Video: Suspense: Mister Markham, Antique Dealer / The ABC Murders / Sorry, Wrong Number - East Coast (Lokakuu 2024)
Jopa heikoimmat motellit tarjoavat nyt ilmaisen Wi-Fi: n. Olemme tulleet odottamaan sitä. Joten luonnollisesti odotamme saman palvelutasoa Airbnb: llä tai muulla jakamistalouden vuokrauksella. Mutta on ero, valtava ero, kuten turvallisuusasiantuntija Jeremy Galloway teki selväksi Black Hat -puhelussa.
Lyhytaikaiset vuokrat ovat juurta
Galloway vietti jonkin aikaa lyömällä kotiin kuinka lyhyen aikavälin vuokrausmarkkinat ovat. Koska markkinoiden koon arvioidaan olevan 100 miljardia dollaria vuodessa, se sijoittaa jonkin verran pilvipalveluihin käytettävien menojen (110 miljardia dollaria) ja kokaiinin globaalin myynnin (85 miljardia dollaria) välille. Voi, ja peliteollisuus Las Vegasissa? Se on noin 6, 3 miljardia.
Hän totesi myös, että enemmän vieraita käytti Airbnb: tä kesällä kuin Kreikan, Ruotsin tai Sveitsin koko väestö. Yli 2 000 000 Airbnb-ilmoitusta (tai kuten hän kutsui niitä, kohteita) maailmanlaajuisesti, se on ehdottoman valtava. "Airbnb on villin suosittu rahakone", sanoi Galloway. "Mutta tutkimus osoitti, että 40 prosenttia vieraista myönsi snoopingiin oleskellessaan käymissään kodeissa. Teen sen! Tarkastelen, mikä on lukittu ja mikä ei."
Yhden verkon telineet
"Te, tietoturva-ammattilaiset, saat hauskan tunteen verkossa. Sinulla on tämä kuudes turvallisuustunne, jota tavallinen ihminen ei tunne", sanoi Galloway. "Minulla on luottamusastetta. Henkilökohtainen kotiverkkosi on 100 prosenttia. Yliopistoverkosto on hyvin, heillä on tietoturva, mutta kaikki nuo opiskelijat, sanoisin 50 prosenttia. Lopuksi, se satunnainen hotellikioski, se on nolla Airbnb? Sanoisin sen olevan noin 20 prosenttia."
Galloway viittasi analogisena online-seksuaalisen altistumisen laskuriin. Ota kumppanien lukumäärä, joka sinulla on ollut, ja heidän kumppaniensa lukumäärä, ja näet kuinka monelle ihmiselle olet altistunut. "Ajattele kahdesti, ennen kuin sinulla on yhden verkon jalusta", sanoi Galloway. "Se on typerä lause, mutta kaupankäynnin mukavuuden vertaamisella riskiin on paljon järkeä."
Mitä hakkerit voivat tehdä
Galloway suoritti reitittimiin perustuvien hyökkäysten litanian viime vuosina. DNSChanger, Moon-mato, BlackMoon, kaikki nämä toimivat etäyhteyden avulla tekemällä muutoksia uhrin reitittimiin. Galloway lainasi turvallisuussupersankari Dan Geerin sanovan, että reitittimen tilanne on yhtä koskettava kuin bensiinin vuotaminen suljetussa ostoskeskuksessa. "Minusta", sanoi Galloway, "sanoisin, että reitittimen turvallisuus on raivoavaa dumpster-tiedostoa."
Tietenkin, nämä hyökkäykset tarvitsivat jotenkin herrata reitittimeen etäältä. Kun hyökkääjällä on fyysinen pääsy, kuten lyhytaikaisessa vuokrauksessa, se muuttaa kaiken. Galloway osoitti allekirjoitusreitittimensä APT. Ei, ei pitkälle edennyt uhka; Edistynyt paperiliitinuhka . "Sinun ei tarvitse olla MacGyver", sanoi Galloway. "Käytä taivutettuja paperiliittimiä reitittimen nollaamiseen ja poistat kokonaisen suojauskerroksen. Mikään tämä ei edellytä nollapäivän hyökkäyksiä tai hullua hyväksikäyttökoodia."
Se pahenee, paljon pahempi. Joku, jolla on fyysinen yhteys reitittimeen, voi kaapata arkaluontoisia tietojasi, muokata luotettavia tietoja, syöttää tietoja ja paljon muuta. "Kyllä", sanoi Galloway, "Se ei huonompi."
Hän jatkoi luettelointia uskomattomasta määrästä asioita, joita voit tehdä reitittimen hakkeroimiseksi fyysisen pääsyn jälkeen, ärsyttävistä katastrofaalisiin. Voit määrittää oman laitteen etävalvojana ja seurata reititintä viikkoa käyntisi jälkeen. Voit purkaa kaikki laitteen salasanat yksinkertaisella työkalulla. Aseta itsesi lokipalvelimeksi ja näet passiivisesti kaiken liikenteen.
Arkaluonteisemmalta puolelta voit asettaa oman palvelimen reitittimen DNS-palvelimeksi. Tämä mahdollisti keskitason ihmisten hyökkäykset, jotka voivat varastaa yksityisiä tietoja kaikilta, jotka yhdistävät reitittimen kautta. "Et voi kohdistaa ihmisiä näihin hyökkäyksiin", totesi Galloway, "mutta voit kohdistaa konferensseihin, paikkoihin sotilastukikohtien lähellä, yritystoimistoihin." Dan Kaminskyn pääpuheenvuoroon viitaten hän sanoi: "ICANN menee hulluksi tehdäkseen DNS: stä turvallisen. Suojaat DNS: tä lulzilla ja toiveilla."
Mitä voit tehdä
Voit silti käyttää Airbnb: tä ja lyhytaikaista vuokrausta, mutta jos kirjaudut sisään, suojaudu itsesi. Gallowayllä oli pyykkilista ehdotuksista. Kovakoodinen DNS kaikissa laitteissasi. Sammuta automaattinen välityspalvelimen etsintä. Käytä VPN-verkkoa. Sammuta Wi-Fi, jos laitteessa on matkapuhelindata. Liitä muut laitteet puhelimeesi henkilökohtaisena yhteyspisteenä (seuraa vain mobiilitiedon käyttöä). Ota kaksifaktorinen todennus käyttöön missä tahansa.
"Se on teknistä, mutta on jotain paljon tärkeämpää", sanoi Galloway. "Vaihda käyttöliittymäsi tapa. Minun yksi neuvojani - katso herra Robotti! Altistut itsellesi enemmän turvallisuutta kuin 99 prosenttia väestöstä. Tulet olemaan yhden prosentin ylin!"
Mitä kiinteistönomistajat voivat tehdä
Jos Airbnb-vuokrauksesi vierailijat tulevat kotiin haittaohjelmien avulla, he eivät anna sinulle hyvää arviota. Ja voit luottaa itse siihen samaan verkkoon, jos vuokra on vain huone talosi. "Galloway sanoi, että" ainoa paras neuvoni "on fyysisen pääsyn poistaminen. Lukitse reititin kaapissa tai turvatussa huoneessa. Lukitse se elektroniseen koteloon. Sanon, että hakkereille ja he sanovat: ha, voin valita Kyllä. Tarkoituksena ei ole luoda täydellistä turvallisuutta, vaan pitää ihmiset rehellisinä."
"Saatat jopa harkita tarjoamatta Wi-Fi-yhteyttä", jatkoi Galloway. "Tai hanki erillinen matalan kaistanleveyden linja vain vieraille. Se on liiketoiminnan kustannus. Varmuuskopioi ja palauta reitittimen asetukset rutiininomaisesti. Ja lisää online-turvallisuusosa vierasoppaaseesi."
Ei hyviä uutisia
"En voi jättää sinulle hyviä uutisia", päätti Galloway. "Ongelma ei poistu. Joka vuosi vuodesta 2011 on ollut" rikkomuksen vuosi ", lähinnä SQL-injektioiden takia. Ja SQL-injektiot ovat olleet olemassa jo vuodesta 1998. Ei korjausta, päivitystä tai helppoa korjausta."
Voin sanoa vain, vau. Jos haluat kaivaa täydelliset tekniset tiedot suojautuaksesi paremmin itsestäsi tai tullaksesi kotireitittimien hakkereiksi, lue Gallowayn koko esitys.
