Casa Vigilant de seguretat Històries de seguretat significatives del 2013

Històries de seguretat significatives del 2013

Vídeo: Джейми Хейвуд: Большая идея, вдохновлённая моим братом (De novembre 2024)

Vídeo: Джейми Хейвуд: Большая идея, вдохновлённая моим братом (De novembre 2024)
Anonim

Mirant enrere, el 2013 ens va semblar una muntanya russa, ja que vam passar de bones notícies a males notícies cada poques setmanes: incompliments de dades, privadesa, ciber-espionatge, espionatge governamental, programari maliciós avançat, detencions importants, millores funcions de seguretat, etc.

La història més gran -o millor dit, una sèrie d’històries- de l’any gira entorn dels documents que l’ex contractista de l’Agència de Seguretat Nacional Edward Snowden va robar i va fer públic als mitjans de comunicació. Tot i això, no va ser l’única gran història del 2013. Per primera vegada, una companyia de seguretat va exposar un cas definitiu sobre com Xina espia negocis nord-americans i el govern dels Estats Units va discutir oficialment el problema amb el govern xinès. L'aplicació de la llei va tenir importants victòries, va trencar un gran anell de robatori amb targeta de crèdit i va arrestar al creador del Blackhole Exploit Kit. Les bretxes de dades van continuar, però la bretxa Experian va posar en relleu el problema dels agents de dades agregant informació personal. Els usuaris habituals van començar a parlar sobre privadesa en línia a mesura que els usuaris de Google Glass van sortir al carrer. Les empreses es comprometen a millorar les pràctiques de seguretat, com ara xifrar dades en trànsit, implementar l’autenticació de dos factors i ser més transparents sobre quina informació proporciona el govern.

El 2013 ha estat ocupat tant per a professionals de la seguretat com per a particulars. Aquí teniu una revisió de les històries importants de seguretat de l'any, en cap ordre particular.

Programes secrets de NSA

Podríem omplir una columna sencera sense res més que les revelacions de la NSA. Els primers articles sobre el programa de recollida de registres telefònics van ser prou impactants, però sembla que cada revelació posterior sigui més explosiva que abans. L’agència va espiar l’activitat web, va suspendre el trànsit que anava i va des dels centres de dades de Google i Yahoo, va interceptar els enviaments per instal·lar programes espia i a l’aire lliure en equips d’electrònica i, suposadament, va evitar que els líders d’altres països i jugadors. Mentre que el general de la NSA, Keith Alexander, continua insistint que l’agència actua dins dels seus límits i que tenia cura de preservar les llibertats civils, les peticions de reforma són cada cop més intenses. El congrés està debatent sobre què s’ha de fer sobre el problema de la NSA, un jutge federal conservador va dictaminar, a Klayman v. Obama, que el programa de registres telefònics de la NSA possiblement violava la Quarta Esmena i que el grup independent seleccionat per la Casa Blanca va recomanar la NSA. cal reduir els programes.

Un grup de gegants tecnològics, inclosos Tim Cook d'Apple, Eric Schmidt de Google i Marissa Mayer, de Yahoo, van parlar amb el president Barack Obama sobre les seves preocupacions respecte a les activitats de NSA. AOL, Apple, Facebook, Google, LinkedIn, Twitter, Yahoo i Microsoft es van unir per exigir que, mentre que els governs necessitin prendre mesures per protegir la seguretat i la seguretat dels seus ciutadans, cal "reformar les lleis i pràctiques actuals".

Més empreses publiquen informes de transparència per divulgar què tipus d'informació lliuren al govern i el servei de correu electrònic xifrat Lavabit es tanca per evitar haver de lliurar informació sobre els seus usuaris. RSA, la divisió de seguretat d'EMC, està defensant actualment la seva reputació després que un informe de Reuters afirmés que va treure 10 milions de dòlars de l'NSA per impulsar un algorisme criptogràfic compromès en els seus productes de seguretat.

Xina, Xina, Xina

Ens ha entusiasmat tant l’onada d’informació que sortia sobre les activitats de la NSA que és fàcil d’oblidar que vam començar el 2013 amb un informe explosiu que explicava el paper de la Xina en el cibionatge. L’informe APT1 de Mandiant va ser el primer comunicat definitiu que exposava clarament què feien els atacants cibernètics de la Xina per entrar a les xarxes de negocis i governs dels Estats Units. L’informe va exposar com aquests atacants van robar la propietat intel·lectual, la van instal·lar a l’aire lliure i els sistemes danyats.

Poc després de la publicació de l'informe, diversos funcionaris del govern van parlar de les activitats de la Xina. El mes de maig, l’Informe anual del Pentàgon sobre la Xina va acusar directament el govern d’aquest país per atacs governamentals i militars contra els Estats Units. El president Obama fins i tot va presentar les acusacions durant una reunió amb Xi Jinping, el president de la Xina. El govern xinès fins i tot va acusar els EUA de fer fonamentalment el mateix. (Una mica de predicció per Snowden?)

Atacs contra mitjans de comunicació

Els mitjans de comunicació han estat atacats aquest any, amb el New York Times, el Washington Post i el Wall Street Journal revelant que havien estat infectats amb programari maliciós sofisticat. El dit de la sospita va assenyalar -on més? -Cina. L'Exèrcit Electrònic Sirià es va posar en marxa contra els comptes de Twitter de The Onion, Guardian i altres punts de venda. La publicació falsa al compte de Twitter de AP, "Breaking: Two Explosions in the White House i Barack Obama està ferit", fins i tot va provocar una mica de batxillerat a la borsa, amb Dow Jones que va abaixar temporalment 140 punts.

L'atac contra el lloc web del New York Times, on el SEA va aconseguir canviar la configuració del sistema de noms de domini del lloc, va posar de manifest la facilitat que els atacants podien interferir en les operacions del Web. El SEA en aquest atac ni tan sols va entrar a la xarxa: el grup va realitzar aquest atac a través de phishing.

Centrat en la seguretat d'aplicacions

La Llei d’Atenció Asequible i la publicació del lloc web d’intercanvi sanitari van posar de manifest la importància de les proves de seguretat. Els professionals de la seguretat saben com és crític que es verifiquin les aplicacions per tenir problemes de seguretat abans de passar en directe, però, quan el rellotge es marca i s’acaba el temps per enviar el producte a temps, la seguretat cau al costat. Alguns dels problemes identificats a HealthCare.gov després del llançament de problemes van plantejar la possibilitat que els atacants es dirigissin al lloc. Hi va haver informes que els individus veien informació sensible pertanyent a altres usuaris del lloc.

Els executius que han seguit tota la saga probablement no podran saltar-se a les proves de seguretat la propera vegada que tinguin un llançament important de l'aplicació. O així esperem.

Atacs de denegació de serveis distribuïts

DDoS no és nou, però aquest any hem vist dos desenvolupaments importants. DDoS es va utilitzar sovint contra llocs financers, especialment com a part de l'Operació Ababil, però els atacants van ampliar els objectius fins a altres indústries. Un dels atacs més grans de l'any va ser contra Spamhaus al març, amb els màxims que van assolir 300 gbps.

Principals detencions contra el ciber-crim

El mes de maig, el fiscal dels Estats Units per al districte oriental de Nova York va anunciar els seus càrrecs en un historial bancari de 45 milions de dòlars que incloïa informació del compte robada. La suposada banda ha pirat a les institucions financeres per robar informació del compte i després ha retirat milions de dòlars dels caixers.

Al juliol, el fiscal nord-americà de Nova Jersey va acusar un altre timbre de cibercrimència per haver incomplert les xarxes informàtiques d'almenys 17 grans comerciants, institucions financeres i processadors de pagaments per robar més de 160 milions de números de targetes de crèdit i dèbit. Les xarxes dirigides incloïen Nasdaq, 7-Eleven, Visa i JC Penney, entre d'altres.

Les autoritats russes van afirmar haver arrestat Paunch, el creador del Blackhole Exploit Kit. Els experts de seguretat creuen que amb la detenció, actualment hi ha un buit ciberdelinqüent que actualment s’estava omplint. "Sense un successor clar de Blackhole, les bandes criminals cibernètiques poden invertir en altres llocs per compensar els ingressos perduts degut a mecanismes de lliurament menys sofisticats de programari maliciós", va dir Alex Watson, director de recerca en seguretat de Websense.

Reg al forat

Aquest any, els atacs a força de reg van ser força destacats, i es van piratar llocs web per comprometre els empleats de les empreses de tecnologia més importants com Facebook, Apple, Microsoft i Twitter, així com contra els contractistes de defensa i els empleats del govern. Aquests atacs de forat de reg van aprofitar les vulnerabilitats del dia zero a Internet Explorer, Java i altres tecnologies d’ús comú.

També es van descobrir atacs per regar forats contra activistes pro-tibetans, ja que els atacants van dirigir-se a persones de parla xinesa que visitaven l’Administració Central Tibetana i la Fundació Tibetan Homes, així com el lloc web de Uyghur mantingut per l’Associació Islàmica de Turquistan Oriental.

Violació de dades experimentals

Acostumem a recordar la darrera falla important de dades i a oblidar tots els altres que van arribar abans. Si bé el recent incompliment de dades que va patir Target en què es van comprometre prop de 40 milions de números de targetes de dèbit i de crèdit durant la temporada de compres de vacances és bastant important, l’incompliment de dades més espantós que implica la informació de l’usuari va ser l’incompliment de dades Experian.

Experian és una de les organitzacions del negoci de compra i venda d'informació personal: números de seguretat social, adreces, dades bancàries. Aquesta informació va ser venuda a un anell de crim a l'estranger, segons una investigació de l'escriptor de seguretat Brian Krebs. L’incompliment també va posar de relleu el fet que molts sistemes d’autenticació basats en coneixement, on es demana a la gent que verifiqui la seva identitat dient quin cotxe posseeixen, o on vivien, ara són encara més vulnerables.

Les persones es desperten a la privadesa en línia

Quan Google va desenrotllar el futur de la tecnologia usable amb la seva primera onada de "exploradors" de Google Glass, la gent va sortir freqüent. La gent finalment es coneixia de l'impacte del reconeixement facial i de la possibilitat de publicar qualsevol cosa en línia que pogués tenir en la seva privadesa. El futur de la tecnologia és allà on no hi ha intimitat o on es pot arrencar la gent des de restaurants i altres establiments per ser una amenaça per a la privadesa?

Ja havíem esperat el 2014, amb les nostres prediccions de nous atacs, Internet nacional, pagaments en línia, seguretat mòbil i Internet de les coses. Benvinguts al 2014. Serà un any d’incertesa o de victòries? S'adhereix amb Security Watch el nou any a mesura que seguim els avantatges i els desavantatges de la seguretat.

Històries de seguretat significatives del 2013