Reklāma

Tuvojoties 2016. gada skaitam, veltiet minūti laika, lai pārdomātu drošības mācības, kuras mēs uzzinājām 2015. gadā. No plkst Ešlija Madisona Ešlija Madisona noplūde Vai nav lielas darīšanas? Padomā vēlreizDiskrēta tiešsaistes iepazīšanās vietne Ešlija Madisona (kas galvenokārt paredzēta krāpniekiem). Tomēr šī ir daudz nopietnāka problēma, nekā tika parādīts presē, un tai ir ievērojama ietekme uz lietotāju drošību. Lasīt vairāk , uz uzlauztas tējkannas 7 iemesli, kāpēc lietiskais internets jūs vajadzētu biedētLietiskā interneta potenciālie ieguvumi kļūst spilgti, kamēr briesmas tiek izmestas klusās ēnās. Ir pienācis laiks pievērst uzmanību šīm briesmām ar septiņiem IoT drausmīgiem solījumiem. Lasīt vairāk , kā arī nepatīkamie valdības padomi par drošību, ir daudz ko runāt.

Gudrās mājas joprojām ir drošības murgs

2015. gadā cilvēki steidzās uzlabot esošos analogos sadzīves priekšmetus, izmantojot datorizētas, ar internetu saistītas alternatīvas. Viedās mājas tehnoloģija tiešām šo gadu sāka tā, lai izskatās, ka turpināsim arī Jauno gadu. Bet tajā pašā laikā dažas no šīm ierīcēm tika arī metinātas mājās (atvainojiet)

instagram viewer
nav tik droši.

Iespējams, ka lielākais viedās mājas drošības stāsts bija atklājums, ka dažas ierīces ir nosūtīšana ar dublikātu (un bieži vien kodētu) šifrēšanas sertifikātiem un privātās atslēgas. Tas nebija arī tikai lietu interneta produkts. Maršrutētāji, kurus izdod lielie interneta pakalpojumu sniedzēji ir atzīts, ka tas ir izdarījis šo drošības grēku kardināli.

maršrutētājs2

Tātad, kāpēc tā ir problēma?

Būtībā tas uzbrucējam padara nebūtisku, ka viņš spiegotu šīs ierīces caur Uzbrukums “cilvēks vidusdaļā” Kas ir uzbrukums vīrietim? Drošības žargons paskaidrotsJa esat dzirdējis par uzbrukumiem “vidusdaļā”, bet neesat pārliecināts, ko tas nozīmē, šis ir raksts jums. Lasīt vairāk , pārtverot satiksmi, vienlaikus cietušo nemanot. Tas attiecas uz bažām, ņemot vērā to, ka viedās mājas tehnoloģijas arvien vairāk tiek izmantotas neticami jutīgos apstākļos, piemēram, personālajā drošībā, sadzīves drošība Vietnes Nest Protect pārskatīšana un izsniegšana Lasīt vairāk , un veselības aprūpē.

Ja tas izklausās pazīstami, tas notiek tāpēc, ka daudzi lielākie datoru ražotāji ir pieķerti darīt ļoti līdzīgas lietas. Tika konstatēts, ka Dell 2015. gada novembrī piegādā datorus ar identisku saknes sertifikāts ar nosaukumu eDellRoot Dell jaunākie klēpjdatori ir inficēti ar eDellRootDell, pasaules trešajam datoru ražotājam, ir nozvejotas negodīgas saknes apliecības uz visiem jaunajiem datoriem - tāpat kā Lenovo to izdarīja ar Superfish. Lūk, kā padarīt jauno Dell datoru drošu. Lasīt vairāk , savukārt 2014. gada beigās tika sākta Lenovo darbība ar nodomu pārtraukt SSL savienojumus Lenovo klēpjdatoru īpašnieki piesardzieties: iespējams, ka jūsu ierīce ir jau instalējusi ļaunprogrammatūruĶīnas datoru ražotājs Lenovo ir atzinis, ka klēpjdatoriem, kas 2014. gada beigās tika piegādāti veikaliem un patērētājiem, bija iepriekš instalēta ļaunprātīga programmatūra. Lasīt vairāk lai šifrētās vietnēs ievadītu reklāmas.

Ar to viss neapstājās. 2015. gads patiešām bija Gudrās mājas nedrošības gads, jo daudzām ierīcēm tika konstatēts, ka tām ir acīmredzami acīmredzama drošības ievainojamība.

Mans mīļākais bija iKettle Kāpēc iKettle Hack jums vajadzētu uztraukties (pat ja jums tāda nepieder)IKettle ir tējkanna, kas nodrošina WiFi savienojumu un kurai acīmredzot ir milzīga, nepatīkama drošības kļūda, kurai bija potenciāls izpūst visus atvērtos WiFi tīklus. Lasīt vairāk (jūs uzminējāt: tējkanna ar Wi-Fi iespējotu), kuru uzbrucējs varētu pārliecināt atklāt sava mājas tīkla Wi-Fi detaļas (ne mazāk kā vienkāršā tekstā).

ikettle-main

Lai uzbrukums darbotos, vispirms bija jāizveido krāpniecisks bezvadu tīkls, kuram ir tāds pats SSID (tīkla nosaukums) kā tam, kuram ir pievienots iKettle. Pēc tam, izveidojot savienojumu ar to, izmantojot UNIX utilītu Telnet, un pārlūkojot dažas izvēlnes, jūs varat redzēt tīkla lietotājvārdu un paroli.

Tad bija Ar Samsung Wi-Fi savienotais viedais ledusskapis Samsung viedais ledusskapis ir tikko ievilkts. Kā būtu ar pārējo jūsu viedo māju?Ievainojamību ar Samsung viedo ledusskapi atklāja Lielbritānijā bāzēta infosec firma Pen Test Parters. Samsung ieviestā SSL šifrēšana nepārbauda sertifikātu derīgumu. Lasīt vairāk , kas neizdevās apstiprināt SSL sertifikātus un ļāva uzbrucējiem potenciāli pārtvert Gmail pieteikšanās akreditācijas datus.

samsung-smartfridge

Tā kā viedās mājas tehnoloģija kļūst arvien izplatītāka, un tā būs, jūs varat sagaidīt dzirdēt vēl citus stāstus šīm ierīcēm ir kritiska drošības ievainojamība un tās ir kļuvušas par upuriem dažiem augsta profila hakeriem.

Valdības joprojām to nesaņem

Viena no atkārtotajām tēmām, ko mēs esam redzējuši dažu pēdējo gadu laikā, ir tas, cik absolūti novārtā paliek lielākā daļa valdību, runājot par drošības jautājumiem.

Daži no visbriesmīgākajiem infosec analfabētisma piemēriem atrodami Lielbritānijā, kur valdība ir atkārtoti un konsekventi parādījusi, ka vienkārši nesaņem to.

Viena no sliktākajām idejām, kas tiek izplatīta parlamentā, ir ideja, ka šifrēšana, ko izmanto ziņojumapmaiņas pakalpojumi (piemēram, Whatsapp un iMessage) vajadzētu vājināt, tāpēc drošības dienesti tos var pārtvert un atšifrēt. Kā sociālajā tīklā Twitter spilgti norādīja mans kolēģis Džastins Pots, tas ir tāpat kā visu seifu nosūtīšana ar galveno atslēgas kodu.

Iedomājieties, ja valdība teica, ka katram seifam vajadzētu būt standarta otrajam kodam, ja policisti vēlas. Šobrīd notiek debates par šifrēšanu.

- Džastins Pots (@jhpot) 2015. gada 9. decembris

Tas pasliktinās. 2015. gada decembrī Nacionālā noziedzības aģentūra (Lielbritānijas atbilde FBI) izdeva dažus padomus vecākiem Vai jūsu bērns ir hakeris? Lielbritānijas varas iestādes domā tāNCA, Lielbritānijas FBI, ir sākusi kampaņu, lai jauniešus atturētu no datornoziegumiem. Bet viņu padomi ir tik plaši, ka jūs varētu pieņemt, ka ikviens, kas lasa šo rakstu, ir hakers - pat jūs. Lasīt vairāk lai viņi varētu pateikt, kad viņu bērni dodas uz nocietinātiem kibernoziedzniekiem.

Šajos sarkanajos karogos, pēc NCA domām, ietilpst "Vai viņi ir ieinteresēti kodēšanā?" un “Vai viņi nevēlas runāt par to, ko viņi dara tiešsaistē?”.

Slikts padoms

Šis padoms, acīmredzot, ir atkritumi, un par to plaši ņirgājās ne tikai MakeUseOf, bet arī citas nozīmīgas tehnoloģiju publikācijasun infosec kopiena.

@NCA_UK interesi par kodēšanu uzskaita kā brīdinājuma zīmi kibernoziegumiem! Diezgan apbrīnojami. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- Deivids G Smits (@aforethought) 2015. gada 9. decembris

Tātad interese par kodēšanu tagad ir "kibernoziedzības brīdinājuma zīme". NCA pamatā ir 1990. gadu skolas IT nodaļa. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 2015. gada 10. decembris

Bērni, kurus “interesēja kodēšana”, izauga par inženieriem, kas radīja #Twitter, #Facebook un #NCA vietne (cita starpā)

- Ādams Dž (@IAmAdamJ) 2015. gada 9. decembris

Bet tas liecināja par satraucošu tendenci. Valdības nesaņem drošību. Viņi nezina, kā sazināties par drošības draudiem, un viņi nesaprot pamattehnoloģijas, kuru dēļ internets darbojas. Manuprāt, tas ir daudz rūpīgāk nekā jebkurš hakeris vai kiberterorists.

Dažreiz jūs Vajadzētu Sarunas ar teroristiem

Neapšaubāmi, ka tas bija 2015. gada lielākais drošības stāsts Ešlija Madisona kapāt Ešlija Madisona noplūde Vai nav lielas darīšanas? Padomā vēlreizDiskrēta tiešsaistes iepazīšanās vietne Ešlija Madisona (kas galvenokārt paredzēta krāpniekiem). Tomēr šī ir daudz nopietnāka problēma, nekā tika parādīts presē, un tai ir ievērojama ietekme uz lietotāju drošību. Lasīt vairāk . Ja esat aizmirsis, ļaujiet man atgādināt.

Ešlija Madisona, kas tika dibināta 2003. gadā, bija iepazīšanās vietne ar atšķirību. Tas ļāva precētiem cilvēkiem tuvināties cilvēkiem, kuri patiesībā nebija viņu dzīvesbiedri. Viņu sauklis to visu pateica. "Dzīve ir īsa. Vai jums ir dēka. ”

Bet neskatoties uz to, ka tas bija bēguļojošs panākums. Nedaudz vairāk nekā desmit gadu laikā Ešlija Madisona bija uzkrājusi gandrīz 37 miljonus reģistrētu kontu. Lai gan pats par sevi saprotams, ka ne visi no viņiem bija aktīvi. Lielākā daļa nedarbojās.

Šā gada sākumā kļuva redzams, ka ar Ešliju Madisonu viss nav kārtībā. Noslēpumainā hakeru grupa, kuras nosaukums ir The Impact Team, izdeva paziņojumu, kurā apgalvoja, ka viņi ir spējuši iegūt vietnes datu bāzi, kā arī lielu iekšējo e-pastu kešatmiņu. Viņi draudēja to atbrīvot, ja vien Ešlija Madisona netiks slēgta kopā ar māsas vietni “Established Men”.

Avid Life Media, kas ir Ešlija Madisona un Izveidoto vīriešu īpašnieki un operatori, izdeva paziņojumu presei, kas mazināja uzbrukumu. Viņi uzsvēra, ka viņi sadarbojas ar tiesībaizsardzības iestādēm, lai izsekotu vainīgos, un viņi “spēja nodrošināt mūsu vietnes un aizvērt neatļautus piekļuves punktus”.

Avid Life Media Inc paziņojums: http://t.co/sSoLWvrLoQ

- Ešlija Madisona (@ashleymadison) 2015. gada 20. jūlijs

18th gada augustā Impact Team izlaida pilnu datu bāzi.

Tas bija neticami pierādījums interneta taisnīguma ātrumam un nesamērīgumam. Lai arī kā jūs justos krāpjoties (es to personīgi ienīstu), kaut kas jūtams pilnīgi nepareizi par to. Ģimenes tika saplēstas malā. Karjera tika uzreiz un ļoti publiski sagrauta. Daži oportūnisti pat nosūtīja abonentiem izspiešanas e-pastus pa e-pastu un pa pastu, izslaukot tos no tūkstošiem. Daži uzskatīja, ka viņu situācijas ir tik bezcerīgas, ka viņiem pašiem bija jāpieņem dzīvība. Tas bija slikti. 3 iemesli, kāpēc Ešlija Madisona Haks ir nopietna problēmaInternets šķiet ekstātisks par Ešlijas Madisonas hakeru, kurā ir miljoniem laulības pārkāpēju un viņu potenciāla Laulību pārkāpēju informācija tika uzlauzta un publiskota tiešsaistē, un datos tika atrasti raksti, ar kuriem tika izslēgtas personas izgāztuve. Jautrs, vai ne? Ne tik ātri. Lasīt vairāk

Haks arī izgaismoja uzmanības centrā Ešlijas Medisonas iekšējo darbību.

Viņi atklāja, ka no 1,5 miljoniem šajā vietnē reģistrēto sieviešu bija tikai ap 10 000 reāli īsti cilvēki. Pārējie bija Ešlija Madisona darbinieku radītie roboti un viltus konti. Tā bija nežēlīga ironija, ka lielākā daļa parakstījušos cilvēku, iespējams, nekad ar to nevienu nesatika. Lai izmantotu nedaudz sarunvalodas frāzi, tas bija “desas fest”.

visērtākā jūsu vārda daļa, kas tiek noplūdināta no Ešlija Madisona hakera, ir tas, ka jūs flirtējat ar botu. par naudu.

- verbāli kosmisks (@VerbalSpacey) 2015. gada 29. augusts

Ar to viss neapstājās. Lietotāji par 17 ASV dolāriem varēja noņemt savu informāciju no vietnes. Viņu publiskie profili tiktu izdzēsti, un viņu konti tiktu izdzēsti no datu bāzes. To izmantoja cilvēki, kuri parakstījās un vēlāk to nožēloja.

Bet noplūde parādīja, ka Ešlijai Madisonai nebija patiesībā noņemiet kontus no datu bāzes. Tā vietā viņi tika vienkārši paslēpti no publiskā interneta. Kad viņu lietotāju datu bāze bija noplūdusi, tāpat bija šie konti.

BoingBoing dienās Ešlija Madisona izstādē ir iekļauta informācija par cilvēkiem, kuri maksājuši AM par viņu kontu dzēšanu.

- Denise Balkissoon (@balkissoon) 2015. gada 19. augusts

Varbūt mācība, ko varam mācīties no Ešlija Madisona sāgas, ir tā dažreiz ir vērts piekrist hakeru prasībām.

Būsim godīgi. Avid Life Media zināja, kas bija viņu serveros. Viņi zināja, kas būtu noticis, ja tas būtu noplūdis. Viņiem vajadzēja darīt visu iespējamo, lai apturētu tā noplūdi. Ja tas nozīmēja dažu tiešsaistes īpašumu izslēgšanu, tā būtu.

Būsim nekaunīgi. Cilvēki gāja bojā, jo Avid Life Media ieņēma nostāju. Un par ko?

Mazākā mērogā var apgalvot, ka bieži ir labāk izpildīt hakeru un ļaunprātīgas programmatūras izstrādātāju prasības. Ransomware ir lielisks piemērs tam Nekrītiet no krāpnieku nedienām: rokasgrāmata Ransomware un citiem draudiem Lasīt vairāk . Kad kāds ir inficēts un viņu faili tiek šifrēti, upuriem tiek lūgta “izpirkuma maksa”, lai viņus atšifrētu. Parasti tas nepārsniedz 200 USD. Pēc samaksas šie faili parasti tiek atgriezti. Lai ransomware biznesa modelis darbotos, upuriem ir jābūt kaut kādām cerībām, ka viņi varēs atgūt savus failus.

Es domāju, ka, turpinot, daudzi no uzņēmumiem, kas atrodas Avid Life Media pozīcijā, apšaubīs, vai vislabākā ir izaicinošā nostāja.

Citas nodarbības

2015. gads bija savādi. Es nerunāju tikai par Ešliju Madisonu.

VTech Hack VTech kļūst ielauzts, Apple ienīst austiņu domkrati... [Tehnisko ziņu kopsavilkums]Hakeri pakļauj VTech lietotājus, Apple apsver iespēju noņemt austiņu ligzdu, Ziemassvētku gaismas var palēnināt jūsu Wi-Fi savienojumu, Snapchat nonāk gultā ar (RED) un atceroties The Star Wars Holiday Special. Lasīt vairāk bija spēles mainītājs. Šis Honkongas bērnu rotaļlietu ražotājs piedāvāja bloķētu planšetdatoru ar bērniem draudzīgu lietotņu veikalu un iespēju vecākiem to attālināti kontrolēt. Šā gada sākumā tas tika uzlauzts, jo tika noplūdināti vairāk nekā 700 000 bērnu profili. Tas parādīja, ka vecums nav šķērslis, lai kļūtu par datu pārkāpuma upuri.

Tas bija arī interesants gads operētājsistēmas drošībai. Kamēr tika izvirzīti jautājumi par GNU / Linux vispārējā drošība Vai Linux ir bijis savu panākumu upuris?Kāpēc Linux fonda vadītājs Džims Zemlins nesen teica, ka "Linux zelta laikmets" drīz varētu beigties? Vai neizdevās misija "popularizēt, aizsargāt un attīstīt Linux"? Lasīt vairāk , Windows 10 deva lielus solījumus ir visu laiku drošākais Windows 7 veidi, kā Windows 10 ir drošāka nekā Windows XPPat ja jums nepatīk Windows 10, jums patiešām tagad vajadzētu būt migrēt no Windows XP. Mēs parādīsim, kā 13 gadus vecā operētājsistēma tagad ir pārpildīta ar drošības problēmām. Lasīt vairāk . Šogad mēs bijām spiesti apšaubīt sakāmvārdu, ka Windows pēc savas būtības ir mazāk drošs.

Pietiek pateikt, ka 2016. gads būs interesants.

Kādas drošības mācības jūs mācījāties 2015. gadā? Vai jums ir kādas drošības stundas, ko pievienot? Atstājiet tos zemāk esošajos komentāros.

Metjū Hjūss ir programmatūras izstrādātājs un rakstnieks no Liverpūles, Anglijas. Viņš reti atrodams bez tasītes spēcīgas melnas kafijas rokā un absolūti dievina savu Macbook Pro un kameru. Jūs varat lasīt viņa emuāru vietnē http://www.matthewhughes.co.uk un seko viņam līdzi twitter vietnē @matthewhughes.