Keď sa obzrieme späť, rok 2013 sa cítil ako horská dráha, keď sme sa každých niekoľko týždňov vracali z dobrých správ na zlé správy: porušenia údajov, súkromie, počítačová špionáž, špionáž zo strany vlády, pokročilý malware, významné zadržania, vylepšené bezpečnostné prvky atď.
Najväčší príbeh - alebo skôr celý rad príbehov - sa točí okolo dokumentov, ktoré bývalý zmluvný partner Národnej bezpečnostnej agentúry Edward Snowden ukradol a vydal do médií. Nebol to však jediný významný príbeh z roku 2013. Bezpečnostná spoločnosť prvýkrát uviedla jednoznačný prípad toho, ako Čína špehuje americké podniky, a vláda USA túto otázku oficiálne prerokovala s čínskou vládou. Presadzovanie práva malo niektoré významné víťazstvá, rozbilo veľký kruh krádeží kreditných kariet a zatklo tvorcu Blackhole Exploit Kit. Porušovanie údajov pokračovalo, ale experimentálne porušenie poukázalo na problém, ktorý sprostredkovatelia údajov zhromažďujú osobné údaje. Bežní používatelia začali hovoriť o súkromí online, keď používatelia služby Google Glass narazili na ulicu. Spoločnosti sa zaviazali k lepším bezpečnostným postupom, ako je šifrovanie údajov pri tranzite, implementácia dvojfaktorovej autentifikácie a zvýšenie transparentnosti informácií o tom, aké informácie poskytuje vláde.
Rok 2013 bol pre bezpečnostných odborníkov aj jednotlivcov veľmi zaneprázdnený. Tu je prehľad dôležitých bezpečnostných príbehov v tomto roku, a to bez osobitného poradia.
Tajné dozorné programy NSA
Mohli by sme naplniť celý stĺpec iba odhaleniami NSA. Počiatočné články o programe zhromažďovania telefónnych záznamov boli dosť šokujúce, zdá sa však, že každé ďalšie odhalenie je výbušnejšie ako predtým. Agentúra špehovala aktivity na webe, snooped prevádzku smerujúcu do az dátových centier spoločnosti Google a Yahoo, zachytávala zásielky na inštaláciu spywaru a zadných vrát do elektronických zariadení a údajne ju odposlouchávala vodcom iných krajín a hráčom. Zatiaľ čo šéf NBÚ Keith Alexander naďalej trvá na tom, že agentúra koná v rámci svojich hraníc a že je potrebné zachovať občianske slobody, výzvy na reformu sú čoraz hlasnejšie. Kongres diskutuje o tom, čo robiť v súvislosti s problémom NSA, konzervatívny federálny sudca v Klayman v. Obama rozhodol, že program telefónnych záznamov NSA pravdepodobne porušil štvrtý dodatok, a nezávislá komisia vybraná v Bielom dome odporučila NSA programy je potrebné skrátiť.
Skupina technických gigantov, medzi ktoré patria Apple Tim Cook, Eric Schmidt od spoločnosti Google a Marissa Mayer z Yahoo, hovorili s prezidentom Barackom Obamom o svojich obavách týkajúcich sa činnosti NSA. Spoločnosti AOL, Apple, Facebook, Google, LinkedIn, Twitter, Yahoo a Microsoft sa spojili, aby požadovali, že zatiaľ čo vlády musia prijať opatrenia na ochranu bezpečnosti a ochrany svojich občanov, „súčasné zákony a postupy je potrebné reformovať“.
Viac spoločností vydáva správy o transparentnosti, ktoré zverejňujú, aké informácie odovzdávajú vláde, a šifrovaná e-mailová služba Lavabit sa vypína, aby sa predišlo nutnosti odovzdávania informácií o jej používateľoch. RSA, bezpečnostná divízia EMC, v súčasnosti obhajuje svoju povesť po správe agentúry Reuters, že NSA potrebovalo 10 miliónov dolárov na to, aby do svojich bezpečnostných produktov tlačilo kompromitovaný kryptografický algoritmus.
Čína, Čína, Čína
Boli sme nadšení vlnami informácií o aktivitách NSA, že je ľahké zabudnúť, že sme začali s rokom 2013 výbušnou správou, v ktorej sa načrtáva úloha Číny v počítačovej špionáži. Správa APT1 od spoločnosti Mandiant bola prvým definitívnym vyhlásením, v ktorom sa jasne uvádzalo, čo robia kybernetickí útočníci z Číny, aby sa dostali do obchodných a vládnych sietí USA. V správe sa uvádza, ako títo útočníci ukradli duševné vlastníctvo, nainštalovali zadné vrátka a poškodili systémy.
Krátko po zverejnení správy hovorili o čínskych aktivitách viacerí vládni predstavitelia. V máji výročná správa Pentagónu o Číne priamo obviňovala vládu tejto krajiny za vládne a vojenské útoky proti USA. Prezident Obama dokonca vzniesol obvinenia počas stretnutia s čínskym prezidentom Xi Jinpingom. Čínska vláda dokonca obvinila USA, že v podstate robia to isté. (Trochu predstierania pre Snowdena?)
Útoky proti médiám
Médiá sa tento rok dostali pod útok, pričom New York Times, Washington Post a Wall Street Journal odhalili, že boli infikovaní sofistikovaným škodlivým softvérom. Prst podozrenia ukázal - kde inde? - Čína. Sýrska elektronická armáda pokračovala v hre proti účtom Twitter za cibuľu, strážcu a ďalšie odbytiská. Falošný príspevok na Twitterovom účte AP s názvom „Breaking: Two Explosions in White House a Barack Obama je zranený“, dokonca spôsobil malý pokles na akciovom trhu, keď Dow Jones dočasne ponoril 140 bodov.
Útok na webovú stránku New York Times, kde sa SEA podarilo zmeniť systémové nastavenie názvu domény, zdôraznil, ako ľahko by útočníci mohli zasahovať do webových operácií. SEA sa pri tomto útoku ani neprenikla do siete - skupina tento útok uskutočnila prostredníctvom phishingu s oštepom.
Zamerajte sa na bezpečnosť aplikácií
Zákon o dostupnej starostlivosti a spustenie webovej stránky výmeny zdravotníckych pomôcok priniesli do popredia význam testovania bezpečnosti. Odborníci v oblasti bezpečnosti vedia, aké dôležité je, aby boli aplikácie testované na bezpečnostné problémy skôr, ako sa začnú vysielať, ale keď čas vyprší a čas sa kráti, aby sa produkt mohol dodať včas, bezpečnosť klesá. Niektoré z problémov identifikovaných v HealthCare.gov po jeho zavádzaní do rozšírenia vyvolali možnosť, že útočníci zacieľujú na web. Objavili sa správy, že jednotlivci videli na webe citlivé informácie patriace iným používateľom.
Vedúci pracovníci, ktorí nasledovali celú ságu, pravdepodobne nebudú takí preskakujúci, aby preskočili testovanie zabezpečenia, keď nabudúce budú mať hlavné zavádzanie aplikácií. Alebo dúfame.
Distribuované útoky na odmietnutie služby
DDoS nie je nový, ale tento rok sme zaznamenali dva zásadné udalosti. DDoS bol často používaný proti finančným stránkam, najmä ako súčasť operácie Ababil, ale útočníci rozšírili svoje ciele o ďalšie priemyselné odvetvia. Jedným z najväčších útokov roku bol proti marci Spamhaus, keď vrcholy zasiahli 300 gbps.
Hlavné zatýkanie počítačovej kriminality
V máji americký prokurátor pre východný okres v New Yorku v máji oznámil poplatky v bankovej lúpeži v hodnote 45 miliónov dolárov, ktorá sa týkala ukradnutých informácií o účte. Gang údajne prenikol do finančných inštitúcií, aby ukradol informácie o účte, a potom z bankomatov vybral milióny dolárov.
V júli americký prokurátor pre New Jersey účtoval poplatok za ďalší počítačový zločin za porušenie počítačových sietí najmenej 17 hlavných maloobchodníkov, finančných inštitúcií a spracovateľov platieb, aby ukradol viac ako 160 miliónov čísel kreditných a debetných kariet. Medzi cielené siete patrili okrem iného Nasdaq, 7-Eleven, Visa a JC Penney.
Ruské úrady tvrdili, že zadržali Pauncha, tvorcu Blackhole Exploit Kit. Odborníci v oblasti bezpečnosti sa domnievajú, že pri zatknutí sa v súčasnosti zaplňujú neplatní počítačoví zločinci. „Bez jasného nástupcu Blackhole môžu kybernetické zločinecké skupiny investovať na iných miestach, aby nahradili stratený príjem v dôsledku menej sofistikovaných mechanizmov doručovania škodlivého softvéru, “ povedal Alex Watson, riaditeľ bezpečnostného výskumu spoločnosti Websense.
Zalievanie dier
Útoky na zalievanie dier boli tento rok dosť výrazné, keďže webové stránky boli napadnuté, aby ohrozili zamestnancov vo veľkých technologických firmách, ako sú Facebook, Apple, Microsoft a Twitter, ako aj proti zmluvným dodávateľom a vládnym zamestnancom. Tieto útoky na zalievanie dier využívali nulové zraniteľnosti v prehliadačoch Internet Explorer, Java a ďalších bežne používaných technológiách.
Útoky proti zalievaniu dier sa objavili aj proti pro-tibetským aktivistom, pretože útočníci zacieľovali na čínsky hovoriacich ľudí navštevujúcich Centrálnu tibetskú administratívu a Tibetskú domovskú nadáciu, ako aj na webovú stránku Ujguru, ktorú vedie Islamské združenie východného Turkistanu.
Porušenie údajov experimentu
Máme tendenciu pamätať si na posledné závažné porušenie údajov a zabudnúť na všetky tie predchádzajúce. Zatiaľ čo nedávne porušenie údajov, ktoré utrpel Target, v ktorom bolo počas sviatočnej nákupnej sezóny ohrozených takmer 40 miliónov čísel debetných a kreditných kariet, je dosť závažné, najdesivejšie porušenie údajov týkajúcich sa informácií o používateľoch bolo porušenie údajov experimentu Experian.
Experian je jednou z organizácií v oblasti nákupu a predaja osobných údajov - čísla sociálneho zabezpečenia, adresy, podrobnosti o bankovom účte. Táto informácia bola podľa vyšetrovania bezpečnostného spisovateľa Briana Krebsa predaná zahraničnému zločineckému okruhu. Porušenie tiež zdôraznilo skutočnosť, že mnoho systémov overovania založených na vedomostiach, v ktorých sa od ľudí žiada, aby overili svoju totožnosť vyslovením toho, ktoré auto vlastnia alebo kde bývali, je teraz ešte zraniteľnejšie.
Ľudia sa prebúdzajú s ochranou súkromia online
Keď spoločnosť Google rozvinula budúcnosť nositeľnej technológie svojou prvou vlnou „prieskumníkov“ spoločnosti Google Glass, vydesili sa ľudia. Ľudia si boli konečne vedomí dopadu rozpoznania tváre a schopnosti zverejniť čokoľvek online na ich súkromie. Je budúcnosť technológie taká, že neexistuje súkromie alebo kde sa dá ľuďom zaviesť z reštaurácií a iných zariadení za to, že ohrozujú súkromie?
Už sme sa tešili na rok 2014 s našimi predpoveďami na nové útoky, národný internet, online platby, mobilnú bezpečnosť a internet vecí. Vitajte v roku 2014. Bude to rok neistoty alebo víťazstva? Držte sa bezpečnostného stráženia v novom roku, keď sledujeme vzostupy a pády bezpečnosti.
