Какво можем да научим от предизвикателствата за онлайн сигурност и поверителност за 2015 г.

реклама

Когато наближаваме пропастта за 2016 г., отделим малко време за размисъл върху уроците по сигурността, които научихме през 2015 г. от Ашли Медисън Ашли Мадисън изтича без голяма сделка? Помисли отновоДискретен онлайн сайт за запознанства Ашли Мадисън (насочен предимно към измама на съпрузи) е бил хакнат. Това обаче е далеч по-сериозен въпрос, отколкото е представен в пресата, със значително отражение върху безопасността на потребителите. Прочетете още , да се хакнати чайници 7 причини защо Интернет на нещата трябва да ви плашиПотенциалните ползи от Интернет на нещата стават ярки, докато опасностите се хвърлят в тихите сенки. Време е да привлечем вниманието към тези опасности със седем ужасяващи обещания на IoT. Прочетете още и неясни съвети за сигурност от страна на правителството, има какво да се говори.

Умните домове все още са кошмар за сигурност

През 2015 г. се забелязва прилив на хора, надграждащи съществуващите си аналогови предмети за бита с компютризирани, свързани с Интернет алтернативи. Smart Home tech

наистина ли излетя тази година по начин, който изглежда е готов да продължи и през новата година. Но в същото време също беше забито вкъщи (съжалявам), че някои от тези устройства не са ли всички толкова сигурни

Най-голямата история за сигурност на Smart Home беше може би това откритие, че някои устройства са доставка с дублирани (и често твърдо кодирани) сертификати за криптиране и частни ключове. Това не беше само продукт на Интернет на нещата. Маршрутизатори, издадени от големи доставчици на интернет услуги е установено, че е извършил този най-кардинален от греховете за сигурност.

И така, защо е проблем?

По същество това прави тривиално за нападател да шпионира тези устройства чрез Атака "човек в средата" Какво е атака на човек в средата? Обяснен жаргон за сигурностАко сте чували за атаки "човек в средата", но не сте съвсем сигурни какво означава това, това е статията за вас. Прочетете още , прихващайки трафика, като същевременно остава неоткрит от жертвата. Това е загриженост, като се има предвид, че технологията Smart Home все повече се използва в невероятно чувствителен контекст, като например лична сигурност, безопасност на домакинствата Преглед и отдаване на Nest Protect Прочетете още и в здравеопазването.

Ако това ви звучи познато, то е защото редица големи производители на компютри са хванати да правят много подобно нещо. През ноември 2015 г. Dell бе установено, че доставя компютри с идентични корен сертификат, наречен eDellRoot Последните лаптопи на Dell са заразени с eDellRootDell, третият най-голям производител на компютри в света, беше уловен да доставя нелоялни коренни сертификати на всички нови компютри - точно както Lenovo направи със Superfish. Ето как да направите вашия нов компютър Dell безопасен. Прочетете още , докато в края на 2014 г. започна Lenovo умишлено прекъсване на SSL връзки Собствениците на лаптопи Lenovo Внимавайте: Вашето устройство може да е инсталирало предварително зловреден софтуерКитайският производител на компютри Lenovo призна, че лаптопите, изпращани до магазини и потребители в края на 2014 г., са имали предварително инсталиран зловреден софтуер. Прочетете още за да вмъкнете реклами в криптирани уеб страници.

Това не спря дотук. 2015 наистина беше годината на несигурността на Smart Home, като много устройства бяха идентифицирани като идващи с неприлично очевидна уязвимост на сигурността.

Моят фаворит беше iKettle Защо хакът iKettle трябва да ви притеснява (дори и да не притежавате такъв)IKettle е чайник с активирана WiFi, който очевидно е дошъл с масивен, пропусната недостатък на сигурността, който има потенциала да взриви отворени цели WiFi мрежи. Прочетете още (Вие се досетихте: Чайник с активиран Wi-Fi), който може да се убеди от нападател да разкрие подробностите за Wi-Fi (в неясен текст, не по-малко) от домашната му мрежа.

За да работи атаката, първо трябваше да създадете измамена безжична мрежа, която споделя същия SSID (името на мрежата) като тази, която iKettle е прикрепена към нея. След това, свързвайки се с него чрез UNIX помощната програма Telnet и преминавайки през няколко менюта, можете да видите мрежовото потребителско име и парола.

Тогава имаше Смарт хладилника на Samsung, свързан с Wi-Fi Умният хладилник на Samsung Just Got Pwned. Какво ще кажете за почивката на вашия интелигентен дом?Уязвимост с интелигентния хладилник на Samsung бе открита от базираната в Обединеното кралство инфосек фирма Pen Test Parters. Прилагането на Samsung от SSL криптиране на Samsung не проверява валидността на сертификатите. Прочетете още , която не успя да валидира SSL сертификатите и позволи на атакуващите потенциално да прихващат идентификационни данни за вход в Gmail.

Тъй като технологията Smart Home става все по-мейнстрийм и ще стане, можете да очаквате да чуете още истории за тези устройства идват с критични уязвимости в сигурността и стават жертва на някои високопрофилни хакове.

Правителствата все още не го получават

Една повтаряща се тема, която видяхме през последните няколко години, е колко крайно забравящи са повечето правителства, що се отнася до въпросите на сигурността.

Някои от най-възмутителните примери за неграмотност на инфосектите могат да бъдат намерени във Великобритания, където правителството многократно и последователно показва, че те просто не го разбирай.

Една от най-лошите идеи, която се разпространява в парламента, е идеята, че криптирането, използвано от услугите за съобщения (като Whatsapp и iMessage) трябва да се отслаби, така че службите за сигурност могат да ги прихващат и декодират. Както моят колега Джъстин Пот ясно посочи в Twitter, това е като изпращане на всички сейфове с главен кодов ключ.

Представете си, ако правителството заяви, че всеки сейф трябва да има стандартен втори код, в случай че ченгетата искат. Това е дебата за криптиране в момента.

- Джъстин Пот (@jhpot) 9 декември 2015 г.

Влошава се. През декември 2015 г. Националната агенция за престъпност (отговор на Обединеното кралство към ФБР) издаде някои съвети за родителите Вашето дете хакер ли е? Британските власти мислят такаNCA, британското ФБР, започна кампания за възпиране на младите хора от компютърната престъпност. Но техният съвет е толкова широк, че можете да предположите, че всеки, който чете тази статия, е хакер - дори и вие. Прочетете още за да могат да разберат кога децата им са на път да станат закоравели киберпрестъпници.

Тези червени знамена, според NCA, включват „Заинтересовани ли са от кодиране?“ и „Не желаят ли да говорят за това, което правят онлайн?“.

Този съвет очевидно е боклук и беше широко подиграван не само от MakeUseOf, но и от други големи технологични публикации, и общността на инфосек.

Най- @NCA_UK изброява интерес към кодирането като предупредителен знак за кибер престъпление! Доста поразителен. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- Дейвид Г Смит (@aforethought) 9 декември 2015 г.

Така че интересът към кодирането вече е "предупредителен знак за киберпрестъпност". NCA е основно информационен отдел от 90-те години на миналия век. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10 декември 2015 г.

Децата, които се интересуват от кодиране, израстваха като инженери, които създаваха #Twitter, #Facebook и на #NCA уебсайт (между другото)

- AdamJ (@IAmAdamJ) 9 декември 2015 г.

Но това бе показателно за тревожна тенденция. Правителствата не получават сигурност. Те не знаят как да комуникират за заплахите за сигурността и не разбират основните технологии, благодарение на които интернет работи. За мен това е много по-притеснително от всеки хакер или кибертерорист.

Понякога Ти Трябва Преговаряйте с терористи

Най-голямата история на сигурността за 2015 г. беше безспорно хакът Ашли Мадисън Ашли Мадисън изтича без голяма сделка? Помисли отновоДискретен онлайн сайт за запознанства Ашли Мадисън (насочен предимно към измама на съпрузи) е бил хакнат. Това обаче е далеч по-сериозен въпрос, отколкото е представен в пресата, със значително отражение върху безопасността на потребителите. Прочетете още . В случай, че сте забравили, позволете ми да го обобщя.

Създадена през 2003 г., Ашли Мадисън беше сайт за запознанства с разлика. Това позволи на женените да се свържат с хора, които всъщност не са били съпрузи. Техният лозунг каза всичко. "Животът е кратък. Правете афера. "

Но колкото и да е груб, това беше укрит успех. Само за десет години Ашли Мадисън беше натрупала почти 37 милиона регистрирани акаунта. Въпреки че, разбира се, не всички са били активни. Огромното мнозинство беше в сън.

По-рано тази година стана ясно, че с Ашли Мадисън всичко не е наред. Тайнствена хакерска група, наречена The Impact Team, издаде изявление, в което твърди, че са успели да получат базата данни на сайта, плюс голям кеш от вътрешни имейли. Те заплашиха, че ще го пуснат, освен ако Ашли Мадисън не бъде закрита, заедно със сестринския й сайт „Утвърдени мъже“.

Avid Life Media, които са собственици и оператори на Ашли Мадисън и установени мъже, издаде прессъобщение, което омаловажи атаката. Те подчертаха, че работят с органите на реда за откриване на извършителите и „успяха да обезопасят нашите сайтове и да затворят неразрешените точки за достъп“.

Изявление на Avid Life Media Inc.: http://t.co/sSoLWvrLoQ

- Ашли Мадисън (@ashleymadison) 20 юли 2015 г.

На 18-ти^тата от август, Impact Team пусна пълната база данни.

Това беше невероятна демонстрация на бързината и непропорционалния характер на интернет правосъдието. Без значение как се чувствате от изневярата (мразя го лично аз), нещо се почувства напълно погрешно за това. Семействата бяха разкъсани. Кариерата беше моментално и много публично съсипана. Някои опортюнисти дори изпращаха на абонатите имейли за изнудване, чрез имейл и по пощата, като ги доеха от хиляди. Някои смятат, че ситуациите им са толкова безнадеждни, че трябва да си вземат живота. Беше лошо. 3 причини защо хакът на Ашли Мадисън е сериозна афераИнтернет изглежда в екстаз за хака на Ашли Мадисън с милиони прелюбодейци и потенциал Данните за прелюбодейците са хакнати и пуснати онлайн, като в данните са открити статии, които разкриват хора зареже. Весела, нали? Не толкова бързо. Прочетете още

Хакът също блесна прожектор във вътрешната работа на Ашли Мадисън.

Те откриха, че от 1,5 милиона жени, които са били регистрирани на сайта, само около 10 000 са действителни истински човешки същества. Останалите бяха роботи и фалшиви акаунти, създадени от служителите на Ашли Медисън. Беше жестока ирония, че повечето хора, които се регистрираха, вероятно никога не са срещали никого през нея. Използва се леко разговорна фраза, „колбасен фест“.

най-неудобната част от името ви да изтече от хака на Ашли Мадисън, флиртувате ли с бот. за пари.

- словесно пространство (@VerbalSpacey) 29 август 2015 г.

Това не спря дотук. За $ 17 потребителите могат да премахнат информацията си от сайта. Публичните им профили ще бъдат изтрити и техните акаунти ще бъдат изчистени от базата данни. Това е използвано от хора, които са се подписали и по-късно са съжалявали за това.

Но изтичането показа, че Ашли Мадисън не е имала всъщност премахнете акаунти от базата данни. Вместо това те бяха просто скрити от публичния Интернет. Когато тяхната потребителска база данни изтече, такива бяха и тези акаунти.

Дните на BoingBoing сметището на Ашли Мадисън включва информация за хора, които са платили на AM, за да изтрият своите акаунти.

- Дениз Балкисън (@balkissoon) 19 август 2015 г.

Може би урокът, който можем да научим от сагата Ашли Мадисън, е това понякога си струва да се подчиним на исканията на хакерите.

Нека бъдем честни. Avid Life Media знаеха какво има на сървърите им. Те знаеха какво би се случило, ако изтече. Те трябваше да направят всичко по силите си, за да не го изтекат. Ако това означаваше изключване на няколко онлайн имота, така да бъде.

Нека бъдем тъпи Хората загинаха, защото Avid Life Media заеха позиция. И за какво?

В по-малък мащаб може да се твърди, че често е по-добре да се отговори на нуждите на хакери и създатели на зловреден софтуер. Ransomware е чудесен пример за това Не падайте фалшификаторите на измамниците: Ръководство за освобождаване от софтуер и други заплахи Прочетете още . Когато някой е заразен и техните файлове са шифровани, жертвите се молят за „откуп“, за да ги декриптират. Това обикновено е в границите от $ 200 или около. Когато бъдат платени, тези файлове обикновено се връщат. За да може бизнес моделът за откупуване да работи, жертвите трябва да имат някакво очакване, за да получат своите файлове.

Мисля, че в бъдеще много от компаниите, които се озовават в позицията на Avid Life Media, ще поставят под въпрос дали предизвикателната позиция е най-добрата.

Други уроци

2015 беше странна година. Не говоря само за Ашли Мадисън.

Най- VTech Hack VTech получава хакнати, Apple мрази жаковете за слушалки... [Tech News Digest]Хакерите излагат потребители на VTech, Apple обмисля премахването на жака за слушалки, коледните светлини могат да забавят вашия Wi-Fi, Snapchat се вкарва в леглото с (ЧЕРВЕНО) и си спомня The Star Wars Holiday Special. Прочетете още беше смяна на играта. Този базирано в Хонг Конг производител на детски играчки предлагаше заключен таблетен компютър с удобен за деца магазин за приложения и възможност родителите да го управляват дистанционно. В началото на тази година той бе взломен, като бяха изтекли над 700 000 детски профила. Това показа, че възрастта не е пречка да стане жертва на нарушение на данните.

Беше интересна и година за сигурността на операционната система. Докато бяха повдигнати въпроси за цялостна сигурност на GNU / Linux Дали Linux е станал жертва на собствения си успех?Защо ръководителят на Linux Foundation Джим Землин наскоро каза, че „златният век на Linux“ може скоро да приключи? Неуспешна ли е мисията за „популяризиране, защита и усъвършенстване на Linux“? Прочетете още , Windows 10 направи големи обещания за като най-сигурният Windows някога 7 начина Windows 10 е по-сигурен от Windows XPДори и да не ви харесва Windows 10, наистина трябва да сте мигрирали от Windows XP досега. Показваме ви как 13-годишната операционна система сега е обсебена от проблеми със сигурността. Прочетете още . Тази година бяхме принудени да поставим под въпрос поговорката, че Windows по своята същност е по-малко сигурна.

Достатъчно е да кажем, че 2016 г. ще бъде интересна година.

Какви уроци по сигурност научихте през 2015 г.? Имате ли уроци по сигурност, които да добавите? Оставете ги в коментарите по-долу.