Viktige sikkerhetshistorier fra 2013

Når jeg ser tilbake, føltes 2013 som en berg-og-dal-bane, da vi slynget oss fra gode nyheter til dårlige nyheter med noen uker: Datainnbrudd, personvern, cyber-spionasje, spionering fra myndighetene, avansert malware, betydelige arrestasjoner, forbedrede sikkerhetsfunksjoner, etc.

Årets største historie - eller rettere sagt - serier med historier - dreier seg om dokumentene eks-National Security Agency-entreprenøren Edward Snowden stjal og ble gitt ut til media. Det var imidlertid ikke den eneste store historien fra 2013. For første gang la et sikkerhetsselskap ut en klar sak om hvordan Kina spionerer etter amerikanske virksomheter, og den amerikanske regjeringen diskuterte offisielt problemet med den kinesiske regjeringen. Rettshåndhevelse hadde noen betydelige seirer, og brøt opp en stor tyveri med kredittkort og arresterte skaperen av Blackhole Exploit Kit. Datainnbrudd fortsatte, men Experian-bruddet fremhevet problemet med datameglere som samler personlig informasjon. Vanlige brukere begynte å snakke om personvern på nettet da Google Glass-brukere slo gatene. Selskaper forpliktet seg til bedre sikkerhetspraksis, for eksempel å kryptere data under transport, implementere tofaktorautentisering og bli mer oversiktlig om hvilken informasjon den gir regjeringen.

2013 var travelt for både fagfolk og sikkerhet. Her er en gjennomgang av årets betydningsfulle sikkerhetshistorier, i ingen spesiell rekkefølge.

Hemmelige NSA overvåkningsprogrammer

Vi kunne fylle en hel kolonne uten annet enn NSA-avsløringene. De første artiklene om samleprogrammet for telefonregistrene var sjokkerende nok, men det føles som hver påfølgende åpenbaring er mer eksplosiv enn før. Byrået spionerte på nettaktivitet, snappet trafikk til og fra Google og Yahoo datasentre, fanget forsendelser for å installere spyware og bakdører i elektronikkutstyr og angivelig avlyttes ledere i andre land og spillere. Mens NSA-sjef general Keith Alexander fortsetter å insistere på at byrået opptrer innenfor sine grenser og at det var nøye med å bevare sivile friheter, blir oppfordringene til reformer sterkere. Kongressen diskuterer hva de skal gjøre med problemet med NSA, en konservativ føderal dommer uttalte i Klayman v. Obama at NSAs telefonregistreringsprogram muligens krenket det fjerde endringsforslaget, og det uavhengige panelet valgt av Det hvite hus anbefalte NSA programmer må begrenses.

En gruppe tech-giganter, inkludert Apples Tim Cook, Googles Eric Schmidt, og Yahoos Marissa Mayer snakket med president Barack Obama om deres bekymring for NSAs aktiviteter. AOL, Apple, Facebook, Google, LinkedIn, Twitter, Yahoo og Microsoft gikk sammen for å kreve at mens regjeringene trenger å iverksette tiltak for å beskytte innbyggernes sikkerhet og sikkerhet, må "gjeldende lover og praksis reformeres."

Flere selskaper slipper gjennomsiktighetsrapporter for å røpe hvilken type informasjon de overlater til regjeringen, og den krypterte e-posttjenesten Lavabit stengte for å unngå å måtte utlevere informasjon om brukerne. RSA, sikkerhetsdivisjonen til EMC, forsvarer for øyeblikket sitt rykte etter en Reuters-rapport om at det tok 10 millioner dollar fra NSA for å presse en kompromittert kryptografisk algoritme i sikkerhetsproduktene sine.

Kina, Kina, Kina

Vi har blitt så begeistret av bølgene med informasjon som kommer ut om NSAs aktiviteter at det er lett å glemme at vi begynte 2013 med en eksplosiv rapport som beskriver Kinas rolle i cyber-spionasje. APT1-rapporten fra Mandiant var den første endelige uttalelsen som tydelig la ut hva cyberangrepere fra Kina gjorde for å bryte inn i amerikanske forretnings- og regjeringsnettverk. Rapporten skisserte hvordan disse angriperne stjal intellektuell eiendom, installerte bakdører og skadede systemer.

Kort tid etter at rapporten ble utgitt, snakket forskjellige myndighetspersoner om Kinas aktiviteter. I mai beskyldte Pentagons årsrapport om Kina den nasjonens regjering for regjerings- og militære angrep mot USA. President Obama tok til og med opp beskyldningene under et møte med Xi Jinping, Kinas president. Den kinesiske regjeringen anklaget til og med USA for å gjøre det samme. (En liten bit av å skygge for Snowden?)

Angrep mot medier

Media kom under angrep i år, mens The New York Times, Washington Post og Wall Street Journal avslørte at de hadde blitt smittet med sofistikert skadelig programvare. Mistankens finger pekte - hvor ellers? - Kina. Den syriske elektroniske hæren gikk på spion mot Twitter-kontoene for The Onion, Guardian og andre utsalgssteder. Det falske innlegget på APs Twitter-konto, "Breaking: Two Explosions in the White House and Barack Obama is skadet", forårsaket til og med et lite blipp på aksjemarkedet, med Dow Jones som midlertidig dyppet 140 poeng.

Angrepet mot nettstedet New York Times der SEA klarte å endre nettstedets innstillinger for domenenavnsystem fremhevet hvor enkelt angripere kunne forstyrre nettoperasjoner. SEA i dette angrepet hacket ikke engang inn i nettverket - gruppen oppnådde dette angrepet via spydfisking.

Fokus på applikasjonssikkerhet

Affordable Care Act og utrulling av nettstedet for helsevesenet brakte viktigheten av sikkerhetstesting i høysetet. Sikkerhetsfagfolk vet hvor kritisk det er at applikasjoner testes for sikkerhetsproblemer før de går i live, men når klokken tikker og tiden går for å sende produktet i tide, faller sikkerheten ved veikanten. Noen av problemene som ble identifisert i HealthCare.gov etter dens utrullede utrulling, økte muligheten for at angripere vil målrette mot stedet. Det var rapporter om at enkeltpersoner så sensitiv informasjon som tilhørte andre brukere på nettstedet.

Ledere som fulgte hele sagaen, vil sannsynligvis ikke være så raske med å hoppe over sikkerhetstesting neste gang de har en større applikasjonsutrulling. Eller så håper vi.

Distribuert benektelse av tjenesteangrep

DDoS er ikke nytt, men i år så vi to store utbygginger. DDoS ble ofte brukt mot finansielle nettsteder, spesielt som en del av Operation Ababil, men angripere utvidet sine mål til å omfatte andre næringer. Et av årets største angrep var mot Spamhaus i mars, med topper som traff 300 gbps.

Store arrestasjoner på nettet

I mai kunngjorde den amerikanske advokaten for det østlige distriktet i New York i mai anklager i en bank Heist på 45 millioner dollar som involverte stjålet kontoinformasjon. Gjengen hadde angivelig hacket inn i finansinstitusjoner for å stjele kontoinformasjon og trakk deretter millioner av dollar fra minibanker.

I juli siktet den amerikanske advokaten for New Jersey en annen cyber-kriminalitetsring for brudd på datanettverkene til minst 17 store detaljister, finansinstitusjoner og betalingsprosessorer for å stjele mer enn 160 millioner kreditt- og debetkortnumre. Målrettede nettverk inkluderer blant andre Nasdaq, 7-Eleven, Visa og JC Penney.

Russiske myndigheter hevdet å ha arrestert Paunch, skaperen av Blackhole Exploit Kit. Sikkerhetseksperter mener at med arrestasjonen er det et ugyldig cyber-kriminelle for øyeblikket krypter for å fylle. "Uten noen klar etterfølger av Blackhole, kan det hende at cyberkriminelle gjenger investerer andre steder for å kompensere for den tapte inntekten på grunn av mindre sofistikerte leveringsmekanismer for skadelig programvare, " sier Alex Watson, direktør for sikkerhetsforskning ved Websense.

Vanning av hullangrep

Angrep på vannhull var ganske fremtredende i år, med nettsteder som ble hacket for å kompromittere ansatte hos store teknologifirmaer som Facebook, Apple, Microsoft og Twitter, samt mot forsvarsentreprenører og myndighetsansatte. Disse vannhullangrepene utnyttet sårbarheter på null dager i Internet Explorer, Java og andre ofte brukte teknologier.

Angrep med vannhull ble også oppdaget mot pro-tibetanske aktivister, da angripere rettet mot kinesisktalende personer som besøkte Den sentrale tibetanske administrasjonen og Tibetan Homes Foundation, samt nettstedet Uyghur som ble opprettholdt av den islamske foreningen i Øst-Turkistan.

Experian Data Breach

Vi pleier å huske det siste store datainnbruddet og glemme alle de andre som kom før. Mens det nylige datainnbruddet som ble lidd av Target, hvor nesten 40 millioner debet- og kredittkortnumre ble kompromittert i løpet av ferieshoppingperioden, er ganske stort, var det skumleste datainnbruddet med brukerinformasjon informasjon om dataovertredelsen Experian.

Experian er en av organisasjonene innen kjøp og salg av personlig informasjon - personnummer, adresser, bankkontodetaljer. Denne informasjonen ble solgt til en utenlandsk kriminalitetsring, ifølge en etterforskning av sikkerhetsforfatter Brian Krebs. Bruddet fremhevet også at mange kunnskapsbaserte autentiseringssystemer, der folk blir bedt om å bekrefte identiteten deres ved å si hvilken bil de eier, eller hvor de pleide å bo, nå er enda mer sårbare.

Folk våkner opp til online-personvern

Da Google rullet fremtiden for bærbar tech med sin første bølge av Google Glass-"oppdagelsesreisende", friket folk seg. Folk var til slutt klar over innvirkningen av ansiktsgjenkjenning og evnen til å legge ut noe online kunne ha på privatlivet deres. Er teknologiens fremtid der det ikke er noe privatliv, eller der folk kan startes opp fra restauranter og andre bedrifter for å være en trussel mot personvernet?

Vi har allerede sett frem til 2014, med våre spådommer for nye angrep, et nasjonalt internett, online betalinger, mobilsikkerhet og tingenes internett. Velkommen til 2014. Blir det et år med usikkerhet eller seire? Hold deg med Security Watch på det nye året når vi følger opp og nedturer av sikkerhet.