Oglas
Ko se bližamo prepadu leta 2016, si vzemimo minuto za razmislek o lekcijah o varnosti, ki smo se jih naučili v letu 2015. Od Ashley Madison Ashley Madison pušča brez velike ponudbe? Še enkrat razmisliDiskretna spletna stran za zmenke Ashley Madison (namenjena predvsem goljufanju zakoncev) je bila vložena. Vendar je to veliko bolj resno vprašanje, kot je bilo predstavljeno v tisku, s pomembnimi posledicami za varnost uporabnikov. Preberi več , do prekaljeni kotlički 7 razlogov, zakaj naj vas internet stvari prestrašiPotencialne koristi interneta stvari rastejo, nevarnosti pa se mešajo v tiho senco. Čas je, da opozorimo na te nevarnosti s sedmimi grozljivimi obljubami IoT. Preberi več in izmuzljivih nasvetov o varnosti vlade, je treba veliko govoriti.
Pametni domovi so še vedno varnostna nočna mora
V letu 2015 so ljudje nadgradili obstoječe analogne gospodinjske predmete z računalniško podprtimi možnostmi, povezanimi z internetom. Smart Home tech res se je letos odpravila tako, da je videti, da bo nadaljevanje novega leta. A hkrati je bilo tudi doma (žal), da so nekatere od teh naprav
niso vsi tako varni.Največja varnostna zgodba Smart Home je bila morda odkritje nekaterih naprav pošiljanje z dvojnimi (in pogosto trdo kodiranimi) šifrirnimi potrdili in zasebne ključe. To tudi niso bili samo izdelki Internet of Things. Usmerjevalniki, ki jih izdajo glavni ponudniki internetnih storitev so ugotovili, da so storili ta najbolj kardinal grehov varnosti.
Torej, zakaj je problem?
V bistvu je to napadalcu nepomembno, da vohuni za te naprave prek Napad "človek v sredini" Kaj je napad človeka v sredini? Pojasnjen varnostni žargonČe ste slišali za napade "človek v sredini", vendar niste povsem prepričani, kaj to pomeni, je to članek za vas. Preberi več , prestrezanje prometa, medtem ko žrtev hkrati ne zazna. To je zaskrbljujoče, saj se tehnologija Smart Home vse pogosteje uporablja v neverjetno občutljivih okoliščinah, kot je osebna varnost, varnost gospodinjstev Pregled in oddaja Nest Protect Preberi več , in v zdravstvu.
Če se to sliši znano, je to zato, ker so številni večji proizvajalci računalnikov ujeti, da počnejo zelo podobne stvari. Novembra 2015 je bilo ugotovljeno, da Dell prevaža računalnike z enakim korenski certifikat z imenom eDellRoot Dell-ovi zadnji prenosniki so okuženi z eDellRootDell, tretji največji svetovni proizvajalec računalnikov, je bil ujet, da prevaža ločene koreninske certifikate na vseh novih računalnikih - tako kot Lenovo s Superfish. Spodaj je opisano, kako narediti varno vaš novi računalnik Dell. Preberi več , medtem ko se je konec leta 2014 začelo Lenovo namerno prekinitev SSL povezav Lastniki prenosnih računalnikov Lenovo Pazite: vaša naprava je morda prednameščena zlonamerne programske opremeKitajski proizvajalec računalnikov Lenovo je priznal, da so imeli prenosniki, ki so jih konec leta 2014 dobavljali trgovinam in potrošnikom, prednameščeno zlonamerno programsko opremo. Preberi več da bi vdelali oglase v šifrirane spletne strani.
Tu se še ni ustavilo. Leto 2015 je bilo res leto negotovosti pametnega doma, saj je bilo pri mnogih napravah ugotovljeno, da so očitno ranljive.
Moj najljubši je bil iKettle Zakaj bi vas iKettle Hack moral skrbeti (tudi če ga nimate v lasti)IKettle je kotliček z omogočanjem WiFi, ki je očitno prišel z ogromno pomanjkanjem varnosti, ki je lahko sprožila cela omrežja WiFi. Preberi več (uganili ste: kotliček z omogočenim Wi-Fi-jem), kar bi napadalca lahko prepričalo, da razkrije podrobnosti o Wi-Fi-ju (v očitnem besedilu, nič manj) svojega domačega omrežja.
Da bi napad deloval, ste najprej morali ustvariti spoofed brezžično omrežje, ki ima isti SSID (ime omrežja) kot tisto, ki ima na njem pritrjen iKettle. Potem, ko se povežete z njim preko UNIX-ovega pripomočka Telnet in prečkate nekaj menijev, lahko vidite omrežno uporabniško ime in geslo.
Potem je bilo Samsungov hladilnik je povezan s Samsungovo povezavo Wi-Fi Samsungov pametni hladilnik Just Got Pwned. Kako je s počivanjem vašega pametnega doma?Ranljivo podjetje s pametnim hladilnikom Samsung je odkrilo britansko podjetje za infosc Pen Test Parters. Samsungova implementacija šifriranja SSL ne preverja veljavnosti potrdil. Preberi več , ki ni potrdil SSL certifikatov in je napadalcem omogočil, da so prestregli poverilnice za prijavo v Gmail.
Ko bo tehnologija Smart Home vse bolj osrednja in bo, pričakujete lahko še več zgodb te naprave so kritične varnostne ranljivosti in postanejo žrtve nekaterih odmevnih krakov.
Vlade tega še vedno ne razumejo
Ena izmed ponavljajočih se tem, ki smo jih zasledili v zadnjih nekaj letih, je, kako zelo pozablja večina vlad, ko gre za varnostne zadeve.
Nekaj najbolj groznih primerov nepismenosti z infosci je mogoče najti v Veliki Britaniji, kjer je vlada že večkrat in dosledno pokazala, da samo ne razumej.
Ena najslabših idej, ki se pojavlja v parlamentu, je šifriranje, ki ga uporabljajo storitve za sporočanje (na primer Whatsapp in iMessage) je treba oslabiti, zato jih varnostne službe lahko prestrežejo in dekodirajo. Kot je moj kolega Justin Pot jasno poudaril na Twitterju, je to tako, da pošiljamo vse sefe z glavno kodo.
Predstavljajte si, če vlada reče, da mora imeti vsak sef standardno drugo kodo, če bodo policaji želeli. To je zdaj razprava o šifriranju.
- Justin Pot (@jhpot) 9. decembra 2015
Se poslabša. Decembra 2015, Nacionalna agencija za kriminal (odgovor Združenega kraljestva FBI) izdal nekaj nasvetov za starše Je vaš otrok heker? Britanske oblasti mislijo takoNCA, britanski FBI, je sprožila kampanjo za odvračanje mladih od računalniškega kriminala. Toda njihov nasvet je tako širok, da bi lahko domnevali, da je kdorkoli, ki bere ta članek, heker - tudi ti. Preberi več tako lahko ugotovijo, kdaj so njihovi otroci na poti k temu, da postanejo zaostreni kibernetski kriminalci.
Te rdeče zastave po navedbah NCA vključujejo "Jih zanima kodiranje?" in "Ali nočejo govoriti o tem, kaj počnejo na spletu?".
Ta nasvet je očitno smeti in so se na široko zasmehovali, ne samo MakeUseOf, ampak tudi po drugih večjih tehnoloških publikacijah, in skupnost infosec.
The @NCA_UK navaja zanimanje za kodiranje kot opozorilni znak za kibernetski kriminal! Precej osupljivo. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz
- David G Smith (@ predhodna misel) 9. decembra 2015
Zanimanje za kodiranje je zdaj "opozorilni znak kibernetskega kriminala". NCA je v bistvu oddelek IT za šolo iz devetdesetih let. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 10. decembra 2015
Otroci, ki jih je "zanimalo kodiranje", so odrasli inženirji, ki so ustvarjali #Twitter, #Facebook in #NCA spletna stran (med drugim)
- AdamJ (@IAmAdamJ) 9. decembra 2015
Vendar je kazalo na zaskrbljujoč trend. Vlade nimajo varnosti. Ne vedo, kako komunicirati o varnostnih grožnjah in ne razumejo temeljnih tehnologij, zaradi katerih internet deluje. Zame je to veliko bolj zaskrbljujoče kot katerikoli heker ali kibernetski terorist.
Včasih Ti Naj Pogajajte se s teroristi
Nedvomno je bila največja varnostna zgodba leta 2015 kramp Ashley Madison Ashley Madison pušča brez velike ponudbe? Še enkrat razmisliDiskretna spletna stran za zmenke Ashley Madison (namenjena predvsem goljufanju zakoncev) je bila vložena. Vendar je to veliko bolj resno vprašanje, kot je bilo predstavljeno v tisku, s pomembnimi posledicami za varnost uporabnikov. Preberi več . Če ste pozabili, naj povzamem.
Ashley Madison, ki je bila predstavljena leta 2003, je bila zmenko z zmenki. Poročenim ljudem je omogočilo, da so se povezali z ljudmi, ki dejansko niso bili zakonci. Njihov slogan je vse povedal. "Življenje je kratko. Imejte afero. "
Toda v grobem je bil beg uspeha. V nekaj več kot desetih letih je Ashley Madison nabrala skoraj 37 milijonov registriranih računov. Čeprav je samoumevno, da niso bili vsi aktivni. Velika večina je bila v miru.
V začetku letošnjega leta je postalo očitno, da z Ashley Madison ni vse v redu. Skrivnostna hekerska skupina, imenovana The Impact Team, je izdala izjavo, v kateri trdi, da jim je uspelo pridobiti bazo podatkov o spletnem mestu, poleg tega pa tudi velik predpomnilnik notranjih e-poštnih sporočil. Grozili so, da ga bodo izpustili, razen če Ashley Madison ne bo zaprta skupaj s sestrsko stranjo Ustanovljeni moški.
Avid Life Media, ki je lastnik in upravljavec Ashley Madison in Established Men, je izdal sporočilo za javnost, ki je omalovažilo napad. Poudarili so, da sodelujejo z organi pregona, da bi odkrili storilce in "lahko zavarovali naše strani ter zaprli nedovoljene dostopne točke".
Izjava podjetja Avid Life Media Inc.: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 20. julij 2015
Dne 18th avgusta je Impact Team izdal celotno bazo podatkov.
Bila je neverjetna demonstracija hitrosti in nesorazmernosti internetne pravičnosti. Ne glede na to, kako se počutiš pri varanju (osebno sovražim), se je nekaj čutilo skrajno narobe o tem. Družine so bile raztrgane. Kariera je bila takoj in zelo javno propadla. Nekateri oportunisti so naročnikom celo pošiljali e-poštne naslove izsiljevanja, po e-pošti in po pošti, da bi jih nabrali na tisoče. Nekateri so mislili, da so njihove situacije tako brezupne, da so si morali vzeti življenje. Hudo je bilo. 3 razlogi, zakaj je Hack Ashley Madison resna zadevaInternet se zdi ekstatičen zaradi krama Ashley Madison z milijoni prešuštnikov in potencialov Podatki o prešuštnikih so bili vdrti in objavljeni na spletu, v podatkih pa najdemo članke smetišče. Veselo, kajne? Ne tako hitro. Preberi več
Hack je osvetlil tudi notranje delo Ashley Madison.
Odkrili so, da je od 1,5 milijona žensk, ki so bile registrirane na spletnem mestu, le okoli 10.000 dejansko pristna človeška bitja. Ostalo so roboti in ponarejeni računi, ki jih je ustvarilo osebje Ashley Madison. Bila je kruta ironija, da večina ljudi, ki so se prijavili, verjetno nikogar ni srečala skozi to. Če bi uporabili rahlo pogovorno besedno zvezo, je bil "klobasov fest".
najbolj neprijeten del tvojega imena, ki je uhajal iz kramp Ashley Madison, se spogleduješ s botrom. za denar.
- besedni presledki (@VerbalSpacey) 29. avgusta 2015
Tu se še ni ustavilo. Za 17 dolarjev so uporabniki lahko odstranili svoje podatke s spletnega mesta. Njihovi javni profili bi bili izbrisani, njihovi računi pa izbrani iz baze podatkov. To so uporabili ljudje, ki so se prijavili in kasneje obžalovali.
Toda puščanje je pokazalo, da Ashley Maddison ni storila pravzaprav odstranite račune iz baze podatkov. Namesto tega so bili le skriti pred javnim internetom. Ko je puščala njihova uporabniška baza podatkov, so bili tudi ti računi.
BoingBoing dnevi odlagališče Ashley Madison vključuje podatke ljudi, ki so plačali AM, da so izbrisali svoje račune.
- Denise Balkissoon (@balkissoon) 19. avgusta 2015
Mogoče se lahko naučimo iz sage Ashley Madison včasih se je vredno prilagoditi zahtevam hekerjev.
Bodimo iskreni. Avid Life Media vedeli, kaj je na njihovih strežnikih. Vedeli so, kaj bi se zgodilo, če bi puščalo. Morali bi storiti vse, kar je v njihovi moči, da preprečijo, da bi se izteklo. Če bi to pomenilo izklop nekaj spletnih znamk, naj bo tako.
Bodimo neumni. Ljudje so umrli, ker je Avid Life Media zavzel stališče. In za kaj?
V manjši meri je mogoče trditi, da je pogosto bolje izpolniti zahteve hekerjev in ustvarjalcev zlonamerne programske opreme. Odličen primer tega je Ransomware Ne padete prevarantom: Vodnik po odkupu in drugi grožnji Preberi več . Ko je nekdo okužen in so njegove datoteke šifrirane, žrtve prosijo za odkupnino, da bi jih dešifrirali. Ta je na splošno v mejah 200 dolarjev. Ko so plačane, se te datoteke na splošno vrnejo. Da bi poslovni model ransomware deloval, morajo žrtve pričakovati, da bodo lahko dobile svoje datoteke.
Menim, da se bodo številna podjetja, ki se znajdejo v položaju Avid Life Media, spraševala naprej, ali je ključnega pomena kljubovalni položaj.
Druge lekcije
Leto 2015 je bilo čudno. Tudi jaz ne govorim samo o Ashley Madison.
The VTech Hack VTech postavi vdrte, Apple sovraži priključke za slušalke... [Tech News Digest]Hekerji izpostavljajo uporabnike VTech, Apple razmišlja o odstranitvi vtičnice za slušalke, božične lučke lahko upočasnijo vaš Wi-Fi, Snapchat se spusti v posteljo z (RDEČIM) in se spomni The Star Wars Holiday Special. Preberi več je bil menjavalnik iger. Ta proizvajalec otroških igrač iz Hong Konga je ponudil zaklenjen tablični računalnik, otrokom prijazna trgovina z aplikacijami in staršem možnost, da ga daljinsko upravljajo. V začetku letošnjega leta so ga vlomili, saj je bilo prekinjenih več kot 700.000 otroških profilov. To je pokazalo, da starost ni ovira, da bi bili žrtev kršitve podatkov.
Bilo je tudi zanimivo leto za varnost operacijskega sistema. Medtem ko so se postavljala vprašanja o splošna varnost GNU / Linuxa Je Linux postal žrtev lastnega uspeha?Zakaj je vodja fundacije Linux Jim Zemlin pred kratkim dejal, da se lahko "zlata doba Linuxa" kmalu konča? Ali misija "promocije, zaščite in napredovanja Linuxa" ni uspela? Preberi več , Windows 10 je veliko obljubil ki je najbolj varen Windows doslej 7 načinov Windows 10 je bolj varen kot Windows XPTudi če vam Windows 10 ni všeč, bi morali do zdaj že preseliti iz sistema Windows XP. Pokažemo vam, kako je 13 let star operacijski sistem prepreden z varnostnimi težavami. Preberi več . Letos smo bili prisiljeni dvomiti v trditev, da je Windows sam po sebi manj varen.
Dovolj je reči, da bo leto 2016 zanimivo leto.
Katerih lekcij o varnosti ste se naučili v letu 2015? Ali želite dodati še kakšna varnostna predavanja? Pustite jih v spodnjih komentarjih.
Matthew Hughes je razvijalec programske opreme in pisatelj iz Liverpoola v Angliji. Redko ga najdemo brez skodelice močne črne kave v roki in absolutno obožuje svoj Macbook Pro in svoj fotoaparat. Njegov blog lahko preberete na http://www.matthewhughes.co.uk in mu sledite na twitterju na @matthewhughes.