Skelbimas
Artėjant 2016 m. Kriokliui, šiek tiek pamąstykime apie saugumo pamokas, kurių išmokome 2015 m. Iš Ashley Madison Ashley Madison nutekėjimas Nėra didelio sandorio? Pagalvok dar kartąDiskretiška internetinių pažinčių svetainė Ashley Madison (skirta pirmiausia sutuoktiniams apgauti) buvo nulaužta. Tačiau tai yra daug rimtesnė problema, nei buvo aprašyta spaudoje, turinti didelę įtaką vartotojų saugai. Skaityti daugiau , į nulaužė virdulius 7 priežastys, kodėl daiktų internetas turėtų jus gąsdintiGalimas daiktų interneto pranašumas išryškėja, o pavojai kyla iš tylių šešėlių. Laikas atkreipti dėmesį į šiuos pavojus darant septynis bauginančius IoT pažadus. Skaityti daugiau ir vengiančius vyriausybės patarimus dėl saugumo, apie tai galima daug kalbėti.
Išmanieji namai vis dar yra saugumo košmaras
2015 m. Žmonės skubėjo atnaujinti savo esamus analoginius namų apyvokos daiktus kompiuterizuotomis, prie interneto prijungtomis alternatyvomis. Išmaniųjų namų technologijos tikrai pradėjo šiemet tokiu būdu, kuris, atrodo, gali tęstis ir iki Naujųjų metų. Bet tuo pat metu tai buvo ir kalti namai (atsiprašau), kad kai kurie iš šių prietaisų
ne visi tokie saugūs.Didžiausia „Smart Home“ saugumo istorija galbūt buvo atradimas, kad kai kurie įrenginiai yra gabenimas su pasikartojančiais (ir dažnai užkoduotais) šifravimo sertifikatais ir asmeniniai raktai. Tai nebuvo tik daiktų interneto produktai. Pagrindinių IPT išleisti maršrutizatoriai buvo nustatyta, kad padarė šią kardinaliausią saugumo nuodėmę.
Taigi, kodėl tai yra problema?
Iš esmės tai daro nereikšmingą užpuoliko šnipinėjimą šiais prietaisais per „Viduryje žmogaus“ puolimas Kas yra vidurio puolėjas? Saugumo žargonu paaiškintaJei girdėjote apie „vidurio žmogaus“ išpuolius, bet nesate tikri, ką tai reiškia, šis straipsnis skirtas jums. Skaityti daugiau , sulaikydami eismą, tuo pat metu likdami nepastebėti aukos. Tai nerimauja, atsižvelgiant į tai, kad „Smart Home“ technologijos vis dažniau naudojamos nepaprastai jautriose situacijose, tokiose kaip asmens saugumas, buitinė sauga „Nest Protect“ apžvalga ir dovanos Skaityti daugiau , ir sveikatos priežiūros.
Jei tai skamba pažįstamai, taip yra todėl, kad nemažai pagrindinių kompiuterių gamintojų buvo sugauti padarę labai panašų dalyką. 2015 m. Lapkričio mėn. Buvo nustatyta, kad „Dell“ siunčia kompiuterius su identiškais šakninis sertifikatas, vadinamas „eDellRoot“ Naujausi „Dell“ nešiojamieji kompiuteriai yra užkrėsti „eDellRoot“„Dell“, trečias pagal dydį kompiuterių gamintojas, buvo pagautas nesąžiningų šaknies liudijimų gabenimas visuose naujuose kompiuteriuose - kaip ir „Lenovo“ su „Superfish“. Štai kaip užtikrinti, kad jūsų naujasis „Dell“ kompiuteris būtų saugus. Skaityti daugiau , o 2014 m. pabaigoje buvo pradėtas naudoti „Lenovo“ tyčia nutraukti SSL ryšius „Lenovo“ nešiojamųjų kompiuterių savininkai saugokitės: jūsų įrenginyje gali būti iš anksto įdiegta kenkėjiška programaKinijos kompiuterių gamintojas „Lenovo“ pripažino, kad 2014 m. Pabaigoje parduotuvėse ir vartotojams pristatytuose nešiojamuosiuose kompiuteriuose iš anksto buvo įdiegta kenkėjiška programinė įranga. Skaityti daugiau norėdami įterpti skelbimus į užšifruotus tinklalapius.
Čia viskas nesustojo. 2015 m. Iš tiesų buvo „Pažangaus namo“ nesaugumo metai, nes daugeliui prietaisų buvo nustatyta akivaizdžiai akivaizdi saugumo spraga.
Mano mėgstamiausias buvo „iKettle“ Kodėl „iKettle Hack“ turėtų jus jaudinti (net jei jų neturite)„IKettle“ yra virdulys, įgalinantis „Wi-Fi“ ryšį, kuris, matyt, atsirado su didžiuliu, atotrūkiu saugumo trūkumu, galinčiu išpūsti visus „WiFi“ tinklus. Skaityti daugiau (atspėjote: virdulį, kuriame įjungtas „Wi-Fi“ ryšys), kurį užpuolikas galėjo įtikinti atskleisti savo namų tinklo „Wi-Fi“ informaciją (paprastuoju tekstu, ne mažiau).
Kad ataka būtų veiksminga, pirmiausia turėjote sukurti apgaulingą belaidį tinklą, turintį tą patį SSID (tinklo pavadinimą) kaip tą, prie kurio prijungtas „iKettle“. Tada prisijungę prie jo naudodamiesi UNIX naudingąja „Telnet“ ir perėję kelis meniu, galite pamatyti tinklo vartotojo vardą ir slaptažodį.
Tada buvo „Samsung“ „Wi-Fi“ ryšiu prijungtas išmanusis šaldytuvas „Samsung“ išmanusis šaldytuvas tiesiog įsibėgėjo. O kaip su likusiais jūsų protingais namais?„Samsung“ išmaniojo šaldytuvo pažeidžiamumą atrado JK įsikūrusi „infosec“ įmonė „Pen Test Parters“. „Samsung“ įdiegė SSL šifravimą netikrina sertifikatų galiojimo. Skaityti daugiau , kuris nepatvirtino SSL sertifikatų ir leido užpuolikams galimai perimti „Gmail“ prisijungimo kredencialus.
Kadangi „Smart Home“ technologijos taps vis labiau integruotos ir tai darys, galite tikėtis išgirsti daugiau istorijų šie įrenginiai turi ypatingą saugumo spragų ir tampa tam tikrų aukšto lygio piratų auka.
Vyriausybės vis dar to negauna
Viena pasikartojanti tema, kurią matėme per pastaruosius kelerius metus, yra tai, kaip visi vyriausybės visiškai pamiršta saugumo klausimus.
Kai kuriuos iš labiausiai baisių neraštingumo pavyzdžių galima rasti JK, kur vyriausybė ne kartą ir nuosekliai parodė, kad jie tiesiog negauk to.
Viena blogiausių idėjų, kurios skleidžiasi parlamente, yra idėja, kad šifravimas naudojamas pranešimų paslaugų paslaugoms (tokioms kaip „Whatsapp“ ir „iMessage“) turėtų susilpnėti, todėl saugos tarnybos gali juos perimti ir iššifruoti. Kaip „Twitter“ aiškiai pastebėjo mano kolega Justinas Potas, tai yra, pavyzdžiui, visų seifų gabenimas pagrindiniu kodiniu kodu.
Įsivaizduokite, jei vyriausybė teigė, kad kiekvienas seifas turėtų turėti standartinį antrąjį kodą, jei policininkai norėtų. Šiuo metu vyksta diskusijos dėl šifravimo.
- Justinas Potas (@jhpot) 2015 m. Gruodžio 9 d
Tai blogėja. 2015 m. Gruodžio mėn. Nacionalinė nusikaltimų agentūra (JK atsakymas FTB) išleido keletą patarimų tėvams Ar jūsų vaikas yra hakeras? Britanijos valdžia galvoja taipNCA, Britanijos FTB, pradėjo kampaniją, skirtą jauniems žmonėms atgrasyti nuo kompiuterinių nusikaltimų. Tačiau jų patarimai yra tokie platūs, kad jūs galite manyti, kad visi, skaitantys šį straipsnį, yra įsilaužėliai - net jūs. Skaityti daugiau todėl jie gali pasakyti, kada jų vaikai eina link užkietėjusių elektroninių nusikaltėlių.
Šios raudonos vėliavos, pasak NCA, apima „Ar jie suinteresuoti kodavimu?“ ir „Ar jie nelinkę kalbėti apie tai, ką jie daro internete?“.
Šis patarimas, akivaizdu, yra šiukšlės ir buvo plačiai pasityčiojamas iš ne tik „MakeUseOf“, bet ir iš kitų pagrindinių technologijos leidiniųir infosec bendruomenė.
@NCA_UK išvardija susidomėjimą kodavimu kaip įspėjamąjį elektroninių nusikaltimų ženklą! Gana stulbinantis. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz
- Davidas G Smithas (@ anksto) 2015 m. Gruodžio 9 d
Taigi susidomėjimas kodavimu dabar yra „įspėjamasis elektroninių nusikaltimų ženklas“. NCA iš esmės yra 1990 m. Mokyklų IT skyrius. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 2015 m. Gruodžio 10 d
Vaikai, kuriuos domino kodavimas, užaugo inžinieriais, kurie kūrė #Twitter, #Facebook ir #NCA svetainė (be kita ko)
- „AdamJ“ (@IAmAdamJ) 2015 m. Gruodžio 9 d
Bet tai rodė nerimą keliančią tendenciją. Vyriausybės negauna saugumo. Jie nežino, kaip bendrauti apie grėsmes saugumui, ir nesupranta pagrindinių technologijų, leidžiančių veikti internetui. Man tai daug svarbiau nei bet koks įsilaužėlis ar kibernetinis teroristas.
Kartais jūs Turėtų Derėtis su teroristais
Neabejotinai didžiausia 2015 metų saugumo istorija buvo Ashley Madison hack Ashley Madison nutekėjimas Nėra didelio sandorio? Pagalvok dar kartąDiskretiška internetinių pažinčių svetainė Ashley Madison (skirta pirmiausia sutuoktiniams apgauti) buvo nulaužta. Tačiau tai yra daug rimtesnė problema, nei buvo aprašyta spaudoje, turinti didelę įtaką vartotojų saugai. Skaityti daugiau . Jei pamiršite, leiskite man susigrąžinti.
2003 m. Įkurta Ashley Madison buvo pažinčių svetainė. Tai leido susituokusiems žmonėms bendrauti su žmonėmis, kurie iš tikrųjų nebuvo jų sutuoktiniai. Jų šūkis viską pasakė. "Gyvenimas yra trumpas. Turėkite romaną. “
Bet šiurkšti, kad tai buvo sėkmė. Per šiek tiek daugiau nei dešimt metų Ashley Madison buvo sukaupusi beveik 37 milijonus registruotų sąskaitų. Nors savaime suprantama, kad ne visi jie buvo aktyvūs. Didžioji dauguma neveikė.
Anksčiau šiais metais paaiškėjo, kad Ashley Madison nebuvo viskas gerai. Paslaptinga įsilaužėlių grupė, vadinama „The Impact Team“, paskelbė pareiškimą, kuriame teigė, kad jiems pavyko gauti svetainės duomenų bazę ir didelę talpyklą vidinių el. Laiškų. Jie grasino ją išlaisvinti, nebent Ashley Madison būtų uždarytas kartu su seserimi įsteigtoje svetainėje „Established Men“.
„Avid Life Media“, kurie yra Ashley Madison ir „Established Men“ savininkai ir operatoriai, išleido pranešimą spaudai, kuris sumenkino išpuolį. Jie pabrėžė, kad jie bendradarbiauja su teisėsauga siekdami išsiaiškinti nusikaltėlius ir „sugebėjo apsaugoti mūsų svetaines ir uždaryti neteisėtas prieigos vietas“.
„Avid Life Media Inc“ pranešimas: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 2015 m. Liepos 20 d
18 dtūkst rugpjūčio mėn., „Impact Team“ išleido visą duomenų bazę.
Tai buvo neįtikėtinai greitas ir neproporcingas interneto teisingumo demonstravimas. Nesvarbu, kaip jaučiatės apgaudinėdami (aš to asmeniškai nekenčiu), kažkas jautėsi visiškai neteisus apie tai. Šeimos buvo suplėšytos. Karjera buvo akimirksniu ir labai viešai sužlugdyta. Kai kurie oportunistai net abonentams siuntė turto prievartavimo laiškus elektroniniu paštu ir paštu, melždami juos iš tūkstančių. Kai kurie galvojo, kad jų situacijos yra tokios beviltiškos, kad patys turi paimti gyvenimą. Buvo blogai. 3 priežastys, kodėl Ashley Madison Hack yra rimta problemaInternetas atrodo ekstazis apie Ashley Madisono įsilaužimą, turintį milijonus neištikimybių ir potencialą svetimautojų informacija nulaužta ir išleista internete, o duomenyse rasta straipsnių, kuriuose nurodomi asmenys sąvartynas. Linksmas, tiesa? Ne taip greitai. Skaityti daugiau
Įsilaužimas taip pat atkreipė dėmesį į vidinį Ashley Madisono darbą.
Jie atrado, kad iš 1,5 milijono moterų, kurios buvo užregistruotos svetainėje, buvo tik apie 10 000 tikrieji tikri žmonės. Likusieji buvo robotai ir netikros sąskaitos, kurias sukūrė Ashley Madison darbuotojai. Tai buvo žiauri ironija, kad dauguma pasirašiusių žmonių turbūt niekada per ją nesutiko. Tai buvo, naudojant šiek tiek šnekamąją frazę, „dešros šventė“.
gėdingiausia tavo vardo dalis, nutekėjusi iš Ashley Madisono hacko, yra flirtas su robotu. už pinigus.
- žodinis erdvus (@VerbalSpacey) 2015 m. Rugpjūčio 29 d
Čia viskas nesustojo. Už 17 USD vartotojai galėjo pašalinti savo informaciją iš svetainės. Jų viešieji profiliai bus ištrinti, o jų sąskaitos bus pašalintos iš duomenų bazės. Tuo pasinaudojo žmonės, kurie pasirašė ir vėliau dėl to gailisi.
Tačiau nuotėkis parodė, kad Ashley Maddison to nepadarė iš tikrųjų pašalinti paskyras iš duomenų bazės. Jie buvo tiesiog paslėpti nuo viešojo interneto. Kai buvo nutekinta jų vartotojų duomenų bazė, tokios buvo ir šios sąskaitos.
„BoingBoing“ dienomis Ashley Madison sąvartyne yra informacija apie žmones, kurie sumokėjo AM už jų sąskaitų ištrynimą.
- Denise Balkissoon (@balkissoon) 2015 m. Rugpjūčio 19 d
Galbūt pamoka, kurios galime išmokti iš Ashley Madison saga, yra ta kartais verta sutikti su įsilaužėlių reikalavimais.
Būkime atviri. „Avid Life Media“ žinojo, kas buvo jų serveriuose. Jie žinojo, kas būtų nutikę, jei tai būtų nutekėjusi. Jie turėjo padaryti viską, kas įmanoma, kad būtų išvengta nutekėjimo. Jei tai reiškė kelių internetinių ypatybių išjungimą, tebūnie.
Būkime bukas. Žmonės mirė, nes „Avid Life Media“ užėmė poziciją. O už ką?
Mažesniu mastu galima teigti, kad dažnai geriau patenkinti įsilaužėlių ir kenkėjiškų programų kūrėjų reikalavimus. „Ransomware“ yra puikus to pavyzdys Neapsaukite sukčių: „Ransomware“ ir kitų grėsmių vadovas Skaityti daugiau . Kai kas nors yra užkrėstas ir jo failai užšifruoti, aukų prašoma „išpirkos“, kad jie galėtų iššifruoti. Paprastai tai neviršija 200 USD. Sumokėję šie failai paprastai grąžinami. Kad „ransomware“ verslo modelis veiktų, aukos turi tikėtis, kad galės susigrąžinti savo failus.
Manau, einant į priekį, daugelis kompanijų, atsidūrusių „Avid Life Media“ pozicijoje, abejoja, ar geriausia imtis nesąžiningos pozicijos.
Kitos pamokos
2015 metai buvo keistai. Aš taip pat nekalbu tik apie Ashley Madison.
„VTech Hack“ „VTech Gets Hacked“, „Apple“ nekenčia ausinių lizdų... [Techninių žinių santrauka]Piratai atskleidžia „VTech“ vartotojus, „Apple“ mano, kad reikia išimti ausinių lizdą, kalėdinės lemputės gali sulėtinti jūsų „Wi-Fi“ ryšį, „Snapchat“ patenka į lovą su (RED) ir prisimindamas „The Star Wars Holiday Special“. Skaityti daugiau buvo žaidimų keitiklis. Šis Honkonge įsikūręs vaikų žaislų gamintojas pasiūlė užrakinamą planšetinį kompiuterį su vaikams pritaikyta programėlių parduotuvė ir galimybę tėvams jį valdyti nuotoliniu būdu. Anksčiau šiais metais jis buvo nulaužtas, nes nutekėjo daugiau nei 700 000 vaikų profilių. Tai parodė, kad amžius nėra kliūtis tapti duomenų pažeidimo auka.
Tai taip pat buvo įdomūs operacinės sistemos saugumo metai. Nors buvo keliami klausimai apie bendras GNU / Linux saugumas Ar „Linux“ tapo savo sėkmės auka?Kodėl „Linux Foundation“ vadovas Jimas Zemlinas neseniai pareiškė, kad „Linux aukso amžius“ gali greitai pasibaigti? Ar nepavyko misijos „skatinti, apsaugoti ir tobulinti„ Linux “? Skaityti daugiau , „Windows 10“ davė didelius pažadus būti saugiausia „Windows“ 7 būdai „Windows 10“ yra saugesnė nei „Windows XP“Net jei jums nepatinka „Windows 10“, iš tikrųjų turėtumėte jau perkelti iš „Windows XP“. Mes parodysime, kaip 13 metų senumo operacinė sistema yra užpildyta saugumo problemomis. Skaityti daugiau . Šiais metais buvome priversti abejoti posakiu, kad „Windows“ iš prigimties yra mažiau saugi.
Pakanka pasakyti, kad 2016-ieji bus įdomūs metai.
Kokių saugumo pamokų išmokote 2015 m. Ar turite kokių saugumo pamokų, kurias galėtumėte pridėti? Palikite juos komentaruose žemiau.
Matthew Hughes yra programinės įrangos kūrėjas ir rašytojas iš Liverpulio, Anglijos. Jis retai randamas be stiprios juodos kavos puodelio rankoje ir absoliučiai dievina savo „Macbook Pro“ ir fotoaparatą. Jo dienoraštį galite perskaityti http://www.matthewhughes.co.uk ir sekite jį „Twitter“ adresu @matthewhughes.