פרסומת

כשאנחנו מתקרבים לשקע 2016, בואו ניקח דקה להרהר בשיעורי האבטחה שלמדנו בשנת 2015. מ אשלי מדיסון אשלי מדיסון דליפה לא ביג דיל? תחשוב שובאתר ההיכרויות המקוון דיסקרטי אשלי מדיסון (שממוקד בעיקר לבני זוג רמאות) נפרץ. עם זאת זהו נושא חמור בהרבה ממה שהוצג בעיתונות, עם השלכות ניכרות על בטיחות המשתמשים. קרא עוד , ל קומקומים פרוצים 7 סיבות מדוע האינטרנט של הדברים צריך להפחיד אותךהיתרונות הפוטנציאליים של האינטרנט של הדברים מתבהרים, ואילו הסכנות מטילות בצללים השקטים. הגיע הזמן להפנות את תשומת הלב לסכנות הללו בשבע הבטחות אימתניות של ה- IoT. קרא עוד ויש עצות ביטחוניות מעורפלות מהממשלה, יש הרבה על מה לדבר.

בתים חכמים הם עדיין סיוט ביטחוני

בשנת 2015 חיפזון אנשים שדרג את פריטי הבית האנלוגיים הקיימים שלהם באמצעות אלטרנטיבות ממוחשבות המחוברות לאינטרנט. טק בית חכם באמת המריא השנה באופן שנראה כי הוא ימשיך לשנה החדשה. אך יחד עם זאת, הושמע גם הביתה (סליחה) שחלק מהמכשירים האלה לא כל כך מאובטחים.

סיפור האבטחה הגדול ביותר של הבית החכם היה אולי כי התגלית שהייתה מכשירים מסוימים משלוח עם תעודות הצפנה כפולות (ולעתים קרובות עם קידוד קשה)

instagram viewer
ומפתחות פרטיים. זה גם לא היה רק ​​מוצרי אינטרנט של דברים. נתבים שהונפקו על ידי ספקי שירותי אינטרנט גדולים נמצא כי ביצעו את החטא הבטחוני ביותר הזה.

נתב 2

אז למה זה בעיה?

בעיקרו של דבר, זה גורם לכך שתוקף טריוויאלי מרגל אחר מכשירים אלה באמצעות א התקפה של 'אדם באמצע' מהי התקפה של אדם באמצע? הוסבר שפה הביטחוןאם שמעתם על התקפות "איש-באמצע" אך אינך בטוח לגמרי מה זה אומר, זה המאמר בשבילך. קרא עוד , ליירט תנועה ובו בזמן להישאר ללא גילוי על ידי הקורבן. זה קשור, בהתחשב בכך שיותר ויותר משתמשים בטכנולוגיית הבית החכם בהקשרים רגישים להפליא, כמו ביטחון אישי, בטיחות ביתית Nest Protect Review and Giveaway קרא עוד ובבריאות.

אם זה נשמע מוכר, הסיבה לכך היא שמספר יצרני מחשבים גדולים נתפסו ועושים דבר דומה מאוד. בנובמבר 2015 נמצא כי דל מסירה מחשבים עם זהים אישור שורש בשם eDellRoot המחשבים הניידים האחרונים של Dell נגועים ב- eDellRootדל, יצרנית המחשבים השלישית בגודלה בעולם נתפסה למשלוח תעודות שורש סוררות בכל המחשבים החדשים - ממש כמו שלנובו עשתה עם Superfish. כך תוכלו להפוך את מחשב ה- Dell החדש שלכם לבטוח. קרא עוד בעוד שבסוף 2014 החלה לנובו שבירה מכוונת של חיבורי SSL בעלי מחשב נייד של Lenovo היזהרו: ייתכן שההתקן שברשותך התקין מראש תוכנה זדוניתיצרנית המחשבים הסינית לנובו הודתה כי במחשבים ניידים שנשלחו לחנויות ולקוחות בסוף 2014 הותקנה תוכנה זדונית מראש. קרא עוד על מנת להזרים מודעות לדפי אינטרנט מוצפנים.

זה לא פסק שם. 2015 הייתה אכן השנה של חוסר הביטחון של הבית החכם, עם מכשירים רבים שזוהו כמגיעים עם פגיעות אבטחה ברורה מאליה.

המועדף עליי היה ה- iKettle מדוע האק iKettle צריך להדאיג אותך (גם אם אין לך אחד)ה- iKettle הוא קומקום התומך ב- WiFi אשר ככל הנראה הגיע עם ליקוי אבטחה מאסיבי ופער, שהיה בעל פוטנציאל לפוצץ רשתות WiFi שלמות. קרא עוד (ניחשתם נכון: קומקום שמאפשר Wi-Fi), שתוקף יכול היה לשכנע אותו לחשוף את פרטי ה- Wi-Fi (בפשטות, לא פחות) של הרשת הביתית שלו.

ikettle-main

כדי שההתקפה תעבוד, עליכם ליצור תחילה רשת אלחוטית מזויפת החולקת אותו SSID (שם הרשת) לזה ש- iKettle מחובר אליו. ואז על ידי חיבור אליו דרך כלי השירות UNIX Telnet, וניתוב בין מספר תפריטים, אתה יכול לראות את שם המשתמש והסיסמה של הרשת.

ואז היה מקרר החכם המחובר ל- Wi-Fi של סמסונג מקרר החכם של סמסונג בדיוק התחיל להכות. מה דעתך על שאר הבית החכם שלך?פגיעות עם המקרר החכם של סמסונג התגלתה על ידי חברת אינפיוזק Pen Test Parters. היישום של סמסונג של הצפנת SSL אינו בודק את תקפות האישורים. קרא עוד , שלא הצליחו לאמת אישורי SSL, ואיפשרו לתוקפים ליירט את פרטי הכניסה של Gmail.

סמסונג-חכם

ככל שהטכנולוגיה של הבית החכם הופכת למיינסטרים יותר ויותר, וכך תוכלו לצפות לשמוע על סיפורים נוספים על מכשירים אלה מגיעים עם פגיעויות אבטחה קריטיות ונפגעים מכמה פריצות בעלות פרופיל גבוה.

ממשלות עדיין לא משיגות את זה

נושא אחד שחוזר על עצמו ראינו במהלך השנים האחרונות הוא עד כמה התעלמות מוחלטת של רוב הממשלות בכל הנוגע לענייני ביטחון.

ניתן למצוא כמה מהדוגמאות המצערות ביותר של אנאלפבית אינפוסקים בבריטניה, שם הממשלה הראתה שוב ושוב בעקביות כי הם פשוט לא מבין.

אחד הרעיונות הגרועים ביותר שצפים בפרלמנט הוא הרעיון שההצפנה שמשמשת שירותי שירותי העברת הודעות (כמו Whatsapp ו- iMessage) צריך להיות מוחלש, כך ששירותי האבטחה יכולים ליירט ולפענח אותם. כפי שציין חברי בטוויטר בביטחון חברי, ג'סטין פוט, זה כמו למשלוח כל הכספות באמצעות קוד מפתח ראשי.

תאר לעצמך אם הממשלה אמרה שלכל כספת צריך להיות קוד שני רגיל, למקרה ששוטרים ירצו להיכנס. זה דיון ההצפנה ברגע זה.

- ג'סטין פוט (@jhpot) 9 בדצמבר 2015

זה מחמיר. בדצמבר 2015 סוכנות הפשע הלאומית (תשובת בריטניה ל- FBI) העניקו כמה עצות להורים האם ילדכם הוא האקר? הרשויות הבריטיות חושבות כךה- NCA, ה- FBI הבריטי, פתח בקמפיין להרתעת צעירים מפשע מחשבים. אבל העצה שלהם כל כך רחבה שאתה יכול להניח שכל מי שקורא את המאמר הזה הוא האקר - אפילו אתה. קרא עוד כך שיוכלו לדעת מתי ילדיהם בדרך להפוך לפושעי רשת קשוחים.

דגלים אדומים אלה, על פי ה- NCA, כוללים "האם הם מעוניינים בקידוד?" ו "האם הם לא ששים לדבר על מה שהם עושים באינטרנט?".

BadAdvice

עצה זו, ככל הנראה, היא זבל ונבזמה באופן נרחב, לא רק על ידי MakeUseOf, אלא גם על ידי פרסומי טכנולוגיה גדולים אחרים, וקהילת ה- infosec.

ה @NCA_UK מפרטת עניין בקידוד כסימני אזהרה לפשעי סייבר! מדהים למדי. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- דייוויד ג 'סמית' (@aforethought) 9 בדצמבר 2015

אז עניין בקידוד הוא כעת "סימן אזהרה לפשעי סייבר". ה- NCA הוא למעשה מחלקת ה- IT של בית הספר משנות התשעים. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10 בדצמבר 2015

ילדים ש'מעוניינים בקידוד 'גדלו להיות המהנדסים שיצרו #טוויטר, #פייסבוק וה #NCA אתר אינטרנט (בין השאר)

- AdamJ (@IAmAdamJ) 9 בדצמבר 2015

אבל זה מעיד על מגמה מטרידה. ממשלות לא מקבלות ביטחון. הם לא יודעים לתקשר על איומי אבטחה והם לא מבינים את הטכנולוגיות הבסיסיות שגורמות לאינטרנט לעבוד. מבחינתי זה הרבה יותר ענייני מכל האקר או טרוריסטים ברשת.

לפעמים אתה צריך משא ומתן עם טרוריסטים

סיפור האבטחה הגדול ביותר של 2015 היה ללא ספק האק של אשלי מדיסון אשלי מדיסון דליפה לא ביג דיל? תחשוב שובאתר ההיכרויות המקוון דיסקרטי אשלי מדיסון (שממוקד בעיקר לבני זוג רמאות) נפרץ. עם זאת זהו נושא חמור בהרבה ממה שהוצג בעיתונות, עם השלכות ניכרות על בטיחות המשתמשים. קרא עוד . למקרה ששכחת, תן לי לסקור מחדש.

Ashley Madison, שהושק בשנת 2003, היה אתר הכרויות עם הבדל. זה איפשר לאנשים נשואים להתחבר לאנשים שהם לא באמת בני זוגם. הסיסמה שלהם אמרה את הכל. "החיים קצרים. לנהל רומן."

אך ברוטו ככל שיהיה, זו הייתה הצלחה בורחת. בתוך קצת יותר מעשר שנים צברה אשלי מדיסון כמעט 37 מיליון חשבונות רשומים. אם כי למותר לציין שלא כולם היו פעילים. הרוב המכריע היו רדומים.

מוקדם יותר השנה התברר כי הכל לא היה בסדר עם אשלי מדיסון. קבוצת פריצה מסתורית בשם צוות ההשפעה פרסמה הודעה בטענה כי הצליחו להשיג את מסד הנתונים באתר, בתוספת זיכרון מטמון גדול של דוא"ל פנימי. הם איימו לשחרר אותה, אלא אם כן אשלי מדיסון תושבת, יחד עם אתר אחותה "ממסד גברים".

חברת Avid Life Media, שהם הבעלים והמפעילים של אשלי מדיסון ו"מסד גברים ", פרסמה הודעה לעיתונות שהמעידה על הפיגוע. הם הדגישו כי הם עובדים עם אכיפת החוק כדי לאתר את העבריינים, והם "הצליחו לאבטח את האתרים שלנו ולסגור את נקודות הגישה הלא מורשות".

הצהרה מאת Avid Life Media Inc: http://t.co/sSoLWvrLoQ

- אשלי מדיסון (@ashleymadison) 20 ביולי 2015

ב 18th באוגוסט פרסמה אימפקט צוות את מסד הנתונים המלא.

זו הייתה הדגמה מדהימה של המהירות והטבע הבלתי פרופורציונאלי של צדק אינטרנטי. לא משנה איך אתה מרגיש לגבי רמאות (אני שונא את זה, באופן אישי), משהו הרגיש טועה לחלוטין בנוגע לזה. משפחות נקרעו. קריירות נהרסו באופן מיידי ומאוד בפומבי. חלק מהאופורטוניסטים אף שלחו למנויים דוחות סחיטה, באמצעות דואר אלקטרוני ובדואר, וחילקו אותם מתוך אלפים. חלקם חשבו שהמצבים שלהם כל כך חסרי סיכוי, שהם נאלצו להתפנות לחייהם. זה היה רע. 3 סיבות מדוע האשלי מדיסון האק הוא עניין רציניהאינטרנט נראה באקסטזה לגבי האק של אשלי מדיסון, עם מיליוני נואפים ופוטנציאלים פרטי הנואפים נפרצו ושוחררו באופן מקוון, עם מאמרים בהם יוצאים פרטים על המידע שנמצא בנתונים מזבלה. מצחיק, נכון? לא כל כך מהר. קרא עוד

ההאקר גם זרק זרקור לעשייה הפנימית של אשלי מדיסון.

הם גילו כי מבין 1.5 מיליון הנשים הרשומות באתר, רק כ -10,000 היו בני אדם אמיתיים. השאר היו רובוטים וחשבונות מזויפים שנוצרו על ידי צוות אשלי מדיסון. זו הייתה אירוניה אכזרית שרוב האנשים שנרשמו כנראה מעולם לא פגשו מישהו באמצעותה. זה היה, להשתמש בביטוי מעט קולוני, "פסטה נקניקיות".

החלק המביך ביותר בשמך שמודלף מההאש של אשלי מדיסון הוא פלירטט עם בוט. עבור כסף.

- חלל מילולי (@VerbalSpacey) 29 באוגוסט 2015

זה לא פסק שם. תמורת 17 דולר, המשתמשים יוכלו להסיר את המידע שלהם מהאתר. הפרופילים הציבוריים שלהם יימחקו, והחשבונות שלהם יועברו מהמאגר. זה שימש אנשים שנרשמו ומאוחר יותר התחרטו.

אבל הדליפה הראתה שאשלי מדיסון לא עשתה זאת בעצם הסר את החשבונות מהמאגר. במקום זאת, הם היו מוסתרים רק מהאינטרנט הציבורי. כאשר דליפת מסד הנתונים של המשתמשים שלהם, כך גם חשבונות אלה.

ימי הבילינג בזריקת אשלי מדיסון כוללת מידע על אנשים ששילמו לפנות בוקר כדי למחוק את חשבונותיהם.

- דניס בלקיסון (@balkissoon) 19 באוגוסט 2015

אולי הלקח שאנו יכולים ללמוד מסאגת אשלי מדיסון הוא זה לפעמים כדאי להיענות לדרישות ההאקרים.

בוא נהיה כנים. לייף מדיה ידעו מה יש בשרתים שלהם. הם ידעו מה היה קורה אם זה היה דולף. הם היו צריכים לעשות כל שביכולתם כדי למנוע את הדלפתו. אם פירוש הדבר היה כיבוי של כמה נכסים מקוונים, שיהיה.

בואו נהיה בוטים. אנשים מתו מכיוון ש- Avid Life Media נקט עמדה. ובשביל מה?

בקנה מידה קטן יותר ניתן לטעון שלעתים קרובות עדיף לעמוד בדרישות של האקרים ויוצרי תוכנות זדוניות. Ransomware הוא דוגמה נהדרת לכך אל תיפול מהונאים: מדריך Ransomware ואיומים אחרים קרא עוד . כאשר מישהו נגוע, והקבצים שלו מוצפנים, הקורבנות מתבקשים 'כופר' על מנת לפענח אותם. בדרך כלל זה נמצא בגבול של 200 דולר לערך. לאחר תשלום, קבצים אלה מוחזרים בדרך כלל. כדי שהמודל העסקי של ransomware יעבוד, קורבנות צריכים לקבל ציפייה מסוימת שהם יכולים להחזיר את הקבצים שלהם.

אני חושב שקדימה, רבות מהחברות שמצאות עצמן במצב של AVID לייף מדיה ישאלו אם עמדה מתריסה היא הטובה ביותר לנקוט.

שיעורים אחרים

2015 הייתה שנה מוזרה. אני גם לא מדבר רק על אשלי מדיסון.

ה VTech האק VTech מתחבר, שקעי אוזניות של אפל שונאים... [Digest News Digest]האקרים חושפים את משתמשי VTech, אפל שוקלת להסיר את שקע האוזניות, אורות חג המולד יכולים להאט את ה- Wi-Fi שלכם, סנאפצ'ט נכנס למיטה עם (RED), וזוכר את חג החגים של מלחמת הכוכבים. קרא עוד היה מחליף משחק. יצרן הצעצועים לילדים ההונג קונגי הציע מחשב לוח נעול, עם חנות אפליקציות ידידותית לילדים, ויכולת ההורים לשלוט בו מרחוק. מוקדם יותר השנה הוא נפרץ, כאשר מעל 700,000 פרופילי ילדים הודלפו. זה הראה שגיל אינו מהווה שום מחסום בפני היותו קורבן להפרת נתונים.

זו הייתה גם שנה מעניינת לאבטחת מערכות ההפעלה. בזמן שהועלו שאלות לגבי האבטחה הכוללת של GNU / Linux האם לינוקס הייתה קורבן להצלחה משלה?מדוע ראש קרן לינוקס, ג'ים זמלין, אמר לאחרונה כי "תור הזהב של לינוקס" עשוי להסתיים בקרוב? האם המשימה "לקדם, להגן ולקדם את לינוקס" נכשלה? קרא עוד Windows 10 הבטיח הבטחות גדולות להיות Windows המאובטח ביותר אי פעם 7 דרכים Windows 10 מאובטח יותר מ- Windows XPגם אם אינך אוהב את Windows 10, באמת היית צריך לעבור מ- Windows XP עד עכשיו. אנו מראים לך כיצד מערכת ההפעלה בת ה -13 עוסקת כעת בבעיות אבטחה. קרא עוד . השנה נאלצנו להטיל ספק באמרה שמערכת Windows פחות או יותר בטוחה.

די לומר 2016 תהיה שנה מעניינת.

אילו שיעורי אבטחה למדת בשנת 2015? האם יש לך שיעורי אבטחה להוסיף? השאר אותם בתגובות למטה.

מתיו יוז הוא מפתח תוכנה וכותב מליברפול, אנגליה. לעיתים רחוקות הוא נמצא ללא כוס קפה שחור חזק בידו ומעריץ לחלוטין את ה- Macbook Pro ואת המצלמה שלו. תוכלו לקרוא את הבלוג שלו בכתובת http://www.matthewhughes.co.uk ותעקוב אחריו בטוויטר ב- @ matthewhughes.