Owen Little
0 
4424
917
Když se blížíme k propasti roku 2016, věnujme chvilku úvahám o bezpečnostních lekcích, které jsme se naučili v roce 2015. Od Ashley Madison Ashley Madison Leak Žádný velký obchod? Ještě jednou přemýšlejte Ashley Madison Leak? Think Again Diskrétní online seznamka Ashley Madison (zaměřená především na podvádění manželů) byla hackována. Jedná se však o mnohem závažnější problém, než jaký byl vylíčen v tisku, se značnými důsledky pro bezpečnost uživatelů. , pro hackované kotle 7 důvodů, proč by vás měl vyděsit internet věcí 7 důvodů, proč by vás měl vyděsit internet věcí Potenciální výhody internetu věcí rostou, zatímco nebezpečí se vrhají do tichých stínů. Je na čase upozornit na tato nebezpečí sedmi děsivými sliby IoT. a podivné bezpečnostní rady od vlády, o kterých je třeba mluvit.
Inteligentní domy jsou stále noční můrou
V roce 2015 došlo ke spěchu lidí, kteří upgradovali své stávající analogové domácí potřeby pomocí počítačových alternativ připojených k internetu. Smart Home tech opravdu letos odstartoval způsobem, který vypadá, že bude pokračovat do nového roku. Zároveň však bylo také tepáno domů (omlouvám se), že některá z těchto zařízení nejsou tak bezpečné.
Největším bezpečnostním příběhem Smart Home bylo snad to, že objev, že některá zařízení odesílala s duplicitními (a často pevně zakódovanými) šifrovacími certifikáty a soukromými klíči. Nebyl to jen produkt internetu věcí. Bylo zjištěno, že směrovače vydané hlavními poskytovateli internetových služeb se dopustily tohoto nejvíce kardinálu bezpečnostních hříchů.
Proč je to problém?
V zásadě je proto triviální, aby útočník špehoval tato zařízení prostřednictvím útoku „člověk uprostřed“ Co je to útok člověka? Bezpečnostní žargon vysvětlil, co je to útok člověka uprostřed? Bezpečnostní žargon vysvětlil Pokud jste slyšeli o útokech typu „člověk uprostřed“, ale nejste si jisti, co to znamená, jedná se o článek pro vás. , zastavit provoz a zároveň zůstat obětí nezjištěno. To se týká, vzhledem k tomu, že technologie Smart Home se stále častěji používá v neuvěřitelně citlivých kontextech, jako je osobní bezpečnost, bezpečnost domácnosti, Nest Protect Review a prozradí Nest Protect Review and Giveaway a ve zdravotnictví.
Pokud to zní dobře, je to proto, že mnoho hlavních výrobců počítačů bylo chyceno dělat velmi podobnou věc. V listopadu 2015 bylo zjištěno, že společnost Dell dodává počítače s identickým kořenovým certifikátem s názvem eDellRoot Infikované nejnovější notebooky společnosti Dell Infikovány nejnovějšími notebooky společnosti Dell Infikovány nejnovějšími notebooky Dell S eDellRoot Společnost Dell byla třetím největším výrobcem počítačů na světě zachycena zásilka nepoctivých kořenových certifikátů na všechny nové počítače - stejně jako Lenovo se Superfishem. Zde je návod, jak zabezpečit nový počítač Dell. , zatímco na konci roku 2014 byla společnost Lenovo záměrně přerušena připojení SSL Majitelé notebooků Lenovo Pozor: Vaše zařízení může mít předinstalovaný Malware Majitelé notebooků Lenovo Pozor: vaše zařízení může mít předinstalovaný Malware Čínský výrobce počítačů Lenovo připustil, že notebooky dodávané do obchodů a spotřebitelů pozdě V roce 2014 byl předinstalován malware. za účelem vložení reklam na zašifrované webové stránky.
Tam se to nezastavilo. Rok 2015 byl ve skutečnosti rokem nejistoty inteligentního domu. Mnoho zařízení bylo označeno jako zařízení přicházející s nejasnou bezpečnostní chybou.
Můj oblíbený byl iKettle, proč by se iKettle Hack měl bát (i když nevlastníte), proč by se iKettle Hack měl bát vás (i když nevlastníte). IKettle je WiFi konvice, která zřejmě přišla s masivní, zející bezpečnostní chyba, která měla potenciál vyhodit otevřené WiFi sítě. (uhodli jste to: rychlovarná konvice s podporou Wi-Fi), kterou by mohl útočník přesvědčit, aby odhalil podrobnosti Wi-Fi (v čistém textu, neméně) své domácí sítě.
Aby útok fungoval, musíte nejprve vytvořit spoofed bezdrátovou síť, která sdílí stejný SSID (název sítě) jako ten, ke kterému je připojen iKettle. Poté, co se k němu připojíte pomocí obslužného programu UNIX Telnet a přejdete několika nabídkami, uvidíte síťové uživatelské jméno a heslo.
Pak byla připojena inteligentní lednička Samsung s technologií Wi-Fi Inteligentní lednička Samsung právě dostala Pwned. A co zbytek vašeho inteligentního domova? Inteligentní lednička Samsung právě dostala Pwned. A co zbytek vašeho inteligentního domova? Zranitelnost s inteligentní lednicí Samsung byla objevena britskou infosec firmou Pen Test Parters. Implementace šifrování SSL společností Samsung nekontroluje platnost certifikátů. , kterým se nepodařilo ověřit certifikáty SSL, a umožnilo útočníkům potenciálně zachytit přihlašovací údaje Gmailu.
S tím, jak se technologie Smart Home stává stále více mainstreamovou a bude, můžete očekávat, že uslyšíte více příběhů o těchto zařízeních přicházejících s kritickými bezpečnostními zranitelnostmi a stanete se obětí některých vysoce profilovaných hacků.
Vlády to stále nechápou
Jedním z opakujících se témat, které jsme v posledních několika letech viděli, je to, jak naprosto nevnímají většinu vlád, pokud jde o bezpečnostní otázky.
Některé z nejzávažnějších příkladů infosec negramotnosti lze nalézt ve Velké Británii, kde vláda opakovaně a důsledně ukázala, že oni prostě to nechápu.
Jedním z nejhorších nápadů, které se vznášejí v parlamentu, je myšlenka, že šifrování používané službami zasílání zpráv (jako je Whatsapp a iMessage) by mělo být oslabeno, aby je mohly bezpečnostní služby zachytit a dekódovat. Jak můj kolega Justin Pot důrazně poukázal na Twitteru, je to jako když posíláte všechny trezory s hlavním kódem klíče.
Představte si, že vláda uvedla, že každý trezor by měl mít standardní druhý kód, pro případ, že by to policajti chtěli. To je právě debata o šifrování.
- Justin Pot (@jhpot) 9. prosince 2015
Zhoršuje se to. V prosinci 2015 vydala Národní agentura pro trestnou činnost (odpověď Spojeného království na FBI) několik rad pro rodiče Je vaše dítě hackerem? Britské orgány si myslí, že je vaše dítě hackerem? Britské úřady si myslí, že NCA, britská agentura FBI, zahájila kampaň, která odrazuje mladé lidi od počítačové kriminality. Jejich rady jsou však tak široké, že byste mohli předpokládat, že kdokoli, kdo čte tento článek, je hacker - dokonce i vy. takže mohou říct, kdy jsou jejich děti na cestě k tomu, aby se stali zatvrzelými kybernetickými zločinci.
Tyto červené vlajky podle NCA zahrnují “mají zájem o kódování?” a “zdráhají se mluvit o tom, co dělají online?”.
Tato rada je zjevně nesmyslná a široce zesměšňovaná, a to nejen společností MakeUseOf, ale také jinými významnými technologickými publikacemi a komunitou infosec..
@NCA_UK uvádí zájem o kódování jako varovný signál proti počítačové kriminalitě! Docela ohromující. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz
- David G Smith (@aforethought) 9. prosince 2015
Zájem o kódování je nyní „varovným signálem počítačové kriminality“. NCA je v podstatě devadesátá léta školní IT oddělení. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 10. prosince 2015
Děti, které se zajímaly o kódování, vyrostly jako inženýři, kteří vytvořili #Twitter, #Facebook a #NCA web (mimo jiné)
- AdamJ (@IAmAdamJ) 9. prosince 2015
Naznačovalo to však znepokojující trend. Vlády nedostanou bezpečnost. Nevědí, jak komunikovat o bezpečnostních hrozbách a nerozumí základním technologiím, díky nimž internet funguje. Pro mě je to mnohem více znepokojivé než jakýkoli hacker nebo počítačový terorista.
Někdy Ty By měl Vyjednávejte s teroristy
Největší bezpečnostní příběh roku 2015 byl bezpochyby hacker Ashley Madison Ashley Madison Leak No Big Deal? Ještě jednou přemýšlejte Ashley Madison Leak? Think Again Diskrétní online seznamka Ashley Madison (zaměřená především na podvádění manželů) byla hackována. Jedná se však o mnohem závažnější problém, než jaký byl vylíčen v tisku, se značnými důsledky pro bezpečnost uživatelů. . V případě, že jste zapomněli, dovolte mi shrnout.
Zahájena v roce 2003, Ashley Madison byla seznamka s rozdílem. To umožňovalo ženatým lidem spojení s lidmi, kteří ve skutečnosti nebyli jejich manželé. Jejich slogan to všechno řekl. “Život je krátký. Mějte poměr.”
Ale hrubý, jak to je, byl to neúspěšný úspěch. Během pouhých deseti let nahromadila Ashley Madison téměř 37 milionů registrovaných účtů. Je samozřejmé, že ne všichni byli aktivní. Drtivá většina byla spící.
Začátkem tohoto roku se ukázalo, že s Ashley Madison nebylo všechno v pořádku. Záhadná skupina hackerů nazvaná Impact Team vydala prohlášení, v němž prohlašuje, že byla schopna získat databázi stránek, plus značnou mezipaměť interních e-mailů. Vyhrožovali, že ji propustí, pokud nebude Ashley Madison zavřena, spolu se svým sesterským místem Zřízené muže.
Avid Life Media, kteří jsou majiteli a provozovateli Ashley Madison a Founded Men, vydal tiskovou zprávu, která tento útok bagatelizovala. Zdůraznili, že spolupracují s orgány činnými v trestním řízení, aby našli pachatele, a byli “zabezpečit naše weby a zavřít neautorizované přístupové body”.
Prohlášení společnosti Avid Life Media Inc .: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 20. července 2015
Na 18tis srpna, Impact Team vydal úplnou databázi.
Byla to neuvěřitelná demonstrace pohotovosti a nepřiměřené povahy internetové spravedlnosti. Bez ohledu na to, jak se cítíte podvádění (osobně to nenávidím), něco cítil naprosto špatně o tom. Rodiny byly roztrhané. Kariéra byla okamžitě a velmi veřejně zničena. Někteří oportunisté dokonce posílali předplatitelům e-maily s vydíráním, e-mailem a poštou, přičemž je dojily z tisíců. Někteří si mysleli, že jejich situace jsou tak beznadějné, že si museli vzít svůj vlastní život. Bylo to špatné. 3 důvody, proč je hacker Ashley Madison závažnou záležitostí 3 důvody, proč je hacker Ashley Madison vážnou záležitostí Internet se zdá být nadšený hackerem Ashley Madisonovou, přičemž miliony informací o cizoložnících a potenciálních cizoložnících byly hacknuty a uvolněny online, přičemž články byly vydány jednotlivci nalezení v výpisu dat. Veselý, že? Ne tak rychle.
Hacker také zářil na vnitřní fungování Ashley Madison.
Zjistili, že z 1,5 milionu žen, které byly zaregistrovány na tomto místě, jen asi 10 000 byly skutečné skutečné lidské bytosti. Zbytek tvořili roboti a falešné účty vytvořené personálem Ashley Madison. Bylo krutou ironií, že většina lidí, kteří se zaregistrovali, pravděpodobně nikdy nikoho nesetkali. To bylo, používat mírně hovorovou frázi, 'klobása fest'.
nejtrapnější část tvého jména, která unikla z hackerky Ashley Madison, jsi flirtovala s botou. pro peníze.
- verbální vesmír (@ VerbalSpacey) 29. srpna 2015
Tam se to nezastavilo. Za 17 USD mohli uživatelé odstranit své informace z webu. Jejich veřejné profily budou vymazány a jejich účty budou vymazány z databáze. Používali to lidé, kteří se zaregistrovali a později toho litovali.
Ale únik ukázal, že Ashley Maddison ne vlastně odebrat účty z databáze. Místo toho byly pouze skryté před veřejným internetem. Když došlo k úniku jejich uživatelské databáze, byly to i tyto účty.
BoingBoing days Ashley Madison dump obsahuje informace o lidech, kteří zaplatili AM za smazání svých účtů.
- Denise Balkissoon (@balkissoon) 19. srpna 2015
Možná poučení, které se můžeme poučit z Ashley Madison ságy, je to někdy se vyplatí vyhovět požadavkům hackerů.
Buďme upřímní. Avid Life Media věděl, co je na jejich serverech. Věděli, co by se stalo, kdyby to uniklo. Měli udělat vše, co je v jejich moci, aby zabránili úniku. Pokud by to znamenalo vypnutí několika online služeb, ať už je to tak.
Buďme tupí. Lidé zemřeli, protože Avid Life Media se postavil. A za co?
V menší míře lze tvrdit, že je často lepší vyhovět požadavkům hackerů a tvůrců malwaru. Ransomware je skvělým příkladem toho, co neudělají podvodníky: Průvodce ransomwarem a dalšími hrozbami Nepadá chyby podvodníky: průvodce ransomwarem a dalšími hrozbami. Když je někdo infikován a jejich soubory jsou šifrovány, jsou oběti požádány o výkupné, aby je dešifrovaly. To je obecně v mezích 200 USD nebo tak. Po zaplacení jsou tyto soubory obvykle vráceny. Aby obchodní model ransomware fungoval, musí mít oběti určitá očekávání, že mohou získat své soubory zpět.
Myslím, že do budoucna se mnoho společností, které se ocitnou v pozici Avid Life Media, zeptá, zda je vzdorovitý postoj tím nejlepším..
Další lekce
Rok 2015 byl zvláštní rok. Nemluvím jen o Ashley Madisonové.
VTech Hack VTech dostane hacknut, Apple Hates sluchátka jacks ... [Tech News Digest] VTech dostane Hacked, Apple Hates sluchátka jacks… [Tech News Digest] Hackeři vystavit uživatelům VTech, Apple zvažuje odstranění jack pro sluchátka, vánoční světla mohou zpomalit vaše Wi -Fi, Snapchat se dostane do postele s (ČERVENOU) a vzpomíná si na Star Wars Holiday Special. byl měnič her. Tento výrobce dětských hraček v Hongkongu nabídl uzamčený tabletový počítač s obchodem s aplikacemi pro děti a schopností rodičů jej dálkově ovládat. Začátkem letošního roku byl hacknut a uniklo přes 700 000 dětských profilů. To ukázalo, že věk není překážkou pro to, aby se stal obětí narušení dat.
Byl to také zajímavý rok pro zabezpečení operačního systému. Přestože byly vzneseny otázky týkající se celkové bezpečnosti GNU / Linuxu, stal se Linux obětí vlastního úspěchu? Byl Linux obětí vlastního úspěchu? Proč vedoucí Nadace Linuxu Jim Zemlin nedávno řekl, že „zlatý věk Linuxu“ by mohl brzy skončit? Selhala mise „propagovat, chránit a rozvíjet Linux“? Windows 10 splnil velké sliby, že bude nejbezpečnějším systémem Windows 7 7 způsobů Windows 10 je bezpečnější než Windows XP 7 způsobů Windows 10 je bezpečnější než Windows XP I když se vám nelíbí systém Windows 10, měli byste skutečně přejít z Windows XP nyní. Ukážeme vám, jak je nyní třináctiletý operační systém řešen problémy se zabezpečením. . V letošním roce jsme byli nuceni pochybovat o tom, že systém Windows je ze své podstaty méně bezpečný.
Stačí říci, že rok 2016 bude zajímavým rokem.
Jaké lekce bezpečnosti jste se naučili v roce 2015? Máte nějaké bezpečnostní lekce, které můžete přidat? Nechte je v komentářích níže.