だから、 ちょうど1年前に初めて行った運動を繰り返す時が来ました。 次に、 Threatpostの Webサイトで最も人気のある10のニュースを取り上げ、実際に、なぜ専門家と一般ユーザーの両方の注目を集めたのかを調べました。 この方法には明らかな欠点があります-多くのことが記事の人気に影響し、サイバー世界での事件に関する最も人気のあるニュースが同時に最も重要であることは絶対に必要ではありません。 しかし、利点があります。情報セキュリティの分野には膨大な数のイベントがあり、ディスカッションの各参加者は、専門性と個人的な興味に応じて、独自の「最高の」イベントを選択します。 そして、ここで-最も客観的でない場合、少なくとも独立した評価ツール。
今年、最も訪問されたニュースの選択は、5つの主要なカテゴリに正常に分割されました。
-ユーザーに対するローテクの脅威
-「予期しない場所の脆弱性」:「モノのインターネット」、家庭用および産業用ネットワークデバイスのセキュリティ、
-データ暗号化の問題
-主要なプラットフォームおよびハイテクサイバー脅威における有名な脆弱性-最も高度な攻撃の例
-一般的なソフトウェアの日常的だが危険な脆弱性
ここでそれらを見ていきます。
ユーザーの脅威
Facebookの1月のトロイの木馬(10位)
ニュース 。
ソーシャルネットワーク上のリンクをクリックすることで、11万人のFacebookユーザーがトロイの木馬に感染しました。 はい、できません!
サイバー軍の宇宙船がデジタル空間を耕している間、普通の人々の普通の世界では、Adobe Flashアップデートを装った普通のトロイの木馬が被害者のコンピューターに通常のキーロガーをインストールします。 私たちは常にこのような事件を監視していますが、彼らがトップに達することはめったにありません。それにもかかわらず、私たちの主な聴衆はそのような事件が関心のない専門家です。 それにもかかわらず、「従来の攻撃」と呼ばれるものは、ユーザーと企業の両方にとって大きな頭痛の種であり、今後もそうであり続けるでしょう。 一般的に、それらに対処する方法は理解可能であり、テクノロジーは十分に開発されています。 しかし、1月1日のような攻撃は何万人ものユーザーをカバーすることに成功したため、保護技術の普及に引き続き取り組む必要があります。
モノのインターネット、ホームルーター、および産業用ネットワークデバイスへの攻撃
ワイヤレスガレージドアコントロールパネルとシスコネットワークソフトウェアの共通点は何ですか? それらは同様に不十分に保護されています。 それでさえありません:サーモスタット、ホームWebカメラ、ルーターが非常によく保護されている場合、それらに対する攻撃が成功するのは驚くべきことです。 企業とユーザーの両方のセキュリティ戦略は、通常、コンピューターや他のデバイスと直接やり取りすることに焦点を当てています。 他のすべては一種のブラックボックスであり、せいぜい静かに動作し、注目を集めません。最悪の場合、ハッキングツールになり、追跡されず、通常は動作していると理解されません。
ほとんどの読者は、次の例に興味がありました。 チェックポイントソフトウェアの研究者は2014年12月に、1200万のホームルーターに影響を与える脆弱性を発見しました( ニュース、 9位)。 特別に形成されたデータパケットを送信することで、Webインターフェイスにアクセスすることができました。 6月に、デフォルトのSSHキーが、ネットワークデバイスおよび対応するソフトウェアの「ブックマーク」の最初と最後のケースではなく、Ciscoネットワークトラフィックを監視するセキュリティソフトウェア( ニュース 、8位)で見つかりました。 その後、6月に、研究者のサーミ・カムカーは、米国で人気のあるガレージドアの遠隔開放システムの非常に弱い保護を調査しました( ニュース 、7位)。 それらへの鍵はブルートフォースによって30分で拾うことができますが、一連のソフトウェアの誤算により、ハッキングの時間を10秒に短縮することができました。
これに車のコンピューターシステムの脆弱性を追加します。 今年の夏、研究者チャーリーミラーとクリスヴァラセクの研究のおかげで、フィアットクライスラーは、史上初の自動車用セキュリティパッチをリリースしました。この脆弱性は 、エンターテイメントシステムを介してリモートで自動車制御システムをハッキングし、制御を奪うことさえ可能にしました。 確かに、ソフトウェア、コンピューターデバイス、ホテルのキー、車のキーリングに脆弱性が存在する場合、なぜ車内にないのですか? この露骨なツイートを引用することはできません。
私のプリンターはほとんどの場合動作しますが、WiFiはバグがありますが、めったにXboxが私を認識せず、Siriでさえ正常に動作します。 しかし、私の自動運転車は完璧に機能します!
コンピュータは、自分で何かをするように指示された場合、通常、人よりもミスやナンセンスを少なくします。 人々がプログラムするだけで、原子力発電所の管理からレニングラードカの渋滞に立ち向かうまで、非常に重要なプロセスがコンピューターシステムに与えられることが多くなっています。 勇敢な新しい世界へようこそ!
暗号化
複雑なトピック。 深刻な科学的活動の枠組み内でのみ、特定のデータ暗号化方法の有効性を評価することが可能であり、結果が保証されないか、時間とともに変化する場合があります。 良い例はSHA-1暗号化ハッシュアルゴリズムです。これは5年前にかなり信頼できると考えられていましたが、2015年に理論的に脆弱であると宣言されました。 NSAは、楕円曲線を使用した暗号化アルゴリズムの堅牢性に疑問を呈しており、量子コンピューターにさえ耐えることができる暗号化についてすでに考えています (または完全に明確ではないと考えるふりをしています)。
ただし、暗号化のトピックはこれに限定されません。 非常に弱い暗号化により、すでにアクティブに使用されているOpen Smart Gridプロトコルが危険にさらされました( ニュース 、6位)。 OSGPは、電力網の「モノのインターネット」の実装であり、電力メーターと制御システムを単一のネットワークに統合しようとする試みであり、電気で冗談を言わない方が良いです。 トピックの複雑さは、データ暗号化システムの主な基準が信頼であるという事実につながります。 TrueCrypt開発者の2014年半ばに起こった境界線は、この人気のある情報保護ソフトウェアの信頼性を損ない、2015年にはプログラムのソースコードの監査と、大きな関心を引き起こすスピンオフの出現を見ました-VeraCryptとCipherShed( ニュース 、4場所)。 ジュニパーのルーターのバックドアが最近明らかにされており、暗号化のテーマもこの話で重要な役割を果たしています。
深刻な脆弱性と深刻な攻撃
昨年、 ShellshockとHeartbleedが最も共鳴的なセキュリティ侵害になった場合、AndroidのStagefright脆弱性( ニュース 、5位)およびLinuxシステムのGLIBC標準ライブラリの一部であるIPアドレスを決定する機能の脆弱性( ニュース 、 3位)。
Linuxの脆弱性研究者。 芸術的解釈。
脆弱性はすべて「理論的」および「実用的」段階を通過します-場合によっては、すべてが概念実証の研究に限定されますが、事後的にはすでにアクティブな攻撃を分析することで新しい穴について学習します。 2015年に、これら2つのオプションに3番目のオプションが追加されました。政府機関へのエクスプロイトの販売を専門とするHacking Team社からのデータリークにより、Adobe Flashの未知の脆弱性が明らかになり、サイバー犯罪者にすぐに悪用され始めました。
実際の攻撃のうち、最も注目に値する2つの操作は、研究所の研究者によって開示されたCarbanakとThe Equationでした。 最初のケースで被害の推定(10億ドル)が最も印象的だった場合、2番目のケースでは、変更されたハードドライブファームウェアを使用して被害者のコンピューターの制御を取り戻す能力や操作の期間など、攻撃ツールの完全性:数十年! この投稿で 2月の研究についてもっと読んでください。
日常的なソフトウェアの脆弱性
たくさんありました。 これは、Adobe Flashのパッチの例で最もよく見られます: 1月 14、24および28 、 3月 、 6月 、 7月 、 9月 、 12月 。 一方で、悪いニュースのように見えます-少なくともAdobeでのホールへのパッチ適用は非常に活発です-脆弱性は1回の更新で数十件でクローズされます。 一般的にソフトウェアがより安全になったとは言えませんが、今年の重要な傾向はソフトウェア開発者のセキュリティに対するより深刻な態度になっており、これは朗報です。
最大数のコンピューターにインストールされているソフトウェアには特別な注意が払われ、各PCには少なくとも1つのブラウザーがあります。 開発者のうち、彼らは自己防衛を監視するだけでなく、可能であれば、他のサイトの脅威からユーザーを保護することも強制されます(Chromeの同じFlashで発生するように、機能を強制的に制限することがよくあります)。 ブラウザには、2015年に最も人気のあるThreatpostニュースが2つあります。 3月のpwn2ownハッカソンで、すべての主要なブラウザがハッキングされました-最初のFirefoxとIE、そしてその後-Chrome とSafari ( ニュース 、2位)。
pwn2ownで満足しているホワイトハットハッカー
最後に、今年の最も人気のあるニュース(昨年のダイジェストのスタイルでかなり)は、Chromeブラウザーでの古代のNPAPI拡張システムのブロックでした( ニュース 、1位)。 4月のNPAPIブロッキングにより、JavaからSilverlightまでの膨大な数のプラグインが動作不能になり、多数の開発者に対応する問題が発生しました。 レガシーコードの放棄は、最近のもう1つの重要な傾向です。ある時点で、そのようなレガシーは、良いよりも多くの問題をもたらし始めます。
2016年にはセキュリティの問題が少なくなるのではなく、逆になると思います。 サイバー脅威に対する新しい保護方法も登場すると確信しています。 いずれにせよ、私たちは間違いなく議論すべきことがあります。 今年の結果に関する追加の参考資料として、研究所の専門家による脅威の一般的な概要、 2016年のビジネスおよび予測に対するサイバー脅威の個別の分析をお勧めします 。