Pomembne varnostne zgodbe iz leta 2013

Če pogledamo nazaj, se je leta 2013 počutil kot na cesti, saj smo vsakih nekaj tednov hrepeneli od dobrih do slabih novic: kršitve podatkov, zasebnost, kibernetsko vohunjenje, vladno vohunjenje, napredno zlonamerno programsko opremo, pomembne aretacije, izboljšane varnostne funkcije itd.

Največja zgodba ali bolje rečeno serija zgodb leta se vrti okoli dokumentov, ki jih je nekdanji izvajalec Nacionalne varnostne agencije Edward Snowden ukradel in izpustil medijem. Vendar pa to ni bila edina večja zgodba iz leta 2013. Prvič je varnostno podjetje predstavilo dokončen primer, kako Kitajska vohuni za ameriška podjetja, ameriška vlada pa je o tej zadevi uradno razpravljala s kitajsko vlado. Organi pregona so imeli nekaj pomembnih zmag, razbili so velik prstan za krajo kreditnih kartic in aretirali ustvarjalca Blackhole Exploit Kit. Kršitve podatkov so se nadaljevale, toda eksperijska kršitev je izpostavila težavo posrednikov podatkov, ki zbirajo osebne podatke. Redni uporabniki so se začeli pogovarjati o zasebnosti na spletu, ko so uporabniki storitve Google Glass stopili na ulice. Podjetja so se zavezala k boljšim varnostnim praksam, na primer šifriranju podatkov med prevozom, izvajanju dvofaktorske overitve in postajajo bolj pregledna glede informacij, ki jih daje vladi.

Leto 2013 je bilo podobno za varnostnike in posameznike. Tukaj je pregled pomembnih varnostnih zgodb v letu, ne v določenem vrstnem redu.

Tajni programi nadzora NSA

Celoten stolpec bi lahko napolnili le z razkritji NSA. Začetni članki o programu zbiranja telefonskih zapisov so bili dovolj šokantni, a zdi se, da je vsako naslednje razkritje bolj eksplozivno kot prej. Agencija je vohunila za spletno aktivnost, krmarjenje prometa do podatkovnih centrov Google in Yahoo ter prestrezanje pošiljk za namestitev vohunske programske opreme in zaledja v elektronski opremi ter domnevno prisluškovala voditeljem drugih držav in igralcem. Medtem ko glavni generalni organ NSA Keith Alexander še naprej vztraja, da agencija deluje znotraj svojih meja in da je bila skrbna za ohranitev državljanskih svoboščin, so pozivi k reformi vse glasnejši. Kongres razpravlja o tem, kaj storiti v zvezi s težavo NSA, konservativni zvezni sodnik je v Klaymanu proti Obami razsodil, da je program telefonskih zapisov NSA morda kršil četrto spremembo, neodvisni svet, ki ga je izbrala Bela hiša, pa je priporočil NSA programe je treba omejiti.

Skupina tehnoloških velikanov, vključno z Applovim Timom Cookom, Googlovim Ericom Schmidtom in Yahoojevo Marisso Mayer, je s predsednikom Barackom Obamo spregovorila o njihovih pomislekih glede dejavnosti NSA. AOL, Apple, Facebook, Google, LinkedIn, Twitter, Yahoo in Microsoft so združili in zahtevali, da morajo vlade sprejeti ukrepe za zaščito varnosti svojih državljanov, "trenutno pa je treba spremeniti sedanje zakone in prakse."

Več podjetij objavlja poročila o preglednosti, da razkrijejo, katere podatke posredujejo vladi, in šifrirano e-poštno storitev Lavabit ustavijo, da ne bi bilo treba izročiti podatkov o svojih uporabnikih. RSA, varnostni oddelek EMC, trenutno zagovarja svoj ugled po poročilu Reutersa, da je od NSA potreboval 10 milijonov dolarjev, da je v svojih varnostnih izdelkih potisnil ogroženi kriptografski algoritem.

Kitajska, Kitajska, Kitajska

Tako navdušeni smo bili nad valovi informacij, ki prihajajo o dejavnostih NSA, da je enostavno pozabiti, da smo leta 2013 začeli z eksplozivnim poročilom, ki je poudarilo vlogo Kitajske v kibernetskem vohunjenju. Poročilo Mandianta APT1 je bila prva dokončna izjava, ki je jasno določila, kaj počnejo kibernetski napadalci iz Kitajske, da so vdrli v ameriške poslovne in vladne mreže. Poročilo je poudarilo, kako so ti napadalci ukradli intelektualno lastnino, namestili zunaj in poškodovali sisteme.

Kmalu po objavi poročila so se različni vladni uradniki pogovarjali o dejavnostih na Kitajskem. Maja je v letnem poročilu Pentagona o Kitajski vlada te države neposredno obtožila vladne in vojaške napade na ZDA. Predsednik Obama je celo obtožil med srečanjem s predsednikom Kitajske Xi Jinpingom. Kitajska vlada je celo obtožila ZDA, da v bistvu počnejo isto stvar. (Še malo napovedovanja za Snowdena?)

Napadi na medije

Mediji so se letos napadli, The New York Times, Washington Post in Wall Street Journal pa so razkrili, da so bili okuženi s prefinjeno zlonamerno programsko opremo. Prst sumljivosti je pokazal - kje drugje? Sirijska elektronska vojska se je borila proti računom Twitterja za prodajalne The Onion, Guardian in drugih prodajnih mest. Ponarejena objava na AP-jevem Twitterjevem računu, "Breaking: Two Exploitions in the White House and Barack Obama was poškodovana", je celo povzročila majhen utrip na borzi, Dow Jones pa je začasno zmanjšal 140 točk.

Napad na spletno mesto New York Times, kjer je SEA uspelo spremeniti nastavitve sistema domenskih imen, je pokazal, kako lahko napadalci motijo ​​spletno delovanje. SEA v tem napadu sploh ni vdrla v omrežje - skupina je ta napad izvedla z lažnim lažnim predstavljanjem.

Osredotočite se na varnost aplikacij

Zakon o dostopni oskrbi in uvedba spletnega mesta izmenjave zdravstvenih storitev sta v ospredje postavila pomen varnostnih testiranj. Varnostni strokovnjaki vedo, kako kritično je, da se aplikacije preizkusijo glede varnostnih težav, preden začnemo živeti, toda ko ura utripa in zmanjkuje časa, da izdelek pravočasno pošlje, varnost pade na stran. Nekatere težave, ki so bile v HealthCare.gov ugotovljene po njegovem izbranem uvajanju, so sprožile možnost, da bodo napadalci ciljali na to mesto. Pojavila so se poročila, da so posamezniki na spletnem mestu videli občutljive informacije, ki pripadajo drugim uporabnikom.

Vodstveni delavci, ki so spremljali celotno sago, verjetno ne bodo tako hitro preskočili varnostnih preizkušenj, ko bodo naslednjič uvedli večjo predstavitev aplikacij. Ali tako upamo.

Razdeljeno zanikanje napadov storitev

DDoS ni nov, letos pa smo videli dva glavna dogajanja. DDoS se pogosto uporablja proti finančnim spletnim mestom, zlasti v okviru operacije Ababil, vendar so napadalci svoje cilje razširili na druge panoge. Eden največjih napadov v letu je bil proti Spamhausu marca, vrh pa je dosegel 300 gbps.

Večje aretacije zaradi kibernetskega kriminala

Ameriški državni tožilec za vzhodno okrožje New York je maja objavil obtožbo v bančni pentlji v višini 45 milijonov dolarjev, ki je vsebovala podatke o ukradenih računih. Tolpa naj bi vdrla v finančne institucije, da bi ukradla podatke o računih in nato z bankomatov umaknila milijone dolarjev.

Julija je ameriški tožilec za New Jersey zaračunal še en obroč kibernetskega kriminala zaradi kršenja računalniških omrežij najmanj 17 večjih trgovcev na drobno, finančnih institucij in plačilnih procesorjev, da so ukradli več kot 160 milijonov številk kreditnih in debetnih kartic. Med ciljna omrežja so bili med drugim Nasdaq, 7-Eleven, Visa in JC Penney.

Ruske oblasti so trdile, da so aretirale Pauncha, ustvarjalca Kit za izkoriščanje Blackhole. Varnostni strokovnjaki verjamejo, da se z aretacijo trenutno širijo neveljavni kiber kriminalci, ki se zapolnjujejo. "Brez jasnega naslednika Blackholeja, kibernetske kriminalne tolpe morda vlagajo v druge kraje, da nadoknadijo izgubljeni dohodek zaradi manj zapletenih mehanizmov dostave zlonamerne programske opreme, " je dejal Alex Watson, direktor varnostnih raziskav Websense.

Zalivanje luknje napadi

V letošnjem letu so napadi na luknje z luknjami bili zelo odmevni, saj so spletna mesta vdrla, da bi ogrožala zaposlene v večjih tehnoloških podjetjih, kot so Facebook, Apple, Microsoft in Twitter, pa tudi proti obrambnim izvajalcem in vladnim uslužbencem. Ti napadi na vodne luknje so izkoristili ničelne dnevne ranljivosti v Internet Explorerju, Javi in ​​drugih pogosto uporabljenih tehnologijah.

Napadi na vodno luknjo so bili odkriti tudi proti tibetanskim aktivistom, saj so napadalci ciljali na kitajsko govoreče ljudi, ki obiskujejo centralno tibetansko upravo in fundacijo tibetanskih domov, pa tudi ujgursko spletno stran, ki jo vzdržuje Islamsko združenje vzhodnega Turkistana.

Experian Data Breach

Ponavadi se spominjamo zadnje večje kršitve podatkov in pozabljamo na vse druge, ki so prišle prej. Medtem ko je bila zadnja kršitev podatkov, ki jo je utrpel Target, v kateri je bilo v sezoni prazničnega nakupovanja ogroženih skoraj 40 milijonov številk debetnih in kreditnih kartic, res najpomembnejša kršitev podatkov o uporabnikih.

Experian je ena od organizacij za nakup in prodajo osebnih podatkov - številke socialnega zavarovanja, naslovi, podatki o bančnem računu. Po preiskavi varnostnega pisatelja Briana Krebsa so bile te informacije prodane v čezmorskem kriminalnem obročku. Kršitev je izpostavila tudi dejstvo, da je veliko sistemov za preverjanje pristnosti, ki temeljijo na znanju, kjer ljudje prosijo, da preverijo svojo identiteto tako, da povedo, kakšen avto imajo ali kje so živeli, so zdaj še bolj ranljivi.

Ljudje se zbudijo prek spletne zasebnosti

Ko je Google s svojim prvim valom raziskovalcev Google Glass razkril prihodnost uporabnih tehnologij, so ljudje zgrozili. Ljudje so bili končno seznanjeni z vplivom prepoznavnosti obraza in zmožnosti objave karkoli na spletu na njihovo zasebnost. Ali je prihodnost tehnika tam, kjer ni zasebnosti, ali kjer se ljudje lahko zaženejo iz restavracij in drugih ustanov, ker ogrožajo zasebnost?

Že smo se veselili leta 2014 z našimi napovedmi za nove napade, nacionalni internet, spletna plačila, mobilno varnost in internet stvari. Dobrodošli v letu 2014. Ali bo to leto negotovosti ali zmag? V naslednjem letu sledite vzponom in padcem varnosti v novem letu.