Video: How to Pronounce Joe Biden? (CORRECTLY) (Decembris 2024)
Pat visstulbākie moteļi tagad piedāvā bezmaksas bezvadu internetu. Mēs to esam gaidījuši. Tātad, protams, mēs sagaidām tāda paša līmeņa pakalpojumu Airbnb vai citā koplietošanas ekonomikas nomā. Bet tur ir atšķirība, milzīga atšķirība, kā to skaidri parādīja drošības speciālista Džeremija Galloway sarunu Black Hat sarunā.
Īstermiņa īre ir milzīga
Galloway kādu laiku pavadīja mājās, cik liels ir īstermiņa īres tirgus. Tā kā tirgus lielums tiek lēsts 100 miljardu dolāru gadā, tas kaut kur paliek starp visiem izdevumiem mākoņpakalpojumiem (110 miljardi dolāru) un kokaīna pārdošanas apjomiem pasaulē (85 miljardi dolāru). Ak, un spēļu industrija Lasvegasā? Tas ir apmēram 6, 3 miljardi.
Viņš arī paziņoja, ka šovasar Airbnb ir izmantojuši vairāk viesu nekā Grieķijas, Zviedrijas vai Šveices iedzīvotāji. Ar visā pasaulē vairāk nekā 2 000 000 Airbnb sarakstu (vai, kā viņš tos sauca, mērķus), tas ir absolūti milzīgs. "Airbnb ir mežonīgi populāra naudas mašīna, " sacīja Galloway. "Bet kāds pētījums parādīja, ka 40 procenti viesu atzina, ka šņāk, uzturoties mājās, kurus apmeklē. Es to daru! Es pārbaudu, lai redzētu, kas ir aizslēgts, un kas nav."
Viena tīkla statīvi
"Jūs, drošības speciālisti, tīklā varat izjust smieklīgu sajūtu. Jums ir šī sestā drošības sajūta, ka vidusmēra cilvēks to nedara, " sacīja Galloway. "Man ir uzticības pakāpe. Jūsu personīgais mājas tīkls, tas ir 100 procenti. Universitāšu tīkls, labi, viņiem ir IT drošība, bet visiem tiem studentiem, es teiktu, 50 procenti. Visbeidzot, tas nejaušais viesnīcu kiosks ir nulle. Airbnb? Es to izteiktu apmēram par 20 procentiem."
Galloway kā analoģiju norādīja tiešsaistes seksuālās ekspozīcijas kalkulatoru. Ņemiet partneru skaitu, kas jums ir bijuši, un to partneru skaitu, kas viņiem ir bijuši, un redzat, cik daudz cilvēku esat saskāries. "Padomājiet divreiz, pirms jums ir viena tīkla statīvs, " sacīja Galloway. "Tā ir muļķīga frāze, taču tirdzniecības ērtības salīdzināšanai ar risku ir liela jēga."
Ko hakeri var darīt
Galloway pēdējos gados piedzīvoja uz maršrutētāju balstītu uzbrukumu litaniju. DNSChanger, Mēness tārps, BlackMoon, tas viss darbojās, attālināti veicot izmaiņas upuru maršrutētājos. Galloway citēja drošības supervaroni Dan Geer, sakot, ka maršrutētāja situācija ir tikpat jutīga kā benzīna izliešana slēgtā iepirkšanās centrā. "Kas attiecas uz mani, " sacīja Galloway, "es teiktu, ka maršrutētāja drošība ir nikns atkritumu izgāztuves fails."
Protams, šiem uzbrukumiem vajadzēja kaut kā attālinīties maršrutētājā. Kad uzbrucējam ir fiziska pieeja, kā īstermiņa nomā, tas visu maina. Galloway demonstrēja savu paraksta maršrutētāju APT. Nē, nevis progresīvs pastāvīgs drauds; Uzlabots saspraudes drauds. "Jums nav jābūt MacGyver, " sacīja Galloway. "Izmantojiet saliektu saspraudi, lai atiestatītu maršrutētāju, un jūs noņemsit visu drošības pakāpi. Nevienam no tiem nav nepieciešami nulles dienu uzbrukumi vai traks ekspluatācijas kods."
Tas kļūst sliktāk, daudz sliktāk. Kāds, kam ir fiziska pieeja maršrutētājam, var tvert jūsu slepenos datus, modificēt uzticamus datus, ievadīt datus un veikt citas darbības. "Jā, " sacīja Galloway, "Tas nav daudz sliktāk."
Viņš turpināja uzskaitīt pārsteidzošu skaitu lietu, kuras jūs varētu darīt, lai uzlauztu maršrutētāju, ņemot vērā fizisko piekļuvi, sākot no kaitinošas līdz postošai. Jūs pats varētu konfigurēt savu ierīci kā attālo administratoru un pārraudzīt maršrutētāju nedēļas pēc jūsu apmeklējuma. Visas ierīces paroles var iegūt, izmantojot vienkāršu rīku. Iestatiet sevi kā žurnāla serveri un pasīvi redzat visu trafiku.
Skaidrākajā pusē jūs varētu iestatīt savu serveri kā maršrutētāja DNS serveri. Tas ļāva veikt uzbrukumus “vidusdaļā”, kas var nozagt privātu informāciju no visiem, kas savieno ar maršrutētāju. "Jūs nevarat mērķēt uz indivīdiem ar šiem uzbrukumiem, " atzīmēja Galloway, "bet jūs varat mērķēt uz konferencēm, lokalizāciju pie karabāzēm, korporatīvajiem birojiem." Atsaucoties uz Dan Kaminsky galveno runu, viņš teica: "ICANN iet uz neprātīgu garumu, lai padarītu DNS drošu. Jūs aizsargājat savu DNS ar lulz un vēlmēm."
Ko tu vari darīt
Jūs joprojām varat izmantot Airbnb un īstermiņa īri, bet, ja piesakāties, pasargājiet sevi. Galloway bija veļas mazgātavas ieteikumu saraksts. Cietā koda DNS visās jūsu ierīcēs. Izslēdziet automātisko starpniekservera atrašanu. Izmantojiet VPN. Izslēdziet Wi-Fi, ja jūsu ierīcei ir mobilie dati. Piesaistiet pārējās ierīces tālrunim kā personīgo tīklāju (vienkārši sekojiet līdzi mobilo datu izmantošanai). Iespējojiet divu faktoru autentifikāciju visur, kur tā ir pieejama.
"Tas ir tehniski, bet ir kaut kas daudz svarīgāks, " sacīja Galloway. "Mainiet saskarnes veidu. Mans vienīgais padoms - vērojiet robota kungu! Jūs pakļūsit sevi drošībai vairāk nekā 99 procentiem iedzīvotāju. Jūs būsit viena procenta augšgalā!"
Ko var darīt īpašnieki
Ja jūsu Airbnb nomas apmeklētāji ierodas mājās ar ļaunprātīgu programmatūru, viņi nesniegs labu pārskatu. Un, ja īre ir tikai istaba jūsu mājā, jūs, iespējams, pats paļaujaties uz to pašu tīklu. "Mans vienīgais labākais padoms, " sacīja Galloway, ir noņemt fizisko piekļuvi. Slēdziet maršrutētāju skapī vai apsargātā telpā. Slēdziet to elektroniskā kamerā. Es saku, ka hakeriem un viņi saka: ha, es varu izvēlēties jā, tā nav, lai izveidotu perfektu drošību, tas ir, lai cilvēki būtu godīgi."
"Jūs pat varētu apsvērt iespēju nepiedāvāt Wi-Fi, " turpināja Galloway. "Vai arī iegādājieties atsevišķu zema joslas platuma līniju tikai viesiem. Tas ir biznesa izdevums. Regulāri dublējiet un atjaunojiet maršrutētāja iestatījumus. Un viesu ceļvedim pievienojiet tiešsaistes drošības sadaļu."
Nav labu ziņu
"Es nevaru jums atstāt labas ziņas, " secināja Galloway. "Problēma neizzūd. Katru gadu kopš 2011. gada ir" pārkāpuma gads ", galvenokārt SQL iesmidzināšanas dēļ. Un SQL iesmidzināšana ir notikusi kopš 1998. gada. Nav nekādu ielāpu, atjauninājumu vai vieglu labojumu."
Viss, ko es varu teikt, ir wow. Ja vēlaties izpētīt pilnīgu tehnisko informāciju par to, kā labāk pasargāt sevi vai kļūt par mājas maršrutētāja hakeru, izlasiet pilnu Galloway prezentāciju.
