قصص أمنية مهمة لعام 2013

إذا نظرنا إلى الوراء ، بدا عام 2013 وكأنه أداة لفافة ، حيث كنا ننتقل من الأخبار الجيدة إلى الأخبار السيئة كل بضعة أسابيع: خروقات البيانات ، والخصوصية ، والتجسس الإلكتروني ، والتجسس الحكومي ، والبرامج الضارة المتقدمة ، والاعتقالات الكبيرة ، وميزات الأمان المحسنة ، إلخ.

تدور أحداث القصة الأكبر - أو بالأحرى - سلسلة من القصص حول العام حول الوثائق التي سرقها المقاول السابق لوكالة الأمن القومي إدوارد سنودن وتم إصدارها إلى وسائل الإعلام. ومع ذلك ، لم تكن هذه هي القصة الرئيسية الوحيدة لعام 2013. ولأول مرة ، وضعت شركة أمنية حالة محددة حول كيفية تجسس الصين على الشركات الأمريكية ، وقد ناقشت الحكومة الأمريكية المشكلة مع الحكومة الصينية رسميًا. حقق تطبيق القانون بعض الانتصارات المهمة ، حيث قام بتفكيك حلقة سرقة بطاقة ائتمان كبيرة واعتقال منشئ Blackhole Exploit Kit. استمرت خروقات البيانات ، لكن خرق اكسبريان أبرز مشكلة وسطاء البيانات الذين يجمعون المعلومات الشخصية. بدأ المستخدمون العاديون يتحدثون عن الخصوصية عبر الإنترنت عندما ينطلق مستخدمو Google Glass في الشوارع. الشركات الملتزمة بممارسات أمنية أفضل ، مثل تشفير البيانات أثناء النقل ، وتطبيق المصادقة ثنائية العوامل ، وتصبح أكثر شفافية بشأن المعلومات التي توفرها للحكومة.

كان عام 2013 مزدحمًا للمهنيين الأمنيين والأفراد على حد سواء. فيما يلي استعراض لأخبار الأمان المهمة لهذا العام ، بدون ترتيب معين.

برامج مراقبة الأمن القومي السرية

يمكن أن نملأ عمودًا بكامله دون أي شيء آخر. كانت المقالات الأولية حول برنامج جمع سجلات الهاتف مروعة بشكل كافٍ ، لكن يبدو أن كل كشف تالٍ كان أكثر تفجراً من ذي قبل. تجسست الوكالة على نشاط الويب ، وتطفلت حركة المرور من وإلى مراكز بيانات غوغل وياهو ، واعترضت الشحنات لتركيب برامج التجسس والخلف في المعدات الإلكترونية ، وزعمت أنها تنصت على قادة البلدان الأخرى واللاعبين. بينما يواصل رئيس كتيبة الأمن القومي الجنرال كيث ألكساندر الإصرار على أن الوكالة تتصرف داخل حدودها وأنها كانت حريصة على الحفاظ على الحريات المدنية ، فإن الدعوات إلى الإصلاح تتزايد. يناقش الكونغرس ما يجب فعله بشأن مشكلة ضمانات الأمن السلبية ، فقد حكم قاضٍ اتحادي محافظ ، في قضية كلايمان ضد أوباما ، بأن برنامج سجلات الهاتف التابع لوكالة الأمن القومي ربما ينتهك التعديل الرابع ، وأوصت اللجنة المستقلة التي اختارها البيت الأبيض وكالة الأمن القومي تحتاج البرامج إلى تقليصها.

تحدثت مجموعة من عمالقة التكنولوجيا ، بما في ذلك تيم كوك من آبل ، وإريك شميدت من جوجل ، وماريسا ماير من ياهو مع الرئيس باراك أوباما حول مخاوفهم بشأن أنشطة وكالة الأمن القومي. اجتمعت AOL و Apple و Facebook و Google و LinkedIn و Twitter و Yahoo و Microsoft معًا للمطالبة بأنه بينما يتعين على الحكومات اتخاذ إجراءات لحماية سلامة وأمن مواطنيها ، "يجب إصلاح القوانين والممارسات الحالية".

تقوم المزيد من الشركات بإصدار تقارير الشفافية للكشف عن نوع المعلومات التي تقوم بتسليمها إلى الحكومة ، ويتم إيقاف تشغيل خدمة البريد الإلكتروني المشفرة Lavabit لتفادي الاضطرار إلى تسليم معلومات حول مستخدميها. RSA ، قسم الأمن في EMC ، يدافع حاليًا عن سمعته في أعقاب تقرير لوكالة رويترز بأن الأمر استغرق 10 ملايين دولار من وكالة الأمن القومي لدفع خوارزمية تشفير معرضة للخطر في منتجاتها الأمنية.

الصين ، الصين ، الصين

لقد استحوذنا على الكثير من المعلومات الهائلة حول أنشطة وكالة الأمن القومي بحيث أصبح من السهل أن ننسى أننا بدأنا عام 2013 بتقرير متفجر يحدد دور الصين في التجسس الإلكتروني. كان تقرير APT1 الصادر عن Mandiant أول بيان نهائي يوضح بوضوح ما كان المهاجمون الإلكترونيون من الصين يقومون به لاقتحام شبكات الأعمال والحكومة الأمريكية. أوضح التقرير كيف سرق هؤلاء المهاجمون الملكية الفكرية ، وقاموا بتركيب أجهزة خلفية ، وأنظمة تالفة.

بعد وقت قصير من نشر التقرير ، تحدث العديد من المسؤولين الحكوميين عن أنشطة الصين. في شهر مايو ، ألقى تقرير البنتاغون السنوي حول الصين باللوم المباشر على حكومة تلك الدولة في الهجمات الحكومية والعسكرية ضد الولايات المتحدة. أثار الرئيس أوباما هذه الاتهامات خلال اجتماع مع شي جين بينغ ، رئيس الصين. حتى أن الحكومة الصينية اتهمت الولايات المتحدة بالقيام بنفس الشيء. (قليلا من ينذر لسنودين؟)

الهجمات ضد وسائل الإعلام

تعرضت وسائل الإعلام لهجوم هذا العام ، حيث كشفت صحيفة نيويورك تايمز وواشنطن بوست وول ستريت جورنال عن إصابة المصابين ببرامج ضارة متطورة. أشار إصبع الشك - إلى أي مكان آخر؟ - الصين. انطلق الجيش الإلكتروني السوري في حسابات تويتر ضد البصل ، الجارديان ، ومنافذ البيع الأخرى. نشر المقال المزيف على حساب AP على تويتر ، "كسر: انفجاران في البيت الأبيض وجرح باراك أوباما" ، حتى تسببت في بعض الشيء في سوق الأوراق المالية ، مع تراجع مؤشر داو جونز مؤقتًا بمقدار 140 نقطة.

إن الهجوم على موقع New York Times الإلكتروني حيث تمكنت SEA من تغيير إعدادات نظام أسماء النطاقات للموقع سلط الضوء على مدى سهولة تدخل المهاجمين في عمليات الويب. لم يخترق SEA في هذا الهجوم الشبكة - فقد أنجزت المجموعة هذا الهجوم عبر التصيد العشوائي.

التركيز على أمان التطبيق

جلب قانون الرعاية بأسعار معقولة ونشر موقع تبادل الرعاية الصحية أهمية اختبار الأمان في المقدمة. يعرف اختصاصيو الأمان مدى أهمية اختبار التطبيقات لمشكلات الأمان قبل بدء البث المباشر ، ولكن عندما تنقضي الساعة وينفد الوقت لشحن المنتج في الوقت المحدد ، يقع الأمان على جانب الطريق. أثارت بعض المشكلات التي تم تحديدها في HealthCare.gov بعد تعثرها الفاشل احتمال استهداف المهاجمين للموقع. كانت هناك تقارير تفيد بأن الأفراد كانوا يشاهدون معلومات حساسة تخص مستخدمين آخرين على الموقع.

ربما لن يكون المسؤولون التنفيذيون الذين تابعوا الملحمة بأكملها سريعين لتخطي اختبار الأمان في المرة القادمة التي لديهم فيها تطبيق رئيسي. أو هكذا نأمل.

هجمات الحرمان من الخدمة الموزعة

DDoS ليست جديدة ، لكن هذا العام شهدنا تطورين رئيسيين. تم استخدام DDoS بشكل متكرر ضد المواقع المالية ، وخاصة كجزء من عملية Ababil ، لكن المهاجمين وسّعوا أهدافهم لتشمل صناعات أخرى. كانت واحدة من أكبر الهجمات التي وقعت في العام ضد Spamhaus في مارس ، حيث بلغت القمم 300 جيجابت في الثانية.

الاعتقالات الرئيسية للجرائم الإلكترونية

في شهر مايو ، أعلن المحامي الأمريكي في المنطقة الشرقية من نيويورك في شهر أيار (مايو) عن فرض رسوم في سرقة بنك بقيمة 45 مليون دولار تتضمن معلومات حساب مسروقة. زعم أن العصابة اخترقت المؤسسات المالية لسرقة معلومات الحساب ثم سحبت ملايين الدولارات من أجهزة الصراف الآلي.

في يوليو / تموز ، اتهم المدعي العام للولايات المتحدة في نيوجيرزي حلقة أخرى من الجرائم الإلكترونية لخرق شبكات الكمبيوتر لما لا يقل عن 17 من كبار تجار التجزئة والمؤسسات المالية ومعالجات الدفع لسرقة أكثر من 160 مليون من أرقام بطاقات الائتمان والخصم. وشملت الشبكات المستهدفة ناسداك ، 7-Eleven ، Visa ، و JC Penney ، من بين آخرين.

زعمت السلطات الروسية أنها ألقت القبض على باونتش ، مؤسس Blackhole Exploit Kit. يعتقد خبراء الأمن أنه مع القبض على ، هناك مجرمي الإنترنت باطلة يتدافعون حاليا لملء الفراغ. وقال أليكس واتسون ، مدير أبحاث الأمن في Websense: "مع عدم وجود خلف واضح لبلاكهول ، ربما تستثمر العصابات الإجرامية الإلكترونية في أماكن أخرى للتعويض عن الدخل المفقود بسبب آليات تسليم أقل تطوراً للبرامج الضارة".

الهجمات سقي هول

كانت هجمات "سقي الحفرة" بارزة إلى حد كبير هذا العام ، حيث تم اختراق مواقع الويب لتقديم تنازلات للعاملين في شركات التقنية الكبرى مثل Facebook و Apple و Microsoft و Twitter ، وكذلك ضد مقاولي الدفاع والموظفين الحكوميين. استفادت هجمات ثقب الري هذه من نقاط الضعف في اليوم صفر في Internet Explorer و Java والتقنيات الأخرى الشائعة الاستخدام.

كما تم اكتشاف هجمات ثقب الري ضد النشطاء المؤيدين للتبت ، حيث استهدف المهاجمون الناطقين باللغة الصينية الذين يزورون إدارة التبت المركزية ومؤسسة منازل التبت ، بالإضافة إلى موقع الأويغور على الإنترنت الذي تديره الجمعية الإسلامية لتركستان الشرقية.

اكسبريان خرق البيانات

نميل إلى تذكر آخر خرق للبيانات الرئيسية وننسى جميع الخروقات الأخرى التي جاءت من قبل. في حين أن الخرق الأخير للبيانات الذي عانى منه Target والذي تعرض فيه ما يقرب من 40 مليون من أرقام بطاقات الائتمان والخصم خلال موسم التسوق للعطلات كبير للغاية ، فإن خرق البيانات الأكثر رعبا الذي يتضمن معلومات المستخدم كان خرق بيانات Experian.

تعتبر Experian واحدة من المؤسسات العاملة في مجال بيع وشراء المعلومات الشخصية - أرقام التأمين الاجتماعي والعناوين وتفاصيل الحساب المصرفي. تم بيع هذه المعلومات إلى عصابة إجرامية في الخارج ، وفقًا للتحقيق الذي أجراه الكاتب الأمني ​​برايان كريبس. أبرز الاختراق أيضًا حقيقة أن العديد من أنظمة المصادقة المستندة إلى المعرفة ، حيث يُطلب من الناس التحقق من هويتهم عن طريق تحديد السيارة التي يملكونها ، أو المكان الذي كانوا يعيشون فيه ، أصبحت الآن أكثر عرضة للخطر.

الناس يستيقظون على الخصوصية عبر الإنترنت

عندما قامت Google بالكشف عن مستقبل التكنولوجيا القابلة للارتداء من خلال الموجة الأولى من "المستكشفين من Google Glass" ، كان الناس يخافون. أدرك الناس أخيرًا تأثير التعرف على الوجه والقدرة على نشر أي شيء عبر الإنترنت على خصوصيتهم. هل مستقبل التقنية هو المستقبل الذي لا توجد فيه خصوصية ، أو حيث يمكن تمهيد الأشخاص من المطاعم والمؤسسات الأخرى لكونهم يمثلون تهديدًا للخصوصية؟

لقد تطلعنا بالفعل إلى عام 2014 ، مع توقعاتنا لهجمات جديدة ، وإنترنت وطني ، والمدفوعات عبر الإنترنت ، وأمن المحمول ، وإنترنت الأشياء. مرحبًا بكم في عام 2014. هل ستكون سنة من عدم اليقين أو الانتصارات؟ تواصل مع Security Watch في العام الجديد ونحن نتابع تقلبات الأمان.