Реклама
Поскольку мы приближаемся к пропасти 2016 года, давайте уделим минуту размышлениям об уроках безопасности, которые мы извлекли в 2015 году. От Эшли Мэдисон Эшли Мэдисон: Утечка не большая сделка? Подумай еще разНебезрассудный сайт онлайн-знакомств Эшли Мэдисон (предназначенный, главным образом, для обмана супругов) был взломан Однако это гораздо более серьезная проблема, чем это было представлено в прессе, со значительными последствиями для безопасности пользователей. Прочитайте больше , чтобы взломанные чайники 7 причин, по которым интернет вещей должен вас пугатьПотенциальные преимущества Интернета вещей становятся все ярче, а опасности отбрасываются в тихую тень. Пришло время обратить внимание на эти опасности с помощью семи ужасающих обещаний IoT. Прочитайте больше и изворотливый совет по безопасности от правительства, есть о чем поговорить.
Умные дома все еще кошмар безопасности
В 2015 году поток людей обновлял существующие аналоговые предметы домашнего обихода компьютеризированными альтернативами, подключенными к Интернету. Умный Дом Технология
действительно взлетел в этом году таким образом, что, похоже, будет продолжаться в новом году. Но в то же время было также забито домой (извините), что некоторые из этих устройств не все так безопасно.Возможно, самой большой историей безопасности «Умного дома» стало то, что некоторые устройства были доставка с дубликатами (и часто жестко закодированными) сертификатами шифрования и закрытые ключи. Это был не просто продукт Интернета вещей. Маршрутизаторы, выпущенные основными провайдерами было установлено, что он совершил этот самый главный из грехов безопасности.
Итак, почему это проблема?
По сути, это делает тривиальным для злоумышленника шпионить за этими устройствами через Атака «человек посередине» Что такое атака «человек посередине»? Безопасность Жаргон объяснилЕсли вы слышали об атаках типа «человек посередине», но не совсем уверены, что это значит, эта статья для вас. Прочитайте больше перехватывает трафик, оставаясь при этом незамеченным жертвой. Это касается того, что технология «Умный дом» все чаще используется в невероятно деликатных ситуациях, таких как личная безопасность, безопасность дома Гнездо Защищает Обзор и Дешевая распродажа Прочитайте больше и в здравоохранении.
Если это звучит знакомо, то это потому, что многие крупные производители компьютеров были пойманы на том, что делают очень похожие вещи. В ноябре 2015 года Dell обнаружила, что поставляет компьютеры с идентичным корневой сертификат называется eDellRoot Последние ноутбуки Dell заражены eDellRootDell, третий по величине производитель компьютеров в мире, был пойман на том, что поставлял сертификаты мошенников на всех новых компьютерах, как это делал Lenovo с Superfish. Вот как обезопасить ваш новый ПК Dell. Прочитайте больше В то время как в конце 2014 года Lenovo начала намеренно разрывать SSL-соединения Владельцы ноутбуков Lenovo остерегаются: на вашем устройстве может быть предустановлено вредоносное ПОКитайский производитель компьютеров Lenovo признал, что на ноутбуках, поставляемых в магазины и потребителям в конце 2014 года, предустановлено вредоносное ПО. Прочитайте больше для того, чтобы внедрить рекламу в зашифрованные веб-страницы.
Это не остановилось там. 2015 год действительно был годом небезопасности Умного дома, поскольку многие устройства были идентифицированы как имеющие явно неприглядную уязвимость.
Мой любимый был iKettle Почему взломанный iKettle должен вас беспокоить (даже если у вас его нет)IKettle - это чайник с поддержкой Wi-Fi, который, по-видимому, обладает огромным, зияющим недостатком безопасности, который может взорвать целые сети WiFi. Прочитайте больше (как вы уже догадались: чайник с поддержкой Wi-Fi), который может убедить злоумышленника раскрыть детали Wi-Fi (не менее простого текста) своей домашней сети.
Чтобы атака сработала, сначала нужно было создать поддельную беспроводную сеть, которая использует тот же SSID (имя сети), что и тот, к которому подключен iKettle. Затем, подключившись к нему через утилиту Telnet UNIX и пройдя через несколько меню, вы можете увидеть имя пользователя и пароль сети.
Тогда был Умный холодильник Samsung подключен к Wi-Fi Умный холодильник Samsung только что получил Pwned. Как насчет остальной части вашего умного дома?Уязвимость в интеллектуальном холодильнике Samsung была обнаружена британской информационной компанией Pen Test Parters. Внедрение Samsung шифрования SSL не проверяет действительность сертификатов. Прочитайте больше , который не смог проверить сертификаты SSL и позволил злоумышленникам потенциально перехватить учетные данные для входа в Gmail.
По мере того, как технология «Умный дом» становится все более распространенным явлением, вы можете ожидать услышать больше историй эти устройства поставляются с критическими уязвимостями безопасности и становятся жертвами некоторых громких взломов.
Правительства все еще не понимают
Одна повторяющаяся тема, которую мы видели в последние несколько лет, заключается в том, насколько большинство правительств совершенно не замечают, когда речь заходит о вопросах безопасности.
Некоторые из наиболее вопиющих примеров неграмотности в сфере информационной безопасности можно найти в Великобритании, где правительство неоднократно и последовательно доказывало, что они просто не понимаю.
Одна из наихудших идей, которая обсуждается в парламенте, заключается в том, что шифрование используется службами обмена сообщениями (такими как Whatsapp и iMessage). должен быть ослабленпоэтому службы безопасности могут их перехватывать и декодировать. Как отметил мой коллега Джастин Пот в Твиттере, это все равно, что отправлять все сейфы с мастер-кодом.
Представьте себе, если правительство скажет, что каждый сейф должен иметь стандартный второй код, на случай, если полицейские захотят войти. Это дебаты о шифровании прямо сейчас.
- Джастин Пот (@jhpot) 9 декабря 2015 г.
Становится хуже. В декабре 2015 года Национальное агентство по борьбе с преступностью (ответ Великобритании на ФБР) выпустил несколько советов для родителей Ваш ребенок хакер? Британские власти так думаютNCA, британский ФБР, начал кампанию, чтобы удержать молодых людей от компьютерной преступности. Но их советы настолько широки, что вы можете предположить, что любой, кто читает эту статью, является хакером - даже вы. Прочитайте больше поэтому они могут определить, когда их дети становятся на пути к жестоким киберпреступникам.
Эти красные флаги, согласно NCA, включают «Они заинтересованы в кодировании?» и «Они не хотят говорить о том, что они делают в Интернете?».
Этот совет, очевидно, является мусором и был широко осмеян не только MakeUseOf, но и другими крупными технологическими публикациямии сообщество infosec.
@NCA_UK перечисляет интерес к кодированию как предупреждающий знак для киберпреступности! Довольно поразительно. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz
- Дэвид Дж. Смит (@aforethought) 9 декабря 2015 г.
Таким образом, интерес к кодированию теперь является «предупреждением о киберпреступности». NCA - это, в основном, отдел информационных технологий школы 1990-х годов. https://t.co/r8CR6ZUErn
- Грэм Коул (@elocemearg) 10 декабря 2015 г.
Дети, которые «интересовались кодированием», выросли до инженеров, которые создали #Twitter, #Facebook и #NCA веб-сайт (среди прочих)
- AdamJ (@IAmAdamJ) 9 декабря 2015 г.
Но это свидетельствует о тревожной тенденции. Правительства не получают безопасность. Они не знают, как общаться об угрозах безопасности, и они не понимают фундаментальных технологий, которые заставляют Интернет работать. Для меня это гораздо больше, чем любой хакер или кибертеррорист.
Иногда вы Должен Вести переговоры с террористами
Самая большая история безопасности 2015 года была, несомненно, Эшли Мэдисон взломать Эшли Мэдисон: Утечка не большая сделка? Подумай еще разНебезрассудный сайт онлайн-знакомств Эшли Мэдисон (предназначенный, главным образом, для обмана супругов) был взломан Однако это гораздо более серьезная проблема, чем это было представлено в прессе, со значительными последствиями для безопасности пользователей. Прочитайте больше . Если вы забыли, позвольте мне повторить.
Запущенный в 2003 году, Эшли Мэдисон был отличным сайтом знакомств. Это позволило женатым людям общаться с людьми, которые на самом деле не были их супругами. Их лозунг сказал все это. "Жизнь коротка. Иметь дело."
Но, как ни крути, это был безудержный успех. Всего за десять лет Эшли Мэдисон накопила почти 37 миллионов зарегистрированных аккаунтов. Хотя само собой разумеется, что не все из них были активными. Подавляющее большинство были в состоянии покоя.
В начале этого года стало очевидно, что с Эшли Мэдисон не все в порядке. Таинственная хакерская группа The Impact Team опубликовала заявление, в котором утверждается, что им удалось получить базу данных сайта, а также значительный кэш внутренних сообщений. Они угрожали выпустить его, если Эшли Мэдисон не будет закрыта вместе со своим родственным сайтом «Установленные люди».
Avid Life Media, которые являются владельцами и операторами Эшли Мэдисон и Установленных Людей, выпустили пресс-релиз, который преуменьшил атаку. Они подчеркнули, что работают с правоохранительными органами, чтобы выследить преступников, и «смогли защитить наши сайты и закрыть несанкционированные точки доступа».
Заявление от Avid Life Media Inc.: http://t.co/sSoLWvrLoQ
- Эшли Мэдисон (@ashleymadison) 20 июля 2015 г.
На 18го августа команда Impact выпустила полную базу данных.
Это была невероятная демонстрация стремительности и непропорциональности Интернет-правосудия. Независимо от того, как вы относитесь к измене (я ненавижу это лично), что-то чувствуется совершенно неправильно об этом. Семьи были разорваны на части. Карьера была мгновенно и очень публично разрушена. Некоторые оппортунисты даже отправляли подписчикам электронные письма с вымогательством, по электронной почте и по почте, выманивая их из тысяч. Некоторые думали, что их ситуации были настолько безнадежными, что они должны были покончить с собой. Это было плохо. 3 причины, почему Эшли Мэдисон Хак - серьезное делоИнтернет кажется восторженным по поводу взлома Эшли Мэдисон, с миллионами прелюбодеев и потенциала Детали прелюбодеев взломаны и опубликованы в Интернете, со статьями, вывешивающими людей, найденных в данных свалка. Веселый, верно? Не так быстро. Прочитайте больше
Взлом также освещал внутреннюю работу Эшли Мэдисон.
Они обнаружили, что из 1,5 миллиона женщин, зарегистрированных на сайте, только около 10000 были настоящие настоящие люди. Остальные были роботами и фальшивыми аккаунтами, созданными сотрудниками Эшли Мэдисон. Это была жестокая ирония, что большинство подписавшихся, вероятно, никогда не встречали никого через это. Это была немного разговорная фраза «праздник колбас».
самая неловкая часть вашего имени, просочившаяся от взлома Эшли Мэдисон, это то, что вы заигрывали с ботом. за деньги.
- словесное пространство (@VerbalSpacey) 29 августа 2015 г.
Это не остановилось там. За 17 долларов пользователи могут удалить свою информацию с сайта. Их публичные профили будут удалены, а их учетные записи будут удалены из базы данных. Это было использовано людьми, которые подписались, а потом пожалели об этом.
Но утечка показала, что Эшли Мэддисон не фактически удалить учетные записи из базы данных. Вместо этого они были просто скрыты от публичного Интернета. Когда произошла утечка их пользовательской базы данных, появились и эти аккаунты
BoingBoing days Эшли Мэдисон дамп включает в себя информацию людей, которые заплатили AM, чтобы удалить их учетные записи.
- Дениз Балкиссун (@balkissoon) 19 августа 2015 г.
Возможно, урок, который мы можем извлечь из саги Эшли Мэдисон, заключается в том, что иногда стоит согласиться с требованиями хакеров.
Будем честны. Avid Life Media знал, что было на их серверах. Они знали, что случилось бы, если бы это было утечка. Они должны были сделать все, что в их силах, чтобы предотвратить утечку. Если это означало закрытие нескольких онлайн-ресурсов, пусть будет так.
Давайте будем тупыми. Люди умерли, потому что Avid Life Media заняла позицию. А для чего?
В меньшем масштабе можно утверждать, что часто лучше удовлетворить требования хакеров и создателей вредоносных программ. Ransomware является отличным примером этого Не поддавайтесь мошенничеству: руководство по вымогателям и другим угрозам Прочитайте больше . Когда кто-то заражен и его файлы зашифрованы, жертвам предлагается «выкуп» для их расшифровки. Как правило, это в пределах $ 200 или около того. После оплаты эти файлы обычно возвращаются. Чтобы бизнес-модель вымогателей работала, жертвы должны иметь некоторое ожидание, что они могут получить свои файлы обратно.
Я думаю, что в будущем многие из компаний, оказавшихся в положении Avid Life Media, будут сомневаться в том, является ли вызывающая позиция лучшей.
Другие уроки
2015 был странным годом. Я говорю не только об Эшли Мэдисон.
VTech Hack Взломан VTech, Apple ненавидит разъемы для наушников... [Tech News Digest]Хакеры разоблачают пользователей VTech, Apple рассматривает возможность отсоединить разъем для наушников, рождественские огни могут замедлить работу вашего Wi-Fi, Snapchat ложится в постель с (КРАСНЫМ) и вспоминает «Праздник Звездных войн». Прочитайте больше был изменит правила игры. Этот гонконгский производитель детских игрушек предложил заблокированный планшетный компьютер, магазин приложений для детей и возможность для родителей удаленно управлять им. Ранее в этом году он был взломан, из-за утечек из 700 000 детских профилей. Это показало, что возраст не является препятствием для того, чтобы стать жертвой нарушения данных.
Это был также интересный год для безопасности операционной системы. Хотя вопросы были подняты о общая безопасность GNU / Linux Linux стал жертвой собственного успеха?Почему глава Linux Foundation Джим Землин недавно сказал, что «золотой век Linux» может скоро закончиться? Миссия «продвигать, защищать и продвигать Linux» провалилась? Прочитайте больше Windows 10 дал большие обещания быть самой безопасной Windows когда-либо 7 способов Windows 10 более безопасна, чем Windows XPДаже если вам не нравится Windows 10, вы действительно должны были перейти с Windows XP. Мы покажем вам, как 13-летняя операционная система изобилует проблемами безопасности. Прочитайте больше . В этом году нас заставили усомниться в том, что Windows по своей природе менее безопасна.
Достаточно сказать, что 2016 год будет интересным.
Какие уроки безопасности вы узнали в 2015 году? Есть ли у вас какие-либо уроки безопасности, чтобы добавить? Оставьте их в комментариях ниже.
Мэтью Хьюз - разработчик программного обеспечения и писатель из Ливерпуля, Англия. Его редко можно найти без чашки крепкого черного кофе в руке, и он абсолютно обожает свой Macbook Pro и свою камеру. Вы можете прочитать его блог на http://www.matthewhughes.co.uk и следуйте за ним в твиттере на @matthewhughes.
