Anonim

Efterfulgt af TalkTalk-hacket var der spekulationer om muligheden for at involvere terrorister, stort økonomisk tab og en forestående tsunami med cyberkriminalitet mod stjålne personoplysninger. Der har været apokalyptiske advarsler fra virksomheder, og meddelelsen om offentlige henvendelser sammen med rapporter fra kunder, der allerede taber penge eller modtager bedrageriske telefonopkald. Frygt for cyberkriminalitet er gået gennem taget.

Derefter blev en 15-årig teenager fra Nordirland anholdt og bailed derefter i forbindelse med hacket.

Den, der var bag den, har TalkTalk bekræftet, at selv om nogle personlige oplysninger måtte have været stjålet, var fulde kortnumre ikke blevet kompromitteret, og meget af spekulationen har også vist sig at være ubegrundet. Spændende spørgsmål er blevet stillet til TalkTalks sikkerhedsfolk og deres svar, ikke mindst fordi TalkTalk har lidt cyberangreb to gange i år alene.

Det er nu muligt at organisere og drive virksomheder på afstand, i volumen og i høj fart. Denne styrke er imidlertid også teknologiens største svaghed, fordi det gør det muligt for kriminelle at begå kriminalitet på afstand, i volumen og i høj fart. Internettet har effektivt demokratiseret økonomisk kriminalitet, da svig, der tidligere kun er begået af dem i stærke stillinger, og med den dygtighed at gøre det kan nu udføres af stort set alle. Som jeg tidligere har kommenteret, hvorfor begå en højrisiko røveri, når du kan begå millioner af små lavrisiko tyverier?

Hvad er der faktisk sket?

TalkTalk blev oprindeligt ramt af et DDOS-angreb, hvor mange - ofte hundredtusinder - af kompromitterede og fjernstyrede maskiner gentagne gange opretter forbindelse til et websted, hvilket får det til at spænde under stressen. Denne forstyrrelse blev brugt som en røgskærm til angrebet, et SQL-indsprøjtningsangreb, der bruger bevidst misdannede forespørgsler, der er indgået i et databaseprogram (som dem, der kører bagenden af ​​websteder). Dette har tendens til at kollapse programmet, der giver op privilegier til angriberen, der giver dem mulighed for at stjæle indholdet af databasen.

For den anden handling krævede hackeren påstået et løsepenge for de stjålne data. Motiveringen i dette tilfælde syntes at være penge, men motivationerne varierer. For eksempel syntes Ashley Madison hacket at stamme fra en moralsk følelse af afsky ved firmaets forretningsmodel uden for civilret. Mange andre cyberangreb har været til intellektuel stimulering eller at demonstrere teknisk dygtighed.

Hvad dette illustrerer er de to sider af forretnings- og kundesårbarheder: tyveri af dataene og de midler, som en person tjener penge på. Disse er forskellige aktiviteter og normalt begået af forskellige grupper af kriminelle.

I virkeligheden forstås kun det kriminelle marked for stjålne data. Men det er kendt, at stjålne datasæt er værdifulde, da de kan sælges til mere end det koster at få dem. I TalkTalk-angrebet forsøgte den mistænkte tyv at forsøge at sælge datasættet tilbage til virksomheden til løsepenge, men det største problem er, at når eller hvis kunders personlige data efterfølgende sælges eller handles mellem kriminelle, kan det bruges til at stjæle penge fra dem.

Et stort offer i dette tilfælde er TalkTalks omdømme. Den midlertidige lukning af TalkTalks hjemmeside forårsagede enorme ulemper for brugerne og økonomisk tab for virksomheden, og usikkerheden om, hvad der blev taget, og udsigten til kunderne sagsøgte selskabet har forårsaget selskabet enorme økonomiske tab. Vil TalkTalk-angrebet gå ned i historien som blot et katalog over katastrofer og en velgørende advarsel om ikke at skære hjørner i sikkerhed, eller er det bare at fremhæve virksomhedernes stigende sårbarhed og behovet for virksomheder til at styrke deres sikkerhedsspil?

Co-opting færdigheder

Det andet spørgsmål er hvad man skal gøre med hackere, uanset alder de måtte være. Retlige holdninger til hackere i USA har været hårde og manglede den forventede proportionalitet. Men for nogle må vi måske identificere mere konstruktive måder at bruge disse folks talenter til offentlighedens gode. En mangel på cyberfærdigheder betyder, at måske dømte hackere kunne omdirigeres til for eksempel en af ​​de offentlige initiativer, der er udformet til at hjælpe med at udvikle cybersikkerhedsfærdigheder.

Hvis vi ikke anerkender deres potentiale, bringe dem om bord og udnytte deres færdigheder bedst muligt, så vil andre i kriminelle verden finde dem og gøre det i stedet.

Anbefalet Redaktørens Valg