Реклама

Када се приближавамо паду 2016. године, узмимо мало времена за размишљање о лекцијама о сигурности које смо научили у 2015. години. Фром Асхлеи Мадисон Асхлеи Мадисон Леак нема велике понуде? Размислите поновоХакирана је дискретна веб локација за упознавање Асхлеи Мадисон (усмерена пре свега на варање супружника). Међутим, ово је далеко озбиљније питање него што је приказано у штампи, са знатним последицама на безбедност корисника. Опширније , до хакирани чајници 7 разлога због којих би вас Интернет ствари требао уплашитиПотенцијалне користи Интернета ствари расту, док се опасности бацају у тихе сенке. Време је да скренемо пажњу на ове опасности са седам застрашујућих обећања ИоТ-а. Опширније и додиривани безбедносни савети владе, има се о чему да се разговара.

Паметне куће су и даље ноћна мора сигурности

У 2015. години налет људи је надограђивао постојеће аналогне предмете за домаћинство компјутеризованим алтернативама повезаним на Интернет. Смарт Хоме тецх стварно отпочела је ове године на начин који изгледа спремно да настави у Нову годину. Али у исто време је такође било забијено (жао) кући неки од ових уређаја

instagram viewer
нису баш све тако сигурно.

Највећа безбедносна прича Смарт Хоме-а можда је била откриће да су неки уређаји слање са дупликатним (и често тврдо кодираним) потврдама за шифровање и приватни кључеви. То није био само производ Интернета ствари. Рутери које издају главни даваоци интернетских услуга откривено је да је починио овај највећи кардинал греха сигурности.

роутер2

Па, зашто је то проблем?

У суштини, то чини тривијалним нападачем да шпијунира ове уређаје преко Напад "човека у средини" Шта је напад човека у средини? Објашњен сигурносни жаргонАко сте чули за нападе "човека у средини", али нисте баш сигурни шта то значи, ово је чланак за вас. Опширније , пресретање саобраћаја, а истовремено жртва остаје неоткривена. Ово је забрињавајуће, имајући у виду да се технологија Смарт Хоме све више користи у невероватно осетљивим контекстима, као што је лична сигурност, сигурност у домаћинству Преглед и издавање Нест Протецт-а Опширније и у здравству.

Ако ово звучи познато, то је због тога што је велики број произвођача рачунара ухваћен да ради врло сличне ствари. У новембру 2015. откривено је да Делл испоручује рачунаре са идентичним роот сертификат под називом еДеллРоот Делл-ови најновији преносници су заражени еДеллРоот-омДелл, трећи највећи произвођач рачунара на свету, ухваћен је како шаље нове сертификате са свим новим рачунарима - баш као што је то направио Леново са Суперфисх-ом. Ево како да свој нови Делл ПЦ учините безбедним. Опширније , док је крајем 2014. године започео Леново намерно прекидајући ССЛ везе Власници преносних рачунара компаније Леново Пазите: ваш уређај је можда унапред инсталирао злонамјерни софтверКинески произвођач рачунара Леново признао је да су лаптоп рачунари који су испоручени продавницама и потрошачима крајем 2014. имали прединсталирани злонамерни софтвер. Опширније да бисте убацили рекламе у шифроване веб странице.

Није се ту зауставило. 2015 је заиста била година несигурности Смарт Хоме-а, при чему су многи уређаји идентификовани као опсцено очигледна сигурносна угроженост.

Моје омиљено био је иКеттле Зашто би вас иКеттле Хацк требао забринути (чак и ако га немате)ИКеттле је чајник са омогућеном ВиФи мрежом који је, очигледно, долазио са масивним недостатком сигурности који је имао потенцијал да отвори читаве ВиФи мреже. Опширније (погодили сте: чајник са омогућеном Ви-Фи мрежом), што би нападач могао да убеди да открије детаље о Ви-Фи мрежи (у очигледном тексту, не мање) његове кућне мреже.

икеттле-маин

Да би напад функционисао, прво сте морали да креирате спофизну бежичну мрежу која дели исти ССИД (назив мреже) као онај који има иКеттле за њега. Затим повезивањем на њу преко УНИКС услужног програма Телнет и проласком кроз неколико менија можете видети мрежно корисничко име и лозинку.

Онда је било Самсунг хладњак са Ви-Фи-јем повезан Самсунг-ов паметни фрижидер Јуст Гот Пвнед. Како је са остатком вашег паметног дома?УК-ова фирма Пен Тест Партерс открила је рањивост Самсунг-овог паметног фрижидера. Самсунг-ова примена ССЛ шифровања не проверава валидност сертификата. Опширније , која није успела да потврди ССЛ сертификате и дозволила је нападачима да потенцијално пресрећу Гмаил повериоце за пријаву.

самсунг-смартфридге

Како технологија Смарт Хоме постаје све више маинстреам, а хоће, можете очекивати да чујете више прича ови уређаји поседују критичне безбедносне рањивости и постају жртва неких високопрофилних хакова.

Владе то још увек не схватају

Једна понављајућа тема коју смо видели током последњих неколико година јесте колико су крајње несвесне већине влада када је реч о безбедносним питањима.

Неки од најокрутнијих примера неписмене неписмености могу се наћи у Великој Британији, где је влада више пута и доследно показала да само не схватај.

Једна од најгорих идеја која се пласира у парламенту је идеја да шифрирање које користе сервиси за размену порука (као што су Вхатсапп и иМессаге) требало да ослаби, тако да их службе безбедности могу пресрести и декодирати. Као што је мој колега Јустин Пот истакнуо на Твиттеру, то је попут слања свих сефова с матичним кодом.

Замислите ако влада каже да сваки сеф треба имати стандардни други код, у случају да полицајци желе. То је дебата о шифровању.

- Јустин Пот (@јхпот) 9. децембра 2015

Погоршава се. У децембру 2015., Национална агенција за криминал (одговор Велике Британије ФБИ-у) издао неколико савета родитељима Да ли је ваше дете хакер? Британске власти тако мислеНЦА, британски ФБИ, покренуо је кампању за одвраћање младих од компјутерског криминала. Али њихов савет је толико широк да бисте могли претпоставити да је свако ко чита овај чланак хакер - чак и ви. Опширније тако да могу да утврде када су њихова деца на путу да постану оклеветани цибер-криминали.

Те црвене заставе, према НЦА, укључују „Да ли их занима кодирање?“ и „Да ли нерадо разговарају о ономе што раде на мрежи?“.

БадАдвице

Овај савет је очигледно смеће и широко су му се ругали, не само МакеУсеОф, већ и друге велике технолошке публикације, и инфосец заједницу.

Тхе @НЦА_УК наводи интересовање за кодирање као знак упозорења за сајбер криминал! Прилично запањујући. https://t.co/0D35wg8TGxпиц.твиттер.цом/втРДхЕП2Вз

- Давид Г Смитх (@афоретхоугхт) 9. децембра 2015

Дакле, интересовање за кодирање сада је „знак упозорења за сајбер криминал“. НЦА је у основи школски одсек за информатику из 1990-их. https://t.co/r8CR6ZUErn

- Граеме Цоле (@елоцемеарг) 10. децембра 2015

Деца која су била "заинтересована за кодирање" одрасла су као инжењери који су стварали #Твиттер, #Фејсбук и тхе #НЦА веб страница (између осталог)

- АдамЈ (@ИАмАдамЈ) 9. децембра 2015

Али, то је показало забрињавајући тренд. Владе не добијају сигурност. Они не знају како да комуницирају о безбедносним претњама и не разумеју основне технологије због којих Интернет функционише. За мене је то пуно више од било којег хакера или цибер-тероризма.

Понекад Ти Требало би Преговарајте с терористима

Највећа безбједносна прича у 2015. години је несумњиво била хајка Асхлеи Мадисон Асхлеи Мадисон Леак нема велике понуде? Размислите поновоХакирана је дискретна веб локација за упознавање Асхлеи Мадисон (усмерена пре свега на варање супружника). Међутим, ово је далеко озбиљније питање него што је приказано у штампи, са знатним последицама на безбедност корисника. Опширније . У случају да сте заборавили, допустите ми да их сакупим.

Рођена 2003. године, Асхлеи Мадисон је била страница за упознавања са разликом. Омогућено је да се ожењени повежу са људима који заправо нису били њихови супружници. Њихов слоган је све то рекао. "Живот је кратак. Имати аферу."

Али што је груб, био је то бежан успех. За само десет година, Асхлеи Мадисон је сакупила готово 37 милиона регистрованих рачуна. Мада је разумљиво да нису сви били активни. Велика већина је била у стању мировања.

Раније ове године, постало је очигледно да са Асхлеи Мадисон није све у реду. Тајанствена група за хакирање звана Тхе Импацт Теам издала је изјаву тврдећи да су успели да добију базу података веб локације, плус велику предмеморију унутрашњих порука е-поште. Они су претили да ће га пустити, осим ако Асхлеи Мадисон не буде затворена, заједно са сестринским местом Естаблисхед Мен.

Авид Лифе Медиа, који су власници и оператори Асхлеи Мадисон и Естаблисхед Мен, издао је саопштење за јавност које је умањило напад. Нагласили су да раде са полицијским органима на проналажењу починилаца и да су „били у стању да осигурају наше веб локације и затворе неовлашћене приступне тачке“.

Изјава компаније Авид Лифе Медиа Инц.: http://t.co/sSoLWvrLoQ

- Асхлеи Мадисон (@асхлеимадисон) 20. јула 2015

18тх августа, Импацт Теам је објавио комплетну базу података.

Била је то невероватна демонстрација брзине и несразмерности интернета правде. Без обзира како се осећате због варања (мрзим лично), нешто се осетило крајње погрешно о томе. Породице су биле растргане. Каријере су одмах и врло јавно упропашћене. Неки опортунисти чак су путем е-поште и поште слали претплатницима е-пошту о изнуђивању и наплаћивали их хиљадама. Неки су мислили да су њихове ситуације тако безнадежне да су себи морали одузети живот. Било је лоше. 3 разлога зашто је сјецкање Асхлеи Мадисон озбиљна афераИнтернет изгледа екстатично због хаке Асхлеи Мадисон, са милионима прељубника и потенцијала Подаци о прељубницима су хаковани и објављени путем интернета, а у подацима су пронађени чланци који откривају појединце Депонија. Смешно, зар не? Не тако брзо. Опширније

Хак је такође обасјао рефлекторе у унутрашњости рада Асхлеи Мадисон.

Открили су да је од 1,5 милиона жена које су регистроване на овом месту, само око 10.000 стварна истинска људска бића. Остало су роботи и лажни рачуни које је створило особље Асхлеи Мадисон. Била је то окрутна иронија да већина људи који су се пријавили вероватно никада никога није упознала. Било је, употреба помало разговора, „кобасица фест“.

Највише срамотног дела вашег имена који је процурио из хакла Асхлеи Мадисон јесте да ли ви флертујете са ботом. за новац.

- вербални размак (@ВербалСпацеи) 29. августа 2015

Није се ту зауставило. За 17 долара корисници би могли уклонити своје податке са веб локације. Њихови јавни профили биће избрисани, а њихови рачуни избачени из базе података. То су користили људи који су се пријавили и касније пожалили.

Али цурење је показало да Асхлеи Маддисон није заправо уклоните рачуне из базе података. Уместо тога, они су били само скривени од јавног интернета. Када је процурила њихова корисничка база података, били су и ови рачуни.

БоингБоинг дани Асхлеи Мадисон деумп укључује информације о људима који су платили АМ-у да обришу своје рачуне.

- Денисе Балкиссоон (@балкиссоон) 19. августа 2015

Можда је лекција коју можемо научити из саге Асхлеи Мадисон да је то понекад се исплати поклонити се захтевима хакера.

Будимо искрени. Авид Лифе Медиа знали су шта се налази на њиховим серверима. Знали су шта би се десило да то процури. Требали су учинити све што је у њиховој моћи да то спречи да не процури. Ако је то значило гашење неколико мрежних производа, нека буде.

Будимо тупи. Људи су умрли зато што су Авид Лифе Медиа заузели став. И за шта?

У мањем обиму, може се тврдити да је често боље удовољити захтевима хакера и стварања злонамерног софтвера. Рансомваре је сјајан пример тога Немојте пасти лажима: Водич за откуп и друге претње Опширније . Када је неко заражен, а њихове датотеке шифриране, жртве се траже 'откупнина' како би их дешифровала. То се обично креће око 200 долара или тако нешто. Кад се уплате, ове се датотеке углавном враћају. Да би пословни модел рансомваре могао да функционише, жртве морају очекивати да могу да добију своје досјее.

Мислим да ће у току многих компанија које се нађу у положају Авид Лифе Медиа пропитати је ли пркосан став најбољи.

Остале лекције

2015 је била чудна година. Не говорим ни о Асхлеи Мадисон.

Тхе ВТецх Хацк ВТецх добија хаковане, Аппле мрзи слушалице... [Тецх Невс Дигест]Хакери излажу кориснике ВТецх-а, Аппле разматра уклањање прикључка за слушалице, божићна лампица може успорити ваш Ви-Фи, Снапцхат се у кревет убаци са (РЕД) и сећа се Стар Варс Холидаи Специал-а. Опширније био је измењивач игара. Овај произвођач играчака за децу играча из Хонг Конга понудио је закључани таблет рачунар, са продавницама апликација прилагођеним деци и могућностима родитеља да га даљински управљају. Раније ове године, он је хакован, процурило је преко 700.000 дечјих профила. То је показало да старост не представља препреку да будете жртва кршења података.

Такође је била занимљива година за сигурност оперативног система. Док су се постављала питања о томе општа сигурност ГНУ / Линука Да ли је Линук постао сопствени успех?Зашто је шеф Линук фондације Јим Землин недавно рекао да би се „златно доба Линука“ ускоро могло завршити? Да ли је мисија "промовисања, заштите и унапређења Линука" пропала? Опширније , Виндовс 10 је дао велика обећања као најсигурнији Виндовс икад 7 начина Виндовс 10 је сигурнији од Виндовс КСП-аЧак и ако вам се не свиђа Виндовс 10, до сад сте стварно требали прећи с Виндовс КСП. Показали смо вам како је 13-годишњи оперативни систем препун сигурносних проблема. Опширније . Ове године били смо приморани да доведемо у питање да је Виндовс инхерентно мање безбедан.

Довољно је рећи да ће 2016. бити занимљива година.

Које сте лекције из области науке научили у 2015. години? Имате ли још каквих лекција сигурности? Оставите их у коментарима испод.

Маттхев Хугхес је програмер и писац софтвера из Ливерпула, Енглеска. Ретко се нађе без шољице јаке црне кафе у руци и апсолутно обожава свој Мацбоок Про и свој фотоапарат. Његов блог можете прочитати на http://www.matthewhughes.co.uk и пратите га на твиттеру на @маттхевхугхес.