Wichtige Sicherheitsberichte von 2013

Rückblickend fühlte sich 2013 wie eine Achterbahnfahrt an, als wir alle paar Wochen von guten zu schlechten Nachrichten wechselten: Datenverletzungen, Datenschutz, Cyberspionage, Spionage durch die Regierung, fortgeschrittene Malware, erhebliche Verhaftungen, verbesserte Sicherheitsfunktionen usw.

Die größte Geschichte - oder vielmehr eine Reihe von Geschichten - des Jahres dreht sich um Dokumente, die der Auftragnehmer der National Security Agency, Edward Snowden, gestohlen und für die Medien freigegeben hat. Es war jedoch nicht die einzige große Geschichte des Jahres 2013. Zum ersten Mal legte ein Sicherheitsunternehmen einen konkreten Fall dar, wie China amerikanische Unternehmen ausspioniert, und die US-Regierung diskutierte das Thema offiziell mit der chinesischen Regierung. Die Strafverfolgung hatte einige bedeutende Siege, indem sie einen großen Ring von Kreditkartendiebstahl aufbrach und den Schöpfer des Blackhole Exploit Kits festnahm. Die Datenverletzungen wurden fortgesetzt, aber die Experian-Verletzung hat das Problem hervorgehoben, dass Datenbroker personenbezogene Daten aggregieren. Normale Nutzer sprachen über Online-Datenschutz, als Google Glass-Nutzer auf die Straße gingen. Unternehmen verpflichten sich zu besseren Sicherheitsmethoden wie der Verschlüsselung von Daten während der Übertragung, der Implementierung einer Zwei-Faktor-Authentifizierung und einer transparenteren Darstellung der Informationen, die die Regierung bereitstellt.

Das Jahr 2013 war für Sicherheitsexperten und Einzelpersonen gleichermaßen arbeitsreich. Hier finden Sie eine Übersicht über die wichtigsten Sicherheitsgeschichten des Jahres, in unbestimmter Reihenfolge.

Geheime NSA-Überwachungsprogramme

Wir könnten eine ganze Kolumne nur mit den Enthüllungen der NSA füllen. Die ersten Artikel über das Programm zum Sammeln von Telefonaufzeichnungen waren schockierend genug, aber es scheint, als ob jede nachfolgende Enthüllung explosiver ist als zuvor. Die Agentur hat Webaktivitäten ausspioniert, den Datenverkehr zu und von Google- und Yahoo-Rechenzentren beschnüffelt, Sendungen zur Installation von Spyware und Backdoors in elektronischen Geräten abgefangen und angeblich Anführer anderer Länder und Gamer belauscht. Während der Chef der NSA, General Keith Alexander, weiterhin darauf besteht, dass die Agentur innerhalb ihrer Grenzen handelt und darauf geachtet wurde, die bürgerlichen Freiheiten zu wahren, werden die Forderungen nach Reformen immer lauter. Der Kongress diskutiert, was gegen das Problem der NSA zu tun ist. Ein konservativer Bundesrichter urteilte in Klayman gegen Obama, dass das Telefonaufzeichnungsprogramm der NSA möglicherweise gegen die vierte Änderung verstößt, und das vom Weißen Haus gewählte unabhängige Gremium empfahl die NSA Programme müssen gekürzt werden.

Eine Gruppe von Technologiegiganten, darunter Tim Cook von Apple, Eric Schmidt von Google und Marissa Mayer von Yahoo, sprach mit Präsident Barack Obama über ihre Bedenken hinsichtlich der Aktivitäten der NSA. AOL, Apple, Facebook, Google, LinkedIn, Twitter, Yahoo und Microsoft haben sich zusammengeschlossen, um zu fordern, dass die Regierungen zwar Maßnahmen ergreifen müssen, um die Sicherheit und den Schutz ihrer Bürger zu gewährleisten, die geltenden Gesetze und Praktiken jedoch reformiert werden müssen.

Immer mehr Unternehmen veröffentlichen Transparenzberichte, um zu offenbaren, welche Art von Informationen sie an die Regierung weitergeben. Der verschlüsselte E-Mail-Dienst Lavabit wurde geschlossen, um nicht mehr Informationen über seine Benutzer weitergeben zu müssen. RSA, die Sicherheitsabteilung von EMC, verteidigt derzeit ihren Ruf nach einem Reuters-Bericht, wonach die NSA 10 Millionen US-Dollar benötigte, um einen kompromittierten kryptografischen Algorithmus in ihren Sicherheitsprodukten voranzutreiben.

China, China, China

Wir waren so fasziniert von den Informationsfluten über die Aktivitäten der NSA, dass man leicht vergisst, dass wir das Jahr 2013 mit einem explosiven Bericht begonnen haben, in dem Chinas Rolle bei der Cyberspionage umrissen wird. Der APT1-Bericht von Mandiant war die erste definitive Aussage, die klar darlegte, was Cyber-Angreifer aus China unternahmen, um in US-amerikanische Geschäfts- und Regierungsnetzwerke einzudringen. In dem Bericht wurde beschrieben, wie diese Angreifer geistiges Eigentum gestohlen, Hintertüren installiert und Systeme beschädigt haben.

Kurz nach der Veröffentlichung des Berichts sprachen verschiedene Regierungsbeamte über Chinas Aktivitäten. Im Mai machte der Pentagon-Jahresbericht über China die Regierung des Landes direkt für staatliche und militärische Angriffe gegen die USA verantwortlich. Präsident Obama brachte die Vorwürfe sogar während eines Treffens mit Xi Jinping, dem Präsidenten von China, zur Sprache. Die chinesische Regierung warf den USA sogar vor, im Wesentlichen dasselbe zu tun. (Ein bisschen Vorahnung für Snowden?)

Angriffe gegen Medien

Die Medien wurden in diesem Jahr angegriffen. Die New York Times, die Washington Post und das Wall Street Journal gaben bekannt, dass sie mit ausgefeilter Malware infiziert waren. Der Finger des Argwohns zeigte - wo sonst? - China. Die syrische elektronische Armee ging gegen die Twitter-Accounts von The Onion, Guardian und anderen Anbietern auf Bummel. Der gefälschte Post auf APs Twitter-Account "Breaking: Zwei Explosionen im Weißen Haus und Barack Obama sind verletzt" verursachte sogar einen kleinen Ausrutscher an der Börse, wobei der Dow Jones vorübergehend 140 Punkte verlor.

Der Angriff auf die New York Times-Website, auf der die SEA die Einstellungen des Domainnamensystems der Site ändern konnte, hat gezeigt, wie leicht Angreifer den Webbetrieb stören können. Die SEA bei diesem Angriff hat sich nicht einmal in das Netzwerk eingemischt - die Gruppe hat diesen Angriff über Spear-Phishing ausgeführt.

Anwendungssicherheit im Fokus

Das Gesetz über erschwingliche Pflege und die Einführung der Website zur Gesundheitsfürsorge haben die Bedeutung von Sicherheitstests in den Vordergrund gerückt. Sicherheitsexperten wissen, wie wichtig es ist, dass Anwendungen vor dem Start auf Sicherheitsprobleme getestet werden. Wenn jedoch die Zeit drängt und die Zeit abläuft, um das Produkt pünktlich zu versenden, bleibt die Sicherheit auf der Strecke. Einige der Probleme, die in HealthCare.gov nach seinem verpfuschten Rollout festgestellt wurden, haben die Möglichkeit geweckt, dass Angreifer auf die Website zielen. Es gab Berichte, dass Einzelpersonen vertrauliche Informationen anderer Benutzer auf der Website sahen.

Führungskräfte, die die ganze Geschichte mitverfolgt haben, werden die Sicherheitstests wahrscheinlich nicht so schnell überspringen, wenn sie das nächste Mal ein umfassendes Anwendungs-Rollout durchführen. Zumindest hoffen wir das.

Verteilte Denial-of-Service-Angriffe

DDoS ist nicht neu, aber dieses Jahr haben wir zwei wichtige Entwicklungen erlebt. DDoS wurde häufig gegen Finanzseiten eingesetzt, insbesondere im Rahmen von Operation Ababil, aber Angreifer erweiterten ihre Ziele, um andere Branchen einzubeziehen. Einer der größten Angriffe des Jahres war im März gegen Spamhaus mit Spitzenwerten von 300 Gbit / s.

Verhaftungen wegen schwerer Internetkriminalität

Im Mai kündigte der US-Anwalt für den Eastern District von New York im Mai eine Anklage wegen Banküberfalls in Höhe von 45 Millionen US-Dollar wegen gestohlener Kontodaten an. Die Bande hackte angeblich in Finanzinstitute, um Kontoinformationen zu stehlen, und zog dann Millionen von Dollar von Geldautomaten ab.

Im Juli beschuldigte der US-Anwalt für New Jersey einen weiteren Cyber-Crime-Ring, das Computernetz von mindestens 17 großen Einzelhändlern, Finanzinstituten und Zahlungsverarbeitern verletzt zu haben, mehr als 160 Millionen Kredit- und Debitkartennummern gestohlen zu haben. Zu den Zielnetzwerken gehörten unter anderem Nasdaq, 7-Eleven, Visa und JC Penney.

Die russischen Behörden gaben an, Paunch, den Schöpfer des Blackhole Exploit Kits, festgenommen zu haben. Sicherheitsexperten glauben, dass es mit der Verhaftung eine Lücke gibt, die Cyberkriminelle derzeit zu füllen suchen. "Ohne einen klaren Nachfolger von Blackhole investieren Cyberkriminelle möglicherweise an anderen Orten, um den Einkommensverlust durch weniger ausgefeilte Übermittlungsmechanismen für Malware auszugleichen", sagte Alex Watson, Direktor für Sicherheitsforschung bei Websense.

Wasserlochangriffe

In diesem Jahr waren die Angriffe auf Wasserlöcher ziemlich weit verbreitet, da Websites gehackt wurden, um Mitarbeiter großer Technologieunternehmen wie Facebook, Apple, Microsoft und Twitter sowie Verteidigungsunternehmen und Regierungsangestellte zu gefährden. Diese Wasserlochangriffe nutzten Zero-Day-Sicherheitslücken in Internet Explorer, Java und anderen häufig verwendeten Technologien.

Angriffe auf Wasserlöcher wurden auch gegen pro-tibetische Aktivisten aufgedeckt, als Angreifer auf chinesischsprachige Menschen abzielten, die die tibetische Zentralverwaltung und die Tibetan Homes Foundation sowie die von der Islamic Association of Eastern Turkistan unterhaltene uigurische Website besuchten.

Experian Data Breach

Wir neigen dazu, uns an die letzte große Datenverletzung zu erinnern und alle anderen zu vergessen, die zuvor stattgefunden haben. Während der kürzlich von Target erlittene Datenverstoß, bei dem fast 40 Millionen Debit- und Kreditkartennummern während der Weihnachts-Einkaufssaison kompromittiert wurden, ziemlich schwerwiegend ist, war der gruseligste Datenverstoß, der Benutzerinformationen umfasste, der Experian-Datenverstoß.

Experian ist eine der Organisationen im Bereich des Kaufs und Verkaufs persönlicher Informationen - Sozialversicherungsnummern, Adressen, Bankkontodaten. Diese Informationen wurden laut einer Untersuchung des Sicherheitsschreibers Brian Krebs an einen Kriminalring in Übersee verkauft. Der Verstoß hat auch die Tatsache hervorgehoben, dass viele wissensbasierte Authentifizierungssysteme, bei denen Personen aufgefordert werden, ihre Identität zu überprüfen, indem sie angeben, welches Auto sie besitzen oder wo sie früher gelebt haben, jetzt noch anfälliger sind.

Menschen wachen zum Online-Datenschutz auf

Als Google mit seiner ersten Welle von Google Glass-Entdeckern die Zukunft der Wearable-Technologie aufrollte, flippten die Leute aus. Die Menschen waren sich endlich der Auswirkungen der Gesichtserkennung und der Möglichkeit bewusst, alles online zu posten, was sich auf ihre Privatsphäre auswirken könnte. Ist die Zukunft der Technologie eine Zukunft, in der es keine Privatsphäre gibt oder in der Menschen aus Restaurants und anderen Einrichtungen herausgeschmissen werden können, um die Privatsphäre zu gefährden?

Mit unseren Vorhersagen für neue Angriffe, ein nationales Internet, Online-Zahlungen, mobile Sicherheit und das Internet der Dinge haben wir bereits auf 2014 geschaut. Willkommen im Jahr 2014. Wird es ein Jahr der Unsicherheit oder Siege sein? Bleiben Sie im neuen Jahr bei Security Watch, wenn wir die Höhen und Tiefen der Sicherheit verfolgen.