Video: Utleieeksperten Webinar (Oktober 2024)
Selv de mest frodige motellene tilbyr nå gratis Wi-Fi. Vi har forventet det. Så naturlig nok forventer vi det samme servicenivået på en Airbnb eller en annen leieøkonomi. Men det er en forskjell, en enorm forskjell, slik det ble tydeliggjort i en Black Hat-snakk av sikkerhetsekspert Jeremy Galloway.
Kortsiktig utleie er Yuuge
Galloway brukte litt tid på å hamre hjem hvor stort det kortsiktige leiemarkedet er. Med markedsstørrelsen anslått til å være 100 milliarder dollar per år, gir det et sted mellom alle utgiftene til skytjenester (110 milliarder dollar) og det globale salget av kokain (85 milliarder dollar). Å, og spillindustrien i Las Vegas? Det er omtrent 6, 3 milliarder kroner.
Han uttalte også at flere gjester brukte Airbnb i sommer enn hele befolkningen i Hellas, Sverige eller Sveits. Med over 2.000.000 Airbnb-oppføringer (eller, som han kalte dem, mål) over hele verden, er det helt enormt. "Airbnb er en veldig populær pengemaskin, " sa Galloway. "Men en studie viste at 40 prosent av gjestene innrømmet å ha snoket mens de bodde i hjemmene de besøker. Jeg gjør det! Jeg sjekker om det er låst og hva som ikke er det."
Ett nettverk står
"Dere sikkerhetsfagfolk kan få en morsom følelse i et nettverk. Du har denne sjette sikkerhetsfølelsen som den gjennomsnittlige personen ikke gjør, " sa Galloway. "Jeg har en skala av tillit. Ditt personlige hjemmenettverk, det er 100 prosent. Et universitetsnettverk, vel, de har IT-sikkerhet, men alle disse studentene, vil jeg si 50 prosent. Endelig, den tilfeldige hotellkiosken, det er null prosent. Airbnb? Jeg vil si det omtrent 20 prosent."
Galloway pekte på en online seksuell eksponeringskalkulator som en analogi. Ta antall partnere du har hatt og antall partnere de har hatt, og du ser hvor mange mennesker du har blitt utsatt for. "Tenk to ganger før du har et nettverksstativ, " sa Galloway. "Det er en tåpelig frase, men sammenligningen av handelskomfort for risiko gir mye mening."
Hva hackere kan gjøre
Galloway løp gjennom en litany av rutebaserte angrep de siste årene. DNSChanger, Månen ormen, BlackMoon, alle disse arbeidet med eksternt å gjøre endringer i ofrenes rutere. Galloway siterte sikkerhetssuperhelten Dan Geer som sa at rutersituasjonen er like touchy som et bensinsøl i et lukket kjøpesenter. "Når det gjelder meg, " sa Galloway, "jeg vil si rutersikkerhet er en rasende dumpster-fil."
Selvfølgelig, disse angrepene trengte på en eller annen måte visse inn ruteren eksternt. Når angriperen har fysisk tilgang, som i en korttidsutleie, endrer det alt. Galloway demonstrerte sin signaturruter APT. Nei, ikke avansert vedvarende trussel; Advanced Paperclip Threat. "Du trenger ikke å være MacGyver, " sa Galloway. "Bruk en bøyd binders for å tilbakestille ruteren, og du fjerner et helt lag med sikkerhet. Ikke noe av dette krever angrep på null dager eller gal utnyttingskode."
Det blir verre, mye verre. Noen som har fysisk tilgang til ruteren, kan fange opp sensitive data, endre pålitelige data, injisere data og mer. "Ja, " sa Galloway, "det blir ikke så mye verre."
Han fortsatte med å liste opp utrolig mange ting du kan gjøre for å hacke en ruter, gitt fysisk tilgang, alt fra irriterende til katastrofalt. Du kan konfigurere din egen enhet som en ekstern administrator og overvåke ruteren uker etter besøket. Du kan trekke ut alle enhetspassord med et enkelt verktøy. Sett deg selv som en loggserver, så ser du passivt all trafikk.
På den skumlere siden kan du angi en egen server som ruteren sin DNS-server. Dette aktiverte angrep fra midten til midten som kan stjele privat informasjon fra alle som kobler seg gjennom ruteren. "Du kan ikke målrette individer med disse angrepene, " bemerket Galloway, "men du kan målrette mot konferanser, lokaliteter i nærheten av militærbaser, bedriftskontorer." Han refererte til Dan Kaminskys hovedtaler, og sa: "ICANN går i vanvittige mål for å gjøre DNS trygt. Du beskytter DNS-en din med lulz og ønsker."
Hva du kan gjøre
Du kan fortsatt bruke Airbnb og korttidsleie, men hvis du logger deg på, beskytt deg. Galloway hadde en klesvaskliste med forslag. Hardcode DNS på alle enhetene dine. Slå av automatisk proxy-oppdagelse. Bruk en VPN. Slå av Wi-Fi hvis enheten din har mobildata. Koble dine andre enheter til telefonen din som et personlig hotspot (bare følg med på mobildatabruk). Aktiver tofaktorautentisering der den er tilgjengelig.
"Det er teknisk, men det er noe viktigere, " sa Galloway. "Endre måten du grensesnitter på. Mitt eneste råd - se Mr. Robot! Du vil utsette deg for mer sikkerhet enn 99 prosent av befolkningen. Du vil være i topp en prosent!"
Hva eiendomseiere kan gjøre
Hvis besøkende på din Airbnb-utleie kommer hjem med skadelig programvare, vil de ikke gi deg en god anmeldelse. Og du kan godt stole på det samme nettverket selv, hvis utleien bare er et rom i huset ditt. "Mitt eneste beste råd, " sa Galloway, "er å fjerne fysisk tilgang. Lås ruteren i et skap eller et sikret rom. Lås den i et elektronisk kabinett. Jeg sier det til hackere og de sier, ha, jeg kan velge den låsen på fem minutter. Ja. Poenget er ikke å skape perfekt sikkerhet, det er å holde folk ærlige."
"Du kan til og med vurdere å ikke tilby Wi-Fi, " fortsatte Galloway. "Eller få en egen linje med lav båndbredde bare for gjester. Det er en forretningsutgift. Sikkerhetskopier og gjenopprett ruteren innstillinger rutinemessig. Og legg til en sikkerhetsseksjon på nettet i gjesteguiden din."
Ingen gode nyheter
"Jeg kan ikke forlate deg med gode nyheter, " konkluderte Galloway. "Problemet forsvinner ikke. Hvert år siden 2011 har vært 'året for bruddet', mest på grunn av SQL Injection. Og SQL Injection har eksistert siden 1998. Det er ingen patch, oppdatering eller enkel løsning."
Alt jeg kan si er wow. Hvis du vil grave deg inn for å få de fulle tekniske detaljene, om du vil beskytte deg selv bedre eller for å bli en hjemme-ruterhacker, kan du lese Galloways fulle presentasjon.
