Video: НМДНИ-2013 Депардье в РФ. Сирия. “Легенда N17”. Упал метеорит. Евромайдан. Развод Путина. “Горько!” (Ekim 2024)
Geriye dönüp baktığımda, 2013 birkaç haftada bir iyi haberden kötü haberlere gizlice baktığımızda bir roller coaster gibi geldi: Veri ihlalleri, mahremiyet, siber-casusluk, devlet casusluğu, gelişmiş kötü amaçlı yazılımlar, önemli tutuklamalar, iyileştirilmiş güvenlik özellikleri, vb.
Yılın en büyük hikayesi - daha doğrusu hikayeler dizisi - Ulusal Güvenlik Ajansı eski yüklenicisi Edward Snowden'ın çaldığı ve medyaya yayımladığı belgelerin etrafında dönüyor. Ancak, 2013'ün tek büyük hikayesi değildi. İlk defa, bir güvenlik şirketi Çin'in Amerikan işletmelerine nasıl casusluk yaptığıyla ilgili kesin bir vaka ortaya koymuş ve ABD hükümeti konuyla resmen Çin hükümetiyle görüşmüştür. Kolluk kuvvetleri, büyük bir kredi kartı hırsızlığı çetesini kıran ve Blackhole Exploit Kit'in yaratıcısını tutuklayan bazı önemli zaferlere sahipti. Veri ihlalleri devam etti, ancak Experian ihlali, kişisel bilgilerin toplanması konusunda veri brokerleri sorununu vurguladı. Düzenli kullanıcılar, Google Glass kullanıcıları caddelere çarptıkça çevrimiçi gizlilik hakkında konuşmaya başladı. Şirketler, aktarılan verileri şifrelemek, iki faktörlü kimlik doğrulamasını uygulamak ve hükümete hangi bilgileri sağladığı konusunda daha şeffaf hale gelmek gibi daha iyi güvenlik uygulamalarına karar verdiler.
2013 yılı hem güvenlik profesyonelleri hem de bireyler için yoğun geçti. İşte yılın önemli güvenlik öykülerinin belirli bir sıra ile gözden geçirilmesi.
Gizli NSA Gözetim Programları
Bir sütunun tamamını NSA vahiyleri dışında hiçbir şeyle doldurabiliriz. Telefon kayıtları toplama programına ilişkin ilk makaleler yeterince şok edici oldu, ancak sonraki her vahiy öncekinden daha patlayıcı gibi görünüyor. Ajans, Web etkinliği üzerine casusluk yaptı, Google ve Yahoo veri merkezlerine gelen ve gelen trafiği durdurdu, elektronik cihazlara casus yazılım ve arka kapılar kurmak için gönderileri durdurdu ve iddiaya göre diğer ülkelerin ve oyuncuların liderlerine gizlice girdiğini iddia etti. NSA başkanı General Keith Alexander, ajansın sınırları içinde hareket ettiği ve sivil özgürlüklerin korunmasında dikkatli olduğu konusunda ısrar etmeye devam ederken, reform çağrıları daha da artmaktadır. Kongre, muhafazakar bir federal yargıç olan NSA'nın sorunu hakkında ne yapılacağını tartışıyor, Klayman v. Obama'da, NSA'nın telefon kayıt programının Dördüncü Değişikliği ihlal ettiğini ve Beyaz Saray tarafından seçilen bağımsız kurulun NSA'yı tavsiye ettiğini söyledi. programların kısıtlanması gerekiyor.
Apple’ın Tim Cook, Google’ın Eric Schmidt ve Yahoo’nun Marissa Mayer’i de dahil olmak üzere bir grup teknoloji devi, NSA’nın faaliyetleriyle ilgili endişeleri hakkında Başkan Barack Obama ile konuştu. AOL, Apple, Facebook, Google, LinkedIn, Twitter, Yahoo ve Microsoft, hükümetlerin vatandaşlarının güvenliğini ve güvenliğini korumak için harekete geçmeleri gerektiğinde, "mevcut yasaların ve uygulamaların yeniden düzenlenmesi gerekiyor."
Daha fazla şirket, hükümete ne tür bilgiler verdiklerini ifşa etmek için şeffaflık raporları yayınlıyor ve kullanıcıları hakkında bilgi vermek zorunda kalmaktan kaçınmak için Lavabit'in kapattığı şifreli e-posta hizmeti. EMC'nin güvenlik bölümü olan RSA, bir Reuters raporunun ardından, NSA'dan güvenlik ürünlerinde tehlikeye girmiş bir şifreleme algoritmasını zorlamak için 10 milyon dolar aldığı raporunda itibarını savunuyor.
Çin, Çin, Çin
NSA'nın faaliyetleri hakkında çıkan bilgi dalgaları o kadar büyülendi ki, Çin'in siber casusluktaki rolünü vurgulayan patlayıcı bir raporla 2013'e başladığımızı unutmak kolaydır. Mandiant'ın APT1 raporu, Çin'den gelen siber saldırganların ABD iş ve hükümet ağlarına girmek için ne yaptığını açıkça ortaya koyan ilk kesin ifadeydi. Rapor, bu saldırganların fikri mülkiyeti nasıl çaldıklarını, arka kapılara nasıl monte edildiklerini ve hasarlı sistemleri anlattı.
Raporun yayınlanmasından kısa bir süre sonra, çeşitli hükümet yetkilileri Çin’in faaliyetleri hakkında konuştu. Mayıs ayında, Pentagon’un Çin’deki Yıllık Raporu, doğrudan o ülkenin hükümetini ABD’ye yönelik hükümet ve askeri saldırılarla suçladı. Başkan Obama, Çin cumhurbaşkanı Xi Jinping ile yaptığı görüşmede suçlamaları bile dile getirdi. Çin hükümeti ABD’yi aslında aynı şeyi yapmakla suçladı. (Snowden için ufak bir haber)
Medya Çıkışlarına Karşı Saldırılar
Medya, bu yıl New York Times, Washington Post ve Wall Street Journal ile birlikte, karmaşık bir kötü amaçlı yazılımdan etkilendiklerini açıkladı. Şüphe parmağı - başka nerede? - Çin'i işaret etti. Suriye Elektronik Ordusu, Onion, Guardian ve diğer satış noktalarının Twitter hesaplarına karşı çılgına döndü. AP'nin Twitter hesabındaki sahte yazı, "Beyaz Saray'da ve Barack Obama'da İki Patlama Yaralandı" bile, borsada Dow Jones'un geçici olarak 140 puan düşürmesiyle küçük bir kayma yaşandı.
SEA'nın sitenin alan adı sistem ayarlarını değiştirmeyi başardığı New York Times web sitesine yapılan saldırı, saldırganların Web işlemlerine ne kadar kolay müdahale edebileceğini vurguladı. Bu saldırıdaki SEA ağa bile girmedi - grup bu saldırıyı mızrak avlatarak gerçekleştirdi.
Uygulama Güvenliğine Odaklanın
Uygun Fiyatlı Bakım Yasası ve sağlık hizmeti değişimi web sitesinin kullanıma sunulması güvenlik testlerinin önemini ön plana çıkardı. Güvenlik uzmanları, uygulamaların canlı yayınlanmadan önce güvenlik sorunları için test edilmesinin ne kadar kritik olduğunu bilirler, ancak saat geçiyor ve zamanı zamanında göndermek için zaman tükeniyorsa, güvenlik bir kenara düşer. Canlandırıldıktan sonra HealthCare.gov'da belirtilen sorunlardan bazıları, saldırganların siteyi hedefleme olasılığını artırdı. Bireylerin, sitedeki diğer kullanıcılara ait hassas bilgileri gördüğü bildirildi.
Tüm destanı takip eden yöneticiler, bir sonraki büyük uygulamalarında güvenlik testini atlamak için muhtemelen bu kadar hızlı olmayacaktır. Ya da öyle umuyoruz.
Dağıtılmış Hizmet Reddi Saldırıları
DDoS yeni değil, ancak bu yıl iki büyük gelişme gördük. DDoS, özellikle Ababil Operasyonunun bir parçası olarak finansal sitelere karşı sıkça kullanılıyordu, ancak saldırganlar diğer endüstrileri de içerecek şekilde hedeflerini genişletti. Yılın en büyük saldırılarından biri Mart ayında Spamhaus’a karşı geldi ve zirve sayısı 300 gbps oldu.
Büyük Siber Suç Tutuklamaları
Mayıs ayında ABD'nin Mayıs ayında New York’un Doğu Bölgesi’nin avukatı, çalınan hesap bilgilerini içeren 45 milyon dolarlık bir banka soygunu suçlamasını açıkladı. Çetenin hesap bilgilerini çalmak için finansal kurumlara girdiği ve ardından ATM'lerden milyonlarca dolar çekildiği iddia ediliyor.
Temmuz ayında, ABD'nin New Jersey Avukatı, 160 milyondan fazla kredi kartı ve banka kartı numarası çalmak için en az 17 büyük perakendecinin, finans kurumunun ve ödeme işlemcisinin bilgisayar ağlarını ihlal ettiği için bir siber suç çağı daha suçladı. Hedeflenen ağlar arasında Nasdaq, 7-Eleven, Visa ve JC Penney vardı.
Rus makamları, Blackhole Exploit Kit'in yaratıcısı Paunch'ı tutukladığını iddia etti. Güvenlik uzmanları, tutuklama ile birlikte, siber suçluların şu anda doldurmak için çabalıyorlar olduğuna inanıyor. Websense güvenlik araştırması direktörü Alex Watson, "Blackhole’un net bir halefi olmadıkça, siber suç çeteleri, kötü amaçlı yazılımlar için daha az karmaşık dağıtım mekanizmaları nedeniyle gelir kaybını telafi etmek için başka yerlere yatırım yapıyor olabilir" dedi.
Sulama Deliği Saldırıları
Bu yıl sulama deliği saldırıları oldukça belirgindi ve Facebook, Apple, Microsoft ve Twitter gibi büyük teknoloji firmalarındaki çalışanların yanı sıra savunma müteahhitlerine ve kamu çalışanlarına yönelik web sitelerinin saldırılarını engellemek için web siteleri hacklendi. Bu sulama deliği saldırıları, Internet Explorer, Java ve diğer yaygın kullanılan teknolojilerdeki sıfır günlük güvenlik açıklarından yararlandı.
Ayrıca, Tibet yanlısı aktivistlere karşı su kuyusu saldırı saldırıları tespit edildi; saldırganlar, Orta Doğu İdaresi ve Tibet Evleri Vakfı'nı ziyaret eden Çince konuşan insanları ve Doğu Türkistan İslam Birliği tarafından düzenlenen Uygur web sitesini hedef aldı.
Experian Veri İhlali
Son ana veri ihlalini hatırlamaya ve daha önce gelenleri unutmaya meyilliyiz. Son 40 yıldaki banka kartı ve kredi kartı numaralarının tatil alışveriş sezonunda tehlikeye girdiği Hedef'in son veri ihlali yaşanırken, kullanıcı bilgilerini içeren en korkunç veri ihlali Experian veri ihlaliydi.
Experian, kişisel bilgi alma ve satma - sosyal güvenlik numaraları, adresler, banka hesap bilgileri - organizasyonlarından biridir. Güvenlik yazarı Brian Krebs tarafından yapılan bir araştırmaya göre, bu bilgi bir deniz aşırı suç halkasına satıldı. Bu ihlal aynı zamanda, insanların hangi araca sahip olduklarını ya da nerede yaşadıklarını söyleyerek kimliklerini doğrulamalarının istendiği birçok bilgi tabanlı kimlik doğrulama sisteminin şimdi daha da savunmasız olduğunu vurguladı.
İnsanlar Çevrimiçi Gizliliğe Uyanıyor
Google, ilk Google Glass "kaşif" dalgasıyla giyilebilir teknolojinin geleceğini açtığında insanlar çıldırdı. İnsanlar nihayet yüz tanıma etkisinin farkındaydı ve çevrimiçi olarak herhangi bir şey yayınlayabilmeleri mahremiyetleri üzerinde yaratabildiler. Teknolojinin geleceği, mahremiyetin olmadığı veya mahremiyet için bir tehdit oluşturduğu için restoranlardan ve diğer kuruluşlardan insanların başlatılabileceği bir yer midir?
Yeni saldırılar, ulusal bir İnternet, çevrimiçi ödemeler, mobil güvenlik ve Nesnelerin İnterneti ile ilgili tahminlerimizle 2014 yılına baktık. 2014'e Hoş Geldiniz. Belirsizlik veya zafer yılı mı olacak? Yeni yılda, güvenlik iniş ve çıkışlarını takip ederken Güvenlik İzleme'ye bağlı kalın.
