Video: Einkünfte aus Vermietung und Verpachtung ► bibukurse.de (Dezember 2024)
Selbst die schäbigsten Motels bieten jetzt kostenloses WLAN. Wir haben es erwartet. Daher erwarten wir natürlich dasselbe Serviceniveau bei einer Airbnb- oder einer anderen Anmietung mit Sharing Economy. Aber es gibt einen Unterschied, einen gewaltigen Unterschied, wie ein Black Hat-Vortrag des Sicherheitsexperten Jeremy Galloway deutlich machte.
Kurzzeitmieten sind riesig
Galloway verbrachte einige Zeit damit, nach Hause zu hämmern, wie groß der Markt für kurzfristige Mieten ist. Das geschätzte Marktvolumen von 100 Milliarden US-Dollar pro Jahr liegt damit zwischen allen Ausgaben für Cloud-Services (110 Milliarden US-Dollar) und dem weltweiten Kokainabsatz (85 Milliarden US-Dollar). Oh, und die Spielebranche in Las Vegas? Das sind ungefähr 6, 3 Milliarden.
Er gab auch an, dass in diesem Sommer mehr Gäste Airbnb nutzen als die gesamte Bevölkerung Griechenlands, Schwedens oder der Schweiz. Mit über 2.000.000 Airbnb-Angeboten (oder, wie er es nannte, Zielen) weltweit ist es absolut riesig. "Airbnb ist eine äußerst beliebte Geldmaschine", sagte Galloway. "Aber eine Studie hat ergeben, dass 40 Prozent der Gäste zugestanden haben, während sie zu Hause waren, um zu schnüffeln. Ich mache das! Ich überprüfe, was gesperrt ist und was nicht."
One-Network Stands
"Sie Sicherheitsexperten können ein komisches Gefühl in einem Netzwerk bekommen. Sie haben den sechsten Sinn für Sicherheit, den eine durchschnittliche Person nicht hat", sagte Galloway. "Ich habe ein gewisses Maß an Vertrauen. Ihr persönliches Heimnetzwerk, das sind 100 Prozent. Ein Universitätsnetzwerk, nun, sie haben IT-Sicherheit, aber all diese Studenten, würde ich sagen 50 Prozent. Schließlich dieser zufällige Hotelkiosk, das ist eine Null Prozent. Airbnb? Ich würde es ungefähr 20 Prozent sagen."
Galloway verwies auf einen Online-Sexual Exposure Calculator als Analogie. Nehmen Sie die Anzahl der Partner, die Sie hatten, und die Anzahl der Partner, die sie hatten, und sehen Sie, wie vielen Menschen Sie ausgesetzt waren. "Überlegen Sie zweimal, bevor Sie einen One-Network-Stand haben", sagte Galloway. "Es ist eine dumme Redewendung, aber der Vergleich von Handelskomfort und Risiko ist sehr sinnvoll."
Was Hacker können
Galloway hat in den letzten Jahren eine ganze Reihe von Router-basierten Angriffen durchlaufen. DNSChanger, der Mondwurm, BlackMoon - all dies funktionierte, indem Änderungen an den Routern der Opfer aus der Ferne vorgenommen wurden. Galloway zitierte den Sicherheitssuperhelden Dan Geer mit den Worten, die Router-Situation sei so heikel wie eine Benzinpest in einem geschlossenen Einkaufszentrum. "Was mich betrifft", sagte Galloway, "würde ich sagen, Router-Sicherheit ist eine tobende Müllcontainerdatei."
Natürlich mussten diese Angriffe aus der Ferne in den Router eindringen. Wenn der Angreifer wie bei einer Kurzzeitmiete physischen Zugriff hat, ändert sich alles. Galloway demonstrierte seinen Signaturrouter APT. Nein, nicht Advanced Persistent Threat; Erweiterte Bedrohung durch Büroklammern . "Sie müssen nicht MacGyver sein", sagte Galloway. "Verwenden Sie eine verbogene Büroklammer, um den Router zurückzusetzen, und entfernen Sie eine ganze Sicherheitsebene. All dies erfordert keine Zero-Day-Angriffe oder verrückten Exploit-Code."
Es wird schlimmer, viel schlimmer. Jemand, der physischen Zugriff auf den Router hat, kann Ihre vertraulichen Daten erfassen, vertrauenswürdige Daten ändern, Daten einspeisen und vieles mehr. "Ja", sagte Galloway, "es wird nicht viel schlimmer."
Er führte eine erstaunliche Anzahl von Dingen auf, die Sie tun können, um einen Router zu hacken, der physischen Zugriff hat und die von nervig bis katastrophal reichen. Sie können Ihr eigenes Gerät als Remote-Administrator konfigurieren und den Router Wochen nach Ihrem Besuch überwachen. Sie können alle Gerätekennwörter mit einem einfachen Tool extrahieren. Stellen Sie sich als Protokollserver ein und Sie sehen passiv den gesamten Datenverkehr.
Erschreckender ist, dass Sie einen eigenen Server als DNS-Server des Routers festlegen können. Dies ermöglichte Man-in-the-Middle-Angriffe, mit denen private Informationen von jedem gestohlen werden können, der über den Router eine Verbindung herstellt. "Sie können mit diesen Angriffen nicht gegen Einzelpersonen vorgehen", bemerkte Galloway. "Sie können jedoch gegen Konferenzen, Orte in der Nähe von Militärstützpunkten und Unternehmensbüros vorgehen." In Bezug auf Dan Kaminskys Keynote sagte er: "ICANN unternimmt große Anstrengungen, um DNS sicher zu machen. Sie schützen Ihr DNS mit Lulz und Wünschen."
Was du tun kannst
Sie können weiterhin Airbnb und Kurzzeitmieten verwenden. Wenn Sie sich jedoch anmelden, schützen Sie sich. Galloway hatte eine Wäscheliste mit Vorschlägen. Hardcode-DNS in all Ihren Geräten. Deaktivieren Sie die automatische Proxy-Erkennung. Verwenden Sie ein VPN. Schalten Sie Wi-Fi aus, wenn Ihr Gerät über Mobilfunkdaten verfügt. Binden Sie Ihre anderen Geräte als persönlichen Hotspot an Ihr Telefon an (verfolgen Sie einfach die Nutzung mobiler Daten). Aktivieren Sie die Zwei-Faktor-Authentifizierung, wo immer sie verfügbar ist.
"Das ist technisch, aber es gibt etwas Wichtigeres", sagte Galloway. "Ändern Sie Ihre Benutzeroberfläche. Mein einziger Rat: Sehen Sie sich Mr. Robot an! Sie sind mehr Sicherheit ausgesetzt als 99 Prozent der Bevölkerung. Sie befinden sich in den oberen 1 Prozent!"
Was Eigentümer tun können
Wenn Besucher Ihrer Airbnb-Vermietung mit Malware heimkommen, erhalten Sie keine gute Bewertung. Und Sie können sich durchaus auf dasselbe Netzwerk verlassen, wenn Ihre Miete nur ein Raum in Ihrem Haus ist. "Mein einziger bester Rat", sagte Galloway, "besteht darin, den physischen Zugang zu entfernen. Schließen Sie den Router in einem Schrank oder einem gesicherten Raum ab. Schließen Sie ihn in einem elektronischen Gehäuse ab. Ich sage das Hackern, und sie sagen, ha, ich kann wählen." Diese Sperre in fünf Minuten. Ja. Es geht nicht darum, perfekte Sicherheit zu schaffen, es geht darum, die Leute ehrlich zu halten."
"Sie könnten sogar in Betracht ziehen, kein WLAN anzubieten", fuhr Galloway fort. "Oder Sie kaufen eine separate Leitung mit geringer Bandbreite nur für Gäste. Dies ist ein Geschäftsaufwand. Sichern Sie Ihre Routereinstellungen und stellen Sie sie regelmäßig wieder her. Fügen Sie Ihrem Gästeführer einen Online-Sicherheitsabschnitt hinzu."
Keine guten Nachrichten
"Ich kann Ihnen keine guten Nachrichten hinterlassen", schloss Galloway. "Das Problem verschwindet nicht. Jedes Jahr seit 2011 war das Jahr des Durchbruchs, hauptsächlich aufgrund von SQL Injection. Und SQL Injection gibt es seit 1998. Es gibt keinen Patch, kein Update oder keine einfache Lösung."
Ich kann nur sagen, wow. Wenn Sie alle technischen Details erfahren möchten, um sich besser zu schützen oder ein Hacker für Heimrouter zu werden, lesen Sie die vollständige Präsentation von Galloway.