个人信息属于一个满第三麻萨诸塞州居民的身份被识破了以这样或那样的方式,根据国家总检察长,引用数据收集从严厉的新数据报告违反法律。
RSA最近宣布,安全双重SecurID令牌后可能面临风险的一个复杂的网络攻击的公司。和索尼公司遭受了巨大的破坏在其在线网络游戏导致被盗的名字,地址和信用卡数据可能属于7700万用户帐户。索尼和信用卡发卡机构的成本可能达到20亿美元。
当然,这只是一个抽样的最近的漏洞,如果你觉得现在的坏,只是等待。它只会变得更糟,更多信息被恶作剧的黑客组织了网上匿名,并包括营利性黑客扩大他们的视野智能手机和社交媒体。
例如,8月AntiSec(匿名之间的协作和解散LulzSec集团)发布了超过10 gb的信息从70年美国执法机构。
首席执行官根据托德Feinman DLP供应商身份仪,AntiSec并不是因为钱。
“很明显,他们不喜欢各种执法机构的运作方式,他们试图让诋毁他们,”他说。
但他补充称,他们没有意识到的是,当他们发布敏感的个人信息,他们帮助低技能网络罪犯提交身份盗窃。每个星期,另一个大学,政府机构或业务记录违反。Feinman估计,250000年到500000年每年记录被破坏。一些细节的漏洞发布在互联网上给每个人看,然而。
虽然某些高调的攻击,就像一个在索尼,也许是为了羞辱和火花变化,美国执法违反可以代表一个黑客思维的转变。AntiSec的动机似乎有一个关键的区别,攻击者有意识地考虑间接伤害的战略武器。
“在网上的一个,AntiSec来,说我们不关心附带损害。它会发生,所以要“Feinman说。
社交网络
专家说的未来恶意软件没有太多的恶意软件本身将如何设计如何有针对性的潜在受害者。和间接伤害不会局限于无辜受损没有通过他们自己的过错。
你有没有接受朋友邀请在Facebook上或连接在LinkedIn的人你不知道吗?也许,你认为这是一个人从高中你忘记或前商业伙伴的名字滑你的头脑。不想看起来像一个傲慢自大的家伙,你接受这个朋友,很快忘记它。
“当人们信任决策与社交网络,他们并不总是理解的影响。今天,你更可知,不知道你的人比以往任何时候都在过去,“休·汤普森博士说,计划RSA会议主席。
我们都知道人在社交网络上讨论他们做的每件事和博客——从他们的早餐选择向内生长的指甲。虽然我们大多数人只考虑这些人骚扰行为,网络罪犯爱他们。
“密码重置的问题现在很容易猜,和工具像Ancestry.com,而不是为这个目的,创建为黑客提供有用的信息,”汤普森说。
汤普森认为有两个地区IT安全行业迫切需要创新:1)社交媒体的安全,以及如何管理信息共享在社交网络上关于你的和2)更好的方法来衡量风险更具体的方向发展。
塔尔她吹
克里斯•拉森的蓝色外套系统研究实验室,说最常见的社会工程攻击他们的实验室捕获是假的安全产品。他还解释说,社交网络不只是用于个人目标。
拉森概述了最近的一次攻击企图,坏人有针对性的通过他们的配偶一个主要公司的高管。的逻辑是,至少一名高管将安全性较差、电脑在家与非技术精明的配偶,这将提供所需的后门妥协行政和获取到目标公司。
“捕鲸无疑是在上升,”伍德说高级情报分析师赛门铁克云。“就在几年前,我们看到一个或两个每天这些攻击。今天,我们抓每天多达80。”
根据木材、社会工程是迄今为止最有力的武器在网络犯罪的工具箱(自动化,广泛使用恶意软件和攻击工具包是2号)。结合,与很多高管绕过IT安全因为他们想要最新的和最设备,和cyber-crooks有很多价值,easy-to-hit目标在他们的视线里。
财富500强公司并不是唯一成熟的目标。”攻击smb大幅增加,因为他们通常是最薄弱的环节在一个较大的供应链,”伍德说。
今天,没有确定防御方法。直到财富500强企业开始仔细观察他们的合作伙伴和供应商的网络安全,他们不能确定他们是否安全。虽然是常见的,说,通用电气运行通过铃声与零部件供应商工厂访问导致的数组的实现最佳实践,公司没有这样做当谈到网络安全。
看你行
而智能手机的威胁显然是在上升,我们尚未发现一个重大事件。部分原因是平台的碎片。恶意软件开发者仍然得到更多回报的目标窗户个人电脑或网站。
拉森蓝色外套相信平台无关的、基于web的蠕虫代表恶意软件的新边疆。平台无关的恶意软件允许合法开发人员做一些繁重的恶意软件的作家。作为开发人员重新设计网站和应用程序在各种设备上工作,黑客可以目标的共性,如HTML、XML、jpeg,等等,呈现在任何设备,在任何地方。
智能手机也将成为电子钱包,如果有一个特征可以依靠网络罪犯,这是他们渴望跟随钱。
”即将到来的无处不在的近场通信技术在智能手机支付技术尤其令人担忧,”马克Maiffret说,首席技术官达安全。欧洲和亚洲已经深入转向移动商务,但美国并不落后。“一旦美国在大量采用移动支付更多的黑客将专注于这些目标,”他补充道。
随着时间的推移,智能手机会取代其它形式的识别。你的驾照和护照可以在你的手机上,而不是在你的口袋里。在商业世界,这种转变已经发生。
手机作为第二身份因素各种企业身份验证方案。企业过去依赖硬标记,如RSA美国,正在软令牌,可以驻留在手机漫游在公司电脑安置在公司墙上一样容易。
“双因素身份验证最初出现,因为人们无法相信电脑。使用手机作为两因素身份验证失败身份因素,”Maiffret说。
对于消费者来说,移动支付不一定所有的麻烦,尤其是移动商务与信用卡账户和包围消费者保护。银行一直在积极推动消费者对电子银行多年。显然,即使有风险,电子银行产生比传统银行更好的ROI。否则,他们不会这样做。
此外,移动商务应该所有的幕后保障福利包,如先进的欺诈检测。你不能说现金。
今天,安卓是智能手机大目标,但不要感到惊讶,如果攻击者把注意力转向iPhone,尤其是第三方杀毒软件对机器人成为或多或少的标准。IPhone人口分布吸引攻击者,当你跟安全专业人士,他们会告诉你苹果产品是出了名的没有安全感。
苹果是极其不愿提供第三方安全实体的平台访问他们需要提高安全的iphone, ipad, MacBook air,等等。“苹果是非常的安全,“Maiffret说。“这是已故- 90的的一种反映微软,这可能会需要一两个重大事件煽动改变。”
如果我们学过任何关于数字安全在过去的20年里,它的另一个主要事件总是隐现的端倪。还有汽车和房屋的新威胁。
在黑色的帽子和防御会议在八月初,研究人员展示了一系列令人不安的攻击场景。一个特别可怕的黑客展示劫持一辆汽车的可能性。黑客可以禁用报警,远程开启大门,开始通过短信通过手机发送的链接无线设备在车里。
其他高危嵌入式设备包括安全气囊、收音机、电动座椅、防抱死制动系统,电子稳定控制,自动巡航控制和通信系统。另一种类型的攻击可以妥协一个司机的隐私通过跟踪射频识别标签用于监测轮胎压力通过强大的远程读者。
“随着越来越多的功能嵌入到数字技术的汽车、攻击和恶意操纵的威胁增加,”斯图尔特·麦克卢尔说高级副总裁和总经理,迈克菲。“很多研究黑客的例子显示的潜在威胁和深度妥协,让消费者。是一回事,你的电子邮件或笔记本妥协但砍车可以转化为可怕的风险,你的人身安全。”
当然,汽车代表可删节嵌入式系统的一个例子。与ip连接的设备的数量攀升至500亿年至一万亿年在未来五到十年,根据IBM、爱立信和思科在家,明天的黑客可以目标任何报警系统空中交通控制系统在大坝防洪。
位于加州圣塔莫尼卡的创始人杰夫·万斯是沙尘暴媒体,文案和内容营销公司。他经常贡献的故事这个出版物和其他许多新兴技术。如果你有想法以后的文章中,他在联系jeff@sandstormmedia.net或http://twitter.com/JWVance。