Video: Teoretiske Nøgletal og afkast på udlejning af vores to boliger. (Oktober 2024)
Selv de mest frodige moteller tilbyder nu gratis trådløs internetadgang. Vi er kommet til at forvente det. Så naturligvis forventer vi det samme serviceniveau på en Airbnb eller en anden leje af delingsøkonomi. Men der er en forskel, en enorm forskel, som det fremgår af en Black Hat-tale af sikkerhedsekspert Jeremy Galloway.
Korttidsleje er Yuuge
Galloway brugte nogen tid på at hamre hjem, hvor stort det kortvarige lejemarked er. Med markedsstørrelsen anslået til at være 100 milliarder dollars om året, sætter det det et sted mellem alle udgifter til skytjenester (110 milliarder dollars) og det globale salg af kokain (85 milliarder dollars). Åh, og spillebranchen i Las Vegas? Det er omkring 6, 3 milliarder.
Han sagde også, at flere gæster brugte Airbnb i sommer end hele befolkningen i Grækenland, Sverige eller Schweiz. Med over 2.000.000 Airbnb-lister (eller som han kaldte dem mål) overalt i verden er det absolut enormt. "Airbnb er en meget populær pengemaskine, " sagde Galloway. "Men en undersøgelse viste, at 40 procent af gæsterne indrømmede at snuppe, mens de opholdt sig i hjem, de besøger. Jeg gør det! Jeg tjekker, hvad der er låst og hvad der ikke er."
Et-netværksstander
"Du sikkerhedsfagfolk kan få en sjov følelse på et netværk. Du har denne sjette sikkerhed for, at den gennemsnitlige person ikke gør det, " sagde Galloway. "Jeg har en skala af tillid. Dit personlige hjemmenetværk, det er 100 procent. Et universitetsnetværk, ja, de har it-sikkerhed, men alle disse studerende, vil jeg sige 50 procent. Endelig, den tilfældige hotelkiosk, det er en nul procent. Airbnb? Jeg ville sige det omkring 20 procent."
Galloway pegede på en online seksuel eksponeringskalkulator som en analogi. Tag antallet af partnere, du har haft, og antallet af partnere, de har haft, og du kan se, hvor mange mennesker, du er blevet udsat for. ”Tænk to gange, før du har et enkelt netværk, ” sagde Galloway. "Det er en fjollet sætning, men sammenligningen af handelskomfort for risiko giver meget mening."
Hvad hackere kan gøre
Galloway løb gennem en litany af routerbaserede angreb i de sidste par år. DNSChanger, Månen ormen, BlackMoon, alle disse arbejdede ved eksternt at foretage ændringer i ofrenes routere. Galloway citerede sikkerhedssuperhelten Dan Geer for at sige, at routersituationen er lige så behagelig som et benzinudslip i et lukket indkøbscenter. "Hvad mig angår, " sagde Galloway, "jeg vil sige, at routersikkerhed er en rasende dumpster-fil."
Naturligvis krævede disse angreb på en eller anden måde væske i routeren eksternt. Når angriberen har fysisk adgang, som i en korttidsudlejning, ændrer det alt. Galloway demonstrerede sin signatur router APT. Nej, ikke avanceret vedvarende trussel; Avanceret papircliptrussel . "Du behøver ikke at være MacGyver, " sagde Galloway. "Brug en bøjet papirclips til at nulstille routeren, og du fjerner et helt lag af sikkerhed. Intet af dette kræver nul-dages angreb eller skøre udnyttelseskode."
Det bliver værre, meget værre. En person, der har fysisk adgang til routeren, kan fange dine følsomme data, ændre pålidelige data, injicere data og mere. "Ja, " sagde Galloway, "det bliver ikke meget værre."
Han fortsatte med at liste et utroligt antal ting, du kunne gøre for at hacke en router, givet fysisk adgang, lige fra irriterende til katastrofalt. Du kan konfigurere din egen enhed som en fjernadministrator og overvåge routeren uger efter dit besøg. Du kan udtrække alle enhedsadgangskoder ved hjælp af et simpelt værktøj. Indstil dig selv som en log-server, og du ser passivt al trafik.
På den skremmende side kunne du indstille en egen server som routerens DNS-server. Dette aktiverede angreb fra midten til midten, der kan stjæle private oplysninger fra enhver, der opretter forbindelse via routeren. "Du kan ikke målrette individer med disse angreb, " bemærkede Galloway, "men du kan målrette mod konferencer, lokaliteter nær militærbaser, virksomhedskontorer." Med henvisning til Dan Kaminskys hovedtaler sagde han, "ICANN går i skøre længder for at gøre DNS sikkert. Du beskytter din DNS med lulz og ønsker."
Hvad du kan gøre
Du kan stadig bruge Airbnb og korttidsleje, men hvis du logger på, skal du beskytte dig selv. Galloway havde en vasketøjsliste med forslag. Hardcode DNS på alle dine enheder. Sluk for automatisk proxy-opdagelse. Brug en VPN. Sluk for Wi-Fi, hvis din enhed har cellulære data. Knyt dine andre enheder til din telefon som et personlig hotspot (bare hold styr på mobildatabrug). Aktivér tofaktorautentifikation, uanset hvor den er tilgængelig.
"Det er teknisk, men der er noget, der er vigtigere, " sagde Galloway. "Ændre den måde, du bruger grænsefladen på. Mit eneste råd - se Mr. Robot! Du udsætter dig selv for mere sikkerhed end 99 procent af befolkningen. Du vil være i øverste procent!"
Hvad ejendomsejere kan gøre
Hvis besøgende på din Airbnb-leje kommer hjem med malware, giver de dig ikke en god anmeldelse. Og du kan godt stole på det samme netværk selv, hvis din leje bare er et værelse i dit hus. "Mit eneste bedste råd, " sagde Galloway, "er at fjerne fysisk adgang. Lås routeren i et skab eller et sikret rum. Lås det i en elektronisk kabinet. Jeg siger det til hackere, og de siger, ha, jeg kan vælge den lås på fem minutter. Ja. Pointen er ikke at skabe perfekt sikkerhed, det er at holde folk ærlige."
"Du kan endda overveje at ikke tilbyde Wi-Fi, " fortsatte Galloway. "Eller få en separat lavbåndbreddelinje bare for gæster. Det er en forretningsudgift. Sikkerhedskopier og gendan dine routerindstillinger rutinemæssigt. Og tilføj et online sikkerhedsafsnit til din gæsteguide."
Ingen gode nyheder
"Jeg kan ikke forlade dig med gode nyheder, " konkluderede Galloway. "Problemet forsvinder ikke. Hvert år siden 2011 har været 'året for overtrædelsen', hovedsagelig på grund af SQL-injektion. Og SQL Injection har eksisteret siden 1998. Der er ingen patch, opdatering eller nem løsning."
Det eneste, jeg kan sige, er, wow. Hvis du gerne vil grave dig ind for at få de fulde tekniske detaljer, uanset om du bedre vil beskytte dig selv eller blive en hacker til hjemme-router, skal du læse Galloways fulde præsentation.
