Annuncio pubblicitario

Mentre ci avviciniamo al precipizio del 2016, prendiamoci un minuto per riflettere sulle lezioni di sicurezza che abbiamo imparato nel 2015. A partire dal Ashley Madison Ashley Madison Leak non è un grosso problema? Pensa di nuovoIl discreto sito di incontri online Ashley Madison (destinato principalmente ai coniugi traditori) è stato violato. Tuttavia, si tratta di un problema molto più grave di quello che è stato descritto dalla stampa, con notevoli implicazioni per la sicurezza dell'utente. Leggi di più , per bollitori hackerati 7 motivi per cui Internet of Things dovrebbe spaventartiI potenziali benefici dell'Internet of Things diventano chiari, mentre i pericoli si proiettano nell'ombra silenziosa. È tempo di attirare l'attenzione su questi pericoli con sette terrificanti promesse dell'IoT. Leggi di più e i consigli di sicurezza da parte del governo, c'è molto di cui parlare.

Le case intelligenti sono ancora un incubo per la sicurezza

Il 2015 ha visto un impeto di persone che hanno aggiornato i loro articoli analogici domestici esistenti con alternative informatizzate e connesse a Internet. Tecnologia Smart Home

instagram viewer
veramente è decollato quest'anno in un modo che sembra destinato a continuare nel nuovo anno. Ma allo stesso tempo, è stato anche martellato a casa (scusate) che alcuni di questi dispositivi non sono così sicuri.

La più grande storia di sicurezza della Smart Home è stata forse la scoperta che alcuni dispositivi lo erano spedizione con certificati di crittografia duplicati (e spesso codificati) e chiavi private. Non erano solo i prodotti Internet of Things. Router emessi dai principali ISP si è scoperto che ha commesso questo più cardinale dei peccati di sicurezza.

ROUTER2

Quindi, perché è un problema?

In sostanza, questo rende banale per un attaccante spiare questi dispositivi attraverso un Attacco "man-in-the-middle" Che cos'è un attacco man-in-the-middle? Spiegazione del gergo sulla sicurezzaSe hai sentito parlare di attacchi "man-in-the-middle" ma non sei sicuro di cosa significhi, questo è l'articolo per te. Leggi di più , intercettando il traffico rimanendo contemporaneamente non rilevati dalla vittima. Ciò è preoccupante, dato che la tecnologia Smart Home viene sempre più utilizzata in contesti incredibilmente sensibili, come la sicurezza personale, sicurezza domestica Recensione Nest Protect e omaggi Leggi di più e nella sanità.

Se questo suona familiare, è perché alcuni dei principali produttori di computer sono stati sorpresi a fare una cosa molto simile. Nel novembre 2015, è stato scoperto che Dell stava spedendo computer con un identico certificato radice chiamato eDellRoot Gli ultimi laptop Dell sono infettati da eDellRootDell, il terzo produttore di computer al mondo, è stato sorpreso a spedire certificati canaglia su tutti i nuovi computer, proprio come Lenovo ha fatto con Superfish. Ecco come rendere sicuro il tuo nuovo PC Dell. Leggi di più , mentre alla fine del 2014 è stato avviato Lenovo interruzione intenzionale delle connessioni SSL Proprietari dei laptop Lenovo Attenzione: il dispositivo potrebbe avere malware preinstallatoIl produttore cinese di computer Lenovo ha ammesso che i laptop spediti ai negozi e ai consumatori alla fine del 2014 avevano malware preinstallato. Leggi di più per iniettare pubblicità in pagine web criptate.

Non si è fermato qui. Il 2015 è stato davvero l'anno dell'insicurezza della Smart Home, con molti dispositivi identificati come dotati di una vulnerabilità di sicurezza oscenamente ovvia.

Il mio preferito era l'iKettle Perché l'iKettle Hack dovrebbe preoccuparti (anche se non ne possiedi uno)L'iKettle è un bollitore abilitato per WiFi apparentemente dotato di un enorme e spalancato difetto di sicurezza che aveva il potenziale per far saltare intere reti WiFi. Leggi di più (hai indovinato: un bollitore abilitato Wi-Fi), che potrebbe essere convinto da un utente malintenzionato a rivelare i dettagli Wi-Fi (in chiaro, non meno) della sua rete domestica.

ikettle-principale

Perché l'attacco funzioni, devi prima creare una rete wireless contraffatta che condivida lo stesso SSID (il nome della rete) di quello a cui è collegato l'iKettle. Quindi connettendosi ad esso tramite l'utilità UNIX Telnet e attraversando alcuni menu, è possibile visualizzare il nome utente e la password della rete.

Poi ci fu Smart Fridge connesso Wi-Fi di Samsung Lo Smart Fridge Samsung è appena stato lanciato. Che ne dici del resto della tua casa intelligente?Una vulnerabilità con il frigorifero intelligente di Samsung è stata scoperta dalla società di infosec Pen Test Parters, con sede nel Regno Unito. L'implementazione di Samsung della crittografia SSL non verifica la validità dei certificati. Leggi di più , che non è riuscito a convalidare i certificati SSL e ha consentito agli aggressori di intercettare potenzialmente le credenziali di accesso di Gmail.

samsung-smartfridge

Man mano che la tecnologia Smart Home diventa sempre più mainstream e lo sarà, puoi aspettarti di conoscere altre storie di questi dispositivi presentano vulnerabilità di sicurezza critiche e cadono vittime di alcuni hack di alto profilo.

I governi non lo capiscono ancora

Un tema ricorrente che abbiamo visto negli ultimi anni è quanto la maggior parte dei governi dimentichi quando si tratta di questioni di sicurezza.

Alcuni degli esempi più eclatanti di analfabetismo infosec si trovano nel Regno Unito, dove il governo ha ripetutamente e costantemente dimostrato di non capisco.

Una delle peggiori idee lanciate in parlamento è l'idea che la crittografia utilizzata dai servizi di messaggistica (come Whatsapp e iMessage) dovrebbe essere indebolito, quindi i servizi di sicurezza possono intercettarli e decodificarli. Come ha sottolineato il mio collega Justin Pot su Twitter, è come spedire tutte le casseforti con un codice chiave principale.

Immagina se il governo affermasse che ogni cassaforte dovrebbe avere un secondo codice standard, nel caso in cui la polizia voglia entrare. Questo è il dibattito sulla crittografia in questo momento.

- Justin Pot (@jhpot) 9 dicembre 2015

La situazione peggiora. Nel dicembre 2015, la National Crime Agency (la risposta del Regno Unito all'FBI) rilasciato alcuni consigli per i genitori Tuo figlio è un hacker? Le autorità britanniche la pensano cosìL'ANC, l'FBI britannico, ha lanciato una campagna per dissuadere i giovani dal crimine informatico. Ma il loro consiglio è così ampio che si potrebbe presumere che chiunque legga questo articolo sia un hacker, anche tu. Leggi di più così possono dire quando i loro figli sono sulla strada per diventare criminali informatici incalliti.

Queste bandiere rosse, secondo l'ANC, includono "Sono interessati alla programmazione?" e "Sono riluttanti a parlare di ciò che fanno online?".

BadAdvice

Questo consiglio, ovviamente, è spazzatura ed è stato ampiamente deriso, non solo da MakeUseOf, ma anche da altre importanti pubblicazioni tecnologichee la comunità infosec.

Il @NCA_UK elenca l'interesse per la codifica come segnale di avvertimento per il crimine informatico! Abbastanza sorprendente. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- David G Smith (@aforethought) 9 dicembre 2015

Quindi un interesse per la programmazione è ora un "segnale di avvertimento del crimine informatico". L'ANC è fondamentalmente un dipartimento IT della scuola degli anni '90. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10 dicembre 2015

I bambini che erano "interessati alla programmazione" sono diventati gli ingegneri che hanno creato #Twitter, #Facebook e il #NCA sito web (tra gli altri)

- AdamJ (@IAmAdamJ) 9 dicembre 2015

Ma era indicativo di una tendenza preoccupante. I governi non ottengono la sicurezza. Non sanno come comunicare sulle minacce alla sicurezza e non comprendono le tecnologie fondamentali che fanno funzionare Internet. Per me è molto più preoccupante di qualsiasi hacker o cyber-terrorista.

A volte tu Dovrebbero Negoziare con i terroristi

La più grande storia di sicurezza del 2015 è stata senza dubbio l'hack di Ashley Madison Ashley Madison Leak non è un grosso problema? Pensa di nuovoIl discreto sito di incontri online Ashley Madison (destinato principalmente ai coniugi traditori) è stato violato. Tuttavia, si tratta di un problema molto più grave di quello che è stato descritto dalla stampa, con notevoli implicazioni per la sicurezza dell'utente. Leggi di più . Nel caso ti fossi dimenticato, fammi ricapitolare.

Lanciato nel 2003, Ashley Madison era un sito di incontri con una differenza. Ha permesso alle persone sposate di collegarsi con persone che non erano in realtà i loro coniugi. Il loro slogan diceva tutto. "La vita è breve. Avere una relazione."

Ma per quanto grave, è stato un successo in fuga. In poco più di dieci anni, Ashley Madison aveva accumulato quasi 37 milioni di conti registrati. Anche se è ovvio che non tutti erano attivi. La stragrande maggioranza era inattiva.

All'inizio di quest'anno, è diventato evidente che non tutto andava bene con Ashley Madison. Un misterioso gruppo di hacking chiamato The Impact Team ha rilasciato una dichiarazione affermando che sarebbero stati in grado di ottenere il database del sito, oltre a una considerevole cache di email interne. Minacciarono di rilasciarlo, a meno che Ashley Madison non fosse chiusa, insieme al sito gemello Established Men.

Avid Life Media, che sono i proprietari e gli operatori di Ashley Madison e Established Men, ha pubblicato un comunicato stampa che ha minimizzato l'attacco. Hanno sottolineato che stavano lavorando con le forze dell'ordine per rintracciare gli autori e sono stati "in grado di proteggere i nostri siti e chiudere i punti di accesso non autorizzati".

Dichiarazione di Avid Life Media Inc.: http://t.co/sSoLWvrLoQ

- Ashley Madison (@ashleymadison) 20 luglio 2015

Il 18esimo di agosto, Impact Team ha rilasciato il database completo.

È stata un'incredibile dimostrazione della rapidità e della natura sproporzionata della giustizia su Internet. Non importa come ti senti a imbrogliare (lo odio, personalmente), qualcosa si sentiva assolutamente sbagliato a proposito. Le famiglie furono fatte a pezzi. Le carriere sono state immediatamente e molto pubblicamente rovinate. Alcuni opportunisti hanno persino inviato e-mail di estorsione agli abbonati, tramite e-mail e posta, eliminandole a migliaia. Alcuni pensavano che le loro situazioni fossero così senza speranza, che dovevano togliersi la vita. È stato male. 3 Ragioni per cui Ashley Madison Hack è un affare serioInternet sembra entusiasta dell'hack di Ashley Madison, con milioni di adulteri e potenzialità i dettagli degli adulteri sono stati hackerati e rilasciati online, con articoli su individui trovati nei dati discarica. Divertente, vero? Non così in fretta. Leggi di più

L'hack ha anche riflesso i meccanismi interni di Ashley Madison.

Hanno scoperto che dei 1,5 milioni di donne registrate sul sito, solo circa 10.000 lo erano veri esseri umani genuini. Il resto erano robot e account falsi creati dallo staff di Ashley Madison. È stata un'ironia crudele che la maggior parte delle persone che si sono iscritte probabilmente non ha mai incontrato nessuno. Era, per usare una frase leggermente colloquiale, una "festa della salsiccia".

la parte più imbarazzante del tuo nome trapelata dall'hack di Ashley Madison è che hai flirtato con un bot. per soldi.

- verbale spaziale (@VerbalSpacey) 29 agosto 2015

Non si è fermato qui. Per $ 17, gli utenti possono rimuovere le loro informazioni dal sito. I loro profili pubblici verrebbero cancellati e i loro account verrebbero eliminati dal database. Questo è stato utilizzato da persone che si sono iscritte e in seguito si sono pentite.

Ma la perdita ha dimostrato che Ashley Maddison non lo ha fatto in realtà rimuovere gli account dal database. Invece, erano semplicemente nascosti dall'Internet pubblico. Quando il loro database degli utenti era trapelato, lo erano anche questi account.

BoingBoing days La discarica di Ashley Madison include informazioni su persone che hanno pagato AM per cancellare i propri account.

- Denise Balkissoon (@balkissoon) 19 agosto 2015

Forse la lezione che possiamo imparare dalla saga di Ashley Madison è quella a volte vale la pena accontentarsi delle esigenze degli hacker.

Diciamo la verità. Avid Life Media sapeva cosa c'era sui loro server. Sapevano cosa sarebbe successo se fosse trapelato. Avrebbero dovuto fare tutto ciò che era in loro potere per impedirne la fuoriuscita. Se ciò significasse chiudere un paio di proprietà online, così sia.

Cerchiamo di essere schietti. Le persone sono morte perché Avid Life Media ha preso una posizione. E per cosa?

Su scala ridotta, si può sostenere che spesso è meglio soddisfare le esigenze degli hacker e dei creatori di malware. Il ransomware ne è un ottimo esempio Non cadere in fallo dei truffatori: una guida al ransomware e ad altre minacce Leggi di più . Quando qualcuno è infetto e i suoi file sono crittografati, alle vittime viene chiesto un "riscatto" per decrittografarli. Questo è generalmente nei limiti di $ 200 o giù di lì. Quando vengono pagati, questi file vengono generalmente restituiti. Perché il modello di business del ransomware funzioni, le vittime devono aspettarsi di poter recuperare i propri file.

Penso che andando avanti, molte delle aziende che si trovano nella posizione di Avid Life Media si chiederanno se una posizione ribelle sia la migliore da prendere.

Altre lezioni

Il 2015 è stato un anno strano. Non sto parlando solo di Ashley Madison.

Il VTech Hack VTech viene hackerato, Jack per cuffie Apple Hates... [Tech News Digest]Gli hacker espongono gli utenti VTech, Apple considera la rimozione del jack per le cuffie, le luci di Natale possono rallentare il tuo Wi-Fi, Snapchat si mette a letto con (ROSSO) e ricorda lo Star Holiday Holiday Special. Leggi di più è stato un punto di svolta. Questo produttore di giocattoli per bambini con sede a Hong Kong ha offerto un tablet bloccato, con un app store adatto ai bambini e la possibilità per i genitori di controllarlo da remoto. All'inizio di quest'anno, è stato violato, con la perdita di oltre 700.000 profili di bambini. Ciò ha dimostrato che l'età non costituisce una barriera per essere vittima di una violazione dei dati.

È stato anche un anno interessante per la sicurezza del sistema operativo. Mentre sono state sollevate domande sul sicurezza generale di GNU / Linux Linux è stato vittima del proprio successo?Perché Jim Zemlin, capo della Linux Foundation, ha recentemente affermato che "l'epoca d'oro di Linux" potrebbe presto finire? La missione di "promuovere, proteggere e far avanzare Linux" è fallita? Leggi di più , Windows 10 ha fatto grandi promesse di essendo il Windows più sicuro di sempre 7 modi in cui Windows 10 è più sicuro di Windows XPAnche se non ti piace Windows 10, ora dovresti davvero migrare da Windows XP. Ti mostriamo come il sistema operativo di 13 anni è ora pieno di problemi di sicurezza. Leggi di più . Quest'anno siamo stati costretti a mettere in discussione il detto che Windows è intrinsecamente meno sicuro.

Basti dire che il 2016 sarà un anno interessante.

Quali lezioni di sicurezza hai imparato nel 2015? Hai qualche lezione di sicurezza da aggiungere? Lasciateli nei commenti qui sotto.

Matthew Hughes è uno sviluppatore e scrittore di software di Liverpool, in Inghilterra. Raramente si trova senza una tazza di caffè nero forte in mano e adora assolutamente il suo Macbook Pro e la sua fotocamera. Puoi leggere il suo blog all'indirizzo http://www.matthewhughes.co.uk e seguilo su Twitter su @matthewhughes.