Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A StrongWebmail nem adja fel!

2009.06.10. 12:58 | buherator | 1 komment

A kétfaktoros hitelesítést biztosító e-mail szolgáltató StrongWebmail tegnapi közleményében megmerősítette, hogy kifizeti a szolgáltatás sikeres kompromitálásáért felajánlott 10.000$-os díjat az Aviv Raff, Lance James és Mike Bailey alkotta triónak. 

Ezzel együtt a cég egy újabb verseny kiírását is kilátásba helyezte. "Nem nyugszunk addig, amíg be nem biztonyítjuk, hogy a telefon-alapú autentikáció a legjobb elérhető megoldás a felhasználónevek és jelszavak védelmére" - írják.

Ezzel szemben Mike Bailey és Lance James is szkepticizmusuknak adtak hangot az ilyen megmérettetésekkel kapcsolatban: a rendszerek biztonságát globális szinten kell értelmezni, és bár megfelelően szűkre szabott "nevezési feltételekkel" megmutatható, hogy bizonyos komponensek biztonsági szintje megfelelő, ez nem sokat számít azon játékosok esetében, akiket a szabályok helyett mondjuk inkább a felhasználók adatai érdekelnek.

A támadás részleteiről a Firebug James-szel készített interjújában olvashatunk: Eszerint a nyertesek a támadáshoz használt XSS hibát nagyjából egy perc alatt megtalálták, a nagyobb gondot az okozta, hogy rávegyék a célpont munkatársait, hogy nyissák is meg a komprommitálandó fiókot, valamint hogy a hátsó szándék ne legyen nyilvánvaló. A levél tárgy mezőjébe szúrt kód ezután gyakorlatilag minden adatot átszórt az áldozat postafiókjából a támadók szerverére, ahonnan már csak ki kellett mazsolázni a szükséges információkat. James ezen kívül a SWM közleményéhez fűzött kommentárjában megjegyzi, hogy a telefonos autentikációhoz igénybevett TeleSign rendszerében is lett volna kihasználható CSRF hiba, de ennek alkalmazását a szabályok megtiltották.

Címkék: xss strongwebmail telesign csrf.

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Polemius 2009.06.10. 13:06:43

"nem legyen" -> ne legyen
"poswtafiókjából" -> postafiókjából