Маєте єдину мережу в короткостроковій оренді? використовуйте захист!

Навіть найсемітніші мотелі тепер пропонують безкоштовний Wi-Fi. Ми прийшли очікувати цього. Тож, природно, ми очікуємо того ж рівня обслуговування при Airbnb або іншій оренді економіки спільного використання. Але є різниця, величезна різниця, як це було зрозуміло у розмові про Чорну Шапочку експертом з питань безпеки Джеремі Галлоуей.

Галлоуей представився, сказавши: "Я вирішую проблеми із безпекою. Інколи там задіяні комп'ютери". Він є членом більшості спільнот безпеки, ніж я навіть чув, в тому числі ПОЗНАЧЕНО. А його жвавий стиль викладу, із виступами Гомера Сімпсона та приголомшеного Космо Крамера між графіками та слайдами, тримав публіку заклеєною.

Короткострокова оренда - Юге

Галлоуей провів деякий час, забиваючи будинок, наскільки великий ринок короткострокової оренди. Оскільки розмір ринку оцінюється в 100 мільярдів доларів на рік, це ставить його десь між усіма витратами на хмарні послуги (110 мільярдів доларів) та глобальними продажами кокаїну (85 мільярдів доларів). О, і ігрова індустрія в Лас-Вегасі? Це приблизно 6, 3 мільярда.

Він також заявив, що цього року літаками Airbnb користувалися більше гостей, ніж все населення Греції, Швеції чи Швейцарії. Маючи понад 2 000 000 списків Airbnb (або, як він їх називав, цілей) по всьому світу, це абсолютно величезна кількість. "Airbnb - дуже популярна грошова машина", - сказав Галлоуей. "Але дослідження показало, що 40 відсотків гостей зізналися на носах під час перебування в будинках, які вони відвідують. Я це роблю! Я перевіряю, чи не зафіксовано, а що ні".

Одномережеві стенди

"Ви, професіонали з безпеки, можете отримати смішні відчуття в мережі. У вас є таке шосте почуття безпеки, яке не має середня людина", - сказав Галлоуей. "Я маю шкалу довіри. Ваша особиста домашня мережа, це 100 відсотків. Університетська мережа, ну, вони мають ІТ-безпеку, але всі ці студенти, я б сказав 50 відсотків. Нарешті, цей випадковий кіоск готелю, це нуль Airbnb? Я б сказав, що це приблизно 20 відсотків ".

Галлоуей вказав на Інтернет-калькулятор сексуального впливу як аналогію. Візьміть кількість партнерів у вас і кількість партнерів у них, і ви побачите, скільки людей ви були схильні. "Подумайте двічі, перш ніж мати єдину мережеву підставку", - сказав Галлоуей. "Дурне словосполучення, але порівняння зручності торгівлі для ризику має багато сенсу".

Що можуть зробити хакери

Упродовж останніх кількох років Галлоуей пробіг літанію атак на маршрутизаторах. DNSChanger, Місячний черв'як, BlackMoon, все це працювало шляхом дистанційного внесення змін у маршрутизатори жертв. Галлоуей процитував супергероя з безпеки Ден Гера, який сказав, що ситуація з маршрутизатором така ж дотична, як і розлив бензину у закритому торговому центрі. "Що стосується мене, - сказав Галлоуей, - я б сказав, що безпека маршрутизатора - це бурхливий сміттєвий файл".

Звичайно, ці атаки були необхідні, щоб якось віддалено потрапляти в роутер. Коли зловмисник має фізичний доступ, як у короткостроковій оренді, це все змінює. Галлоуей продемонстрував маршрутизатор підписів APT. Ні, не прогресивна наполеглива загроза; Розширена загроза скріпкою . "Вам не потрібно бути Макгівером", - сказав Галлоуей. "Використовуйте зігнуту скріпку для паперу, щоб скинути маршрутизатор, і ви знімете цілий шар безпеки. Нічого з цього не вимагає атак нульових днів або шаленого коду експлуатації."

Це стає гірше, набагато гірше. Той, хто має фізичний доступ до маршрутизатора, може захоплювати ваші конфіденційні дані, змінювати довірені дані, вводити дані тощо. "Так, " сказав Галлоуей, "це не набагато гірше".

Він перерахував дивовижну кількість речей, які ви могли зробити, щоб зламати маршрутизатор, надаючи фізичний доступ, починаючи від дратівливого до згубного. Ви можете налаштувати власний пристрій як віддалений адміністратор і стежити за маршрутизатором тижні після відвідування. Ви можете витягнути всі паролі пристрою за допомогою простого інструменту. Встановіть себе як журнальний сервер, і ви пасивно бачите весь трафік.

З іншого боку, ви можете встановити власний сервер як DNS-сервер маршрутизатора. Це ввімкнуло атаки "посередника", які можуть вкрасти приватну інформацію у кожного, хто з'єднується через маршрутизатор. "Ви не можете націлити людей на ці напади", - зазначив Галлоуей, - але ви можете орієнтуватися на конференції, місцеположення поблизу військових баз, корпоративних офісів ". Посилаючись на основний коментар Дана Камінського, він сказав: "ICANN намагається зробити DNS безпечним. Ви захищаєте свою DNS люлзою та побажаннями".

Що ти можеш зробити

Ви все ще можете використовувати Airbnb та короткострокову оренду, але якщо увійти, захистіть себе. У Галлоуей був список пропозицій білизни. Жорсткий код DNS на всіх ваших пристроях. Вимкніть автоматичне виявлення проксі. Використовуйте VPN. Вимкніть Wi-Fi, якщо ваш пристрій має стільникові дані. Підключіть інші пристрої до свого телефону як особисту точку доступу (просто слідкуйте за використанням мобільних даних). Увімкніть двофакторну автентифікацію, де вона доступна.

"Це технічно, але є щось важливіше", - сказав Галлоуей. "Змініть спосіб інтерфейсу. Моя одна порада - спостерігайте за містером Роботом! Ви будете піддаватись більшій безпеці, ніж 99 відсотків населення. Ви опинитеся в першому відсотку!"

Що можуть зробити власники майна

Якщо відвідувачі вашого прокату Airbnb повернуться додому зі шкідливим програмним забезпеченням, вони не дадуть вам хорошого відгуку. І ви цілком можете розраховувати на ту саму мережу, якщо ваша оренда - це лише кімната у вашому будинку. "Моя найкраща порада", - сказав Галлоуей, - це зняти фізичний доступ. Замкніть маршрутизатор у шафі або забезпеченій кімнаті. Замкніть це в електронному корпусі. Я кажу, що хакерам, і вони кажуть, ха, я можу вибрати цей замок за п’ять хвилин. Так, справа не в тому, щоб створити ідеальну безпеку, це зробити людину чесною ".

"Ви навіть можете подумати про те, щоб не пропонувати Wi-Fi, " продовжив Галлоуей. "Або отримайте окрему лінію низької пропускної здатності лише для гостей. Це бізнес-витрати. Резервно створюйте резервні копії та відновлення налаштувань маршрутизатора. І додайте розділ безпеки в Інтернеті до свого гіда."

Ніяких хороших новин

"Я не можу залишити вас добрими новинами", - підсумував Галлоуей. "Проблема не зникає. Щорічно з 2011 року є" роком порушення ", в основному через SQL Injection. І SQL Injection існує з 1998 року. Немає патчу, оновлення чи простого виправлення".

Все, що я можу сказати, це - вау. Якщо ви хочете заробитись для отримання повних технічних деталей, щоб краще захистити себе чи стати хакером на домашньому маршрутизаторі, прочитайте повну презентацію Galloway.