O que podemos aprender a partir de 2015 de desafios de segurança e privacidade online
Como estamos perto do precipício de 2016, vamos dar um minuto para refletir sobre as lições de segurança que aprendemos em 2015. De Ashley Madison
Conteúdo
Casas inteligentes ainda são um pesadelo de segurança
2015 viu uma corrida de pessoas atualizando seus utensílios domésticos analógicos existentes com alternativas computadorizados, conectados à Internet. tecnologia de casa inteligente realmente tirou este ano de uma forma que parece destinada a continuar para o Ano Novo. Mas, ao mesmo tempo, ele também foi martelada (sorry) que alguns destes dispositivos não são todos que seguro.
A maior história segurança Home inteligente foi, talvez, que a descoberta de que alguns dispositivos foram o transporte com duplicado (e muitas vezes hard-coded) certificados de criptografia e chaves privadas. Não era apenas Internet de produtos coisas também. Routers emitidos por grandes ISPs foram encontrados para ter cometido a mais cardinal dos pecados de segurança.
Então, por que é um problema?
Essencialmente, o que torna trivial para um atacante para espionar esses dispositivos através de uma ‘-Man-in-the-middle` ataque, interceptar o tráfego enquanto ao mesmo tempo permanecendo sem ser detectado pela vítima. Isso é preocupante, dado que Smart Home tecnologia está cada vez mais sendo usado em contextos extremamente sensíveis, tais como a segurança pessoal, segurança doméstica, e em cuidados de saúde.O que é um-The-Middle Man-no ataque? Segurança jargão explicadoO que é um-The-Middle Man-no ataque? Segurança jargão explicadoconsulte Mais informação
Video: Como criar uma CONTA e mudar a GAMERTAG no XBOX LIVE no Minecraft PE 0.15! - (Pocket Edition / MCPE)
Se isso soa familiar, é porque uma série de grandes fabricantes de computadores têm sido pego fazendo uma coisa muito similar. Em novembro de 2015, Dell foi encontrado para ser o transporte de computadores com um idêntico certificado raiz chamado eDellRoot, enquanto no final de 2014, a Lenovo foi iniciada intencionalmente quebrar conexões SSL a fim de injectar anúncios em páginas criptografados.
Ele não parou por aí. 2015 foi realmente o ano de Smart Home insegurança, com muitos dispositivos identificados como vem com uma vulnerabilidade de segurança obscenamente óbvio.
Meu favorito foi o iKettle (Você adivinhou: A Wi-Fi chaleira ativado), o que poderia ser convencido por um atacante para revelar os detalhes de Wi-Fi (em texto simples, não menos) de sua rede de casa.Por que a iKettle Corte deve se preocupar Você (Mesmo se você não possui One)Por que a iKettle Corte deve se preocupar Você (Mesmo se você não possui One)O iKettle é um WiFi habilitado chaleira que aparentemente veio com uma enorme, escancarado falha de segurança que tinha o potencial para explodir redes WiFi inteiras.consulte Mais informação
Para o ataque ao trabalho, primeiro você tinha que criar uma rede sem fio falsificado que compartilha o mesmo SSID (nome da rede) como a que tem a iKettle ligado a ele. Em seguida, conectando-se a ele através do utilitário Telnet UNIX, e atravessando através de alguns menus, você pode ver o nome de usuário e senha de rede.
Em seguida, houve da Samsung Wi-Fi conectado inteligente Frigorífico, que não conseguiu validar certificados SSL, e permitiu atacantes para potencialmente interceptar Gmail credenciais de login.da Samsung Smart Frigorífico apenas obtive Pwned. Como sobre o resto do seu Smart Home?da Samsung Smart Frigorífico apenas obtive Pwned. Como sobre o resto do seu Smart Home?A vulnerabilidade com inteligente frigorífico da Samsung foi descoberto pela empresa de infosec baseada no Reino Unido Pen parters teste. implementação de criptografia SSL da Samsung não verifica a validade dos certificados.consulte Mais informação
Como Smart Home tecnologia se torna cada vez mais mainstream, e ele vai, você pode esperar para ouvir de mais histórias desses dispositivos vem com vulnerabilidades de segurança críticas, e ser vítima de alguns hacks de alto perfil.
Os governos ainda não entendo
Um tema recorrente que temos visto ao longo dos últimos anos é como totalmente alheios a maioria dos governos são quando se trata de questões de segurança.
Alguns dos exemplos mais flagrantes de analfabetismo infosec podem ser encontrados no Reino Unido, onde o governo tem repetidamente e consistentemente mostrado que eles apenas não obtê-lo.
Uma das piores idéias que está sendo flutuavam no parlamento é a ideia de que a criptografia usada por serviços de mensagens (como Whatsapp e iMessage) deve ser enfraquecida, de modo que os serviços de segurança pode interceptar e decodificar-los. Como o meu colega Justin Pot saliently apontou no Twitter, que é como o transporte todos os cofres com um código de acesso mestre.
Fica pior. Em dezembro de 2015, a Agência de Crime Nacional (resposta do Reino Unido ao FBI) emitiu alguns conselhos para os pais para que eles possam dizer quando seus filhos estão na estrada para se tornar cibercriminosos endurecidos.Seu filho é um Hacker? As autoridades britânicas penso assimSeu filho é um Hacker? As autoridades britânicas penso assimA NCA, FBI da Grã-Bretanha, lançou uma campanha para impedir os jovens de criminalidade informática. Mas seus conselhos é tão ampla que você poderia assumir qualquer um que lê este artigo é um hacker - mesmo que você.consulte Mais informação
Estas bandeiras vermelhas, de acordo com o NCA, incluem “Eles estão interessados em codificação?” e “Eles estão relutantes em falar sobre o que eles fazem online?”.
Este conselho, obviamente, é lixo e foi amplamente ridicularizado, não só por MakeUseOf, mas também por outras importantes publicações de tecnologia e da comunidade infosec.
Mas foi indicativo de uma tendência preocupante. Os governos não obter segurança. Eles não sabem como se comunicar sobre ameaças de segurança, e eles não entendem as tecnologias fundamentais que fazem a Internet funcionar. Para mim, isso é muito mais preocupante do que qualquer hacker ou ciber-terrorista.
As vezes você Devemos Negociar com terroristas
A maior história de 2015 segurança foi, sem dúvida o hack Ashley Madison. Em caso você tenha esquecido, deixe-me recapitular.Ashley Madison Leak No Big Deal? Pense de novoAshley Madison Leak No Big Deal? Pense de novoDiscreto conectados namoro local Ashley Madison (destinados principalmente a batota cônjuges) foi hackeado. No entanto, esta é uma questão muito mais grave do que foi retratado na imprensa, com implicações consideráveis para a segurança do usuário.consulte Mais informação
Video: Pr Cláudio Duarte - Manias no Casamento
Lançado em 2003, Ashley Madison era um site de namoro com uma diferença. Ele permitiu que as pessoas casadas para ligar com pessoas que não eram realmente seus cônjuges. Seu slogan dizia tudo. "A vida é curta. Ter um caso."
Mas bruta como é, foi um grande sucesso. Em pouco mais de dez anos, Ashley Madison tinha acumulado quase 37 milhões de contas registradas. Embora escusado será dizer que nem todos eles estavam ativos. A grande maioria eram dormente.
No início deste ano, tornou-se evidente que nem tudo estava bem com Ashley Madison. Um grupo de hackers misterioso chamado The Impact Team emitiu um comunicado afirmando que tinha sido capaz de obter o site banco de dados, além de um cache considerável de e-mails internos. Ameaçaram para liberá-lo, a menos que Ashley Madison foi fechada, junto com seu local de irmã Homens estabelecida.
Avid Media Life, que são os proprietários e operadores de Ashley Madison e Homens estabelecida, emitiu um comunicado de imprensa que minimizou o ataque. Eles enfatizaram que eles estavam trabalhando com as autoridades policiais para rastrear os criminosos, e foram “capazes de garantir nossos sites, e fechar os pontos de acesso não autorizadas”.
No dia 18º de agosto, Impact Team lançou o banco de dados completo.
Foi uma incrível demonstração da rapidez e carácter desproporcionado da justiça Internet. Não importa como você se sente sobre o engano (eu odeio isso, pessoalmente), algo parecia completamente errado sobre isso. As famílias foram despedaçado. Carreira foram instantaneamente e muito publicamente arruinado. Alguns oportunistas até mandou e-mails de assinantes de extorsão, através de e-mail e por correio, ordenhando-los para fora de milhares. Alguns pensaram que suas situações eram tão sem esperança, eles tiveram que tomar suas próprias vidas. Foi ruim.3 razões pelas quais o Ashley Madison Corte é um assunto sério3 razões pelas quais o Ashley Madison Corte é um assunto sérioA Internet parece entusiasmado com o Ashley Madison corte, com milhões de adúlteros e potenciais adúlteros detalhes cortado e lançado online, com artigos outing indivíduos encontrados no despejo de dados. Hilariante, certo? Não tão rápido.consulte Mais informação
O corte também brilhou um projector os funcionamentos internos do Ashley Madison.
Eles descobriram que dos 1,5 milhões de mulheres que foram registrados no site, apenas cerca de 10.000 eram reais seres humanos genuínos. O resto eram robôs e contas falsas criadas pela equipe Ashley Madison. Era uma cruel ironia que a maioria das pessoas que se inscreveram provavelmente nunca conheci ninguém por isso. Era, para usar uma frase um pouco coloquial, um ‘fest salsicha`.
Ele não parou por aí. Por US $ 17, os usuários podem remover suas informações do site. Seus perfis públicos seria apagado, e as suas contas seriam removidos do banco de dados. Este foi usado por pessoas que se inscreveram e mais tarde se arrependeu.
Mas o vazamento mostrou que Ashley Maddison não na realidade remover as contas do banco de dados. Em vez disso, eles estavam apenas escondido da Internet pública. Quando seu banco de dados de usuário vazou, assim foram essas contas.
Talvez a lição que podemos aprender com a saga Ashley Madison é que às vezes vale a pena aquiescer às exigências de hackers.
Sejamos honestos. Avid Media Vida sabia o que estava em seus servidores. Eles sabiam o que teria acontecido se tivesse sido vazada. Eles deveriam ter feito tudo ao seu alcance para impedi-lo de ser vazado. Se isso significava desligar um par de propriedades online, que assim seja.
Vamos ser realistas. Pessoas morreram por causa Avid Media Vida tomou uma posição. E para quê?
Em uma escala menor, pode-se argumentar que muitas vezes é melhor para atender às demandas de hackers e criadores de malware. Ransomware é um grande exemplo disso. Quando alguém está infectado e seus arquivos são criptografados, as vítimas são convidados para um ‘resgate`, a fim de decifrar-los. Esta é em geral, os limites de US $ 200 ou assim. Quando pago, esses arquivos geralmente são devolvidos. Para o modelo de negócio ransomware para trabalhar, as vítimas têm de ter alguma expectativa que eles possam obter os seus arquivos de volta.Não colidir com os golpistas: Um Guia Para Ransomware & outras AmeaçasNão colidir com os golpistas: Um Guia Para Ransomware & outras Ameaçasconsulte Mais informação
Eu acho que vai para a frente, muitas das empresas que se encontram na posição de Avid Media Life vai questionar se a postura desafiadora é o melhor para tomar.
outras Lições
2015 foi um ano estranho. Eu não estou falando apenas sobre Ashley Madison, também.
o VTech Corte foi um divisor de águas. Este fabricante de Hong Kong com base de brinquedos para crianças oferecidos um computador tablet bloqueado, com uma loja de aplicativos kid-friendly, ea capacidade para os pais para controlá-lo remotamente. No início deste ano, ele foi cortado, com mais de 700.000 perfis das crianças ser vazado. Isto mostrou que a idade não é barreira para ser vítima de uma violação de dados.VTech Obtém Hacked, maçã odeie auscultadores Jacks ... [Tech News Digest]VTech Obtém Hacked, maçã odeie auscultadores Jacks ... [Tech News Digest]Hackers expor os usuários VTech, a Apple considera remover o fone de ouvido, luzes de Natal pode abrandar o seu Wi-Fi, Snapchat vai para a cama com (RED), e lembrando O Star Wars Holiday Special.consulte Mais informação
Ele também foi um ano interessante para a segurança do sistema operacional. Enquanto questões foram levantadas sobre a segurança geral do GNU / Linux, Windows 10 fez grandes promessas de sendo a mais segura do Windows já. Este ano, fomos forçados a questionar o ditado que o Windows é inerentemente menos seguro.
Basta dizer que de 2016 vai ser um ano interessante.
Que lições de segurança que você aprendeu em 2015? Você tem lições de segurança para adicionar? Deixá-los nos comentários abaixo.