סיפורי אבטחה חשובים משנת 2013

במבט לאחור, 2013 הרגיש כמו רכבת הרים, כאשר התגלגלנו מחדשות טובות לחדשות רעות כל כמה שבועות: הפרות נתונים, פרטיות, ריגול ברשת, ריגול ממשלתי, תוכנות זדוניות מתקדמות, מעצרים משמעותיים, תכונות אבטחה משופרות וכו '.

הסיפור הגדול ביותר - או ליתר דיוק - סדרת סיפורים - של השנה נסב סביב המסמכים שגבר הקבלן לשעבר לביטחון לאומי אדוארד סנודן גנב ושוחרר לתקשורת. עם זאת, זה לא היה הסיפור העיקרי היחיד של 2013. לראשונה, חברת אבטחה הציגה מקרה מובהק של איך מרגלים סין על עסקים אמריקאים, וממשלת ארה"ב דנה רשמית בנושא עם ממשלת סין. לאכיפת החוק היו כמה ניצחונות משמעותיים, פירוק טבעת גניבה גדולה של כרטיסי אשראי ועצירתו של יוצר ה- Blackhole Exploit Kit. הפרות נתונים נמשכו, אולם הפרת Experian הדגישה את הבעיה של מתווכי נתונים המצטברים מידע אישי. משתמשים קבועים החלו לדבר על פרטיות מקוונת כאשר משתמשי Google Glass פגעו ברחובות. חברות התחייבו לשיטות אבטחה טובות יותר, כגון הצפנת נתונים במעבר, יישום אימות דו-גורמי, והפכות לשקופות יותר לגבי המידע שהיא מספקת לממשלה.

2013 הייתה עסוקה באנשי מקצוע בתחום האבטחה ואנשים פרטיים. להלן סקירה של סיפורי האבטחה המשמעותיים של השנה, ללא סדר מסוים.

תוכניות מעקב סודיות של NSA

יכולנו למלא טור שלם בלי שום דבר מלבד גילויים של ה- NSA. המאמרים הראשונים על תוכנית איסוף רשומות הטלפון היו מזעזעים למדי, אבל זה מרגיש כאילו כל התגלות לאחר מכן היא יותר נפיצה מבעבר. הסוכנות ריגשה פעילות אינטרנטית, עשתה תנועה שהגיעה למרכזי הנתונים של גוגל ויאהו ומחוצה לה, יירטה משלוחים להתקנת תוכנות ריגול ודלתות אחוריות בציוד אלקטרוניקה ולכאורה צותת למנהיגי מדינות וגיימרים אחרים. בעוד ראש מפלגת ה- NSA, אלוף קית אלכסנדר, ממשיך להתעקש כי הסוכנות תפעל בגבולותיה וכי היא הקפידה לשמור על חירויות אזרחיות, הקריאות לרפורמה הולכות וגוברות. הקונגרס מתלבט מה לעשות בנוגע לבעיית ה- NSA, שופט פדרלי שמרני קבע, בקליימן נגד אובמה, כי תוכנית הרשומות הטלפוניות של ה- NSA אולי הפרה את התיקון הרביעי, והפאנל העצמאי שנבחר על ידי הבית הלבן המליץ ​​על ה- NSA יש לצמצם תוכניות.

קבוצה של ענקיות טק, בהן טים קוק של אפל, אריק שמידט של גוגל, ומריסה מאייר של יאהו שוחחו עם הנשיא ברק אובמה על חששותיהם בנוגע לפעילות ה- NSA. AOL, אפל, פייסבוק, גוגל, לינקדאין, טוויטר, יאהו ומיקרוסופט התאגדו יחד כדי לדרוש כי בעוד שממשלות צריכות לנקוט בפעולות כדי להגן על ביטחונם וביטחונם של אזרחיהם, "יש לבצע רפורמה בחוקים הנוכחיים."

חברות נוספות מפרסמות דוחות שקיפות כדי לחשוף איזה סוג מידע הן מוסרות לממשלה, ושירות הדואר האלקטרוני המוצפן של Lavabit נסגר כדי להימנע מהצורך למסור מידע על המשתמשים שלה. RSA, חטיבת האבטחה של EMC, מגנה בימים אלה על המוניטין שלה בעקבות דיווח של רויטרס כי לקחה מ- NSA 10 מיליון דולר כדי לדחוף אלגוריתם קריפטוגרפי בסכנה במוצרי האבטחה שלה.

סין, סין, סין

היינו כה מרותקים לגלים של המידע העוסק בפעילות ה- NSA, שקל לשכוח שהתחלנו את שנת 2013 בדו"ח מתפרץ המתאר את תפקידה של סין בתחום הריגול ברשת. דו"ח ה- APT1 של מנדיאנט היה ההצהרה הסופית הראשונה שפורסמה בבירור מה תוקפי הסייבר מסין עושים כדי לפרוץ לרשתות העסקים והממשל האמריקניות. הדו"ח תיאר כיצד תוקפים אלה גנבו קניין רוחני, התקנו דלתות אחוריות ומערכות פגועות.

זמן קצר לאחר פרסום הדו"ח, אמרו גורמים בממשל שונים על פעילות סין. בחודש מאי, האשמה השנתית של הפנטגון על סין האשימה ישירות את ממשלת האומה בהתקפות ממשלתיות וצבאיות נגד ארה"ב. הנשיא אובמה אף העלה את ההאשמות במהלך פגישה עם שי ג'ינפינג, נשיא סין. ממשלת סין אף האשימה את ארה"ב בכך שהיא עושה את אותו הדבר בעצם. (קצת מבשר על סנודן?)

התקפות נגד כלי תקשורת

התקשורת הותקפה השנה, כאשר הניו יורק טיימס, וושינגטון פוסט וול סטריט ג'ורנל חשפו כי נדבקו בתוכנות זדוניות מתוחכמות. אצבע החשד הצביעה - איפה עוד? - סין. הצבא האלקטרוני הסורי יצא למסע נגד חשבונות הטוויטר עבור הבצל, גרדיאן ושקעים אחרים. הפוסט המזויף בחשבון הטוויטר של איי פי, "שוברים: שתי פיצוצים בבית הלבן וברק אובמה נפצע", אפילו גרם למעט גליונות בשוק המניות, כאשר הדאו ג'ונס טבל באופן זמני 140 נקודות.

ההתקפה נגד אתר ניו יורק טיימס, שם הצליחה SEA לשנות את הגדרות מערכת שמות הדומיין של האתר, הדגישה באיזו קלות תוקפים יכולים להפריע לפעולות הרשת. ה- SEA בהתקפה זו אפילו לא פרץ לרשת - הקבוצה השלימה את ההתקפה הזו באמצעות דיוג חנית.

התמקדו באבטחת יישומים

חוק הטיפול המשתלם וההפעלה של אתר חילופי הבריאות העלו את חשיבות בדיקות האבטחה לקדמת הבמה. אנשי אבטחה יודעים עד כמה חשוב שאפליקציות ייבדקו בנושאי אבטחה לפני שיגורו לפעילות, אך כאשר השעון מתקתק והזמן אוזל למשלוח המוצר בזמן, האבטחה נופלת לצד הדרך. חלק מהנושאים שזוהו ב- HealthCare.gov לאחר הפתיחה הבוטה שלו העלו את האפשרות שתוקפים יכוונו לאתר. היו דיווחים כי אנשים רואים מידע רגיש השייך למשתמשים אחרים באתר.

מנהלים שעקבו אחר כל הסאגה ככל הנראה לא ימהרו לדלג על בדיקות האבטחה בפעם הבאה שיש להם הפעלה משמעותית של יישומים. כך לפחות אנו מקווים.

התקפות מניעת שירות מופצות

DDoS אינו חדש, אך השנה ראינו שני התפתחויות עיקריות. DDoS שימש לעתים קרובות כנגד אתרים פיננסיים, במיוחד כחלק ממבצע אבביל, אולם התוקפים הרחיבו את יעדיהם לכלול תעשיות אחרות. אחת הפיגועים הגדולות של השנה הייתה נגד ספאמהאוס במרץ, כאשר הפסגות פגעו ב -300 ג'יגה לשנייה.

מעצרי פשע סייבר גדולים

בחודש מאי הודיע ​​פרקליט ארה"ב למחוז המזרחי של ניו יורק בחודש מאי על אישומים בהיקף בנק בהיקף של 45 מיליון דולר הכולל מידע על חשבון גנוב. החבורה פרצה לכאורה במוסדות פיננסיים כדי לגנוב מידע על חשבונות ואז משכה מיליוני דולרים מכספומטים.

ביולי, פרקליטו האמריקני של ניו ג'רזי האשים טבעת נוספת לפשעי סייבר בגין הפרת רשתות המחשבים של לפחות 17 קמעונאים גדולים, מוסדות פיננסיים ומעבדי תשלומים בגניבה של יותר מ- 160 מיליון מספרי אשראי וכרטיסי חיוב. רשתות ממוקדות כללו בין היתר נסדאק, 7-Eleven, Visa ו- JC Penney.

הרשויות ברוסיה טענו כי עצרו את פאנץ ', יוצר ערכת המיצול של Blackhole. מומחי אבטחה סבורים שעם המעצר יש כרגע פושעי סייבר בטלים כדי למלא. אלכס ווטסון, מנהל מחקרי אבטחה באתר Websense אמר אלכס ווטסון, "ללא יורש ברור של Blackhole, כנופיות עבריינות סייבר משקיעות במקומות אחרים כדי לפצות על ההכנסה האבודה.

מתקפות חור להשקות

התקפות של השקיית חור היו די בולטות השנה, כאשר אתרים נפרצו כדי להתפשר על עובדים בחברות טק גדולות כמו פייסבוק, אפל, מיקרוסופט וטוויטר, כמו גם נגד קבלני ביטחון ועובדי ממשלה. התקפות חור מים אלה ניצלו את הפגיעויות של אפס יום ב- Internet Explorer, Java וטכנולוגיות אחרות הנפוצות.

התקפות של חור להשקעה התגלו גם כנגד פעילים פרו-טיבטיים, כאשר התוקפים כיוונו אנשים דוברי הסינית המבקרים במינהל הטיבטי המרכזי ובקרן הבתים הטיבטיים, וכן באתר האינטרנט של אוייגור שהוחזק על ידי האיגוד האסלאמי במזרח טורקיסטן.

הפרת נתונים של Experian

אנו נוטים לזכור את הפרת הנתונים העיקרית האחרונה ולשכוח את כל שאר הדברים שקדמו להם. בעוד שפרצת הנתונים האחרונה שספגה חברת Target, בה נפגעו כמעט 40 מיליון מספרי חיוב וכרטיסי אשראי במהלך עונת הקניות של החגים, היא די גדולה, הפרת הנתונים המפחידה ביותר שכללה מידע על המשתמשים הייתה הפרת הנתונים של Experian.

Experian הוא אחד הארגונים העוסקים בקנייה ומכירה של מידע אישי - מספרי ביטוח לאומי, כתובות, פרטי חשבון בנק. מידע זה נמכר לטבעת פשע מעבר לים, כך עולה מחקירה של סופר האבטחה בריאן קרבס. ההפרה הדגישה גם את העובדה שמערכות אימות מבוססות ידע, בהן אנשים מתבקשים לאמת את זהותם באומרו איזו מכונית הם בבעלותם, או היכן גרו בעבר, כעת חשופים עוד יותר.

אנשים מתעוררים לפרטיות מקוונת

כשגוגל פירשה את עתיד הטכנולוגיה הלביש עם הגל הראשון של "חוקרי גוגל גלאס", אנשים התחרפנו. אנשים סוף סוף הכירו בהשפעת זיהוי הפנים והיכולת לפרסם כל דבר ברשת שיכול להיות על הפרטיות שלהם. האם עתידו של הטכנולוגיה הוא שאין בו פרטיות או שמא ניתן לאתחל אנשים ממסעדות וממפעלים אחרים בגלל איום על הפרטיות?

כבר הסתכלנו קדימה לשנת 2014, עם התחזיות שלנו להתקפות חדשות, אינטרנט לאומי, תשלומים מקוונים, אבטחה לנייד ואינטרנט של הדברים. ברוך הבא לשנת 2014. האם תהיה זו שנה של אי וודאות או ניצחונות? הישאר עם Watch Security בשנה החדשה כאשר אנו עוקבים אחר עליות ומורדות האבטחה.