Publicitate

Pe măsură ce ne apropiem de vârful 2016, să luăm un minut pentru a reflecta la lecțiile de securitate pe care le-am învățat în 2015. Din Ashley Madison Ashley Madison nu are nicio ofertă mare? Mai gandeste-teSite-ul discret de întâlniri online Ashley Madison (vizat în primul rând pentru soții înșelători) a fost hacked. Cu toate acestea, aceasta este o problemă mult mai serioasă decât a fost prezentată în presă, cu implicații considerabile pentru siguranța utilizatorului. Citeste mai mult , la fierbători de pirat 7 motive pentru care internetul lucrurilor ar trebui să te sperieBeneficiile potențiale ale Internet of Things cresc strălucitoare, în timp ce pericolele sunt aruncate în umbrele liniștite. Este timpul să atragem atenția asupra acestor pericole cu șapte promisiuni terifiante ale IoT. Citeste mai mult și despre sfaturile de securitate neplăcute din partea guvernului, sunt multe de discutat.

Casele inteligente sunt încă un coșmar de securitate

Anul 2015 a cunoscut o mulțime de oameni care își modernizează obiectele de uz casnic analogice existente cu alternative computerizate, conectate la internet. Smart Home tech

instagram viewer
într-adevăr a decolat anul acesta într-un mod care pare să continue în Anul Nou. Dar, în același timp, a fost ciocănit și acasă (îmi pare rău) că unele dintre aceste dispozitive nu sunt atât de sigure.

Cea mai mare poveste de securitate pentru Smart Home a fost poate aceea că a fost descoperirea unor dispozitive livrare cu certificate de criptare duplicate (și adesea cu coduri grele) și chei private. Nu au fost doar produse Internet of Things. Routere emise de ISP-uri majore s-a descoperit că au comis acest cardinal cel mai mare dintre păcatele de securitate.

router2

Deci, de ce este o problemă?

În esență, acest lucru face banal pentru un atacator să spioneze aceste dispozitive prin intermediul unui Atac de „om în mijloc” Ce este un atac împotriva omului în mijloc? Jargon de securitate explicatDacă ați auzit de atacuri „om-la-mijloc”, dar nu sunteți sigur ce înseamnă asta, acesta este articolul pentru dvs. Citeste mai mult , interceptarea traficului, rămânând în același timp nedetectată de către victimă. Acest lucru se referă la faptul că tehnologia Smart Home este din ce în ce mai folosită în contexte incredibil de sensibile, precum securitatea personală, siguranța gospodăriei Revizuirea Nest Protect și Giveaway Citeste mai mult și în asistență medicală.

Dacă acest lucru pare familiar, se datorează faptului că un număr de mari producători de computere au fost prinși făcând un lucru foarte similar. În noiembrie 2015, s-a constatat că Dell transporta calculatoare cu un număr identic certificat root numit eDellRoot Cele mai recente laptop-uri Dell sunt infectate cu eDellRootDell, cel de-al treilea cel mai mare producător de computere din lume a fost prins transportând certificate rădăcină pe toate noile computere - la fel cum a făcut Lenovo cu Superfish. Iată cum să faceți noul dvs. computer Dell în siguranță. Citeste mai mult , în timp ce la sfârșitul anului 2014, Lenovo a fost început ruperea intenționată a conexiunilor SSL Posesorii Lenovo Laptop Atentie: Dispozitivul dvs. poate avea programul preinstalat malwareProducătorul chinez de computere Lenovo a recunoscut că laptopurile expediate în magazine și consumatori la sfârșitul anului 2014 au avut preinstalate programe malware. Citeste mai mult pentru a injecta reclame în pagini web criptate.

Nu s-a oprit acolo. 2015 a fost într-adevăr anul insecurității Smart Home, cu multe dispozitive identificate ca având o vulnerabilitate obscen de securitate evidentă.

Preferatul meu a fost iKettle De ce Hackul iKettle ar trebui să vă îngrijoreze (chiar dacă nu dețineți unul)IKettle este un fierbător activat WiFi, care aparent a venit cu un defect masiv, lipsit de securitate, care avea potențialul de a exploda rețele WiFi complete. Citeste mai mult (ați ghicit: un ceainic cu Wi-Fi activat), care ar putea fi convins de un atacator să dezvăluie detaliile Wi-Fi (în textul clar, nu mai puțin) din rețeaua de domiciliu.

ikettle-principal

Pentru ca atacul să funcționeze, mai întâi a trebuit să creezi o rețea wireless spoofed care să partajeze același SSID (numele rețelei) ca cel care are iKettle-ul atașat la acesta. Apoi conectându-vă la acesta prin intermediul Telnet utilitarului UNIX și parcurgând câteva meniuri, puteți vedea numele de utilizator și parola de rețea.

Apoi a fost Frigiderul inteligent Samsung conectat la Wi-Fi Frigiderul inteligent al Samsung tocmai a fost pregătit. Ce zici de restul casei tale inteligente?O vulnerabilitate a frigiderului inteligent Samsung a fost descoperită de firma de testare Pen Test Parters, din Marea Britanie. Implementarea Samsung de criptare SSL nu verifică valabilitatea certificatelor. Citeste mai mult , care nu a reușit să valideze certificatele SSL și le-a permis atacatorilor să intercepteze potențialul de autentificare Gmail.

Samsung-smartfridge

Pe măsură ce tehnologia Smart Home devine din ce în ce mai mainstream și o va face, vă puteți aștepta să auziți despre mai multe povești aceste dispozitive cu vulnerabilități critice de securitate și sunt victime ale unor hacks cu profil înalt.

Guvernele încă nu o obțin

O temă recurentă pe care am văzut-o în ultimii ani este cât de ignorați sunt majoritatea guvernelor atunci când vine vorba de probleme de securitate.

Câteva dintre cele mai neobișnuite exemple de analfabetism infosec pot fi găsite în Marea Britanie, unde guvernul a demonstrat în mod repetat și constant că doar nu-l înțelegeți.

Una dintre cele mai grave idei care este plutită în parlament este ideea că criptarea utilizată de serviciile de mesagerie (cum ar fi Whatsapp și iMessage) trebuie slăbit, astfel încât serviciile de securitate să le poată intercepta și decoda. După cum a arătat cu drag colegul meu Justin Pot pe Twitter, asta ar fi ca să trimitem toate seifurile cu un cod cheie principal.

Imaginează-ți dacă guvernul a spus că orice siguranță ar trebui să aibă un al doilea cod standard, în caz că polițiștii doresc. Aceasta este dezbaterea despre criptare acum.

- Justin Pot (@jhpot) 9 decembrie 2015

Devine mai rău. În decembrie 2015, Agenția Națională a Criminalității (răspunsul Regatului Unit la FBI) a emis câteva sfaturi pentru părinți Copilul tău este un hacker? Autoritățile britanice cred așaNCA, FBI-ul Marii Britanii, a lansat o campanie de descurajare a tinerilor de criminalitatea computerizată. Dar sfaturile lor sunt atât de ample încât ai putea presupune că oricine citește acest articol este un hacker - chiar și tu. Citeste mai mult pentru a putea spune când copiii lor sunt pe drum spre a deveni cibernetici întăriți.

Aceste steaguri roșii, conform NCA, includ „Le interesează codificarea?” și „Sunt reticenți să vorbească despre ceea ce fac online?”.

BadAdvice

Acest sfat, evident, este gunoi și a fost batjocorit, nu numai de MakeUseOf, ci și de asemenea de alte publicații tehnologice majore, și comunitatea infosec.

@NCA_UK listează un interes pentru codificare ca semn de avertizare pentru criminalitatea cibernetică! Destul de uluitor. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- David G Smith (@aforethought) 9 decembrie 2015

Așadar, interesul pentru codificare este acum un „semn de avertizare a criminalității informatice”. NCA este practic un departament de informare școlară din anii 1990. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10 decembrie 2015

Copiii care erau „interesați de codificare” au crescut pentru a fi inginerii care au creat #Stare de nervozitate, #Facebook si #NCA site-ul web (printre altele)

- AdamJ (@IAmAdamJ) 9 decembrie 2015

Era însă un indiciu al unei tendințe tulburătoare. Guvernele nu au securitate. Nu știu să comunice despre amenințările de securitate și nu înțeleg tehnologiile fundamentale care fac ca internetul să funcționeze. Pentru mine, aceasta este mult mai importantă decât orice hacker sau cyber-terorist.

Cateodata tu Ar trebui să Negociază cu teroriștii

Cea mai mare poveste de securitate din 2015 a fost fără îndoială hackul Ashley Madison Ashley Madison nu are nicio ofertă mare? Mai gandeste-teSite-ul discret de întâlniri online Ashley Madison (vizat în primul rând pentru soții înșelători) a fost hacked. Cu toate acestea, aceasta este o problemă mult mai serioasă decât a fost prezentată în presă, cu implicații considerabile pentru siguranța utilizatorului. Citeste mai mult . În cazul în care ați fost uitat, permiteți-mă să recapitulez.

Lansat în 2003, Ashley Madison a fost un site de întâlniri cu o diferență. Le-a permis persoanelor căsătorite să se conecteze cu persoane care nu erau de fapt soții lor. Sloganul lor a spus totul. "Viata e scurta. A avea o aventura."

Dar, pe cât de gros este, a fost un succes fugit. În puțin peste zece ani, Ashley Madison acumulase aproape 37 de milioane de conturi înregistrate. Deși este de la sine înțeles că nu toți au fost activi. Marea majoritate erau latente.

La începutul acestui an, a devenit evident că totul nu a fost bine cu Ashley Madison. Un misterios grup de hackeri numit Echipa de Impact a emis o declarație care susține că au reușit să obțină baza de date a site-ului, plus o memorie cache de e-mailuri interne. Aceștia au amenințat-o să o elibereze, cu excepția cazului în care Ashley Madison să fie închisă, împreună cu site-ul său surorilor Established Men.

Avid Life Media, care sunt proprietarii și operatorii Ashley Madison și Established Men, a emis un comunicat de presă care a redus atacul. Ei au subliniat că lucrează cu forțele de ordine pentru a depista autorii și au fost „capabili să asigure site-urile noastre și să închidă punctele de acces neautorizate”.

Declarație de la Avid Life Media Inc.: http://t.co/sSoLWvrLoQ

- Ashley Madison (@ashleymadison) 20 iulie 2015

Pe 18lea din luna august, Impact Team a lansat baza de date completă.

A fost o demonstrație incredibilă a rapidității și a caracterului disproporționat al justiției pe Internet. Indiferent cum te simți înșelând (îl urăsc, personal), ceva simțit complet greșit despre. Familiile erau sfâșiate. Carierele au fost distruse instantaneu și foarte public. Unii oportuniști au trimis chiar și e-mailuri de extorcare pentru abonați, prin e-mail și prin poștă, mulgându-i din mii. Unii au crezut că situațiile lor sunt atât de lipsite de speranță, încât au fost nevoiți să își ducă propria viață. A fost rau. 3 motive pentru care Hackerul Ashley Madison este o problemă serioasăInternetul pare extatic în legătură cu hack-ul Ashley Madison, cu milioane de adulți și potențial detaliile adulterilor au fost hacked și lansate online, cu articole care au găsit articole găsite în date benă. Hilarious, nu? Nu asa de repede. Citeste mai mult

Hackul a strălucit, de asemenea, un punct de vedere la lucrările interioare ale lui Ashley Madison.

Au descoperit că dintre cele 1,5 milioane de femei care au fost înregistrate pe site, doar în jur de 10.000 erau ființe umane adevărate. Restul au fost roboți și conturi false create de personalul Ashley Madison. A fost o ironie crudă că majoritatea oamenilor care s-au înscris probabil nu au întâlnit pe nimeni prin ea. A fost, pentru a folosi o frază ușor colocvială, un „festin de cârnați”.

cea mai jenantă parte a numelui tău fiind scăpată din hack-ul Ashley Madison este că ai flirtat cu un bot. pentru bani.

- spatiu verbal (@VerbalSpacey) 29 august 2015

Nu s-a oprit acolo. Pentru 17 dolari, utilizatorii și-au putut elimina informațiile de pe site. Profilurile lor publice ar fi șterse, iar conturile lor ar fi fost eliminate din baza de date. Acest lucru a fost folosit de persoanele care s-au înscris și au regretat ulterior.

Dar scurgerea a arătat că Ashley Maddison nu a făcut-o de fapt eliminați conturile din baza de date. În schimb, ele erau doar ascunse de Internetul public. Când baza de date a utilizatorilor lor a fost scursă, la fel și aceste conturi.

BoingBoing zile Ashley Madison dump include informații despre persoanele care au plătit AM pentru a-și șterge conturile.

- Denise Balkissoon (@balkissoon) 19 august 2015

Poate că lecția pe care o putem învăța din saga Ashley Madison este aceea uneori merită să fii conform cerințelor hackerilor.

Sa fim cinstiti. Avid Life Media știau ce era pe serverele lor. Știau ce s-ar fi întâmplat dacă s-ar fi scurs. Ar fi trebuit să facă tot ce le stă în puteri pentru a opri scurgerea. Dacă asta înseamnă să închidem câteva proprietăți online, așa să fie.

Să fim sfătuiți. Oamenii au murit pentru că Avid Life Media a luat poziție. Si pentru ce?

La o scară mai mică, se poate susține că este deseori mai bine să răspundem cerințelor hackerilor și creatorilor de malware. Ransomware este un exemplu excelent în acest sens Nu vă lăsați înșelători de escroci: un ghid pentru răscumpărare și alte amenințări Citeste mai mult . Când cineva este infectat și fișierele sale sunt criptate, victimelor li se cere „răscumpărare” pentru a le putea decripta. Acest lucru este, în general, în limitele de 200 $ sau aproximativ. Când sunt plătite, aceste fișiere sunt returnate în general. Pentru ca modelul de afaceri ransomware să funcționeze, victimele trebuie să aștepte oarecum că pot să-și recupereze fișierele.

Cred că mergând înainte, multe dintre companiile care se găsesc în poziția Avid Life Media vor pune la îndoială dacă o poziție sfidătoare este cea mai bună.

Alte lecții

2015 a fost un an ciudat. Nu vorbesc doar despre Ashley Madison.

VTech Hack VTech se ghemuiește, jack-urile Apple pentru căști... [Tech News Digest]Hackerii expun utilizatorii VTech, Apple ia în considerare scoaterea jackului pentru căști, luminile de Crăciun îți pot încetini Wi-Fi-ul, Snapchat se culcă cu (RED) și își amintește de The Special Wars Holiday Special. Citeste mai mult a fost un schimbător de jocuri. Acest producător de jucării pentru copii, cu sediul în Hong Kong, a oferit o tabletă închisă, cu un magazin de aplicații pentru copii și posibilitatea părinților de a-l controla de la distanță. La începutul acestui an, a fost piratat, cu peste 700.000 de profiluri ale copiilor fiind scurse. Acest lucru a arătat că vârsta nu este o barieră pentru a fi victima unei încălcări a datelor.

A fost, de asemenea, un an interesant pentru securitatea sistemului de operare. În timp ce au fost ridicate întrebări cu privire la securitatea generală a GNU / Linux Linux a fost victima succesului propriu?De ce șeful fundației Linux, Jim Zemlin, a spus recent că „epoca de aur a Linuxului” s-ar putea încheia curând? A eșuat misiunea de a „promova, proteja și avansa Linux”? Citeste mai mult , Windows 10 a făcut promisiuni mari fiind cel mai sigur Windows vreodată 7 Moduri Windows 10 este mai securizat decât Windows XPChiar dacă nu vă place Windows 10, ar fi trebuit să migrați de pe Windows XP până acum. Vă arătăm cum sistemul de operare vechi de 13 ani este acum plin de probleme de securitate. Citeste mai mult . În acest an, am fost nevoiți să punem la îndoială zicala conform căreia Windows este în mod mai puțin sigur.

Este suficient să spunem că 2016 va fi un an interesant.

Ce lecții de securitate ai învățat în 2015? Aveți vreo lecție de securitate de adăugat? Lasă-le în comentariile de mai jos.

Matthew Hughes este un dezvoltator de software și scriitor din Liverpool, Anglia. Foarte rar este găsit fără o ceașcă de cafea neagră puternică în mână și își adoră absolut Macbook Pro și camera foto. Îi poți citi blogul la http://www.matthewhughes.co.uk și urmăriți-l pe twitter la adresa @matthewhughes.