DonDD
Advanced Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Участники конференции Hackito Ergo Sum 2014 обнаружили проблемы в системе безопасности популярного сервиса.
BitTorrent Sync, сервис для синхронизации и резервного копирования файлов, чрезвычайно популярен среди пользователей интернета, что объясняется простотой в установке и эксплуатации этого ПО. К тому же, как утверждают разработчики, сервис был создан с учетом требований по безопасности и конфиденциальности. Именно с этой точки зрения участники конференции Hackito Ergo Sum решили исследовать популярное ПО с закрытыми исходными кодами.
В подробном отчете Hackito дано описание поверхности атаки, указаны векторы потенциальных атак, а также упомянуты некоторые внушающие тревогу недоработки в области безопасности и криптоащиты. К числу последних эксперты относят то обстоятельство, что инфрастуктура Sync зависит от других инфрастуктур и ресурсов, надежность которых может вызывать сомнение. Если Amazon станет жертвой хакерской атаки, безопасность всей архитектуры BTsync окажется скомпрометированной, считают аналитики.
Эксперты также удивлены тем, что на сервер GetSync.com в массовом порядке поступают незакодированные хэши. Такая ситуация недопустима, тем более что речь идет об обмене ссылками. Исследователи также считают, что за время существования файлоообменника парадигма обмена претерпела изменения и теперь содержит уязвимость, коды которой могли быть получены компанией BitTorrent Inc и/или разработчиками от следственных органов, руководствующихся так называемыми письмами национальной безопасности (NSL).
Исследователи не исключают утечек сетевых адресов клиентов, а также существования различных уязвимостей у клиентов сервиса. Все изложенное дает экспертам основания не рекомендовать сервис для обмена конфиденциальной информацией.
Подробнее: http://www.securitylab.ru/news/461984.php
|
Всего записей: 1169 | Зарегистр. 25-03-2006 | Отправлено: 12:49 18-11-2014 | Исправлено: DonDD, 12:50 18-11-2014 |
|
