米国国土安全保障省は、 SANS InstituteとMitreの 2つの研究所と協力して 、ほとんどのWebを実行するソフトウェアの脆弱性を一般大衆に周知することを目的としたドキュメントをリリースすることを計画しており、したがって最近の攻撃の影響を受けにくくしています。 LulzSecとAnonymousの助けが必要です。
The New York Timesによると 、これはさまざまなシステムの深刻で重大なハッキングにつながる可能性のある最も一般的なソフトウェアエラーの25のリストになります。 この考え方は単純で、民間企業や政府機関に、クラッカーが機密情報やサーバーへのアクセスを取得するために使用するチャネルやツールを使用するように教えることです。 通常、このような穴は一般的な穴またはソフトウェアのバグを使用します。
NYTによると、リストの最初はSQLインジェクションに対してサーバーを不安定にするエラーで、データを受信するために前述の2つのハッカーグループを使用しました。
命令には、銀行や工場などのさまざまな硬直した垂直構造に関する特定の推奨事項が含まれ、さまざまな種類のソフトウェアで最も重要な脆弱性と、攻撃者による使用方法について説明します。
そして、LulzSec(ブルーミング、またはそうでないかもしれない)とアノニマスはその方法の知性と素早い知恵で異なっていましたが、州と企業の両方にとって最大の危険はソフトウェアエラーではなく、彼ら自身の従業員です。
今週、ブルームバーグは素晴らしい記事を公開しました:「 ヒューマンエラー、ハッキングを養う白痴 」、そこでは貴重なデータの漏洩に影響するヒューマンファクターがかなり深く考えられます(結局、結果としてシステムをハッキングしても組織に損害を与えません)。 一見、これは根拠のない告発のように思えるかもしれませんが、現代史上最大のリークであるWikiLeaksは、データキャリアを持つ1人の個人が機密情報にアクセスしたために発生したことを忘れないでください。 状況に詳しい人によると、 ブラッドリー・マニングが行う必要があるのは、ディスクをコンピューターに挿入してダウンロードを開始することだけでした。
米国国務省との歴史の中で最も注目すべきこと。 セキュリティとは、彼らが馬鹿馬術自体についての推測を試すためにどのような芸術性を発揮したかです。 エージェントは、それらのうち何台がピックアップされ、最終的にコンピューターにダウンロードされるかを確認するために、役所の駐車場にCDとUSBドライブを散らしました。 最終的に総質量の何パーセントが仕事に来た従業員のポケットに移動したかは報告されていませんが(かなり大きいと思います)、最終的には、通常のフラッシュドライブとディスクが10ケース中6ケースでロードされ、公式ロゴが適用されたもの(SIC!) -ケースの90%以上。
平均的な市民が略語「 DHS 」でUSBフラッシュドライブまたはディスクを地面から拾い上げることは一つのことであり、そのような特定の例を含むなど、セキュリティに対する潜在的なリスクと脅威について特別に教えられている州の組織の従業員によって行われる場合はまったく異なります。 散らばったディスクの物語は、映画「読書後焼け」で説明されているイベントと非常によく似ています。ブラッドピットが他の人の銀行情報を含むCDを見つけて、これが極秘情報だと思います。
ブルームバーグの出版物に記載されているもう1つの興味深い「流行」は、ソーシャルエンジニアリングベースの攻撃に関するもので、近年ますます巧妙かつ効果的になっています。 シマンテックのスパムおよびフィッシングの状態レポート(毎月リリース)によると、過去1年間でフィッシング攻撃の数は6.7%増加しています。 私は個人的に、このような「釣り」の一部の亜種の名前に特に満足していることを認めています。例えば、「スピアフィッシング」または「スピアフィッシング」は高度に標的化され、個々の個人またはグループ、および「クジラフィッシング」を狙っています中間管理職の代表者について。
Computer Science CorporationのMark Raschの言葉は、栄光の中でこの出版物から引用されています。「ルール1-疑わしいリンクを開かない、ルール2-ルール1、ルール3を参照-ルール1および2を参照」
フィッシングのターゲットが25の可能性のある脅威のいずれかを含むリンクをたどるとすぐに、DHSが「人々に」メッセージで書き込むすべてのものがすぐに危険にさらされます。 セキュリティ(情報だけでなく)に関して言えば、肝心なのは、あらゆる組織や構造に対する最大の脅威は、そこで働く人々であり、インターネット上に住むハッカーの秘密のグループではないということです。
ブルームバーグ 、 The New York Times 、 ReadWriteWebの資料をありがとう