Cyber Summit 2020: Defending our Democracy
Et nytt sett med sikkerhetsretningslinjer for Internett, utgitt av det amerikanske instituttet for standarder og teknologi (NIST), mangler beskyttelse som er nødvendig for regjeringens systemer, en cybersikkerhetsanalyse og advokatgruppe sa.
NIST-retningslinjene for ikke-klassifiserte data ved sivile byråer, utgitt 31. juli, la mange føderale IT-systemer ut av de høyeste sikkerhetskravene, sa Cyber Secure Institute. Føderale systemer vurdert som lav eller moderat effektmål ville ha sikkerhetskontroller som ikke var utformet for å stå opp for dyktige og velfinansierte hackere, sa gruppen i en kritikk publisert denne uken.
"Såkalte high end-trusler er nå normen ikke unntaket, sa csi i sin rapport. "IT-fagfolk fra det føderale og det private området rapporterer i stadig større grad at angrepene de konfronterer med jevne mellomrom, er fra høyt kvalifiserte, motiverte og velbesatte skuespillere - alt fra den russiske mobben, til det kinesiske militæret, til organiserte cyberkriminelle."
[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]Problemet er at mange følsomme føderale systemer vil falle inn i kategorien med moderat påvirkning, inkludert systemer som inneholder informasjon relatert til "ekstremt følsomme" undersøkelser ved føderal lov håndhevelsesbyråer, sa Rob Housman, fungerende administrerende direktør ved CSI. Elektroniske helsedata ser også ut til å falle inn i kategorien med moderat påvirkning, sa han.
"Hvis en undersøkelse til IRS [Internal Revenue Service] ikke er den typen ting du vil ha en høyere grad av beskyttelse mot en sofistikert angriper, vet jeg ikke hva som er ", sa Housman, som fungerte som assisterende direktør for strategisk planlegging i White House Drug Czar's Office, og som lærer mot terrorisme og hjemlandssikkerhetsklasser ved University of Maryland. "I nesten alle samtalene med både offentlig og privat sektor, CISOs og andre, hva de forteller at de ser, er … sofistikerte hackere."
NIST-anbefalingene krever lave og moderate virkninger for å være Sikre bare mot usofistikerte trusler, eller "den ordspråklige tenåringen forfengelighet hacker hacking unna i kjelleren," CSI rapporten sa.
Men Ron Ross, senior datavitenskapsmann og informasjonssikkerhetsforsker ved NIST, sa CSIs kritikk synes å være basert på en misforståelse av NIST-retningslinjene. Først og fremst er NIST-retningslinjene minimumsstandarder, og enkelte organer må gjøre risikovurdering og skreddersy retningslinjene til deres behov, sa han.
Forbundsorganer er pålagt å kategorisere egne systemer, og systemer med høy effekt vil være de som har en "alvorlig, katastrofal effekt" hvis de går tapt, sa Ross. "Disse baselinjene [i NIST-anbefalingene] er minimale utgangspunkt for byråer," sa han. "Implikasjonen bør ikke være der, det er et tilstrekkelig sett med kontroller mot noen av de typer angrepene vi ser."
Noen organer som blir målrettet mot amerikanske motstandere, må ta ytterligere skritt for å beskytte sine datasystemer, Ross sa.
Det er en viss risiko for at byråer jobber bare til et minimum, sa Ross. Men han kalte de nye NIST-retningslinjene "det bredeste, det rikeste og det dypeste settet av kontroller … hvor som helst i verden." Forsvars- og etterretningsdepartementet i USA jobbet med NIST om dette settet av retningslinjer, sa han.
Hvis NIST skulle følge CSIs anbefalinger, vil alle sikkerhetskontroller i retningslinjene bli anbefalt for alle føderale informasjonssystemer, sa Ross. "Det ville klart være ekstremt dyrt, og det ville være overkill for mange av systemene vi har," sa han. "Hver kontroll du legger inn i et system … skal koste byråets penger."
I tillegg vil retningslinjene fortsette å utvikle seg, sa Ross. Mens White House Office of Management og Budsjett vil sette opp tidslinjen for byråer for å overholde denne tredje versjonen av NIST-sikkerhetsretningslinjene, fortsetter NIST å forfine anbefalingene, sa han.
Housman anerkjente at budsjettet er et stort problem for føderale byråer. Og selv om han sa at NIST-anbefalingene ikke går langt nok, kalte han dem et "stort skritt fremover" fra tidligere anstrengelser. Men USAs president Barack Obama, i en sen mai-tale, ba om en slutt på cybersecurity status quo, tilføyde Housman.
"Dette er en slags status-quo pluss, som jeg kaller hack og lapp," sa han. "Vi har blitt selvtilfreds. Vi aksepterer at det kommer til å være hack, og de skal lykkes, og vi må plukke dem."
Den nye varianten, kalt Conficker B ++, ble oppdaget for tre dager siden av SRI International forskere, som publiserte detaljer om den nye koden på Torsdag. Til det uopplærte øynet ser den nye varianten nesten ut som den tidligere versjonen av ormen Conficker B. Men B ++-varianten bruker nye teknikker for å laste ned programvare, noe som gir sine skapere mer fleksibilitet i hva de kan gjøre med infiserte maskiner.
Conficker-infiserte maskiner kan brukes til ekkel ting - sende spam, logging tastetrykk eller lansere avslag på tjenesten (DoS), men en ad hoc-gruppe som kaller seg Conficker Cabal, har i stor grad forhindret at dette skjer. De har holdt Conficker under kontroll ved å knekke algoritmen som programvaren bruker til å finne en av tusenvis av rendezvous poeng på Internett der den kan lete etter ny kode. Disse rendezvous-poengene bruker unike domenenavn, for eksempel pwulrrog.org, at Conficker Cabal
Nokia-konsernet ønsker større fokus på nye markeder
Nokias administrerende direktør Olli-Pekka Kallasvuo har bedt smarttelefonprogrammer for å gjøre oppmerksomheten til nye land.
Skype får akkurat en ny app i moderne stil for å dra nytte av alle operativsystemets funksjoner. > Gitt at Microsoft eier Skype, er det ikke overraskende at Windows 8-appen er en modell for det nye, moderne grensesnittet. Appen vises som en Live Tile på startskjermbildet for Windows 8, og viser en forhåndsvisning av ubesvarte anrop eller nye meldinger. Appen kjører også stadig i bakgrunnen, men Skype sier at dette ikke tømmer batterilevetiden, og leverer varsler for nye samtaler eller meldinger.
Nylige Skype-interaksjoner (klikk for å forstørre)