Video: Gia Äình 3 ngÆ°á»i bá» giết á» Tiá»n Giang mất nhiá»u tà i sản (Tháng Chín 2024)
Ngay cả các nhà nghỉ hạt giống nhất hiện cung cấp Wi-Fi miễn phí. Chúng tôi đã đến để mong đợi nó. Vì vậy, tự nhiên chúng tôi mong đợi cùng một mức dịch vụ tại Airbnb hoặc cho thuê nền kinh tế chia sẻ khác. Nhưng có một sự khác biệt, một sự khác biệt rất lớn, như đã nói rõ trong một cuộc nói chuyện về Mũ Đen của chuyên gia bảo mật Jeremy Galloway.
Cho thuê ngắn hạn là Yuuge
Galloway đã dành một chút thời gian để rèn nhà chỉ là thị trường cho thuê ngắn hạn lớn như thế nào. Với quy mô thị trường ước tính là 100 tỷ đô la mỗi năm, điều đó đặt nó ở đâu đó giữa tất cả chi tiêu cho các dịch vụ đám mây (110 tỷ đô la) và doanh thu toàn cầu của cocaine (85 tỷ đô la). Oh, và ngành công nghiệp game ở Las Vegas? Đó là khoảng 6, 3 tỷ.
Ông cũng tuyên bố rằng nhiều khách đã sử dụng Airbnb vào mùa hè này hơn toàn bộ dân số Hy Lạp, Thụy Điển hoặc Thụy Sĩ. Với hơn 2.000.000 danh sách Airbnb (hoặc, như ông gọi chúng là các mục tiêu) trên toàn thế giới, nó hoàn toàn khổng lồ. "Airbnb là một cỗ máy kiếm tiền cực kỳ phổ biến, " Galloway nói. "Nhưng một nghiên cứu cho thấy 40 phần trăm khách thừa nhận đã rình mò khi ở trong nhà họ đến thăm. Tôi làm điều đó! Tôi kiểm tra xem những gì bị khóa và những gì không."
Khán đài một mạng
"Các chuyên gia bảo mật của bạn có thể có được cảm giác hài hước trên mạng. Bạn có giác quan thứ sáu về bảo mật mà người bình thường không có", Galloway nói. "Tôi có một mức độ tin cậy. Mạng gia đình cá nhân của bạn, chiếm 100%. Mạng lưới trường đại học, họ có bảo mật CNTT, nhưng tất cả những sinh viên đó, tôi sẽ nói 50%. Cuối cùng, ki-ốt khách sạn ngẫu nhiên đó là con số không phần trăm. Airbnb? Tôi sẽ đặt nó khoảng 20 phần trăm. "
Galloway chỉ vào một Máy tính tiếp xúc tình dục trực tuyến như một sự tương tự. Lấy số lượng đối tác bạn đã có và số lượng đối tác họ đã có và bạn thấy có bao nhiêu người bạn đã tiếp xúc. "Hãy suy nghĩ hai lần trước khi bạn có một mạng lưới một mạng, " Galloway nói. "Đó là một cụm từ ngớ ngẩn, nhưng việc so sánh sự thuận tiện trong giao dịch với rủi ro có rất nhiều ý nghĩa."
Tin tặc có thể làm gì
Galloway đã trải qua một loạt các cuộc tấn công dựa trên bộ định tuyến trong vài năm qua. DNSChanger, sâu Moon, BlackMoon, tất cả những thứ này hoạt động bằng cách thực hiện các thay đổi từ xa trong bộ định tuyến của nạn nhân. Galloway dẫn lời siêu anh hùng an ninh Dan Geer nói rằng tình hình bộ định tuyến cũng nhạy cảm như một vụ đổ xăng trong một trung tâm mua sắm kèm theo. "Đối với tôi, " Galloway nói, "Tôi muốn nói rằng bảo mật bộ định tuyến là một tập tin dumpster hoành hành."
Tất nhiên, những cuộc tấn công cần thiết bằng cách nào đó chen vào bộ định tuyến từ xa. Khi kẻ tấn công có quyền truy cập vật lý, như trong một hợp đồng thuê ngắn hạn, điều đó sẽ thay đổi mọi thứ. Galloway đã trình diễn APT bộ định tuyến chữ ký của mình. Không, không phải mối đe dọa liên tục nâng cao; Đe dọa kẹp giấy nâng cao. "Bạn không cần phải là MacGyver, " Galloway nói. "Sử dụng kẹp giấy bị uốn cong để đặt lại bộ định tuyến và bạn loại bỏ toàn bộ lớp bảo mật. Không có gì trong số này yêu cầu các cuộc tấn công 0 ngày hoặc mã khai thác điên rồ."
Nó trở nên tồi tệ hơn, tồi tệ hơn nhiều. Ai đó có quyền truy cập vật lý vào bộ định tuyến có thể thu thập dữ liệu nhạy cảm của bạn, sửa đổi dữ liệu đáng tin cậy, tiêm dữ liệu và hơn thế nữa. "Vâng, " Galloway nói, "Nó không trở nên tồi tệ hơn nhiều."
Anh ta tiếp tục liệt kê một số điều đáng kinh ngạc mà bạn có thể làm để hack một bộ định tuyến, được cấp quyền truy cập vật lý, từ khó chịu đến thảm họa. Bạn có thể định cấu hình thiết bị của mình làm quản trị viên từ xa và theo dõi bộ định tuyến vài tuần sau khi bạn truy cập. Bạn có thể trích xuất tất cả mật khẩu thiết bị bằng một công cụ đơn giản. Đặt bản thân bạn làm máy chủ nhật ký và bạn thụ động xem tất cả lưu lượng truy cập.
Về mặt đáng sợ hơn, bạn có thể đặt máy chủ của riêng mình làm máy chủ DNS của bộ định tuyến. Điều này cho phép các cuộc tấn công trung gian có thể đánh cắp thông tin cá nhân từ bất kỳ ai kết nối qua bộ định tuyến. "Bạn không thể nhắm mục tiêu các cá nhân với các cuộc tấn công này, " Galloway lưu ý, "nhưng bạn có thể nhắm mục tiêu các hội nghị, địa điểm gần các căn cứ quân sự, văn phòng công ty." Tham khảo bài phát biểu của Dan Kaminsky, ông nói, "ICANN cố gắng hết sức để làm cho DNS an toàn. Bạn bảo vệ DNS của mình bằng lulz và mong muốn."
Bạn có thể làm gì
Bạn vẫn có thể sử dụng Airbnb và cho thuê ngắn hạn, nhưng nếu bạn đăng nhập, hãy tự bảo vệ mình. Galloway đã có một danh sách gợi ý giặt ủi. DNS cứng trong tất cả các thiết bị của bạn. Tắt khám phá proxy tự động. Sử dụng VPN. Tắt Wi-Fi nếu thiết bị của bạn có dữ liệu di động. Buộc các thiết bị khác của bạn vào điện thoại dưới dạng điểm phát sóng cá nhân (chỉ cần theo dõi việc sử dụng dữ liệu di động). Cho phép xác thực hai yếu tố bất cứ nơi nào có sẵn.
"Đó là kỹ thuật, nhưng có một cái gì đó quan trọng hơn, " Galloway nói. "Thay đổi cách giao diện của bạn. Lời khuyên duy nhất của tôi là xem Robot Robot! Bạn sẽ tiếp xúc với an ninh nhiều hơn 99% dân số. Bạn sẽ nằm trong top một phần trăm! '
Chủ sở hữu tài sản có thể làm gì
Nếu khách truy cập cho thuê Airbnb của bạn về nhà với phần mềm độc hại, họ sẽ không cung cấp cho bạn đánh giá tốt. Và bạn cũng có thể dựa vào cùng một mạng, nếu tiền thuê của bạn chỉ là một căn phòng trong nhà bạn. "Lời khuyên tốt nhất duy nhất của tôi, " Galloway nói, "là loại bỏ quyền truy cập vật lý. Khóa bộ định tuyến trong tủ quần áo hoặc phòng bảo mật. Khóa nó trong một vỏ bọc điện tử. Tôi nói điều đó với tin tặc và họ nói, ha, tôi có thể chọn khóa trong năm phút. Vâng. Điểm không phải là để tạo ra sự bảo mật hoàn hảo, đó là để giữ cho mọi người trung thực. "
"Bạn thậm chí có thể cân nhắc việc không cung cấp Wi-Fi, " Galloway tiếp tục. "Hoặc có được một đường băng thông thấp riêng biệt chỉ dành cho khách. Đó là chi phí kinh doanh. Sao lưu và khôi phục cài đặt bộ định tuyến của bạn thường xuyên. Và thêm phần an toàn trực tuyến vào hướng dẫn khách của bạn."
Không có tin tốt
"Tôi không thể để lại cho bạn tin tốt, " Galloway kết luận. "Vấn đề sẽ không biến mất. Mỗi năm kể từ năm 2011 là 'năm vi phạm', chủ yếu là do SQL Injection. Và SQL Injection đã xuất hiện từ năm 1998. Không có bản vá, cập nhật hoặc sửa chữa dễ dàng."
Tất cả những gì tôi có thể nói là, wow. Nếu bạn muốn tìm hiểu chi tiết kỹ thuật đầy đủ, để bảo vệ bản thân tốt hơn hay trở thành một hacker bộ định tuyến gia đình, hãy đọc bản trình bày đầy đủ của Galloway.
