Annonse

La oss ta et øyeblikk å reflektere over sikkerhetstimene vi lærte i 2015, mens vi nærmer oss stupet i 2016. Fra Ashley Madison Ashley Madison Leak No Big Deal? Tenk igjenDiskret online datingside Ashley Madison (hovedsakelig rettet mot å lure ektefeller) er blitt hacket. Dette er imidlertid en langt mer alvorlig sak enn det som er blitt fremstilt i pressen, med betydelige konsekvenser for brukernes sikkerhet. Les mer , til hakkede kjeler 7 grunner til at tingenes internett skal skremme degDe potensielle fordelene med tingenes internett blir lyse, mens farene blir kastet i de stille skyggene. Det er på tide å trekke oppmerksomhet til disse farene med syv fryktelige løfter fra IoT. Les mer , og tvilsomme sikkerhetsråd fra myndighetene, er det mye å snakke om.

Smarte hjem er fremdeles et sikkerhetsmareritt

I 2015 ble det et rush av mennesker som oppgraderte sine eksisterende analoge husholdningsartikler med datastyrte, Internett-tilkoblede alternativer. Smart hjemme-teknologi egentlig

tok av i år på en måte som ser ut til å fortsette inn i det nye året. Men samtidig ble det også hamret hjem (beklager) at noen av disse enhetene er ikke så sikre.

Den største sikkerhetshistorien for Smart Home var kanskje at oppdagelsen at noen enheter var frakt med dupliserte (og ofte hardkodede) krypteringssertifikater og private nøkler. Det var heller ikke bare Internet of Things-produkter. Rutere utstedt av store Internett-leverandører har vist seg å ha begått denne mest kardinal av sikkerhetssynder.

router2

Så hvorfor er det et problem?

I hovedsak gjør dette det trivielt for en angriper å spionere på disse enhetene gjennom en "Mann-i-midten" -angrep Hva er et menneske i midten-angrep? Sikkerhetssjargong forklartHvis du har hørt om "mann-i-midten" -angrep, men ikke er helt sikker på hva det betyr, er dette artikkelen for deg. Les mer , avlytte trafikk samtidig som den forblir uoppdaget av offeret. Dette angår, gitt at Smart Home-teknologi i økende grad blir brukt i utrolig følsomme sammenhenger, for eksempel personlig sikkerhet, husholdningens sikkerhet Nest Protect Review and Giveaway Les mer , og i helsevesenet.

Hvis dette høres kjent ut, er det fordi en rekke store datamaskinprodusenter har blitt fanget og gjør en veldig lignende ting. I november 2015 ble det funnet at Dell sendte datamaskiner med en identisk rotsertifikat kalt eDellRoot Dells siste bærbare datamaskiner er infisert med eDellRootDell, verdens tredje største datamaskinprodusent, har blitt fanget fraktende useriøse rotsertifikater på alle nye datamaskiner - akkurat som Lenovo gjorde med Superfish. Slik gjør du din nye Dell PC trygg. Les mer , mens i slutten av 2014 ble Lenovo startet med vilje å bryte SSL-tilkoblinger Lenovo bærbare PC-eiere Vær forsiktig: Enheten kan ha forhåndsinstallert skadelig programvareDen kinesiske datamaskinprodusenten Lenovo har innrømmet at bærbare datamaskiner som ble sendt til butikker og forbrukere i slutten av 2014, hadde malware forhåndsinstallert. Les mer for å injisere annonser på krypterte nettsider.

Det stoppet ikke der. 2015 var faktisk året med Smart Home-usikkerhet, med mange enheter som ble identifisert som kommer med en uhyggelig åpenbar sikkerhetssårbarhet.

Favoritten min var iKettle Hvorfor iKettle Hack bør bekymre deg (selv om du ikke eier en)IKettle er en vannaktivert vannkoker som tilsynelatende fulgte med en massiv, gapende sikkerhetsfeil som hadde potensial til å sprenge åpne WiFi-nettverk. Les mer (du gjettet det: En vannkoker med Wi-Fi), som en angriper kunne overbevise om å avsløre Wi-Fi-detaljene (i klartekst, ikke mindre) i hjemmenettverket.

ikettle-hoved

For at angrepet skulle fungere, måtte du først lage et falskt trådløst nettverk som deler den samme SSID (navnet på nettverket) som den som har iKettle festet til det. Ved å koble til det via UNIX-verktøyet Telnet, og gå gjennom noen få menyer, kan du se brukernavnet og passordet til nettverket.

Så var det Samsungs Wi-Fi-tilkoblede Smart kjøleskap Samsungs Smart Kjøleskap Just Got Pwned. Hva med resten av ditt smarte hjem?En sårbarhet med Samsungs smarte kjøleskap ble oppdaget av Storbritannias-baserte infosec-firmaet Pen Test Parters. Samsungs implementering av SSL-kryptering sjekker ikke gyldigheten av sertifikatene. Les mer , som ikke klarte å validere SSL-sertifikater, og tillot angripere potensielt å avskjære Gmail-påloggingsinformasjon.

samsung-smartfridge

Etter hvert som Smart Home tech blir stadig mer mainstream, og det vil, kan du forvente å høre om flere historier om disse enhetene kommer med kritiske sikkerhetsproblemer og blir offer for noen høyprofilerte hacks.

Regjeringer klarer det fortsatt ikke

Et tilbakevendende tema vi har sett de siste årene er hvor fullstendig glemmelig de fleste regjeringer er når det gjelder sikkerhetsspørsmål.

Noen av de mest uhyggelige eksemplene på infosek analfabetisme kan finnes i Storbritannia, der regjeringen gjentatte ganger og konsekvent har vist at de bare ikke forstå det.

En av de verste ideene som flyter i parlamentet er ideen om at krypteringen som brukes av meldingstjenester (for eksempel Whatsapp og iMessage) skal svekkes, slik at sikkerhetstjenestene kan avskjære og avkode dem. Som min kollega Justin Pot fremhevet på Twitter, er det som å sende alle safer med en hovednøkkelkode.

Tenk om regjeringen sa at alle safe burde ha en standard sekundkode, i tilfelle politiet vil inn. Det er krypteringsdebatten akkurat nå.

- Justin Pot (@jhpot) 9. desember 2015

Det blir verre. I desember 2015 ble National Crime Agency (Storbritannias svar til FBI) gitt noen råd til foreldrene Er barnet ditt en hacker? De britiske myndighetene tror detNCA, Storbritannias FBI, har startet en kampanje for å avskrekke unge mennesker fra datakriminalitet. Men rådene deres er så brede at du kan anta at alle som leser denne artikkelen er en hacker - til og med deg. Les mer slik at de kan fortelle når barna deres er på vei til å bli harde nettkriminelle.

Disse røde flaggene inkluderer ifølge NCA "Er de interessert i koding?" og “Er de motvillige til å snakke om hva de gjør på nettet?”.

BadAdvice

Dette rådet er åpenbart søppel og ble spottet mye, ikke bare av MakeUseOf, men også av andre store teknologipublikasjoner, og infosec-samfunnet.

De @NCA_UK lister opp interesse for koding som et advarselstegn for nettkriminalitet! Ganske forbløffende. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- David G Smith (@aforethought) 9. desember 2015

Så en interesse for koding er nå et "advarselstegn for nettkriminalitet". NCA er i utgangspunktet en IT-avdeling fra 1990-tallet. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10. desember 2015

Barn som var 'interessert i koding' vokste opp til å være ingeniørene som skapte #Twitter, #Facebook og #NCA nettsted (blant andre)

- AdamJ (@IAmAdamJ) 9. desember 2015

Men det var en indikasjon på en urovekkende trend. Regjeringer får ikke sikkerhet. De vet ikke hvordan de skal kommunisere om sikkerhetstrusler, og de forstår ikke de grunnleggende teknologiene som gjør at Internett fungerer. For meg er det mye mer enn noen hacker eller cyber-terrorist.

Noen ganger du Bør Forhandle med terrorister

Den største sikkerhetshistorien i 2015 var utvilsomt Ashley Madison-hacket Ashley Madison Leak No Big Deal? Tenk igjenDiskret online datingside Ashley Madison (hovedsakelig rettet mot å lure ektefeller) er blitt hacket. Dette er imidlertid en langt mer alvorlig sak enn det som er blitt fremstilt i pressen, med betydelige konsekvenser for brukernes sikkerhet. Les mer . I tilfelle du har glemt, la meg omfatte.

Ashley Madison ble lansert i 2003 og var et datingside med en forskjell. Det tillot gifte mennesker å koble seg sammen med folk som ikke egentlig var ektefellene deres. Slagordet deres sa alt. "Livet er kort. Ha en affære."

Men grov som den er, var det en løpsuksess. På litt over ti år hadde Ashley Madison samlet nesten 37 millioner registrerte kontoer. Selv om det sier seg selv at ikke alle av dem var aktive. De aller fleste var sovende.

Tidligere i år viste det seg at alt ikke stemte bra med Ashley Madison. En mystisk hackinggruppe kalt The Impact Team ga ut en uttalelse der de hevdet at de hadde vært i stand til å skaffe nettstedsdatabasen, pluss en betydelig cache av interne e-poster. De truet med å løslate det, med mindre Ashley Madison ble lagt ned, sammen med søsternettstedet Established Men.

Avid Life Media, som er eiere og operatører av Ashley Madison og Established Men, ga ut en pressemelding som bagatelliserte angrepet. De la vekt på at de jobbet med rettshåndhevelse for å spore gjerningsmennene, og var "i stand til å sikre nettstedene våre og stenge de uautoriserte tilgangspunktene".

Uttalelse fra Avid Life Media Inc.: http://t.co/sSoLWvrLoQ

- Ashley Madison (@ashleymadison) 20. juli 2015

Den 18th i august lanserte Impact Team hele databasen.

Det var en utrolig demonstrasjon av hurtig og uforholdsmessig karakter av Internett-rettferdighet. Uansett hvordan du føler for juks (jeg hater det, personlig), føltes noe helt feil om det. Familiene ble revet i stykker. Karrierer ble øyeblikkelig og veldig offentlig ødelagt. Noen opportunister sendte til og med abonnenter utpressings-e-post, via e-post og per post, og melket dem ut av tusenvis. Noen mente situasjonene deres var så håpløse, de måtte ta sitt eget liv. Det var dårlig. 3 grunner til at Ashley Madison Hack er en alvorlig sakInternett virker ekstatisk over Ashley Madison-hacket, med millioner av utroskapers potensial utroskapsmenns detaljer ble hacket og utgitt på nettet, med artikler som utforsker enkeltpersoner som er funnet i dataene dumpe. Hilarious, ikke sant? Ikke så fort. Les mer

Hacket lyste også midt i blinken på Ashley Madisons indre virke.

De oppdaget at det bare var rundt 10.000 av de 1,5 millioner kvinnene som var registrert på nettstedet faktiske ekte mennesker. Resten var roboter og falske kontoer opprettet av staben på Ashley Madison. Det var en grusom ironi at de fleste som meldte seg sannsynligvis aldri møtte noen gjennom det. Det var, for å bruke en litt kleskaldelig frase, en ‘pølsefest’.

Den mest pinlige delen av navnet ditt som blir lekket fra Ashley Madison-hacket, er at du flørtes med en bot. for penger.

- verbal spacey (@VerbalSpacey) 29. august 2015

Det stoppet ikke der. For $ 17 kunne brukere fjerne informasjonen fra nettstedet. Deres offentlige profiler vil bli slettet, og kontoene deres ble renset fra databasen. Dette ble brukt av folk som meldte seg og senere angret.

Men lekkasjen viste at Ashley Maddison ikke gjorde det faktisk fjerne kontoene fra databasen. I stedet ble de bare gjemt for det offentlige Internett. Når brukerdatabasen deres ble lekket, så ble også disse kontoene.

BoingBoing dager Ashley Madison dump inkluderer informasjon om personer som betalte AM for å slette kontoene sine.

- Denise Balkissoon (@balkissoon) 19. august 2015

Kanskje er leksjonen vi kan lære fra Ashley Madison-sagaen den noen ganger er det verdt å imøtekomme kravene fra hackere.

La oss være ærlige. Avid Life Media visste hva som var på serverne deres. De visste hva som ville skjedd hvis det var lekket. De burde ha gjort alt som er i deres makt for å hindre at det lekker ut. Hvis det innebar å stenge et par online eiendommer, så vær det.

La oss være sløv. Folk døde fordi Avid Life Media tok et standpunkt. Og for hva?

I mindre skala kan det hevdes at det ofte er bedre å oppfylle kravene fra hackere og malware-skapere. Ransomware er et flott eksempel på dette Don't Fall Foul of the Scammers: En guide til ransomware og andre trusler Les mer . Når noen er smittet, og filene deres er kryptert, blir ofrene bedt om et 'løsepenger' for å dekryptere dem. Dette er vanligvis i løpet av $ 200 eller så. Når de er betalt tilbake, returneres disse filene vanligvis. For at ransomware-forretningsmodellen skal fungere, må ofrene ha en viss forventning om at de kan få filene sine tilbake.

Jeg tror fremover vil mange av selskapene som befinner seg i posisjonen til Avid Life Media, stille spørsmål ved om en trassig holdning er den beste å ta.

Andre leksjoner

2015 var et rart år. Jeg snakker ikke bare om Ashley Madison, heller.

De VTech Hack VTech blir hacket, Apple hater hodetelefonkontakter... [Tech News Digest]Hackere utsetter VTech-brukere, Apple vurderer å fjerne hodetelefonkontakten, julelys kan bremse Wi-Fi-en din, Snapchat kommer i seng med (RED), og husker Star Wars Holiday Special. Les mer var en spillveksler. Denne Hong Kong-baserte produsenten av barneleker tilbød en låst nettbrett, med en barnevennlig app-butikk, og foreldrenes mulighet til å fjernstyre den. Tidligere i år ble det hacket, og over 700 000 barneprofiler ble lekket. Dette viste at alder ikke er noen hindring for å bli offer for et datainnbrudd.

Det var også et interessant år for operativsystemets sikkerhet. Mens det ble reist spørsmål om generell sikkerhet for GNU / Linux Har Linux vært et offer for sin egen suksess?Hvorfor sa Linux Foundation-leder, Jim Zemlin, nylig at "gullalderen til Linux" snart kan komme til å bli slutt? Har oppdraget å "fremme, beskytte og fremme Linux" mislyktes? Les mer , Windows 10 ga store løfter om å være den sikreste Windows noensinne 7 måter Windows 10 er sikrere enn Windows XPSelv om du ikke liker Windows 10, burde du virkelig ha migrert fra Windows XP nå. Vi viser deg hvordan det 13 år gamle operativsystemet nå er full av sikkerhetsproblemer. Les mer . I år ble vi tvunget til å stille spørsmål ved ordet om at Windows iboende er mindre sikkert.

Nok å si, 2016 kommer til å bli et interessant år.

Hvilke sikkerhetstimer lærte du i 2015? Har du noen sikkerhetstimer å legge til? Legg igjen dem i kommentarene nedenfor.

Matthew Hughes er programvareutvikler og skribent fra Liverpool, England. Han blir sjelden funnet uten en kopp sterk svart kaffe i hånden og elsker absolutt Macbook Pro og kameraet hans. Du kan lese bloggen hans på http://www.matthewhughes.co.uk og følg ham på twitter på @matthewhughes.