Câu chuyện bảo mật quan trọng của năm 2013

Nhìn lại, năm 2013 có cảm giác như tàu lượn siêu tốc, khi chúng tôi chần chừ từ tin tốt đến tin xấu mỗi tuần: Vi phạm dữ liệu, quyền riêng tư, gián điệp mạng, gián điệp của chính phủ, phần mềm độc hại tiên tiến, bắt giữ đáng kể, cải thiện tính năng bảo mật, v.v.

Câu chuyện lớn nhất, hay nói đúng hơn là một loạt các câu chuyện của năm, xoay quanh các tài liệu của cựu nhà thầu Cơ quan An ninh Quốc gia Edward Snowden đã đánh cắp và phát hành cho giới truyền thông. Tuy nhiên, đây không phải là câu chuyện lớn duy nhất của năm 2013. Lần đầu tiên, một công ty bảo mật đã đưa ra một trường hợp rõ ràng về cách Trung Quốc gián điệp các doanh nghiệp Mỹ và chính phủ Mỹ chính thức thảo luận vấn đề với chính phủ Trung Quốc. Thực thi pháp luật đã có một số chiến thắng đáng kể, phá vỡ một vòng trộm thẻ tín dụng lớn và bắt giữ người tạo ra Bộ khai thác Blackhole. Vi phạm dữ liệu vẫn tiếp tục, nhưng vi phạm Experian đã nêu bật vấn đề của các nhà môi giới dữ liệu tổng hợp thông tin cá nhân. Người dùng thông thường bắt đầu nói về quyền riêng tư trực tuyến khi người dùng Google Glass ra đường. Các công ty cam kết thực hành bảo mật tốt hơn, chẳng hạn như mã hóa dữ liệu trong quá trình, thực hiện xác thực hai yếu tố và trở nên minh bạch hơn về những thông tin mà nó cung cấp cho chính phủ.

Năm 2013 là một năm bận rộn đối với các chuyên gia bảo mật và cá nhân. Dưới đây là đánh giá về những câu chuyện bảo mật quan trọng trong năm, không theo thứ tự cụ thể.

Chương trình giám sát NSA bí mật

Chúng tôi có thể lấp đầy toàn bộ một cột mà không có gì ngoài những tiết lộ của NSA. Các bài viết ban đầu về chương trình thu thập hồ sơ điện thoại đã đủ gây sốc, nhưng có cảm giác như mỗi tiết lộ tiếp theo bùng nổ hơn trước. Cơ quan này đã theo dõi hoạt động của Web, theo dõi lưu lượng truy cập đến và từ các trung tâm dữ liệu của Google và Yahoo, chặn các lô hàng để cài đặt phần mềm gián điệp và backtime trong thiết bị điện tử, và bị cáo buộc nghe trộm các nhà lãnh đạo của các quốc gia và game thủ khác. Trong khi người đứng đầu NSA, Tướng Keith Alexander tiếp tục khẳng định rằng cơ quan này hành động trong phạm vi của nó và rằng nó cẩn thận để bảo vệ các quyền tự do dân sự, thì những lời kêu gọi cải cách đang ngày càng lớn hơn. Quốc hội đang tranh luận về những gì cần làm về vấn đề của NSA, một thẩm phán liên bang bảo thủ, trong Klayman v. Obama, rằng chương trình hồ sơ điện thoại của NSA có thể vi phạm Điều khoản sửa đổi thứ tư, và hội đồng độc lập do Nhà Trắng lựa chọn đã đề nghị NSA. các chương trình cần phải được giới hạn.

Một nhóm người khổng lồ công nghệ, bao gồm Tim Cook của Apple, Eric Ericidid của Yahoo và Marissa Mayer của Yahoo đã nói chuyện với Tổng thống Barack Obama về những lo ngại của họ về các hoạt động của NSA. AOL, Apple, Facebook, Google, LinkedIn, Twitter, Yahoo và Microsoft đã hợp tác với nhau để yêu cầu rằng trong khi các chính phủ cần phải hành động để bảo vệ sự an toàn và an ninh của công dân, "luật pháp và thông lệ hiện hành cần phải được cải cách."

Nhiều công ty đang phát hành các báo cáo minh bạch để tiết lộ loại thông tin nào họ cung cấp cho chính phủ và dịch vụ email được mã hóa Lavabit ngừng hoạt động để tránh phải trao thông tin về người dùng. RSA, bộ phận bảo mật của EMC, hiện đang bảo vệ danh tiếng của mình sau báo cáo của Reuters rằng họ đã lấy 10 triệu đô la từ NSA để đẩy một thuật toán mã hóa bị xâm phạm trong các sản phẩm bảo mật của mình.

Trung Quốc, Trung Quốc, Trung Quốc

Chúng ta đã bị mê hoặc bởi những làn sóng thông tin về các hoạt động của NSA đến nỗi chúng ta dễ dàng quên rằng chúng ta đã bắt đầu năm 2013 với một báo cáo bùng nổ nêu rõ vai trò của Trung Quốc trong hoạt động gián điệp mạng. Báo cáo APT1 từ Mandiant là tuyên bố dứt khoát đầu tiên rõ ràng đặt ra những gì kẻ tấn công mạng từ Trung Quốc đang làm để đột nhập vào mạng lưới kinh doanh và chính phủ Mỹ. Báo cáo đã phác thảo cách những kẻ tấn công này đánh cắp tài sản trí tuệ, cài đặt các cửa hậu và hệ thống bị hư hại.

Ngay sau khi báo cáo được công bố, nhiều quan chức chính phủ đã lên tiếng về các hoạt động của Trung Quốc. Vào tháng Năm, Báo cáo thường niên của Lầu Năm Góc về Trung Quốc đổ lỗi trực tiếp cho chính phủ quốc gia đó về các cuộc tấn công của chính phủ và quân đội chống lại Mỹ. Tổng thống Obama thậm chí còn đưa ra những lời buộc tội trong cuộc gặp với ông Tập Cận Bình, chủ tịch Trung Quốc. Chính phủ Trung Quốc thậm chí đã cáo buộc Hoa Kỳ về cơ bản làm điều tương tự. (Một chút điềm báo trước cho Snowden?)

Tấn công chống lại các cửa hàng truyền thông

Các phương tiện truyền thông đã bị tấn công trong năm nay, với The New York Times, Washington Post và Wall Street Journal tiết lộ rằng họ đã bị nhiễm phần mềm độc hại tinh vi. Ngón tay của sự nghi ngờ đã chỉ điểm ở đâu khác? Quân đội điện tử Syria đã đi vào một cuộc chiến chống lại các tài khoản Twitter cho The Onion, Guardian và các cửa hàng khác. Bài đăng giả mạo trên tài khoản Twitter của AP, "Breaking: Two Explosions in the White House and Barack Obama bị thương", thậm chí còn gây ra một cú hích nhỏ trên thị trường chứng khoán, với chỉ số Dow Jones tạm thời giảm 140 điểm.

Cuộc tấn công vào trang web New York Times nơi SEA quản lý để thay đổi cài đặt hệ thống tên miền của trang web nêu bật cách kẻ tấn công có thể dễ dàng can thiệp vào các hoạt động Web. BIỂN trong cuộc tấn công này thậm chí không xâm nhập vào mạng. Nhóm đã hoàn thành cuộc tấn công này thông qua lừa đảo giáo.

Tập trung vào bảo mật ứng dụng

Đạo luật Chăm sóc Giá cả phải chăng và triển khai trang web trao đổi chăm sóc sức khỏe đã đưa tầm quan trọng của kiểm tra bảo mật lên hàng đầu. Các chuyên gia bảo mật biết rằng các ứng dụng đã được kiểm tra các vấn đề bảo mật nghiêm trọng như thế nào trước khi phát hành, nhưng khi đồng hồ kêu và thời gian sắp hết để vận chuyển sản phẩm đúng giờ, bảo mật rơi xuống bên cạnh. Một số vấn đề được xác định trong HealthCare.gov sau khi triển khai bị phá hỏng đã làm tăng khả năng những kẻ tấn công sẽ nhắm mục tiêu vào trang web. Có báo cáo rằng các cá nhân đã nhìn thấy thông tin nhạy cảm thuộc về người dùng khác trên trang web.

Các giám đốc điều hành đã theo dõi toàn bộ câu chuyện có lẽ sẽ không nhanh chóng bỏ qua kiểm tra bảo mật vào lần tiếp theo họ có triển khai ứng dụng chính. Hoặc vì vậy chúng tôi hy vọng.

Tấn công từ chối dịch vụ phân tán

DDoS không phải là mới, nhưng năm nay chúng ta đã thấy hai sự phát triển lớn. DDoS thường được sử dụng để chống lại các trang web tài chính, đặc biệt là một phần của Chiến dịch Ababil, nhưng những kẻ tấn công đã mở rộng mục tiêu của chúng để bao gồm các ngành công nghiệp khác. Một trong những cuộc tấn công lớn nhất trong năm là chống lại Spamhaus vào tháng 3, với các đỉnh đạt 300 gbps.

Các vụ bắt giữ tội phạm mạng lớn

Vào tháng Năm, Luật sư Hoa Kỳ cho Quận phía Đông New York vào tháng Năm đã công bố các khoản phí trong một vụ cướp ngân hàng trị giá 45 triệu đô la liên quan đến thông tin tài khoản bị đánh cắp. Băng đảng này bị cáo buộc đã đột nhập vào các tổ chức tài chính để đánh cắp thông tin tài khoản và sau đó rút hàng triệu đô la từ các máy ATM.

Vào tháng 7, Bộ trưởng Tư pháp Hoa Kỳ tại New Jersey đã buộc tội một nhóm tội phạm mạng khác vì vi phạm mạng máy tính của ít nhất 17 nhà bán lẻ, tổ chức tài chính và bộ xử lý thanh toán để đánh cắp hơn 160 triệu số thẻ tín dụng và thẻ ghi nợ. Các mạng được nhắm mục tiêu bao gồm Nasdaq, 7-Eleven, Visa và JC Penney, trong số những người khác.

Chính quyền Nga tuyên bố đã bắt giữ Paunch, người tạo ra Bộ khai thác Blackhole. Các chuyên gia bảo mật tin rằng với vụ bắt giữ, có một khoảng trống tội phạm mạng hiện đang tranh giành để lấp đầy. Alex Watson, giám đốc nghiên cứu bảo mật của Websense cho biết: "Không có sự kế thừa rõ ràng với Blackhole, các băng đảng tội phạm mạng có thể đang đầu tư vào những nơi khác để bù đắp thu nhập bị mất do cơ chế phân phối phần mềm độc hại ít phức tạp hơn".

Tấn công tưới nước

Các cuộc tấn công tưới nước khá nổi bật trong năm nay, với các trang web bị tấn công để thỏa hiệp nhân viên tại các công ty công nghệ lớn như Facebook, Apple, Microsoft và Twitter, cũng như chống lại các nhà thầu quốc phòng và nhân viên chính phủ. Các cuộc tấn công lỗ tưới nước này đã tận dụng các lỗ hổng zero-day trong Internet Explorer, Java và các công nghệ thường được sử dụng khác.

Các cuộc tấn công tưới nước cũng được phát hiện chống lại các nhà hoạt động ủng hộ Tây Tạng, khi những kẻ tấn công nhắm vào những người nói tiếng Trung Quốc đến thăm Cơ quan Trung ương Tây Tạng và Tổ chức Nhà Tây Tạng, cũng như trang web Uyghur do Hiệp hội Hồi giáo Đông Turkistan duy trì.

Vi phạm dữ liệu chuyên gia

Chúng ta có xu hướng nhớ lần vi phạm dữ liệu lớn cuối cùng và quên tất cả những lần khác xảy ra trước đó. Mặc dù vi phạm dữ liệu gần đây mà Target phải chịu, trong đó gần 40 triệu số thẻ tín dụng và thẻ tín dụng bị xâm phạm trong mùa mua sắm là khá lớn, vi phạm dữ liệu đáng sợ nhất liên quan đến thông tin người dùng là vi phạm dữ liệu Experian.

Experian là một trong những tổ chức kinh doanh mua và bán thông tin cá nhân Số điện thoại, địa chỉ, tài khoản ngân hàng. Thông tin này đã được bán cho một nhóm tội phạm ở nước ngoài, theo một cuộc điều tra của nhà văn an ninh Brian Krebs. Vi phạm cũng nhấn mạnh thực tế là nhiều hệ thống xác thực dựa trên kiến ​​thức, nơi mọi người được yêu cầu xác minh danh tính của họ bằng cách nói chiếc xe họ sở hữu hoặc nơi họ từng sống, thậm chí còn dễ bị tổn thương hơn.

Mọi người thức dậy với quyền riêng tư trực tuyến

Khi Google kiểm soát tương lai của công nghệ thiết bị đeo được với làn sóng "thám hiểm" đầu tiên của Google Glass, mọi người đã phát hoảng. Mọi người cuối cùng đã nhận thức được sự nhận diện khuôn mặt và khả năng đăng bất cứ điều gì trực tuyến có thể có trên quyền riêng tư của họ. Là tương lai của công nghệ, nơi không có sự riêng tư, hoặc nơi mọi người có thể được khởi động từ các nhà hàng và các cơ sở khác vì là mối đe dọa cho quyền riêng tư?

Chúng tôi đã hướng tới năm 2014, với dự đoán của chúng tôi về các cuộc tấn công mới, Internet quốc gia, thanh toán trực tuyến, bảo mật di động và Internet of Things. Chào mừng đến năm 2014. Đây sẽ là một năm không chắc chắn hay chiến thắng? Hãy gắn bó với Security Watch trong năm mới khi chúng ta theo dõi những thăng trầm của an ninh.