У дома Securitywatch Имате щанд за една мрежа в краткосрочен наем? използвайте защита!

Имате щанд за една мрежа в краткосрочен наем? използвайте защита!

Видео: Настя и сборник весёлых историй (Ноември 2024)

Видео: Настя и сборник весёлых историй (Ноември 2024)
Anonim

Дори и най-семенните мотели сега предлагат безплатен Wi-Fi. Дойдохме да го очакваме. Така че естествено очакваме същото ниво на обслужване при Airbnb или друг наем за икономия на споделяне. Но има разлика, огромна разлика, както стана ясно в беседа на Black Hat от експерта по сигурността Джеръми Галоуей.

Галоуей се представи с думите: „Решавам проблеми със сигурността - понякога има включени компютри“. Той е член на повече общности за сигурност, отколкото дори съм чувал, включително НАМАЛЕНО. А оживеният му стил на презентация, с изяви на Омир Симпсън и омагьосан Космо Крамер между графики и слайдове, поддържаше прикованата публика.

Краткосрочните наеми са Юге

Галоуей прекара известно време в дома си, колко голям е пазарът за краткосрочни наеми. С оценката на пазарния размер на 100 милиарда долара годишно, това го поставя някъде между всички разходи за облачни услуги (110 милиарда долара) и глобални продажби на кокаин (85 милиарда долара). О, и игралната индустрия в Лас Вегас? Това е около 6, 3 милиарда.

Той също така заяви, че повече гости са използвали Airbnb това лято, отколкото цялото население на Гърция, Швеция или Швейцария. С над 2 000 000 списъка на Airbnb (или, както той ги нарече, цели) по целия свят, това е абсолютно огромно. "Airbnb е много популярна машина за пари", каза Галоуей. „Но проучване показа, че 40 процента от гостите са приели да спират, докато остават в домовете, които посещават. Правя го! Проверявам, за да видя какво е заключено и кое не.“

Едноредови стойки

"Вие, специалистите по сигурността, можете да получите забавно усещане в мрежа. Имате това шесто чувство за сигурност, което обикновеният човек няма", каза Галоуей. "Имам скала на доверие. Вашата лична домашна мрежа, това е 100 процента. Университетска мрежа, добре, те имат ИТ сигурност, но всички тези студенти, бих казал 50 процента. Най-накрая, този случаен киоск на хотел, това е нула процента. Airbnb? Бих го сложил около 20 процента."

Галоуей посочи онлайн калкулатор за сексуална експозиция като аналогия. Вземете броя на партньорите, които сте имали, и броя на партньорите, които са имали, и виждате колко хора сте били изложени. „Помислете два пъти, преди да имате стойка за една мрежа“, каза Галоуей. "Това е глупава фраза, но сравнението на удобството за търгуване за риск има много смисъл."

Какво могат да направят хакерите

Галоуей премина през литания от атаки, базирани на рутери през последните няколко години. DNSChanger, лунният червей, BlackMoon, всичко това работеше чрез дистанционно извършване на промени в маршрутизаторите на жертвите. Галоуей цитира супергероя по сигурността Дан Гиър, който казва, че ситуацията с маршрутизатора е толкова чувствителна като разлив с бензин в затворен търговски център. "Що се отнася до мен - каза Галоуей, - бих казал, че сигурността на маршрутизатора е бушуващ файл за боклук."

Разбира се, тези атаки бяха необходими, за да се раздалеят по някакъв начин в рутера от разстояние. Когато нападателят има физически достъп, както при краткосрочен наем, това променя всичко. Галоуей демонстрира маршрутизатора си за подпис APT. Не, не напреднала постоянна заплаха; Усъвършенствана опасност за кламери . - Не е нужно да сте МакГивър - каза Галоуей. "Използвайте огъната хартиена щипка, за да нулирате рутера и премахвате цял слой сигурност. Нищо от това не изисква атаки с нулев ден или луд код за експлоатация."

Влошава се, много по-зле. Някой, който има физически достъп до рутера, може да улавя вашите чувствителни данни, да променя надеждни данни, да вмъква данни и други. "Да", каза Галоуей, "не става много по-лошо."

Той продължи да изброява невероятно много неща, които бихте могли да направите, за да хакнете маршрутизатор с физически достъп, вариращ от досадно до катастрофално. Можете да конфигурирате собственото си устройство като отдалечен администратор и да наблюдавате маршрутизатора седмици след посещението си. Можете да извлечете всички пароли на устройството с помощта на прост инструмент. Задайте се като лог сървър и пасивно виждате целия трафик.

От страна на по-страшното можете да зададете свой собствен сървър като DNS сървър на рутера. Това даде възможност за атаки на човек в средата, които могат да откраднат частна информация от всеки, който се свързва през рутера. "Не можете да насочвате към лица с тези атаки", отбелязва Галоуей, "но можете да насочвате към конференции, локали в близост до военни бази, корпоративни офиси." Позовавайки се на основния бележка на Дан Камински, той каза: "ICANN достига до луди дължини, за да направи DNS безопасен. Вие защитавате DNS с лулз и желания."

Какво можеш да правиш

Все още можете да използвате Airbnb и краткосрочни наеми, но ако влезете, защитете се. Галоуей имаше списък с предложения за пране. Твърд код DNS във всичките ви устройства. Изключете автоматично откриване на прокси сървъра. Използвайте VPN. Изключете Wi-Fi, ако устройството ви има клетъчни данни. Свържете другите си устройства в телефона си като лична гореща точка (просто следете използването на мобилни данни). Активирайте двуфакторна автентификация, където е налична.

"Това е технически, но има нещо по-важно", каза Галоуей. "Променете начина, по който интерфейсите. Моят един съвет - внимавайте г-н Робот! Ще се излагате на повече сигурност от 99 процента от населението. Ще бъдете най-висок един процент!"

Какво могат да направят собствениците на имоти

Ако посетителите на вашия Airbnb под наем се приберат със зловреден софтуер, те няма да ви дадат добър преглед. И можете сами да разчитате на същата мрежа, ако наемът ви е просто стая в къщата ви. "Моят най-добър съвет", каза Галоуей, "е да премахна физическия достъп. Заключете рутера в килер или защитено помещение. Заключете го в електронен шкаф. Казвам това на хакерите и те казват, ха, мога да избера това заключване за пет минути. Да. Важното е да не създавате перфектна сигурност, а да поддържате хората честни."

"Можете дори да помислите да не предлагате Wi-Fi", продължи Галоуей. „Или вземете отделна линия с ниска честотна лента само за гости. Това е бизнес разход. Резервно копирайте и възстановете рутер настройките си. И добавете онлайн раздел за безопасност към вашето ръководство за гости.“

Няма добри новини

"Не мога да ви оставя с добри новини", заключи Галоуей. „Проблемът не отшумява. Всяка година от 2011 г. е„ годината на нарушението “, най-вече заради SQL Injection. И SQL Injection е от 1998 г. насам. Няма кръпка, актуализация или лесно поправяне.“

Всичко, което мога да кажа е, уау. Ако искате да се копаете за пълните технически подробности, дали да се защитите по-добре или да станете хакер за рутер, прочетете пълната презентация на Galloway.

Имате щанд за една мрежа в краткосрочен наем? използвайте защита!