Væsentlige sikkerhedshistorier fra 2013

Når jeg ser tilbage, følte 2013 sig som en rutsjebane, da vi svækkede fra gode nyheder til dårlige nyheder hver par uger: Dataovertrædelser, privatliv, cyber-spionage, regeringsspionering, avanceret malware, betydelige arrestationer, forbedrede sikkerhedsfunktioner osv.

Årets største historie - eller rettere sagt - række historier - drejer sig om de dokumenter, som eks-National Security Agency-entreprenør Edward Snowden stjal og blev frigivet til medierne. Det var imidlertid ikke den eneste store historie i 2013. For første gang lagde et sikkerhedsfirma en konkret sag om, hvordan Kina spionerer efter amerikanske virksomheder, og den amerikanske regering drøftede officielt spørgsmålet med den kinesiske regering. Retshåndhævelse havde nogle betydelige sejre, idet de brød en stor tyveri med kreditkort og arresterede skaberen af ​​Blackhole Exploit Kit. Dataovertrædelser fortsatte, men Experian-bruddet fremhævede problemet med datamæglere, der aggregerer personlige oplysninger. Regelmæssige brugere begyndte at tale om online-privatliv, da Google Glass-brugere ramte gaderne. Virksomheder, der forpligter sig til bedre sikkerhedspraksis, såsom kryptering af data under transit, implementering af to-faktor-godkendelse og bliver mere gennemsigtige om, hvilke oplysninger den giver regeringen.

2013 var travlt for både sikkerhedsfolk og enkeltpersoner. Her er en gennemgang af årets vigtige sikkerhedshistorier, i ingen særlig rækkefølge.

Hemmelige NSA-overvågningsprogrammer

Vi kunne udfylde en hel kolonne med intet andet end NSA-åbenbaringer. De oprindelige artikler om indsamlingsprogrammet til telefonoptegnelser var chokerende nok, men det føles som hver efterfølgende åbenbaring er mere eksplosiv end før. Agenturet spionerede efter webaktivitet, snudede trafik til og fra Google og Yahoo-datacentre, aflyttede forsendelser for at installere spyware og bagdøre i elektronikudstyr og angiveligt aflyttes efter ledere i andre lande og spillere. Mens NSA-chef general Keith Alexander fortsat insisterer på, at agenturet handler inden for dets grænser, og at det var omhyggeligt med at bevare borgerlige frihedsrettigheder, bliver opfordringerne til reformer højere. Kongressen drøfter, hvad de skal gøre ved problemet med NSA, en konservativ føderal dommer afgav i Klayman v. Obama, at NSAs telefonregistreringsprogram muligvis krænkede det fjerde ændringsforslag, og det uafhængige panel, der blev valgt af Det Hvide Hus, anbefalede NSA programmer skal begrænses.

En gruppe tech-giganter, herunder Apples Tim Cook, Googles Eric Schmidt og Yahoos Marissa Mayer talte med præsident Barack Obama om deres bekymring over NSAs aktiviteter. AOL, Apple, Facebook, Google, LinkedIn, Twitter, Yahoo og Microsoft var sammen om at kræve, at selvom regeringerne skal tage skridt til at beskytte deres borgers sikkerhed og sikkerhed, "er det nødvendigt at reformere de nuværende love og praksis."

Flere virksomheder frigiver gennemsigtighedsrapporter for at afsløre, hvilken slags information de udleverer til regeringen, og den krypterede e-mailtjeneste Lavabit lukker for at undgå at skulle udlevere information om dens brugere. RSA, EMCs sikkerhedsafdeling, forsvarer i øjeblikket sit ry efter en Reuters-rapport, at det tog 10 millioner dollars fra NSA for at skubbe en kompromitteret kryptografisk algoritme i sine sikkerhedsprodukter.

Kina, Kina, Kina

Vi er blevet så betaget af bølgerne af information, der kommer ud om NSAs aktiviteter, at det er let at glemme, at vi begyndte 2013 med en eksplosiv rapport, der skitserede Kinas rolle i cyber-spionage. APT1-rapporten fra Mandiant var den første endelige erklæring, der tydeligt lagde ud af, hvad cyberangreb fra Kina gjorde for at bryde ind i amerikanske forretnings- og regeringsnetværk. Rapporten skitserede, hvordan disse angribere stjal intellektuel ejendom, installerede bagdøre og beskadigede systemer.

Kort efter, at rapporten blev frigivet, talte forskellige embedsmænd om Kinas aktiviteter. I maj beskyldte Pentagon's årsrapport om Kina direkte nationens regering for regerings- og militære angreb mod USA. Præsident Obama bragte endda anklagerne op under et møde med Xi Jinping, Kinas præsident. Den kinesiske regering anklagede endda USA for i det væsentlige at gøre den samme ting. (En smule forhåndsskygge for Snowden?)

Angreb mod medieudtag

Medierne blev angrebet i år, hvor New York Times, Washington Post og Wall Street Journal afslørede, at de var blevet inficeret med sofistikeret malware. Mistænkets finger pegede - hvor ellers? - Kina. Den syriske elektroniske hær gik på en spion mod Twitter-konti for The Onion, Guardian og andre forretninger. Det falske indlæg på APs Twitter-konto, "Breaking: Two Explosions in the White House and Barack Obama is hurt, " forårsagede endda et lille blip på aktiemarkedet, hvor Dow Jones midlertidigt dyppede 140 point.

Angrebet mod New York Times-webstedet, hvor SEA formåede at ændre stedets indstillinger for domænenavnsystem fremhævede, hvor let angribere kunne forstyrre weboperationer. SEA i dette angreb hackede ikke engang ind på netværket - gruppen gennemførte dette angreb via spyd phishing.

Fokus på applikationssikkerhed

Affordable Care Act og gennemførelsen af ​​hjemmesiden til udveksling af sundhedsydelser bragte betydningen af ​​sikkerhedstest på forkant. Sikkerhedsfagfolk ved, hvor kritisk det er, at applikationer testes for sikkerhedsspørgsmål, før de går live, men når uret tikker og tiden løber ud for at sende produktet til tiden, falder sikkerheden ved vejen. Nogle af de problemer, der blev identificeret i HealthCare.gov efter dens forkert udrulning, rejste muligheden for, at angribere vil målrette mod stedet. Der var rapporter om, at enkeltpersoner så følsomme oplysninger, der tilhørte andre brugere på webstedet.

Ledere, der fulgte hele sagaen, er sandsynligvis ikke så hurtige til at springe over sikkerhedstest næste gang de har en større applikationsudrulling. Eller så håber vi.

Distribueret afslag på serviceangreb

DDoS er ikke nyt, men i år så vi to store udviklinger. DDoS blev ofte brugt mod finansielle websteder, især som en del af Operation Ababil, men angribere udvidede deres mål til også at omfatte andre industrier. Et af årets største angreb var mod Spamhaus i marts, hvor toppe ramte 300 gbps.

Store cyberkriminalitetsarrestationer

I maj annoncerede den amerikanske advokat for det østlige distrikt i New York i maj anklager i en bankbelastning på 45 millioner dollars, der involverede stjålne kontooplysninger. Banden angiveligt hacket i finansielle institutioner for at stjæle kontooplysninger og trak derefter millioner af dollars ud af pengeautomater.

I juli anklagede den amerikanske advokat for New Jersey en anden cyber-kriminel ring for overtrædelse af computernetværk fra mindst 17 større detailhandlere, finansielle institutioner og betalingsprocessorer for at stjæle mere end 160 millioner kredit- og betalingskortnumre. Målrettede netværk omfattede blandt andet Nasdaq, 7-Eleven, Visa og JC Penney.

Russiske myndigheder hævdede at have arresteret Paunch, skaberen af ​​Blackhole Exploit Kit. Sikkerhedseksperter mener, at der med anholdelsen er en ugyldig cyber-kriminelle, der i øjeblikket er i færd med at udfylde. "Uden nogen klar efterfølger af Blackhole, investerer cyberkriminelle muligvis andre steder for at kompensere for den tabte indkomst på grund af mindre sofistikerede leveringsmekanismer til malware, " sagde Alex Watson, direktør for sikkerhedsundersøgelser hos Websense.

Vanding af hulleangreb

Vandangreb var ret fremtrædende i år, hvor websteder blev hacket for at kompromittere medarbejdere hos større teknologifirmaer som Facebook, Apple, Microsoft og Twitter samt mod forsvarsentreprenører og regeringsansatte. Disse vandhulleangreb udnyttede nul-dages sårbarheder i Internet Explorer, Java og andre almindeligt anvendte teknologier.

Vandangreb blev også opdaget mod pro-tibetanske aktivister, da angribere målrettede kinesktalende mennesker, der besøger den centrale tibetanske administration og Tibetan Homes Foundation, samt Uyghur-webstedet vedligeholdt af den islamiske forening i det østlige Turkistan.

Experian-dataovertrædelse

Vi husker det sidste store dataovertrædelse og glemmer alle de andre, der kom før. Mens den nylige dataovertrædelse, der er lidt af Target, hvor næsten 40 millioner debet- og kreditkortnumre blev kompromitteret i løbet af ferieshopping sæsonen, er temmelig stor, var det skræmmeste dataovertrædelse, der involverede brugerinformation, Experian-dataovertrædelsen.

Experian er en af ​​de organisationer, der handler med at købe og sælge personlige oplysninger - personnummer, adresser, bankkontooplysninger. Disse oplysninger blev solgt til en oversøisk kriminalitetsring ifølge en undersøgelse af sikkerhedsforfatter Brian Krebs. Overtrædelsen fremhævede også, at mange videnbaserede autentificeringssystemer, hvor folk bliver bedt om at verificere deres identitet ved at sige, hvilken bil de ejer, eller hvor de plejede at bo, nu er endnu mere sårbare.

Folk vågner op til online-privatliv

Da Google rullede fremtiden for bærbar tech med sin første bølge af Google Glass-"opdagelsesrejsende", sprang folk ud. Folk var endelig opmærksomme på den indflydelse, ansigtsgenkendelse, og evnen til at lægge noget online, kunne have på deres privatliv. Er teknologiens fremtid, hvor der ikke er privatliv, eller hvor folk kan startes fra restauranter og andre virksomheder for at være en trussel mod privatlivets fred?

Vi har allerede set frem til 2014 med vores forudsigelser for nye angreb, et nationalt internet, online betalinger, mobilsikkerhed og tingenes internet. Velkommen til 2014. Blir det et år med usikkerhed eller sejre? Hold fast ved Security Watch i det nye år, mens vi følger op- og nedture i sikkerhed.