To white-hat hackere, Charlie Miller og Chris Valasek, skapte overskrifter sist år da de demonstrerte hvordan de kunne
kapre kontrollsystemer av en bevegelse motor kjøretøy over Internett. Flytt fikk oppmerksomhet fra bransjen, og siste uke
General Motors fått på plass et program for å oppmuntre til mer digital dabblers å varsle selskapet når de finner feil i GM biler.
Arbeider med
HackerOne, GM publisert et sett av retningslinjer for å sende inn feil til selskapet. Retningslinjer, men for det meste beskrive hva en feil finder må gjøre for å unngå straffeforfølgelse.
For eksempel, det råder forskerne at de ikke skal skade GM kunder eller andre, invadere personvernet eller sikkerheten til kundene; bryter noen kriminelle lover; avdekke feil før GM løser dem, være en borger av Cuba, Iran, Nord-Korea, Sudan, Syria eller Krim, og være på det AMERIKANSKE finansdepartementets Specially Designated Nationals-Liste.
Det er ingen omtale i retningslinjene at GM vil kompensere forskere for arbeidstid vanligvis brukte å avdekke sårbarheter i programvare.
Vise Lederskap
“Å arbeide med hackere begynner ved å ha en tydelig måte for potensielle sårbarheter til å være ansvarlig rapportert,” sa HackerOne CTO Alex Ris.
“Et sikkerhetsproblem koordinering prosessen er en viktig sikkerhet for beste praksis for hver teknologi selskap,” sa han til TechNewsWorld. “General Motors viser lederskap i sitt felt med denne forpliktelsen.”
Ben Johnson, chief security strateg for
Bit9 + Carbon Black, som også roste GM ‘ s initiativ.
“Det er et klokt trekk for å prøve og få et helt samfunn til å stemme på problemet,” fortalte han TechNewsWorld.
Men populariteten av programmet er fortsatt usikkert, sier han. “Det vil være interessant å se hvor mange bidrar kontra hvor mange tar sjansen og gå falskt.”
Ingen Belønninger Program
GM initiativ mangler en viktig del av bug bounty-programmer.
“Det er ikke en bug bounty programmet, med mindre du har å tilby belønninger,” sa Casey Ellis, administrerende DIREKTØR i
Bugcrowd. “Å kalle noe for en bug bounty programmet når det er ingen belønning devalues det arbeidet som forskere gjør.”
GM initiativ er en sårbarhet offentliggjøring programmet, fortalte han TechNewsWorld. Det er å skape en måte for forskere å la GM vite når en feil er oppdaget.
“De ønsker å vise at de er ikke fiendtlig innstilt til hva forskerne gjør,” Ellis sa. “Det er et skritt i riktig retning, men belønninger ville være bedre fordi de plasserer riktig verdi på den forskning som blir utført.”
Bestikkelse Skuddpremier
Mens GM kan ikke betale for skuddpremier for feil, det kan bli å betale for dem selv om andre måter, vedlikeholdes Johannes Hoech, CMO av
Identity Finder.
“Noen bør spørre GM hvor mye de betaler i bestikkelser allerede,” fortalte han TechNewsWorld.
“Selskaper betaler dette penger hele tiden. Legit bug bounty programmer er i hovedsak et forsøk på å lovlig sele hva som ellers ville fortsette å være ulovlige aktiviteter,” Hoech sa.
“Slo PR trommer rundt saksøke forskere er ubrukelig og ineffektiv, fordi folk som kan reagere på at trusselen er ikke de som GM har å bekymre deg for anyhow,” han sa.
“I mellomtiden” Hoech fortsatte, “de går glipp fra nær-gratis intelligens som kan samles inn via legit bug bounty-programmer.”
DDoS-Utpressing
Europol i forrige uke kunngjorde at det utført en stor operasjon i desember mot en kriminell gjeng som har vært å kombinere to populære cyberthreats: distributed denial-of-service-angrep og digital utpressing.
I løpet av et verdensomspennende drift mot en gruppe kalt DD4BC, Europol arrestert viktigste mål, anholdt en annen mistenkt, og gjennom flere søk, beslaglagt en omfattende mengde bevis, byrået sa.
“Denne spesielle gruppen er beryktet og kjent i sikkerhet samfunnet,” sa Rene Paap, product marketing manager på
A10 Nettverk.
“De er talentfulle nettkriminelle med enorme ressurser,” fortalte han TechNewsWorld.
“De har vært å trekke til seg oppmerksomhet fordi de gjør DDoS for løsepenger i forhold til hacktivists som gjør det for å trekke oppmerksomhet til en sak,” Paap lagt til.
Avbøtende Billigere Enn Løsepenger
DD4BC lanserer DDoS-angrep mot mål som er avhengig av deres online tilstedeværelse for deres viktigste inntektskilder. Etter å bevise hva de kan gjøre, for de kriminelle gjør et kreve løsepenger, sier han.
“De sier at hvis du ikke betaler opp i dag, angrepene vil fortsette, og løsepenger vil doble,” Paap sa.
Å betale som løsepenger ikke gjør mye fornuftig, bemerket Tim Matthews, vice president of marketing i
Incapsula.
“For det første er det ingen garanti for at de kriminelle vil respektere avtalen. For det andre, du betaler bare for oss å identifisere deg eller din organisasjon som en mark, og den kriminelle kan komme tilbake og be om mer,” sa han til TechNewsWorld.
“Når de er identifisert som en organisasjon som vil betale, mens andre kan fange vinden og kommer din vei,” Matthews lagt til.
“Generelt,” sa han, “DDoS klimatiltak tjenester er tilgjengelig for månedlige avgifter som er mindre enn løsepenger beløp.”
Brudd Dagbok
- Jan. 11 KOIN TV i Portland, Oregon, rapporter U.S. Fish and Wildlife Service har bedt noen av sine ansatte til å flytte fra hjemmene sine på grunn av data brudd på Malheur National Wildlife Refuge, som blir okkupert av uautoriserte personer som kaller seg “Borgere for Konstitusjonell Frihet.”
- Jan. 11. TaxAct advarer et ukjent antall brukere at deres personlige informasjon kan ha blitt brukt av uvedkommende. Det mener sine systemer ble kompromittert av en inntrenger som brukes brukernavn og passord fås fra en kilde utenfor TaxAct.
- Jan. 11. Interxion er advarsel sine brukere som brudd på CRM-systemet er satt i fare informasjon om 23,200 kunderegistre, Registrere rapporter.
- Jan. 11. ISACA utgivelser undersøkelse av 2,920 medlemmer i 121 land som finner at 63 prosent er imot å gi regjeringer backdoor tilgang til kryptert informasjon, og 59 prosent mener personvern er å bli kompromittert for å gjennomføre sterkere cybersecurity lovgivning.
- Jan. 11. SC magazine rapporterer at Citrix har blitt kompromittert av w0rm, en russisk hacker kjent for sine angrep på BBC, CNET, Adobe og Bank of America.
- Jan. 12. eBay bekrefter det har oppdatert en XSS sårbarhet som plasserte den personlige data av millioner av brukere i faresonen.
- Jan. 12. Den personlige data av noen av 18 000 fans av Troløse ble stjålet fra dance act hjemmeside, Den Uavhengige rapporter.
- Jan. 12. En tyrkisk domstol setninger onur det medisinske Kopçak, 26, å 334 år i fengsel for drift av falske bank nettsteder som brukes til å stjele kredittkortnumre og bank legitimasjon.
- Jan. 12. Microsoft avslutter støtte, inkludert sikkerhetsoppdateringer for Internet Explorer 8, 9 og 10.
- Jan. 13. En Cloud Security Alliance undersøkelse av 209 sikkerhet og high-tech eksperter finner nesten en fjerdedel av respondentene (24.9%) ville betale løsepenger for å hindre en cyberattack, og 14 prosent ville betale mer enn$1 million til å gjøre det.
- Jan. 13. En undersøkelse av Cloudmark og Vanson Bourne finner den gjennomsnittlige kostnaden for et spyd phishing-angrep en AMERIKANSK bedrift til å bli $1,8 millioner.
- Jan. 14. OpenSSH utgivelser en oppdatering for en kritisk sårbarhet som kan utnyttes til å utsette privat krypteringsnøkkel. Feilen ble funnet i en udokumentert funksjon kalt “roaming” som støtter gjenopptakelse av avbrutt SSH-tilkoblinger.
- Jan. 15. Affinitet Gaming, en operatør av 11 kasinoer i Usa, sues Trustwave for å unnlate å hindre et datainnbrudd det ble ansatt for å lukke, Financial Times rapporter.
- Jan. 15. Dette hotellet, Hyatt Hoteller avslører at 250 hoteller i ble rammet av et angrep på sin betalingskort systemer fra 13 August til Desember. 8. Selskapet sa at det gjorde ikke vet ennå hvor mange kunder som ble berørt av angrepet.
- Jan. 15. MaineGeneral Medical Center kunngjør at en ytterligere 2000 mennesker kan ha hatt sine personlig informasjon kompromittert, inkludert personnummer, fra et angrep på sin datamaskin-nettverk i September. Anlegget ble opprinnelig anslått 118,000 mennesker ble berørt av angrepet.
Kommende Sikkerhetshendelser
- Jan. 21. Fra Skadelig å Utilsiktede — Bekjempe Insider Trusler. 1:30 pm ET. Webinar sponset av MeriTalk, DLT, og Symantec. Gratis registrering.
- Jan. 22. B-Sider Lagos. Sheraton Hotell, 30 Mobolaji Bank Anthony Måte, Airport Road, Ikeja, Lagos, Nigeria. Gratis.
- Jan. 26. Cyber Security: The Business View. 11 am CET. Mørk Lesing webinar. Gratis registrering.
- Jan. 28. Forståelse Malware Lateral Spredning Brukes i Høy Verdi Angrep. Noon ET. Webinar sponset av Cyphort. Gratis registrering.
- Jan. 28. State of the Phish-En 360-Graders Utsikt. 1 pm ET. Webinar sponset sponset av Wombat sikkerhetsteknologier. Gratis registrering.
- Feb. 3. Å bygge et IT-Security Awareness Program Som Virkelig Fungerer. 2 pm ET. InformationWeek DarkReading webinar. Gratis registrering.
- Feb. 4. 2016 årlige global Infrastruktur Security Update. 11 am CET. Webinar sponset av Arbor Networks. Gratis registrering.
- Feb. 5-6. B-Sider Huntsville. Dynetics, 1004 Explorer Blvd., I Huntsville, Alabama. Gratis.
- Feb. 9. Start Med Sikkerhet. University of Washington Law School, 4293 Memorial Måte NE, Seattle. Sponset av Federal Trade Commission. Gratis.
- Feb. 11. SecureWorld Charlotte. Charlotte Konferansesenter, 501 Sør College, St., Charlotte, North Carolina. Registrering: konferanse pass, $195; SecureWorld Plus, $625; utstillinger og åpne økter, $30.
- Feb. 16. Architecting den Hellige Gral av Network Security. 1 pm ET. Webinar sponset av Toppene Sikkerhet. Gratis registrering.
- Feb. 20. B-Sider Seattle. Commons Mikser Bygning, 15255 NE 40th St., Redmond, Washington. Billetter: deltaker, $15 pluss $1.37 avgift; super awesome donor deltaker, $100 pluss $3.49 avgift.
- Feb. 28-29. B-Sider San Francisco. DNA-Stue, 375 11. St., San Francisco. Registrering: $25.
- Feb. 29-Mars 4. RSA USA 2016. Moscone Center, 747 Howard St., San Francisco. Registrering: hele konferansen pass før Jan. 30, $1,895; før Feb. 27, $2,295; etter Februar. 26, $2,595.
- Mars 10-11. B-Sider SLC. Salt Palace Convention Center, 90 South West Temple, Salt Lake City. Registrering: $65.
- 18. mars. Gartner Identity and Access Management Summit. I London. Registrering: før Jan 23, 2,225 euro pluss MOMS, og etter Jan. 22, 2,550 euro pluss MOMS; offentlig sektor. $1,950, – pluss MVA.
- Mars 29-30. SecureWorld Boston. Hynes Convention Center, Utstilling Hall D. Registrering: konferanse pass, $325; SecureWorld Plus, $725; utstillinger og åpne økter, $30.
- Juni 13-16. Gartner Sikkerhet Og Risikostyring Toppmøtet. Gaylord National Resort & Convention Center, 201 Waterfront St., National Harbor, Maryland. Registrering: før April 16, $2,950; etter April 15, $3,150; offentlig sektor, $2,595.
