视频: æ½®å·å¸å ´ä¸é¶ç·æéå ¬å¸ä¼ä¸å®£ä¼ ç (可能 2024)
现在,即使是最早的汽车旅馆也都提供免费无线网络连接。 我们已经期待了。 因此,自然而然地,我们期望在Airbnb或其他共享经济租赁服务上获得相同的服务水平。 但是,安全专家杰里米·加洛韦(Jeremy Galloway)在Black Hat演讲中明确指出,两者之间存在着很大的不同。
短期租金是巨大的
加洛韦花了一些时间来敲定短期租赁市场的规模。 市场规模估计为每年1000亿美元,这使其介于云服务的所有支出(1100亿美元)和可卡因的全球销售额(850亿美元)之间。 哦,拉斯维加斯的游戏产业? 大约是63亿。
他还表示,今年夏天使用Airbnb的客人人数超过了希腊,瑞典或瑞士的全部游客。 在全球有超过2, 000, 000个Airbnb房源(或他所称的目标),这绝对是巨大的。 加洛韦说:“ Airbnb是一种非常流行的赚钱机器。” “但是一项研究表明,有40%的客人承认在他们所拜访的房屋中窥探。我做到了!我检查一下是什么锁着,什么没有锁住。”
一网架
加洛韦说:“您的安全专家可以在网络上得到一种有趣的感觉。您具有一般人所不具备的第六种安全感。” “我有一定的信任度。您的个人家庭网络是100%。大学网络很好,他们有IT安全性,但是所有这些学生,我想说的是50%。最后,那个随机的酒店服务站,这是零%。Airbnb?我大概是20%。”
加洛韦(Galloway)指出了一个在线性接触计算器。 以您拥有的合作伙伴数量以及 他们 拥有的合作伙伴数量为例,您会看到有多少人接触过。 加洛韦说:“在拥有一个网络支架之前,请三思。” “这是一个愚蠢的说法,但是将交易便利性与风险进行比较很有意义。”
黑客可以做什么
在过去的几年中,Galloway经历了一系列基于路由器的攻击。 DNSChanger,Moon蠕虫,BlackMoon,所有这些工作都是通过远程更改受害者的路由器来实现的。 加洛韦引述安全超级英雄丹·盖尔(Dan Geer)的话说,路由器的状况与封闭式购物中心内的汽油泄漏一样容易。 加洛韦说:“就我而言,路由器安全性是一个肆虐的垃圾站文件。”
当然,这些攻击需要以某种方式远程抑制路由器。 当攻击者具有物理访问权限时(如短期出租),这将改变一切。 加洛韦展示了他的签名路由器APT。 不,不是高级持续威胁; 高级 回形针 威胁。 加洛韦说:“您不必是MacGyver。” “使用弯曲的曲别针来重置路由器,然后删除整个安全层。这都不要求零日攻击或疯狂的利用代码。”
它变得更糟,更糟。 可以物理访问路由器的人可以捕获您的敏感数据,修改受信任的数据,注入数据等。 “是的,”加洛韦说,“情况不会变得更糟。”
他列举了许多可行的方法来破解路由器,只要对它们进行物理访问即可,从烦人到灾难性的变化。 您可以将自己的设备配置为远程管理员,并在访问后数周监控路由器。 您可以使用一个简单的工具提取所有设备密码。 将自己设置为日志服务器,您将被动地看到所有流量。
更可怕的是,您可以将自己的服务器设置为路由器的DNS服务器。 这启用了中间人攻击,该攻击可以窃取通过路由器连接的任何人的私人信息。 加洛韦指出:“您无法针对受到这些攻击的个人,但您可以针对会议,军事基地附近的场所,公司办公室。” 他在引用Dan Kaminsky的主旨发言时说:“ ICANN竭尽全力确保DNS安全。您要一臂之力和愿望来保护您的DNS。”
你可以做什么
您仍然可以使用Airbnb和短期租赁,但如果登录,请保护自己。 加洛韦有一份建议的清单。 在所有设备中对DNS进行硬编码。 关闭自动代理发现。 使用VPN。 如果您的设备具有蜂窝数据,请关闭Wi-Fi。 将其他设备作为个人热点绑定到手机(只需跟踪移动数据的使用情况)。 尽可能启用两因素身份验证。
加洛韦说:“这是技术性的,但是还有一些更重要的方法。” “改变您的界面方式。我的一条建议是,请观看机械人先生!您将使自己面临的安全性超过99%的用户。您将成为收入最高的百分之一!”
业主可以做什么
如果您租借Airbnb的访客带着恶意软件回家,他们将不会给您很好的评价。 如果您的租房只是您房间中的一间房,那么您自己可能完全依赖于该网络。 加洛韦说:“我唯一的最佳建议就是消除物理访问。将路由器锁定在壁橱或安全室内。将路由器锁定在电子机柜中。我对黑客说,他们说,哈,我可以挑选在五分钟内锁定。是的。重点不是创造完美的安全性,而是要让人们保持诚实。”
“您甚至可以考虑不提供Wi-Fi,”加洛韦继续说道。 “或者只为客人提供一条单独的低带宽线路。这是一项商业费用。需要定期备份和恢复路由器设置。并在客人指南中添加一个在线安全部分。”
没有好消息
“我不能给你一个好消息,”加洛韦总结道。 “问题不会消失。自2011年以来,每年都是'突破年',主要是由于SQL注入。SQL注入自1998年以来一直存在。没有补丁,更新或简单的修补程序。”
我只能说,哇 如果您想挖掘全部技术细节,是为了更好地保护自己还是成为家庭路由器黑客,请阅读Galloway的完整演示。
![不会破坏资金的返校小工具[赞助]](https://img.rovinstechnologies.com/img/sponsored-content/604/back-school-gadgets-that-wont-break-bank.jpg)
