Ev Securitywatch Kısa süreli kiralamada tek ağlı bir stand mı arıyorsunuz? koruma kullanın!

Kısa süreli kiralamada tek ağlı bir stand mı arıyorsunuz? koruma kullanın!

Video: #AVM ‘lerde kiralar ne kadar? Nasıl kiralama yapılır? (Kasım 2024)

Video: #AVM ‘lerde kiralar ne kadar? Nasıl kiralama yapılır? (Kasım 2024)
Anonim

En görkemli moteller bile artık ücretsiz Wi-Fi sunmaktadır. Beklemeye geldik. Doğal olarak, bir Airbnb'de veya başka bir paylaşımlı ekonomi kiralamasında aynı hizmet seviyesini bekliyoruz. Ancak, bir güvenlik uzmanı Jeremy Galloway'ın Black Hat konuşmasında açıkça ifade ettiği gibi büyük bir fark var.

Galloway, "Güvenlik sorunlarını çözerim - bazen de dahil olan bilgisayarlar var" diyerek kendisini tanıttı. REDACTED dahil, duyduğumdan daha fazla güvenlik topluluğunun üyesi. Ve Homer Simpson'ın görünüşü ve grafikler ve slaytlar arasındaki gösterişli bir Cosmo Kramer ile canlı sunum tarzı seyirciyi perçinledi.

Kısa Dönem Kiralama

Galloway, kısa vadeli kiralama pazarının ne kadar büyük olduğu konusunda eve zaman ayırdı. Yılda 100 milyar dolar olduğu tahmin edilen pazar büyüklüğü ile bunu, bulut hizmetlerine harcadığınız tüm harcamalar (110 milyar dolar) ve küresel kokain satışı (85 milyar dolar) arasında bir yere koyuyor. Oh, ve Las Vegas'taki oyun endüstrisi? Bu yaklaşık 6, 3 milyar.

Ayrıca, bu yaz Airbnb'yi Yunanistan, İsveç veya İsviçre nüfusunun tamamına göre kullandığını belirtti. Dünya genelinde 2.000.000'den fazla Airbnb listesinin (veya onları hedeflediği şekilde) hedeflemesiyle kesinlikle çok büyük. Galloway, "Airbnb çılgınca popüler bir para makinesidir." Dedi. "Ancak bir çalışma, misafirlerin yüzde 40'ının ziyaret ettikleri evlerde kalırken gözlerini kamaştığını itiraf ettiğini gösterdi. Yaparım! Neyin kilitli olup olmadığını kontrol ediyorum."

Tek Ağlı Standlar

Galloway, "Güvenlik uzmanları bir ağ üzerinde komik bir his uyandırabilir. Ortalama bir insanın anlamadığı altıncı hissi var." Dedi. “Güven ölçeğim var. Kişisel ev ağınız yüzde 100'dür. Bir üniversite ağı, yani BT güvenliğine sahipler, ancak tüm bu öğrenciler yüzde 50 diyorum. Sonunda, o rasgele otel kulübesi, bu sıfır yüzde. Airbnb? Ben yüzde 20 koyardım. "

Galloway, çevrimiçi bir Cinsel Maruziyet Hesaplayıcısı'na analoji olarak işaret etti. Sahip olduğunuz ortak sayısını ve sahip olduğu ortak sayısını ve kaç kişiye maruz kaldığınızı görebilirsiniz. Galloway, “Tek ağ bağlantınız olmadan önce iki kez düşünün” dedi. “Aptalca bir ifade, ancak risk açısından alım satım kolaylığının karşılaştırılması çok mantıklı.”

Hacker'lar Ne Yapabilir?

Galloway, son birkaç yıl içinde yönlendirici tabanlı saldırıların bir likidini yaşadı. DNSChanger, Ay kurdu, BlackMoon, bunların hepsi kurbanların yönlendiricilerinde uzaktan değişiklik yaparak çalıştı. Galloway, güvenlik süper kahramanı Dan Geer'den, yönlendirici durumunun kapalı bir alışveriş merkezindeki benzin sızıntısı kadar dokunaklı olduğunu söylediğini belirtti. “Bana gelince, ” dedi Galloway, “Yönlendirici güvenliğinin azgın bir çöp tenekesi dosyası olduğunu söyleyebilirim.”

Tabii ki, bu saldırıların bir şekilde uzaktan kumandaya yönlendirilmesi gerekiyordu. Saldırganın kısa süreli kiralamada olduğu gibi fiziksel erişimi olduğunda, bu her şeyi değiştirir. Galloway, imza yönlendiricisi APT'yi gösterdi. Hayır, Gelişmiş Kalıcı Tehdit değil; Gelişmiş Ataç Tehdidi. Galloway, “MacGyver olmak zorunda değilsiniz” dedi. "Yönelticiyi sıfırlamak için bükülmüş bir ataç kullanın ve tüm güvenlik katmanını kaldırırsınız. Bunların hiçbiri sıfır günlük saldırılar veya çılgın yararlanma kodu gerektirmez."

Kötüleşiyor, çok kötüleşiyor. Yönlendiriciye fiziksel erişimi olan biri, hassas verilerinizi alabilir, güvenilir verileri değiştirebilir, veri enjekte edebilir ve daha fazlasını yapabilir. “Evet, ” dedi Galloway, “Daha da kötüye gitmiyor”.

Bir yönlendiriciyi hacklemek için yapabileceğiniz birçok şeyi listelemeye devam etti, fiziksel erişim sağladı, sinir bozucudan felakete kadar. Kendi cihazınızı uzak yönetici olarak yapılandırabilir ve ziyaretinizden haftalar sonra yönlendiriciyi izleyebilirsiniz. Tüm cihaz şifrelerini basit bir araç kullanarak çıkarabilirsiniz. Kendinizi bir günlük sunucusu olarak ayarlayın ve tüm trafiği pasif olarak görün.

Daha korkunç tarafta, yönlendiricinin DNS sunucusu olarak kendi sunucunuzu ayarlayabilirsiniz. Bu, yönlendirici aracılığıyla bağlanan herhangi birinden özel bilgileri çalabilecek ortadaki adam saldırıları sağladı. Galloway, "Bu saldırılarla bireyleri hedefleyemezsiniz, " dedi, ancak konferansları, askeri üslerin yakınındaki yerel mekanları, şirket ofislerini hedefleyebilirsiniz. " Dan Kaminsky'nin açılış konuşmasında, "ICANN, DNS'yi güvenli hale getirmek için çılgınca uzunluklara gidiyor. DNS'inizi lulz ve dileklerle koruyorsunuz." Dedi.

Ne yapabilirsin

Hala Airbnb ve kısa süreli kiralamaları kullanabilirsiniz, ancak oturum açarsanız, kendinizi koruyun. Galloway'ın bir çamaşır yıkama önerileri listesi vardı. Tüm cihazlarınızda DNS'yi kodlayın. Otomatik proxy keşfetme özelliğini kapatın. Bir VPN kullanın. Cihazınızda hücresel veriler varsa Wi-Fi'yi kapatın. Diğer cihazlarınızı telefonunuza kişisel bir etkin nokta olarak bağlayın (yalnızca mobil veri kullanımını takip edin). Mümkün olan her yerde iki faktörlü kimlik doğrulamasını etkinleştirin.

Galloway, "Bu teknik, ancak daha önemli bir şey var, " dedi. “Arayüz şeklinizi değiştirin. Tek tavsiyem - Bay Robot'u izleyin! Kendinizi popülasyonun yüzde 99'undan daha fazla güvenliğe maruz bırakacaksınız. Yüzde birinde olacaksınız!”

Mülk Sahipleri Ne Yapabilir?

Airbnb kiralık aracınıza gelen ziyaretçiler kötü amaçlı yazılımla gelirse, size iyi bir inceleme yapmazlar. Kiranız sadece evinizdeki bir odaysa, aynı ağa kendiniz de güvenebilirsiniz. "En iyi tek tavsiyem, " dedi Galloway, "fiziksel erişimi kaldırmak. Yönelticiyi dolaba veya güvenli bir odaya kilitlemek. Elektronik bir kutuya kilitlemek. Bilgisayar korsanlarına söylüyorum ve ha beş dakika içinde bu kilitleme. Evet, önemli olan mükemmel bir güvenlik yaratmak değil, insanları dürüst tutmaktır. ”

Galloway, “Wi-Fi sunmamayı bile düşünebilirsiniz” dedi. "Veya yalnızca konuklar için ayrı bir düşük bant genişliği hattı elde edin. Bu bir iş masrafıdır. Yönlendirici ayarlarınızı rutin olarak yedekleyin ve geri yükleyin. Konuk rehberinize çevrimiçi bir güvenlik bölümü ekleyin."

İyi Haber Yok

Galloway "Seni iyi haberlerle bırakamam" dedi. “Sorun gitmiyor. 2011'den beri her yıl, çoğunlukla SQL Injection nedeniyle“ ihlal yılı ”oldu. SQL Injection 1998'den beri var. Yama, güncelleme veya kolay düzeltme yok.”

Söyleyebileceğim tek şey vay. Tüm teknik detaylara bakmak, kendinizi daha iyi korumak veya bir ev yönlendiricisi hacker olmak için Galloway'ın tam sunumunu okuyun.

Kısa süreli kiralamada tek ağlı bir stand mı arıyorsunuz? koruma kullanın!