Groot Skype-lek laat hackers account kapen
Een ernstig beveiligingslek in Skype maakt het mogelijk om accounts van anderen zonder veel moeite over te nemen. Aanvallers hoeven alleen het e-mailadres van hun slachtoffer te weten. Om de aanval uit te voeren volstaat het aanmaken van een nieuw Skype-account met het e-mailadres van het slachtoffer. Vervolgens verschijnt er een waarschuwing dat het e-mailadres al bestaat, maar het account kan nog steeds worden aangemaakt.
Hierna logt de aanvaller met het nieuw aangemaakte account in op de Skype-client. De volgende stap bestaat uit het resetten van het wachtwoord, waarna er een reset-token in de Skype-client verschijnt. De aanvaller hoeft alleen maar op de link te klikken om het wachtwoord te resetten en kan zo het account van het slachtoffer overnemen.
Geschiedenis
Volgens berichten op Reddit zou de aanvaller ook de gespreksgeschiedenis kunnen downloaden als het slachtoffer op het moment van de aanval online is. Inmiddels is er ook een handleiding online verschenen die de aanval uitlegt.
Als oplossing kunnen Skype-gebruikers een e-mailadres toevoegen dat een aanvaller niet zal raden om hierna het oorspronkelijke e-mailadres te verwijderen.
Update 12:19
Skype heeft inmiddels de pagina om het wachtwoord te resetten uitgeschakeld.
Update 2 - 13:15
De kwetsbaarheid is inmiddels door Skype bevestigd.
Kennelijk hebben ze nog steeds niet door hoe het moet.Edit: het lijkt erop dat Microsoft intussen wachtwoordreset heeft uitgeschakeld om erger te voorkomen. (http://www.reddit.com/r/netsec/comments/13664q/skype_vulnerability_allowing_hijacking_of_any/c7165tz)
1. Je kan een tweede account voor een e-mailadres aanmaken zonder dat de eigenaar van dat e-mailadres het moet bevestigen. Het aanmaken van de account zou pas voltooid moeten kunnen worden nadat een bevestigingscode per e-mail is verzonden en degene die de account aanmaakt die code kan produceren, of als met het oorspronkelijke account wordt aangelogd en van daaruit de bevestiging wordt gegeven.
2. De reset-token verschijnt in de Skype-client. Die zou ENKEL per e-mail moeten worden verstuurd.
Eigenlijk maken de makers van deze procedure twee keer dezelfde denkfout. Ze doorzien niet dat je om een identiteit te verifiëren ENKEL EN ALLEEN gebruik moet maken van dingen waar je zonder die identiteit te hebben niet bij kan, en het enige externe kanaal daarvoor dat niet afhankelijk is van gerommel met dingen binnen Skype-accounts is een e-mail naar het adres van de accounthouder. Ik zou om die reden, als ik Skype was, een bevestiging vanuit het oorspronkelijke acccount, zoals ik in punt 1 noemde, niet ondersteunen. Dat soort voorzichtigheid helpt om je kwetsbaarheid voor je eigen denkfouten te minimaliseren.
Hier trouwens een mooie tutorial over hoe je IP te verbergen met een server via SSH (alleen voor skype.exe).
http://www.destinysc2.com/how-to-prevent-a-ddos-specifically-in-regards-to-the-wonderful-program-known-as-skype/
Hallo, het is een PEER-to-PEER programma!
Hoe wil je daarin ooit je IP adres verbergen?
Skype is niet zo! Bij skype gaat meer over P2P dan bijvoorbeeld MSN.
En ik mag skype niet, vol met spam kiddies en het is gewoon rommel.
Lees dit:
http://www.scribd.com/doc/69593950/Skype
Audio clip, voice chat, video chat en de rest gaat geloof ik ook via P2P.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!