Video: Klasifikasi Anggaran || Klasifikasi Jenis Belanja (Desember 2024)
Bahkan motel paling keren pun sekarang menawarkan Wi-Fi gratis. Kami datang untuk mengharapkannya. Jadi tentu saja kami mengharapkan tingkat layanan yang sama di Airbnb atau sewa ekonomi berbagi lainnya. Tapi ada perbedaan, perbedaan besar, seperti yang dijelaskan dalam pembicaraan Black Hat oleh pakar keamanan Jeremy Galloway.
Sewa Jangka Pendek Adalah Yuuge
Galloway menghabiskan waktu memalu rumah seberapa besar pasar sewa jangka pendek. Dengan ukuran pasar diperkirakan $ 100 miliar per tahun, yang menempatkannya di suatu tempat antara semua pengeluaran untuk layanan cloud ($ 110 miliar) dan penjualan kokain global ($ 85 miliar). Oh, dan industri game di Las Vegas? Itu sekitar 6, 3 miliar.
Dia juga menyatakan bahwa lebih banyak tamu menggunakan Airbnb musim panas ini daripada seluruh populasi Yunani, Swedia, atau Swiss. Dengan lebih dari 2.000.000 listing Airbnb (atau, demikian ia menyebutnya, target) di seluruh dunia, ini sangat besar. "Airbnb adalah mesin uang yang sangat populer, " kata Galloway. "Tapi sebuah penelitian menunjukkan bahwa 40 persen tamu mengaku mengintip saat tinggal di rumah yang mereka kunjungi. Aku melakukannya! Aku memeriksa untuk melihat apa yang terkunci dan apa yang tidak."
Satu Jaringan Berdiri
"Anda para profesional keamanan dapat merasakan perasaan lucu di jaringan. Anda memiliki indra keenam keamanan yang tidak dimiliki oleh kebanyakan orang, " kata Galloway. "Saya memiliki skala kepercayaan. Jaringan rumah pribadi Anda, itu 100 persen. Jaringan universitas, well, mereka memiliki keamanan TI, tetapi semua siswa itu, saya katakan 50 persen. Akhirnya, kios hotel acak itu, itu nol persen. Airbnb? Saya katakan sekitar 20 persen."
Galloway menunjuk ke Kalkulator Paparan Seksual online sebagai analogi. Ambil jumlah mitra yang Anda miliki dan jumlah mitra yang pernah Anda miliki, dan Anda lihat berapa banyak orang yang telah Anda kenal. "Berpikir dua kali sebelum Anda memiliki dudukan satu jaringan, " kata Galloway. "Itu ungkapan konyol, tapi perbandingan kenyamanan perdagangan untuk risiko masuk akal."
Yang Dapat Dilakukan Peretas
Galloway berlari melalui litani serangan berbasis router selama beberapa tahun terakhir. DNSChanger, worm Bulan, BlackMoon, semua ini bekerja dengan melakukan perubahan jarak jauh pada router korban. Galloway mengutip superhero keamanan Dan Geer yang mengatakan bahwa situasi router sama sensitifnya dengan tumpahan bensin di pusat perbelanjaan tertutup. "Bagi saya, " kata Galloway, "Saya akan mengatakan keamanan router adalah file sampah yang mengamuk."
Tentu saja, serangan-serangan itu perlu entah bagaimana musang ke router dari jarak jauh. Ketika penyerang memiliki akses fisik, seperti dalam sewa jangka pendek, itu mengubah segalanya. Galloway mendemonstrasikan router tanda tangannya APT. Tidak, bukan Ancaman Gigih Tingkat Lanjut; Ancaman Penjepit Kertas Tingkat Lanjut. "Anda tidak harus menjadi MacGyver, " kata Galloway. "Gunakan penjepit kertas bengkok untuk mereset router dan kamu menghapus seluruh lapisan keamanan. Semua ini tidak memerlukan serangan zero-day atau kode exploit gila."
Itu semakin buruk, jauh lebih buruk. Seseorang yang memiliki akses fisik ke router dapat menangkap data sensitif Anda, memodifikasi data tepercaya, menyuntikkan data, dan banyak lagi. "Ya, " kata Galloway, "Tidak jauh lebih buruk."
Dia melanjutkan dengan membuat daftar sejumlah hal luar biasa yang bisa Anda lakukan untuk meretas router, diberikan akses fisik, mulai dari yang menjengkelkan hingga bencana. Anda dapat mengonfigurasi perangkat Anda sendiri sebagai administrator jarak jauh dan memantau router beberapa minggu setelah kunjungan Anda. Anda dapat mengekstrak semua kata sandi perangkat menggunakan alat sederhana. Tetapkan diri Anda sebagai server log dan Anda secara pasif melihat semua lalu lintas.
Di sisi yang lebih menakutkan, Anda dapat mengatur server Anda sendiri sebagai server DNS router. Ini mengaktifkan serangan man-in-the-middle yang dapat mencuri informasi pribadi dari siapa pun yang terhubung melalui router. "Anda tidak dapat menargetkan individu dengan serangan ini, " kata Galloway, "tetapi Anda dapat menargetkan konferensi, lokal di dekat pangkalan militer, kantor perusahaan." Merujuk keynote utama Dan Kaminsky, dia berkata, "ICANN berusaha keras untuk membuat DNS aman. Anda melindungi DNS Anda dengan lulz dan harapan."
Yang Dapat Anda Lakukan
Anda masih bisa menggunakan persewaan Airbnb dan jangka pendek, tetapi jika Anda masuk, lindungi diri Anda. Galloway punya daftar saran. Hardcode DNS di semua perangkat Anda. Matikan penemuan proxy otomatis. Gunakan VPN. Matikan Wi-Fi jika perangkat Anda memiliki data seluler. Pindahkan perangkat Anda yang lain ke ponsel Anda sebagai hotspot pribadi (pantau terus penggunaan data seluler). Aktifkan otentikasi dua faktor di mana pun itu tersedia.
"Itu teknis, tetapi ada sesuatu yang jauh lebih penting, " kata Galloway. "Ubah caramu berinteraksi. Satu saranku - awasi Mr. Robot! Kau akan membuat dirimu lebih aman dari 99 persen populasi. Kau akan berada di atas satu persen!"
Apa yang Dapat Dilakukan Pemilik Properti
Jika pengunjung ke rental Airbnb Anda pulang dengan malware, mereka tidak akan memberi Anda ulasan yang baik. Dan Anda bisa mengandalkan jaringan yang sama sendiri, jika sewa Anda hanya sebuah ruangan di rumah Anda. "Satu saran terbaik saya, " kata Galloway, "adalah untuk menghapus akses fisik. Kunci router di lemari atau ruang aman. Kunci di kandang elektronik. Saya mengatakan itu kepada peretas dan mereka berkata, ha, saya bisa memilih kunci itu dalam lima menit. Ya. Intinya bukan untuk menciptakan keamanan yang sempurna, itu untuk membuat orang jujur."
"Anda bahkan dapat mempertimbangkan untuk tidak menawarkan Wi-Fi, " lanjut Galloway. "Atau dapatkan jalur bandwidth rendah terpisah hanya untuk tamu. Ini biaya bisnis. Cadangkan dan pulihkan pengaturan router Anda secara rutin. Dan tambahkan bagian keamanan online ke panduan tamu Anda."
Tidak Ada Kabar Baik
"Aku tidak bisa meninggalkanmu dengan kabar baik, " simpul Galloway. "Masalahnya tidak hilang. Setiap tahun sejak 2011 telah menjadi 'tahun pelanggaran, ' sebagian besar disebabkan oleh SQL Injection. Dan SQL Injection telah ada sejak 1998. Tidak ada patch, pembaruan, atau perbaikan yang mudah."
Yang bisa saya katakan adalah, wow. Jika Anda ingin menggali detail teknis lengkap, apakah lebih baik melindungi diri sendiri atau menjadi peretas router rumah, baca presentasi lengkap Galloway.