5 неща, които научихме за онлайн сигурността през 2013 г.

реклама

Дните на новинари, които разтревожават целия Интернет, може да бъдат затворени от обикновен (но ефективен) компютърен червей да е приключил, но това не означава, че сигурността в интернет вече не се притеснява. Заплахите станаха по-сложни и, още по-лошо, сега идват от места, които повечето никога не биха очаквали - като правителството. Ето 5 трудни урока, които научихме за онлайн сигурността през 2013 г.

Правителството ви наблюдава ...

Най-голямата точка за разговор за компютърната сигурност през 2013 г. беше, разбира се, разкритията, които са части от Правителството на Съединените щати (предимно Агенцията за национална сигурност) шпионира гражданите без сдържаност.

Според документи, изтекли от бившия изпълнител на НСА Едуард Сноудъни подсилени от други източници като бившия служител на НСО Уилям Бини, американските разузнавателни служби имат достъп не само до телефонни записи и социални мрежи метаданни, но също така може да се възползвате от широк спектър от услуги, включително обаждания от мобилни телефони, имейли и онлайн разговори, чрез пряко подслушване или чрез тайно обслужване варанти.

Какво означава това за вас? Това е трудно да се каже, защото НСА настоява, че програмата е национална тайна за сигурност. Докато свирващите вентилатори посочват, че размерът на центровете за данни на НСА предполага, че правителството записва и поддържа доста голям обем от видео и аудио данни, няма начин да знаете със сигурност какво е записано и съхранявано, докато американските шпионски майстори продължават да преграждат стената публично.

Тревожното заключение е, че има нищо не можеш да направиш за да осигурите поверителността си, тъй като степента, в която може да бъде компрометирана и как може да бъде компрометирана, е само наполовина известна.

… И така всеки е друг

Не само правителството е заинтересовано да шпионира хората. Хората също могат да използват скрито видео или аудио, взето от компютъра на жертвата. Често това има по-малко общо с измамите, отколкото с шеги и порно, въпреки че двете могат да се сближат.

Подземният свят за наблюдение на нищо неподозиращи жертви, наречен „плъхове“, беше блестящо разкрит в статия от Ars Technica. Въпреки че включването на уеб камера на човек и записването им от разстояние често се смята за хакване, това вече може да се осъществи с относителна лекота, като се използват програми с имена като Fun Manager. След инсталиране на клиент за рейтинг на компютъра на жертвата, щъркелите могат да влязат и да видят какво се случва.

Често „това, което се случва“ директно се превръща в шанс да видите нищо неподозиращи жени с дрехите си, въпреки че софтуерът може да се използва и за пускане на игри като случайно отваряне на смущаващи изображения, за да се види какво е жертвата реакция. В най-лошите случаи, щракането може директно да се преведе на изнудване, тъй като плъзгачът заснема смущаващи или голи изображения на жертва и след това заплашва да ги освободи, ако не им бъде платен откуп.

Паролите ви все още не са защитени

Сигурността на паролата е често срещано притеснение и то с добра причина. Докато един текстов низ е всичко, което стои между света и банковата ви сметка, запазването на този текст ще бъде от първостепенно значение. За съжаление компаниите, които ни молят да влезем с парола, не са толкова загрижени и ги губят с тревожна скорост.

Тази година основното нарушение се случи с любезното съдействие на Adobe, който загуби над 150 милиона пароли при огромна атака че също (според компанията) позволи на нападателите да се откажат от код за софтуер, който все още се разработва, и да откраднат информация за фактуриране за някои клиенти. Докато паролите бяха шифровани, те бяха всичко защитен чрез остарял метод на криптиране и същия ключ за криптиране. Което означава, че декодирането им беше далеч по-лесно, отколкото трябваше да бъде.

Докато подобни нарушения са се случвали и преди, Adobe е най-голямото по отношение на броя на загубените пароли, което показва, че има все още компании, които не приемат сериозно сигурността. За щастие, има лесен начин да разберете дали данните за паролата ви са нарушени; просто отидете на HaveIBeenPwned.com и въведете своя имейл адрес.

Хакването е бизнес

Тъй като компютрите стават по-сложни, престъпниците, които искат да ги използват като средство за незаконна печалба, също станаха по-сложни. Дните на самотен хакер нагло пускат вирус, само за да видят какво се случва да свършат, заменени от групи, които работят заедно, за да печелят пари.

Един пример е Paunch, хакер в Русия, който ръководи продажбите на комплект за експлоатация, известен като Blackhole. Комплектът, създаден от Паун и няколко съзаконници, е разработен частично умни бизнес тактики. Вместо да се опитва сам да измисля подвизи с нулев ден, групата на Паунч закупува подвизи за нулев ден от други хакери. След това те бяха добавени в комплекта, който се продаваше като абонамент за $ 500 до $ 700 на месец. Част от печалбата беше реинвестирана в закупуване на още повече експлоатации, което направи Блекхол още по-способен.

Ето как работи всеки бизнес. Разработен е продукт и, ако е успешен, част от печалбата се реинвестира, за да направи продукта по-добър и да се надяваме привлекателен още повече бизнес. Повторете, докато богат. За съжаление на Паунч, схемата му в крайна сметка беше проследена от руската полиция и той вече е в ареста.

Дори социалният ви осигурителен номер е на няколко щраквания

Съществуването на ботнети е известно от известно време, но използването им често е свързано със сравнително прости, но масивни атаки, като отказ на услуга Какво е DDoS Attack? [MakeUseOf обяснява]Терминът DDoS свирка миналото винаги, когато кибер-активизмът вдига главата си масово. Този вид атаки правят международни заглавия поради множество причини. Проблемите, които стартират тези DDoS атаки, често са противоречиви или силно ... Прочетете още или имейл спам, а не кражба на данни. Екип от тийнейджърски хакери на руски ни напомни, че те могат да направят повече от това да попълнят нашите пощенски кутии с реклами на Viagra, когато успеят да инсталирайте ботнет в основните брокери на данни (като LexisNexis) и крадат обеми от чувствителни данни.

Това доведе до „услуга“, наречена SSNDOB, която продаваше информация за жителите на Съединените щати. Цената? Само няколко долара за основен запис и до 15 долара за пълна проверка на кредита или фон. Това е вярно; ако сте гражданин на САЩ, вашият социален осигурителен номер и кредитна информация могат да бъдат получени за по-малко от цената на хранене в The Olive Garden.

И се влошава. Освен съхраняването на информация, някои компании за посредничество на данни също се използват за нейното удостоверяване. Може би сте се сблъскали с това сами, ако някога сте се опитвали да кандидатствате за заем, за да бъдете посрещнати от въпроси като „Какво адресът ти беше ли преди пет години? “ Тъй като самите брокери на данни бяха компрометирани, на такива въпроси може да се отговори с лекота.

заключение

2013 г. не беше страхотна година за онлайн сигурността. Всъщност това беше малко кошмар. Държавно шпиониране, откраднати номера за социално осигуряване, изнудване на уебкамери от непознати; мнозина си представят това като най-лоши сценарии, които биха могли да възникнат само при най-екстремни обстоятелства, но тази година доказа всичко по-горе възможно с изненадващо малко усилия. Надяваме се, че през 2014 г. ще бъдат предприети стъпки за разрешаване на тези страхотни проблеми, въпреки че аз лично се съмнявам, че ще имаме толкова късмет.

Кредит за изображение: Flickr / Shane Becker, Flickr / Стив Родос