שלטי חוצות, פורנו, ומדוע הכל קל כל כך לפריצה

אני מבטיח לך שלמאמר זה יש נקודה שאגיע אליה בקרוב. אולם ראשית, בואו’מדבר על גווזה. אל תגלוש את תקופת ההקדם. אם האזהרה הזו הגיעה מאוחר מדי, אני מתנצל. אם אתה כבר יודע מה זה, אני מרחם עליך.


אם אתה מקלט’לא ראיתי את גאתה, ואל’אני לא יודע מה זה, שמור על גלגלי העיניים הבתולים שלך. די אם נאמר, גואזה היא אחת התמונות הוותיקות והזוהות ביותר מאחת הפינות העתיקות והכי עבותות באינטרנט.

זו הסיבה שכאשר שלט חוצות אלקטרוני במרכז העיר אטלנטה נפרץ כדי להציג את Goatse, זו הייתה דיל ביג דיל. לא רק המשטרה, אלא גם ה- FBI והמחלקה לביטחון פנים בוחנים את האירוע.

כאן אני מגיע לנקודה של המאמר הזה, שהוא - איך דברים כאלה קורים? התשובה הולכת להיות הפוכה ממה שאתה חושב. מרבית המאמרים בתקשורת ידווחו על סיפור שלטי החוצות “פריצה” תקרית, שמעבירה את ההאשמות של הסיפור על האקרים.

האנשים האלה, בכוונה זדונית, השתמשו בשורות קוד, משקאות אנרגיה, וכנראה גם EDM, כדי להרוס את ארוחות הצהריים של הנוסעים באטלנטה. זהו נרטיב שגוי. כשהטיטאניק שקע, האם זה הקרחון’אשם?

כאן’שאלה: כאשר לחצת על הכפתור לסגירת דלתות המעלית, האם עשית סתם “גרזן” המעלית? לא עשית’t - לחצת על כפתור. פריצת שלט חוצות זה באטלנטה דרשה מאמץ זהה בערך.

הפרטים המדויקים אינם ברורים, אך נראה כי החברה, YESCO, לא הצליחה לשנות את סיסמת ברירת המחדל בפורטל ניהול האינטרנט שלה..

(Protip: אם אי פעם אתה משתמש או רוכש מכשיר המחובר לאינטרנט, שנה את הסיסמה באופן מיידי. אחרת, פריצה למכשיר זה תהיה קלה כמו Googling של הבעלים’לפני האירוע, חוקר האבטחה דן טנטלר אפילו הזהיר את YESCO מה עשוי לקרות. התשובה שלהם עם שבע מילים הייתה, “לא מעוניין אבל תודה על המעקב”.

הסיבה העיקרית לכך שביטחון המידע נשבר ביום ובגיל זה אינה מכיוון שהאקרים משתפרים בפריצות. הסיבה לכך היא שרוב החברות, ברוב הענפים, לא’לא אכפת מהגנה על הלקוחות שלהם. הבנקים נדרשים על פי החוק להתייחס לאבטחת מידע ברצינות רבה. בתי חולים וחברות בריאות נדרשים לנקוט בצעדים דומים במסגרת HIPAA.

עם זאת, לאחר שתצאו מחוץ לתעשיות הללו, הדרישות נופלות מהר מאוד. אם אתה מטפל בנפח גדול של פרטי כרטיסי אשראי, לדוגמה, שם’זה תקן המכונה PCI DSS, אשר אמור לסייע לחברות להגן על פרטי תשלום הלקוחות שלהם. עם זאת, הציות ל- PCI DSS הוא כמעט וולונטרי לחלוטין, וייתכן שהתקן לא עובד כל כך טוב.

ברגע שאתה יוצא מחוץ לתעשיות המוגדרות היטב כמו שירותים, כספים ובריאות, ההגנה על אבטחת המידע מחויבת פחות או יותר. מפעילים חברת תעופה? אל תהסס לא לדאוג infosec. מייצרים מכשירים רפואיים? השקיע את ה- R שלך&דולרים במקום אחר. מה אם תעשה מנעול חכם ומחובר לאינטרנט? מי יחשוב אי פעם לפרוץ את זה?

כל אלה הם אירועים, שנלקחו מחודשיים האחרונים, בהם חוקרי אבטחה גילו פגמים גדולים מאוד וניתנים לניצול רב בתשתיות שאנו עשויים לשקול קריטיים - שלאחר מכן התעלמו מהם. במקרים של המנעול והמטוס איימו החברות המתאימות על פעולה משפטית נגד החוקרים המעורבים.

כריס רוברטס, האיש שבמרכז מחלוקת המטוס, נמצא באזור קצת אפור מוסרי. מעשיו כנראה ראויים למאמר משלהם’שווה לדיון, אבל תן’מגבה שלב: כיוון שלא נעשה דבר מלבד להצביע על ליקויי אבטחה במכשירים אשר אם הם ייכשלו עלולים לגרום לכל הפחות לגניבה ואובדן רכוש, ו מוות המוני במקרה הגרוע ביותר, שני אנשים קיבלו איומים משפטיים, ואחד כמעט ייכנס לכלא.

האם אתה עדיין חושב שהאקרים הם הבעיה החמורה ביותר כאן?

הגיוני יותר לחשוב על האקרים ככנרית במכרה הפחם. אני’אני לא אומר שיש כאלה’אין פיקוח שם בחוץ - הפרות קשות אכן מתרחשות וגורמות לאובדן כסף ורכוש.

אולם כאשר הפרות הללו מתרחשות’לא סביר שתשמע על זה. גם כשיש לך הפרה בסדר גודל של השנה שעברה’אם מטרה לפרוץ, חברות יחכו שבועות או חודשים לפני שתודיעו לצרכנים.

שוב, חברות לא’לא להתמקד בהגנה על מידע. הם רוצים להכחיש, להקל ולכסות. תיקון פגיעות פירושו להודות בכך, שמשמעותו מבוכה, שפירושה לא.

הפעולות הנראות לעין של אנשי קונדס וחוקרי אבטחה ייעודיים הן לעיתים הדרך היחידה שבה חברות אלו מקבלות דין וחשבון. עלינו להריע במאמציהם - אלא אם כן אנו רוצים שמטוסים יתחילו ליפול מהשמיים.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me