В «InGuardian» изобрели средство убеждения
Компания «InGuardian» представила участникам конференции «SecTor» в Торонто open-source инструмент «The Middler», предназначенный для автоматических атак man-in-the-middle на пользователей, обращающихся к популярным ресурсам и сервисам вроде «Facebook», «LiveJournal», «LinkedIn» или «Gmail» через публичные сети в отелях, кафе или самолетах, передает .
Перехватив сеанс связи, плохой парень не только получает возможность передавать собственные данные в клиентское устройство и на сайт, но и использовать свои механизмов обновления ПО для взлома компьютеров и телефоны класса iPhone. Злоумышленник может читать электронную почту жертвы, извлекать адреса из адресной книги, отправлять сообщения от имени жертвы и препятствовать прекращению сеанса пользователем. Создатель инструмента специалист по безопасности Джей Бил утверждает, что его творение позволяет злоумышленнику без всякого опыта в области взлома веб-приложений элементарно организовать атаку, для которой раньше требовалось много времени и знаний.
Задача «The Middler» состоит в том, чтобы наглядно продемонстрировать слабость многих популярных онлайновых приложений, на протяжении большей части сеанса связи использующих HTTP-передачу открытого текста. «Многие компании не сознают, что шифрование одних только паролей оставляет пользователей чрезвычайно уязвимыми к атакам типа man-in-the-middle», — отметил мистер Бил. Думается, что новинка от «InGuardian» будет весьма действенным средством убеждения, демонстрируя процесс перехвата данных социальных сетей и систем онлайн-банкинга, инсталлируя троянов на iPhone, внедряя специальные JavaScript-коды в браузер и проводя атаки типа CSRF (cross-site request forgery).
Полный код программы написан на языке «Python» и использует архитектуру подключаемых модулей.
Ещё рекомендуем прочитать:
«Google» ударит по пьяному дураку
«Rambler» подружился с «Netvibes»
Рука Москвы нащупала Саакашвили
Медведев занялся блогом
«Firefox Mobile»: анонс где-то рядом
| К списку статей |
