Climategate (2010) Swedish climate documentary
Förenta staternas justitieministerium meddelade idag arresteringen av Albert Gonzalez, en 28-årig Miami-man, i den största identitetsstölduppföljningen på rekord. Gonzalez är anklagad för att kompromissa med mer än 130 miljoner kredit- och bankkortskonton från en rad olika mål, inklusive Heartland Payment Systems och 7-Eleven, tillsammans med två som ännu inte namngivna ryska sammansättare.
Medan justitieministeriet bör göras berömd för den framgångsrika utredningen och anklagelsen av Gonzalez, kommer arresteringen inte att "bryta" konton som redan äventyras och är tillgängliga på den svarta marknaden. I en ideal värld skulle arresteringen avskräcka framtida identitetsstöld, men det är osannolikt. Det är fortfarande ett nästan helt anonymt brott som kan generera betydande intäkter och det är troligt att id-tjuvar bara anser sig vara smartare och bättre än Gonzalez. Han gjorde misstag, men * de * kommer inte bli fångade.
Så kudos till justitiedepartementet, men du måste fortfarande titta på din rygg och skydda dina nätverk och data från liknande attacker. Här är tre tips som hjälper dig att skydda dina data och se till att du inte blir nästa Heartland Betalningssystem.
[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]1. Trådlös säkerhet . Trådlösa nätverk finns idag i de flesta företag. Saken med trådlösa nätverk är att de låter anställda gå runt och fortfarande förbli anslutna till nätverket, men de ger också en möjlighet för obehöriga användare som ligger inom intervallet för den trådlösa åtkomstpunkten för att få tillgång också. Dataöverträdelserna vid TJX och Lowes var båda möjliga genom svag eller obefintlig trådlös nätverkssäkerhet.
Trådlösa nätverk ska separeras från det primära nätverket för att ge ett extra skyddslag. Den trådlösa anslutningen ska säkras med WPA- eller WPA2-kryptering åtminstone. Det är ännu bättre om någon annan form av autentisering används för att komma åt det trådlösa nätverket. Det bör också finnas en policy mot att inrätta obehöriga trådlösa nätverk och tidsskanning för att säkerställa att rogue-nätverk inte existerar.
2. Compliance . Genom att acceptera, bearbeta, överföra eller lagra kreditkorts transaktionsdata faller de organisationer som äventyras i dessa attacker under kraven för betalkortindustrin datasäkerhetsstandarder (PCI DSS). PCI DSS har utvecklats av kreditkortsindustrin för att tillhandahålla grundläggande säkerhetskrav för företag som hanterar känslig kreditkortsinformation.
Många av företagen omfattas också av andra överensstämmelsesmandat som Sarbanes-Oxley (SOX) eller Gramm-Leach -Bliley Act (GLBA). Det är viktigt för företagen att respektera andan såväl som bokstaven för överensstämmelseskraven. Tänk på att det inte är målen för överensstämmelse att slutföra en checklista eller genomföra en granskning. Målet är att skydda känsliga data och nätverksresurser. Att göra det minsta minimumet för att skrapa av efter en överensstämmelsesrevision kan leda till några svagheter som kan leda till kompromisser som förorsakar företagets rykte och är ofta mycket dyrare än överensstämmelse.
3. Diligence . Detta är den stora. Säkerhet är ett 24/7/365 heltidsjobb. Att låsa ner det trådlösa nätverket och utveckla en politik som förbjuder rogue-nätverk är bra, men vad händer om någon bryter mot politiken och använder ett roligt trådlöst nätverk nästa vecka? Att genomföra en PCI DSS-överensstämmelsesrevision är stor, men anställda kommer och går, datorsystemen tillhandahålls och avvecklas och ny teknik införs för nätverket. Bara på grund av att nätverket var kompatibelt vid revisionsperioden betyder det inte att det fortfarande kommer att överensstämma en månad senare.
Attackers arbetar hela tiden för att avslöja svagheter i nätverkssvar. Nätverks- och säkerhetsadministratörer måste vara lika flitiga för att följa upp angreppstekniker och motåtgärder. Ännu viktigare är att du måste övervaka inkräktningsdetektering och förebyggande systemaktivitet, brandväggsloggar och andra data för att vara uppmärksam på tecken på kompromiss eller misstänkt aktivitet. Ju tidigare du kan identifiera och stoppa en attack, desto mindre kommer data att äventyras och ju mer du kommer att vara en hjälte istället för en noll.
Tony Bradley är en informationssäkerhet och enhetlig kommunikationsexpert med mer än ett decennium av företags IT-erfarenhet. Han tweets som @PCSecurityNews och ger tips, råd och recensioner om informationssäkerhet och enhetlig kommunikationsteknik på hans webbplats på tonybradley.com.
Det finns ett gammalt ordspråk att bygga en ny dator eller uppgradera en gammal: "Använd rätt verktyg för rätt jobb." Visst kan du använda ett smör kniv för att lossa en skruv eller ett tang för att dra åt ett moderkort, men det gör inte jobbet något jämnare, och man kan satsa på att det kan göra någon skada. Att använda rätt verktyg för ett visst jobb gör jobbet enklare och det förbättrar vanligtvis den slutliga kvaliteten på den färdiga produkten.
Varje systembyggare behöver ett antal verktyg för att slutföra alla PC-byggnader eller uppgradera med effektiviteten och precisionen hos en kirurg. Några av verktygen kommer att vara uppenbara, andra mindre.
Anfallet börjar med att användare får ett spam-e-postmeddelande med namnet på ämnesraden och ett kort meddelande om "kolla in den här sidan" följt av en lite förkortad länk. Genom att klicka på länken tar användare till en webbplats masquerading som MSNBC-nyhetssiten som innehåller en artikel om hur man tjänar pengar medan man arbetar hemifrån, sa Bitdefender-forskarna onsdagen i ett blogginlägg.
Vid första ögonkastet verkar det inte annorlunda från andra scam-webbplatser från hemmet. Men i bakgrunden utnyttjar en del JavaScript-kod en XSS-sårbarhet på webbplatsen Yahoo Developer Network (YDN) för att stjäla besökarens Yahoo-kaka.
ÄVen om ditt jobb inte har något att göra med grafisk design, är chansen att du fortfarande måste producera enstaka diagram. Om du är uppmanad att skapa ett nätverksschema, ett flödesschema, ett gränssnittsmockup eller ett org-diagram, är Gliffy ett onlineverktyg som försöker göra processen så enkelt som möjligt. Det är inte specialiserat på någon typ av diagram, men det rika biblioteket med glyphs och ett brett urval av startmallar gör det enkelt att skapa nästan alla tvådimensionella diagram.
Gliffy låter dig komma till affärer utan att öppna ett konto . Skapa ditt diagram först, oroa dig för att spara det senare. Det första du ser när du börjar arbeta i Flash-gränssnittet är en stor dialogruta som bjuder in dig att välja en mall. Dessa är indelade i nio kategorier, som spänner mellan spalten från webbdesign och Venn-diagram till flödesschema och UML (Universal Modeling Language, som används i programmering).