Важни истории за сигурността от 2013 г.

Поглеждайки назад, 2013 г. се почувства като влакче в увеселителен парк, докато на всеки няколко седмици се притискахме от добри новини до лоши новини: Нарушения на данните, поверителност, кибер-шпионаж, правителствено шпиониране, напреднал зловреден софтуер, значителни арести, подобрени функции за сигурност и др.

Най-голямата история - или по-скоро поредица от истории - за годината се върти около документите, които бившият изпълнител на Агенцията за национална сигурност Едуард Сноудън открадна и пусна в медиите. Това обаче не беше единствената основна история за 2013 г. За първи път охранителна компания изложи категоричен случай как Китай шпионира американския бизнес, а правителството на САЩ официално обсъди въпроса с китайското правителство. Органите на реда имаха някои значителни победи, разбивайки голям пръстен за кражба на кредитна карта и арестувайки създателя на Blackhole Exploit Kit. Нарушенията на данните продължиха, но Experian наруши проблема с брокерите на данни, които обобщават личната информация. Редовните потребители започнаха да говорят за поверителност онлайн, когато потребителите на Google Glass излязоха на улицата. Компаниите се ангажират с по-добри практики за сигурност, като криптиране на данни по време на транзит, прилагане на двуфакторна автентификация и стават по-прозрачни за това каква информация предоставя на правителството.

2013 г. беше натоварена както за професионалисти по сигурността, така и за лица. Ето преглед на важните истории за сигурността за годината, без конкретен ред.

Тайни програми за наблюдение на НСА

Бихме могли да запълним цяла колона само с разкрития на НСА. Първоначалните статии за програмата за събиране на телефонни записи бяха достатъчно шокиращи, но изглежда, че всяко следващо разкритие е по-експлозивно от преди. Агенцията шпионира дейността в мрежата, засича трафика към и от центровете за данни на Google и Yahoo, прихваща пратки за инсталиране на шпионски софтуер и заден план в електрониката и, както се твърди, подслушва лидерите на други страни и геймърите. Докато шефът на НСА ген. Кийт Александър продължава да настоява, че агенцията действа в рамките на своите граници и че е внимавала да запази гражданските свободи, призивите за реформи стават все по-силни. Конгресът обсъжда какво да прави по проблема с НСА, консервативен федерален съдия постанови в Klayman срещу Обама, че програмата за записване на телефони на NSA вероятно нарушава Четвъртата поправка, а независимият панел, избран от Белия дом, препоръча NSA програмите трябва да бъдат ограничени.

Група технически гиганти, включително Тим Кук на Apple, Ерик Шмид от Google и Мариса Майер на Yahoo, разговаряха с президента Барак Обама относно притесненията си относно дейността на NSA. AOL, Apple, Facebook, Google, LinkedIn, Twitter, Yahoo и Microsoft се обединиха с искане, докато правителствата трябва да предприемат действия за защита на сигурността и сигурността на своите граждани, „настоящите закони и практики трябва да бъдат реформирани“.

Повече компании пускат доклади за прозрачност, за да разкрият каква информация предават на правителството, и криптирана имейл услуга Lavabit изключи, за да не се налага да предава информация за своите потребители. RSA, подразделението за сигурност на EMC, в момента защитава репутацията си след доклад на Reuters, че са необходими 10 милиона долара от NSA, за да избута компрометиран криптографски алгоритъм в своите продукти за сигурност.

Китай, Китай, Китай

Бяхме толкова увлечени от вълните от информация, която излиза за дейностите на NSA, че е лесно да забравим, че започнахме 2013 г. с експлозивен доклад, очертаващ ролята на Китай в кибер-шпионажа. Докладът на APT1 от Mandiant беше първото окончателно изявление, в което ясно се посочва какво правят кибератаки от Китай, за да нахлуят в американските бизнес и правителствени мрежи. Докладът очертава как тези нападатели откраднаха интелектуална собственост, инсталираха на заден план и повредиха системи.

Малко след публикуването на доклада различни правителствени служители говориха за дейностите на Китай. През май годишният доклад на Пентагона за Китай директно обвини правителството на тази държава в правителствени и военни атаки срещу САЩ. Президентът Обама дори повдигна обвиненията по време на среща със Си Си Дзинпин, президент на Китай. Китайското правителство дори обвини САЩ, че по същество правят същото. (Малко предсказване за Snowden?)

Атаки срещу медийни издания

Тази година медиите бяха атакувани, като The New York Times, Washington Post и Wall Street Journal разкриха, че са били заразени със сложен зловреден софтуер. Пръстът на подозрение посочи - къде другаде? Сирийската електронна армия се разрази срещу акаунти в Twitter за обектите на Onion, Guardian и други. Фалшивата публикация в акаунта на AP в Twitter, „Разбиване: Две експлозии в Белия дом и Барак Обама е ранен“, дори предизвика малко пропаст на фондовата борса, като Dow Jones временно потапя 140 точки.

Атаката срещу уебсайта на New York Times, където SEA успя да промени настройките на системата за имена на домейни на сайта, подчерта колко лесно атакуващите могат да пречат на уеб операциите. SEA в тази атака дори не нахлу в мрежата - групата извърши тази атака чрез фишинг на копия.

Съсредоточете се върху сигурността на приложенията

Законът за достъпни грижи и публикуването на уебсайта за обмен на здравни грижи извадиха значението на тестовете за сигурност на преден план. Специалистите по сигурността знаят колко е критично приложенията да бъдат тествани за проблеми със сигурността, преди да станат на живо, но когато часовникът тече и изтича време, за да изпратим продукта навреме, сигурността пада настрани. Някои от проблемите, идентифицирани в HealthCare.gov след неговото съвместно внедряване, повдигнаха възможността нападателите да насочат сайта. Имаше съобщения, че хората виждат чувствителна информация, принадлежаща на други потребители на сайта.

Ръководителите, които последваха цялата сага, вероятно няма да са толкова бързи, за да пропуснат тестовете за сигурност следващия път, когато имат основна версия на приложението. Или така се надяваме.

Разпределено отказ от атаки на услуги

DDoS не е новост, но тази година видяхме две основни разработки. DDoS често се използва срещу финансови сайтове, особено като част от операция Ababil, но нападателите разшириха целите си, за да включат други индустрии. Една от най-мащабните атаки през годината е срещу Spamhaus през март, като пиковете достигат 300 gbps.

Основни арести срещу киберпрестъпления

През май американският прокурор за Източния окръг на Ню Йорк през май обяви обвинения в банков ръст в размер на 45 милиона долара, включващ информация за открадната сметка. Твърди се, че бандата е хакнала във финансови институции, за да открадне информация за сметките и след това изтегли милиони долари от банкомати.

През юли американският прокурор за Ню Джърси обвини още един пръстен за киберпрестъпления за нарушаване на компютърните мрежи на най-малко 17 големи търговци на дребно, финансови институции и платежни процесори, за да откраднат повече от 160 милиона номера на кредитни и дебитни карти. Насочените мрежи включват Nasdaq, 7-Eleven, Visa и JC Penney.

Руските власти твърдят, че са арестували Паун, създателя на Blackhole Exploit Kit. Експертите по сигурността смятат, че с ареста има ненужни киберпрестъпници, които в момента се надпреварват. "Без ясен наследник на Blackhole, киберпрестъпните банди може да инвестират на други места, за да компенсират загубените приходи поради по-малко сложни механизми за доставяне на зловреден софтуер", заяви Алекс Уотсън, директор на изследванията за сигурност в Websense.

Поливане на дупки атаки

През тази година атаките с поливни отвори бяха доста изявени, като уебсайтовете бяха хакнати, за да компрометират служители в големи технологични фирми като Facebook, Apple, Microsoft и Twitter, както и срещу контрактори на отбраната и държавни служители. Тези атаки за отводняване на дупки се възползваха от уязвимости с нулев ден в Internet Explorer, Java и други често използвани технологии.

Атаките с поливане на дупки бяха открити и срещу про-тибетски активисти, тъй като нападателите бяха насочени към китайско-говорещи хора, посещаващи Централната тибетска администрация и фондацията на тибетските домове, както и уебсайта на уйгурите, поддържан от Ислямската асоциация на Източен Туркистан.

Нарушаване на данните за експериантите

Склонни сме да си спомняме последното основно нарушение на данните и забравяме всички останали, дошли преди това. Докато последните нарушения на данните, претърпени от Target, при които близо 40 милиона номера на дебитни и кредитни карти бяха компрометирани по време на сезона за ваканционно пазаруване, са доста големи, най-страшното нарушение на данните, включващо информация на потребителите, беше нарушаването на данните на Experian.

Experian е една от организациите в бизнеса по покупка и продажба на лична информация - номера на социално осигуряване, адреси, данни за банкова сметка. Тази информация беше продадена на задграничен престъпен пръстен, според разследване на писателя по сигурността Брайън Кребс. Нарушението подчерта и факта, че много системи за удостоверяване, основани на знания, при които хората са помолени да проверят самоличността си, като кажат каква кола притежават или къде са живели, сега са още по-уязвими.

Хората се събуждат в онлайн поверителността

Когато Google разгърна бъдещето на носимите технологии с първата си вълна от „изследователи на Google Glass“, хората изплашиха. Хората най-накрая осъзнаха въздействието на разпознаването на лицето и възможността да публикуват всичко онлайн, което може да има върху личния им живот. Дали бъдещето на технологиите е там, където няма поверителност, или където хората могат да бъдат зареждани от ресторанти и други заведения, тъй като са заплаха за неприкосновеността на личния живот?

Вече очаквахме 2014 г. с нашите прогнози за нови атаки, национален интернет, онлайн плащания, мобилна сигурност и интернет на нещата. Добре дошли в 2014. Ще бъде ли година на несигурност или победи? Придържайте се към Security Watch през новата година, докато следваме възходите и спадовете на сигурността.