Значимые истории безопасности 2013 года

Оглядываясь назад, 2013 год выглядел как "американские горки", поскольку каждые несколько недель мы переходили от хороших новостей к плохим: взлом данных, конфиденциальность, кибершпионаж, правительственный шпионаж, современные вредоносные программы, значительные аресты, улучшенные функции безопасности и т. Д.

Самая большая история - или, скорее, серия историй - года вращается вокруг документов, которые бывший подрядчик Агентства национальной безопасности Эдвард Сноуден украл и опубликовал в средствах массовой информации. Однако это была не единственная важная история 2013 года. Впервые охранная компания раскрыла конкретный случай того, как Китай шпионит за американским бизнесом, и правительство США официально обсудило этот вопрос с правительством Китая. Правоохранительные органы одержали несколько значительных побед, разбив большое кольцо с кражей кредитных карт и арестовав создателя набора «Черная дыра». Нарушения данных продолжались, но нарушение Experian высветило проблему агрегации персональных данных брокерами данных. Обычные пользователи начали говорить о конфиденциальности в Интернете, когда пользователи Google Glass вышли на улицы. Компании придерживаются более эффективных методов обеспечения безопасности, таких как шифрование данных при передаче, внедрение двухфакторной аутентификации и повышение прозрачности информации, которую она предоставляет правительству.

2013 год был насыщенным как для специалистов по безопасности, так и для частных лиц. Вот обзор важных историй безопасности за год, в произвольном порядке.

Секретные программы наблюдения АНБ

Мы могли бы заполнить всю колонку только откровениями АНБ. Первоначальные статьи о программе сбора телефонных записей были достаточно шокирующими, но кажется, что каждое последующее откровение более взрывоопасно, чем раньше. Агентство шпионило за веб-активностью, отслеживало трафик, направляемый в и из центров обработки данных Google и Yahoo, перехватывало посылки для установки шпионских программ и бэкдоров в электронное оборудование и, как утверждается, подслушивало лидеров других стран и геймеров. В то время как глава АНБ генерал Кит Александер продолжает настаивать на том, что агентство действует в пределах своих границ и что оно бережно относится к защите гражданских свобод, призывы к реформам становятся все громче. Конгресс обсуждает, что делать с проблемой АНБ, консервативный федеральный судья постановил в деле Клеймана против Обамы, что программа телефонных разговоров АНБ, возможно, нарушила Четвертую поправку, и независимая комиссия, выбранная Белым домом, рекомендовала АНБ. Программы должны быть сокращены.

Группа технических гигантов, в том числе Тим Кук из Apple, Эрик Шмидт из Google и Марисса Майер из Yahoo, поделились с президентом Бараком Обамой своими опасениями относительно деятельности АНБ. AOL, Apple, Facebook, Google, LinkedIn, Twitter, Yahoo и Microsoft объединились, чтобы потребовать от правительств принятия мер по защите безопасности своих граждан, «действующие законы и практики должны быть реформированы».

Все больше компаний выпускают отчеты о прозрачности, чтобы раскрыть, какую информацию они передают правительству, а служба шифрованной электронной почты Lavabit закрывается, чтобы избежать необходимости передавать информацию о своих пользователях. RSA, подразделение EMC, занимающееся вопросами безопасности, в настоящее время защищает свою репутацию после сообщения агентства Reuters о том, что от АНБ потребовалось 10 миллионов долларов, чтобы внедрить скомпрометированный криптографический алгоритм в свои продукты для обеспечения безопасности.

Китай, Китай, Китай

Мы были настолько взволнованы волнами информации о деятельности АНБ, что легко забыть, что мы начали 2013 год со взрывного отчета с описанием роли Китая в кибершпионаже. Отчет APT1 от Mandiant был первым окончательным заявлением, в котором четко изложены действия кибератак из Китая, направленные на проникновение в бизнес и правительственные сети США. В отчете описывается, как эти злоумышленники похищали интеллектуальную собственность, устанавливали бэкдоры и повреждали системы.

Вскоре после того, как отчет был выпущен, различные правительственные чиновники высказались о деятельности Китая. В мае годовой отчет Пентагона по Китаю прямо обвинил правительство этой страны в правительственных и военных атаках на США. Президент Обама даже выдвинул обвинения во время встречи с Си Цзиньпином, президентом Китая. Китайское правительство даже обвинило США в том, что они делают то же самое. (Немного предвещает Сноудену?)

Нападения на СМИ

В этом году средства массовой информации подверглись нападкам: «Нью-Йорк таймс», «Вашингтон пост» и «Уолл-стрит джорнал» сообщили, что были заражены сложным вредоносным ПО. Палец подозрения указал - где еще? - Китай. Сирийская электронная армия активно боролась с аккаунтами в Twitter для The Onion, Guardian и других изданий. Фальшивый пост в твиттер-аккаунте AP «Взлом: два взрыва в Белом доме и ранение Барака Обамы» даже вызвал небольшой всплеск на фондовом рынке, когда индекс Доу-Джонса временно упал на 140 пунктов.

Атака на сайт New York Times, где SEA удалось изменить настройки системы доменных имен сайта, показала, насколько легко злоумышленники могут вмешиваться в веб-операции. SEA в этой атаке даже не взломал сеть - группа совершила эту атаку с помощью фишинга.

Фокус на безопасности приложений

Закон о доступном медицинском обслуживании и развертывание веб-сайта биржи медицинских услуг выдвинули на первый план важность тестирования безопасности. Специалисты по безопасности знают, насколько важно, чтобы приложения тестировались на наличие проблем с безопасностью, прежде чем начать работу, но когда время идет, а время уходит на своевременную доставку продукта, безопасность падает на второй план. Некоторые из проблем, обнаруженных в HealthCare.gov после неудачного развертывания, повысили вероятность того, что злоумышленники нацелятся на сайт. Поступали сообщения о том, что люди видели на сайте конфиденциальную информацию, принадлежащую другим пользователям.

Руководители, следовавшие всей саге, вероятно, не будут так быстро пропускать тестирование безопасности в следующий раз, когда у них появится крупное развертывание приложения. Или так мы надеемся.

Распределенные атаки типа «отказ в обслуживании»

DDoS не нов, но в этом году мы увидели два основных события. DDoS часто использовался против финансовых сайтов, особенно как часть операции Ababil, но злоумышленники расширили свои цели, чтобы включить другие отрасли. Одна из крупнейших атак года была совершена против Spamhaus в марте с пиками, достигающими 300 Гбит / с.

Крупные аресты за киберпреступность

В мае американский прокурор по восточному округу Нью-Йорка в мае объявил об обвинении в ограблении банка на сумму 45 миллионов долларов США, связанном с похищенной информацией о счете. Банда якобы взломала финансовые учреждения, чтобы украсть информацию о счете, а затем сняла миллионы долларов из банкоматов.

В июле американский прокурор штата Нью-Джерси обвинил другое кольцо в киберпреступности за взлом компьютерных сетей, по крайней мере, 17 крупных розничных продавцов, финансовых учреждений и платежных систем, чтобы украсть более 160 миллионов номеров кредитных и дебетовых карт. Целевые сети включали Nasdaq, 7-Eleven, Visa, JC Penney и другие.

Российские власти утверждали, что арестовали Пэнка, создателя набора «Черная дыра». Эксперты по безопасности считают, что с арестом существует пустота, которую киберпреступники в настоящее время пытаются заполнить. «Поскольку явного преемника Blackhole нет, киберпреступники могут вкладывать средства в другие места, чтобы компенсировать потерянный доход из-за менее сложных механизмов доставки вредоносных программ», - сказал Алекс Уотсон, директор по исследованиям безопасности в Websense.

Атаки водопоя

Атаки водопоя были довольно заметны в этом году, когда сайты взламывали, чтобы скомпрометировать сотрудников крупных технологических фирм, таких как Facebook, Apple, Microsoft и Twitter, а также против оборонных подрядчиков и государственных служащих. Эти атаки с использованием дыр в воде использовали преимущества нулевого дня в Internet Explorer, Java и других широко используемых технологиях.

Также были обнаружены нападения на водопой, направленные против протибетских активистов, поскольку они нападали на китайскоязычных людей, посещающих Центральную тибетскую администрацию и Фонд тибетских домов, а также на уйгурский веб-сайт, поддерживаемый Исламской ассоциацией Восточного Туркестана.

Нарушение данных Experian

Мы, как правило, помним последнее серьезное нарушение данных и забываем обо всех предыдущих. Хотя недавнее нарушение данных, понесенное Target, когда почти 40 миллионов номеров дебетовых и кредитных карт были скомпрометированы в течение сезона праздничных покупок, является довольно серьезным, самым страшным нарушением данных, касающимся пользовательской информации, было нарушение данных Experian.

Experian - одна из организаций, занимающихся покупкой и продажей личной информации - номеров социального страхования, адресов, реквизитов банковского счета. Эта информация была продана заграничному преступному кругу, согласно расследованию, проведенному журналистом по безопасности Брайаном Кребсом. Нарушение также высветило тот факт, что многие системы аутентификации, основанные на знаниях, где людей просят подтвердить свою личность, сообщая, какой автомобиль они имеют или где они жили, теперь стали еще более уязвимыми.

Люди просыпаются от конфиденциальности в Интернете

Когда Google развернул будущее носимых технологий со своей первой волной «исследователей» Google Glass, люди пришли в ужас. Люди наконец-то осознали влияние распознавания лиц и возможности размещать в Интернете все, что угодно, что может повлиять на их конфиденциальность. Является ли будущее технологий тем, где нет никакой конфиденциальности, или где люди могут быть загружены из ресторанов и других заведений за угрозу конфиденциальности?

Мы уже смотрели в будущее на 2014 год с нашими прогнозами относительно новых атак, национального интернета, онлайн-платежей, мобильной безопасности и интернета вещей. Добро пожаловать в 2014 год. Это будет год неопределенности или побед? Придерживайтесь часов безопасности в новом году, когда мы следим за взлетами и падениями безопасности.