c.m.g
24-09-2012, 08:39
Pubblicato da: Giancarlo il 23 Settembre 2012
http://www.apilabs.it/wp-content/uploads/2012/09/blue_boxes.jpeg
Conducendo un attacco all’algoritmo DTMF (https://it.wikipedia.org/wiki/Algoritmo_di_Goertzel) (Dual-tone multi-frequency) ed al sistema IVR (Interactive voice response (http://it.wikipedia.org/wiki/Interactive_Voice_Response)) il ricercatore indiano Rahul Sasi (http://twitter.com/fb1h2s), ha dimostrato come è possibile attaccare un istituto di credito via telefono colpendo in punto ritenuto da sempre sicuro ma assolutamente vulnerabile dato che non esiste nessun firewall o CAPTCHA a proteggerlo.
Attraverso questa nuova modalità d’attacco è infatti possibile:
- Ottenere informazioni quali numeri di conto e PIN
- Mandare in crash o ottenere informazioni dai server pronunciando determinate parole
- Saturare o addirittura mandare in crash il sistema telefonico attraverso un attacco DoS DTMF tramite l’invio di numerosi toni modificando la loro frequenza e durata.
Nel corso della dimostrazione, avvenuta durante la conferenza Hack in the Box, Sazi è risuscito ad ottenere i numeri PIN dei clienti di una non precisata banca indiana. Inoltre ha condotto un attacco buffer overflow verso un sistema dimostrativo. Il sistema IVR colpito ha fornito informazioni e dati leggendo il contenuto dei messaggi d’errore generati.
http://vimeo.com/49583283
http://youtu.be/-y7aIKLgMoM
Ovviamente tali sistemi non sono utilizzati esclusivamente dagli istituti di credito visto che sempre più sempre anche le aziende si avvalgono di tali tecnologie per fornire numeri servizi alla clientela. Un esempio: i numeri verdi degli operatori telefonici.
Si riapre la stagione del phreaking…
Fonte: ApiLabs (http://www.apilabs.it/mobile-security/2012/09/23/403) by Anti-Phishing Italia (http://www.anti-phishing.it/sicurezza-informatica/2012/09/23/2905#more-2905)
http://www.apilabs.it/wp-content/uploads/2012/09/blue_boxes.jpeg
Conducendo un attacco all’algoritmo DTMF (https://it.wikipedia.org/wiki/Algoritmo_di_Goertzel) (Dual-tone multi-frequency) ed al sistema IVR (Interactive voice response (http://it.wikipedia.org/wiki/Interactive_Voice_Response)) il ricercatore indiano Rahul Sasi (http://twitter.com/fb1h2s), ha dimostrato come è possibile attaccare un istituto di credito via telefono colpendo in punto ritenuto da sempre sicuro ma assolutamente vulnerabile dato che non esiste nessun firewall o CAPTCHA a proteggerlo.
Attraverso questa nuova modalità d’attacco è infatti possibile:
- Ottenere informazioni quali numeri di conto e PIN
- Mandare in crash o ottenere informazioni dai server pronunciando determinate parole
- Saturare o addirittura mandare in crash il sistema telefonico attraverso un attacco DoS DTMF tramite l’invio di numerosi toni modificando la loro frequenza e durata.
Nel corso della dimostrazione, avvenuta durante la conferenza Hack in the Box, Sazi è risuscito ad ottenere i numeri PIN dei clienti di una non precisata banca indiana. Inoltre ha condotto un attacco buffer overflow verso un sistema dimostrativo. Il sistema IVR colpito ha fornito informazioni e dati leggendo il contenuto dei messaggi d’errore generati.
http://vimeo.com/49583283
http://youtu.be/-y7aIKLgMoM
Ovviamente tali sistemi non sono utilizzati esclusivamente dagli istituti di credito visto che sempre più sempre anche le aziende si avvalgono di tali tecnologie per fornire numeri servizi alla clientela. Un esempio: i numeri verdi degli operatori telefonici.
Si riapre la stagione del phreaking…
Fonte: ApiLabs (http://www.apilabs.it/mobile-security/2012/09/23/403) by Anti-Phishing Italia (http://www.anti-phishing.it/sicurezza-informatica/2012/09/23/2905#more-2905)