Reklama

Keď sa blížime k priepasti roku 2016, venujme chvíľku reflexii bezpečnostných poznatkov, ktoré sme sa naučili v roku 2015. z Ashley Madison Ashley Madison Leak Žiadny veľký problém? Zamysli sa znovaDiskrétna stránka s diskrétnou online zoznamkou Ashley Madison (zameraná predovšetkým na podvádzanie manželov / manželiek). Je to však oveľa vážnejší problém, ako sa uvádza v tlači, čo má značné dôsledky pre bezpečnosť používateľov. Čítaj viac , až hacknut konvice 7 dôvodov, prečo by vás internet vecí mal vydesiťPotenciálne výhody internetu vecí sa rozjasňujú, zatiaľ čo nebezpečenstvo sa vrhá do tichých tieňov. Je na čase upozorniť na tieto nebezpečenstvá siedmimi desivými prísľubmi internetu vecí. Čítaj viac a riskantné bezpečnostné poradenstvo od vlády, o čom je veľa hovoriť.

Inteligentné domy sú stále nočnou morou

V roku 2015 došlo k náporu ľudí, ktorí inovovali svoje súčasné analógové výrobky pre domácnosť počítačovými alternatívami pripojenými na internet. Smart Home tech naozaj vzlietol tento rok spôsobom, ktorý bude pokračovať do nového roka. Zároveň však došlo k prepuknutiu niektorých z týchto zariadení

instagram viewer
nie sú všetko také bezpečné.

Najväčší bezpečnostný príbeh inteligentného domu bol pravdepodobne objavom niektorých zariadení preprava s duplikátnymi (a často pevne kódovanými) šifrovacími certifikátmi a súkromné ​​kľúče. Nebol to ani len produkt s internetom vecí. Smerovače vydané hlavnými poskytovateľmi internetových služieb Zistilo sa, že sa dopustili tohto najviac kardinálu bezpečnostných hriechov.

SMĚROVAČ2

Prečo je to problém?

V zásade je preto pre útočník triviálne, aby špehoval tieto zariadenia cez internet Útok „muž v strede“ Čo je to útok typu Človek v strede? Vysvetlenie bezpečnostného žargónuAk ste už počuli o útokoch typu „človek v strede“, ale nie ste si úplne istí, čo to znamená, toto je článok pre vás. Čítaj viac , zastaviť premávku a zároveň zostať obeťou nezistené. Týka sa to toho, že technológia Smart Home sa čoraz viac používa v neuveriteľne citlivých kontextoch, napríklad v oblasti osobnej bezpečnosti, bezpečnosť domácnosti Nest Protect Review a prezradí Čítaj viac a v zdravotníctve.

Ak to znie dobre povedané, je to preto, že niekoľko významných výrobcov počítačov bolo chytených veľmi podobných vecí. V novembri 2015 sa zistilo, že spoločnosť Dell dodáva počítače s rovnakým počítačom koreňový certifikát s názvom eDellRoot Najnovšie prenosné počítače spoločnosti Dell sú infikované pomocou eDellRootSpoločnosť Dell, tretí najväčší výrobca počítačov na svete, bola chytená nečestnými koreňovými certifikátmi na všetkých nových počítačoch - rovnako ako spoločnosť Lenovo so spoločnosťou Superfish. Tu je návod, ako zaistiť bezpečnosť vášho nového počítača Dell. Čítaj viac , zatiaľ čo koncom roka 2014 sa začala spoločnosť Lenovo úmyselné prerušenie spojení SSL Pozor na vlastníkov notebookov Lenovo: Vaše zariadenie môže mať predinštalovaný malvérČínsky výrobca počítačov Lenovo pripustil, že prenosné počítače dodávané do obchodov a spotrebiteľov koncom roka 2014 mali predinštalovaný malware. Čítaj viac s cieľom vložiť reklamy na šifrované webové stránky.

Tam sa to nezastavilo. Rok 2015 bol skutočne rokom neistoty v oblasti inteligentných domov. Mnohé zariadenia boli označené ako zariadenia, ktoré prichádzajú so skrytou bezpečnostnou chybou.

Môj obľúbený bol iKettle Prečo by sa iKettle Hack mal báť (aj keď nevlastníte)IKettle je rýchlovarná kanvica s podporou Wi-Fi, ktorá zrejme prišla s obrovskou bezpečnostnou chybou, ktorá mohla narušiť otvorené WiFi siete. Čítaj viac (uhádli ste: rýchlovarná kanvica s podporou Wi-Fi), ktorú by mohol útočník presvedčiť, aby odhalil podrobnosti Wi-Fi (v čistom texte, nie menej) svojej domácej siete.

ikettle-main

Aby útok fungoval, musíte najskôr vytvoriť spoofed bezdrôtovú sieť, ktorá zdieľa rovnaké SSID (názov siete) ako tá, ku ktorej je pripojený iKettle. Potom, keď sa k nemu pripojíte prostredníctvom obslužného programu UNIX Telnet a prejdete niekoľkými ponukami, uvidíte sieťové užívateľské meno a heslo.

Potom tam bolo Inteligentná chladnička s pripojením Wi-Fi od spoločnosti Samsung Inteligentná chladnička spoločnosti Samsung sa práve dostala. A čo zvyšok vášho inteligentného domu?Zraniteľnosť s inteligentnou chladničkou Samsung objavila britská infosec firma Pen Test Parters. Implementácia šifrovania SSL spoločnosťou Samsung nekontroluje platnosť certifikátov. Čítaj viac , ktorým sa nepodarilo overiť certifikáty SSL, a umožnili útočníkom potenciálne zachytiť prihlasovacie údaje služby Gmail.

samsung-smartfridge

Keď sa technológia Smart Home stáva čoraz väčšinovým prúdom a bude, môžete očakávať, že budete počuť viac príbehov Tieto zariadenia prichádzajú s kritickými bezpečnostnými zraniteľnými vlastnosťami a stávajú sa obeťami niektorých významných profilov.

Vlády to stále nechápu

Jednou z opakujúcich sa tém, ktorú sme videli v posledných niekoľkých rokoch, je, ako veľmi si väčšina vlád neuvedomuje otázky bezpečnosti.

Niektoré z najzávažnejších príkladov negramotnosti infosecu sa nachádzajú vo Veľkej Británii, kde vláda opakovane a dôsledne preukázala, že jednoducho to nechápem.

Jedným z najhorších nápadov, ktoré sa vznášajú v parlamente, je myšlienka, že šifrovanie používané službami zasielania správ (napríklad Whatsapp a iMessage) by mali byť oslabené, aby ich bezpečnostné služby mohli zachytiť a dekódovať. Ako môj kolega Justin Pot zdôraznil na Twitteri, je to ako keby ste zasielali všetky trezory pomocou hlavného kľúčového kódu.

Predstavte si, že vláda povedala, že každý trezor by mal mať štandardný druhý kód pre prípad, že by to policajti chceli. To je práve diskusia o šifrovaní.

- Justin Pot (@jhpot) 9. decembra 2015

To sa zhoršuje. V decembri 2015 Národná agentúra pre kriminalitu (odpoveď Spojeného kráľovstva na FBI) vydal niekoľko rád pre rodičov Je vaše dieťa hackerom? Britské orgány si to mysliaNCA, britská FBI, začala kampaň s cieľom odradiť mladých ľudí od počítačovej kriminality. Ich rada je však tak široká, že by ste mohli predpokladať, že niekto, kto číta tento článok, je hacker - dokonca vy. Čítaj viac aby vedeli, kedy sú ich deti na ceste k tomu, aby sa stali obťaženými počítačovými zločincami.

Tieto červené vlajky podľa NCA zahŕňajú „Majú záujem o kódovanie?“ a „Zdráhajú sa hovoriť o tom, čo robia online?“.

BadAdvice

Táto rada je, samozrejme, odpadky a bola široko zosmiešňovaná nielen zo strany MakeUseOf, ale aj inými hlavnými technologickými publikáciamia komunita infosec.

@NCA_UK uvádza záujem o kódovanie ako varovný signál proti počítačovej trestnej činnosti! Docela ohromujúce. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- David G Smith (@aforethought) 9. decembra 2015

Záujem o kódovanie je teraz „varovným signálom počítačovej trestnej činnosti“. NCA je v podstate deväťdesiate roky školské oddelenie IT. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10. decembra 2015

Deti, ktoré sa zaujímali o kódovanie, vyrastali ako tvorcovia #Twitter, #Facebook a #NCA webová stránka (okrem iného)

- AdamJ (@IAmAdamJ) 9. decembra 2015

Naznačovalo to však znepokojujúci trend. Vlády nezískajú bezpečnosť. Nevedia, ako komunikovať o bezpečnostných hrozbách a nerozumejú základným technológiám, vďaka ktorým internet funguje. Pre mňa je to oveľa viac znepokojujúce ako akýkoľvek hacker alebo počítačový terorista.

Niekedy Vy mali by Rokujte s teroristami

Najväčší bezpečnostný príbeh roku 2015 bol nepochybne Ashley Madison hack Ashley Madison Leak Žiadny veľký problém? Zamysli sa znovaDiskrétna stránka s diskrétnou online zoznamkou Ashley Madison (zameraná predovšetkým na podvádzanie manželov / manželiek). Je to však oveľa vážnejší problém, ako sa uvádza v tlači, čo má značné dôsledky pre bezpečnosť používateľov. Čítaj viac . V prípade, že ste zabudli, dovoľte mi zhrnúť.

Ashley Madison, ktorá bola založená v roku 2003, bola zoznamka s rozdielom. Umožnilo ženatým ľuďom nadviazať kontakt s ľuďmi, ktorí v skutočnosti neboli ich manželmi. Ich slogan povedal všetko. "Život je krátky. Mať aféru."

Ale hrubý, aký je, bol to neúspešný úspech. Za viac ako desať rokov nazhromaždila Ashley Madison takmer 37 miliónov registrovaných účtov. Je samozrejmé, že nie všetci boli aktívni. Drvivá väčšina bola spiaca.

Začiatkom tohto roka sa ukázalo, že s Ashley Madison nebolo všetko v poriadku. Záhadná skupina hackerov s názvom Tím Impact Team vydala vyhlásenie, v ktorom tvrdila, že bola schopná získať databázu stránok, plus značnú vyrovnávaciu pamäť interných e-mailov. Vyhrážali sa, že ho prepustia, pokiaľ Ashley Madison nebude odstavený, spolu so svojim sesterským miestom Usadení muži.

Avid Life Media, ktorí sú vlastníkmi a prevádzkovateľmi Ashley Madison a Founded Men, vydala tlačovú správu, ktorá útok zľahčila. Zdôraznili, že pracujú s orgánmi činnými v trestnom konaní na vysledovaní páchateľov a „boli schopní zabezpečiť naše stránky a uzavrieť neoprávnené prístupové body“.

Vyhlásenie spoločnosti Avid Life Media Inc.: http://t.co/sSoLWvrLoQ

- Ashley Madison (@ashleymadison) 20. júla 2015

Na 18th z augusta, tím Impact Team vydal úplnú databázu.

Bola to neuveriteľná ukážka pohotovosti a neprimeraného charakteru internetovej spravodlivosti. Bez ohľadu na to, ako sa cítite pri podvádzaní (osobne to nenávidím), niečo cítil úplne zle o tom. Rodiny boli roztrhané podľa seba. Kariéra boli okamžite a veľmi verejne zničené. Niektorí oportunisti dokonca poslali predplatiteľom e-maily s vydieraním prostredníctvom e-mailu a poštou, pričom ich dojili z tisícov. Niektorí si mysleli, že ich situácie sú také beznádejné, že si museli vziať svoj vlastný život. Bolo to zlé. 3 dôvody, prečo je Ashley Madison Hack vážneZdá sa, že internet je nadšený hackerom Ashley Madison s miliónmi cudzoložníkov a potenciálom údaje o cudzincoch boli hacknuté a zverejnené online, pričom v údajoch boli nájdené články o jednotlivcoch skládku. Veselý, že? Nie tak rýchlo. Čítaj viac

Hack zasvietil aj na vnútorné fungovanie Ashley Madison.

Zistili, že z 1,5 milióna žien zaregistrovaných na webe bolo iba okolo 10 000 skutočné skutočné ľudské bytosti. Zvyšok tvorili roboty a falošné účty, ktoré vytvoril personál Ashley Madison. Bolo krutou iróniou, že väčšina ľudí, ktorí sa prihlásili, pravdepodobne nikdy nikoho nestretla. Bolo to, použiť mierne hovorové spojenie, 'klobása fest'.

najtrápnejšou časťou vášho mena, ktorá unikla z hacku Ashley Madison, je flirtovanie s robotom. pre peniaze.

- verbálny priestor (@ VerbalSpacey) 29. augusta 2015

Tam sa to nezastavilo. Za 17 dolárov mohli používatelia odstrániť svoje informácie zo stránok. Ich verejné profily by boli vymazané a ich účty by boli vymazané z databázy. Používali ho ľudia, ktorí sa zaregistrovali a neskôr to ľutovali.

Avšak únik ukázal, že Ashley Maddison nie vlastne odstrániť účty z databázy. Namiesto toho boli iba ukryté pred verejným internetom. Keď došlo k úniku databázy používateľov, boli to aj tieto účty.

BoingBetween Dump Ashley Madison výpis obsahuje informácie o ľuďoch, ktorí zaplatili AM za odstránenie svojich účtov.

- Denise Balkissoon (@balkissoon) 19. augusta 2015

Možno z toho môžeme poučiť z Ashley Madisonovej ságy niekedy sa oplatí vyhovieť požiadavkám hackerov.

Buďme úprimní. Avid Life Media vedeli, čo je na ich serveroch. Vedeli, čo by sa stalo, keby unikli. Mali by urobiť všetko, čo je v ich silách, aby zabránili úniku. Ak by to znamenalo vypnutie niekoľkých online vlastníctiev, tak to tak je.

Buďme tupí. Ľudia zomreli preto, že sa postavili Avid Life Media. A za čo?

V menšej miere možno tvrdiť, že je často lepšie vyhovieť požiadavkám hackerov a tvorcov škodlivého softvéru. Ransomware je toho dobrým príkladom Nenechajte spadnúť podvodníci: Sprievodca Ransomware a ďalšie hrozby Čítaj viac . Ak je niekto infikovaný a jeho súbory sú šifrované, obete sú požiadané o „výkupné“, aby ich mohli dešifrovať. To je zvyčajne v rozmedzí 200 dolárov alebo tak. Po zaplatení sa tieto súbory zvyčajne vrátia. Aby obchodný model ransomware fungoval, musia mať obete určité očakávania, že môžu získať svoje súbory späť.

Myslím si, že v budúcnosti bude veľa spoločností, ktoré sa nachádzajú v pozícii Avid Life Media, pýtať, či je vzdorujúci postoj najlepší.

Ďalšie lekcie

Rok 2015 bol zvláštnym rokom. Nehovorím len o Ashley Madisonovej.

VTech Hack VTech dostane napadnuté slúchadlá Apple Hates... [Tech News Digest]Hackeri vystavujú používateľov technológie VTech, spoločnosť Apple zvažuje odstránenie konektora pre slúchadlá, vianočné osvetlenie môže spomaliť pripojenie Wi-Fi, Snapchat sa dostane do postele s (ČERVENÝ) a pamätá si špeciálnu ponuku Star Wars. Čítaj viac bol menič hier. Tento výrobca detských hračiek v Hongkongu ponúkol uzamknutý tabletový počítač s obchodom s aplikáciami pre deti a schopnosťou rodičov ho diaľkovo ovládať. Začiatkom tohto roka bol napadnutý hackerom, pričom uniklo vyše 700 000 detských profilov. To ukázalo, že vek nie je prekážkou toho, aby sa stal obeťou porušenia údajov.

Bol to tiež zaujímavý rok pre bezpečnosť operačného systému. Zatiaľ čo boli položené otázky týkajúce sa celková bezpečnosť GNU / Linux Stal sa Linux obeťou vlastného úspechu?Prečo vedúci nadácie Linux Foundation Jim Zemlin nedávno povedal, že „zlatý vek Linuxu“ by sa mohol čoskoro skončiť? Zlyhala misia „propagovať, chrániť a rozširovať Linux“? Čítaj viac Windows 10 splnil veľké sľuby byť najbezpečnejším systémom Windows vôbec 7 spôsobov, ako je systém Windows 10 bezpečnejší ako systém Windows XPAj keď sa vám nepáči systém Windows 10, v skutočnosti ste už mali migrovať zo systému Windows XP. Ukážeme vám, ako je teraz trinásťročný operačný systém prekonaný s problémami so zabezpečením. Čítaj viac . Tento rok sme boli nútení pochybovať o tom, že systém Windows je zo svojej podstaty menej bezpečný.

Stačí povedať, že rok 2016 bude zaujímavým rokom.

Aké bezpečnostné lekcie ste sa naučili v roku 2015? Máte nejaké bezpečnostné lekcie, ktoré môžete pridať? Nechajte ich v komentároch nižšie.

Matthew Hughes je vývojár a spisovateľ softvéru z anglického Liverpoolu. Málokedy ho nájde bez šálky silnej čiernej kávy v ruke a úplne zbožňuje jeho Macbook Pro a fotoaparát. Jeho blog si môžete prečítať na stránke http://www.matthewhughes.co.uk a sledujte ho na Twitteri na adrese @matthewhughes.