Важливі історії безпеки 2013 року

Озираючись назад, 2013 рік відчував себе як американські гірки, коли ми котувались від добрих до поганих новин кожні кілька тижнів: порушення даних, конфіденційність, кібер-шпигунство, шпигунство уряду, вдосконалене зловмисне програмне забезпечення, значні арешти, покращені функції безпеки тощо.

Найбільша історія, а точніше - серія історій року, обертається навколо документів, які екс-підрядник Агентства національної безпеки Едвард Сноуден вкрав та випустив до ЗМІ. Однак це була не єдина головна історія 2013 року. Вперше охоронна компанія виклала певний випадок того, як Китай шпигує за американським бізнесом, а уряд США офіційно обговорював це питання з урядом Китаю. Правоохоронці мали певні значні перемоги, розірвавши велике кільце для крадіжок кредитної картки та заарештувавши творця Blackhole Exploit Kit. Порушення даних продовжувалося, але порушення Experian висвітлило проблему збору посередників особистими даними посередників. Постійні користувачі почали говорити про конфіденційність в Інтернеті, коли користувачі Google Glass виходили на вулиці. Компанії зобов’язані вдосконалити практику безпеки, наприклад шифрування даних під час транзиту, впровадження двофакторної автентифікації та стають більш прозорими щодо того, яку інформацію вона надає уряду.

2013 рік був насиченим як для фахівців з безпеки, так і для людей. Ось огляд істотних історій безпеки за рік, в якомусь конкретному порядку.

Секретні програми спостереження за АНБ

Ми могли б заповнити цілу колонку, окрім викриттів АНБ. Початкові статті про програму збору телефонних записів були досить шокуючими, але відчувається, що кожне наступне викриття є більш вибуховим, ніж раніше. Агентство шпигувало за веб-діяльністю, прослідковувало трафік до центрів обробки даних Google та Yahoo, перехоплювало поставки для встановлення шпигунських програм та задніх куточків в електронній техніці, і нібито підслуховувало лідерів інших країн та геймерів. Хоча голова АНБ ген. Кіт Олександр продовжує наполягати на тому, що агентство діє в межах своєї межі, і що дбаючи про збереження громадянських свобод, заклики до реформ стають все голоснішими. Конгрес обговорює, що робити з проблемою АНБ, консервативний федеральний суддя постановив у справі «Клайман проти Обами», що програма запису телефонів АНБ, можливо, порушила Четверту поправку, а незалежна колегія, обрана Білим домом, рекомендувала АНБ. програми потрібно скоротити.

Група технічних гігантів, включаючи Тіма Кука від Apple, Еріка Шмідта від Google та Маріссу Майер Yahoo, поговорила з президентом Бараком Обамою про їхні занепокоєння щодо діяльності НСА. AOL, Apple, Facebook, Google, LinkedIn, Twitter, Yahoo та Microsoft об'єдналися, вимагаючи, щоб, хоча урядам потрібно вживати заходів для захисту безпеки та безпеки своїх громадян, "діючі закони та практики потрібно реформувати".

Більше компаній випускає звіти про прозорість, щоб розкрити, яку інформацію вони передають уряду, а зашифровану електронну службу Lavabit закрили, щоб уникнути необхідності передавати інформацію про своїх користувачів. RSA, підрозділ безпеки EMC, в даний час захищає свою репутацію після звіту Reuters, що їй потрібно 10 мільйонів доларів від АНБ для просування компрометованого криптографічного алгоритму в своїх продуктах безпеки.

Китай, Китай, Китай

Ми були настільки захоплені хвилями інформації, що виходила про діяльність АНБ, що легко забути, що ми розпочали 2013 рік із вибухового звіту, який окреслює роль Китаю в кібер-шпигунстві. Доповідь APT1 від Mandiant була першою остаточною заявою, в якій чітко було викладено, що кібератаки з Китаю роблять для проникнення в американські бізнес та урядові мережі. У звіті було вказано, як ці зловмисники викрадали інтелектуальну власність, встановили на задньому плані та пошкодили системи.

Незабаром після звіту різні урядовці розповіли про діяльність Китаю. У травні щорічний звіт Пентагону щодо Китаю безпосередньо звинувачував уряд цієї країни в урядах і військових атаках проти США. Президент Обама навіть висунув звинувачення під час зустрічі з Сі Цзіньпіном, президентом Китаю. Китайський уряд навіть звинуватив США у тому, що вони роблять те саме. (Трохи передвіщає Сноудену?)

Атаки проти ЗМІ

Цього року засоби масової інформації зазнали нападу, і The New York Times, Washington Post та Wall Street Journal оприлюднили, що вони були заражені складними шкідливими програмами. Палець підозри вказував - де ще? - Китай. Сирійська електронна армія розпочала сварку проти акаунтів у Twitter для відділень The Onion, Guardian та інших. Фальшива публікація в акаунті AP в Twitter: "Розбиття: два вибухи в Білому домі, і Барак Обама поранений", навіть спричинив невеликий провал на фондовому ринку, і Dow Jones тимчасово набрав 140 очок.

Атака проти веб-сайту New York Times, де SEA вдалося змінити налаштування системи доменних імен сайту, підкреслила, наскільки легко зловмисники можуть перешкоджати веб-операціям. СЕО в цій атаці навіть не зламалася в мережу - група здійснила цю атаку за допомогою фішингу.

Зосередьтеся на безпеці програм

Закон про доступну допомогу та розробка веб-сайту медичної біржі вивели на перший план важливість тестування безпеки. Фахівці з питань безпеки знають, наскільки важливим є те, що програми перевіряються на предмет безпеки, перш ніж виходити наживо, але коли годинник минає та час вичерпується, щоб доставити продукт вчасно, безпека падає на другий бік. Деякі проблеми, виявлені в HealthCare.gov після його запущеної версії, викликали можливість того, що зловмисники націлять на сайт. Були повідомлення, що люди бачили конфіденційну інформацію, що належить іншим користувачам на сайті.

Керівники, які стежили за цілою сагою, ймовірно, не будуть настільки швидкими, щоб пропустити тестування безпеки наступного разу, коли вони матимуть основну програму. Або так ми сподіваємось

Розподілена відмова від нападів на обслуговування

DDoS не новий, але цього року ми побачили дві основні розробки. DDoS часто використовувався проти фінансових сайтів, особливо в рамках операції "Абабіл", але зловмисники розширили свої цілі, щоб включити інші галузі. Один з найбільших нападів року був проти Спамгауза в березні, максимум досягав 300 Гбіт / с.

Основні арешти з кіберзлочинністю

У травні прокурор США у Східному окрузі Нью-Йорка оголосив звинувачення у викраданні банківських грошей на суму 45 мільйонів доларів США, пов’язаному з викраденою інформацією рахунку. Банда нібито втрутилася у фінансові установи, щоб викрасти інформацію про рахунки, а потім зняла мільйони доларів з банкоматів.

У липні прокурор США в Нью-Джерсі звинуватив ще одне кібер-злочинне кільце за порушення комп'ютерних мереж щонайменше 17 основних торгових мереж, фінансових установ та платіжних процесорів, щоб викрасти понад 160 мільйонів номерів кредитних та дебетових карток. Цільові мережі включали Nasdaq, 7-Eleven, Visa та JC Penney.

Російська влада заявила, що заарештувала Пауна, творця набору для експлуатації Blackhole. Експерти з питань безпеки вважають, що з арештом в даний час недійсні кіберзлочинці намагаються заповнити. "Без чіткого спадкоємця Blackhole, кіберзлочинні банди можуть інвестувати в інші місця, щоб компенсувати втрачений дохід через менш складні механізми доставки зловмисних програм", - заявив Алекс Уотсон, директор з досліджень безпеки Websense.

Поливні отвори нападів

Цього року напади на дірки з поливу були досить помітними, і веб-сайти були зламані для компрометації працівників у великих технологічних фірмах, таких як Facebook, Apple, Microsoft та Twitter, а також проти підрядників із оборони та державних службовців. Ці атаки на поливні отвори скористалися вразливістю до нульового дня в Internet Explorer, Java та інших широко використовуваних технологіях.

Також були виявлені напади на обводнення дірок проти тибетських активістів, оскільки зловмисники націлили на китайськомовних людей, які відвідують Центральну тибетську адміністрацію та фонд Тибетських будинків, а також уйгурський веб-сайт, який підтримує Ісламська асоціація Східного Туреччини.

Порушення даних Experian

Ми схильні пам’ятати про останнє головне порушення даних та забуваємо про всі інші, які були раніше. Незважаючи на те, що нещодавнє порушення даних, понесене Target, під час якого майже 40 мільйонів дебетових та кредитних карток було порушено під час сезону відпускних покупок, є досить важливим, але найстрашнішим порушенням даних, пов’язаним із інформацією про користувачів, було порушення даних Experian.

Experian - одна з організацій у галузі купівлі та продажу особистої інформації - номери соціального страхування, адреси, реквізити банківського рахунку. Відповідно до розслідування письменника з безпеки Брайана Кребса, ця інформація була продана закордонному злочинному кільцю. Порушення також підкреслило той факт, що багато систем аутентифікації, заснованих на знаннях, де людей просять підтвердити свою особу, сказавши, яким автомобілем вони володіють чи де вони жили раніше, ще більше вразливі.

Люди прокидаються до конфіденційності в Інтернеті

Коли Google розгорнув майбутнє носячих технологій за допомогою своєї першої хвилі «дослідників Google Glass», люди злякалися. Люди, нарешті, усвідомили вплив розпізнавання обличчя та можливість розміщувати все, що можна в Інтернеті, на їх приватне життя. Чи майбутнє технологій там, де немає конфіденційності, або де люди можуть бути завантажені з ресторанів та інших закладів за те, що це загроза конфіденційності?

Ми вже з нетерпінням чекали 2014 року, передбачивши нові атаки, національний Інтернет, онлайн-платежі, мобільну безпеку та Інтернет речей. Ласкаво просимо в 2014 рік. Це буде рік невизначеності чи перемог? Дотримуйтесь Security Watch у новому році, коли ми стежимо за підвищеннями та падіннями безпеки.