Da vi er tæt på 2016-faldet, lad os tage et øjeblik for at reflektere over de sikkerhedstimer, vi lærte i 2015. Fra Ashley Madison Ashley Madison Læk Ingen Big Deal? Tænk igen Ashley Madison Læk Ingen Big Deal? Tænk igen Diskret online dating site Ashley Madison (målrettet primært til snydende ægtefæller) er blevet hacket. Men dette er et langt mere seriøst problem end det, der er blevet portrætteret i pressen, med betydelige konsekvenser for brugersikkerheden. Læs mere, til hackede kedler 7 Grunde til, at ting på Internettet skal skræmme dig 7 Grunde til, at ting på Internettet skal skræmme dig De potentielle fordele ved tingets ting bliver stærkt, mens farerne bliver kastet i de stille skygger. Det er på tide at gøre opmærksom på disse farer med syv skræmmende løfter om IoT. Læs mere, og risikable sikkerhedsråd fra regeringen, der er meget at tale om.
Smarte hjem er stadig et sikkerhedsmarmer
2015 skyndte sig på at opgradere deres eksisterende analoge husholdningsartikler med computerbaserede, internetforbundne alternativer. Smart Home Tech tog virkelig afsted i år på en måde, der ser ud til at fortsætte i nytår. Men samtidig blev det også hamret hjem (undskyld) at nogle af disse enheder ikke er alle, der er sikre.
Den største Smart Home-sikkerhedshistorie var måske den opdagelse, at nogle enheder var forsynet med dobbelt (og ofte hardkodede) krypteringscertifikater og private nøgler. Det var ikke kun Internet of Things produkter. Routere udstedt af store internetudbydere har vist sig at have begået dette mest kardinal af sikkerhedssynd.
Så hvorfor er det et problem?
I det væsentlige gør det det trivielt for en angriber at spionere på disse enheder gennem et "man-in-the-middle" -angreb Hvad er et menneske-i-midt-angreb? Sikkerhedsjargon Forklaret Hvad er en Man-in-the-Middle Attack? Sikkerhedsjargon Forklaret Hvis du har hørt om "man-in-the-middle" angreb, men ikke helt sikker på hvad det betyder, er dette artiklen for dig. Læs mere, aflytning af trafikken, mens du samtidig forbliver uopdaget af offeret. Det drejer sig om, da Smart Home tech i stigende grad bliver brugt i utroligt følsomme sammenhænge, såsom personlig sikkerhed, husstandssikkerhed, Nest Protect Review og Giveaway Nest Protect Review og Giveaway Read More og i sundhedsvæsenet.
Hvis det lyder velkendt, skyldes det, at en række store computerproducenter er blevet fanget, der gør en meget lignende ting. I november 2015 viste Dell sig at være forsendelsescomputere med et identisk rodcertifikat, der hedder eDellRoot Dells nyeste bærbare computere er inficeret med eDellRoot Dells nyeste bærbare pc'er er inficeret med eDellRoot Dell, verdens tredjestørste computerproducent er blevet fanget afsendelse af rogue root certifikater på alle nye computere - ligesom Lenovo gjorde med Superfish. Sådan gør du din nye Dell-pc sikker. Læs mere, mens Lenovo i slutningen af 2014 begyndte med vilje at bryde SSL-forbindelser Lenovo Laptop-ejere Pas på: Din enhed kan have forudinstalleret malware Lenovo-bærbare ejere Pas på: Din enhed kan have forudinstalleret skadelig software Kinesisk computerproducent Lenovo har indrømmet, at laptops sendes til butikker og forbrugere i slutningen af 2014 havde malware forudinstalleret. Læs mere for at injicere annoncer i krypterede websider.
Det stoppede ikke der. 2015 var faktisk året for Smart Home-usikkerhed, med mange enheder identificeret som at komme med en uanstændigt sikker sikkerhedssårbarhed.
Min favorit var iKettle Hvorfor iKettle Hack burde bekymre dig (selvom du ikke ejer en) Hvorfor iKettle Hack burde bekymre dig (selvom du ikke ejer en) Den iKettle er en WiFi-aktiveret kedel, der tilsyneladende fulgte med en massiv, gabende sikkerhedsfejl, der havde potentiale til at sprænge hele WiFi-netværket. Læs mere (du gættede det: En Wi-Fi-aktiveret kedel), som kunne overbevises af en hacker om at afsløre Wi-Fi-detaljerne (i ren tekst, ikke mindre) af hjemmenetværket.
Til angrebet på arbejde måtte du først oprette et spoofed trådløst netværk, der deler samme SSID (navnet på netværket) som det, der har iKettle knyttet til det. Derefter ved at forbinde det via UNIX-værktøjet Telnet og krydse gennem et par menuer, kan du se netværksbrugernavnet og adgangskoden.
Derefter var der Samsungs Wi-Fi-tilsluttet Smart Køleskab Samsungs Smart Køleskab blev lige pwned. Hvad med resten af dit smarte hjem? Samsungs Smart Køleskab er lige blevet pwned. Hvad med resten af dit smarte hjem? En sårbarhed med Samsungs smarte køleskab blev opdaget af UK-baserede infosec-firma Pen Test Parters. Samsungs implementering af SSL-kryptering kontrollerer ikke certifikaternes gyldighed. Læs mere, som ikke bekræftede SSL-certifikater, og tillod, at angriberne potentielt kunne opfange Gmail-loginoplysninger.
Som Smart Home tech bliver stadig mere almindeligt, og det vil du forvente at høre om flere historier om disse enheder, der kommer med kritiske sikkerhedsproblemer og falder offer for nogle højt profilerede hacks.
Regeringerne får det stadig ikke
Et tilbagevendende tema, vi har set de sidste par år, er, hvordan fuldstændig uvidende om de fleste regeringer er, når det kommer til sikkerhedsspørgsmål.
Nogle af de mest egregious eksempler på infosec analfabetisme findes i Storbritannien, hvor regeringen gentagne gange og konsekvent har vist, at de bare ikke får det .
Et af de værste ideer, der bliver floated i parlamentet, er tanken om, at krypteringen, der bruges af messaging-tjenester (som Whatsapp og iMessage), bør svækkes, så sikkerhedstjenesterne kan opfange og afkode dem. Som min kollega Justin Pot med stor vægt på Twitter, er det som at sende alle pengeskabe med en master nøglekode.
Forestil dig, hvis regeringen sagde, at hver sikkerhed skulle have en standard anden kode, hvis politiet vil have det. Det er krypteringsdebatten lige nu.
- Justin Pot (@jhpot) 9. december 2015
Det bliver værre. I december 2015 udstedte National Crime Agency (Storbritanniens svar til FBI) nogle råd til forældre. Er dit barn en hacker? De britiske myndigheder tror det er dit barn en hackere? De britiske myndigheder tror, at NCA, Storbritanniens FBI, har lanceret en kampagne for at afskrække unge fra computerkriminalitet. Men deres råd er så bred, at man kan antage, at nogen læser denne artikel er en hacker - selv dig. Læs mere, så de kan fortælle, hvornår deres børn er på vej til at blive hærde cyberkriminelle.
Disse røde flag, ifølge NCA, inkluderer "er de interesserede i kodning?" Og "er de tilbageholdende med at tale om, hvad de gør online?".
Dette råd er naturligvis garbage og blev meget mocked, ikke kun af MakeUseOf, men også af andre store teknologipublikationer og infosec-fællesskabet.
@NCA_UK viser en interesse for kodning som et advarselsskilt for cyberkriminalitet! Ganske forbløffende. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz
- David G Smith (@forforought) 9. december 2015
Så en interesse for kodning er nu et "advarselsmærke for cyberkriminalitet". NCA er i grunden en 1990-årig skole IT-dept. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 10. december 2015
Børn, der var interesserede i kodning, voksede op til at være de ingeniører, der skabte #Twitter, #Facebook og #NCA hjemmesiden (blandt andre)
- AdamJ (@IAmAdamJ) 9. december 2015
Men det var tegn på en foruroligende tendens. Regeringerne får ikke sikkerhed . De ved ikke, hvordan man kommunikerer om sikkerhedstrusler, og de forstår ikke de grundlæggende teknologier, der gør internettet til at fungere. For mig er det langt mere end nogen hacker eller cyber-terrorist.
Sommetider bør du forhandle med terrorister
Den største sikkerhedshistorie i 2015 var utvivlsomt Ashley Madison hack Ashley Madison Læk ikke noget stort tilbud? Tænk igen Ashley Madison Læk Ingen Big Deal? Tænk igen Diskret online dating site Ashley Madison (målrettet primært til snydende ægtefæller) er blevet hacket. Men dette er et langt mere seriøst problem end det, der er blevet portrætteret i pressen, med betydelige konsekvenser for brugersikkerheden. Læs mere . Hvis du har glemt, lad mig læse om det.
Lanceret i 2003 var Ashley Madison et datingside med en forskel. Det tillod gifte mennesker at tilslutte sig folk, der ikke var deres ægtefæller. Deres slogan sagde det hele. "Livet er kort. Har en affære. "
Men brutto som det er, det var en løbende succes. På lidt over ti år havde Ashley Madison akkumuleret næsten 37 millioner registrerede konti. Selvom det selvfølgelig er sagt, at ikke alle af dem var aktive. Langt størstedelen var sovende.
Tidligere i år blev det tydeligt, at alt ikke var godt med Ashley Madison. En mystisk hacking gruppe kaldet The Impact Team udstedt en erklæring hævder de havde været i stand til at få webstedet database plus en betydelig cache af interne e-mails. De truede med at frigive det, medmindre Ashley Madison blev lukket sammen med sin søsters hjemmeside Etableret Mænd.
Avid Life Media, som er ejerne og operatørerne af Ashley Madison og Established Men, udstedte en pressemeddelelse, der nedlagde angrebet. De understregede, at de arbejdede med retshåndhævende myndigheder for at spore gerningsmændene og kunne "sikre vores websteder og lukke de uautoriserede adgangspunkter".
Erklæring fra Avid Life Media Inc .: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 20. juli 2015
Den 18. august udgav Impact Team den fulde database.
Det var en utrolig demonstration af internetfærdighedens hurtighed og uforholdsmæssige karakter. Ligegyldigt hvordan du føler dig for at snyde (jeg hader det personligt), noget følte mig helt forkert over det . Familier blev revet ned. Karriere blev straks og meget offentligt ødelagt. Nogle opportunister sendte endda abonnenter aftryk e-mails, via e-mail og post, melke dem ud af tusinder. Nogle troede, at deres situationer var så håbløse, de måtte tage deres eget liv. Det var dårligt. 3 grunde til, at Ashley Madison Hack er en alvorlig affære 3 Grunde til, at Ashley Madison Hack er en alvorlig affære Internettet virker ekstatisk over Ashley Madison hacket, hvor millioner af forfalskninger og potentielle forfalskers detaljer hackes og frigives online med artikler udflugt enkeltpersoner, der findes i datadumpen. Hilarious, right? Ikke så hurtigt. Læs mere
Hacket skinnede også en spotlight på Ashley Madisons indre indgreb.
De opdagede, at de 1, 5 millioner kvinder, der var registreret på stedet, var kun omkring 10.000 egentlige ægte mennesker. Resten var robotter og falske konti skabt af Ashley Madison personale. Det var en grusom ironi, at de fleste mennesker, der tilmeldte sig, sandsynligvis aldrig mødte nogen gennem det. Det var at bruge en lidt kollokvial sætning, en 'pølse fest'.
mest pinlige del af dit navn bliver lækket fra Ashley Madison hack er du flirtet med en bot. for penge.
- verbal spacey (@VerbalSpacey) 29. august 2015
Det stoppede ikke der. For $ 17 kunne brugerne fjerne deres oplysninger fra webstedet. Deres offentlige profiler ville blive slettet, og deres konti ville blive renset fra databasen. Dette blev brugt af folk, der tilmeldte sig og senere beklagede det.
Men lækagen viste, at Ashley Maddison ikke rent faktisk fjernede regnskabet fra databasen. I stedet var de kun skjult fra det offentlige internet. Når deres brugerdatabase blev lækket, var det også disse konti.
BoingBoing-dage Ashley Madison-dump indeholder oplysninger om personer, der har betalt AM for at slette deres konti.
- Denise Balkissoon (@balkissoon) 19. august 2015
Måske den lektion, vi kan lære af Ashley Madison-sagaen, er, at det til tider er værd at indrømme kravene til hackere.
Lad os være ærlige. Avid Life Media vidste hvad der var på deres servere . De vidste, hvad der ville være sket, hvis det var lækket. De burde have gjort alt i deres magt for at stoppe det fra at blive lækket. Hvis det betød at lukke et par online-egenskaber, så vær den.
Lad os være stump. Folk døde fordi Avid Life Media tog stilling. Og hvad?
I mindre målestok kan man hævde, at det ofte er bedre at opfylde kravene til hackere og malware skabere. Ransomware er et godt eksempel på dette. Skal ikke falde i svindlere: En guide til Ransomware og andre trusler falder ikke i stykker af svindlere: En guide til Ransomware og andre trusler Læs mere. Når nogen er smittet, og deres filer krypteres, bliver ofrene bedt om at få et "løsepenge" for at dekryptere dem. Dette er generelt i grænserne for $ 200 eller deromkring. Når de bliver betalt, returneres disse filer normalt. For ransomware forretningsmodel at arbejde, skal ofre have en vis forventning om, at de kan få deres filer tilbage.
Jeg tror fremad, at mange af de virksomheder, der befinder sig i stillingen til Avid Life Media, vil spørgsmålet om, hvorvidt en troværdig holdning er den bedste til at tage.
Andre lektioner
2015 var et mærkeligt år. Jeg taler ikke kun om Ashley Madison.
VTech Hack VTech Gets Hacked, Apple Hates Headphone Jacks ... [Tech News Digest] VTech Gets Hacked, Apple Hates Headphone Jacks ... [Tech News Digest] Hackere udsætter VTech brugere, Apple mener at fjerne hovedtelefonstikket, julelys kan Sænk din Wi-Fi, Snapchat kommer i seng med (RED), og husker The Star Wars Holiday Special. Read More var en spilskifter. Denne Hong Kong-baserede producent af børns legetøj tilbød en låst-down-tabletcomputer, med en børnevenlig appbutik, og muligheden for, at forældrene fjernede det. Tidligere i år blev det hacket, med over 700.000 børns profiler lækket. Dette viste, at alder ikke er en hindring for at blive offer for et data brud.
Det var også et interessant år for operativsystem sikkerhed. Mens der blev rejst spørgsmål om GNU / Linux's generelle sikkerhed, har Linux været et offer for sin egen succes? Har Linux været et offer for sin egen succes? Hvorfor sagde Linux Foundation-chef, Jim Zemlin, for nylig, at "Golden Age of Linux" snart kommer til ophør? Har missionen til at "fremme, beskytte og fremme Linux" mislykkedes? Læs mere, Windows 10 lavede store løfter om at være den sikreste Windows nogensinde 7 måder Windows 10 er mere sikker end Windows XP 7 måder Windows 10 er mere sikker end Windows XP Selvom du ikke kan lide Windows 10, burde du virkelig have migreret fra Windows XP nu. Vi viser dig, hvordan det 13-årige operativsystem nu er riddled med sikkerhedsproblemer. Læs mere . I år blev vi tvunget til at sætte spørgsmålstegn ved ordet, at Windows er iboende mindre sikkert.
Det er nok at sige, at 2016 skal være et interessant år.
Hvilke sikkerhedstimer lærte du i 2015? Har du nogen sikkerhedstimer at tilføje? Lad dem stå i kommentarerne nedenfor.