Når vi er i nærheten av nedgangen i 2016, la oss ta et øyeblikk for å reflektere over sikkerhetsleksjonene vi lærte i 2015. Fra Ashley Madison Ashley Madison Lekkasje Ingen Big Deal? Tenk igjen Ashley Madison Lekkasje Ingen Big Deal? Tenk igjen Diskret online datingside Ashley Madison (målrettet primært på utro ektefeller) har blitt hacket. Men dette er et langt mer alvorlig problem enn det som har blitt portrettert i pressen, med betydelige implikasjoner for brukersikkerhet. Les mer, til hackede kjeler 7 Grunner til at ting på Internett burde skremme deg 7 Grunner til at ting på Internett skal skremme deg De potensielle fordelene ved tingets ting blir sterke, mens farene blir kastet inn i de stille skyggene. Det er på tide å trekke oppmerksomheten til disse farene med syv skremmende løfter om IoT. Les mer, og dodgy sikkerhetsråd fra regjeringen, det er mye å snakke om.
Smart Homes er fortsatt et Security Nightmare
2015 har et rush av folk som oppgraderer sine eksisterende analoge husholdningsartikler med datastyrt, Internett-tilkoblede alternativer. Smart Home tech tok virkelig av i år på en måte som ser ut til å fortsette inn i nyttår. Men samtidig ble det også hamret hjemme (beklager) at noen av disse enhetene ikke er alle som er sikre.
Den største Smart Home-sikkerhetshistorien var kanskje den oppdagelsen at enkelte enheter ble levert med duplikat (og ofte hardkodede) krypteringssertifikater og private nøkler. Det var ikke bare Internett av Ting-produkter heller. Rutere utstedt av store Internett-leverandører har vist seg å ha begått dette mest kardinal av sikkerhetssynd.
Så hvorfor er det et problem?
I hovedsak gjør dette det lite viktig for en angriper å spionere på disse enhetene gjennom et "man-i-midten-angrep" Hva er en mann i midten-angrep? Sikkerhetsjargong Forklart Hva er et menneske-i-midt-angrep? Sikkerhetsjargong Forklaret Hvis du har hørt om "man-i-midten" -angrep, men ikke helt sikker på hva det betyr, er dette artikkelen for deg. Les mer, fange trafikk mens du gjenstår uoppdaget av offeret. Dette handler om, gitt at Smart Home tech i stadig større grad brukes i utrolige følsomme sammenhenger, for eksempel personlig sikkerhet, Nest Protect Protection og Giveaway Nest Protect Review og Giveaway Read More, og i helsevesenet.
Hvis dette høres kjent, er det fordi en rekke store dataprodusenter har blitt fanget, gjør en veldig lignende ting. I november 2015 ble Dell funnet å være fraktdatamaskiner med et identisk rotcertifikat kalt eDellRoot Dells nyeste bærbare datamaskiner er infisert med eDellRoot Dells nyeste bærbare datamaskiner er infisert med eDellRoot Dell, verdens tredje største dataprodusent har blitt fanget frakt fra rogue root-sertifikater på alle nye datamaskiner - akkurat som Lenovo gjorde med Superfish. Slik gjør du den nye Dell-PC-en trygg. Les mer, mens Lenovo i begynnelsen av 2014 begynte å forsøke å bryte SSL-tilkoblinger Lenovo bærbare eiere Vær oppmerksom på: Enheten kan ha forhåndsinstallert skadelig programvare Lenovo-bærbare eiere Vær oppmerksom på: Enheten kan ha forhåndsinstallert skadelig programvare Kinesisk dataprodusent Lenovo har innrømmet at bærbare datamaskiner sendt til butikker og forbrukere i slutten av 2014 hadde skadelig programvare forhåndsinstallert. Les mer for å injisere annonser i krypterte nettsider.
Det stoppet ikke der. 2015 var faktisk året med Smart Home-usikkerhet, med mange enheter identifisert som å komme med et uanstendig åpenbart sikkerhetsproblem.
Min favoritt var iKettle Hvorfor iKettle Hack burde bekymre deg (selv om du ikke eier en) Hvorfor iKettle Hack burde bekymre deg (selv om du ikke eier en) IKettle er en WiFi-aktivert vannkoker som tilsynelatende kom med en massiv, gapende sikkerhetsfeil som hadde potensial til å blåse opp hele WiFi-nettverket. Les mer (du gjettet det: En Wi-Fi-aktivert vannkoker), som kunne overbevises av en angriper om å avsløre Wi-Fi-detaljene (i ren tekst, ikke mindre) av hjemmenettverket.
For angrepet på jobb måtte du først opprette et spoofed trådløst nettverk som deler samme SSID (navnet på nettverket) som det som har iKettle knyttet til det. Ved å koble til den via UNIX-verktøyet Telnet, og krysse gjennom noen menyer, kan du se nettverksbrukernavnet og passordet.
Så var det Samsungs Wi-Fi-tilkoblede Smart Kjøleskap Samsungs Smart Kjøleskap bare blitt pwned. Hvordan om resten av ditt smarte hjem? Samsungs Smart Kjøleskap ble bare pwned. Hvordan om resten av ditt smarte hjem? Et sårbarhet med Samsungs smarte kjøleskap ble oppdaget av britisk-baserte infosec-firmaet Pen Test Parters. Samsungs implementering av SSL-kryptering kontrollerer ikke gyldigheten av sertifikatene. Les Mer, som ikke godkjente SSL-sertifikater, og tillot at angripere potensielt kunne avskrekke Gmail-påloggingsinformasjon.
Som Smart Home tech blir stadig mer vanlig, og det vil du kunne forvente å høre om flere historier om disse enhetene som kommer med kritiske sikkerhetsproblemer og faller offer for noen høyprofilerte hacks.
Regjeringene får fremdeles ikke det
Et gjentakende tema vi har sett de siste årene er hvordan absolutt uvitende de fleste regjeringer er når det gjelder sikkerhetsspørsmål.
Noen av de mest ekstreme eksemplene på infosek analfabetisme finnes i Storbritannia, hvor regjeringen har gjentatte ganger og konsekvent vist at de bare ikke får det .
En av de verste ideene som blir floated i parlamentet, er ideen om at kryptering som brukes av meldingstjenester (for eksempel Whatsapp og iMessage), bør svekkes, slik at sikkerhetstjenestene kan fange opp og dekode dem. Som min kollega Justin Pot satte stor vekt på Twitter, er det som å sende alle pengeskap med en hovednøkkelkode.
Tenk deg om regjeringen sa at hver trygghet skulle ha en standard andre kode, hvis politiet vil ha det. Det er krypteringsdebatten akkurat nå.
- Justin Pot (@jhpot) 9. desember 2015
Det blir verre. I desember 2015 utstedte National Crime Agency (Storbritannias svar til FBI) noen råd til foreldre. Er barnet ditt en hacker? De britiske myndighetene tenker så er barnet ditt en hacker? De britiske myndighetene mener at NCA, Storbritannias FBI, har lansert en kampanje for å avskrekke unge fra datakriminalitet. Men deres råd er så bred at du kan anta at noen som leser denne artikkelen, er en hacker - selv deg. Les mer slik at de kan fortelle når barna er på vei til å bli herdede cyberkriminelle.
Disse røde flaggene, ifølge NCA, inkluderer "er de interessert i koding?" Og "er de motvillige til å snakke om hva de gjør online?".
Dette rådet er selvsagt søppel og ble utbredt, ikke bare av MakeUseOf, men også av andre store teknologipublikasjoner, og infosec-fellesskapet.
@NCA_UK viser interesse for koding som advarselstegn for cyberkriminalitet! Ganske forbløffende. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz
- David G Smith (@forforought) 9. desember 2015
Så en interesse for koding er nå et "advarselstegn på cyberkriminalitet". NCA er i utgangspunktet en IT-dept fra 1990-tallet. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 10. desember 2015
Barn som var interessert i koding vokste opp til å være ingeniører som skapte #Twitter, #Facebook og #NCA nettsiden (blant annet)
- AdamJ (@IAmAdamJ) 9. desember 2015
Men det var en indikasjon på en foruroligende trend. Regjeringene får ikke sikkerhet . De vet ikke hvordan de skal kommunisere om sikkerhetstrusler, og de forstår ikke de grunnleggende teknologiene som gjør Internett-arbeidet. For meg er det langt mer enn noen hacker eller cyber-terrorist.
Noen ganger bør du forhandle med terrorister
Den største sikkerhetshistorien til 2015 var utvilsomt Ashley Madison-hackingen Ashley Madison Leak No Big Deal? Tenk igjen Ashley Madison Lekkasje Ingen Big Deal? Tenk igjen Diskret online datingside Ashley Madison (målrettet primært på utro ektefeller) har blitt hacket. Men dette er et langt mer alvorlig problem enn det som har blitt portrettert i pressen, med betydelige implikasjoner for brukersikkerhet. Les mer . Hvis du har glemt, la meg gjenskape.
Lansert i 2003 var Ashley Madison et datingside med en forskjell. Det tillot giftede mennesker å koble seg til folk som ikke egentlig var ektefeller. Deres slagord sa alt. "Livet er kort. Ha en affære."
Men grovt som det var, var det en vellykket suksess. På bare over ti år hadde Ashley Madison samlet nesten 37 millioner registrerte kontoer. Selv om det er sagt at ikke alle av dem var aktive. De aller fleste var sovende.
Tidligere i år ble det klart at alt ikke var bra med Ashley Madison. En mystisk hackinggruppe, kalt The Impact Team, utstedte en uttalelse som hevdet at de hadde vært i stand til å skaffe nettsteddatabasen, pluss en betydelig buffer for interne e-poster. De truet med å frigjøre det, med mindre Ashley Madison ble stengt sammen med sin søsterside Etablert Menn.
Avid Life Media, som er eiere og operatører av Ashley Madison og Established Men, utgitt en pressemelding som nedliste angrepet. De understreket at de jobbet med rettshåndhevelse for å spore forsettene, og "kunne sikre våre nettsteder og lukke uautoriserte tilgangspunkter".
Erklæring fra Avid Life Media Inc .: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 20. juli 2015
Den 18. august ga Impact Team ut hele databasen.
Det var en utrolig demonstrasjon av Internett-rettferdighetens hurtighet og uforholdsmessige karakter. Uansett hvordan du føler om å snyte (jeg hater det, personlig), noe følte meg helt feil om det . Familier ble revet asunder. Karriere ble umiddelbart og svært offentlig ødelagt. Noen opportunister sendte til og med abonnenter utpressing e-post, via e-post og post, og melket dem ut av tusenvis. Noen trodde at deres situasjoner var så håpløse, de måtte ta sine egne liv. Det var dårlig. 3 grunner til at Ashley Madison Hack er en alvorlig affære 3 grunner til at Ashley Madison Hack er en alvorlig affære Internett virker ekstatisk om Ashley Madison hack, med millioner av forfalskninger og potensielle forfalskers detaljer hacket og utgitt på nettet, med artikler utflukt personer som er funnet i datadumpen. Hilarious, ikke sant? Ikke så fort. Les mer
Hacket skinnet også en spotlight på Ashley Madisons indre arbeid.
De oppdaget at av de 1, 5 millioner kvinnene som var registrert på nettstedet, var bare rundt 10.000 egentlige ekte mennesker. Resten var roboter og falske kontoer opprettet av Ashley Madison-staben. Det var en grusom ironi at de fleste som registrerte seg, sannsynligvis aldri møtte noen gjennom det. Det var å bruke en litt samtaleseksempel, en "pølsefest".
mest pinlige delen av navnet ditt blir lekket fra Ashley Madison hack er du flørt med en bot. for penger.
- verbal spacey (@VerbalSpacey) 29. august 2015
Det stoppet ikke der. For $ 17 kan brukerne fjerne informasjonen fra nettstedet. Deres offentlige profiler ville bli slettet, og deres kontoer ville bli renset fra databasen. Dette ble brukt av folk som registrerte seg og senere angret på det.
Men lekkasjen viste at Ashley Maddison ikke faktisk fjernet regnskapene fra databasen. I stedet var de bare skjult fra det offentlige Internett. Når brukerdatabasen ble lekket, så var disse kontoene.
BoingBoing-dager Ashley Madison-dump inneholder informasjon om personer som har betalt AM for å slette sine kontoer.
- Denise Balkissoon (@balkissoon) 19. august 2015
Kanskje leksjonen vi kan lære av Ashley Madison-sagaen, er at det noen ganger er verdt å innrømme kravene til hackere.
La oss være ærlige. Avid Life Media visste hva som var på sine servere . De visste hva som ville ha skjedd hvis det var lekket. De burde ha gjort alt innenfor deres makt for å stoppe det fra å bli lekket. Hvis det betydde å stenge et par elektroniske egenskaper, så vær den.
La oss være stumpe. Folk døde fordi Avid Life Media tok stilling. Og for hva?
I mindre målestokk kan det hevdes at det ofte er bedre å møte kravene til hackere og malware-skapere. Ransomware er et godt eksempel på dette. Ikke fall feil av svindlere. En veiledning til Ransomware og andre trusler faller ikke i stykker av svindlere: En guide til Ransomware og andre trusler. Les mer. Når noen er infisert, og deres filer er kryptert, blir ofrene bedt om et "løsepris" for å dekryptere dem. Dette er vanligvis i grensene til $ 200 eller så. Når de blir betalt, returneres disse filene vanligvis. For ransomware forretningsmodell å jobbe, har ofre å ha noen forventninger om at de kan få sine filer tilbake.
Jeg tror fremover, mange av de selskapene som befinner seg i stillingen av Avid Life Media, vil spørre om en defiant holdning er den beste til å ta.
Andre leksjoner
2015 var et merkelig år. Jeg snakker ikke bare om Ashley Madison, heller.
VTech Hack VTech Gets Hacked, Apple Hates Headphone Jacks ... [Tech News Digest] VTech Gets Hacked, Apple Hates Headphone Jacks ... [Tech News Digest] Hackere avslører VTech-brukere, vurderer Apple å fjerne hodetelefonkontakten, julelys kan Senk Wi-Fi, Snapchat kommer i seng med (RED), og husker The Star Wars Holiday Special. Les mer var en spillveksler. Denne Hong Kong-baserte produsenten av barneleker har tilbudt en låst ned-tavle-datamaskin, med en barnevennlig appbutikk, og muligheten for foreldre til å styre den eksternt. Tidligere i år ble det hacket, med over 700 000 barns profiler lekket. Dette viste at alder ikke er en barriere for å være utsatt for et data brudd.
Det var også et interessant år for operativsystem sikkerhet. Mens spørsmål ble reist om den generelle sikkerheten til GNU / Linux, har Linux vært et offer for sin egen suksess? Har Linux vært et offer for sin egen suksess? Hvorfor sa Linux Foundation-lederen, Jim Zemlin, nylig at "Golden Age of Linux" snart kommer til en slutt? Har misjonen om å "fremme, beskytte og fremme Linux" mislyktes? Les mer, Windows 10 gjorde store løfter om å være den sikreste Windows noensinne 7 måter Windows 10 er sikrere enn Windows XP 7 måter Windows 10 er sikrere enn Windows XP Selv om du ikke liker Windows 10, burde du virkelig ha migrert fra Windows XP nå. Vi viser deg hvordan det 13 år gamle operativsystemet nå er riddled med sikkerhetsproblemer. Les mer . I år ble vi tvunget til å stille spørsmål om adage at Windows iboende er mindre sikker.
Det er nok å si, 2016 kommer til å bli et interessant år.
Hvilke sikkerhetstimer lærte du i 2015? Har du noen sikkerhetstimer å legge til? Legg igjen dem i kommentarene nedenfor.