Czarny kapelusz zostaje zaatakowany przez kanał wideo

Ekspert bezpieczeństwa znalazłem sposób na złapanie rozmów w Black Hat za darmo, dzięki błędom w usłudze streamingu wideo używanej przez konferencję bezpieczeństwa.

Michael Coates, szef bezpieczeństwa sieci w Mozilli, powiedział, że odkrył kilka problemów podczas próby podpisania za usługę w wysokości 395 USD. Kiedy przechodził procedurę rejestracji, "został szybko zlekceważony przez kilka dziwactw w projekcie", napisał w poście na blogu opisującym incydent.

Zagłębił się nieco i odkrył, że może zarejestrować konto bez podawania niczego więcej niż adres e-mail, a następnie użyj tego konta na stronie logowania testowego, aby uzyskać dostęp do filmów za darmo.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

"Teraz, aby być uczciwym, Black Hat nie obsługiwał tej usługi wideo sam, "napisał Coates. "Ale wciąż jest trochę ironicznie, że największa konferencja hakerska na świecie ma tę lukę w zabezpieczeniach w ich usługach przesyłania strumieniowego wideo."

Strumień wideo Black Hat został dostarczony przez Inxpo w tym roku.

To pierwszy rok konferencji udostępnił streaming wideo z sesji konferencyjnych, powiedział dyrektor Black Hat, Jeff Moss. Podobnie jak inne firmy, konferencja podejmuje ryzyko, gdy współpracuje z osobami trzecimi. "Zawsze denerwuję się tymi systemami, ponieważ nie mamy dostępu do ich kodu źródłowego i nie możemy go przejrzeć" - powiedział. "Nie mamy czasu, aby napisać oprogramowanie do przesyłania strumieniowego wideo, więc wybraliśmy dostawcę, który naszym zdaniem był dobry … podobno nigdy wcześniej nie hostowali strumienia bezpieczeństwa."

Partnerzy hotelowi Black Hat i jego siostrzanej konferencji Defcon zwykle otrzymują podobny typ testu penetracji bezpieczeństwa, gdy rozpoczynają organizację konferencji. Przez pierwszy rok systemy telewizyjne lub linie telefoniczne zostaną zhakowane, a następnie ostatecznie zablokują sprzęt. "To trochę jak ich próba przez ogień: Witaj w Czarnym Kapeluszu", powiedział Moss.

Coates powiedział, że powiadomił firmę streamingową wideo przed blogowaniem o problemie, i szybko naprawili błędy. Inxpo nie można było od razu uzyskać za komentarz.

Moss, który prowadzi konferencję poświęconą ujawnianiu problemów związanych z bezpieczeństwem, nie miał nic oprócz pochwał dla znalezienia bezpieczeństwa Coatesa. "Dobrze dla niego, fajnie," powiedział. "Jeśli nie możesz zabezpieczyć swoich rzeczy, tak właśnie się dzieje."

Robert McMillan zajmuje się bezpieczeństwem komputerowym i wiadomościami o nowościach technologicznych dla News Service IDG. Obserwuj Roberta na Twitterze na @bobmcmillan. Adres e-mail Roberta to [email protected]