5 cose che abbiamo imparato sulla sicurezza online nel 2013

Annuncio pubblicitario

I giorni in cui i giornalisti agitavano l'intera Internet potrebbero essere chiusi da un semplice (ma efficace) worm del computer, ma ciò non significa che la sicurezza online non sia più una preoccupazione. Le minacce sono diventate più complesse e, peggio ancora, provengono da luoghi che la maggior parte non si aspetterebbe mai - come il governo. Ecco 5 lezioni difficili che abbiamo imparato sulla sicurezza online nel 2013.

Il governo ti sta guardando ...

Il più grande punto di discussione sulla sicurezza informatica del 2013 è stato, ovviamente, la rivelazione che porzioni di Il governo degli Stati Uniti (principalmente la National Security Agency) ha spiato i cittadini senza moderazione.

Secondo i documenti trapelati dall'ex appaltatore della NSA Edward Snowdene rafforzati da altre fonti come l'ex funzionario della NSA William Binney, i servizi di intelligence americani hanno accesso non solo alle registrazioni telefoniche e ai social network i metadati, ma possono anche attingere a una vasta gamma di servizi, tra cui telefonate, e-mail e conversazioni online, sia tramite il tocco diretto del filo sia tramite servizi segreti warrant.

Che cosa significa questo per te? È difficile da dire perché la NSA insiste sul fatto che il programma è un segreto di sicurezza nazionale. Mentre gli informatori hanno sottolineato che le dimensioni dei data center dell'NSA implicano che il governo stia registrando e mantenendo un volume abbastanza grande di dati audio e video, non c'è modo di sapere con certezza cosa è stato registrato e archiviato fino a quando gli spymaster americani continuano a murare pubblico.

La conclusione inquietante è che c'è niente che tu possa fare per garantire la tua privacy, in quanto la misura in cui può essere compromessa e come potrebbe essere compromessa, è solo parzialmente nota.

... E anche tutti gli altri

Non solo il governo è interessato a spiare le persone. Le persone possono anche fare uso di video o audio nascosti presi dal computer di una vittima. Spesso ha meno a che fare con la frode di quanto non abbia a che fare con scherzi e porno, anche se i due possono convergere.

Il mondo sotterraneo di guardare vittime ignare, chiamato "ratting" è stato brillantemente esposto in un articolo di Ars Technica. Sebbene accendere la webcam di una persona e registrarla in remoto sia spesso considerato un hacking, ora può essere realizzato con relativa facilità usando programmi con nomi come Fun Manager. Una volta che un client di ratting è stato installato sul PC di una vittima, i ratters possono toccare e vedere cosa sta succedendo.

Spesso "ciò che sta accadendo" si traduce direttamente nella possibilità di vedere donne ignare senza vestiti, sebbene il software possa anche essere usato per fare scherzi come l'apertura casuale di immagini inquietanti per vedere quelle della vittima reazione. Nei casi peggiori, il ratting può tradursi direttamente in ricatto, poiché il ratter cattura immagini imbarazzanti o nude di una vittima e quindi minaccia di rilasciarle se non vengono pagate un riscatto.

Le tue password non sono ancora sicure

La sicurezza delle password è una preoccupazione comune e per buoni motivi. Finché una sola stringa di testo è tutto ciò che si frappone tra il mondo e il tuo conto bancario, mantenere quel testo segreto sarà della massima importanza. Sfortunatamente, le aziende che ci chiedono di accedere con una password non sono interessate e le stanno perdendo a un ritmo allarmante.

La principale violazione di quest'anno è stata gentilmente concessa da Adobe, che ha perso oltre 150 milioni di password in un enorme attacco che (secondo la società) ha anche permesso agli aggressori di decollare con il codice per il software ancora in fase di sviluppo e rubare informazioni di fatturazione per alcuni clienti. Mentre le password erano crittografate, lo erano tutti protetto utilizzando un metodo di crittografia obsoleto e la stessa chiave di crittografia. Ciò significa che decodificarli era molto più semplice di quanto avrebbe dovuto essere.

Mentre simili violazioni si sono verificate in precedenza, quella di Adobe è la più grande in termini di numero di password perse, il che dimostra che ci sono ancora aziende che non prendono sul serio la sicurezza. Fortunatamente, c'è un modo semplice per sapere se i dati della tua password sono stati violati; vai a HaveIBeenPwned.com e inserisci il tuo indirizzo email.

L'hacking è un business

Man mano che i computer sono diventati più complessi, anche i criminali che desiderano utilizzarli come mezzo per ottenere un profitto illegale sono diventati più sofisticati. I giorni in cui un hacker solitario ha rilasciato sfacciatamente un virus solo per vedere cosa succede sembrano essere finiti, sostituiti da gruppi che lavorano insieme per fare soldi.

Un esempio è Paunch, un hacker in Russia che ha diretto le vendite di un kit di exploit noto come Blackhole. Il kit, creato da Paunch e da numerosi co-cospiratori, è stato sviluppato tattiche aziendali parzialmente intelligenti. Invece di provare a escogitare exploit zero-day da soli, il gruppo di Paunch ha acquistato exploit zero-day da altri hacker. Questi sono stati quindi aggiunti al kit, che è stato venduto come abbonamento da $ 500 a $ 700 al mese. Una parte degli utili è stata reinvestita nell'acquisto di ulteriori exploit, il che ha reso Blackhole ancora più capace.

Ecco come funziona qualsiasi azienda. Un prodotto viene sviluppato e, in caso di successo, parte del profitto viene reinvestito per rendere il prodotto migliore e, auspicabilmente, attrarre ancora più affari. Ripeti fino a quando non è ricco. Sfortunatamente per Paunch, il suo piano è stato infine rintracciato dalla polizia russa e ora è sotto custodia.

Anche il tuo numero di previdenza sociale è a pochi clic di distanza

L'esistenza delle botnet è nota da qualche tempo, ma il loro uso è spesso associato ad attacchi relativamente semplici ma enormi, come negazione del servizio Che cos'è un attacco DDoS? [MakeUseOf Explains]Il termine DDoS sibila ogni volta che il cyber-attivismo alza la testa in massa. Questo tipo di attacchi fanno notizia a livello internazionale a causa di molteplici ragioni. I problemi che fanno scattare quegli attacchi DDoS sono spesso controversi o altamente ... Leggi di più o lo spamming via e-mail, piuttosto che il furto di dati. Una squadra di hacker adolescenti in russo ci ha ricordato che possono fare di più che riempire le nostre caselle di posta con pubblicità sul Viagra quando sono riusciti a installare una botnet nei principali broker di dati (come LexisNexis) e rubare volumi di dati sensibili.

Ciò ha comportato un "servizio" chiamato SSNDOB che ha venduto informazioni sui residenti negli Stati Uniti. Il prezzo? Solo un paio di dollari per un record di base e fino a $ 15 dollari per credito completo o controllo dei precedenti. Giusto; se sei un cittadino degli Stati Uniti, il numero di previdenza sociale e le informazioni sul credito potrebbero essere ottenuti a un prezzo inferiore a quello di un pasto presso The Olive Garden.

E peggiora. Oltre alla memorizzazione delle informazioni, alcune società di intermediazione dei dati vengono utilizzate anche per l'autenticazione. Potresti esserti imbattuto da solo se hai mai provato a richiedere un prestito solo per essere accolto da domande come "Cosa era il tuo indirizzo cinque anni fa? " Poiché gli stessi broker di dati sono stati compromessi, è possibile rispondere a tali domande facilità.

Conclusione

Il 2013 non è stato un grande anno per la sicurezza online. In effetti, è stato un po 'un incubo. Spionaggio del governo, numeri di previdenza sociale rubati, ricatto di webcam da parte di estranei; molti immaginano questi scenari come nel caso peggiore che potrebbero verificarsi solo nelle circostanze più estreme, eppure quest'anno ha dimostrato tutto quanto sopra possibile con uno sforzo sorprendentemente ridotto. Spero che il 2014 vedrà le misure adottate per risolvere questi problemi evidenti, anche se personalmente dubito che saremo così fortunati.

Credito immagine: Flickr / Shane Becker, Flickr / Steve Rhodes