Tool voor afluisteren iPhone gesprekken
Onderzoekers hebben vandaag een tool gepubliceerd waarmee het mogelijk is om iPhone gesprekken die via een publiek draadloos netwerk plaatsvinden eenvoudig af te luisteren. De UCSniff 'VoIP & IP video security assessment tool' werd tijdens de Toorcon hackerconferentie in San Diego door Jason Ostrom en Arjun Sambamoorthy gepresenteerd. Met een paar muisklikken is het mogelijk om via de tool gesprekken van iPhone-gebruikers in real-time af te luisteren. Eerdere versies van UCSniff maakten het voor luistervinken alleen mogelijk om na afloop van het gesprek de inhoud te beluisteren, maar met versie 3.0 behoort dat tot het verleden.
"Zodra het privégesprek gaande is, kunnen we zien en horen wat er gebeurt", aldus Ostrom. "Er is een real-time schending van vertrouwelijkheid." Naast gesprekken is het ook mogelijk om met de tool videoconferenties in real-time te bekijken.
Encryptie
Om goedkoop te kunnen bellen gebruiken veel mensen VoIP-applicaties, maar menig iPhone app die dit aanbiedt, beschikt niet over encryptie. In dit geval was bellen via publieke netwerken altijd al kwetsbaar voor luistervinken, maar met UCSniff wordt het een stuk eenvoudiger. Het verandert elke laptop in een man-in-the-middle node. Een VLAN hopper gaat dan het VLAN af totdat het deel dat de VoIP-gesprekken draagt gevonden wordt. UCSniff injecteert automatisch gespoofte 'address resolution protocol' pakketten in het netwerk, waardoor zowel het stem- als videoverkeer naar de laptop gerouteerd worden. Het programma is voornamelijk bedoeld voor pentesters die de beveiliging van bedrijfsnetwerken willen controleren.
dus niet alleen iphone, maar ook andere shity is betroffen.
ARP spoofing werkt trouwens ook op wireless netwerken en op netwerken waar je toegang hebt gekregen via WEP of WPA. Een leuke truc is om je wifi adapter via bijvoorbeeld VMware te bridgen met een virtuele adapter, de virtuele adapter laat je vervolgens de ARP attack uitvoeren. Let wel op dat bij een ARP attack alle andere traffic ook bij jou terecht komt.
In sommige netwerken met goedkope of buggy (wireless) routers kan een arp attack makkelijk het hele netwerk platleggen.
zie: http://ucsniff.sourceforge.net/
UCSniff Overview
UCSniff is a VoIP & IP Video Security Assessment tool that integrates existing open source software into several useful features, allowing VoIP and IP Video owners and security professionals to rapidly test for the threat of unauthorized VoIP and Video Eavesdropping. Written in C/C++, and available on Linux and Windows, the software is free and available for anyone to download, under the GPLv3 license. Some useful features of UCSniff that have been combined together into a single package:
* Allows targeting of VoIP Users based on Corporate Directory and/or extensions
* Support for automatically recording private IP video conversations
* Automatically re-creates and saves entire voice conversation to a single file that can be played back by media players
* Support for G.729, G.723, G.726, G.722, G.711 u-law, and G.711 a-law compression codecs
* Support for H.264 Video codec
* Automated VLAN Hop and VLAN Discovery support
* A UC Sniffer (VoIP and Video) combined with a MitM re-direction tool
* Monitor Mode
* Sniffs entire conversation if only one phone is in source VLAN
* Gratuitous ARP Disablment Bypass support
* TFTP MitM Modification of IP Phone features
* Realtime VoIP and Video Monitor
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.