ビデオ: æ ±äº¬å °ç¨®ã ã ¼ã 㠧㠼㠰㠼㠫 еру агкн ща Пщв Ршьыуда (五月 2024)
最も熱心なモーテルでさえ、無料のWi-Fiを提供しています。 期待するようになりました。 そのため、当然、Airbnbまたは別の共有経済レンタルで同じレベルのサービスを期待しています。 しかし、セキュリティの専門家ジェレミー・ギャロウェイによるブラックハットの講演で明らかにされたように、違い、大きな違いがあります。
短期レンタルは有能です
ギャロウェイは、短期のレンタル市場がどれほど大きなものであるかをある程度突き止めました。 市場規模は年間1, 000億ドルと推定されており、クラウドサービスへのすべての支出(1, 100億ドル)とコカインの世界的な売上高(850億ドル)の間に位置しています。 ああ、ラスベガスのゲーム業界はどうですか? それは約63億です。
彼はまた、ギリシャ、スウェーデン、スイスの全人口よりも多くのゲストがこの夏にAirbnbを使用したと述べました。 世界中に2, 000, 000を超えるAirbnbのリスト(または、彼がターゲットと呼んでいるように)があり、それは非常に巨大です。 「Airbnbは大人気のマネーマシンです」とGalloway氏は述べています。 「しかし、調査によると、訪問者の40%が訪問先の家に居ながらスヌーピングを認めていることがわかりました。私はやっています!何がロックされていて何がロックされていないかを確認します。」
ワンネットワークスタンド
「セキュリティの専門家は、ネットワーク上で面白い感情を覚えることができます。平均的な人がそうではないという、このセキュリティの6番目の感覚があります」とGalloway氏は言います。 「私には信頼のスケールがあります。個人のホームネットワークは100%です。大学のネットワークはITセキュリティを備えていますが、すべての学生は50%です。最後に、ランダムなホテルキオスクはゼロです。 Airbnb?私はそれを約20パーセント置いたでしょう。」
ギャロウェイは、類推としてオンラインの性的露出計算機を指摘しました。 あなたが持っているパートナーの数と 彼らが 持っているパートナーの数を取ると、あなたがさらされている人の数がわかります。 「ネットワークが1つになる前に、もう一度考えてみてください」とGallowayは言いました。 「これは馬鹿げたフレーズですが、リスクとトレードの利便性の比較は非常に理にかなっています。」
ハッカーにできること
ギャロウェイは、過去数年にわたって、ルーターベースの攻撃を繰り返し実行しました。 DNSChanger、Moonワーム、BlackMoon、これらはすべて、被害者のルーターをリモートで変更することで機能しました。 ギャロウェイは、セキュリティのスーパーヒーローであるダンギアが、ルーターの状況は、囲まれたショッピングモールでのガソリンの流出と同じくらい気難しいと言っていると述べました。 「私については、ルーターのセキュリティは荒々しいごみ箱ファイルだと思います」とGallowayは言いました。
もちろん、これらの攻撃は、何らかの形でリモートからルーターに侵入する必要がありました。 短期レンタルのように、攻撃者が物理的にアクセスできる場合、すべてが変わります。 Gallowayは彼の署名ルーターAPTを実演しました。 いいえ、高度な持続的脅威ではありません。 高度な ペーパークリップの 脅威。 「MacGyverである必要はありません」とGallowayは言いました。 「曲がったクリップを使用してルーターをリセットすると、セキュリティのレイヤー全体が削除されます。これには、ゼロデイ攻撃やクレイジーなエクスプロイトコードは必要ありません。」
さらに悪化します。 ルーターに物理的にアクセスできる人は、機密データのキャプチャ、信頼できるデータの変更、データの挿入などを行うことができます。 「そうだ」とギャロウェイは言った、「それほど悪くなることはない」。
彼は、迷惑なものから悲惨なものまで、物理的なアクセスを考慮して、ルーターをハッキングするためにできることを驚くほど多くリストアップしました。 自分のデバイスをリモート管理者として設定し、訪問後数週間でルーターを監視できます。 簡単なツールを使用して、すべてのデバイスパスワードを抽出できます。 自分をログサーバーとして設定すると、すべてのトラフィックが受動的に表示されます。
もっと怖いのは、独自のサーバーをルーターのDNSサーバーとして設定することです。 これにより、ルーターを介して接続している人から個人情報を盗む中間者攻撃が可能になりました。 「これらの攻撃で個人を標的にすることはできません。しかし、会議、軍事基地の近くの場所、企業オフィスを標的にすることはできます。」 Dan Kaminskyの基調講演を参照して、彼は、「ICANNはDNSを安全にするために途方もない長さになります。あなたはDNSをlulzと願いで保護します」と述べました。
できること
Airbnbと短期レンタルを引き続き使用できますが、ログオンする場合は保護してください。 ギャロウェイには、提案のランドリーリストがありました。 すべてのデバイスでDNSをハードコードします。 自動プロキシ検出をオフにします。 VPNを使用します。 デバイスに携帯電話データがある場合は、Wi-Fiをオフにします。 他のデバイスを個人のホットスポットとして携帯電話につなぎます(モバイルデータの使用状況を追跡するだけです)。 利用可能な場合はいつでも、二要素認証を有効にします。
「それは技術的ですが、もっと重要な何かがあります」とギャロウェイは言いました。 「インターフェイスの方法を変えてください。私のアドバイスの1つです。Mr。Robotをご覧ください。人口の99%を超えるセキュリティにさらされることになります。トップ1%になります!」
財産所有者にできること
Airbnbレンタルの訪問者がマルウェアを持ち帰ると、良いレビューは得られません。 そして、レンタルがあなたの家のただの部屋であるなら、あなたはその同じネットワークにあなた自身を頼ることができます。 「私の最高のアドバイスは、物理的なアクセスを排除することです。クローゼットまたはセキュリティで保護された部屋にルーターをロックします。電子エンクロージャーにロックします。ハッカーに言います。 5分でロックされます。はい。ポイントは、完璧なセキュリティを作成することではなく、人々を正直に保つことです。」
「Wi-Fiを提供しないことも検討できます」とGalloway氏は続けます。 「または、ゲスト専用の低帯域幅回線を別途用意します。これはビジネス上の費用です。ルーターの設定を定期的にバックアップおよび復元します。また、ゲストガイドにオンラインの安全セクションを追加します。」
良いニュースはありません
「私はあなたに良いニュースを残すことはできません」とギャロウェイは結論付けました。 「問題は解決していません。2011年以来、毎年「主な侵害の年」であり、そのほとんどはSQLインジェクションによるものです。SQLインジェクションは1998年から存在します。
私が言えることは、すごいです。 技術的な詳細を掘り下げたい場合は、自分自身をよりよく保護するか、ホームルーターハッカーになりたいかどうかにかかわらず、ギャロウェイの完全なプレゼンテーションをお読みください。
