וִידֵאוֹ: ª (אוֹקְטוֹבֶּר 2024)
אפילו המוטלים הזרעים ביותר מציעים כעת אינטרנט אלחוטי בחינם. באנו לצפות לזה. אז באופן טבעי אנו מצפים לאותה רמת שירות בחברת Airbnb או השכרה אחרת של כלכלת שיתוף. אבל יש הבדל, הבדל עצום, כפי שהובהר בשיחת הכובע השחור של מומחה האבטחה ג'רמי גאלווי.
השכרות לטווח קצר הן יוג'ו
גאלווי בילתה זמן בפטיש בבית עד כמה גדול שוק ההשכרה לטווח הקצר. כשגודל השוק מוערך בכ -100 מיליארד דולר בשנה, זה מציב אותו איפשהו בין כל ההוצאות על שירותי ענן (110 מיליארד דולר) לבין מכירות עולמיות של קוקאין (85 מיליארד דולר). אה, ותעשיית המשחקים בלאס וגאס? זה בערך 6.3 מיליארד.
הוא גם הצהיר כי יותר אורחים השתמשו ב- Airbnb בקיץ הנוכחי מכל אוכלוסיית יוון, שוודיה או שוויץ. עם למעלה מ- 2, 000, 000 רישומי Airbnb (או, כפי שכינה אותם, יעדים) ברחבי העולם, זה ממש ענק. "Airbnb היא מכונת כסף פופולרית במיוחד", אמר גאלווי. "אבל מחקר הראה ש -40 אחוז מהאורחים הודו כי הם מתנשפים בזמן שהות בבתים שהם מבקרים. אני עושה את זה! אני בודק מה נעול ומה לא."
עמדות רשת אחת
"אנשי המקצוע שלך בתחום האבטחה יכולים לקבל תחושה מצחיקה ברשת. יש לך תחושה שישית ביטחונית שהאדם הממוצע לא עושה, " אמר גאלווי. "יש לי סולם של אמון. הרשת הביתית האישית שלך, זה 100 אחוז. רשת אוניברסיטאית, ובכן, יש להם אבטחת IT, אבל כל אותם סטודנטים, הייתי אומר 50 אחוז. סוף סוף, קיוסק המלון האקראי הזה, זה אפס אחוז. Airbnb? הייתי מנסח את זה בערך 20 אחוז."
גאלווי הצביע על מחשבון חשיפה מינית מקוון כאנלוגיה. קח את מספר השותפים שהיו לך ומספר השותפים שהיו להם ותראה כמה אנשים נחשפת אליהם. "חשוב פעמיים לפני שתעמוד בדוכן רשת אחת", אמר גאלווי. "זה ביטוי מטופש, אבל ההשוואה בין נוחות המסחר לסיכון הגיונית מאוד."
מה שהאקרים יכולים לעשות
גאלווי עבר במהלך השנים האחרונות פיגוע מבוסס נתבים. DNSChanger, תולעת הירח, BlackMoon, כל אלה עבדו על ידי ביצוע מרחוק של שינויים בנתבי הקורבן. גאלווי ציטט את גיבור העל הביטחוני דן גיי באומרו כי מצב הנתב נוח כמו שפיכת בנזין בקניון סגור. "באשר לי, " אמר גאלווי, "הייתי אומר שאבטחת הנתבים היא קובץ dumpster סוער."
כמובן שהתקפות האלה נדרשות איכשהו לסמור לנתב מרחוק. כאשר לתוקף גישה פיזית, כמו בשכירות לטווח קצר, זה משנה את הכל. גאלווי הדגים את נתב החתימה שלו APT. לא, לא איום מתמשך מתקדם; איום נייר מהדק מתקדם. "אתה לא צריך להיות מקגייבר, " אמר גאלווי. "השתמש בנייר מעוקל כדי לאפס את הנתב ותסיר שכבה שלמה של אבטחה. כל זה לא מצריך התקפות של אפס יום או קוד ניצול מטורף."
זה מחמיר, הרבה יותר גרוע. מישהו שיש לו גישה פיזית לנתב יכול ללכוד את הנתונים הרגישים שלך, לשנות נתונים מהימנים, להזרים נתונים ועוד. "כן, " אמר גאלווי, "זה לא מחמיר הרבה יותר."
הוא המשיך לרשום מספר מדהים של דברים שאפשר לעשות כדי לפרוץ נתב, בהינתן גישה פיזית, החל מעצבן עד אסון. אתה יכול להגדיר את המכשיר שלך כמנהל מרחוק ולעקוב אחר הנתב שבועות לאחר הביקור שלך. אתה יכול לחלץ את כל סיסמאות המכשירים בעזרת כלי פשוט. קבע את עצמך כשרת יומן ואתה רואה באופן פסיבי את כל התעבורה.
בצד המפחיד יותר, אתה יכול להגדיר שרת משלך כשרת ה- DNS של הנתב. זה איפשר התקפות של איש באמצע שיכולות לגנוב מידע פרטי מכל מי שמתחבר דרך הנתב. "אינך יכול למקד לאנשים עם התקפות אלה", ציין גלאווי, "אך אתה יכול למקד לוועידות, ליישובים בקרבת בסיסים צבאיים, למשרדי תאגיד." כשהוא מתייחס למפתח הראשי של דן קמינסקי, הוא אמר, "ICANN מתרגל על מנת להפוך את DNS לבטוח. אתה מגן על ה- DNS שלך עם לולז ומשאלות."
מה אתה יכול לעשות
אתה עדיין יכול להשתמש ב- Airbnb ובשכירות לטווח קצר, אך אם אתה מתחבר, הגן על עצמך. לגאלווי הייתה רשימת כביסה של הצעות. קוד קוד קשיח בכל המכשירים שלך. כבה את גילוי ה- proxy האוטומטי. השתמש ב- VPN. כבה את ה- Wi-Fi אם למכשיר שלך יש נתונים סלולריים. קשר את המכשירים האחרים שלך לטלפון כנקודה חמה אישית (פשוט עקוב אחר השימוש בנתונים ניידים). אפשר אימות דו-גורמי בכל מקום שהוא זמין.
"זה טכני, אבל יש משהו חשוב יותר", אמר גאלווי. "שנה את הדרך בה אתה מתממשק. העצה היחידה שלי - תראה את מר רובוט! אתה תחשוף את עצמך ליותר ביטחון מאשר 99 אחוז מהאוכלוסייה. אתה תהיה באחוזון העליון!"
מה בעלי הנכסים יכולים לעשות
אם מבקרים בשכירות Airbnb שלך מגיעים הביתה עם תוכנות זדוניות, הם לא יעניקו לך ביקורת טובה. ואתה יכול לסמוך על אותה רשת בעצמך, אם ההשכרה שלך היא רק חדר בבית שלך. "העצה היחידה הטובה ביותר שלי", אמרה גאלווי, "היא להסיר גישה פיזית. נעל את הנתב בארון או בחדר מאובטח. נעל אותו במארז אלקטרוני. אני אומר את זה להאקרים והם אומרים, חה, אני יכול לבחור המנעול הזה תוך חמש דקות. כן. העניין הוא לא ליצור ביטחון מושלם, זה לשמור על אנשים כנים."
"אפשר אפילו לשקול לא להציע Wi-Fi, " המשיך גאלווי. "או קבל קו רוחב פס נפרד נפרד רק עבור אורחים. זו הוצאה עסקית. גבה ושחזר את הגדרות הנתב שלך באופן שגרתי. והוסף מדור בטיחות מקוון למדריך האורחים שלך."
אין חדשות טובות
"אני לא יכול להשאיר אותך עם חדשות טובות, " סיכם גאלווי. "הבעיה לא נעלמת. כל שנה מאז 2011 הייתה 'שנת ההפרה', בעיקר בגלל הזרקת SQL. והזרקת SQL קיימת מאז 1998. אין תיקון, עדכון או תיקון קל."
כל מה שאני יכול לומר זה וואו. אם תרצה לחפש את הפרטים הטכניים המלאים, אם להגן טוב יותר על עצמך או להפוך להאקר לנתב ביתי, קרא את המצגת המלאה של גאלווי.
