Forside Sikkerhed Hvad vi kan lære af 2015's online sikkerheds- og privatlivsudfordringer

Hvad vi kan lære af 2015's online sikkerheds- og privatlivsudfordringer

  • Lesley Fowler
  • 0
  • 2244
  • 510
Reklame

Lad os tage et øjeblik til at reflektere over sikkerhedsundervisningen, vi lærte i 2015. Fra Ashley Madison, Ashley Madison Leak No Big Deal? Tænk igen Ashley Madison lækker ikke nogen big deal? Tænk igen Diskret online datingside Ashley Madison (primært målrettet mod snyder ægtefæller) er blevet hacket. Dette er dog et langt mere alvorligt emne, end der er beskrevet i pressen, med betydelige konsekvenser for brugernes sikkerhed. , til hacket kedler 7 grunde til, at tingenes internet skal skræmme dig 7 grunde til, at tingenes internet skal skræmme dig De potentielle fordele ved tingenes internet vokser lyse, mens farerne kastes i de stille skygger. Det er tid til at henlede opmærksomheden på disse farer med syv skræmmende løfter fra IoT. , og tvivlsomme sikkerhedsrådgivning fra regeringen, er der meget at tale om.

Smarte hjem er stadig et sikkerheds mareridt

I 2015 oplevede et travlt med mennesker, der opgraderede deres eksisterende analoge husholdningsartikler med computerstyrede, internetforbundne alternativer. Smart hjem-teknologi virkelig startede i år på en måde, der ser ud til at fortsætte ind i det nye år. Men på samme tid blev det også hamret hjem (undskyld), at nogle af disse enheder er ikke så sikre.

Den største sikkerhedshistorie for Smart Home var måske, at opdagelsen af, at nogle enheder sendes med duplikate (og ofte hårdkodede) krypteringscertifikater og private nøgler. Det var heller ikke kun Internet of Things-produkter. Routere udstedt af større internetudbydere har vist sig at have begået denne mest kardinal af sikkerheds synder.

Så hvorfor er det et problem?

I det væsentlige gør dette det trivielt for en angriber at spionere på disse enheder gennem et "mand-i-midten" -angreb Hvad er en mand-i-midten-angreb? Sikkerheds jargon forklaret Hvad er et menneske i midten angreb? Sikkerheds jargon forklaret Hvis du har hørt om "mand-i-midten" -angreb, men ikke er helt sikker på, hvad det betyder, er dette artiklen for dig. , aflytning af trafik, mens den samtidig forbliver uopdaget af offeret. Dette vedrører, i betragtning af at Smart Home-teknologi i stigende grad bruges i utroligt følsomme sammenhænge, ​​såsom personlig sikkerhed, husholdningssikkerhed Nest Protect Review og Giveaway Nest Protect Review og Giveaway, og inden for sundhedsydelser.

Hvis dette lyder velkendt, skyldes det, at en række større computerproducenter er blevet fanget og gør en meget lignende ting. I november 2015 viste det sig, at Dell leverer computere med et identisk rodcertifikat kaldet eDellRoot Dells seneste bærbare computere er inficeret med eDellRoot Dells seneste bærbare computere er inficeret med eDellRoot Dell, verdens tredjestørste computerproducent, er blevet fanget med levering af useriøse rodcertifikater på alle nye computere - ligesom Lenovo gjorde med Superfish. Sådan gør du din nye Dell PC sikker. , mens i slutningen af ​​2014 begyndte Lenovo med forsæt at bryde SSL-forbindelser. Lenovo bærbare pc-ejere Pas på: Din enhed kan have forudinstalleret Malware. Lenovo bærbare ejere Pas på: Din enhed kan have forudinstalleret Malware. Den kinesiske computerproducent Lenovo har indrømmet, at bærbare computere blev sendt til butikker og forbrugere sent I 2014 var malware forudinstalleret. for at injicere annoncer på krypterede websider.

Det stoppede ikke der. 2015 var faktisk året med Smart Home-usikkerhed, hvor mange enheder blev identificeret som kommer med en uanstændig åbenlys sikkerhedssårbarhed.

Min favorit var iKettle Hvorfor iKettle Hack skulle bekymre dig (selv hvis du ikke ejer en) Hvorfor iKettle Hack skulle bekymre dig (selvom du ikke ejer en) IKettle er en wifi-aktiveret kedel, der tilsyneladende fulgte med en massiv, gabende sikkerhedsfejl, der havde potentialet til at sprænge åbne WiFi-netværk. (du gætte på det: En Wi-Fi-aktiveret kedel), som en angriber kunne overbevise om at afsløre Wi-Fi-detaljerne (i klartekst, ikke mindre) på sit hjemmenetværk.

For at angrebet skulle virke, var du først nødt til at oprette et forfalsket trådløst netværk, der deler den samme SSID (navnet på netværket) som det, der har iKettle knyttet til. Derefter ved at oprette forbindelse til det via UNIX-værktøjet Telnet og gennemgå et par menuer, kan du se netværkets brugernavn og adgangskode.

Så var der Samsungs Wi-Fi-tilsluttede Smart Køleskab Samsungs Smart Køleskab Just Got Pwned. Hvad med resten af ​​dit smarte hjem? Samsungs Smart Køleskab er lige blevet fyret. Hvad med resten af ​​dit smarte hjem? En sårbarhed med Samsungs smart køleskab blev opdaget af UK-baserede infosec-firma Pen Test Parters. Samsungs implementering af SSL-kryptering kontrollerer ikke gyldigheden af ​​certifikaterne. , som ikke validerede SSL-certifikater og gjorde det muligt for angribere potentielt at aflytte Gmail-loginoplysninger.

Efterhånden som Smart Home-teknologien bliver mere og mere mainstream, og det vil det, kan du forvente at høre om flere historier om disse enheder, der kommer med kritiske sikkerhedssårbarheder, og som bliver offer for nogle høje profilerede hacks.

Regeringer får det stadig ikke

Et tilbagevendende tema, vi har set i de sidste par år, er, hvor de fleste regeringer er helt glemme, når det gælder sikkerhedsspørgsmål.

Nogle af de mest uhyggelige eksempler på infosec analfabetisme kan findes i Storbritannien, hvor regeringen gentagne gange og konsekvent har vist, at de bare ikke forstå det.

En af de værste ideer, der flyttes i parlamentet, er tanken om, at den kryptering, der bruges af messaging-tjenester (som Whatsapp og iMessage), skal svækkes, så sikkerhedstjenesterne kan aflytte og afkode dem. Som min kollega Justin Pot forsigtigt påpegede på Twitter, er det som at sende alle pengeskabe med en hovednøglekode.

Forestil dig, hvis regeringen sagde, at enhver pengeskab skulle have en standard anden kode, i tilfælde af, at politiet vil have det. Det er krypteringsdebatten lige nu.

- Justin Pot (@jhpot) 9. december 2015

Det bliver værre. I december 2015 gav National Crime Agency (Det Forenede Kongeriges svar til FBI) ​​nogle råd til forældre Er dit barn en hacker? De britiske myndigheder mener så, er dit barn en hacker? De britiske myndigheder mener så NCA, Storbritanniens FBI, har lanceret en kampagne for at afskrække unge mennesker fra computerkriminalitet. Men deres råd er så bredt, at du kan antage, at enhver, der læser denne artikel, er en hacker - også dig. så de kan fortælle, hvornår deres børn er på vej til at blive hærdede cyberkriminelle.

Disse røde flag inkluderer ifølge NCA “er de interesseret i kodning?” og “er de tilbageholdende med at tale om, hvad de gør online?”.

Dette råd er åbenbart affald og blev vidt spottet, ikke kun af MakeUseOf, men også af andre store teknologipublikationer og infosec-samfundet.

@NCA_UK viser en interesse i kodning som et advarselsskilt for cyberkriminalitet! Temmelig forbløffende. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz

- David G Smith (@aforethought) 9. december 2015

Så en interesse i kodning er nu et "advarselstegn for cyberkriminalitet". NCA er dybest set en IT-afdeling fra 1990'erne. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10. december 2015

Børn, der var 'interesseret i kodning' voksede op til at være ingeniører, der oprettede #Twitter, #Facebook og #NCA-webstedet (blandt andre)

- AdamJ (@IAmAdamJ) 9. december 2015

Men det tegnede på en urolig tendens. Regeringer får ikke sikkerhed. De ved ikke, hvordan de skal kommunikere om sikkerhedstrusler, og de forstår ikke de grundlæggende teknologier, der får Internettet til at fungere. For mig er det meget mere relevant end nogen hacker eller cyber-terrorist.

Nogle gange dig Skulle gerne Forhandle med terrorister

Den største sikkerhedshistorie i 2015 var utvivlsomt Ashley Madison-hacket Ashley Madison Leak No Big Deal? Tænk igen Ashley Madison lækker ikke nogen big deal? Tænk igen Diskret online datingside Ashley Madison (primært målrettet mod snyder ægtefæller) er blevet hacket. Dette er dog et langt mere alvorligt emne, end der er beskrevet i pressen, med betydelige konsekvenser for brugernes sikkerhed. . I tilfælde af at du har glemt det, så lad mig sammenfatte.

Ashley Madison blev lanceret i 2003 og var en datingside med en forskel. Det gjorde det muligt for gifte mennesker at tilslutte sig folk, der faktisk ikke var deres ægtefæller. Deres slogan sagde det hele. “Livet er kort. Hav en affære.”

Men grov, som det er, det var en løbsk succes. På lidt over ti år havde Ashley Madison akkumuleret næsten 37 millioner registrerede konti. Selvom det siger sig selv, at ikke alle af dem var aktive. Langt de fleste var sovende.

Tidligere i år viste det sig, at alt ikke var godt med Ashley Madison. En mystisk hackinggruppe ved navn The Impact Team udsendte en erklæring, hvori de hævdede, at de havde været i stand til at hente webstedets database, plus en betydelig cache af interne e-mails. De truede med at frigive den, medmindre Ashley Madison blev lukket sammen med dets søsterwebsted Established Men.

Avid Life Media, der er ejere og operatører af Ashley Madison og Established Men, udsendte en pressemeddelelse, der bagatelliserede angrebet. De understregede, at de arbejdede med retshåndhævelse for at spore gerningsmændene og var “i stand til at sikre vores sider og lukke de uautoriserede adgangspunkter”.

Erklæring fra Avid Life Media Inc .: http://t.co/sSoLWvrLoQ

- Ashley Madison (@ashleymadison) 20. juli 2015

Den 18th i august frigav Impact Team den fulde database.

Det var en utrolig demonstration af hurtig og uforholdsmæssig karakter af internetretfærdighed. Ligegyldigt hvordan du har det med at snyde (jeg hader det, personligt), følte der noget helt forkert om det. Familier blev revet i stykker. Karrierer blev øjeblikkeligt og meget offentligt ødelagt. Nogle opportunister sendte endda abonnenter afpresning e-mails, via e-mail og med posten, hvor de malkedes ud af tusinder. Nogle mente, at deres situationer var så håbløse, at de måtte tage deres eget liv. Det var dårligt. 3 grunde til, at Ashley Madison Hack er en alvorlig affære 3 grunde til, at Ashley Madison hack er en alvorlig affære Internettet virker ekstatisk over Ashley Madison-hacket, med millioner af forfalderes og potentielle forfalskningsoplysninger hacket og frigivet online, med artikler om udflugt personer, der findes i datadumpen. Sjove, ikke? Ikke så hurtigt.

Hacket skinnede også et lys i Ashley Madisons indre arbejde.

De opdagede, at af de 1,5 millioner kvinder, der var registreret på webstedet, kun omkring 10.000 var faktiske ægte mennesker. Resten var robotter og falske konti oprettet af personalet i Ashley Madison. Det var en grusom ironi, at de fleste mennesker, der tilmeldte sig, sandsynligvis aldrig mødte nogen gennem det. Det var, for at bruge en lidt kollokvial sætning, en 'pølsefest'.

Den mest pinlige del af dit navn, der lækkes fra Ashley Madison-hacket, er at du flirte med en bot. for penge.

- verbal spacey (@VerbalSpacey) 29. august 2015

Det stoppede ikke der. For $ 17 kunne brugerne fjerne deres oplysninger fra webstedet. Deres offentlige profiler vil blive slettet, og deres konti blev renset fra databasen. Dette blev brugt af folk, der tilmeldte sig og senere beklagede det.

Men lækagen viste, at Ashley Maddison ikke gjorde det rent faktisk fjerne konti fra databasen. I stedet var de blot skjult for det offentlige internet. Da deres brugerdatabase blev lækket, blev disse konti også.

BoingBoing dage Ashley Madison dump inkluderer oplysninger om mennesker, der betalte AM for at slette deres konti.

- Denise Balkissoon (@balkissoon) 19. august 2015

Måske er lektionen, vi kan lære af Ashley Madison-sagaen, den nogle gange er det værd at acceptere kravene fra hackere.

Lad os være ærlige. Avid Life Media vidste, hvad der var på deres servere. De vidste, hvad der ville være sket, hvis det var lækket. De burde have gjort alt, hvad de kunne, for at forhindre, at det lækker. Hvis det betød at lukke et par online-egenskaber, så vær det.

Lad os være stumpe. Folk døde, fordi Avid Life Media tog et standpunkt. Og for hvad?

I mindre skala kan det hævdes, at det ofte er bedre at imødekomme krav fra hackere og malware-skabere. Ransomware er et godt eksempel på denne Don't Fall Foul af svindlere: En guide til Ransomware & andre trusler Må ikke falde for svindlere: En guide til Ransomware & andre trusler. Når nogen er inficeret, og deres filer er krypteret, bliver ofrene bedt om et 'løsepenge' for at dekryptere dem. Dette er generelt inden for rammerne af $ 200 eller deromkring. Når de er betalt tilbage, returneres disse filer normalt. For at ransomware-forretningsmodellen skal fungere, er ofrene nødt til at forvente, at de kan få deres filer tilbage.

Jeg tror, ​​fremover vil mange af de virksomheder, der befinder sig i positionen som Avid Life Media, stille spørgsmålstegn ved, om en trodselig holdning er den bedste til at tage.

Andre lektioner

2015 var et underligt år. Jeg taler heller ikke bare om Ashley Madison.

VTech-hacket VTech bliver hacket, Apple hader hovedtelefonstik ... [Tech News Digest] VTech bliver hacket, Apple hader hovedtelefonstik ... [Tech News Digest] Hackere udsætter VTech-brugere, Apple overvejer at fjerne hovedtelefonstik, julelys kan bremse din Wi -Fi, Snapchat går i seng med (RED) og husker The Star Wars Holiday Special. var et spil skifter. Denne Hong Kong-baserede producent af børne legetøj tilbød en låst tabletcomputer med en børnevenlig app-butik og evnen til at forældre kan kontrollere det fjernt. Tidligere i år blev det hacket, med over 700.000 børneprofiler lækket. Dette viste, at alder ikke er nogen barriere for at blive offer for et dataovertrædelse.

Det var også et interessant år for operativsystemets sikkerhed. Mens der blev rejst spørgsmål om den samlede sikkerhed af GNU / Linux Har Linux været et offer for dens egen succes? Har Linux været et offer for sin egen succes? Hvorfor sagde Linux Foundation-leder, Jim Zemlin, for nylig, at "Linux 'gyldne tidsalder snart kunne komme til ende? Er missionen om at "fremme, beskytte og fremme Linux" mislykket? , Windows 10 gav store løfter om at være det mest sikre Windows nogensinde 7 måder Windows 10 er mere sikkert end Windows XP 7 måder Windows 10 er mere sikkert end Windows XP Selvom du ikke kan lide Windows 10, skulle du virkelig have migreret fra Windows XP nu. Vi viser dig, hvordan det 13 år gamle operativsystem nu er fyldt med sikkerhedsproblemer. . I år blev vi tvunget til at stille spørgsmålstegn ved ordet om, at Windows i sagens natur er mindre sikkert.

Det er tilstrækkeligt at sige, 2016 bliver et interessant år.

Hvilke sikkerhedslektioner lærte du i 2015? Har du sikkerhedslektioner at tilføje? Efterlad dem i kommentarerne nedenfor.




Endnu ingen kommentarer

8 iPhone-kameraindstillinger, du skal mestre for at tage bedre fotos
iPhone og iPad
Sådan downloades YouTube-videoer på iPhone
iPhone og iPad
De 5 bedste filhåndteringsapps til iPhones og iPads
iPhone og iPad
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.