Reklaam

Kui läheneme 2016. aasta kallakule, siis mõelgem veidi aega 2015. aastal õpitud turvatundide üle. Alates Ashley Madison Ashley Madison Leak Pole suurt tehingut? Mõtle uuestiDiskreetne onlain-kohtingute sait Ashley Madison (suunatud peamiselt abikaasade petmisele) on häkkinud. Kuid see on palju tõsisem teema, kui ajakirjanduses on kujutatud, millel on märkimisväärne mõju kasutaja turvalisusele. Loe rohkem , kuni häkitud veekeetjad 7 põhjust, miks asjade Internet peaks teid hirmutamaAsjade Interneti potentsiaalsed eelised muutuvad eredaks, samas kui ohud heidetakse vaiksetele varjudele. On aeg juhtida tähelepanu nendele ohtudele seitsme Interneti hirmutava lubadusega. Loe rohkem ja valitsuse ebameeldivaid turvanõuandeid, on palju rääkida.

Nutikad kodud on endiselt turvalisuse õudusunenägu

2015. aastal kiirustasid inimesed oma olemasolevaid analoogseid majapidamistarbeid täiustama arvutipõhiste Interneti-ühendusega alternatiivide abil. Nutika kodu tehnoloogia tõesti algas sel aastal viisil, mis näib jätkuvat ka uusaasta algust. Kuid samal ajal hammustati ka kodus (vabandust), et mõned neist seadmetest

instagram viewer
pole sugugi nii turvaline.

Kõige suurem nutika kodu turvalisuse lugu oli võib-olla avastus, et mõned seadmed olid saatmine koopiate (ja sageli ka kodeeritud) krüptimissertifikaatidega ja privaatvõtmed. See polnud ka ainult asjade interneti tooted. Suurte Interneti-teenuse pakkujate väljastatud ruuterid on leitud, et nad on toime pannud selle kõige kardinaalsema turvalisuse pattu.

ruuter2

Miks see probleem on?

Põhimõtteliselt muudab see ründaja jaoks nende seadmete luuramise kaudu triviaalseks „Keset meest” rünnak Mis on rünnak keskel? Turvalisuse žargoon selgitatudKui olete kuulnud keskeltläbi rünnakutest, kuid pole päris kindel, mida see tähendab, on see artikkel teile mõeldud. Loe rohkem , liikluse pealtkuulamine, hoides samal ajal ohvrit märkamata. See on murettekitav, arvestades, et nutika kodu tehnikat kasutatakse üha enam sellistes uskumatult tundlikes olukordades, nagu isiklik turvalisus, leibkonna ohutus Nest Protect ülevaade ja kingitused Loe rohkem ja tervishoius.

Kui see kõlab tuttavalt, siis seetõttu, et paljud suured arvutitootjad on tabanud väga sarnast asja. Novembris 2015 leiti, et Delli tarnitakse identse arvutiga juursertifikaat nimega eDellRoot Delli uusimad sülearvutid on nakatunud eDellRoot'igaDell, maailma suuruselt kolmas arvutitootja, on kõigisse uutesse arvutitesse püütud petturite juursertifikaate - täpselt nagu Lenovo tegi Superfishiga. Siit saate teada, kuidas oma uus Dell PC ohutuks muuta. Loe rohkem , kui 2014. aasta lõpus alustati Lenovoga SSL-ühenduste tahtlik katkestamine Lenovo sülearvuti omanikud olge ettevaatlikud: teie seade võib olla pahavara eelinstallidaHiina arvutitootja Lenovo on tunnistanud, et 2014. aasta lõpus poodidesse ja tarbijatele tarnitud sülearvutites oli pahavara eelinstalleeritud. Loe rohkem et sisestada kuulutusi krüpteeritud veebilehtedele.

See ei peatunud sellel. 2015. aasta oli tõepoolest nutika kodu ebakindluse aasta, sest paljude seadmete puhul on tuvastatud varjamatult ilmne turvaauk.

Minu lemmik oli iKettle Miks peaks iKettle'i häkk teile muret valmistama (isegi kui teil seda pole)IKettle on WiFi-toega veekeetja, millel oli ilmselt tohutu suur lüngaga turvarike, millel oli potentsiaal puhuda terved WiFi-võrgud. Loe rohkem (arvasite seda: Wi-Fi toega veekeetja), mida ründaja võib veenda oma koduvõrgu WiFi-üksikasjade (mitte ainult teksti) ilmutamisel.

ikettle-main

Rünnaku toimimiseks peate kõigepealt looma võltsitud traadita võrgu, millel on sama SSID (võrgu nimi) kui sellel, millel on iKettle. Seejärel ühendades selle UNIX-i utiliidi Telneti kaudu ja liikudes läbi mõne menüü, näete võrgu kasutajanime ja parooli.

Siis oli Samsungi WiFi-ühendusega nutikülmik Samsungi nutikülmik sai just käima tõmmatud. Kuidas on lood ülejäänud oma targa koduga?Suurbritannias asuv infosek-ettevõte Pen Test Parters avastas Samsungi nutika külmikuga haavatavuse. Samsungi SSL-krüptimise rakendamine ei kontrolli sertifikaatide kehtivust. Loe rohkem , mis ei suutnud valideerida SSL-sertifikaate ja võimaldas ründajatel Gmaili sisselogimisandmeid potentsiaalselt kinni pidada.

samsung-smartfridge

Kuna nutika kodu tehnoloogia muutub üha enam laias laastus, siis võib oodata ka enamate lugude kuulmist nendes seadmetes on kriitilisi turvaauke ja nad on langenud mõne kõrge profiiliga häkkimise ohvriks.

Valitsused ikka ei saa seda

Üks korduv teema, mida oleme viimastel aastatel näinud, on see, kui tähelepanuta jätab enamik valitsusi julgeolekuküsimustes.

Mõned kõige jubedamad näited kirjaoskamatu kirjaoskamatuse kohta on Ühendkuningriigis, kus valitsus on korduvalt ja järjekindlalt näidanud, et nad lihtsalt ei saa aru.

Üks halvimaid ideid, mida parlamendis levitatakse, on idee, et sõnumiteenuste (nt Whatsapp ja iMessage) kasutatav krüptimine tuleks nõrgestada, nii et turvateenused saavad neid pealtkuulata ja dekodeerida. Nagu mu kolleeg Justin Pot Twitteris silmatorkavalt rõhutas, on see nagu kõigi seifide saatmine peamise võtmekoodiga.

Kujutage ette, kui valitsus ütleks, et igal seifil peaks olema standardne teine ​​kood, juhuks kui politseinikud soovivad. See on praegu krüptimisdebatt.

- Justin Pot (@jhpot) 9. detsember 2015

See läheb hullemaks. Riiklik kuritegevuse agentuur (Ühendkuningriigi vastus FBI-le) 2015. aasta detsembris andis vanematele nõu Kas teie laps on häkker? Briti ametivõimud arvavad niiNCA, Suurbritannia FBI, on algatanud kampaania noorte peletamiseks arvutikuritegudest. Kuid nende nõuanded on nii laiad, et võiksite arvata, et keegi, kes seda artiklit loeb, on häkker - isegi teie. Loe rohkem et nad saaksid teada, millal nende lapsed on teel paadunud küberkurjategijate poole.

Need punased lipud hõlmavad NCA andmetel järgmist: "Kas nad on huvitatud kodeerimisest?" ja "Kas nad ei taha rääkida sellest, mida nad Internetis teevad?".

Halb nõuanne

Ilmselt on see nõuanne prügi ja seda mõnitati laialdaselt mitte ainult MakeUseOfi poolt, vaid ka teiste suuremate tehnoloogiaväljaannete pooltja infosec-kogukond.

@NCA_UK loetleb huvi kodeerimise vastu küberkuritegevuse hoiatusmärgina! Üsna jahmatav. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- David G Smith (@mõtetud) 9. detsember 2015

Nii et huvi kodeerimise vastu on nüüd "küberkuritegevuse hoiatav märk". Riiklik konkurentsiamet on põhimõtteliselt 1990. aastate kooli IT osakond. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10. detsember 2015

Lapsed, kes olid huvitatud "kodeerimisest", kasvasid üles insenerideks, kes lõid #Twitter, #Facebook ja #NCA veebisait (muu hulgas)

- AdamJ (@IAmAdamJ) 9. detsember 2015

Kuid see osutas murettekitavale suundumusele. Valitsused ei saa turvalisust. Nad ei tea, kuidas turvaohtudest suhelda, ega mõista põhitehnoloogiaid, mis panevad Interneti tööle. Minu jaoks on see palju murettekitavam kui ükski häkker või küberterrorist.

Vahel ka sina Peaks Terroristidega pidada läbirääkimisi

Kahtlemata oli 2015. aasta suurim turvalugu Ashley Madisoni häkk Ashley Madison Leak Pole suurt tehingut? Mõtle uuestiDiskreetne onlain-kohtingute sait Ashley Madison (suunatud peamiselt abikaasade petmisele) on häkkinud. Kuid see on palju tõsisem teema, kui ajakirjanduses on kujutatud, millel on märkimisväärne mõju kasutaja turvalisusele. Loe rohkem . Juhul kui olete unustanud, lubage mul meelde tuletada.

2003. aastal asutatud Ashley Madison oli erinevusega tutvumisportaal. See võimaldas abielus inimestel haakuda inimestega, kes tegelikult polnud nende abikaasad. Nende loosung ütles kõik ära. "Elu on lühike. Sul on suhe. ”

Kuid nii lahe kui see ka pole, oli see õnnestunud edu. Napilt rohkem kui kümne aasta jooksul oli Ashley Madisonil kogunenud peaaegu 37 miljonit registreeritud kontot. Kuigi on ütlematagi selge, et mitte kõik neist polnud aktiivsed. Valdav enamus olid seisma jäänud.

Selle aasta alguses selgus, et Ashley Madisoniga polnud kõik hästi. Salapärane häkkimisrühm nimega Impact Team avaldas avalduse, väites, et neil on õnnestunud hankida saidiandmebaas, lisaks sisemiste e-kirjade suur vahemälu. Nad ähvardasid selle vabastada, välja arvatud juhul, kui Ashley Madison ja tema õdede saidi Asutatud mehed suletakse.

Avid Life Media, kes on Ashley Madisoni ja väljakujunenud meeste omanikud ja operaatorid, avaldas pressiteate, mis rünnaku mõju vähendas. Nad rõhutasid, et teevad vägivallatsejate jälitamiseks koostööd õiguskaitseasutustega ning suutsid "kaitsta meie saite ja sulgeda volitamata juurdepääsupunktid".

Avid Life Media Inc väljavõte: http://t.co/sSoLWvrLoQ

- Ashley Madison (@ashleymadison) 20. juuli 2015

18th augustil avaldas Impact Team täieliku andmebaasi.

See oli uskumatu näide Interneti-õigluse kiirest ja ebaproportsionaalsest olemusest. Ükskõik, kuidas te petmist tunnete (ma vihkan seda isiklikult), tundis midagi täiesti vale sellest. Pered rebiti mööda. Karjäär oli koheselt ja väga avalikult rikutud. Mõned oportunistid saatsid abonentidele isegi väljapressimisalaseid e-kirju ja posti teel, lüpstes neid tuhandetest välja. Mõni arvas, et nende olukorrad on nii lootusetud, nad peavad ise oma elu võtma. See oli halb. 3 põhjust, miks Ashley Madison Hack on tõsine asiInternet tundub Ashley Madisoni häkkimise osas ekstaatiline ning sellel on miljonite abielurikkujate potentsiaal abielurikkujate üksikasjad häkitud ja Internetis välja lastud, andmetest leiti üksikisikute artikleid prügimägi. Naljakas, eks? Mitte nii kiiresti. Loe rohkem

Hack säras tähelepanu keskpunktis ka Ashley Madisoni sisemises töös.

Nad avastasid, et saidil registreeritud 1,5 miljonist naisest oli vaid umbes 10 000 tegelikud tõelised inimesed. Ülejäänud olid Ashley Madisoni töötajate loodud robotid ja võltskontod. See oli julm iroonia, et enamik alla kirjutanud inimesi ei kohanud selle kaudu kunagi kedagi. Pisut kõnekeelse fraasi kasutamisel oli tegemist vorstifestivaliga.

kõige piinlikum osa teie nime lekitamisest Ashley Madisoni häkist on see, kui te flirdite botiga. raha eest.

- verbaalselt avar (@VerbalSpacey) 29. august 2015

See ei peatunud sellel. 17 dollari eest said kasutajad oma teabe saidilt eemaldada. Nende avalikud profiilid kustutatakse ja nende kontod kustutatakse andmebaasist. Seda kasutasid inimesed, kes allkirjastasid ja hiljem seda kahetsesid.

Kuid leke näitas, et Ashley Maddison seda ei teinud tegelikult eemaldage kontod andmebaasist. Selle asemel peideti neid lihtsalt avaliku Interneti eest. Kui nende kasutajate andmebaas lekitati, olid ka need kontod.

BoingBoingu päevad Ashley Madisoni prügikast sisaldab teavet inimeste kohta, kes maksid AM-ile nende kontode kustutamise eest.

- Denise Balkissoon (@balkissoon) 19. august 2015

Võib-olla on õppetund, mida saame Ashley Madisoni saagast õppida, just selle mõnikord tasub häkkerite nõudmistega nõustuda.

Olgem ausad. Avid Life Media teadis, mis nende serverites oli. Nad teadsid, mis oleks juhtunud, kui see oleks lekkinud. Nad oleksid pidanud tegema kõik endast oleneva, et see lekkida ei saaks. Kui see tähendas paari veebipõhise atribuudi sulgemist, siis olgu nii.

Olgem nürid. Inimesed surid, sest Avid Life Media võttis seisukoha. Ja mille jaoks?

Väiksemas plaanis võib väita, et häkkerite ja pahavara loojate nõudmistele on sageli parem vastata. Ransomware on selle suurepärane näide Ärge sattuge petturite viga: juhend Ransomware ja muude ohtude kohta Loe rohkem . Kui keegi on nakatunud ja tema failid on krüptitud, palutakse ohvritel nende dekrüpteerimiseks lunaraha. Üldiselt on see umbes 200 dollari piirides. Kui need on tasutud, tagastatakse need failid üldjuhul. Lunavara ärimudeli toimimiseks peavad ohvrid olema mingid ootused, et nad saavad oma failid tagasi.

Arvan, et edasi liikudes seavad paljud ettevõtted, kes satuvad Avid Life Media positsiooni, kahtluse alla, kas väljakutsuv hoiak on parim.

Muud õppetunnid

2015 oli kummaline aasta. Ma ei räägi ka ainult Ashley Madisonist.

VTech häkk VTech saab häkitud, Apple vihkab kõrvaklappide tungraudu... [Tech News Digest]Häkkerid paljastavad VTechi kasutajad, Apple kaalub kõrvaklappide pesa eemaldamist, jõulutuled võivad teie Wi-Fi aeglustada, Snapchati satub voodisse (RED-iga) ja The Star Warsi Holiday Speciali meenutamist. Loe rohkem oli mänguvahetaja. See Hongkongis asuv laste mänguasjade tootja pakkus lukustatud tahvelarvutit koos lastesõbraliku rakenduste poodiga ja vanemate võimalust seda eemalt juhtida. Selle aasta alguses hakati seda hävitama ja lekkima oli üle 700 000 lapse profiili. See näitas, et vanus ei ole takistuseks andmete rikkumise ohvriks langemisel.

See oli huvitav aasta ka opsüsteemi turvalisuse jaoks. Kuigi tõstatati küsimusi järgmiste küsimuste kohta: GNU / Linuxi üldine turvalisus Kas Linux on olnud oma edu ohver?Miks ütles Linuxi fondi juht Jim Zemlin hiljuti, et Linuxi kuldaeg võib varsti lõppeda? Kas missioon "Linuxi reklaamimine, kaitsmine ja edendamine" on läbi kukkunud? Loe rohkem , Windows 10 andis suurejoonelisi lubadusi olles kõigi aegade kõige turvalisem Windows 7 viisi: Windows 10 on turvalisem kui Windows XPIsegi kui teile ei meeldi Windows 10, oleksite tõesti pidanud praeguseks Windows XP-st üle minema. Näitame teile, kuidas 13-aastases opsüsteemis on nüüd turvaprobleeme. Loe rohkem . Sel aastal olime sunnitud kahtlema kõnekäändus, et Windows on oma olemuselt vähem turvaline.

Piisab, kui öelda, et 2016 saab olema huvitav aasta.

Millised turvatunnid 2015. aastal õppisid? Kas teil on turvatunde lisada? Jätke need allpool olevatesse kommentaaridesse.

Matthew Hughes on tarkvaraarendaja ja kirjanik Liverpoolist Inglismaalt. Teda leitakse harva, kui tal pole tassi kanget musta kohvi ja ta jumaldab absoluutselt oma MacBook Pro ja oma kaamerat. Tema blogi saate lugeda aadressil http://www.matthewhughes.co.uk ja jälgi teda twitteris aadressil @matthewhughes.