Video: Napo in: Insieme per la sicurezza sul lavoro (Novembre 2024)
Guardando indietro, il 2013 sembrava una montagna russa, mentre passavamo da poche settimane a buone e cattive notizie: violazioni dei dati, privacy, cyber-spionaggio, spionaggio del governo, malware avanzato, arresti significativi, funzionalità di sicurezza migliorate, ecc.
La più grande storia - o meglio, una serie di storie - dell'anno ruota attorno ai documenti che l'ex appaltatore della National Security Agency Edward Snowden ha rubato e rilasciato ai media. Tuttavia, non è stata l'unica storia importante del 2013. Per la prima volta, una società di sicurezza ha presentato un chiaro caso di come la Cina spia le aziende americane e il governo degli Stati Uniti ha discusso ufficialmente della questione con il governo cinese. Le forze dell'ordine hanno avuto alcune vittorie significative, rompendo un grande anello di furto di carta di credito e arrestando il creatore del kit di exploit Blackhole. Le violazioni dei dati sono continuate, ma la violazione di Experian ha evidenziato il problema dei broker di dati che aggregano le informazioni personali. Gli utenti regolari hanno iniziato a parlare della privacy online mentre gli utenti di Google Glass scendono in strada. Le aziende si impegnano a migliorare le pratiche di sicurezza, come la crittografia dei dati in transito, l'implementazione dell'autenticazione a due fattori e la trasparenza delle informazioni fornite al governo.
Il 2013 è stato molto intenso sia per i professionisti della sicurezza che per i singoli. Ecco una rassegna delle significative storie di sicurezza dell'anno, in nessun ordine particolare.
Programmi segreti di sorveglianza dell'NSA
Potremmo riempire un'intera colonna con nient'altro che le rivelazioni della NSA. Gli articoli iniziali sul programma di raccolta dei record telefonici erano abbastanza scioccanti, ma sembra che ogni successiva rivelazione sia più esplosiva di prima. L'agenzia ha spiato l'attività Web, ha ficcato il traffico da e verso i data center di Google e Yahoo, ha intercettato le spedizioni per installare spyware e backdoor nelle apparecchiature elettroniche e ha presumibilmente intercettato i leader di altri paesi e giocatori. Mentre il capo generale della NSA, Keith Alexander, continua a insistere sul fatto che l'agenzia agisca entro i suoi confini e che sia stata attenta a preservare le libertà civili, le richieste di riforma stanno diventando più forti. Il Congresso sta discutendo su cosa fare in merito al problema della NSA, un giudice federale conservatore ha stabilito, in Klayman v. Obama, che il programma di registrazioni telefoniche della NSA avrebbe probabilmente violato il Quarto Emendamento, e il pannello indipendente selezionato dalla Casa Bianca ha raccomandato alla NSA i programmi devono essere ridotti.
Un gruppo di giganti della tecnologia, tra cui Tim Cook di Apple, Eric Schmidt di Google e Marissa Mayer di Yahoo, ha parlato con il presidente Barack Obama delle loro preoccupazioni riguardo alle attività della NSA. AOL, Apple, Facebook, Google, LinkedIn, Twitter, Yahoo e Microsoft si sono uniti per chiedere che mentre i governi devono agire per proteggere la sicurezza e la sicurezza dei loro cittadini, "le leggi e le pratiche attuali devono essere riformate".
Sempre più aziende pubblicano rapporti sulla trasparenza per rivelare il tipo di informazioni che consegnano al governo e il servizio di posta elettronica crittografato Lavabit ha chiuso per evitare di dover consegnare informazioni sui propri utenti. RSA, la divisione di sicurezza di EMC, sta attualmente difendendo la sua reputazione a seguito di un rapporto di Reuters secondo il quale l'NSA ha impiegato $ 10 milioni per spingere un algoritmo crittografico compromesso nei suoi prodotti di sicurezza.
Cina, Cina, Cina
Siamo stati così affascinati dalle ondate di informazioni che emergono sulle attività della NSA che è facile dimenticare che abbiamo iniziato il 2013 con un rapporto esplosivo che delineava il ruolo della Cina nel cyber-spionaggio. Il rapporto APT1 di Mandiant è stata la prima affermazione definitiva che espone chiaramente ciò che i cyber-aggressori cinesi stavano facendo per entrare nelle reti governative e commerciali statunitensi. Il rapporto ha delineato come questi aggressori hanno rubato la proprietà intellettuale, installato backdoor e danneggiato i sistemi.
Poco dopo la pubblicazione del rapporto, vari funzionari governativi hanno parlato delle attività della Cina. A maggio, il Rapporto annuale del Pentagono sulla Cina incolpava direttamente il governo di quella nazione per gli attacchi governativi e militari contro gli Stati Uniti. Il presidente Obama ha anche sollevato le accuse durante un incontro con Xi Jinping, il presidente della Cina. Il governo cinese ha persino accusato gli Stati Uniti di fare sostanzialmente la stessa cosa. (Un po 'di prefigurazione per Snowden?)
Attacchi contro i media
I media sono stati attaccati quest'anno, con il New York Times, il Washington Post e il Wall Street Journal che hanno rivelato di essere stati infettati da sofisticati malware. Il dito del sospetto puntò, dove altro? Cina. L'esercito elettronico siriano si è scatenato contro gli account Twitter di The Onion, Guardian e altri punti vendita. Il post falso sull'account Twitter di AP, "Breaking: Two Explosions in the White House and Barack Obama is offured", ha persino causato un piccolo ribasso in borsa, con il Dow Jones che ha temporaneamente immerso 140 punti.
L'attacco al sito web del New York Times in cui la SEA è riuscita a modificare le impostazioni del sistema dei nomi di dominio del sito ha evidenziato quanto facilmente gli aggressori potrebbero interferire con le operazioni Web. Il SEA in questo attacco non ha nemmeno violato la rete: il gruppo ha realizzato questo attacco tramite phishing di spear.
Focus sulla sicurezza delle applicazioni
L'Affordable Care Act e il lancio del sito web di scambio di assistenza sanitaria hanno portato in primo piano l'importanza dei test di sicurezza. I professionisti della sicurezza sanno quanto sia importante testare le applicazioni per problemi di sicurezza prima di andare in onda, ma quando il tempo passa e il tempo sta per scadere per spedire il prodotto in tempo, la sicurezza cade di lato. Alcuni dei problemi identificati in HealthCare.gov dopo il suo lancio fallito hanno sollevato la possibilità che gli attaccanti prendessero di mira il sito. È stato riferito che le persone vedevano informazioni sensibili appartenenti ad altri utenti sul sito.
I dirigenti che hanno seguito l'intera saga probabilmente non saranno così veloci a saltare i test di sicurezza la prossima volta che avranno un'implementazione importante dell'applicazione. O almeno così speriamo.
Attacchi di Denial of Service distribuiti
DDoS non è nuovo, ma quest'anno abbiamo visto due importanti sviluppi. DDoS è stato spesso utilizzato contro siti finanziari, in particolare nell'ambito dell'Operazione Ababil, ma gli aggressori hanno ampliato i loro obiettivi per includere altri settori. Uno dei più grandi attacchi dell'anno è stato contro lo Spamhaus a marzo, con picchi che hanno colpito 300 gbps.
Principali arresti di criminalità informatica
A maggio, il procuratore degli Stati Uniti per il distretto orientale di New York a maggio ha annunciato le accuse in una rapina in banca da $ 45 milioni con informazioni sul conto rubato. La banda avrebbe presumibilmente violato gli istituti finanziari per rubare informazioni sui conti e poi ritirato milioni di dollari dai distributori automatici.
A luglio, il procuratore degli Stati Uniti per il New Jersey ha accusato un altro anello di criminalità informatica per aver violato le reti di computer di almeno 17 importanti rivenditori, istituti finanziari e processori di pagamento per rubare più di 160 milioni di numeri di carte di credito e debito. Le reti targetizzate includevano Nasdaq, 7-Eleven, Visa e JC Penney, tra gli altri.
Le autorità russe hanno affermato di aver arrestato Paunch, il creatore del kit di exploit Blackhole. Gli esperti di sicurezza ritengono che con l'arresto vi sia un vuoto che i criminali informatici stanno attualmente cercando di colmare. "Senza un chiaro successore di Blackhole, le bande criminali informatiche potrebbero investire in altri luoghi per compensare le perdite di reddito dovute a meccanismi di consegna meno sofisticati per il malware", ha dichiarato Alex Watson, direttore della ricerca sulla sicurezza di Websense.
Attacchi di irrigazione
Quest'anno gli attacchi ai watering hole sono stati abbastanza importanti, con i siti Web che sono stati hackerati per compromettere i dipendenti delle principali aziende tecnologiche come Facebook, Apple, Microsoft e Twitter, nonché contro gli appaltatori della difesa e i dipendenti del governo. Questi attacchi a watering hole hanno sfruttato le vulnerabilità zero-day in Internet Explorer, Java e altre tecnologie comunemente utilizzate.
Sono stati scoperti anche attacchi contro le annaffiature contro attivisti pro-tibetani, poiché gli aggressori hanno preso di mira persone di lingua cinese che visitavano l'Amministrazione centrale tibetana e la Tibetan Homes Foundation, nonché il sito web uiguro gestito dall'Associazione islamica del Turkistan orientale.
Violazione dei dati di Experian
Tendiamo a ricordare l'ultima grande violazione dei dati e dimentichiamo tutte le altre precedenti. Mentre la recente violazione dei dati subita da Target in cui quasi 40 milioni di numeri di debito e carta di credito sono stati compromessi durante la stagione dello shopping natalizio è piuttosto grave, la violazione dei dati più spaventosa che coinvolge le informazioni degli utenti è stata la violazione dei dati di Experian.
Experian è una delle organizzazioni nel settore dell'acquisto e della vendita di informazioni personali: numeri di previdenza sociale, indirizzi, dettagli del conto bancario. Questa informazione è stata venduta a un anello del crimine all'estero, secondo un'indagine dello scrittore di sicurezza Brian Krebs. La violazione ha anche messo in evidenza il fatto che molti sistemi di autenticazione basati sulla conoscenza, in cui le persone sono invitate a verificare la propria identità dicendo quale auto possiedono o dove abitavano, ora sono ancora più vulnerabili.
Le persone si svegliano alla privacy online
Quando Google ha srotolato il futuro della tecnologia indossabile con la sua prima ondata di "esploratori" di Google Glass, la gente è impazzita. Le persone erano finalmente consapevoli dell'impatto del riconoscimento facciale e della possibilità di pubblicare qualsiasi cosa online sulla loro privacy. Il futuro della tecnologia è quello in cui non c'è privacy o dove le persone possono essere avviate da ristoranti e altri stabilimenti per essere una minaccia alla privacy?
Abbiamo già guardato al 2014, con le nostre previsioni per nuovi attacchi, Internet nazionale, pagamenti online, sicurezza mobile e Internet delle cose. Benvenuti nel 2014. Sarà un anno di incertezza o vittorie? Resta con Security Watch nel nuovo anno mentre seguiamo gli alti e bassi della sicurezza.