أسبوع الأمن 10: مؤتمر RSA والتوعية بالأمن السيبراني

عُقد مؤتمر الأمن السيبراني التالي RSA Conference 2020 في سان فرانسيسكو الأسبوع الماضي ، وهو حدث لا يوجد فيه سوى القليل من الأعمال أكثر من التكنولوجيا. ميزات الأعمال في الصناعة ليست أقل أهمية من الميزات التقنية ، على الرغم من أن هذا التفاعل تحت علامة نوع من العداء: يقول مديرو تطوير الأعمال الكلمات الجميلة ، والتقنيات تشعر بالملل. الحديث عن الكلمات: هذه هي الطريقة التي تطورت بها الموضوعات الرئيسية لمؤتمر RSA ، الكلمات الأساسية لمؤتمر واحد ، على مدى السنوات الخمس الماضية. في عام 2016 ، كان الموضوع الرئيسي هو أمن إنترنت الأشياء ، في عام 2017 - الذكاء الاصطناعي ، في عام 2018 - عدم وجود الرصاص الفضي والحلول البسيطة في الدفاع السيبراني ، في عام 2019 - مشكلة السمعة.

في عام 2020 ، رئيس RSAأثار موضوع التقسيم إلى تقنيين ورجال أعمال ، وتحويل الانفتاح الكبير بشكل غير متوقع إلى مناقشة للمشكلة الحقيقية ، وإن كان بعبارات عامة: "سيتم الحكم على شؤوننا من خلال القصة التي سيتم سردها عنهم. ونريد أن تكون هذه قصة عن المقاومة الناجحة للتهديدات السيبرانية ، وليست قصصًا فنية عن لعبة كرة الطاولة الإلكترونية. " هذا هو: مجتمع أمن تكنولوجيا المعلومات مغلق ، وهو غير مفهوم لأي شخص ، ونحن بحاجة إلى تغيير ذلك. لا تشارك فقط المشاكل ، ولكن أيضًا الحلول الناجحة: "إعادة صياغة الثقافة من نخبوية إلى ثقافة منفتحة".


كلمات جميلة ، لكن هل ينبغي أن نتوقع الانفتاح من التقنيين - سؤال كبير. لا يتعلق الأمر بطبيعة أشخاص معينين ، ولكن حول ميزات الوظيفة ، التي تتطلب أقصى قدر من التركيز على التفاصيل الصغيرة ، نفس لعبة كرة الطاولة. لبث الانتصارات في أمن تكنولوجيا المعلومات ، يجب أن تكون قادرًا على شرحها بكلمات مفهومة للجمهور. صياغة ما يجب اعتباره انتصارًا على الأقل. لا يتم الحصول على هذا دائمًا ، وبالنسبة للعديد من المشاركين في الصناعة ، فإن هذه المهمة بعيدة عن الأولوية. إن من يعطي الثقافة شكلاً جديدًا هو أيضًا سؤال جيد: غالبًا ما تشارك نفس الإدارة غير التقنية ، التي يمثلها روهيت جاي ، في ذلك. اتضح أنه عندما يطلب تغييرات من على منبر مؤتمر RSA ، هل المطلب موجه لنفسه؟ هذه مهمة مشرفة. جعل الأمن السيبراني أكثر وضوحابتعبير أدق ، من الضروري المساعدة على تصور واقعي لهذا المجال من المعرفة. خلاف ذلك ، هناك حالات نلاحظها كثيرًا مؤخرًا: عندما تتم مناقشة الهجمات السيبرانية والدفاع السيبراني على مستوى سياسي بمعزل عن الوضع الحقيقي.

سنستعرض بإيجاز الكلمات الشيقة في مؤتمر RSA 2020. واصل كاتب التشفير بروس شناير موضوع الانفتاح ، ولكن من زاوية مختلفة: يقترح إدخال "ثقافة القرصنة" (في هذه الحالة ، القدرة على حل المشكلات باستخدام طرق غير قياسية) خارج تكنولوجيا المعلومات. على سبيل المثال ، في التشريع أو في السياسة الضريبية. خلاف ذلك ، تم العثور على نقاط الضعف في البرامج وإغلاقها بنجاح ، ولا تزال هناك ثغرات في قانون الضرائب لسنوات.


تحدث الباحث باتريك واردل عن حالات الهندسة الخبيثة العكسية على جانب المجرمين الإلكترونيين. عند دراسة الهجمات السيبرانية على أجهزة كمبيوتر Apple ، وجد أمثلة حيث يأخذ المهاجمون شفرة خبيثة يوزعها شخص آخر ويكيفها مع احتياجاتهم الخاصة. وقال ممثلو Checkmarx ( أخبار ، أبحاث ) عن نقاط الضعف في الذكية روبوت المكنسة الكهربائية. المكنسة الكهربائية مزودة بكاميرا فيديو ، لذا فإن الاختراق الناجح لا يسمح فقط بملاحظة مالكي الجهاز ، ولكن أيضًا لتغيير نقطة المراقبة إذا لزم الأمر. تركز دراسة أخرى لإنترنت الأشياء على نقاط الضعف في الشاشة لرصد الطفل.

وجدت ESET الضعف Kr00k ( الأخبار والمعلومات عنالشركة على الانترنت ) في وحدات واي فاي، والذي يفك شفرة جزئيا حركة المرور التي تنتقل بين الأجهزة. يتم استخدام الوحدات التي تنتجها Broadcom و Cypress ، والتي يتم استخدامها في كل من الهواتف المحمولة وأجهزة الكمبيوتر المحمولة ، وفي أجهزة التوجيه. أخيرًا ، خضعت لوحة برامج التشفير (أساسًا للأيام الخوالي عندما كان مؤتمر RSA مكانة بين خبراء التشفير) عبر blockchain مرة أخرى. لا يحب المبرمجون صناعة العملات الرقمية لتعيين البادئة "التشفير" ، ولكن في هذه الحالة كان الأمر يتعلق باستخدام blockchain للانتخابات. قدم ممثل معهد ماساتشوستس للتكنولوجيا رونالد ريفست نتائج تحليل معين للفرص ، والنتيجة هي أن بطاقات الاقتراع الورقية أكثر موثوقية. حتى باستخدام blockchain ، من الصعب إنشاء نظام برمجيات لتسجيل الأصوات التي يمكن الوثوق بها.

ماذا حدث أيضًا:

ثغرة يوم الصفر الحرجة في Zyxel NAS وجدران الحماية. تم اكتشاف الاستغلال في البيع المفتوح في السوق السوداء. يسمح لك الخطأ بتنفيذ تعليمات برمجية عشوائية على الجهاز ، والتي يمكن الوصول إليها من خلال الشبكة من خلال التعريف ، والحصول على السيطرة الكاملة عليها. تم إصدار التصحيح لعدد كبير من أجهزة Zyxel ، ولكن ليس للجميع - لم تعد بعض NAS الضعيفة مدعومة. اكتشف

ThreatFabric إصدارًا جديدًا من Cerberus Android Trojan ، والذي يمكنه استخراج رموز المصادقة ذات العاملين من تطبيق Google Authenticator. خطأ

في دمج محافظ Paypal مع خدمة الدفع Google Pay ، سمحت لوقت قصير بسرقة الأموال دون علم المالك. لا توجد تفاصيل ، ولكن من المفترض أن المهاجمين وجدوا طريقة لاستخراج بيانات بطاقات الدفع الافتراضية التي يتم إنشاؤها عند ربط الخدمة بخدمة Google Pay. كشف

باحث ألماني عن تطبيق iOS "ضار" يراقب باستمرار الحافظة المتاحة لجميع البرامج على الهاتف. منطق الباحث: إذا تم نسخ رقم بطاقة الائتمان إلى المخزن المؤقت ، يمكن للمهاجم سرقته. رد فعل التفاح: نعم ، لكنها حافظة. يجب أن يكون متاحًا لجميع التطبيقات ، وإلا فإنه لا معنى له.