reklama

Když se blížíme k propasti roku 2016, věnujme chvilku úvahám o bezpečnostních lekcích, které jsme se naučili v roce 2015. Z Ashley Madison Ashley Madison Leak Žádný velký obchod? Zamyslete se znovuDiskrétní online seznamka Ashley Madison (zaměřená především na podvádění manželů) byla hackována. Jedná se však o mnohem závažnější problém, než jaký byl vylíčen v tisku, se značnými důsledky pro bezpečnost uživatelů. Přečtěte si více , do hacknuté kotle 7 důvodů, proč by vás internet věcí měl vyděsitPotenciální výhody internetu věcí se rozzáří, zatímco nebezpečí se vrhají do tichých stínů. Je na čase upozornit na tato nebezpečí sedmi děsivými sliby IoT. Přečtěte si více a podivné bezpečnostní rady od vlády, o kterých se musí hodně mluvit.

Inteligentní domy jsou stále noční můrou

V roce 2015 došlo k náporu lidí, kteří upgradovali své stávající analogové domácí potřeby pomocí počítačových alternativ připojených k internetu. Smart Home tech opravdu letos odstartoval způsobem, který vypadá, že bude pokračovat do nového roku. Zároveň však bylo také tepáno domů (omlouvám se), že některá z těchto zařízení

instagram viewer
nejsou tak bezpečné.

Největší bezpečnostní příběh Smart Home byl snad objev, že některá zařízení byla dodání s duplicitními (a často pevně kódovanými) šifrovacími certifikáty a soukromé klíče. Nebyl to jen produkt z internetu věcí. Směrovače vydané hlavními poskytovateli internetových služeb bylo zjištěno, že se dopustili tohoto nejvíce kardinálu bezpečnostních hříchů.

router2

Proč je to problém?

V zásadě je proto triviální, aby útočník špehoval tato zařízení prostřednictvím a „Útok uprostřed“ Co je to Man-in-the-Middle Attack? Bezpečnostní žargon vysvětlilPokud jste již slyšeli o útokech typu „člověk uprostřed“, ale nejste si jisti, co to znamená, toto je článek pro vás. Přečtěte si více , zastavit provoz a zároveň zůstat obětí nezjištěno. To se týká, protože technologie Smart Home se stále více používá v neuvěřitelně citlivých kontextech, jako je osobní bezpečnost, bezpečnost domácnosti Nest Protect Review a prozradí Přečtěte si více a ve zdravotnictví.

Pokud to zní dobře, je to proto, že řada hlavních výrobců počítačů byla chycena dělat velmi podobnou věc. V listopadu 2015 bylo zjištěno, že společnost Dell dodává počítače se stejným kořenový certifikát s názvem eDellRoot Nejnovější notebooky Dell jsou infikovány eDellRootSpolečnost Dell, třetí největší výrobce počítačů na světě, byla chycena v nepoctivých kořenových certifikátech na všech nových počítačích - stejně jako Lenovo u Superfish. Zde je návod, jak zabezpečit nový počítač Dell. Přečtěte si více , zatímco koncem roku 2014 byla zahájena společnost Lenovo úmyslně přerušit připojení SSL Pozor na majitele notebooků Lenovo: Zařízení může mít předinstalovaný malwareČínský výrobce počítačů Lenovo připustil, že notebooky dodávané do obchodů a spotřebitelé na konci roku 2014 měli předinstalovaný malware. Přečtěte si více za účelem vložení reklam na zašifrované webové stránky.

Tam se to nezastavilo. Rok 2015 byl ve skutečnosti rokem nejistoty inteligentního domu. Mnoho zařízení bylo označeno jako zařízení přicházející s nejasnou bezpečnostní chybou.

Můj oblíbený byl iKettle Proč by se iKettle Hack měl bát (i když jej nevlastníte)IKettle je konvice s podporou WiFi, která zřejmě přišla s obrovskou, zející bezpečnostní chybou, která měla potenciál vyhodit otevřené WiFi sítě. Přečtěte si více (uhodli jste to: Rychlovarná konvice s podporou Wi-Fi), kterou by mohl útočník přesvědčit, aby odhalil podrobnosti Wi-Fi (v čistém textu, neméně) své domácí sítě.

ikettle-main

Aby útok fungoval, musíte nejprve vytvořit spoofed bezdrátovou síť, která sdílí stejný SSID (název sítě) jako ten, ke kterému je připojen iKettle. Poté, když se k němu připojíte pomocí obslužného programu UNIX Telnet a přejdete několika nabídkami, uvidíte uživatelské jméno a heslo sítě.

Pak tam bylo Inteligentní lednička Samsung připojená k Wi-Fi Inteligentní lednička Samsung právě dostala Pwned. A co zbytek vašeho inteligentního domova?Zranitelnost s inteligentní lednicí Samsung byla objevena britskou infosec firmou Pen Test Parters. Implementace šifrování SSL společností Samsung nekontroluje platnost certifikátů. Přečtěte si více , kterým se nepodařilo ověřit certifikáty SSL, a umožnilo útočníkům potenciálně zachytit přihlašovací údaje Gmailu.

samsung-smartfridge

S tím, jak se technologie Smart Home stává stále více mainstreamovou a bude, můžete očekávat, že uslyšíte více příběhů Tato zařízení přicházejí s kritickými bezpečnostními zranitelnostmi a stávají se obětí některých vysoce profilovaných hacků.

Vlády to stále nechápou

Jedním z opakujících se témat, které jsme v posledních několika letech viděli, je to, jak naprosto nevnímají většinu vlád, pokud jde o bezpečnostní otázky.

Některé z nejzávažnějších příkladů infosec negramotnosti lze nalézt ve Velké Británii, kde vláda opakovaně a důsledně ukázala, že oni prostě to nechápu.

Jeden z nejhorších nápadů, který se vznáší v parlamentu, je myšlenka, že šifrování používané službami zasílání zpráv (například Whatsapp a iMessage) by měla být oslabena, takže je bezpečnostní služba může zachytit a dekódovat. Jak můj kolega Justin Pot na Twitteru zásadně zdůraznil, je to jako kdybych posílal všechny trezory pomocí hlavního kódu.

Představte si, že vláda uvedla, že každý trezor by měl mít standardní druhý kód, v případě, že to policajti chtějí. To je právě debata o šifrování.

- Justin Pot (@jhpot) 9. prosince 2015

Zhoršuje se to. V prosinci 2015 Národní agentura pro trestnou činnost (odpověď Spojeného království na FBI) vydal několik rad pro rodiče Je vaše dítě hackerem? Britské orgány si to myslíNCA, britská agentura FBI, zahájila kampaň s cílem odradit mladé lidi od počítačové kriminality. Jejich rady jsou však tak široké, že byste mohli předpokládat, že kdokoli, kdo čte tento článek, je hacker - dokonce i vy. Přečtěte si více aby mohli říct, kdy jsou jejich děti na cestě k tomu, aby se stali zatvrzelými kybernetickými zločinci.

Tyto červené vlajky podle NCA zahrnují "Zajímají se o kódování?" a "Zdráhají se mluvit o tom, co dělají online?".

BadAdvice

Tato rada je zjevně nesmyslná a byla široce zesměšňována nejen výrobcem MakeUseOf, ale také jinými hlavními technologickými publikacemia infosec komunita.

@ NCA_UK uvádí zájem o kódování jako varovný signál proti počítačové kriminalitě! Docela ohromující. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- David G Smith (@aforethought) 9. prosince 2015

Zájem o kódování je nyní „varovným signálem počítačové kriminality“. NCA je v podstatě devadesátá léta školní IT oddělení. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10. prosince 2015

Děti, které se zajímaly o kódování, vyrostly jako inženýři, kteří stvořili #Cvrlikání, #Facebook a #NCA web (mimo jiné)

- AdamJ (@IAmAdamJ) 9. prosince 2015

Naznačovalo to však znepokojující trend. Vlády nedostávají bezpečnost. Neví, jak komunikovat o bezpečnostních hrozbách, a nerozumí základním technologiím, díky nimž internet funguje. Pro mě je to mnohem více znepokojivé než jakýkoli hacker nebo počítačový terorista.

Někdy Ty By měl Jednání s teroristy

Největší bezpečnostní příběh roku 2015 byl bezpochyby Ashley Madison hack Ashley Madison Leak Žádný velký obchod? Zamyslete se znovuDiskrétní online seznamka Ashley Madison (zaměřená především na podvádění manželů) byla hackována. Jedná se však o mnohem závažnější problém, než jaký byl vylíčen v tisku, se značnými důsledky pro bezpečnost uživatelů. Přečtěte si více . V případě, že jste zapomněli, dovolte mi shrnout.

Zahájena v roce 2003, Ashley Madison byla seznamka s rozdílem. Umožnilo ženatým lidem spojit se s lidmi, kteří ve skutečnosti nebyli jejich manželé. Jejich slogan to všechno řekl. "Život je krátký. Mějte poměr. “

Ale hrubý, jak to je, byl to neúspěšný úspěch. Během pouhých deseti let nahromadila Ashley Madison téměř 37 milionů registrovaných účtů. Je samozřejmé, že ne všichni byli aktivní. Drtivá většina byla spící.

Začátkem tohoto roku se ukázalo, že s Ashley Madison nebylo všechno v pořádku. Tajemná hackerská skupina s názvem Impact Team vydala prohlášení, v němž prohlašuje, že byla schopna získat databázi webů, plus značnou mezipaměť interních e-mailů. Vyhrožovali, že ji propustí, pokud nebude Ashley Madison zavřena, spolu se svým sesterským místem Zřízené muže.

Avid Life Media, kteří jsou majiteli a provozovateli Ashley Madison a Founded Men, vydal tiskovou zprávu, která tento útok bagatelizovala. Zdůraznili, že spolupracují s orgány činnými v trestním řízení, aby našli pachatele a byli „schopni zabezpečit naše stránky a uzavřít neoprávněné přístupové body“.

Prohlášení od Avid Life Media Inc.: http://t.co/sSoLWvrLoQ

- Ashley Madison (@ashleymadison) 20. července 2015

Na 18tis srpna, Impact Team vydal úplnou databázi.

Byla to neuvěřitelná demonstrace pohotovosti a nepřiměřené povahy internetové spravedlnosti. Bez ohledu na to, jak se cítíte podvádění (osobně to nenávidím), něco cítil naprosto špatně o tom. Rodiny byly roztrhané. Kariéra byla okamžitě a velmi veřejně zničena. Někteří oportunisté dokonce posílali předplatitelům e-maily s vydíráním, e-mailem a poštou, přičemž je dojily z tisíců. Někteří si mysleli, že jejich situace jsou tak beznadějné, že si museli vzít svůj vlastní život. Bylo to špatné. 3 důvody, proč je Ashley Madison Hack vážná záležitostInternet se zdá být nadšený hackerem Ashley Madison s miliony cizoložníků a potenciálem podrobnosti o cizoložnících byly hacknuty a zveřejněny online a v datech byly nalezeny články o jednotlivcích skládka. Veselý, že? Ne tak rychle. Přečtěte si více

Hack také zářil na vnitřní fungování Ashley Madisonové.

Zjistili, že z 1,5 milionu žen, které byly na webu zaregistrovány, bylo jen asi 10 000 skutečné skutečné lidské bytosti. Zbytek tvořili roboti a falešné účty vytvořené personálem Ashley Madison. Bylo krutou ironií, že většina lidí, kteří se zaregistrovali, pravděpodobně nikdy nikoho nesetkali. To bylo, použít mírně hovorovou frázi, 'klobása fest'.

nejtrapnější část tvého jména, která unikla z hackerky Ashley Madison, jsi flirtovala s botou. pro peníze.

- verbální prostor (@ VerbalSpacey) 29. srpna 2015

Tam se to nezastavilo. Za 17 $ mohli uživatelé odstranit své informace z webu. Jejich veřejné profily budou vymazány a jejich účty budou vymazány z databáze. Využívali to lidé, kteří se zaregistrovali a později toho litovali.

Ale únik ukázal, že Ashley Maddison ne vlastně odebrat účty z databáze. Místo toho byly pouze skryté před veřejným internetem. Když došlo k úniku jejich uživatelské databáze, byly to i tyto účty.

BoingBoing days Ashley Madison dump obsahuje informace o lidech, kteří zaplatili AM za smazání svých účtů.

- Denise Balkissoon (@balkissoon) 19. srpna 2015

Možná poučení, které se můžeme poučit z Ashley Madison ságy, je to někdy se vyplatí vyhovět požadavkům hackerů.

Buďme upřímní. Avid Life Media věděl, co je na jejich serverech. Věděli, co by se stalo, kdyby to uniklo. Měli udělat vše, co je v jejich moci, aby zabránili úniku. Pokud by to znamenalo vypnutí několika online služeb, ať už je to tak.

Buďme tupí. Lidé zemřeli, protože Avid Life Media se postavil. A za co?

V menším měřítku lze tvrdit, že je často lepší vyhovět požadavkům hackerů a tvůrců malwaru. Ransomware je skvělým příkladem Neupadněte se na podvodníky: Průvodce po Ransomware a dalších hrozbách Přečtěte si více . Když je někdo infikován a jeho soubory jsou šifrovány, jsou oběti požádány o výkupné, aby je dešifrovaly. To je obecně v mezích 200 USD nebo tak. Po zaplacení jsou tyto soubory obvykle vráceny. Aby obchodní model ransomware fungoval, musí mít oběti určitá očekávání, že mohou získat své soubory zpět.

Myslím, že do budoucna se mnoho společností, které se ocitnou v pozici Avid Life Media, zeptá, zda je vzdorovitý postoj tím nejlepším.

Další lekce

Rok 2015 byl zvláštní rok. Nemluvím jen o Ashley Madisonové.

VTech Hack VTech dostane hacknut, Apple Hates jack pro sluchátka... [Tech News Digest]Hackeři vystavují uživatele VTech, Apple zvažuje odstranění konektoru pro sluchátka, vánoční světla mohou zpomalit vaše Wi-Fi, Snapchat se dostane do postele s (ČERVENÝ) a vzpomíná si na Star Wars Holiday Special. Přečtěte si více byl měnič her. Tento výrobce dětských hraček v Hongkongu nabídl uzamčený tabletový počítač s obchodem s aplikacemi pro děti a schopností rodičů jej dálkově ovládat. Začátkem letošního roku byl hacknut a přes 700 000 dětských profilů unikl. To ukázalo, že věk není překážkou pro to, aby se stal obětí narušení dat.

Byl to také zajímavý rok pro zabezpečení operačního systému. Zatímco otázky byly vzneseny o celková bezpečnost GNU / Linux Byl Linux obětí vlastního úspěchu?Proč vedoucí Nadace Linuxu Jim Zemlin nedávno řekl, že „zlatý věk Linuxu“ by mohl brzy skončit? Selhala mise „podporovat, chránit a rozvíjet Linux“? Přečtěte si více Windows 10 splnil velké sliby být nejbezpečnějším systémem Windows vůbec 7 způsobů, jak je Windows 10 bezpečnější než Windows XPI když se vám nelíbí systém Windows 10, měli byste doposud migrovat ze systému Windows XP. Ukážeme vám, jak je nyní třináctiletý operační systém řešen problémy se zabezpečením. Přečtěte si více . V letošním roce jsme byli nuceni pochybovat o tom, že systém Windows je ze své podstaty méně bezpečný.

Stačí říci, že rok 2016 bude zajímavým rokem.

Jaké lekce bezpečnosti jste se naučili v roce 2015? Máte nějaké bezpečnostní lekce, které můžete přidat? Nechte je v komentářích níže.

Matthew Hughes je vývojář a spisovatel softwaru z anglického Liverpoolu. Málokdy je nalezen bez šálku silné černé kávy v ruce a absolutně zbožňuje svůj Macbook Pro a fotoaparát. Jeho blog si můžete přečíst na adrese http://www.matthewhughes.co.uk a následujte ho na twitteru na @ matthewhughes.