Video: Förstahandskontrakt i Stockholm utan bostadskö (September 2024)
Till och med de fräschaste Motell erbjuder nu gratis Wi-Fi. Vi har förväntat oss det. Så naturligtvis förväntar vi oss samma servicenivå på en Airbnb eller en annan hyra av delningsekonomi. Men det finns en skillnad, en enorm skillnad, vilket framgår av ett Black Hat-samtal av säkerhetseksperten Jeremy Galloway.
Korttidsuthyrning är Yuuge
Galloway tillbringade lite tid på att hamra hem precis hur stor den korta hyresmarknaden är. Med marknadsstorleken uppskattad till 100 miljarder dollar per år, det sätter det någonstans mellan alla utgifter för molntjänster ($ 110 miljarder) och global försäljning av kokain (85 miljarder dollar). Åh, och spelindustrin i Las Vegas? Det är cirka 6, 3 miljarder.
Han uppgav också att fler gäster använde Airbnb i sommar än hela befolkningen i Grekland, Sverige eller Schweiz. Med över 2 000 000 Airbnb-listor (eller som han kallade dem mål) över hela världen är det helt enormt. "Airbnb är en mycket populär pengarmaskin, " sade Galloway. "Men en studie visade att 40 procent av gästerna medgav att ha snopat medan de stannade i hem som de besöker. Jag gör det! Jag kontrollerar vad som är låst och vad som inte är det."
Stativ med ett nätverk
"Ni säkerhetsproffs kan få en rolig känsla i ett nätverk. Du har den här sjätte säkerheten att den genomsnittliga personen inte gör det, " sade Galloway. "Jag har en skala av förtroende. Ditt personliga hemnätverk, det är 100 procent. Ett universitetsnätverk, ja, de har IT-säkerhet, men alla dessa studenter, skulle jag säga 50 procent. Slutligen, den slumpmässiga hotellkiosken, det är noll procent. Airbnb? Jag skulle uttrycka det cirka 20 procent."
Galloway pekade på en kalkylator för sexuell exponering online som en analogi. Ta antalet partners du har haft och antalet partners de har haft och du ser hur många människor du har blivit utsatta för. "Tänk två gånger innan du har ett nätverksställning", sa Galloway. "Det är en dum fras, men jämförelsen av handelsgemenskap för risk är mycket meningsfull."
Vad hackare kan göra
Galloway sprang genom en litany av routerbaserade attacker under de senaste åren. DNSChanger, månmasken, BlackMoon, alla dessa fungerade genom att fjärr göra förändringar i offrens routrar. Galloway citerade säkerhets superhjälten Dan Geer som säger att routersituationen är lika snygg som ett bensinutsläpp i ett slutet köpcentrum. "Vad gäller mig", sa Galloway, "jag skulle säga routersäkerhet är en rasande dumpsterfil."
Naturligtvis behövde de attackerna på något sätt avbrytas i routern på distans. När angriparen har fysisk tillgång, som i en korttidshyra, förändrar det allt. Galloway demonstrerade sin signatur router APT. Nej, inte avancerad persistent hot; Advanced Paperclip Threat. "Du behöver inte vara MacGyver, " sa Galloway. "Använd en böjd paperclip för att återställa routern så tar du bort ett helt lager av säkerhet. Inget av detta kräver nolldagars attacker eller galen exploateringskod."
Det blir värre, mycket värre. Någon som har fysisk åtkomst till routern kan fånga dina känsliga data, ändra pålitliga data, injicera data och mer. "Ja, " sa Galloway, "det blir inte så mycket värre."
Han fortsatte med att lista ett fantastiskt antal saker du kan göra för att hacka en router, med fysisk åtkomst, allt från irriterande till katastrofalt. Du kan konfigurera din egen enhet som en fjärradministratör och övervaka routern veckor efter ditt besök. Du kan extrahera alla enhetslösenord med ett enkelt verktyg. Ställ in dig som en loggserver så ser du passivt all trafik.
På den lägre sidan kan du ange en egen server som routerns DNS-server. Detta möjliggjorde man-i-mitten-attacker som kan stjäla privat information från alla som ansluter via routern. "Du kan inte rikta in personer med dessa attacker, " konstaterade Galloway, "men du kan rikta dig till konferenser, platser nära militära baser, företagskontor." Han hänvisade till Dan Kaminskys nyckelord och sa: "ICANN går till galna längder för att göra DNS säkert. Du skyddar din DNS med lulz och önskningar."
Vad kan du göra
Du kan fortfarande använda Airbnb och korttidsuthyrning, men om du loggar in ska du skydda dig. Galloway hade en tvättlista med förslag. Hardcode DNS i alla dina enheter. Stäng av automatisk proxy-upptäckt. Använd ett VPN. Stäng av Wi-Fi om din enhet har mobildata. Koppla dina andra enheter till din telefon som en personlig hotspot (bara hålla reda på användningen av mobildata). Aktivera tvåfaktorsautentisering vart det är tillgängligt.
"Det är tekniskt, men det finns något som är viktigare, " sade Galloway. "Ändra hur du gränssnitt. Mitt enda råd - se Herr Robot! Du utsätter dig för mer säkerhet än 99 procent av befolkningen. Du kommer att vara i topp en procent!"
Vad fastighetsägare kan göra
Om besökare på din Airbnb-hyra kommer hem med skadlig programvara kommer de inte att ge dig en bra recension. Och du kan väl lita på samma nätverk själv, om din hyra bara är ett rum i ditt hus. "Mitt enda bästa råd", sa Galloway, "är att ta bort fysisk åtkomst. Låsa routern i ett garderob eller ett säkert rum. Lås det i ett elektroniskt skåp. Jag säger det till hackare och de säger, ha, jag kan välja det låset på fem minuter. Ja. Poängen är inte att skapa perfekt säkerhet, det är att hålla människor ärliga."
"Du kan till och med överväga att inte erbjuda Wi-Fi, " fortsatte Galloway. "Eller få en separat rad med låg bandbredd bara för gäster. Det är en affärskostnad. Säkerhetskopiera och återställa routerinställningarna rutinmässigt. Och lägg till en säkerhetsavsnitt online i din gästguide."
Inga goda nyheter
"Jag kan inte lämna dig med goda nyheter, " avslutade Galloway. "Problemet försvinner inte. Varje år sedan 2011 har varit 'året för överträdelsen', mest på grund av SQL Injection. Och SQL Injection har funnits sedan 1998. Det finns ingen patch, uppdatering eller enkel fix."
Allt jag kan säga är wow. Om du vill gräva in för att få fullständiga tekniska detaljer, vare sig du kan skydda dig bättre eller bli en hem-routerhacker, läs Galloways fullständiga presentation.
