(Uppdaterad 2007-05-15)

Web Application Security Consortium har kört ett nät med distribuerade honungsfällor och samlat in statistik om attacker mot webbapplikationer. Resultatet från undersökningarna fram till April i år har nu publicerats.

Under perioden januari tom april detekterades närmare en miljon transaktioner, av dessa triggades nästan 200 000 larm, dvs en transaktion som bedömdes försöka göra något elakt.

Att plocka ut det viktigaste från presentationen av resultatet är inte lätt, men det är värt att notera är spännvidden på de attacker som försöker användas. Från rent OS-specifika attacker till injekteringsattacker och attacker mot krypto- och autenticeringsmekanismer. Vidare anser konsortiet att det verkar som om skurkarna är allt annat än fega, och försöker inte direkt dölja sina attacker eller sina spår. Samtidigt KAN detta kanske förklaras av att de även ser att de flesta attacker i dag är automatiserade, inte manuellt utförda.

En annan intressant aspekt som projektet drar är att de som utför attackerna verkar först välja en attackmetod och sedan leta efter en webbplats att attackera. Dvs attackerna är inte riktade mot en specifik webblats, utan vilka webbplatser som blir drabbade beror på vilka attacker dom är sårbara för. Slutligen konstaterar projektet att ett enkelt applikationsfilter skulle plocka bort en stor del av de attacker som används.

Just nu finns det sju maskiner, från Ryssland till USA med i systemet och fler maskiner vore bra att få med. Så vill du delta är det bara att kontakta konsortiet.

(Uppdaterad 2007-05-08)

Rubriken är lite raljant, men jag blir lite tveksam till IDGs nyhet om röstbaserad phising som dom valt att kalla Öppen växel öppnar för hackarna. Vad det hela handlar om är att bedragare har börjat försöka lura av personer konton och PIN-koder genom att sätta upp falska telefonbanker. I IDGs artikel blir det dock det faktum att telefoniserverprojektet Asterisk, är ett öppen kod-projekt som är problemet.

Problemet kallas vishing, en förkortning för voice phising. Fenomenet är dock inte nytt, utan att använda telefoner för att lura av människor Identitetsinformation, kontoinformation etc har funnits så länge som telefonen har varit en konsumentprodukt. Det nya är nu att bluffarna är något mer avancerade och använder VoIP-teknik för att genomföra attacken.

Genom att först skicka ett mail till potentiella bankkunder och tala om för dom att det finns ett problem som kräver att dom ringer ett visst telefonnummer. På detta vis får man offren att ringa till sin bluffbank där man sedan lurar av dom den information som krävs för att komma åt deras pengar.

Siphera Systems har en bra lista på olika typer av VoIP-baserade attacker. Bank of America är en av bankerna som drabbats av vishing. Mailet som skickades ut för att fånga deras kunder såg ut så här:

We are hereby notifying you that, after a recent review of your account activity, it has been determined that you are in violation of Bank of America’s Acceptable Use Policy. Therefore, your account has been temporarily limited for: hotjasmin.com cam shows. In order to remove the limit please call our TOLL FREE number [omitted].

Dvs ett ganska typiskt phising-mail, men med tillägget att ringa ett gratisnummer som dÃ¥ gÃ¥r till den falska banken. Litar inte kunderna pÃ¥ webben gÃ¥r det att fÃ¥nga dom pÃ¥ telefon… Och att verktyget som används är byggt med öppen kod innebär inte att det är verktyget som är problemet. Skillnaden mellan Asterisk och tidigare programvarubaserade telefoniservrar är att Asterisk är ett sÃ¥ mycket mer kompetent verktyg – vilket är skälet till att det fÃ¥tt stor legitim användning.