Video: Maks i Ruby: BAJKA NA DOBRANOC/NIESAMOWITY LABIRYNT RUBY/LAMKA MAKSA - Ep.56 (Listopad 2024)
Dokonce i nejsladší motely nyní nabízejí bezplatné Wi-Fi. Přišli jsme to očekávat. Takže přirozeně očekáváme stejnou úroveň služeb u Airbnb nebo jiné půjčky s sdílenou ekonomikou. Ale je tu rozdíl, obrovský rozdíl, jak bylo zřejmé v rozhovoru Black Hat od bezpečnostního experta Jeremyho Gallowaye.
Krátkodobé pronájmy jsou Yuuge
Galloway strávil nějaký čas kladivem domů, jak velký je trh s krátkodobým pronájmem. S odhadovanou velikostí trhu 100 miliard dolarů ročně to znamená, že se někde mezi všemi výdaji na cloudové služby (110 miliard USD) a celosvětovým prodejem kokainu (85 miliard USD). A herní průmysl v Las Vegas? To je asi 6, 3 miliardy.
Také uvedl, že letos v létě Airbnb používalo více hostů než celá populace v Řecku, Švédsku nebo Švýcarsku. S více než 2 000 000 výpisy Airbnb (nebo, jak jim říkal cíle) po celém světě, je to naprosto obrovské. „Airbnb je velmi populární automat na peníze, “ řekl Galloway. „Ale studie ukázala, že 40 procent hostů se přiznalo k snoopingu při pobytu v domovech, které navštěvují.
Jedno síťové stojany
"Vy bezpečnostní profesionálové mohou mít na síti vtipný pocit. Máte bezpečnostní šestý pocit, že průměrný člověk ne, " řekl Galloway. "Mám důvěru. Vaše osobní domácí síť, to je 100 procent. Univerzitní síť, dobře, mají IT zabezpečení, ale všichni ti studenti, řekla bych, 50 procent. Nakonec ten náhodný hotelový kiosek, to je nula Airbnb? Dal bych to asi 20 procent. “
Galloway ukázal na online kalkulačku sexuální expozice jako na analogii. Vezměte si počet partnerů, které jste měli, a počet partnerů, které jste měli, a uvidíte, kolik lidí jste byli vystaveni. „Přemýšlejte dvakrát, než budete mít stojan v jedné síti, “ řekl Galloway. "Je to hloupá fráze, ale srovnání výhod pro obchodování s rizikem má velký smysl."
Co mohou hackeři udělat
Galloway proběhl v posledních několika letech litanií útoků založených na routerech. DNSChanger, červ Měsíc, BlackMoon, to vše fungovalo vzdáleně při změnách směrovačů obětí. Galloway citoval bezpečnostního superhrdiny Dana Geera, který uvedl, že situace routeru je stejně citlivá jako únik benzínu v uzavřeném nákupním středisku. „Pokud jde o mě, “ řekl Galloway, „řekl bych, že zabezpečení routeru je zuřící soubor skládky.“
Tyto útoky se samozřejmě musely nějak vzdálit routeru na dálku. Když má útočník fyzický přístup, jako v krátkodobém pronájmu, všechno se změní. Galloway předvedl svůj podpisový router APT. Ne, ne Advanced Persistent Threat; Advanced Paperclip Threat. „Nemusíš být MacGyver, “ řekl Galloway. "Použijte ohnutou kancelářskou sponku k resetování routeru a odeberete celou vrstvu zabezpečení. Nic z toho nevyžaduje útoky v nulové dny nebo šílený exploit kód."
Je to horší, mnohem horší. Někdo, kdo má fyzický přístup k routeru, může zachytit vaše citlivá data, upravit důvěryhodná data, vložit data a další. „Jo, “ řekl Galloway, „to se moc nezhorší.“
Dále uvedl úžasný počet věcí, které byste mohli udělat, abyste hacknul router, dostali fyzický přístup, od nepříjemných až po katastrofální. Můžete nakonfigurovat své vlastní zařízení jako vzdáleného správce a sledovat router několik týdnů po vaší návštěvě. Všechna hesla zařízení můžete extrahovat pomocí jednoduchého nástroje. Nastavte se jako logovací server a pasivně uvidíte veškerý provoz.
Na strašidelnější straně můžete jako server DNS routeru nastavit vlastní server. To umožnilo útoky typu „man-in-the-middle“, které mohou ukrást soukromé informace každému, kdo se připojuje přes router. "Těmito útoky nemůžete zacílit na jednotlivce, " poznamenal Galloway, "ale můžete zacílit na konference, národní prostředí poblíž vojenských základen, firemní kanceláře." Odvolává se na hlavní řeč Dana Kaminského a řekl: „ICANN šíří blázny, aby byl DNS bezpečný. Svůj DNS chráníte lulz a přání.“
Co můžeš udělat
Stále můžete používat Airbnb a krátkodobé pronájmy, ale pokud se přihlásíte, ochraňte se. Galloway měl seznam návrhů prádelny. Hardcode DNS ve všech vašich zařízeních. Vypněte automatické vyhledávání proxy. Použijte VPN. Pokud vaše zařízení obsahuje mobilní data, vypněte Wi-Fi. Připojte svá další zařízení k telefonu jako osobní hotspot (sledujte využití mobilního datového připojení). Povolte dvoufaktorové ověření, kdekoli je k dispozici.
„To je technické, ale je tu něco mnohem důležitějšího, “ řekl Galloway. "Změňte způsob rozhraní. Moje jediná rada - sledujte pana Robota! Vystavíte se větší bezpečnosti než 99 procent populace. Budete v prvním procentu!"
Co mohou vlastníci nemovitostí udělat
Pokud se návštěvníci vašeho pronájmu Airbnb vrátí domů s malwarem, nedají vám dobrou recenzi. A můžete se spolehnout na stejnou síť sami, pokud je váš pronájem pouze pokoj v domě. „Moje jediná nejlepší rada, “ řekl Galloway, „je odebrat fyzický přístup. Zamkněte router ve skříni nebo zabezpečené místnosti. Zamkněte jej v elektronickém krytu. Říkám to hackerům a říkají, ha, můžu si vybrat ten zámek za pět minut. Ano. Nejde o to, aby se vytvořilo dokonalé zabezpečení, ale aby lidé zůstali čestní. “
„Dokonce byste mohli zvážit nenabízet Wi-Fi, “ pokračoval Galloway. „Nebo získejte samostatnou linku s malou šířkou pásma jen pro hosty. Je to obchodní výdaje. Zálohujte a obnovujte nastavení routeru rutinně.
Žádné dobré zprávy
„Nemohu tě nechat s dobrými zprávami, “ uzavřel Galloway. „Tento problém neodchází. Každý rok od roku 2011 je„ rokem porušení “, většinou kvůli SQL Injection. A SQL Injection existuje od roku 1998. Neexistuje žádná oprava, aktualizace ani snadná oprava.“
Všechno, co mohu říci, je, páni. Pokud byste chtěli získat podrobné technické informace, ať už se chcete lépe chránit nebo se stát hackerem domácího routeru, přečtěte si úplnou prezentaci Gallowaye.
