פרסומת
נגמרו ימי שדרני החדשות המצערים את כל האינטרנט על ידי תולעת מחשבים פשוטה (אך יעילה), אך זה לא אומר שהאבטחה המקוונת כבר לא מדאיגה. האיומים הפכו מורכבים יותר וגרוע מכך, הם מגיעים כעת ממקומות שרובם לא היו מצפים לעולם - כמו הממשלה. להלן 5 שיעורים קשים שלמדנו על אבטחה מקוונת בשנת 2013.
הממשלה צופה בך ...
נקודת השיחה הגדולה ביותר בנושא אבטחת מחשבים של שנת 2013 הייתה, כמובן, ההתגלות שחלקים מהם ממשלת ארצות הברית (בעיקר הסוכנות לביטחון לאומי) ריגלה אחרי אזרחים בלי איפוק.
על פי מסמכים שהודלף על ידי קבלן NSA לשעבר אדוארד סנודן, וחוזק על ידי מקורות אחרים כמו פקיד לשעבר ב- NSA, וויליאם בייני, לשירותי המודיעין של אמריקה יש גישה לא רק לרשומות טלפון ורשתות חברתיות. מטא נתונים, אך הם יכולים גם להשתמש במגוון רחב של שירותים, כולל שיחות טלפון סלולרי, מיילים ושיחות מקוונות, באמצעות הקשה ישירה על ידי חוט או באמצעות הגשת סוד צווי.
מה זה אומר עבורך? קשה לומר זאת משום שה- NSA מתעקש שהתוכנית היא סוד ביטחון לאומי. בעוד שמפיצי המשרוקית ציינו כי הגודל של מרכזי הנתונים של ה- NSA מרמז על כך שהממשלה רושמת ושומרת על נפח גדול למדי של נתוני וידיאו ואודיו, אין דרך לדעת בוודאות מה הוקלט ונשמר כל עוד הספיימאסטרים של אמריקה ממשיכים לבנות את ציבורי.
המסקנה המטרידה היא שיש שום דבר שאתה יכול לעשות כדי להבטיח את פרטיותך, מכיוון שהמידה בה ניתן להתפשר ואיך היא עלולה להתפשר, ידועה רק למחצה.
... וכך גם כולם
לא סתם הממשלה מעוניינת לרגל אחרי אנשים. אנשים יכולים גם להשתמש בווידיאו או שמע סמויים שנלקחו ממחשב הקורבן. לעיתים קרובות זה פחות קשור להונאה מאשר קשור למעשי קונדס ופורנו, אם כי השניים יכולים להתכנס.
העולם התת-קרקעי של צפייה בקורבנות בלתי מעורערים, המכונה "רעש", נחשף בצורה מבריקה במאמר מאת Ars Technica. אף על פי שלפעמים נחשבים הפעלת מצלמת הרשת של אדם והקלטתו מרחוק כאל פריצה, אך כעת ניתן לבצע זאת בקלות יחסית באמצעות תוכנות עם שמות כמו מנהל כיף. לאחר התקנת לקוח מקשקש במחשב של הקורבן, הקשקשנים יכולים להיכנס פנימה ולראות מה קורה.
לעיתים קרובות, "מה שקורה" מתרגם ישירות לסיכוי לראות נשים לא מעוררות חשד עם הבגדים שלהן, אם כי ניתן להשתמש בתוכנה גם להפעלת קונדס כמו פתיחה אקראית של תמונות מטרידות כדי לראות את הקורבן תגובה. במקרים הגרועים ביותר, רעידות יכולות לתרגם ישירות לסחיטה, מכיוון שהמחשבן תופס תמונות מביכות או עירומות של קורבן ואז מאיים לשחרר אותם אם לא ישלמו להם כופר.
הסיסמאות שלך עדיין אינן מאובטחות
אבטחת סיסמאות היא דאגה נפוצה ולא בכדי. כל עוד מחרוזת טקסט יחידה היא כל מה שעומד בין העולם לחשבון הבנק שלך, יש חשיבות עליונה לשמירת טקסט זה בסוד. למרבה הצער, חברות שמבקשות מאיתנו להיכנס באמצעות סיסמה אינן מודאגות ומאבדות אותן בקצב מדאיג.
ההפרה הגדולה השנה הגיעה באדיבות אדובי, שאיבדה יותר מ -150 מיליון סיסמאות בהתקפה ענקית כי גם (לטענת החברה) אפשרו לתוקפים להמציא עם קוד לתוכנה שעדיין בפיתוח ולגנוב מידע חיוב עבור לקוחות מסוימים. בעוד שהסיסמאות הוצפנו, הן היו את כל מאובטח בשיטת הצפנה מיושנת ואותו מפתח הצפנה. שפירושו כי קידודם היה קל בהרבה מכפי שהיה צריך להיות.
למרות שפרצות דומות קרו בעבר, Adobe's היא הגדולה ביותר מבחינת מספר הסיסמאות שאבדו, מה שמראה שיש כאלה עדיין חברות שלא מתייחסות ברצינות לאבטחה. למרבה המזל, יש דרך קלה לדעת אם נתוני הסיסמה שלך הופרו; פשוט ללכת ל HaveIBeenPwned.com והזן את כתובת הדוא"ל שלך.
פריצה היא עסק
ככל שהמחשבים הפכו מורכבים יותר, פושעים המעוניינים להשתמש בהם כאמצעי להרוויח בלתי חוקי, הפכו גם הם מתוחכמים יותר. הימים של האקר בודד משחרר במצח נחושה וירוס רק כדי לראות מה קורה נראה שנגמר, ובמקומם קבוצות שעובדות יחד כדי להרוויח כסף.
דוגמא אחת היא פאנץ ', האקר ברוסיה שעמד בראש מכירות של ערכת ניצול המכונה Blackhole. הערכה, שנוצרה על ידי פאנץ 'וכמה שותפים לקושרים, פותחה טקטיקות עסקיות חכמות חלקית. במקום לנסות לבוא עם ניצולים של אפס יום לבדם, הקבוצה של פאנץ 'רכשה מעללי אפס ימי עלייה מאקרים אחרים. אלה נוספו לערכה שנמכרה כמנוי במחיר של 500 עד 700 דולר לחודש. חלק מהרווחים הושקעו מחדש בקניית עודפים רבים יותר, מה שהפך את Blackhole למסוגל עוד יותר.
כך עובד כל עסק. מוצר מפותח, ואם מצליח, חלק מהרווח מושקע מחדש כדי להפוך את המוצר טוב יותר ובתקווה מושך אפילו יותר עסקי. חזור על כך עד שעשיר. לרוע מזלו של פאנץ ', בסופו של דבר מעקב אחר התוכנית שלו על ידי המשטרה הרוסית, והוא נמצא כעת במעצר.
אפילו מספר הביטוח הלאומי שלך הוא במרחק קליק בודד
קיומם של בוטנים ידוע מזה זמן, אך השימוש בהם לרוב קשור להתקפות פשוטות אך מסיביות יחסית, כמו מניעת שירות מהי התקפת DDoS? [MakeUseOf מסביר]המונח DDoS שורק על פניו בכל פעם שהסייבר-אקטיביזם מעלה את ראשו בהמוניו. פיגועים מסוג זה עולים לכותרות בינלאומיות בגלל סיבות מרובות. הנושאים שמפעילים את התקפות ה- DDoS הם לעתים קרובות שנוי במחלוקת או מאוד ... קרא עוד או דואר זבל בדוא"ל, ולא גניבת נתונים. צוות האקרים מתבגרים ברוסית הזכיר לנו שהם יכולים לעשות יותר מאשר למלא את תיבות הדואר הנכנס שלנו בפרסומות של ויאגרה כשהן הצליחו התקן botnet בסוכני נתונים גדולים (כמו LexisNexis) וגנבו כמויות של נתונים רגישים.
זה הביא ל"שירות "בשם SSNDOB שמכר מידע על תושבי ארצות הברית. המחיר? רק זוג דולרים עבור שיא בסיסי ועד 15 דולר עבור אשראי מלא או בדיקת רקע. זה נכון; אם אתה אזרח אמריקאי, ניתן להשיג את מספר הביטוח הלאומי שלך ואת פרטי האשראי שלך בפחות ממחיר הארוחה בגינת הזית.
וזה מחמיר. בנוסף לאחסון מידע, חלק מחברות תיווך נתונים משמשות גם לאימות זה. יתכן שנתקלת בזה בעצמך אם ניסית אי פעם לבקש הלוואה רק כדי לקבל את פניך בשאלות כמו "מה האם הכתובת שלך הייתה לפני חמש שנים? " מכיוון שמתווכי הנתונים עצמם נפגעו, ניתן לענות על שאלות כאלה קלות.
סיכום
2013 לא הייתה שנה נהדרת לביטחון מקוון. למען האמת, זה היה קצת סיוט. ריגול ממשלתי, גניבת מספרי ביטוח לאומי, סחיטה במצלמת רשת על ידי זרים; רבים מדמיינים את התרחישים הגרועים ביותר שיכולים להתרחש רק בנסיבות הקיצוניות ביותר, ובכל זאת השנה הוכיחו את כל הדברים האמורים במאמץ מעט מפתיע. אני מקווה, 2014 תראה צעדים שננקטו בכדי לפתור את הבעיות הבוהקות הללו, אם כי אני בספק אם יהיה לנו כל כך מזל.
אשראי תמונה: פליקר / שיין בקר, פליקר / סטיב רודס
מתיו סמית הוא סופר עצמאי המתגורר בפורטלנד אורגון. הוא כותב ועורך גם עבור מגמות דיגיטליות.