o descrito acima, e intercepta o tráfego e substitui-lo com código malicioso que dá o total controle do operador sobre o computador do alvo sem o seu conhecimento. A máquina também explora da Microsoft login.live.com web site da mesma maneira.

Felizmente para os seus usuários, o Google ea Microsoft foram responsivos quando alertou que as ferramentas comerciais estavam sendo usados ​​para explorar os seus serviços, e tomaram medidas para fechar a vulnerabilidade, a criptografia de todo o tráfego alvejado. Há, no entanto, muitos outros vetores para empresas como Hacking Team e FinFisher explorar.

Eu apostaria um bom dinheiro que ambas as empresas também têm como alvo algumas redes de anúncios populares. Por razões que ainda estão além de mim, muitas redes grandes de anúncios ainda se recusam a apoiar SSL - que é também por isso que tão poucos sites de mídia suportam SSL. A fim de fazer isso, você tem que deixar cair a maioria das redes de anúncios. Entre as redes de anúncios e metas de meios populares, é provável que existam muitas oportunidades para injeção rede acontecendo.

Desde que o atacante pode convencer um número suficiente de operadora para instalar um aparelho de injeção de rede, eles podem ter uma razoável certeza do sucesso de qualquer ataque.Enquanto o invasor ainda precisa de um exploit para fugir do contexto do navegador do alvo, um dos plugins de navegadores (como flash, java, quicktime, etc) ou similar é susceptível de proporcionar uma via de baixo custo para isso. Este tipo de recurso elimina a necessidade de spear-phishing ou ataques mais desajeitados, desde que o alvo está no domínio do atacante de influência.

Este tipo de abordagem também permite a 'tarefa' de uma meta específica. Ao invés de executar uma operação manual, um alvo pode ser inseridos no sistema que irá esperar por eles para procurar um site apropriado e, em seguida, realizar a injeção necessária de código malicioso em seu fluxo de tráfego. Como tal, este poderia ser descrito como "hackear no modo fácil.

O ponto-chave feita pelo novo relatório não é sobre as idéias por trás de injeção rede. Isso tem sido bem conhecido por um tempo, e do GCHQ da NSA e "Quantum Insert" sistema de injeção de pacotes tem sido falado recentemente. A principal revelação aqui é que existem vendedores comerciais que vendem essa tecnologia para todos os tipos de pessoas de aplicação da lei, o que significa que provavelmente é amplamente utilizado com pouca supervisão ou transparência. E isso deve ser uma preocupação muito grande:

Esses produtos chamados de "interceptação legal" vendidos por Hacking Team e FinFisher podem ser comprados por tão pouco quanto (ou menos) 1000000 dólares pela aplicação da lei e os governos ao redor do mundo. Eles têm sido usados ​​contra alvos políticos, incluindo Bahrain Assista , jornalistas cidadãosMamfakinch em Marrocos, ativista de direitos humanos Ahmed Mansoor nos Emirados Árabes Unidos, e ESAT , um serviço de notícias com sede nos EUA com foco na Etiópia. Ambos Hacking Team e FinFisher afirmam que eles só vendem para os governos, mas os documentos que vazaram recentemente parecem mostrar que FinFisher vendeu a pelo menos uma empresa de segurança privada .

Com toda a atenção sobre a vigilância da NSA / GCHQ, é bom que as pessoas estão reconhecendo o quão poderoso algumas dessas ferramentas são. Mas devemos estar muito preocupados sobre como a aplicação da lei comum em todo o mundo está fazendo uso destas ferramentas, bem como, muitas vezes com muito menos fiscalização e muito menos responsabilidade.
 
FONTE:
 http://www.infowars.com/how-various-law-enforcement-agencies-could-hack-your-computer-via-youtube-videos/

Nenhum comentário:

Postar um comentário

Faça seu comentário aqui ou deixe sua opinião.

Observação: somente um membro deste blog pode postar um comentário.