Hirdetés
Ahogy a 2016-os szakáll közelében vagyunk, vessünk egy percet arra, hogy gondolkozzunk a 2015-ben megtanult biztonsági tanulságokról. Tól től Ashley Madison Ashley Madison nem szivárog? Gondolj újraA diszkrét online társkereső webhelyet Ashley Madison-t (elsősorban a csaló házastársakra irányítva) feltörték. Ez azonban sokkal komolyabb kérdés, mint amit a sajtóban bemutattak, és jelentős kihatással van a felhasználói biztonságra. Olvass tovább , nak nek csapkodott vízforralók 7 ok, amiért a dolgok internetének kell ijednieA tárgyak internete potenciális előnyei világossá válnak, miközben a veszélyeket a csendes árnyék veszi körül. Ideje felhívni a figyelmet ezekre a veszélyekre az IoT hét félelmetes ígéretével. Olvass tovább , és a kormány elkerülhetetlen biztonsági tanácsaival sokat lehet beszélni.
Az intelligens otthonok továbbra is biztonsági rémálom
2015-ben az emberek rohantak a meglévő analóg háztartási cikkeket korszerűsíteni számítógépes, internethez csatlakoztatott alternatívákkal. Intelligens otthon tech
igazán ebben az évben indult úgy, hogy úgy tűnik, hogy folytatódni fog az új évben is. De ugyanakkor otthon is kalapálták (sajnálom), hogy néhány ilyen eszköz is nem olyan biztonságos.A legnagyobb intelligens otthoni biztonsági történet talán az volt, hogy felfedezték bizonyos eszközöket szállítás másolatos (és gyakran kódolt) titkosítási tanúsítvánnyal és magánkulcsok. Nem csupán a tárgyak internete termékei voltak. A nagyobb internetszolgáltatók által kiadott útválasztók Megállapítást nyert, hogy ezt a biztonsági bűn legfontosabb bűncselekményét követték el.
Szóval, miért probléma?
Ez alapvetően megkönnyíti, hogy a támadók kémkedjenek ezen eszközökön a „Közép-ember” támadás Mi az a középtámadó támadás? A biztonsági zárószó magyarázataHa hallottál a „középső ember” támadásokról, de nem vagy biztos abban, hogy ez mit jelent, ez a cikk az Ön számára. Olvass tovább , elfogja a forgalmat, miközben az áldozat észrevétlenül marad. Ez aggodalomra ad okot, mivel az intelligens otthoni technológiát egyre inkább hihetetlenül érzékeny környezetben, például a személyes biztonságban használják, háztartási biztonság A Nest Protect áttekintése és az átadás Olvass tovább , és az egészségügyben.
Ha ez ismerősnek tűnik, az az oka, hogy számos nagy számítógépes gyártót elkaptak egy nagyon hasonló dolgot csinálni. 2015 novemberében kiderült, hogy a Dell azonos számítógépeket szállít eDellRoot nevű gyökér tanúsítvány A Dell legújabb laptopjai megfertőződtek az eDellRoot segítségévelA Dell, a világ harmadik legnagyobb számítógépgyártója minden új számítógépen elkapta a gazember gyökér tanúsítványait - csakúgy, mint a Lenovo a Superfish-rel. Így teheti biztonságossá az új Dell PC-jét. Olvass tovább , míg 2014 végén elindult a Lenovo az SSL kapcsolatok szándékos megszakítása A Lenovo hordozható számítógép tulajdonosai vigyázzanak: Lehet, hogy az eszköz előre telepítette a rosszindulatú programokatA Lenovo kínai számítógépgyártó elismerte, hogy az üzletekbe és a fogyasztókba 2014 végén szállított laptopok előre telepítették a rosszindulatú programokat. Olvass tovább a hirdetések titkosított weboldalakba való beillesztése érdekében.
Nem állt itt meg. A 2015-ös év valóban az intelligens otthoni bizonytalanság éve volt, sok eszközről úgy találták, hogy obszcén nyilvánvaló biztonsági rést okoz.
A kedvencem volt az iKettle Miért kellene az iKettle Hack-nek aggódnia (még akkor is, ha nem a saját tulajdonosa van)Az iKettle egy WiFi kompatibilis vízforraló, amely nyilvánvalóan egy hatalmas, tátongó biztonsági hibával jött létre, amelynek lehetősége volt az egész WiFi hálózat nyitására. Olvass tovább (kitalálta: Wi-Fi kompatibilis vízforraló), amelyet a támadó meggyőzhet az otthoni hálózatának Wi-Fi részleteiről (sima szövegben, és nem kevésbé).
A támadás működéséhez először el kellett hoznia egy hamisított vezeték nélküli hálózatot, amely ugyanazt az SSID-t (a hálózat nevét) osztja meg, mint amelyhez az iKettle csatlakozik. Ezután a UNIX segédprogramján keresztül a Telnet-en keresztül csatlakozva, és néhány menüben áthaladva láthatja a hálózati felhasználónevet és jelszót.
Akkor ott volt A Samsung Wi-Fi-hez csatlakoztatott intelligens hűtőszekrénye A Samsung intelligens hűtőszekrénye mostanában van. Mi a helyzet az intelligens otthon többi részével?A Samsung intelligens hűtőszekrényével szembeni sebezhetőséget felfedezték az Egyesült Királyságban működő Pen Test Parters brit infosec cég. A Samsung SSL-titkosításának bevezetése nem ellenőrzi a tanúsítványok érvényességét. Olvass tovább , amely nem érvényesítette az SSL tanúsítványokat, és lehetővé tette a támadók számára, hogy potenciálisan elfogják a Gmail bejelentkezési adatait.
Ahogy a Smart Home tech egyre inkább mainstream lesz, és így lesz, számíthat arra, hogy még több történetet meghall ezek az eszközök kritikus biztonsági résekkel bírnak, és néhány nagy horderejű csapás áldozatává válnak.
A kormányok még mindig nem kapják meg
Az egyik visszatérő téma, amelyet az elmúlt években láttunk, az, hogy mennyire feledkeznek meg a legtöbb kormány biztonsági kérdéseiről.
Az infosec analfabetizmus legszembetűnőbb példái az Egyesült Királyságban találhatók, ahol a kormány többször és következetesen kimutatta, hogy csak nem értem.
Az egyik legrosszabb ötlet, amelyet a parlamentben lebegnek, az az ötlet, hogy az üzenetküldési szolgáltatások (például a Whatsapp és az iMessage) által használt titkosítás meg kell gyengíteni, így a biztonsági szolgálatok elfoghatják és dekódolhatják őket. Ahogyan Justin Pot kollégám az ügyesen rámutatott a Twitteren, ez olyan, mintha minden széfet főkulccsal szállítanának.
Képzelje el, ha a kormány azt mondta, hogy minden széfnek rendelkezzen egy szabványos második kóddal, arra az esetre, ha a zsaruk be akarnak lépni. Ez a titkosítási vita jelenleg.
- Justin Pot (@jhpot) 2015. december 9
Rosszabb lesz. 2015 decemberében a Nemzeti Bűnügyi Ügynökség (az Egyesült Királyság válasza az FBI-ra) kiadott némi tanácsot a szülők számára A gyermeke hackerek? A brit hatóságok úgy gondoljákAz NCA, a brit FBI kampányt indított a fiatalok megakadályozására a számítógépes bűnözés ellen. De tanácsuk annyira széles, hogy azt feltételezheti, hogy bárki, aki olvassa ezt a cikket, hackerek - még te is. Olvass tovább így meg tudják mondani, mikor vannak gyermekeik az edzett számítógépes bűnözőkké válás útján.
Az NCA szerint ezek a piros zászlók magukban foglalják "Érdekli a kódolás?" és "Vonakodnak beszélni arról, amit online csinálnak?"
Ez a tanács nyilvánvalóan szemetet jelent, és nemcsak a MakeUseOf, hanem az is széles körben gúnyolódott más nagyobb technológiai kiadványok általés az infosec közösség.
Az @NCA_UK felsorolja a kódolás iránti érdeklődés figyelmét a számítógépes bűnözésre! Nagyon meghökkentő. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz
- David G Smith (@ gondolkodás) 2015. december 9
A kódolás iránti érdeklődés tehát "a számítógépes bűnözés figyelmeztető jele". Az NCA alapvetően az 1990-es évek iskolai informatikai osztálya. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 2015. december 10
Azok a gyermekek, akiket „érdekel a kódolás”, felnőtté váltak, akik mérnökök voltak, akik létrehoztak #Twitter, #Facebook és a #NCA weboldal (többek között)
- AdamJ (@IAmAdamJ) 2015. december 9
De ez zavaró tendenciára utalt. A kormányok nem kapnak biztonságot. Nem tudják, hogyan kell kommunikálni a biztonsági fenyegetésekről, és nem is értik azokat az alapvető technológiákat, amelyek miatt az internet működik. Számomra ez sokkal inkább aggasztó, mint bármely más hacker vagy kiberterrorista.
Néha te Kellene Tárgyalás a terroristákkal
Kétségkívül a 2015 legnagyobb biztonsági története volt az Ashley Madison csapkod Ashley Madison nem szivárog? Gondolj újraA diszkrét online társkereső webhelyet Ashley Madison-t (elsősorban a csaló házastársakra irányítva) feltörték. Ez azonban sokkal komolyabb kérdés, mint amit a sajtóban bemutattak, és jelentős kihatással van a felhasználói biztonságra. Olvass tovább . Ha elfelejtette, engedje meg, hogy emlékezzen.
2003-ban indult, Ashley Madison különféle társkereső portál volt. Ez lehetővé tette a házas emberek számára, hogy csatlakozzanak olyan emberekhez, akik valójában nem voltak házastársuk. Szlogenjük mindent elmondott. "Az élet rövid. Viszonya van."
De bármennyire is, elmenekült siker volt. Alig több mint tíz év alatt Ashley Madison csaknem 37 millió regisztrált számlát halmozott fel. Magától értetődik, hogy nem mindegyik volt aktív. A túlnyomó többség nem működött.
Ez év elején nyilvánvalóvá vált, hogy Ashley Madisonnal nem minden rendben. A The Impact Team elnevezésű titokzatos csapkodócsoport nyilatkozatot adott ki, amelyben kijelentette, hogy sikerült megszerezni a webhely-adatbázist, valamint egy nagyméretű gyorsítótárat a belső e-mailekhez. Megfenyegetik, hogy elengedik, kivéve, ha Ashley Madison-t bezárják, testvérhelyével, az Alapított férfiakkal együtt.
Az Avid Life Media, akik Ashley Madison és az Established Men tulajdonosai és üzemeltetői, sajtóközleményt adott ki, amely lecsökkentette a támadást. Hangsúlyozták, hogy a bűnüldöző szervekkel együttműködnek az elkövetők felkutatása érdekében, és „képesek voltak megóvni webhelyünket és bezárni az illetéktelen hozzáférési pontokat”.
Az Avid Life Media Inc. nyilatkozata: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 2015. július 20
18-ánth augusztusban az Impact Team kiadta a teljes adatbázist.
Hihetetlen demonstráció volt az internetes igazságosság gyorsaságáról és aránytalanságáról. Nem számít, mennyire érzi magát a csalás ellen (személy szerint utálom), valami érezte magát teljesen rossz erről. A családokat félre szakították. A karriert azonnal és nyilvánosan tönkretette. Néhány opportunista még előfizetőknek zsaroló e-maileket küldött, e-mailben és postai úton, és ezerből elpusztította őket. Egyesek úgy gondolták, hogy helyzetük annyira reménytelen, hogy saját magukat kellett elvenniük. Rossz volt. 3 ok, amiért az Ashley Madison Hack komoly ügyAz Internet szélsőségesnek tűnik az Ashley Madison csapkod tekintetében, a házasságtörők millióinak és potenciáljának köszönhetően a házasságtörők adatait feltörték és online közzétették, és az adatokban találtak cikkeket az egyénekről lerak. Vidám, igaz? Nem olyan gyorsan. Olvass tovább
A hack reflektorfénybe is ragyogott Ashley Madison belső működésében.
Felfedezték, hogy a webhelyen regisztrált 1,5 millió nő közül csak körülbelül 10 000 volt valódi valódi emberek. A többi robotok és hamis számlák voltak, amelyeket az Ashley Madison munkatársai készítettek. Kegyetlen irónia volt, hogy a legtöbb felmondott ember valószínűleg soha nem találkozott senkivel rajta keresztül. Kissé beszélgető kifejezésként „kolbászfesztivál” volt.
Neved legfélelmetlenebb része, hogy kiszivárog az Ashley Madison csapkodból, botokkal flörtöl. pénzért.
- szóban szóköz (@VerbalSpacey) 2015. augusztus 29
Nem állt itt meg. 17 dollárért a felhasználók eltávolíthatták információjukat a webhelyről. Nyilvános profiljuk törlődik, és számláikat kiürítik az adatbázisból. Ezt az emberek használták fel, akik feliratkoztak, és később megbántak.
De a szivárgás azt mutatta, hogy Ashley Maddison nem tette meg tulajdonképpen távolítsa el a fiókokat az adatbázisból. Ehelyett pusztán rejtve maradtak a nyilvános internet ellen. Amikor kiszivárogtak a felhasználói adatbázisuk, úgy voltak ezek a fiókok.
BoingBoing napok Ashley Madison dump információkat tartalmaz azokról az emberekről, akik fizettek AM-nek, hogy töröljék számláikat.
- Denise Balkissoon (@balkissoon) 2015. augusztus 19
Lehet, hogy az a tanulság, amelyet megtanulhatunk az Ashley Madison saga-ról néha érdemes elfogadni a hackerek igényeit.
Legyünk őszinték. Avid Life Media tudta, mi volt a szerverükön. Tudták, mi történt volna, ha szivárogna. Minden tőlük telhetőt meg kellett volna tenniük annak szivárgásának megakadályozására. Ha ez azt jelentette, hogy bezárunk néhány online tulajdonságot, legyen az.
Legyen tompa. Az emberek meghaltak, mert az Avid Life Media állást vett. És miért?
Kisebb léptékűen azt lehet állítani, hogy gyakran jobb megfelelni a hackerek és a rosszindulatú programok készítőinek igényeinek. A Ransomware erre kiváló példa Ne ess a csalók hibájába: Útmutató a Ransomware és más fenyegetésekhez Olvass tovább . Amikor valaki megfertőződik, és fájljaik titkosítva vannak, az áldozatokat „váltságdíj” -ra kérik a visszafejtésük érdekében. Ez általában körülbelül 200 dollár körülhatárolódik. Fizetéskor ezek a fájlok általában visszaadódnak. Ahhoz, hogy a ransomware üzleti modell működjön, az áldozatoknak elvárniuk kell, hogy visszatérjenek fájljaikhoz.
Úgy gondolom, hogy haladunk tovább, sok olyan vállalat, aki az Avid Life Media helyzetébe kerül, megkérdőjelezi, hogy a lelkiismeretes álláspont a legjobb-e.
Egyéb leckék
2015 furcsa év volt. Nem csak Ashley Madisonról beszélek.
Az VTech Hack A VTech feltört, az Apple utálja a fejhallgató-csatlakozókat... [Tech News Digest]A hackerek leleplezik a VTech használóit, az Apple fontolóra veszi a fejhallgató-csatlakozó eltávolítását, a karácsonyi fények lelassíthatják a Wi-Fi-t, a Snapchal (RED) ágyba kerül, és emlékszik a Csillagok háborújának különlegességére. Olvass tovább játékváltó volt. Ez a hongkongi székhelyű gyermekjátékok gyártója egy lezárt táblaszámítógépet kínál, gyerekbarát alkalmazásüzlettel, valamint a szülőknek a távvezérlés lehetőségét kínálták. Idén elején feltörték, több mint 700 000 gyermek profiljáról szivárogtak. Ez azt mutatta, hogy az életkor nem akadálya az adat megsértésének áldozatainak.
Érdekes év volt az operációs rendszer biztonsága szempontjából is. Míg kérdéseket vettek fel a a GNU / Linux általános biztonsága A Linux a saját sikerének áldozata?Miért mondta a közelmúltban a Linux Alapítvány vezetője, Jim Zemlin, hogy a "Linux aranykora" hamarosan véget ér? Sikertelen lett a "Linux népszerűsítésének, védelmének és továbbfejlesztésének" a feladata? Olvass tovább , A Windows 10 nagy ígéreteket tett a a legbiztonságosabb Windows 7 módszer: A Windows 10 biztonságosabb, mint a Windows XPMég ha nem is szereti a Windows 10-et, valóban át kellett volna váltania a Windows XP-ről. Megmutatjuk, hogy a 13 éves operációs rendszer hogyan töltötte fel a biztonsági kérdéseket. Olvass tovább . Ebben az évben kénytelenek voltunk megkérdőjelezni azt az állítást, miszerint a Windows lényegében kevésbé biztonságos.
Elegendő mondani, hogy 2016 érdekes év lesz.
Milyen biztonsági tanulságokat tanultál 2015-ben? Van valamilyen biztonsági tanulsága, amelyet hozzá szeretne adni? Hagyja őket az alábbi megjegyzésekben.
Matthew Hughes szoftverfejlesztő és író, az angliai Liverpoolból. Ritkán talál egy csésze erős fekete kávé nélkül a kezében, és teljesen imádja a MacBook Pro-t és a kameráját. A blogját a következő címen olvashatja el: http://www.matthewhughes.co.uk és kövesse őt a Twitteren a @matthewhughes oldalán.