. Skype oferecer lições de segurança - Tudo Sobre Tecnologia

hacker de mão

A violação Snapchat que levou a milhões de nomes de usuários e números de telefone publicado na web mostra como as prioridades de um arranque de crescimento e características pode levar a segurança fraca, dizem especialistas.
Enquanto o Snapchat arrombamento foi vista como evitável, especialistas em segurança tinha menos a dizer sobre a pirataria de blog oficial do Skype e contas de rede social, dizendo detalhes suficientes estavam disponíveis. Ambos os ataques ocorreram esta semana.

Snapshot vulnerabilidades exploradas


Com Snapchat, o serviço de compartilhamento de fotos móvel cometeu vários erros em seu uso de criptografia e gerenciamento de chaves, de acordo com Zak Dehlawi, engenheiro sênior de segurança da Security Innovation. Esses erros levaram aos autores postando 4,6 milhões de nomes de usuários e números de telefone em um site chamado SnapchatDB.info. O site foi retirado.
Na véspera de Natal, Gibson de Segurança, com sede em Nova Zelândia, publicou uma longa explicação sobre as vulnerabilidades que encontrou em segurança Snapchat após notificar a empresa dos problemas.
Em 27 de dezembro, Snapchat disse em seu blog que ele tinha implementado as garantias e contra-medidas para impedir terceiros de correspondência de nomes de usuários e números de telefone e publicá-los em um banco de dados, que é exatamente o que os hackers fizeram esta semana.
Ao estudar os resultados Gibson, Dehlawi disse que os erros que levaram ao compromisso refletir os desenvolvedores de dificuldade, mesmo os experientes, têm na implementação da tecnologia de criptografia em aplicações móveis.
"Qualquer aplicativo que usa criptografia devem ser submetidos a exames de código de terceiros por especialistas em segurança para identificar vulnerabilidades de segurança", disse Dehlawi.
"Em segundo lugar, as empresas também devem assegurar que suas APIs (interfaces de back-end de programação de aplicativos) são seguras, passando por auditorias de segurança de terceiros e seguindo rigorosas diretrizes de codificação."
O back-end de aplicações, muitas vezes são enganados porque os desenvolvedores de assumir que não é tão vulnerável como o front-end, disse Dehlawi.
Wolfgang Kandek, diretor de tecnologia da Qualys, disse que não ficou surpreso Snapchat estava tendo problemas com a garantia de suas APIs.
"Eu acho que isso é quase normal para uma empresa em seu estágio que está focada principalmente na escalabilidade e funcionalidade", disse ele. "Tenho certeza de que eles vão prestar mais atenção ao abuso e as questões de segurança no futuro."

Credenciais Skype fraudado

Com propriedade da Microsoft Skype, o Exército Eletrônico Sírio, um grupo de hackers ativista simpático com o regime de Assad, cortado blog do serviço de chamada de Web e publicou a manchete "Hacked by Syrian Army eletrônico .. Pare de espiar! "Chicago Tribune informou.
Por conta Skype Twitter, o SEA postou informações de contato para se aposentar Executivo Steve Ballmer ea mensagem: "Você pode agradecer a Microsoft para monitorar suas contas / e-mails usando este detalhes. # MAR ", disse o jornal.
skype
SEA é notório por desfigurar os sites e contas de mídia social de grandes meios de comunicação que considera desfavorável ao presidente Bashar al-Assad na guerra civil sírio. As invasões parecem referir-se às revelações do ano passado que as chamadas do Skype foram monitorados pela Agência de Segurança Nacional dos EUA.
Kandek disse que o compromisso parecia envolver o roubo de credenciais. Se for esse o caso, então, ter a autenticação de dois fatores no lugar poderia ter evitado os hackers acessem as contas em computadores que não sejam reconhecidos pelos sites.
As violações de segurança são inevitáveis ​​para a maioria das organizações, de modo que a defesa mais forte é a de seguir as melhores práticas e normas de segurança relevantes para a empresa, Larry Slobodzian, soluções de alto nível técnico para LockPath, disse.
Além disso, uma auditoria de dados deve ser feito, de modo que as medidas de segurança pode ser reforçada em torno da informação mais sensível, e um plano de up-to-date deve estar no lugar que descreve como responder quando um sistema é invadido.
Autor:

Antone Gonsalves


0 comentários Goocle+ 0 Facebook

Postar um comentário

 
Tudo Sobre Tecnologia © 2013-2020. Todos os direitos reservados. Tudo Sobre Tecnologia. Desenvolvido por TST
Topo