Två white-hat ” – hackare, Charlie Miller och Chris Valasek, skapade rubriker förra året när de visade hur de kunde
kapa system för kontroll av ett rörligt motorfordon över Internet. Flytta fått uppmärksamhet av bilindustrin, och i förra veckan
General Motors har infört ett program för att uppmuntra fler digitala dabblers att varna företag när de hittar fel i GM fordon.
Arbetar med
HackerOne, GM publicerat en rad riktlinjer för att skicka in brister till företaget. De riktlinjer, dock främst beskriva vad en bugg finder måste göra för att undvika åtal.
Till exempel, det rekommenderar forskare att de inte orsakar skada för GM kunder eller andra; kompromiss integritet eller säkerhet av kunder, bryter mot några lagar om brott; uppenbara buggar tills GM fixar dem, vara bosatt i Kuba, Iran, Nordkorea, Sudan, Syrien eller Krim, och vara på U.S. Treasury Department ‘ s Specially Designated Nationals List.
Det finns inte nämns i riktlinjerna att GM kommer att kompensera forskare för timmar av arbete normalt tillbringade upptäcka sårbarheter i programvara.
Visa Ledarskap
“Att arbeta med hackare börjar genom att ha ett tydligt sätt för potentiella sårbarheter för att på ett ansvarsfullt sätt rapporterade,” sade HackerOne CTO Alex Ris.
“En sårbarhet process för samordning är en viktig säkerhet för bästa praxis för varje teknik för företag”, sa han till TechNewsWorld. “General Motors är att visa ledarskap inom sitt område med detta åtagande.”
Ben Johnson, chief security strateg för
Bit9 + Carbon Black, som också berömde GM: s initiativ.
“Det är ett klokt drag att försöka få ett helt samhälle att crowdsource problem”, sa han till TechNewsWorld.
Dock populariteten av programmet är fortfarande osäker, sade han. “Det ska bli intressant att se hur många bidra kontra hur många tar sina chanser och gå oseriösa.”
Inga Belöningar Program
GM initiativ saknar en viktig komponent i bugg-bounty-program.
“Det är inte en bugg-bounty-program om du erbjuder belöningar,” sade Casey Ellis, VD,
Bugcrowd. “Att kalla något en” bug-bounty-program när det inte finns någon belöning nedvärderar det arbete som forskare gör.”
GM: s initiativ är en sårbarhet avslöjande program han berättade TechNewsWorld. Det skapar en möjlighet för forskare att låta GM veta när ett fel upptäcks.
“De vill visa att de är inte fientligt inställda till vad forskare gör,” Ellis sagt. “Det är ett steg i rätt riktning, men belönar skulle vara bättre, eftersom de lägger korrekt värde på den forskning som görs.”
Muta Skottpengar
Medan GM kan inte betala skottpengar för fel, det kan vara att betala för dem även på andra sätt, underhålls Johannes Hoech, gemensamma organisationen av marknaden för
Identitet Finder.
“Någon borde be GM hur mycket de betalar i mutor redan”, sa han till TechNewsWorld.
“Företag betalar dessa pengar hela tiden. Legit bug bounty program är i huvudsak ett försök att rättsligt sele vad som annars skulle fortsätta att vara olaglig verksamhet,” Hoech sagt.
“Slå PR-trummor runt stämma forskare är värdelösa och ineffektiva, eftersom folk som kan svara på detta hot är inte de som GM har att oroa dig i alla fall”, sade han.
“Under tiden” Hoech fortsatte, “det är de missar från nära-gratis intelligens som kan samlas in via en bluff bug bounty program.”
DDoS-Utpressning
Europol förra veckan meddelade att det genomförs en större operation i December mot ett kriminellt gäng som har varit att kombinera två populära cyberthreats: distributed denial-of-service-attacker och digital utpressning.
Under ett världsomspännande verksamhet mot en grupp som kallas DD4BC, Europol greps ett viktigt mål, fängslade annan misstänkt, och genom att göra flera sökningar, beslagtogs en stor mängd bevis, byrån sade.
“Denna grupp är ökända och välkända i säkerhet”, sade Rene Paap, product marketing manager på
A10 Networks.
“De är duktiga cyberbrottslingar med stora resurser,” han berättade TechNewsWorld.
“De har varit dra uppmärksamhet till sig själva för att de gör DDoS för lösen jämfört med hacktivists som gör det för att uppmärksamma en sak,” Paap läggas till.
Begränsning Billigare Än Lösen
DD4BC lanserar DDoS-attacker mot mål som är beroende av deras online-närvaro för sina huvudsakliga intäkter. Efter att bevisa vad de kan göra, de cyberbrottslingar göra en lösen efterfrågan, sade han.
“De säger att om du inte betalar upp idag, attacker kommer att fortsätta och lösen kommer att fördubblas,” Paap sagt.
Betala att lösen inte göra mycket vettigt, konstaterade Tim Mattsson, vice vd för marknadsföring på
Incapsula.
“För det första, det finns ingen garanti för att de kriminella kommer att hedra avtalet. För det andra, betala endast kommer att identifiera dig eller din organisation, som en markering, och de kriminella kan komma tillbaka och be om mer”, sa han till TechNewsWorld.
“När de har identifierats som en organisation som kommer att betala, andra kan fånga vinden och komma i din väg,” Matthews läggas till.
“I allmänhet,” sade han, “DDoS begränsning tjänster som är tillgängliga för månatliga avgifter som är mindre än lösen belopp.”
Brott Dagbok
- Jan. 11 KOIN-TV i Portland, Oregon, rapporterar US Fish and Wildlife Service har bett några av sina anställda att flytta från sina hem på grund av ett dataintrång på Malheur Djurliv Nationella Tillflykt, som är ockuperat av obehöriga personer som kallar sig för “Medborgare för Konstitutionell Frihet.”
- Jan. 11. TaxAct varnar en hemlig antalet användare om att deras personliga information kan ha varit nås av obehöriga. Den anser att dess system skulle äventyras av en inkräktare som används användarnamn och lösenord som erhållits från en källa utanför TaxAct.
- Jan. 11. Interxion är varning för dess användare att en överträdelse av sitt CRM-system har äventyrat information om 23,200 kundens register, Registret rapporter.
- Jan. 11. ISACA släpper undersökning av 2,920 medlemmar i 121 länder som anser 63 procent att motsätta sig att ge regeringar bakdörr tillgång till krypterad information, och 59 procent tror att integritet äventyras för att genomföra starkare cybersäkerhet lagar.
- Jan. 11. SC magazine rapporterar att Citrix har äventyrats av w0rm, en rysk hacker känd för sina attacker på BBC, CNET, Adobe och Bank of America.
- Jan. 12. eBay bekräftar det har lappat en XSS-sårbarhet som släpps ut personuppgifter miljoner användare på risken.
- Jan. 12. Personuppgifter omkring 18 000 fans av Trolösa stals från dance act: s webbplats, Oberoende rapporter.
- Jan. 12. En turkisk domstol meningar Onur Kopçak, 26, till 334 år i fängelse för drift och falska webbplatser bank som används för att stjäla kreditkortsnummer och bank referenser.
- Jan. 12. Microsoft upphör med stöd, inklusive säkerhetsuppdateringar för Internet Explorer 8, 9 och 10.
- Jan. 13. En Cloud Security Alliance undersökning av 209 säkerhet och high-tech-proffs finner nästan en fjärdedel av de svarande (24,9 procent) skulle betala en lösensumma för att förhindra att en cyberattack, och 14 procent skulle betala mer än$1 miljon att göra så.
- Jan. 13. En undersökning av Cloudmark och Vanson Bourne finner den genomsnittliga kostnaden för en spear phishing-attack en USA-företag att vara $1,8 miljoner.
- Jan. 14. OpenSSH släpper en patch för en kritisk sårbarhet som kan utnyttjas för att exponera privata krypteringsnycklar. Felet hittades i en odokumenterad funktion som kallas för “roaming” som stöder återupptagandet av en avbruten SSH-anslutningar.
- Jan. 15. Affinitet Gaming, en operatör av 11 kasinon i Usa, stämmer Trustwave för att ha underlåtit att stoppa ett dataintrång det var anställd för att nära, Financial Times rapporter.
- Jan. 15. Hyatt Hotell avslöjar att 250 hotell har drabbats av en attack på sitt betalkort system från 13 augusti till December. 8. Företaget sa att det inte vet ännu hur många kunder som drabbades av attacken.
- Jan. 15. MaineGeneral Medical Center meddelar att ett ytterligare cirka 2 000 personer kan ha haft sin personliga information äventyras, inklusive personnummer, från en attack på sin dator-nätverket i September. Anläggningen ursprungligen beräknade 118,000 människor drabbades av attacken.
Kommande Evenemang Säkerhet
- Jan. 21. Från Skadlig Oavsiktliga — kampen mot interna Hot. 1:30 pm ET. Webinar sponsras av MeriTalk, DLT och Symantec. Gratis vid registrering.
- Jan. 22. B-Sidor Och Lagos. Sheraton Hotell, 30 Mobolaji Bank Anthony Sätt, Airport Road, Ikeja I Lagos, Nigeria. Kostnadsfri.
- Jan. 26. It-Säkerhet: Verksamhet Bakgrund. Klockan 11 ET. Mörk Läsning webinar. Gratis vid registrering.
- Jan. 28. Förståelse Malware Laterala Spridningen Används i Hög Värde-Attacker. Klockan ET. Webinar sponsras av Cyphort. Gratis vid registrering.
- Jan. 28. Tillstånd Phish — En 360-Graders Utsikt. 1 p.m. ET. Webinar sponsrad sponsrad av Wombat Säkerhet Teknik. Gratis vid registrering.
- Feb. 3. Att bygga en IT-Säkerhet Medvetenhet Program Som Verkligen Fungerar. 2 p.m. ET. InformationWeek DarkReading webinar. Gratis vid registrering.
- Feb. 4. 2016 årlig Global Infrastructure Security Update. Klockan 11 ET. Webinar sponsras av Arbor Networks. Gratis vid registrering.
- Feb. 5-6. B-Sidor Huntsville. Dynetics, 1004 Explorer Blvd., Huntsville, Alabama. Kostnadsfri.
- Feb. 9. Börja Med Säkerhet. University of Washington Law School, 4293 Memorial Sätt NE, Seattle. Sponsrade av Federal Trade Commission. Kostnadsfri.
- Feb. 11. SecureWorld Charlotte. Charlotte Convention Center, 501 Söder College St, Charlotte, North Carolina. Anmälan: konferensen passera, $195; SecureWorld Plus $625; utställningar och öppna sessioner, $30.
- Feb. 16. Utformning av den Heliga Graal av nätverkssäkerhet. 1 p.m. ET. Webinar sponsras av Spikar Säkerhet. Gratis vid registrering.
- Feb. 20. B-Sidor Seattle. Den Commons Mixer Byggnad, 15255 NE 40 St, Redmond, Washington, usa. Biljetter: deltagare, $15 plus $1.37 avgift, en super awesome givare deltagare, $100 plus $3.49 avgift.
- Feb. 28-29. B-Sidor Och San Francisco. DNA Lounge, 375 11 St, San Francisco. Registrering: $25.
- Feb. 29-4 Mars. RSA USA 2016. Moscone Center, 747 Howard St, San Francisco. Registrering: hela konferensen passera innan Jan. 30, $1,895; före Feb. 27, $2,295; efter Februari. 26, $2,595.
- Mars 10-11. B-Sidor och SLC. Salt Palace Convention Center, 90 South West Temple, Salt Lake City. Registrering: $65.
- Den 18 mars. Gartner Identity and Access Management Summit. London. Anmälan: före Jan 23, 2,225 euro plus MOMS, efter Jan. 22, 2,550 euro plus MOMS. offentliga sektorn. Sek 1,950 plus MOMS.
- Mars 29-30. SecureWorld Boston. Hynes Convention Center, Exhibit Hall D. Anmälan: konferensen passera, $325; SecureWorld Plus $725; utställningar och öppna sessioner, $30.
- Juni 13-16. Gartner Security & Risk Management Summit. Gaylord National Resort & Convention Center, 201 Vattnet St, National Harbor, Maryland. Anmälan: före den 16 April sek 2,950; efter 15 April, $3,150; offentlig sektor, $2,595.
