Sokat hallunk mostanában arról, hogy a jelszó, a jelszavas védelem elavultnak számít. Ha jelszóval akarjuk védeni a digitális életünket, az nagyjából olyan, mintha a lakásajtóra olyan zárat szerelnénk fel, amit egy bankkártyával ki lehet nyitni. Miközben olyan világszerte ismert cégeket törtek fel, mint a Facebook, az Apple, a Twitter vagy a Burger King, azért szerencsére felcsillant egy reménysugár is: a Google két mérnöke azzal jelentkezett, hogy kidolgoztak egy tervet a helyzet kezelésére. Eric Grosse a Google biztonságért felelős alelnöke és Mayank Upadhyay biztonsági igazgató nyilvánosságra hoztak egy jelentést az általuk végzett kutatásokról, miszerint hogyan lehetne növelni a biztonságot a nyilvános kulcsú technológiák és a két lépéses ellenőrzésben felhasznált egyszer használatos jelszavak segítségével.

"Az ember jelenti a legnagyobb fenyegetést". A Houston Chronicle most megjelent riportja szerint kitűnően példázzák ennek az állításnak az igazságát azok az esetek, amelyekben a tengeri olajfúrótornyokon lévő számítógépek úgy fertőződtek meg, hogy az alkalmazottak pornót és kalóz szoftvereket töltöttek le az Internetről. A cikk szerint számos torony hálózata esett áldozatul a támadásnak, és voltak olyanok is, amelyekkel elveszett az internetes kapcsolat a fertőzés miatt. A Mexikói öbölben lévő egyik platform teljesen lezárta a rendszerét a káros szoftverek miatt. A kiberbiztonsági szakértők szerint az ilyen energiaiparban működő rendszerekben nem szabadna egy átlagos malware fertőzésnek komoly károkat okoznia, azonban egy célzott támadás segítségével óriási problémákat lehet előidézni. A legrosszabb esetekre készített forgatókönyvek szerint akár katasztrófák is bekövetkezhetnek: egy olajfúrótorony hibásan működő, összetett rendszere robbanást, olajszennyezést okozhat, és emberi életeket is veszélyeztethet.

A Big data elemzések első alkalommal marketing célokból készültek. Azzal hogy megértjük a kapcsolatot a felhasználók és az általuk végrehajtott műveletek közt, hatékonyabban tudjuk eladni az árunkat és a szolgáltatásainkat. Mostanra azonban ez a gyakorlat megjelent a biztonságban is: ha megértjük az összefüggést a hálózati hibák és az események közt, akkor nagyobb biztonságban tudhatjuk magunkat. A Teradata és a Ponemon Institute tegnap kiadott kutatása szerint a big data elemzésekre épülő biztonsági eszközök egyre jobban elterjednek az iparágban. A tanulmány végső következtetése az, hogy ezen eszközök hatékonyságát széleskörűen felismerték, bár a kiterjedt használatuk még nem túl gyakori. A tanulmány azt mutatja, hogy a kibertámadások egyre veszélyesebbekké válnak, ennek ellenére a szervezetek alig 20%-a elég hatékony ahhoz, hogy megállítsák azokat. A két legnagyobb veszély a káros szoftver (9.6/10 pont ) és a rosszindulatú felhasználó (8.88 pont). A hálózat ellen végrehajtott káros cselekmények korai felismerése mindkét esetben a gyorsabb és hatékonyabb védekezést jelenti.

Az elmúlt évben a Java egy szoftversérülékenységekkel teli, végtelen hosszúnak látszó útra tévedt, részben azért, mert a végfelhasználók számára láthatatlan a szoftverkörnyezet, részben azért a rendszer lehetővé teszi a hozzáférést. Csak januárban két új 0-day sérülékenységet vettek célba a széleskörűen használt exploit kit-ek. Legalább egy Java sérülékenység odáig vezetett, hogy sikerült bejutni az Apple, a Facebook, a Microsoft hálózatába, de rajtuk kívül még sok érintett volt, és lehet, hogy köze van 250 ezer Twitter fiók feltöréséhez is. A veszélyekre való tekintettel, sok biztonsági szakértő azt javasolja, hogy kapcsoljuk ki a böngészőkben lévő Java bővítményt, vagy akár egy drasztikusabb lépéssel egyszerűen töröljük a gépről az egész Java Runtime Environment-et (JRE). Ezek a lépések sok felhasználó számára hasznosak lehetnek, de vannak olyanok, akik számára nem jelent megoldást.

Nir Goldshlager biztonsági szakértő a Facebook egy sérülékenységéről számolt be, amelynek kihasználásával bármilyen Facebook fiók felett meg lehet szerezni az ellenőrzést. A hibát az OAuth komponensben fedezte fel, amelyet a közösségi oldal arra használ, hogy az alkalmazások és a felhasználók közti kommunikációt bonyolítsa. Rendszerint a felhasználóknak engedélyezniük vagy el kell fogadniuk az alkalmazás kérését arra, hogy az hozzáférjen a fiókjukhoz, még mielőtt először használatba vennék. A Facebook alkalmazások különböző jogosultságokat kérhetnek. A kutató rámutatott arra, hogy az általa feltárt hiba teljes hozzáférést biztosít az áldozat fiókja felett (bejövő üzenetek olvasása, kimenő üzenetek, oldalak szerkesztése, reklámok kezelése, privát képekhez történő hozzáférés, stb.).

A Mozilla lépéseket tesz annak érdekében, hogy korlátozza a rossz kezekbe került, másodlagos tanúsítvány kibocsátók által kiadott tanúsítványok által okozott kockázatokat, amelyek segítségével SSL lehallgatásos (SSL snooping) támadásokat lehet végrehajtani. A böngésző gyártó frissítette a CA Certificate Policy-t, és új követelményeket fog előírni, amelyek magasabb elszámolhatóságot ígérnek a másodlagos CA (sub-CA) tanúsítványokkal kapcsolatban, és független vizsgálatokat és szabályokat vezetnek be.

Még az ősszel megjelenik, és a következő évben be is vezetik azt a kiberbiztonsági szabályozást, amelyet a magánkézben lévő és más létfontosságú, a hadsereg támogatását élvező közüzemeknek meg kell felelniük. A Védelmi Minisztérium már azelőtt dolgozott a szabályokon, mielőtt Obama elnök múlt héten kedden felszólította a kormányt, hogy vizsgálják meg annak lehetőségét, hogy minden szövetségi szerződésben kötelezővé tegyék az ilyen jellegű szabályozást. A kritikus infrastruktúrák tulajdonosai korábban kérték a kormányt, hogy állítson össze egy olyan útmutatót, amely segíthet kivédeni a támadásokat, bár sokan idegenkednek a központi számítógépes biztonsági szabályoktól. A Pentagon vezetői azonban már régóta kongatják a vészharangot, miszerint az Egyesült Államokat előbb vagy utóbb pusztító kibertámadás fogja érni, ha a kormány és az üzleti élet nem cselekszik a veszély csökkentése érdekében.

A nagy szervezetek komoly küzdelmet folytatnak azért, hogy az olyan biztonsági eszközöket, mint a titkosító kulcsok és digitális tanúsítványok, megfelelően tudják kezelni, mivel ezek használata a kibertámadások széles skálája előtt nyitja meg az utat, állítja egy most kiadott jelentés. A Cost of Failed Trust című felmérés 2342 adminisztrátor megkérdezésével készült, és a válaszadók 51%-a azt mondta, hogy nem tudja, mennyi kulcsot és tanúsítványt használnak a szervezetnél. Azok a szakemberek, akik tudtak válaszolni, megdöbbentően óriási számokat mondtak, így szervezetenként átlagosan több mint 17 ezer különböző eszközzel lehet számolni. A szervezetek 18%-a úgy véli, voltak már áldozatai olyan támadásoknak, amelyek a gyenge kulcs és tanúsítvány kezelési rendszert vették célba, különösen azoknál, akik használnak SSH kulcsokat is felhő szolgáltatások eléréséhez.

A SafeNet által 230 egyesült államokbeli biztonsági szakértő megkérdezésével készített felmérése azt mutatja, hogy hálózati határvédelmi technológiák folyamatos fejlesztése és az azokba történő beruházások ellenére sem biztosak a megkérdezettek abban, hogy a megfelelő módszereket használják az értékes vállalati adatok védelmére. Bár a válaszadók 74%-a úgy vélte, hogy a határvédelem képes hatékonyan megállítani az illetéktelen behatolási kísérleteket, 34%-uk elismerte, hogy a múltban megtörtént már az, hogy a támadók áttörtek a védelmen.

Az elmúlt időszakban számos betörésről kaptunk hírt: a Federal Reserve Bank, a The New York Times és még a Bush család is, hogy csak párat említsünk meg a sok esetből. Az ilyen esetek után milyen esélyeink vannak? Hogyan védhetjük meg magunkat? Mint bármilyen más esetben, az első lépés a védekezés és megelőzés felé az, hogy megértjük magát a fenyegetést. Egy számítógépes hálózat több mint a hardverek és a szoftverek összessége, mivel hozzá tartoznak az emberek is, akik hozzáférhetnek a hálózathoz. És ezzel már el is jutottunk minden rendszer legveszélyesebb sérülékenységéhez: a felhasználóhoz. Gyakran előfordul, hogy a bonyolult kódok írása helyett a betörő csak meggyőzi az egyik felhasználót arról, hogy kinyissa neki az ajtót, amin be tud sétálni. Ezt a módszert úgy nevezik, hogy social engineering. Egy tipikus csel, hogy a támadó megszemélyesít valakit - például egy vállalati technikust vagy valaki mást az irodából (akár valódi munkatárs nevét használva) - majd azzal az ürüggyel, hogy valamilyen ellenőrzést végez, meggyőzi a felhasználót, hogy megadja a jelszavát.