Ce putem învăța din provocările de securitate și confidențialitate online din 2015
Pe măsură ce ne apropiem de prăpastia din 2016, să luăm un minut pentru a ne reflecta asupra lecțiilor de securitate pe care le-am învățat în 2015. De la Ashley Madison, Ashley Madison Leak No Big Deal? Gândește-te din nou Ashley Madison nu scapă nici o mare afacere? Gândiți-vă din nou Discreet site-ul de dating site-ul Ashley Madison (vizat în primul rând la partenerii de înșelăciune) a fost hacked. Totuși, aceasta este o problemă mult mai serioasă decât cea prezentată în presă, cu implicații considerabile pentru siguranța utilizatorilor. Citește mai mult, la cazanele hacked 7 Motive pentru care internetul lucrurilor ar trebui să vă sperie 7 motive pentru care Internetul lucrurilor ar trebui să vă sperie Beneficiile potențiale ale internetului lucrurilor cresc luminoase, în timp ce pericolele sunt aruncate în umbrele liniștite. Este momentul să atrageți atenția asupra acestor pericole cu șapte promisiunile teribile ale IoT. Citiți mai multe și sfaturile de securitate din partea guvernului, aveți multe de discutat.
Casele inteligente sunt un coșmar de securitate
2015 a văzut o grămadă de oameni care își îmbunătățeau articolele de uz casnic analogice existente cu alternative computerizate, conectate la Internet. Tehnologia Smart Home într-adevăr a decolat anul acesta într-un mod care pare să continue în Anul Nou. Dar, în același timp, a fost, de asemenea, ciocanit acasă (îmi pare rău) că unele dintre aceste dispozitive nu sunt toate sigur.
Cea mai mare poveste de securitate a Smart Home a fost probabil descoperirea faptului că unele dispozitive au fost livrate cu certificate de criptare duplicat (și adesea greu codate) și chei private. Nu a fost vorba doar de produsele Internet de obiecte. S-au descoperit că ruterrele emise de furnizorii de servicii de Internet principale au comis această majoritate cardinală a păcatelor de securitate.
Deci, de ce este o problemă?
În esență, acest lucru face banal pentru un atacator de a spiona pe aceste dispozitive printr-un atac "om-în-mijloc" Ce este un atac de om în mijloc? Jigonul de securitate a explicat ce este un atac la om? Jigonul de securitate explicat Dacă ați auzit de atacurile "om-în-mijloc", dar nu sunteți sigur de ce înseamnă asta, acesta este articolul pentru dvs. Citiți mai multe, interceptând traficul, rămânând în același timp nedetectat de victimă. Acest lucru se referă la faptul că tehnologia Smart Home este din ce în ce mai folosită în contexte incredibil de sensibile, cum ar fi securitatea personală, siguranța locuinței Nest Protect Review și Giveaway Nest Protect Review și Giveaway Read More și în domeniul asistenței medicale.
Dacă acest lucru pare cunoscut, este pentru că un număr de producători de computere majori au fost prinși făcând un lucru foarte asemănător. În noiembrie 2015, Dell a fost descoperit că livrează computere cu un certificat rădăcină identic numit eDellRoot Ultimele laptop-uri Dell sunt infectate cu eDellRoot Ultimele laptop-uri Dell sunt infectate cu eDellRoot Dell, cel de-al treilea producător de computer din lume, computere - la fel cum a făcut Lenovo cu Superfish. Iată cum puteți face noul PC Dell să fie în siguranță. Citiți mai multe, în timp ce la sfârșitul anului 2014, Lenovo a început să spargă în mod intenționat conexiunile SSL Lenovo Laptop Owners Feriți-vă: Dispozitivul dvs. poate avea preinstalat Malware Lenovo proprietarii de laptop Feriți-vă: dispozitivul dvs. poate fi preinstalat Malware Producătorul de computer chinez Lenovo a recunoscut că laptop-uri expediate la magazine și consumatori la sfârșitul anului 2014 a fost instalat malware-ul. Citiți mai multe pentru a injecta reclame în pagini web criptate.
Nu sa oprit aici. 2015 a fost într-adevăr anul insecurității Smart Home, cu multe dispozitive identificate ca venind cu o vulnerabilitate evidentă a securității.
Favoritul meu a fost iKettle De ce iKettle Hack ar trebui să te îngrijoreze (chiar dacă nu ai unul) De ce iKettle Hack ar trebui să te îngrijoreze (chiar dacă nu ai unul) iKettle este un ceainic cu fișă WiFi care aparent a venit cu un defect masiv de securitate, care a avut potențialul de a deschide rețele WiFi întregi. Citiți mai multe (ați ghicit-o: fierbător de fierbător Wi-Fi), care ar putea fi convins de un atacator pentru a dezvălui detaliile Wi-Fi (în text, nu mai puțin) din rețeaua de domiciliu.
Pentru ca atacul să funcționeze, a trebuit mai întâi să creați o rețea fără fir falsificată, care să împărtășească același SSID (numele rețelei) cu cea care are atașat iKettle-ul. Apoi, conectându-vă la acesta prin ajutorul Telnet, și trecând prin câteva meniuri, puteți vedea numele de utilizator și parola rețelei.
Apoi a existat Samsung Wi-Fi conectat Smart Fridge Samsung Frigider inteligent tocmai a pontat. Ce zici de restul casei tale inteligente? Frigiderul inteligent Samsung tocmai a fost pontat. Ce zici de restul casei tale inteligente? O vulnerabilitate cu frigiderul inteligent Samsung a fost descoperită de compania britanică Infosec, firmă Pen Test Parters. Implementarea de către Samsung a unei criptări SSL nu verifică validitatea certificatelor. Read More, care nu a reușit să valideze certificatele SSL și a permis atacatorilor să intercepteze acreditările de conectare Gmail.
Pe măsură ce tehnologia Smart Home devine din ce în ce mai frecventă, și se va aștepta să auziți mai multe povestiri despre aceste dispozitive care vin cu vulnerabilități critice de securitate și că sunt victime ale unor hack-uri.
Guvernele încă nu o primesc
O temă recurentă pe care am văzut-o în ultimii câțiva ani este modul în care este extrem de neclară majoritatea guvernelor când vine vorba de chestiuni de securitate.
Unele dintre exemplele cele mai flagrante ale analfabetismului infosec se regăsesc în Marea Britanie, unde guvernul a demonstrat în repetate rânduri că au Doar nu înțelege.
Una dintre cele mai grave idei care se ridică în parlament este ideea că criptarea utilizată de serviciile de mesagerie (cum ar fi Whatsapp și iMessage) ar trebui să fie slăbită, astfel încât serviciile de securitate le pot intercepta și decodifica. După cum a subliniat în mod serios colegul meu Justin Pot pe Twitter, este ca și cum ați expedia toate seifurile cu un cod de comandă principal.
Imaginați-vă dacă guvernul a spus că fiecare siguranță ar trebui să aibă un al doilea cod standard, în cazul în care polițiștii vor să intre. Aceasta este dezbaterea de criptare chiar acum.
- Justin Pot (@jhpot) 9 decembrie 2015
Devine mai rău. În decembrie 2015, Agenția Națională pentru Criminalitate (răspunsul Regatului Unit la FBI) a emis câteva sfaturi pentru părinți Este copilul tău un hacker? Autoritățile britanice cred că copilul dvs. este un hacker? Autoritățile britanice cred că NCA, FBI din Marea Britanie, a lansat o campanie de descurajare a tinerilor împotriva criminalității informatice. Dar sfaturile lor sunt atat de largi incat sa presupunem ca oricine citeste acest articol este un hacker - chiar si tu. Citiți mai multe astfel încât să poată spune când copiii lor se află pe drumul spre a deveni agresori cibernetici.
Aceste drapele roșii, conform ANC, includ “sunt interesați de codificare?” și “sunt reticenți în a vorbi despre ceea ce fac online?”.
Acest sfat, evident, este gunoi și a fost larg batjocorit, nu numai de MakeUseOf, ci și de alte publicații tehnologice majore și de comunitatea infosec.
@NCA_UK enumeră interesul pentru codificare ca semn de avertizare pentru criminalitatea cibernetică! Destul de uimitor. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz
- David G Smith (@aforethought) 9 decembrie 2015
Deci, un interes pentru codificare este acum un "semn de avertizare a criminalității cibernetice". ANC este în principiu un departament IT din 1990 al școlii. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 10 decembrie 2015
Copiii care au fost "interesați de codificare" au crescut ca ingineri care au creat #Twitter, #Facebook și site-ul #NCA (printre altele)
- AdamJ (@IAmAdamJ) 9 decembrie 2015
Dar a fost o tendință tulburătoare. Guvernele nu primesc securitate. Ei nu știu cum să comunice despre amenințările la adresa securității și nu înțeleg tehnologiile fundamentale care fac ca Internetul să funcționeze. Pentru mine, asta e mult mai interesant decât orice hacker sau cyber-terorist.
Cateodata tu Ar trebui să Negociați cu teroriștii
Cea mai mare poveste de securitate din 2015 a fost, fără îndoială, Ashley Madison hack Ashley Madison Leak No Big Deal? Gândește-te din nou Ashley Madison nu scapă nici o mare afacere? Gândiți-vă din nou Discreet site-ul de dating site-ul Ashley Madison (vizat în primul rând la partenerii de înșelăciune) a fost hacked. Totuși, aceasta este o problemă mult mai serioasă decât cea prezentată în presă, cu implicații considerabile pentru siguranța utilizatorilor. Citeste mai mult . În cazul în care ați uitat, permiteți-mi să recapitulez.
Lansat în 2003, Ashley Madison a fost un site de dating cu o diferență. A permis oamenilor căsătoriți să se conecteze cu oameni care nu erau de fapt soții lor. Sloganul lor a spus totul. “Viata e scurta. A avea o aventura.”
Dar grosolan ca a fost, a fost un succes runaway. În aproape zece ani, Ashley Madison a acumulat aproape 37 de milioane de conturi înregistrate. Deși este de la sine înțeles că nu toți erau activi. Marea majoritate erau latente.
La începutul acestui an, a devenit evident că nu era bine cu Ashley Madison. Un grup misterios de hacking, numit The Impact Team, a emis o declarație care susține că a reușit să obțină baza de date a site-ului, plus o memorie cache mare de e-mailuri interne. Ei au amenințat că o vor elibera, cu excepția cazului în care Ashley Madison a fost închisă, alături de site-ul său surori, "Established Men".
Avid Life Media, proprietari și operatori ai Ashley Madison și Men's Established, a emis un comunicat de presă care a subliniat atacul. Ei au subliniat că lucrează cu autoritățile de aplicare a legii pentru a detecta făptașii și au fost “capabil să securizeze site-urile noastre și să închidă punctele de acces neautorizate”.
Declarație de la Avid Life Media Inc .: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 20 iulie 2015
Pe 18lea din august, echipa Impact a lansat baza de date completă.
A fost o demonstrație incredibilă a rapidității și a caracterului disproporționat al justiției pe Internet. Indiferent de modul în care vă simțiți despre înșelăciune (îl urăsc, personal), sa simțit ceva cu totul greșit despre. Familiile au fost rupte. Carierele au fost ruinate instantaneu și foarte public. Unii oportuniști au trimis chiar e-mailuri de abatere a abonaților, prin e-mail și prin poștă, mulsându-le din mii. Unii credeau că situațiile lor erau atât de deznădăjduite, trebuiau să-și ia viața. A fost rau. 3 motive pentru care Ashley Madison Hack este o afacere gravă 3 motive pentru care Ashley Madison Hack este o afacere gravă Internetul pare a fi extatic în legătură cu hack-ul Ashley Madison, cu milioane de adulteriri și potențiali adulteri "detalii hacked și lansat online, cu articole outing persoane fizice găsite în dump de date. Hilar, nu? Nu asa de repede. Citeste mai mult
Hack-ul a strălucit, de asemenea, un punct de vedere la lucrările interioare ale lui Ashley Madison.
Ei au descoperit că din cele 1,5 milioane de femei care au fost înregistrate pe acest site, doar aproximativ 10 000 erau ființe umane reale. Restul erau roboți și conturi false create de personalul Ashley Madison. A fost o ironie crudă, că majoritatea celor care s-au înscris probabil că nu au întâlnit niciodată pe nimeni prin ea. A fost, pentru a folosi o expresie puțin colocvială, un "fest de cârnați".
cea mai jenantă parte din numele tău fiind scurs de la hack-ul Ashley Madison te flirtezi cu un bot. pentru bani.
- verbal spațiu (@VerbalSpacey) 29 august 2015
Nu sa oprit aici. Pentru $ 17, utilizatorii ar putea elimina informațiile de pe site. Profilurile lor publice ar fi șterse și conturile lor vor fi eliminate din baza de date. Acest lucru a fost folosit de către cei care s-au înscris și au regretat ulterior.
Dar scurgerea a arătat că Ashley Maddison nu a făcut-o de fapt eliminați conturile din baza de date. În schimb, ele erau doar ascunse de Internetul public. Când baza lor de date despre utilizatori a fost scursă, așa au fost și acele conturi.
BoingBoing zile Ashley Madison dump include informații despre persoanele care au plătit AM pentru a șterge conturile lor.
- Denise Balkissoon (@balkissoon) 19 august 2015
Poate că lecția pe care o putem învăța din saga Ashley Madison este asta uneori merită să se asocieze cu cerințele hackerilor.
Sa fim cinstiti. Avid Life Media știa ce era pe serverele lor. Ei știau ce s-ar fi întâmplat dacă ar fi fost scurs. Ar fi trebuit să facă tot ce le stătea în puterea lor pentru a nu-l scape. Dacă asta ar însemna închiderea a două proprietăți online, așa să fie.
Hai să fim greșiți. Oamenii au murit pentru că Avid Life Media a luat poziție. Si pentru ce?
La o scară mai mică, se poate argumenta că este adesea mai bine să răspundă cerințelor hackerilor și creatorilor de programe malware. Ransomware este un exemplu minunat de acest lucru nu se încadrează fault de scammers: un ghid pentru Ransomware & alte amenințări nu se încadrează fault al scammers: un ghid pentru Ransomware & alte amenințări Citește mai mult. Atunci când cineva este infectat și dosarele sunt criptate, victimele sunt rugate pentru o "răscumpărare" pentru a le decripta. Aceasta este în general în limita a 200 de dolari sau cam asa ceva. Când sunt plătite, aceste fișiere sunt în general returnate. Pentru ca modelul de afaceri ransomware să funcționeze, victimele trebuie să aibă unele așteptări ca ei să poată primi fișierele înapoi.
Cred că înainte, multe companii care se află în poziția Avid Life Media se vor întreba dacă o poziție sfidătoare este cea mai bună.
Alte lecții
2015 a fost un an ciudat. Nu vorbesc doar despre Ashley Madison.
VTech Hack VTech se confruntă cu hackeri, Apple uraste căștile pentru căști ... [Tech News Digest] VTech ajunge la Hacked, Apple uraste căștile pentru căști ... [Tech News Digest] Hackerii expun utilizatorilor VTech, Apple consideră eliminarea mufei pentru căști, -Fi, Snapchat intră în pat cu (RED), și amintindu-i pe The Star Wars Holiday Special. Read More a fost un schimbător de jocuri. Acest producător de jucării pentru copii din Hong Kong a oferit un comprimat încuiat în jos, un magazin de aplicații prietenos pentru copii și capacitatea părinților de a-l controla de la distanță. La începutul acestui an, a fost hacked, cu peste 700.000 de profiluri de copii fiind scurgeri. Acest lucru a arătat că vârsta nu reprezintă o barieră pentru a fi victima unei încălcări a datelor.
A fost, de asemenea, un an interesant pentru securitatea sistemelor de operare. Deși au fost ridicate întrebări cu privire la securitatea globală a GNU / Linux Linux a fost victima propriului succes? Linux a fost victima propriului succes? De ce a spus recent liderul Fundației Linux, Jim Zemlin, că "epoca de aur a Linux" s-ar putea termina în curând? Misiunea de a "promova, proteja și promova Linux" a eșuat? Citiți mai multe, Windows 10 a făcut promisiuni de a fi cel mai sigur Windows vreodată 7 Moduri Windows 10 este mai sigur decât Windows XP 7 Moduri Windows 10 este mai sigur decât Windows XP Chiar dacă nu vă place Windows 10, ar fi trebuit să migrați de la Windows XP până acum. Vă arătăm cum sistemul de operare vechi de 13 ani este acum plin de probleme de securitate. Citeste mai mult . În acest an, am fost forțați să ne întrebăm că Windows este în mod inerent mai puțin sigur.
Este suficient să spunem că anul 2016 va fi un an interesant.
Ce lecții de securitate ați învățat în 2015? Aveți lecții de securitate pe care să le adăugați? Lăsați-le în comentariile de mai jos.
Explorați mai multe despre: criptare, hacking, internetul obiectelor.