Reklama
Zbliżając się do przepaści 2016 roku, poświęćmy chwilę na refleksję na temat lekcji bezpieczeństwa, których nauczyliśmy się w 2015 roku. Od Ashley madison Ashley Madison Leak No Big Deal? Pomyśl jeszcze razDyskretny internetowy serwis randkowy Ashley Madison (skierowany głównie do zdradzających małżonków) został zhakowany. Jest to jednak o wiele poważniejszy problem niż przedstawiono w prasie, co ma poważne konsekwencje dla bezpieczeństwa użytkowników. Czytaj więcej , do zhakowane czajniki 7 powodów, dla których Internet przedmiotów powinien Cię przestraszyćPotencjalne korzyści płynące z Internetu przedmiotów stają się jasne, a niebezpieczeństwa rzucane są w ciche cienie. Czas zwrócić uwagę na te niebezpieczeństwa za pomocą siedmiu przerażających obietnic IoT. Czytaj więcej i niejasne porady rządu dotyczące bezpieczeństwa, jest wiele do omówienia.
Inteligentne domy to wciąż koszmar bezpieczeństwa
W 2015 r. Pojawiła się rzesza ludzi modernizujących swoje dotychczasowe analogowe artykuły gospodarstwa domowego za pomocą skomputeryzowanych rozwiązań podłączonych do Internetu. Technologia Smart Home
naprawdę wystartował w tym roku w sposób, który wygląda na kontynuację w Nowym Roku. Ale w tym samym czasie zostało również wbite do domu (przepraszam), że niektóre z tych urządzeń nie są aż tak bezpieczne.Największą historią bezpieczeństwa Smart Home było być może odkrycie, że niektóre urządzenia były wysyłka ze zduplikowanymi (i często zakodowanymi na stałe) certyfikatami szyfrowania i klucze prywatne. To nie był tylko produkt z Internetu Rzeczy. Routery wydane przez głównych dostawców usług internetowych okazało się, że popełnił ten największy grzech główny.
Dlaczego to stanowi problem?
Zasadniczo sprawia to, że atakujący może trywialnie szpiegować te urządzenia za pośrednictwem Atak typu „człowiek w środku” Co to jest atak man-in-the-Middle? Wyjaśnienie żargonu bezpieczeństwaJeśli słyszałeś o atakach typu „man-in-the-middle”, ale nie jesteś pewien, co to oznacza, ten artykuł jest dla Ciebie. Czytaj więcej , przechwytując ruch, jednocześnie pozostając niewykrytym przez ofiarę. Jest to niepokojące, biorąc pod uwagę fakt, że technologia Smart Home jest coraz częściej wykorzystywana w niezwykle wrażliwych kontekstach, takich jak bezpieczeństwo osobiste, bezpieczeństwo gospodarstwa domowego Nest Protect Review i prezenty Czytaj więcej oraz w opiece zdrowotnej.
Jeśli to brzmi znajomo, to dlatego, że wielu głównych producentów komputerów przyłapało się na robieniu bardzo podobnych rzeczy. W listopadzie 2015 r. Stwierdzono, że Dell wysyła komputery z identycznymi certyfikat główny o nazwie eDellRoot Najnowsze laptopy Dell są zainfekowane eDellRootDell, trzeci co do wielkości producent komputerów na świecie, został przyłapany na wysyłaniu fałszywych certyfikatów root na wszystkie nowe komputery - podobnie jak Lenovo z Superfish. Oto jak uczynić swój nowy komputer Dell bezpieczniejszym. Czytaj więcej , podczas gdy pod koniec 2014 r. rozpoczął się Lenovo celowe zrywanie połączeń SSL Właściciele laptopów Lenovo Uwaga: Twoje urządzenie może mieć wstępnie zainstalowane złośliwe oprogramowanieChiński producent komputerów Lenovo przyznał, że laptopy wysłane do sklepów, a konsumenci pod koniec 2014 r. Mają wstępnie zainstalowane złośliwe oprogramowanie. Czytaj więcej w celu wstrzykiwania reklam do zaszyfrowanych stron internetowych.
To nie koniec. Rok 2015 był rzeczywiście rokiem braku bezpieczeństwa w Smart Home, w którym wiele urządzeń zidentyfikowano jako posiadających nieprzyzwoicie oczywistą lukę w zabezpieczeniach.
Mój ulubiony był iKettle Dlaczego hack iKettle powinien cię niepokoić (nawet jeśli go nie posiadasz)IKettle to czajnik z obsługą Wi-Fi, który najwyraźniej miał ogromną lukę w zabezpieczeniach, która mogła otworzyć wszystkie sieci Wi-Fi. Czytaj więcej (zgadłeś: czajnik z Wi-Fi), który może zostać przekonany przez atakującego do ujawnienia szczegółów Wi-Fi (w postaci zwykłego tekstu) sieci domowej.
Aby atak zadziałał, najpierw trzeba było utworzyć sfałszowaną sieć bezprzewodową, która ma ten sam identyfikator SSID (nazwę sieci), co ta, do której jest podłączony iKettle. Następnie łącząc się z nim za pomocą narzędzia Telnet systemu UNIX i przechodząc przez kilka menu, można zobaczyć nazwę użytkownika sieci i hasło.
Potem było Inteligentna lodówka Samsung połączona z Wi-Fi Inteligentna lodówka Samsung Just Got Pwned. A co z resztą inteligentnego domu?Podatność na inteligentną lodówkę Samsung została odkryta przez brytyjską firmę Infosec Pen Test Parters. Implementacja szyfrowania SSL przez Samsung nie sprawdza ważności certyfikatów. Czytaj więcej , który nie sprawdził poprawności certyfikatów SSL i umożliwił atakującym przechwycenie poświadczeń logowania do Gmaila.
W miarę jak technologia Smart Home staje się coraz bardziej popularna i będzie, możesz spodziewać się kolejnych historii urządzenia te mają krytyczne luki w zabezpieczeniach i padają ofiarą niektórych znanych hacków.
Rządy wciąż tego nie rozumieją
Jednym z powracających tematów, które widzieliśmy w ciągu ostatnich kilku lat, jest to, że większość rządów jest całkowicie nieświadoma, jeśli chodzi o kwestie bezpieczeństwa.
Niektóre z najbardziej skandalicznych przykładów analfabetyzmu infoseologicznego można znaleźć w Wielkiej Brytanii, gdzie rząd wielokrotnie i konsekwentnie wykazuje, że po prostu nie rozumiem.
Jednym z najgorszych pomysłów rozpowszechnianych w parlamencie jest pomysł szyfrowania używanego przez usługi przesyłania wiadomości (takie jak Whatsapp i iMessage) powinien zostać osłabiony, więc służby bezpieczeństwa mogą je przechwycić i zdekodować. Jak słusznie zauważył mój kolega Justin Pot na Twitterze, to tak, jakby wysyłać wszystkie sejfy za pomocą głównego kodu.
Wyobraź sobie, że rząd powiedział, że każdy sejf powinien mieć standardowy drugi kod, na wypadek gdyby policja tego chciała. To jest teraz debata na temat szyfrowania.
- Justin Pot (@jhpot) 9 grudnia 2015 r
Pogarsza się. W grudniu 2015 r. National Crime Agency (odpowiedź Wielkiej Brytanii na FBI) wydał kilka porad dla rodziców Czy Twoje dziecko jest hakerem? Brytyjskie władze tak myśląNCA, brytyjskie FBI, rozpoczęło kampanię mającą na celu powstrzymanie młodych ludzi przed przestępczością komputerową. Ale ich rady są tak ogólne, że można założyć, że każdy, kto czyta ten artykuł, jest hakerem - nawet ty. Czytaj więcej aby mogli stwierdzić, kiedy ich dzieci są na drodze do zahartowania się w cyberprzestępców.
Te czerwone flagi, zgodnie z NCA, obejmują „Czy są zainteresowani kodowaniem?” i „Czy niechętnie rozmawiają o tym, co robią online?”.
Ta rada jest oczywiście śmieciami i była szeroko wyśmiewana, nie tylko przez MakeUseOf, ale także przez inne ważne publikacje technologiczneoraz społeczność infosec.
The @NCA_UK wymienia zainteresowanie kodowaniem jako sygnałem ostrzegawczym przed cyberprzestępczością! Całkiem zdumiewające. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz
- David G Smith (@aforethought) 9 grudnia 2015 r
Zainteresowanie kodowaniem jest więc teraz „znakiem ostrzegawczym cyberprzestępczości”. NCA jest w zasadzie szkolnym działem informatycznym z lat 90. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 10 grudnia 2015 r
Dzieci „zainteresowane kodowaniem” wyrosły na inżynierów, którzy stworzyli #Świergot, #Facebook i #NCA strona internetowa (między innymi)
- AdamJ (@IAmAdamJ) 9 grudnia 2015 r
Ale to wskazywało na niepokojący trend. Rządy nie mają bezpieczeństwa. Nie wiedzą, jak się komunikować o zagrożeniach bezpieczeństwa i nie rozumieją podstawowych technologii, dzięki którym Internet działa. Dla mnie jest to o wiele bardziej niepokojące niż jakikolwiek haker lub cyberterrorysta.
Czasami ty Powinien Negocjuj z terrorystami
Największa historia bezpieczeństwa 2015 roku była bez wątpienia hack Ashley Madison Ashley Madison Leak No Big Deal? Pomyśl jeszcze razDyskretny internetowy serwis randkowy Ashley Madison (skierowany głównie do zdradzających małżonków) został zhakowany. Jest to jednak o wiele poważniejszy problem niż przedstawiono w prasie, co ma poważne konsekwencje dla bezpieczeństwa użytkowników. Czytaj więcej . W razie zapomnienia pozwól mi podsumować.
Uruchomiona w 2003 r. Ashley Madison była serwisem randkowym z pewną różnicą. Umożliwiło to małżeństwom kontaktowanie się z osobami, które tak naprawdę nie były ich małżonkami. Ich hasło mówiło wszystko. "Życie jest krótkie. Mieć romans."
Ale choć jest to obrzydliwe, był to wymykający się sukces. W ciągu nieco ponad dziesięciu lat Ashley Madison zgromadziła prawie 37 milionów zarejestrowanych kont. Chociaż nie trzeba dodawać, że nie wszyscy byli aktywni. Zdecydowana większość była uśpiona.
Na początku tego roku okazało się, że z Ashley Madison nie wszystko było dobrze. Tajemnicza grupa hakerska o nazwie The Impact Team wydała oświadczenie, w którym twierdziła, że była w stanie uzyskać bazę danych witryny, a także spory bufor wewnętrznych wiadomości e-mail. Grozili, że ją wypuszczą, chyba że Ashley Madison zostanie zamknięta wraz ze swoją siostrzaną witryną - Założonymi mężczyznami.
Avid Life Media, którzy są właścicielami i operatorami Ashley Madison i Established Men, wydali komunikat prasowy, który bagatelizował atak. Podkreślili, że współpracowali z organami ścigania w celu wyśledzenia sprawców i „byli w stanie zabezpieczyć nasze witryny i zamknąć nieautoryzowane punkty dostępu”.
Oświadczenie Avid Life Media Inc.: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 20 lipca 2015 r
W dniu 18th w sierpniu Impact Team opublikował pełną bazę danych.
Był to niesamowity pokaz szybkości i nieproporcjonalnej natury internetowej sprawiedliwości. Bez względu na to, jak się czujesz o oszustwie (osobiście tego nienawidzę), coś poczułeś zupełnie źle o tym. Rodziny zostały rozdarte. Kariery zostały natychmiastowo i bardzo publicznie zrujnowane. Niektórzy oportuniści wysyłali nawet e-maile wymuszające subskrybentów, pocztą elektroniczną i pocztą, wydając je z tysięcy. Niektórzy uważali, że ich sytuacja jest tak beznadziejna, że musieli odebrać sobie życie. To było złe. 3 powody, dla których Ashley Madison Hack to poważny romansInternet wydaje się zachwycony hackem Ashleya Madisona, z milionami cudzołożników i potencjałem dane osób dorosłych zostały zhakowane i wydane online, a artykuły wypisują osoby znalezione w danych wysypisko. Zabawne, prawda? Nie tak szybko. Czytaj więcej
Włamanie zabłysło również w centrum uwagi Ashleya Madisona.
Odkryli, że z 1,5 miliona kobiet zarejestrowanych na stronie było tylko około 10 000 prawdziwi prawdziwi ludzie. Resztą były roboty i fałszywe konta utworzone przez personel Ashley Madison. To była okrutna ironia, że większość osób, które się zapisały, prawdopodobnie nigdy przez nikogo nie spotkała. Mówiąc nieco potocznie, było to „święto kiełbasy”.
najbardziej zawstydzająca część twojego imienia wyciekła z hakowania Ashley Madison, gdy flirtowałeś z botem. dla pieniędzy.
- słowna przestrzeń (@VerbalSpacey) 29 sierpnia 2015 r
To nie koniec. Za 17 USD użytkownicy mogą usunąć swoje informacje z witryny. Ich profile publiczne zostaną usunięte, a ich konta zostaną usunięte z bazy danych. Wykorzystali to ludzie, którzy się zarejestrowali, a później tego żałowali.
Ale wyciek pokazał, że Ashley Maddison nie tak właściwie usuń konta z bazy danych. Zamiast tego zostały po prostu ukryte przed publicznym Internetem. Gdy wyciekła ich baza użytkowników, również te konta.
Dni BoingBoing Zrzut Ashley Madison zawiera informacje o ludziach, którzy zapłacili AM za usunięcie swoich kont.
- Denise Balkissoon (@balkissoon) 19 sierpnia 2015 r
Być może jest to lekcja, którą możemy wyciągnąć z sagi Ashleya Madisona czasem warto dostosować się do wymagań hakerów.
Bądźmy szczerzy. Avid Life Media wiedzieli, co jest na ich serwerach. Wiedzieli, co by się stało, gdyby wyciekło. Powinni byli zrobić wszystko, co w ich mocy, aby nie dopuścić do wycieku. Jeśli to oznaczało zamknięcie kilku obiektów online, niech tak będzie.
Bądźmy szczerzy. Ludzie zginęli, ponieważ Avid Life Media zajęło stanowisko. I po co?
Na mniejszą skalę można argumentować, że często lepiej jest spełnić wymagania hakerów i twórców złośliwego oprogramowania. Ransomware jest tego doskonałym przykładem Don't Fall Foul of the Scammers: przewodnik po oprogramowaniu ransomware i innych zagrożeniach Czytaj więcej . Gdy ktoś zostanie zainfekowany, a jego pliki są zaszyfrowane, ofiary proszone są o „okup” w celu ich odszyfrowania. Jest to na ogół w granicach 200 USD. Po opłaceniu pliki te są na ogół zwracane. Aby model biznesowy ransomware zadziałał, ofiary muszą oczekiwać, że odzyskają swoje pliki.
Myślę, że w przyszłości wiele firm, które znajdą się na pozycji Avid Life Media, będzie kwestionować, czy najlepiej jest przyjąć postawę buntowniczą.
Inne lekcje
2015 był dziwnym rokiem. Nie mówię też tylko o Ashley Madison.
The VTech Hack VTech zostaje zhakowany, Apple nienawidzi słuchawek... [Przegląd wiadomości technicznych]Hakerzy ujawniają użytkowników VTech, Apple rozważa usunięcie gniazda słuchawkowego, lampki choinkowe mogą spowolnić Wi-Fi, Snapchat kładzie się do łóżka z (RED) i pamięta The Star Wars Holiday Special. Czytaj więcej zmienił grę. Ten producent zabawek dla dzieci z siedzibą w Hongkongu zaoferował zablokowany komputer typu tablet z przyjaznym dla dzieci sklepem z aplikacjami oraz możliwością zdalnego sterowania przez rodziców. Na początku tego roku został zhakowany, w wyniku czego wyciekło ponad 700 000 profili dzieci. To pokazało, że wiek nie stanowi bariery dla bycia ofiarą naruszenia danych.
Był to także ciekawy rok dla bezpieczeństwa systemu operacyjnego. Podczas gdy zadawano pytania dotyczące ogólne bezpieczeństwo GNU / Linux Czy Linux był ofiarą własnego sukcesu?Dlaczego szef Linux Foundation, Jim Zemlin, powiedział ostatnio, że „złoty wiek Linuksa” może wkrótce się skończyć? Czy misja „promowania, ochrony i rozwoju Linuksa” nie powiodła się? Czytaj więcej Windows 10 złożył wielkie obietnice będąc najbezpieczniejszym systemem Windows w historii 7 sposobów, w jakie Windows 10 jest bezpieczniejszy niż Windows XPNawet jeśli nie lubisz systemu Windows 10, naprawdę powinieneś już migrować z systemu Windows XP. Pokazujemy, jak 13-letni system operacyjny jest teraz pełen problemów związanych z bezpieczeństwem. Czytaj więcej . W tym roku byliśmy zmuszeni zakwestionować powiedzenie, że system Windows jest z natury mniej bezpieczny.
Wystarczy powiedzieć, że rok 2016 będzie interesujący.
Jakich lekcji bezpieczeństwa nauczyłeś się w 2015 roku? Czy chcesz dodać jakieś lekcje bezpieczeństwa? Pozostaw je w komentarzach poniżej.
Matthew Hughes jest programistą i pisarzem z Liverpoolu w Anglii. Rzadko można go znaleźć bez filiżanki mocnej czarnej kawy w dłoni i absolutnie uwielbia swojego Macbooka Pro i aparat. Możesz przeczytać jego blog na http://www.matthewhughes.co.uk i śledź go na Twitterze na @matthewhughes.
