5 ting vi lærte om nettverkssikkerhet i 2013

Trusler har blitt mer komplekse, og verre kommer nå fra steder som de fleste aldri ville forvente - som regjeringen. Her er 5 harde leksjoner vi lærte om online sikkerhet i 2013.

Trusler har blitt mer komplekse, og verre kommer nå fra steder som de fleste aldri ville forvente - som regjeringen.  Her er 5 harde leksjoner vi lærte om online sikkerhet i 2013.
Annonse

Dagene til nybegynnere som freder hele Internettet kan bli stengt av en enkel (men effektiv) datormask er over, men det betyr ikke at online-sikkerhet ikke lenger er bekymring. Trusler har blitt mer komplekse, og verre kommer nå fra steder som de fleste aldri ville forvente - som regjeringen. Her er 5 harde leksjoner vi lærte om online sikkerhet i 2013.

Regjeringen ser deg ...

Det største datasikkerhetsspørsmålet i 2013 var selvfølgelig åpenbaringen at deler av USAs regjering (hovedsakelig det nasjonale sikkerhetsbyrået) har spionert på borgere uten å være tilbakeholdenhet.

Ifølge dokumenter som er lekket av tidligere NSA-entreprenør Edward Snowden, og forsterket av andre kilder som tidligere NSA-offisielle William Binney, har amerikanske etterretningstjenester tilgang til ikke bare telefonoppføringer og sosiale nettverksmetadata, men kan også tappe inn i et bredt spekter av tjenester, inkludert mobiltelefon samtaler, e-post og nettbaserte samtaler, enten gjennom direkte wire-tapping eller ved å betjene hemmelige warrants.

securityspy-multiplum

Hva betyr dette for deg? Det er vanskelig å si fordi NSA insisterer at programmet er en nasjonal sikkerhetshemmelighet. Mens fløyteblåsere har påpekt at størrelsen NSAs datasentre innebærer at regjeringen registrerer og holder et ganske stort volum av video- og lyddata, er det ingen måte å vite hva som har blitt registrert og lagret så lenge USAs spymasters fortsetter å stonewall publikum.

Den forstyrrende konklusjonen er at det ikke er noe du kan gjøre for å sikre ditt privatliv, fordi omfanget av det kan bli kompromittert, og hvordan det kan bli kompromittert, er bare halvkjent.

... Og så er alle andre

Ikke bare regjeringen er interessert i å spionere på folk. Enkeltpersoner kan også bruke skjult video eller lyd tatt fra et offerets datamaskin. Ofte har det mindre å gjøre med bedrageri enn det har å gjøre med pranks og porno, selv om de to kan konvergere.

Den underjordiske verden av å se intetanende ofre, kalt "ratting", ble strålende eksponert i en artikkel fra Ars Technica. Selv om du slår på en persons webkamera og ekstern opptak, blir de ofte tenkt som hacking, det kan nå oppnås med relativt enkelt bruk av programmer med navn som Fun Manager. Når en rottende klient er installert på et offerets PC, kan rottene trykke inn og se hva som skjer.

Ofte betyr "hva som skjer" direkte til en sjanse til å se intetanende kvinner med klærne av, selv om programvaren også kan brukes til å spille pranks som tilfeldig åpning forstyrrende bilder for å se offerets reaksjon. I verste fall kan ratting direkte oversette til utpressing, ettersom ratteren fanger pinlige eller nakenbilder av et offer og truer med å frigjøre dem dersom de ikke blir betalt løsepenge.

Passordene dine er fremdeles ikke sikre

Passord sikkerhet er en felles bekymring, og med god grunn. Så lenge en eneste tekststreng er alt som står mellom verden og bankkontoen din, holder den teksten hemmelig av største betydning. Dessverre, selskaper som ber oss om å logge inn med et passord, er ikke så bekymret, og mister dem med en alarmerende hastighet.

1Password

Årets store brudd kom med Adobe, som mistet over 150 millioner passord i et stort angrep som også (ifølge selskapet) tillot angripere å gjøre av med kode for programvare som fortsatt er i utvikling og stjele faktureringsinformasjon for enkelte kunder. Mens passordene ble kryptert, ble de alle sikret ved hjelp av en utdatert krypteringsmetode og den samme krypteringsnøkkelen. Det betyr at de-koding av dem var langt enklere enn det burde vært.

Selv om lignende brudd har skjedd før, er Adobe det største når det gjelder antall tapte tap, noe som viser at det fortsatt er selskaper som ikke tar sikkerhet på alvor. Heldigvis er det en enkel måte å vite om passorddataene dine ble overtrådt; bare gå til HaveIBeenPwned.com og skriv inn din e-postadresse.

Hacking er en bedrift

Etter hvert som datamaskiner har blitt mer komplekse, har kriminelle som ønsker å bruke dem som et middel til å gjøre ulovlig fortjeneste, blitt mer sofistikert. Dagene til en lone hacker som frigjør et virus bare for å se hva som skjer, synes å være over, erstattet av grupper som jobber sammen for å tjene penger.

Penger

Et eksempel er Paunch, en hacker i Russland som ledet salg av et brukssett kjent som Blackhole. Kitet, laget av Paunch og flere co-conspirators, ble utviklet delvis smart forretningsmetoder. I stedet for å forsøke å komme opp med nulldagseffekter på egenhånd, kjøpte Paunchs gruppe nulldagsutnyttelser fra andre hackere. Disse ble deretter lagt til settet, som ble solgt som et abonnement på $ 500 til $ 700 per måned. En del av fortjenesten ble gjeninvestert til å kjøpe enda mer utnyttelser, noe som gjorde Blackhole enda bedre.

Slik fungerer enhver virksomhet. Et produkt er utviklet, og hvis det lykkes, blir en del av overskuddet investert for å gjøre produktet bedre og forhåpentligvis attraktivt enda mer virksomhet. Gjenta til rik. Dessverre for Paunch ble hans ordning etter hvert sporet av det russiske politiet, og han er nå i varetekt.

Selv ditt personnummer er noen få klikk unna

Eksistensen av botnets har vært kjent i noen tid, men bruken av dem er ofte forbundet med relativt enkle, men massive angrep, som avslag på service. Hva er et DDoS-angrep? [MakeUseOf Forklarer] Hva er et DDoS-angrep? [MakeUseOf Forklarer] Begrepet DDoS plystre forbi når cyberaktivisme reagerer opp hodet en masse. Disse typer angrep gjør internasjonale overskrifter på grunn av flere grunner. Problemene som hopper opp de DDoS-angrepene er ofte kontroversielle eller svært ... Les mer eller send epostspamming, heller enn datatyveri. Et team av tenåringshackere på russisk minnet oss om at de kan gjøre mer enn å fylle innbokser med Viagra-annonser når de klarte å installere et botnet til store datamedikere (som LexisNexis) og stjele volumer av sensitive data.

socialsecuritycard

Dette resulterte i en "tjeneste" kalt SSNDOB som solgte informasjon om innbyggere fra USA. Prisen? Bare et par dollar for en grunnleggende rekord og opptil $ 15 dollar for full kreditt eller bakgrunnskontroll. Det er riktig; Hvis du er en amerikansk statsborger, kan du få ditt personnummer og kredittinformasjon for mindre enn prisen på et måltid på The Olive Garden.

Og det blir verre. I tillegg lagrer informasjon, brukes også enkelte meglerfirmaer til å godkjenne det. Du kan ha kjørt over dette selv hvis du noen gang har prøvd å søke om et lån bare for å bli møtt av spørsmål som "Hva var adressen din for fem år siden?" Siden data meglere selv var blitt kompromittert, kunne slike spørsmål besvares med letthet.

Konklusjon

2013 har ikke vært et godt år for elektronisk sikkerhet. Faktisk har det vært litt av et mareritt. Regjeringen spionering, stjålet personnummer, webkamera utpressing av fremmede; mange forestiller seg disse som worst case-scenarioer som bare kan oppstå i de mest ekstreme forholdene, men i år viste det seg at alt det ovenfor er mulig med overraskende liten innsats. Forhåpentligvis vil 2014 se skritt som er tatt for å løse disse skjulte problemene, selv om jeg personlig tviler på at vi vil være så heldige.

Bilde Kreditt: Flickr / Shane Becker, Flickr / Steve Rhodes

In this article