Oglas

Kad se približavamo procvatu 2016., uzmimo malo vremena za razmišljanje o sigurnosnim lekcijama koje smo naučili u 2015. godini. Iz Ashley Madison Ashley Madison nije puštala velike ponude? Razmisli ponovnoDiskretna internetska stranica za upoznavanje Ashley Madison (usmjerena prvenstveno na varanje supružnika) hakirana je. Međutim, ovo je daleko ozbiljnije pitanje nego što je opisano u tisku, s znatnim posljedicama na sigurnost korisnika. Čitaj više , na sjeckani kotlići 7 razloga zbog kojih bi vas Internet stvari trebao uplašitiPotencijalne koristi Interneta stvari rastu, dok se opasnosti bacaju u tihe sjene. Vrijeme je da privučemo pozornost na ove opasnosti sa sedam zastrašujućih obećanja IoT-a. Čitaj više i neugodni sigurnosni savjeti vlade, puno se može razgovarati.

Pametne kućice su i dalje sigurnosna noćna mora

U 2015. godini je nalet osoba nadograđivao postojeće analogne kućanske predmete računalnim, internetskim poveznicama. Smart Home tech stvarno krenuo ove godine na način kako izgleda da bi se nastavio u novu godinu. Ali istodobno je, također, zakucalo kući (žao mi je) neki od tih uređaja

instagram viewer
nisu sve tako sigurno.

Najveća sigurnosna priča Smart Home-a možda je bila otkriće nekih uređaja otprema s duplikatnim (i često tvrdo kodiranim) potvrdama za šifriranje i privatne ključeve. To također nije bio samo Internet of Things proizvodi. Usmjerivači koje izdaju glavni davatelji internetskih usluga su otkrili da je počinio ovaj najveći kardinal grijeha sigurnosti.

router2

Pa, zašto je to problem?

U osnovi, to čini trivijalnim napadačem da špijunira ove uređaje putem protokola Napad "čovjek u sredini" Što je napad Čovjeka u sredini? Objasnio sigurnosni žargonAko ste čuli za napade "čovjeka u sredini", ali niste baš sigurni što to znači, ovo je članak za vas. Čitaj više , presijecajući promet, a istovremeno žrtva ostaje neotkrivena. To je zabrinjavajuće, s obzirom na to da se tehnologija Smart Home sve više koristi u nevjerojatno osjetljivim kontekstima, poput osobne sigurnosti, sigurnost u domaćinstvu Pregled i izdavanje Nest Protect Čitaj više , i u zdravstvu.

Ako ovo zvuči poznato, to je zbog toga što su mnogi glavni proizvođači računala uhvaćeni u obavljanju vrlo slične stvari. U studenom 2015. otkriveno je da Dell isporučuje računala s identičnim brojem korijenski certifikat zvan eDellRoot Dell-ovi najnoviji prijenosnici su zaraženi eDellRoot-omDell, treći najveći proizvođač računala na svijetu, uhvaćen je u otpremi certifikata korijena na svim novim računalima - baš kao što je to napravio Lenovo i sa Superfishom. Evo kako svoj novi Dell PC učiniti sigurnim. Čitaj više , dok je krajem 2014. započeo Lenovo namjerno prekida SSL veze Vlasnici prijenosnog računala Lenovo pripazite: vaš je uređaj možda unaprijed instalirao zlonamjerni softverKineski proizvođač računala Lenovo priznao je da su prijenosna računala isporučena trgovinama i potrošačima krajem 2014. imala unaprijed instaliran zlonamjerni softver. Čitaj više u svrhu umetanja oglasa u šifrirane web stranice.

Nije se tu zaustavilo. 2015. je zaista bila godina nesigurnosti Smart Home-a, pri čemu su mnogi uređaji identificirani kao opsceno očigledna sigurnosna ranjivost.

Moj favorit bio je iKettle Zašto bi vas iKettle Hack trebao zabrinuti (čak i ako ga nemate u vlasništvu)IKettle je čajnik s omogućenom WiFi koji je očito dolazio s velikim, nedostatnim sigurnosnim promašajem koji je mogao raznijeti cijele WiFi mreže. Čitaj više (pogodili ste: čajnik s omogućenom Wi-Fi mrežom), u što bi se napadač mogao uvjeriti da otkrije detalje o Wi-Fi mreži (u nevidljivom tekstu, ne manje) svoje kućne mreže.

ikettle-glavna

Da bi napad uspio, najprije ste trebali stvoriti spoofiranu bežičnu mrežu koja dijeli isti SSID (naziv mreže) kao onaj koji ima iKettle. Zatim povezivanjem na njega putem UNIX uslužnog programa Telnet i prolaskom kroz nekoliko izbornika možete vidjeti mrežno korisničko ime i lozinku.

Tada je bilo Samsungov hladnjak povezan je s Wi-Fi mrežom Samsungov pametni hladnjak Just Gotwned. Kako je s ostatkom vašeg pametnog doma?Britanska tvrtka za infosc Pen Pen Parters otkrila je ranjivost Samsungovog pametnog hladnjaka. Samsungova implementacija SSL šifriranja ne provjerava valjanost certifikata. Čitaj više , koja nije uspjela provjeriti SSL certifikate i dopustila je napadačima da presretnu vjerodajnice za prijavu na Gmail.

ovi-smartfridge

Kako tehnologija Smart Home postaje sve više mainstream, a hoće, možete očekivati ​​da ćete čuti više priča ovi uređaji dolaze s kritičnim sigurnosnim ranjivostima i postaju žrtva nekih visokoprofilnih hakova.

Vlade ga još uvijek ne prihvaćaju

Jedna ponavljajuća tema koju smo vidjeli tijekom posljednjih nekoliko godina jest koliko je krajnje zaboravna većina vlada kada je riječ o sigurnosnim pitanjima.

Neki od najokrutnijih primjera nepismene nepismenosti mogu se naći u Velikoj Britaniji, gdje je vlada više puta i dosljedno pokazala da samo ne shvaćaj.

Jedna od najgorih ideja koja se plasira u parlamentu je ideja šifriranja koje koriste usluge razmjene poruka (poput Whatsapp-a i iMessage) treba oslabiti, tako da ih službe sigurnosti mogu presresti i dešifrirati. Kao što je moj kolega Justin Pot istaknuo na Twitteru, to je poput slanja svih sefova s ​​matičnim kodom.

Zamislite ako vlada kaže da svaki sef treba imati standardni drugi kod, u slučaju da policajci žele. Upravo je to debata o šifriranju.

- Justin Pot (@jhpot) 9. prosinca 2015

Pogoršava se. U prosincu 2015., Nacionalna agencija za kriminal (odgovor Velike Britanije FBI-u) izdao nekoliko savjeta za roditelje Je li vaše dijete haker? Britanske vlasti tako misleNCA, britanski FBI, pokrenuo je kampanju za odvraćanje mladih od računalnog kriminala. Ali njihov je savjet toliko širok da biste mogli pretpostaviti da je svatko tko čita ovaj članak haker - čak i vi. Čitaj više tako da mogu znati kada su njihova djeca na putu da postanu otvrdnuti cyber kriminali.

Te crvene zastave, prema NCA, uključuju "Zanima ih kodiranje?" i "Žele li razgovarati o onome što rade na mreži?".

BadAdvice

Ovaj je savjet, očito, smeće i široko su mu se rugali, ne samo MakeUseOf, već i putem drugih velikih tehnoloških publikacija, i infosec zajednicu.

@NCA_UK navodi zanimanje za kodiranje kao znak upozorenja za cyber kriminal! Prilično zapanjujući. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- David G Smith (@ unaprijed) 9. prosinca 2015

Dakle, interes za kodiranje sada je "znak upozorenja za cyber kriminal". NCA je u osnovi informatički odjel iz 1990-ih. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10. prosinca 2015

Djeca koja su se "zanimala za kodiranje" odrasla su kao inženjeri koji su stvarali #Cvrkut, #Facebook i the #NCA web stranica (između ostalog)

- AdamJ (@IAmAdamJ) 9. prosinca 2015

Ali to je ukazivalo na zabrinjavajući trend. Vlade ne dobivaju sigurnost. Oni ne znaju komunicirati o sigurnosnim prijetnjama i ne razumiju osnovne tehnologije zbog kojih Internet funkcionira. Za mene je to puno više od bilo kojeg hakera ili cyber-terorista.

Ponekad Ti Treba li Pregovarajte s teroristima

Najveća sigurnosna priča 2015. bila je nesumnjivo sjeckanje Ashley Madison Ashley Madison nije puštala velike ponude? Razmisli ponovnoDiskretna internetska stranica za upoznavanje Ashley Madison (usmjerena prvenstveno na varanje supružnika) hakirana je. Međutim, ovo je daleko ozbiljnije pitanje nego što je opisano u tisku, s znatnim posljedicama na sigurnost korisnika. Čitaj više . U slučaju da ste zaboravili, dopustite mi da ih sakupim.

Ashley Madison, lansirana 2003. godine, bila je mjesto za upoznavanja s razlikom. Omogućeno je da se oženjeni povežu s ljudima koji zapravo nisu bili njihovi supružnici. Njihov slogan je sve to rekao. "Život je kratak. Imajte aferu. "

No kako je to grub, bio je to bjegunac. U samo nešto više od deset godina, Ashley Madison skupila je gotovo 37 milijuna registriranih računa. Iako je razumljivo da nisu svi bili aktivni. Velika većina je uspavala.

Početkom ove godine postalo je očito da s Ashley Madison nije sve u redu. Tajanstvena skupina za hakiranje nazvana The Impact Team izdala je izjavu tvrdeći kako su uspjeli dobiti bazu podataka web mjesta, plus veliku predmemoriju internih poruka e-pošte. Prijetili su da će ga pustiti, osim ako Ashley Madison ne bude zatvorena, zajedno sa sestrinskim mjestom Established Men.

Avid Life Media, koji su vlasnici i operatori Ashley Madison i Established Men, izdao je priopćenje za javnost koje je umanjilo napad. Naglasili su da rade s policijom na pronalaženju počinitelja, te da su "bili u mogućnosti osigurati naše stranice i zatvoriti neovlaštene pristupne točke".

Izjava tvrtke Avid Life Media Inc.: http://t.co/sSoLWvrLoQ

- Ashley Madison (@ashleymadison) 20. srpnja 2015

18th kolovoza, Impact Team je objavio cijelu bazu podataka.

Bila je to nevjerojatna demonstracija brzine i nesrazmjernosti internetske pravde. Bez obzira kako se osjećate zbog varanja (osobno ga mrzim), nešto se osjećalo krajnje pogrešno o tome. Obitelji su bile rastrgane. Karijere su odmah i vrlo javno propale. Neki oportunisti čak su putem e-pošte i pošte slali pretplatnicima e-poštu iznuđivanja, milujući ih i na hiljade. Neki su smatrali da su njihove situacije tako beznadne, da su sebi morali oduzeti život. Bilo je loše. 3 razloga zašto je sjeckanje Ashley Madison ozbiljna aferaInternet izgleda ekstatično zbog hakiranja Ashley Madison, s milijunima preljubnika i potencijala Pojedinosti o preljubnicima hakirani su i objavljeni putem interneta, a u podacima su pronađeni članci koji otkrivaju pojedince istovariti. Smiješno, zar ne? Ne tako brzo. Čitaj više

Hak je također bacio svjetlo na unutrašnju rad Ashley Madison.

Otkrili su da je od 1.5 milijuna žena koje su bile registrirane na tom mjestu, samo oko 10.000 stvarna istinska ljudska bića. Ostalo su roboti i lažni računi koje je stvorilo osoblje Ashley Madison. Bila je to okrutna ironija da većina ljudi koji su se prijavili vjerojatno nikoga nije upoznala. Bilo je, upotrijebiti lagano kolokvijalno, frazu "kobasica fest".

Najviše sramotnog dijela vašeg imena koji je procurio iz hakla Ashley Madison jeste li koketirate s robotom. za novac.

- verbalni razmak (@VerbalSpacey) 29. kolovoza 2015

Nije se tu zaustavilo. Za 17 dolara korisnici bi mogli ukloniti svoje podatke s web mjesta. Njihovi bi se javni profili izbrisali, a njihovi računi bili bi izbrisani iz baze podataka. To su iskoristili ljudi koji su se prijavili i kasnije požalili.

Ali curenje je pokazalo da Ashley Maddison nije zapravo uklonite račune iz baze podataka. Umjesto toga, oni su bili samo skriveni od javnog interneta. Kad je procurila njihova korisnička baza podataka, tako su bili i ovi računi.

BoingBoing dani odlagalištu Ashley Madison uključuju podatke o ljudima koji su platili AM-u za brisanje računa.

- Denise Balkissoon (@balkissoon) 19. kolovoza 2015

Možda je lekcija koju možemo naučiti iz sage Ashley Madison da je to ponekad se vrijedi prilagoditi zahtjevima hakera.

Budimo iskreni. Strastveni životni mediji znali su što se nalazi na njihovim poslužiteljima. Znali su što će se dogoditi ako procuri. Trebali su učiniti sve što je u njihovoj moći da to spriječi da ne procuri. Ako je to značilo gašenje nekoliko mrežnih entiteta, neka tako i bude.

Budimo tupi. Ljudi su umrli jer su Avid Life Media zauzeli stav. I za što?

U manjem opsegu može se tvrditi da je često bolje udovoljiti zahtjevima hakera i stvaranja zlonamjernog softvera. Ransomware je sjajan primjer toga Nemojte pasti lažima: Vodič za otkup i druge prijetnje Čitaj više . Kad se netko zarazi i njihove su datoteke šifrirane, žrtve se traže 'otkupnina' kako bi ih dešifrirala. To se obično kreće oko 200 dolara ili tako nešto. Kad se uplate, ove se datoteke uglavnom vraćaju. Kako bi poslovni model ransomwarea djelovao, žrtve moraju očekivati ​​da mogu vratiti svoje dosjee.

Mislim da će iduće godine mnoge kompanije koje se nađu u položaju Avid Life Media propitati je li prkosan stav najbolji.

Ostale lekcije

2015 je bila čudna godina. Ne govorim ni o Ashley Madison.

VTech Hack VTech dobija hakirane, Apple mrzi slušalice... [Tech News Digest]Hakeri izlažu korisnike VTech-a, Apple razmatra uklanjanje priključka za slušalice, božićna svjetla mogu usporiti vaš Wi-Fi, Snapchat ulazi u krevet s (RED) i sjeća se The Star Wars Holiday Special. Čitaj više bio je izmjenjivač igara. Ovaj proizvođač dječjih igračaka sa sjedištem u Hong Kongu ponudio je zaključano tablet računalo, s prodavaonicom aplikacija prilagođenim djeci i roditeljima mogućnost daljinskog upravljanja. Ranije ove godine, hakiran je, procurjelo je preko 700 000 dječjih profila. To je pokazalo da dob ne predstavlja prepreku da budemo žrtva kršenja podataka.

Bila je to i zanimljiva godina sigurnosti operativnog sustava. Dok su se postavljala pitanja o tome opća sigurnost GNU / Linuxa Je li Linux postao žrtva vlastitog uspjeha?Zašto je voditelj Linux Fondacije Jim Zemlin nedavno rekao da bi se "zlatno doba Linuxa" uskoro moglo završiti? Je li misija "promoviranja, zaštite i unapređenja Linuxa" propala? Čitaj više , Windows 10 je dao velika obećanja u kao najsigurniji Windows ikad 7 načina Windows 10 je sigurniji od Windows XP-aČak i ako vam se ne sviđa Windows 10, do sad ste stvarno trebali preći s Windows XP. Pokazali smo vam kako je 13-godišnji operativni sustav prepun sigurnosnih problema. Čitaj više . Ove godine bili smo prisiljeni ispitivati ​​tvrdnju da je Windows inherentno manje siguran.

Dovoljno je reći da će 2016. biti zanimljiva godina.

Koje ste pouke o sigurnosti naučili u 2015. godini? Imate li još kakvih lekcija sigurnosti? Ostavite ih u komentarima ispod.

Matthew Hughes je programer i pisac softvera iz Liverpoola u Engleskoj. Rijetko se nađe bez šalice jake crne kave u ruci i apsolutno obožava svoj Macbook Pro i svoj fotoaparat. Njegov blog možete pročitati na http://www.matthewhughes.co.uk i slijedite ga na twitteru na @matthewhughes.