Betydande säkerhetsberättelser från 2013

När vi tittar tillbaka kändes 2013 som en berg-och dalbana, när vi lutade från goda nyheter till dåliga nyheter med några veckor: Dataintrång, integritet, cyber-spionage, regeringsspionering, avancerad skadlig programvara, betydande arresteringar, förbättrade säkerhetsfunktioner etc.

Årets största historia - eller snarare, berättelser - kretsar kring dokumenten som ex-National Security Agency-entreprenören Edward Snowden stal och släpptes till media. Det var emellertid inte den enda stora historien 2013. För första gången lade ett säkerhetsföretag fram ett bestämt fall om hur Kina spionerar på amerikanska företag, och den amerikanska regeringen diskuterade officiellt frågan med den kinesiska regeringen. Lagstiftningen hade några betydande segrar, bryt upp en stor kreditkortsstöldring och arresterade skaparen av Blackhole Exploit Kit. Dataöverträdelser fortsatte, men Experian-överträdelsen lyfte fram problemet med datamäklare som samlar personlig information. Regelbundna användare började prata om integritet när Google Glass-användare träffade gatorna. Företag som har åtagit sig att förbättra säkerhetsrutiner, till exempel att kryptera data under transitering, implementera tvåfaktorsautentisering och bli mer öppna om vilken information den ger regeringen.

2013 var upptagen för både säkerhetspersonal och individer. Här är en översikt över årets betydande säkerhetsberättelser, i ingen särskild ordning.

Hemliga NSA-övervakningsprogram

Vi kunde fylla en hel kolumn med bara NSA-avslöjanden. De inledande artiklarna om samlingsprogrammet för telefonposter var chockerande nog, men det känns som varje efterföljande uppenbarelse är mer explosiv än tidigare. Byrån spionerade på webbaktivitet, snopade trafik till och från Google och Yahoo datacentra, avlyssnade sändningar för att installera spionprogram och bakdörrar i elektronikutrustning och påstods avlyssna på ledare i andra länder och spelare. Medan NSA: s chef Keith Alexander fortsätter att insistera på att byrån agerar inom dess gränser och att den var noga med att bevara medborgerliga friheter, växer uppmaningarna till reformer högre. Kongressen diskuterar vad man ska göra för problemet med NSA, en konservativ federal domare beslutade i Klayman mot Obama att NSA: s telefonregistreringsprogram eventuellt bröt mot det fjärde ändringsförslaget, och den oberoende panelen som valts av Vita huset rekommenderade NSA program måste begränsas.

En grupp teknikjättar, inklusive Apples Tim Cook, Googles Eric Schmidt och Yahoos Marissa Mayer talade med president Barack Obama om deras oro över NSA: s verksamhet. AOL, Apple, Facebook, Google, LinkedIn, Twitter, Yahoo och Microsoft samlade sig för att kräva att regeringarna måste vidta åtgärder för att skydda sina medborgares säkerhet och säkerhet, men "nuvarande lagar och praxis måste reformeras."

Fler företag släpper transparensrapporter för att avslöja vilken typ av information de lämnar till regeringen, och den krypterade e-posttjänsten Lavabit stängde av för att undvika att behöva lämna ut information om sina användare. RSA, EMC: s säkerhetsavdelning, försvarar för närvarande sitt rykte efter en Reuters-rapport att det tog 10 miljoner dollar från NSA för att driva en kompromitterad kryptografisk algoritm i sina säkerhetsprodukter.

Kina, Kina, Kina

Vi har blivit så fascinerade av vågorna med information om NSA: s aktiviteter att det är lätt att glömma att vi började 2013 med en explosiv rapport som beskriver Kinas roll i cyber-spionage. APT1-rapporten från Mandiant var det första definitiva uttalandet som tydligt redogjorde för vad cyberattackare från Kina gjorde för att bryta in USA: s affärs- och regeringsnätverk. Rapporten beskrev hur dessa angripare stal immateriell egendom, installerade bakdörrar och skadade system.

Strax efter att rapporten släpptes talade olika regeringstjänstemän om Kinas verksamhet. I maj anklagade Pentagons årsrapport om Kina direkt nationens regering för regerings- och militära attacker mot USA. President Obama tog till och med upp anklagelserna under ett möte med Xi Jinping, Kinas president. Den kinesiska regeringen anklagade till och med USA för att i huvudsak göra samma sak. (Lite förskådning för Snowden?)

Attacker mot media

Media attackerades i år, där The New York Times, Washington Post och Wall Street Journal avslöjade att de hade smittats av sofistikerad skadlig programvara. Misstankeens finger pekade - var annars? - Kina. Den syriska elektroniska armén gick på en spridning mot Twitter-kontona för The Onion, Guardian och andra butiker. Det falska inlägget på AP: s Twitter-konto, "Breaking: Två explosioner i Vita huset och Barack Obama är skadad", orsakade till och med ett litet slag på aktiemarknaden, med Dow Jones som tillfälligt doppade 140 poäng.

Attacken mot webbplatsen New York Times där SEA lyckades ändra webbplatsens inställningar för domännamnsystem framhöll precis hur lätt angripare kunde störa webben. SEA i denna attack attackerade inte ens nätverket - gruppen genomförde denna attack via spjutfiskning.

Fokusera på applikationssäkerhet

Affordable Care Act och utrullningen av webbplatsen för utbyte av hälso- och sjukvård förde vikten av säkerhetstestning i framkant. Säkerhetsproffs vet hur kritiskt det är att applikationer testas för säkerhetsproblem innan de går live, men när klockan tickar och tiden slutar att skicka produkten i tid, faller säkerheten vid vägen. Några av de problem som identifierades i HealthCare.gov efter dess utrullade utrullning ökade möjligheten att angripare kommer att rikta in sig på webbplatsen. Det fanns rapporter om att individer såg känslig information som tillhör andra användare på webbplatsen.

Chefer som följde hela sagan kommer förmodligen inte att vara så snabba att hoppa över säkerhetstest nästa gång de har en stor applikationsutrullning. Eller så hoppas vi.

Distribuerade avslag på serviceanfall

DDoS är inte nytt, men i år såg vi två stora utvecklingar. DDoS användes ofta mot finansiella webbplatser, särskilt som en del av Operation Ababil, men angriparna utvidgade sina mål till att omfatta andra industrier. En av årets största attacker var mot Spamhaus i mars, med toppar som slog 300 gbps.

Stora cyberbrottsarrester

I maj tillkännagav den amerikanska advokaten för det östra distriktet i New York i maj anklagelser i en bankheist på 45 miljoner dollar som involverade stulna kontouppgifter. Gänget hackade påstås till finansinstitut för att stjäla kontoinformation och drog sedan tillbaka miljoner dollar från uttagsautomater.

I juli anklagade den amerikanska advokaten för New Jersey en annan cyberbrottsring för att ha brutit mot datornätverket för minst 17 större detaljhandlare, finansinstitut och betalningsprocessorer för att stjäla mer än 160 miljoner kredit- och betalkortsnummer. Riktade nätverk inkluderade bland annat Nasdaq, 7-Eleven, Visa och JC Penney.

Ryska myndigheter påstod att ha arresterat Paunch, skaparen av Blackhole Exploit Kit. Säkerhetsexperter anser att det med en gripande finns ett ogiltigt cyberbrottslingar som för närvarande klättra för att fyllas. "Utan någon tydlig efterföljare till Blackhole kan cyberkriminella gäng investera på andra platser för att kompensera för den förlorade inkomsten på grund av mindre sofistikerade leveransmekanismer för skadlig programvara, " säger Alex Watson, chef för säkerhetsforskning på Websense.

Vattna hålattacker

Vattenhålattacker var ganska framträdande i år, med webbplatser som hackades för att kompromissa medarbetare vid stora teknikföretag som Facebook, Apple, Microsoft och Twitter, samt mot försvarsentreprenörer och regeringsanställda. Dessa vattenhåleangreppar utnyttjade nolldagars sårbarheter i Internet Explorer, Java och andra vanliga tekniker.

Vattenhålattacker upptäcktes också mot pro-tibetanska aktivister, eftersom attackerare riktade sig mot kinesisktalande människor som besökte Central Tibetan Administration och Tibetan Homes Foundation, samt Uyghur-webbplatsen underhålls av Islamiska föreningen i östra Turkistan.

Experian Data Breach

Vi tenderar att komma ihåg det senaste stora dataöverträdet och glömma alla andra som kom innan. Medan det senaste dataöverträdet som Target drabbats av där nästan 40 miljoner debit- och kreditkortsnummer komprometterades under semestershoppsäsongen är ganska stort, var det mest skrämmande dataöverträdet med användarinformation Experian-dataintrånget.

Experian är en av organisationerna i branschen för att köpa och sälja personlig information - personnummer, adresser, bankkontouppgifter. Denna information såldes till en utländsk brottslighet, enligt en utredning av säkerhetsförfattaren Brian Krebs. Överträdelsen framhöll också att många kunskapsbaserade autentiseringssystem, där människor uppmanas att verifiera sin identitet genom att säga vilken bil de äger, eller var de brukade bo, nu är ännu mer sårbara.

Människor vaknar upp till online-integritet

När Google rullade framtiden för bärbar teknik med sin första våg av Google Glass "upptäcktsresande", skrek folk. Människor kände till slut inverkan på ansiktsigenkänningen och förmågan att publicera allt online på deras privatliv. Är teknikens framtid där ingen integritet finns, eller där människor kan startas upp från restauranger och andra anläggningar för att de är ett hot mot integriteten?

Vi har redan sett fram emot 2014 med våra förutsägelser för nya attacker, ett nationellt Internet, online-betalningar, mobilsäkerhet och tingenes internet. Välkommen till 2014. Blir det ett år av osäkerhet eller segrar? Håll fast vid Security Watch på det nya året när vi följer upp- och nedgångarna i säkerheten.