Lesley Fowler
0 
4256
165
Dok smo blizu obruča 2016. godine, izdvojimo malo vremena za razmišljanje o lekcijama o sigurnosti koje smo naučili 2015. Od Ashley Madison Ashley Madison nije procurio bez velikog broja? Razmislite ponovo Ashley Madison nije puštala velike ponude? Razmislite ponovo Diskretna internetska stranica za upoznavanja Ashley Madison (usmjerena prvenstveno na varanje supružnika) hakirana je. Međutim, ovo je daleko ozbiljnije pitanje nego što je opisano u tisku, s znatnim posljedicama na sigurnost korisnika. , do hakiranih kotlića 7 razloga zbog kojih bi vas Internet stvari trebao uplašiti 7 razloga zašto bi vas Internet stvari trebao uplašiti Potencijalne prednosti Interneta stvari postaju svijetle, dok se opasnosti bacaju u tihe sjene. Vrijeme je da privučemo pozornost na ove opasnosti sa sedam zastrašujućih obećanja IoT-a. i neugodni sigurnosni savjeti iz vlade, tu se može puno razgovarati.
Pametne kućice su i dalje sigurnosna noćna mora
U 2015. godini nalet ljudi je nadograđivao postojeće analogne predmete kućanstva računalnim, internetskim mogućnostima. Smart Home tech stvarno krenuo ove godine na način kako izgleda da bi se nastavio u novu godinu. Ali istodobno je i zakucalo kući (oprosti) da su neki od tih uređaja nisu sve tako sigurne.
Najveća sigurnosna priča Smart Home-a možda je bila otkriće da neki uređaji isporučuju duplikatne (i često tvrdo kodirane) potvrde šifriranja i privatne ključeve. To nije bio samo Internet of Things proizvodi. Otkriveno je da su usmjerivači koje su izdali glavni davatelji internetskih usluga počinili ovaj najveći kardinal grijeha sigurnosti.
Pa, zašto je to problem?
U osnovi, to čini trivijalnim napadačem špijuniranje ovih uređaja putem napada "čovjek u sredini" Što je napad Čovjek u sredini? Sigurnosni žargon objasnio što je napad Čovjek u sredini? Objašnjen sigurnosni žargon Ako ste čuli za napade "čovjeka u sredini", ali niste baš sigurni što to znači, ovo je članak za vas. , presretanje prometa, a istovremeno žrtva ostaje neotkrivena. To je zabrinjavajuće, s obzirom na to da se tehnologija Smart Home sve više koristi u nevjerojatno osjetljivim kontekstima, poput osobne sigurnosti, sigurnosti u kućanstvu Nest Protect Review i Giveaway Nest Protect Review and Giveaway te u zdravstvu.
Ako ovo zvuči poznato, to je zbog toga što su mnogi glavni proizvođači računala uhvaćeni u obavljanju vrlo slične stvari. U studenom 2015. otkriveno je da Dell isporučuje računala s identičnim korijenskim certifikatom pod nazivom eDellRoot Dell-ovi najnoviji prijenosnici su zaraženi najnovijim prijenosnim računalima eDellRoot Dell-a su zaraženi eDellRoot Dell-om, trećim najvećim svjetskim proizvođačem računala uhvaćeni su u isporuci rogue root certifikata na svim novim računala - baš kao što je to napravio Lenovo sa Superfishom. Evo kako svoj novi Dell PC učiniti sigurnim. , dok je krajem 2014. Lenovo počeo namjerno prekidati SSL veze. Vlasnici prijenosnih računala Lenovo Pazite: vaš uređaj možda je predinstalirao vlasnike zlonamjernog softvera Lenovo Laptop! Pazite: vaš uređaj je možda predinstalirao malware Kineski proizvođač računala Lenovo je priznao da su prijenosna računala isporučena trgovinama i kupcima kasno U 2014. je unaprijed instaliran zlonamjerni softver. u svrhu umetanja oglasa u šifrirane web stranice.
Nije se tu zaustavilo. 2015. je zaista bila godina nesigurnosti Smart Home-a, pri čemu su mnogi uređaji identificirani kao opsceno očigledna sigurnosna ranjivost.
Najdraži mi je bio iKettle Zašto bi se iKettle Hack trebao zabrinuti (čak i ako ne posjedujete) Zašto bi se iKettle Hack trebao zabrinuti (čak i ako ne posjedujete jedan) iKettle je čajnik s omogućenom WiFi mrežom koji je očito došao s golemi nedostatak sigurnosti koji je mogao raznijeti cijele WiFi mreže. (pogodili ste: čajnik s omogućenom Wi-Fi mrežom), u što bi se napadač mogao uvjeriti da otkrije detalje o Wi-Fi mreži (u nevidljivom tekstu, ne manje) od svoje kućne mreže.
Da bi napad uspio, najprije ste trebali stvoriti spoofiranu bežičnu mrežu koja dijeli isti SSID (naziv mreže) kao onaj koji ima iKettle. Zatim povezivanjem na nju preko UNIX uslužnog programa Telnet i prolaskom kroz nekoliko izbornika možete vidjeti mrežno korisničko ime i lozinku.
Potom je tu bio Samsungov Wi-Fi povezan pametni hladnjak Samsungov pametni hladnjak Just Got Pwned. Kako je s ostatkom vašeg pametnog doma? Samsungov pametni hladnjak Just Got Pwned. Kako je s ostatkom vašeg pametnog doma? Britanska infosc firma Pen Test Parters otkrila je ranjivost Samsungovog pametnog frižidera. Samsungova implementacija SSL šifriranja ne provjerava valjanost certifikata. , koja nije uspjela provjeriti SSL certifikate i omogućila napadačima potencijalno presretanje vjerodajnica za prijavu na Gmail.
Kako tehnologija Smart Home postaje sve više mainstream, a hoće, možete očekivati da ćete čuti više priča o ovim uređajima koji dolaze sa kritičnim sigurnosnim ranjivostima i koji postaju žrtva nekih visokoprofilnih hakova.
Vlade to još uvijek ne shvaćaju
Jedna ponavljajuća tema koju smo vidjeli posljednjih nekoliko godina jest koliko je krajnje zaboravljanje većine vlada kad je riječ o sigurnosnim pitanjima..
Neki od najokrutnijih primjera nepismene nepismenosti mogu se naći u Velikoj Britaniji, gdje je vlada više puta i dosljedno pokazala da samo ne shvaćaj.
Jedna od najgorih ideja koja se plasira u parlamentu je ideja da šifriranje koje koriste usluge razmjene poruka (poput Whatsappa i iMessage-a) treba oslabiti, tako da ih sigurnosne službe mogu presresti i dešifrirati. Kao što je moj kolega Justin Pot istaknuo na Twitteru, to je poput slanja svih sefova s matičnim kodom.
Zamislite ako bi vlada rekla da svaki sef treba imati standardni drugi kod, u slučaju da policajci žele. To je trenutno rasprava o šifriranju.
- Justin Pot (@jhpot) 9. prosinca 2015
Pogoršava se. U prosincu 2015. godine Nacionalna agencija za kriminal (odgovor UK-a FBI-u) izdala je nekoliko savjeta za roditelje Je li vaše dijete haker? Britanske vlasti tako misle je li vaše dijete haker? Britanske vlasti tako misle NCA, britanski FBI, pokrenuo je kampanju za odvraćanje mladih od računalnog kriminala. Ali njihov je savjet toliko širok da biste mogli pretpostaviti da je iko čitajući ovaj članak haker - čak i vi. tako da mogu znati kada su njihova djeca na putu da postanu otvrdnuti cyber kriminali.
Te crvene zastave, prema NCA, uključuju “zanima ih kodiranje?” i “žele li razgovarati o onome što rade na mreži?”.
Ovaj je savjet, očito, smeće i široko su mu se rugali, ne samo MakeUseOf, već i druge velike tehnološke publikacije i infosec zajednica.
@NCA_UK navodi interes za kodiranje kao znak upozorenja za cyber kriminal! Prilično zapanjujući. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz
- David G Smith (@aforethought) 9. prosinca 2015
Dakle, interes za kodiranje sada je "znak upozorenja za cyber kriminal". NCA je u osnovi informatički odjel iz 1990-ih. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 10. prosinca 2015
Djeca koja su se "zanimala za kodiranje" odrasla su kao inženjeri koji su stvorili #Twitter, #Facebook i web stranicu #NCA (između ostalih)
- AdamJ (@IAmAdamJ) 9. prosinca 2015
Ali to je ukazivalo na zabrinjavajući trend. Vlade ne dobivaju sigurnost. Ne znaju kako komunicirati o sigurnosnim prijetnjama i ne razumiju temeljne tehnologije zbog kojih Internet funkcionira. Za mene je to puno više od bilo kojeg hakera ili cyber-terorista.
Ponekad Ti Ukoliko Pregovarajte s teroristima
Najveća sigurnosna priča u 2015. godini bila je nesumnjivo Ashley Madison hack Ashley Madison Leak No Big Deal? Razmislite ponovo Ashley Madison nije puštala velike ponude? Razmislite ponovo Diskretna internetska stranica za upoznavanja Ashley Madison (usmjerena prvenstveno na varanje supružnika) hakirana je. Međutim, ovo je daleko ozbiljnije pitanje nego što je opisano u tisku, s znatnim posljedicama na sigurnost korisnika. , U slučaju da ste zaboravili, dopustite mi da vam kažem.
Ashley Madison, lansirana 2003. godine, bila je mjesto za upoznavanja s razlikom. Omogućeno je da se oženjeni povežu s ljudima koji zapravo nisu bili njihovi supružnici. Njihov slogan je sve to rekao. “Život je kratak. Imati aferu.”
No, koliko god bio naporan, bio je to bjegunac. U samo nešto više od deset godina, Ashley Madison skupila je gotovo 37 milijuna registriranih računa. Iako je razumljivo da nisu svi bili aktivni. Velika većina je uspavala.
Početkom ove godine postalo je očito da s Ashley Madison nije sve u redu. Tajanstvena skupina za hakiranje zvana The Impact Team izdala je izjavu tvrdeći kako su uspjeli dobiti bazu podataka web mjesta, plus veliku predmemoriju internih poruka e-pošte. Prijetili su da će ga pustiti, osim ako Ashley Madison ne bude zatvorena, zajedno sa sestrinskim mjestom Established Men.
Avid Life Media, koji su vlasnici i operatori Ashley Madison i Established Men, izdao je priopćenje za javnost koje je umanjilo napad. Naglasili su da rade s policijom na pronalasku počinitelja, i bili su “u mogućnosti osigurati naše web stranice i zatvoriti neovlaštene pristupne točke”.
Izjava tvrtke Avid Life Media Inc .: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 20. srpnja 2015
Dana 18th kolovoza, Impact Team je objavio cijelu bazu podataka.
Bila je to nevjerojatna demonstracija brzine i nesrazmjernosti internetske pravde. Bez obzira kako se osjećate zbog varanja (osobno ga mrzim), nešto se osjećalo krajnje pogrešno o tome. Obitelji su bile rastrgane. Karijere su odmah i vrlo javno propale. Neki oportunisti čak su putem e-pošte i pošte slali pretplatnicima e-poštu iznuđivanja, milujući ih i na hiljade. Neki su smatrali da su njihove situacije tako beznadne, da su sebi morali oduzeti život. Bilo je loše. 3 razloga zašto je Ashley Madison ozbiljna afera 3 razloga zašto je Ashley Madison ozbiljna afera Internet izgleda ushićen zbog hakiranja Ashley Madison, a milijuni preljubivih i potencijalnih preljubničkih detalja hakirani su i objavljeni na mreži, a članci objavljuju pojedinci pronađeni na deponiju podataka. Smiješno, zar ne? Ne tako brzo.
Hak je također bacio svjetlo na unutrašnju rad Ashley Madison.
Otkrili su da je od 1,5 milijuna žena koje su bile registrirane na tom mjestu, samo oko 10 000 stvarnih stvarnih ljudi. Ostalo su roboti i lažni računi koje je stvorilo osoblje Ashley Madison. Bila je to okrutna ironija da većina ljudi koji su se prijavili vjerojatno nikada nikoga nije upoznala. Bilo je, upotrijebiti lagano kolokvijalno, frazu "kobasica fest".
Najviše sramotnog dijela vašeg imena koji je procurio iz sjedala Ashley Madison jeste li koketirate s robotom. za novac.
- verbal spacey (@VerbalSpacey) 29. kolovoza 2015
Nije se tu zaustavilo. Za 17 dolara korisnici bi mogli ukloniti svoje podatke s web mjesta. Njihovi bi se javni profili izbrisali, a njihovi računi bili bi očišćeni iz baze podataka. To su koristili ljudi koji su se prijavili i kasnije požalili.
Ali curenje je pokazalo da Ashley Maddison nije zapravo uklonite račune iz baze podataka. Umjesto toga, oni su bili samo skriveni od javnog interneta. Kad je procurila njihova korisnička baza podataka, tako su bili i ovi računi.
BoingBoing dani odlagalištu Ashley Madison uključuju podatke o ljudima koji su platili AM-u za brisanje računa.
- Denise Balkissoon (@balkissoon) 19. kolovoza 2015
Možda je lekcija koju možemo naučiti iz sage Ashley Madison da je to ponekad se vrijedi posvetiti zahtjevima hakera.
Budimo iskreni. Strastveni životni mediji znali su što se nalazi na njihovim poslužiteljima. Znali su što će se dogoditi ako procuri. Trebali su učiniti sve što je u njihovoj moći da to spriječi da ne procuri. Ako je to značilo gašenje nekoliko mrežnih entiteta, neka tako i bude.
Budimo tupi. Ljudi su umrli jer su Avid Life Media zauzeli stav. I za što?
Na manjem opsegu može se tvrditi da je često bolje udovoljiti zahtjevima hakera i stvaranja zlonamjernog softvera. Ransomware je sjajan primjer ove ne pada na prevare: Vodič za otkupninu i druge prijetnje ne propadaju prevaranti: Vodič za otkup softvera i druge prijetnje. Kad se netko zarazi, a njihove se datoteke kriptiraju, žrtve se traže za otkupninu kako bi ih dešifrirale. To se obično kreće oko 200 dolara ili tako nešto. Kad se uplate, ove se datoteke uglavnom vraćaju. Kako bi poslovni model ransomwarea djelovao, žrtve moraju očekivati da mogu vratiti svoje dosjee.
Mislim da će iduće godine mnoge kompanije koje se nađu u položaju Avid Life Media propitati je li prkosan stav najbolji.
Ostale lekcije
2015 je bila čudna godina. Ne govorim ni o Ashley Madison.
VTech Hack VTech dobija hakirane, Apple mrzi slušalice za slušalice ... [Tech News Digest] VTech postaje hakiran, Apple mrzi priključke za slušalice ... [Tech News Digest] Hakeri otkrivaju korisnike VTech-a, Apple razmatra uklanjanje priključka za slušalice, božićna svjetla mogu usporiti vaš Wi -Fi, Snapchat ulazi u krevet s (CRVENIM) i sjeća se specijalne igre Star Wars Holiday Special. bio je izmjenjivač igara. Ovaj proizvođač dječjih igračaka sa sjedištem u Hong Kongu ponudio je zaključavanje tablet računala, s prodavaonicom aplikacija prilagođenim djeci i roditeljima mogućnost daljinskog upravljanja. Početkom ove godine hakiran je, procurjelo je preko 700 000 dječjih profila. To je pokazalo da dob nije prepreka biti žrtvom kršenja podataka.
Bila je to i zanimljiva godina sigurnosti operativnog sustava. Dok su se postavljala pitanja o ukupnoj sigurnosti GNU / Linuxa Je li Linux postao žrtva vlastitog uspjeha? Je li Linux postao žrtva vlastitog uspjeha? Zašto je voditelj Linux Fondacije Jim Zemlin nedavno rekao da bi se "zlatno doba Linuxa" uskoro moglo završiti? Je li misija "promoviranja, zaštite i unapređenja Linuxa" propala? , Windows 10 dao je velika obećanja da će biti najsigurniji Windows ikad 7 načina Windows 10 je sigurniji od Windows XP 7 načina Windows 10 je sigurniji od Windows XP Čak i ako vam se ne sviđa Windows 10, stvarno biste trebali migrirati s Windowsa XP do sad. Pokazali smo vam kako je 13-godišnji operativni sustav prepun sigurnosnih problema. , Ove godine bili smo prisiljeni ispitivati tvrdnju da je Windows inherentno manje siguran.
Dovoljno je reći da će 2016. biti zanimljiva godina.
Koje ste pouke o sigurnosti naučili u 2015. godini? Imate li još kakvih lekcija sigurnosti? Ostavite ih u komentarima ispod.