Vídeo: Jornada sobre la regulació dels preus del lloguer (Setembre 2024)
Fins i tot els motels més importants ara ofereixen Wi-Fi gratuïta. Ho hem vingut a esperar. Així, naturalment, esperem el mateix nivell de servei en un Airbnb o en un altre lloguer d’economia compartida. Però hi ha una diferència, una gran diferència, tal com es va deixar de manifest en una xerrada de Black Hat, l'expert en seguretat Jeremy Galloway.
Els lloguers a curt termini són Yuuge
Galloway es va dedicar una estona a la propietat del mercat de lloguer a curt termini. Amb la grandària del mercat estimada a 100 mil milions de dòlars anuals, això situa entre alguna despesa en serveis al núvol (110 mil milions de dòlars) i vendes mundials de cocaïna (85 mil milions de dòlars). Ah, i la indústria del joc a Las Vegas? Això és d’uns 6.300 milions.
A més, va declarar que hi havia més convidats a Airbnb aquest estiu que tota la població de Grècia, Suècia o Suïssa. Amb més de 2.000.000 de llistats d’Airbnb (o, com els va anomenar, objectius) a tot el món, és absolutament enorme. "Airbnb és una màquina popular de diners", va dir Galloway. "Però un estudi va demostrar que el 40 per cent dels convidats van admetre's tombar-se mentre es quedaven a les cases que visiten. Ho faig! Comprovo per veure què hi ha tancat i què no".
Suports d'una sola xarxa
"Els professionals de la seguretat poden tenir una sensació divertida en una xarxa. Teniu aquest sisè sentit que la seguretat no té la gent mitjana", va dir Galloway. "Tinc una escala de confiança. La vostra xarxa d’habitatges personals, que és el 100 per cent. Una xarxa universitària, bé, tenen seguretat informàtica, però tots els estudiants, diria que el 50 per cent. Finalment, el quiosc d’alberg a l’atzar és un zero. per cent. Airbnb? Jo ho posaria al voltant d’un 20 per cent."
Galloway va assenyalar una calculadora d’exposició sexual en línia com una analogia. Preneu el nombre de socis que teniu i el nombre de socis que heu tingut i veureu quantes persones us han exposat. "Penseu dues vegades abans que tingueu un stand d'una sola xarxa", va dir Galloway. "És una frase tonta, però té molta sensació la comparació de la comoditat de negociar amb el risc".
Què poden fer els pirates informàtics
Durant els últims anys, Galloway va experimentar una letania d'atacs basats en router. DNSChanger, el cuc de la Lluna, BlackMoon, tot això realitzant de forma remota canvis en els encaminadors de les víctimes. Galloway va citar al superheroi de seguretat Dan Geer dient que la situació del router és tan complicada com un vessament de gasolina en un centre comercial tancat. "Pel que fa a mi", va dir Galloway, "diria que la seguretat del router és un arrabassant fitxer de dumpster".
Per descomptat, aquells atacs eren necessaris per desgastar de forma remota el router. Quan l’atacant té accés físic, com en un lloguer a curt termini, això ho canvia tot. Galloway va demostrar el seu APT del router de signatura. No, no Amenaça persistent avançada; Amenaça de Paperclip avançat. "No cal ser MacGyver", va dir Galloway. "Utilitzeu un paperclip doblat per restablir l'encaminador i suprimiu tota una capa de seguretat. Res d'això requereix atacs de zero dies o codi d'explotació boig."
Va pitjor, molt pitjor. Algú que tingui accés físic al router pot capturar les vostres dades sensibles, modificar dades de confiança, injectar dades i molt més. "Sí", va dir Galloway, "no empitjora gaire."
Va continuar a enumerar un nombre sorprenent de coses que podríeu fer per piratejar un encaminador, donat accés físic, que va des del molest fins al desastrós. Podeu configurar el vostre propi dispositiu com a administrador remot i supervisar el router setmanes després de la vostra visita. Podeu extreure totes les contrasenyes del dispositiu mitjançant una eina senzilla. Establiu-vos com a servidor de registre i veieu de forma passiva tot el trànsit.
A la part més espessa, podeu establir un servidor propi com a servidor DNS del router. Això va permetre atacs man-in-the-middle que poden robar informació privada de qualsevol persona que es connectés a través del router. "No podeu orientar els individus amb aquests atacs", va assenyalar Galloway, "però podeu orientar conferències, locals propers a bases militars, oficines corporatives". En fer referència a la nota principal de Dan Kaminsky, va dir: "ICANN va a llargàries boges per assegurar el DNS segur. Vostè protegeix el DNS amb lulz i desitjos".
El que pots fer
Encara podeu utilitzar Airbnb i lloguers a curt termini, però si inicieu la sessió, protegeu-vos. Galloway tenia una llista de suggeriments. DNS de codi dur a tots els vostres dispositius. Desactiveu el descobriment de proxy automàtic. Utilitzeu una VPN. Desactiveu la connexió Wi-Fi si el dispositiu disposa de dades mòbils. Lligueu els altres dispositius al telèfon com a punt personal (només heu de fer un seguiment de l’ús de dades mòbils). Habilita l’autenticació de dos factors allà on estigui disponible.
"Això és tècnic, però hi ha alguna cosa més important", va dir Galloway. "Canvieu la forma d’interconectar. El meu consell: mira el Sr. Robot! Us exposareu a més seguretat que el 99 per cent de la població. Hi trobareu el màxim per cent!"
Què poden fer els propietaris d’immobles
Si els visitants del vostre lloguer d’Airbnb vinguin a casa amb programari maliciós, no us donaran una bona crítica. I potser confieu en aquesta mateixa xarxa, si el vostre lloguer és només una habitació a casa vostra. "El meu millor consell", va dir Galloway, "és eliminar l'accés físic. Bloquejar el router en un armari o una habitació assegurada. Bloquejar-lo en un recinte electrònic. Jo ho dic als hackers i em diuen, ja, puc escollir aquest bloqueig es farà en cinc minuts. Sí. L'objectiu no és crear una seguretat perfecta, és mantenir la gent honesta ".
"Fins i tot es podria considerar no oferir wifi", va continuar Galloway. "O bé obtingueu una línia de banda ampla de banda separada només per als clients. És una despesa empresarial. Feu una còpia de seguretat i restaureu la configuració del vostre router de manera habitual. I afegeix una secció de seguretat en línia a la vostra guia".
No hi ha bones notícies
"No et puc deixar amb bones notícies", va concloure Galloway. "El problema no desapareix. Cada any des del 2011 ha estat" l'any de la violació ", principalment a causa de la injecció SQL. I la SQL Injection es troba des del 1998. No hi ha pedaços, actualitzacions ni solucions fàcils."
Tot el que puc dir és, wow. Si voleu cercar els detalls tècnics complets, protegir-vos millor o convertir-vos en un hacker de router domèstic, llegiu la presentació completa de Galloway.
