Destansı web güvenliği başarısızlığı ve bilgi güvenliğinde kaçınılmaz olarak olaylarla dolu bir başka yıldan alınan faydalı dersler
2022 sona ererken, günlük yudum yılın en dikkate değer web güvenliği kazanımlarından bazılarını ve ciddi bilgi güvenliği başarısızlıklarını yeniden gözden geçiriyor.
Yarın yılın siber güvenlik başarılarından bazı örnekler yayınlayacağız, ancak bugün bazı eğlenceli güvenlik açıkları, güvenlik felaketleri ve ‘daha iyisini yapmalıyız’ puan kartlarıyla başlıyoruz.
Reddit NSFW baypası
Reddit’in ‘Çalışmak için güvenli değil’ kısıtlamaları, sosyal medya platformu tarafından Şubat ayında ele alınan bir siteler arası istek sahteciliği (CSRF) güvenlik açığı aracılığıyla altüst edilmiş olabilir.
Güvenlik açığı, saldırganların kullanıcıları kandırarak “On sekiz yaşından büyüğüm” seçeneğini etkinleştirmelerine ve yetişkinlere uygun içeriği görüntüleme isteğini ifade etmelerine olanak sağladı.
Orta önemdeki bu sorun, kusuru bulan güvenlik araştırmacısına 500 dolarlık bir hata ödülü kazandırdı.
QWAckers teklifi
Mozilla, The Electronic Frontier Foundation ve düzinelerce bilgisayar bilimi uzmanı bu yıl AB milletvekillerine, web tarayıcılarını blok tarafından oluşturulan tartışmalı web sertifikalarının geçerliliğini tanımaya zorlama planlarından vazgeçmeleri için yalvardı.
eIDAS – veya elektronik Kimlik, Kimlik Doğrulama ve Güven Hizmetleri – yönetmeliğinde önerilen bir değişiklik, tarayıcıları Nitelikli Web Sitesi Kimlik Doğrulama Sertifikalarını (QWAC’ler) kabul etmeye mecbur edecektir.
ÖNERİLEN Bir sonraki Log4j’yi bulmak – OpenSSF’den Brian Behlendorf, açık kaynak geliştirmenin ‘risk merkezli görüşüne’ dönme konusunda
AB, bir web sitesinin iddia edilen kimliğini doğrulamak ve bu nedenle sözde kullanıcıları dolandırıcılık, kötü amaçlı yazılım ve gözetlemeye karşı korumak için 2014 yılında QWAC’leri oluşturdu. Mozilla, QWAC’lerin zaten yürürlükte olan daha etkili ve uzun süredir devam eden web kimlik doğrulama ekosisteminden daha düşük olduğunu ve onu atlatacağını savunuyor.
Mart ayında Avrupa Parlamentosu’na gönderilen planları eleştiren bir açık mektuba 38 güvenlik uzmanı imza attı.
Siber dolandırıcılık yöneticisi siber dolandırıcı oldu
Siber dolandırıcılığı önleme firmasına yatırım yapmak için banka hesap özetlerinde tahrifat yaptıktan sonra milyonlarca doları cebe indiren ABD’li bir girişimci, Kasım ayında menkul kıymetler dolandırıcılığından beş yıl hapis cezasına çarptırıldı.
Görünüşte oynadıkları asil veya sosyal açıdan önemli rolü yalanlayan klasik bir hain faaliyetler vakasında (‘etkili fedakar’ Sam Bankman-Fried benzer bir suçla suçlanıyor), Adam Rogas 123 milyon dolardan fazla para kazanmak için hileli mali verileri kullanmakla ilgili olarak mahkum edildi. kurucu ortağı olduğu şirket olan NS8’in finansmanında.
Bu rakam, görünüşe göre “şahsen elde ettiği” yaklaşık 17,5 milyon doları içeriyor. günlük yudum Mart ayında bildirildi.
ABD’li avukat Damian Williams şunları söyledi: “Adam Rogas, ‘yapana kadar numara yap’ sözünü aşırı bir suç boyutuna taşıdı. Dolandırıcılık önleme işinde olduğunu iddia eden Rogas, şirketinin neredeyse tüm müşterilerinin, gelirlerinin ve varlıklarının sahtesini yaptı.”
Düzeltme eki oluşturma işleminin iyileştirilmesi gerekiyor
Yama geliştirme ve uygulama söz konusu olduğunda bazı gelişmeler oldu, ancak endişe edilecek nedenler var.
En azından 2021’in – ve belki de yüzyılın – ‘Log4Shell’ hatası, ortaya çıkmasından yaklaşık bir yıl sonra Log4j indirmelerinin üçte birinin hala savunmasız sürümleri çekmesiyle evrensel bir yama telaşına neden olmadı.
Bu cephedeki diğer endişe nedenleri arasında Apache Software Foundation’ın (ASF) Apache yazılımının kullanım ömrünün sonuna gelmiş sürümlerini çalıştıran kuruluşların sayısından endişe duyması ve Kuzey Karolina Eyalet Üniversitesi’nde yapılan bir çalışmanın kullanıma sunulan açık kaynak yamalarında kabul edilemez gecikmeler konusunda uyarıda bulunması yer alıyor. .
AI hala insan böcek avcılarının yerini tutamaz
ChatGPT, yapay zeka için ileriye doğru büyük bir sıçramayı temsil ediyor, ancak konu yazılım güvenlik açıklarını bulmaya ve ifşa etmeye geldiğinde homo erectus’un vekili olmadığını kanıtladı.
OpenAI’nin oyunun kurallarını değiştiren büyük dil modeli (LLM), fidye yazılımı yazmak ve kimlik avı kampanyaları oluşturmak için zaten kullanılıyor ve savunucular için de potansiyel fayda sunuyor.
Bununla birlikte, bir böcek ödül avcısı olarak eksiklikleri, bu ay bir OUSD stabilcoin koruyucusu muhatabının bir chatbot olduğundan şüphelendiğinde ortaya çıktı.
Daniel Von Fange, “e-postalar arasında tutarsızlık olduğunu – her e-postanın farklı bir hatayı tartışıyormuşuz gibi göründüğünü ve her birinin anlamsız öncüllere dayalı bir hata olduğunu ve sorunların değersiz olduğunu kanıtlamak için gönderilen her kod setinin” olduğunu bildirdi.
Kusuru bildiren “araştırmacı”, sonunda ChatGPT’nin hatanın etkisini, istismar edilebilirliğini ve olası çözümlerini ayrıntılı olarak açıkladığını, ancak yine de bir ödül isteme cüretini gösterdiğini kabul etti.
Fange’in anlattığı günlük yudum “mevcut LLM’ler, kodun neden bir güvenlik açığı olabileceğine dair makul nedenler bulmakta iyidir”, ancak daha büyük bir atılım, yapay zekanın istismar edilebilirliği doğrulamak için otomatik olarak kod yazıp çalıştırabilmesidir.
LastPass varoluşsal kriz
Başka bir yıl, irili ufaklı bir başka damla damla veri ihlali ve çok azı (eğer varsa), parola yönetimi platformu LastPass’ta yakın zamanda gerçekleşen uzlaşma kadar alarma yol açtı.
bilgi güvenliği Twitter‘ın dehşeti, potansiyel etkiye odaklanıyor – 33 milyon müşteri şifrelerini şifre yönetimi pazar liderine emanet ediyor – ve kuşatma altındaki şirketten gelen her yeni güncellemeyle ihlalin daha ciddi hale geldiği gerçeği.
LastPass ilk olarak ağustos ayında sunucularının saldırıya uğradığını açıkladı, ancak saldırganların “müşteri verilerine veya şifreli şifre kasalarına” eriştiğine dair “hiçbir kanıt” bulamadığını söyledi.
Ancak bu durum, LastPass’ın bilgisayar korsanlarının bir çalışanın bulut depolama anahtarlarını çaldığını ve müşterilerin şifreli parola kasalarını çaldığını kabul ettiği bayram döneminde değişti.
Yine de şirket şimdi, müşterilerin önerilen varsayılan ayarları kullandıkları sürece, “genel olarak mevcut parola kırma teknolojisini kullanarak ana parolanızı tahmin etmenin milyonlarca yıl süreceğini” söylüyor.
İLİŞKİLİ Passwordstate kimlik bilgisi yöneticisinde şifre hırsızlığı hata zinciri yamalandı