فيديو: اÙÙضاء - عÙÙ٠اÙÙÙÙ ÙÙÙر٠اÙØاد٠ÙاÙعشرÙÙ (شهر نوفمبر 2024)
حتى أكثر الموتيلات تقدمًا الآن خدمة الواي فاي المجانية. لقد حان لتوقع ذلك. بطبيعة الحال ، نتوقع نفس المستوى من الخدمة في Airbnb أو استئجار آخر لاقتصاد المشاركة. ولكن هناك اختلافًا كبيرًا ، كما هو موضح في حديث Black Hat من قبل الخبير الأمني جيريمي جالواي.
الايجارات على المدى القصير هي Yuuge
قضى جالواي بعض الوقت في ضرب المنزل بحجم سوق الإيجار على المدى القصير. مع حجم السوق المقدر بنحو 100 مليار دولار في السنة ، وهذا يضعه في مكان ما بين كل الإنفاق على الخدمات السحابية (110 مليار دولار) والمبيعات العالمية للكوكايين (85 مليار دولار). أوه ، وصناعة الألعاب في لاس فيغاس؟ هذا حوالي 6.3 مليار دولار.
وذكر أيضًا أن عدد الضيوف الذين استخدموا Airbnb هذا الصيف أكبر من إجمالي سكان اليونان أو السويد أو سويسرا. مع وجود أكثر من 2،000،000 بطاقة Airbnb (أو ، كما وصفها ، أهداف) في جميع أنحاء العالم ، إنها ضخمة للغاية. وقال جالواي: "Airbnb هي آلة نقود ذات شعبية كبيرة". "ولكن أظهرت دراسة أن 40 في المائة من الضيوف اعترفوا بالتطفل أثناء إقامتهم في المنازل التي يزورونها. أقوم بذلك! أتحقق لمعرفة ما هو مغلق وما هو ليس كذلك".
شبكة واحدة تقف
وقال جالواي: "بإمكانك أن تشعر بأنك محترفي الأمن يشعرون بالضحك على شبكة ما. لديك هذا الشعور الأمني السادس بأن الشخص العادي لا يفعل ذلك". "لديّ مقياس من الثقة. شبكتك المنزلية الشخصية ، 100 في المائة. شبكة الجامعة ، حسناً ، لديهم أمن تكنولوجيا المعلومات ، لكن كل هؤلاء الطلاب ، أقول 50 في المائة. وأخيراً ، كشك الفنادق العشوائي هذا هو صفر في المئة ، Airbnb؟ أود أن وضعه حوالي 20 في المئة."
وأشار غالاوي إلى حاسبة التعرض الجنسي على الإنترنت كقياس. خذ عدد الشركاء الذين لديك وعدد الشركاء الذين لديهم ، وسترى عدد الأشخاص الذين تعرضت لهم. "فكر مرتين قبل أن يكون لديك موقف شبكة واحدة" ، قال غالاوي. "إنها عبارة سخيفة ، ولكن المقارنة بين راحة التداول للمخاطرة تبدو منطقية للغاية."
ماذا يمكن أن تفعل المتسللين
مرّ Galloway خلال سلسلة من الهجمات القائمة على جهاز التوجيه خلال السنوات القليلة الماضية. DNSChanger ، دودة القمر ، BlackMoon ، كل هذه عملت عن طريق إجراء تغييرات عن بعد في أجهزة توجيه الضحايا. نقلت غالاوي عن بطل الأمن دان جير قوله إن وضع جهاز التوجيه حساس مثل تسرب البنزين في مركز تجاري مغلق. قال غالاوي: "بالنسبة لي ، أقول إن أمان جهاز التوجيه هو ملف قمامة مستعر."
بالطبع ، تلك الهجمات اللازمة لإدخالها بطريقة أو بأخرى في جهاز التوجيه عن بعد. عندما يكون للمهاجم حق الوصول المادي ، كما هو الحال في استئجار قصير الأجل ، فإن ذلك يغير كل شيء. أظهر غالاوي جهاز التوجيه APT الخاص به. لا ، ليس التهديد المستمر المتقدم ؛ تهوية مشبك متقدمة. "ليس عليك أن تكون ماكجيفر" ، قال غالاوي. "استخدم مشبكًا ثنيًا لإعادة ضبط جهاز التوجيه وقمت بإزالة طبقة كاملة من الأمان. لا يتطلب أي من ذلك شن هجمات في يوم الصفر أو رمز استغلال مجنون."
إنها تزداد سوءا ، أسوأ بكثير. يمكن للشخص الذي لديه وصول فعلي إلى جهاز التوجيه التقاط بياناتك الحساسة وتعديل البيانات الموثوقة وحقن البيانات والمزيد. قال غالاوي: "نعم ، لا يزداد الأمر سوءًا".
لقد استمر في سرد عدد مذهل من الأشياء التي يمكنك القيام بها لاختراق جهاز التوجيه ، مع إعطاء إمكانية الوصول الفعلي ، والتي تتراوح من مزعج إلى كارثي. يمكنك تهيئة جهازك كمسؤول عن بُعد ومراقبة جهاز التوجيه بعد أسابيع من زيارتك. يمكنك استخراج جميع كلمات مرور الجهاز باستخدام أداة بسيطة. قم بتعيين نفسك كخادم سجل وترى كل حركة المرور بشكل سلبي.
على الجانب المفزع ، يمكنك تعيين خادم خاص بك كخادم DNS الخاص بالموجه. يعمل ذلك على تمكين هجمات man-in-the-middle التي يمكنها سرقة المعلومات الخاصة من أي شخص يتصل عبر جهاز التوجيه. "لا يمكنك استهداف الأفراد الذين يقومون بهذه الهجمات" ، كما يشير غالاوي ، "لكن يمكنك استهداف المؤتمرات والأماكن القريبة من القواعد العسكرية ومكاتب الشركات". وبالإشارة إلى كلمة دان كامينسكي الرئيسية ، قال: "تتجه ICANN إلى أبعد الحدود لجعل DNS آمنًا. أنت تحمي DNS الخاص بك من خلال lulz ورغبات".
ما تستطيع فعله
لا يزال بإمكانك استخدام Airbnb والإيجارات قصيرة الأجل ، ولكن إذا قمت بتسجيل الدخول ، احم نفسك. وكان غالواي قائمة الغسيل اقتراحات. Hardcode DNS في جميع أجهزتك. إيقاف تشغيل الوكيل التلقائي اكتشاف. استخدام VPN. قم بإيقاف تشغيل Wi-Fi إذا كان جهازك يحتوي على بيانات خلوية. قم بتوصيل أجهزتك الأخرى بهاتفك كنقطة اتصال شخصية (ما عليك سوى تتبع استخدام بيانات الهاتف المحمول). تمكين المصادقة ثنائية العوامل حيثما كان ذلك متاحًا.
وقال جالواي: "هذا تقني ، لكن هناك طريقة أكثر أهمية". "غيِّر الطريقة التي تتعامل بها. نصيحتي الوحيدة - شاهد السيد Robot! ستتعرض لنفسك لمزيد من الأمان من 99 بالمائة من السكان. ستكون في المئة بالمائة العليا!"
ما يمكن أن أصحاب العقارات القيام به
إذا كان زوار استئجار Airbnb الخاص بك يأتون إلى المنزل مع البرامج الضارة ، فلن يمنحك تقييمًا جيدًا. وقد تعتمد جيدًا على نفس الشبكة بنفسك ، إذا كان استئجارك مجرد غرفة في منزلك. قال غالاوي: "أفضل نصيحة لي هي إزالة الوصول الفعلي. قفل جهاز التوجيه في خزانة أو غرفة آمنة. قفله في حاوية إلكترونية. أقول أنه للمتسللين ويقولون ، ها ، يمكنني اختيار هذا القفل في خمس دقائق ، نعم ، ليس الهدف هو خلق أمان مثالي ، بل الحفاظ على أمناء الناس ".
"حتى يمكنك التفكير في عدم تقديم خدمة الواي فاي" ، تابع جالواي. "أو احصل على خط منفصل للنطاق الترددي المنخفض للضيوف فقط. إنه حساب أعمال. يمكنك إجراء النسخ الاحتياطي واستعادة إعدادات جهاز التوجيه بشكل روتيني. وإضافة قسم أمان عبر الإنترنت إلى دليل الضيف الخاص بك."
لا أخبار جيدة
واختتم غالاوي قائلاً: "لا يمكنني أن أترككم مع أخبار سارة". "المشكلة لا تنتهي. كل عام منذ عام 2011 كان" عام الاختراق "، ويرجع ذلك في الغالب إلى SQL Injection. و SQL Injection موجود منذ عام 1998. لا يوجد تصحيح أو تحديث أو إصلاح سهل."
كل ما يمكنني قوله هو ، واو. إذا كنت ترغب في البحث للحصول على التفاصيل الفنية الكاملة ، سواء لحماية نفسك بشكل أفضل أو أن تصبح متسلل جهاز توجيه منزلي ، اقرأ العرض التقديمي الكامل لـ Galloway.