İlan

2016'nın uçurumuna yaklaştıkça, 2015'te öğrendiğimiz güvenlik derslerini düşünmek için bir dakikanızı ayıralım. itibaren Ashley madison Ashley Madison Sızıntı Yok Büyük Anlaşma? Tekrar düşünSağduyulu çevrimiçi tanışma sitesi Ashley Madison (öncelikle hile eşlerini hedefleyen) saldırıya uğradı. Ancak bu, kullanıcı güvenliğini önemli ölçüde etkileyecek şekilde basında tasvir edilenden çok daha ciddi bir konudur. Daha fazla oku , hacklenmiş su ısıtıcıları Nesnelerin İnterneti Sizi Korkutmak İçin 7 NedenNesnelerin İnterneti'nin potansiyel faydaları parlaklaşırken, tehlikeler sessiz gölgelere dönüşür. IoT'nin yedi korkunç vaadiyle bu tehlikelere dikkat çekme zamanı. Daha fazla oku ve hükümetin tehlikeli güvenlik önerileri hakkında konuşacak çok şey var.

Akıllı Evler Hala Güvenlik Kabusu

2015, mevcut analog ev eşyalarını bilgisayarlı, internet bağlantılı alternatiflerle yükselten bir acele gördü. Akıllı Ev teknolojisi Gerçekten mi bu sene Yeni Yıla devam edecek gibi görünüyor. Ancak aynı zamanda, bu cihazlardan bazılarının eve (üzgünüm) dövülmesi de hepsi bu kadar güvenli değil.

instagram viewer

En büyük Akıllı Ev güvenlik hikayesi, belki de bazı cihazların yinelenen (ve genellikle sabit kodlanmış) şifreleme sertifikalarıyla gönderim ve özel anahtarlar. Bu sadece Nesnelerin İnterneti ürünleri değildi. Büyük İSS'ler tarafından verilen yönlendiriciler bu en önemli güvenlik günahlarını gerçekleştirdiği tespit edilmiştir.

YÖNLENDİRİCİ2

Peki, neden bir sorun?

Esasen, bu bir saldırganın bu cihazlarda casusluk yapmasını "Ortadaki adam" saldırısı Ortadaki Adam Saldırısı Nedir? Güvenlik Jargonu Açıklandı"Ortadaki adam" saldırılarını duyduysanız ancak bunun ne anlama geldiğinden emin değilseniz, bu sizin için bir makaledir. Daha fazla oku , aynı anda kurban tarafından algılanmadan trafikte durmak. Bu, Smart Home teknolojisinin kişisel güvenlik gibi inanılmaz derecede hassas bağlamlarda giderek daha fazla kullanıldığı göz önüne alındığında, ev güvenliği Nest Protect İncelemesi ve Hediye Daha fazla oku ve sağlık hizmetlerinde.

Bu size tanıdık geliyorsa, bunun nedeni, bazı büyük bilgisayar üreticilerinin benzer bir şey yaparken yakalanmış olmalarıdır. Kasım 2015'te Dell'in, aynı eDellRoot adlı kök sertifika Dell'in En Yeni Dizüstü Bilgisayarları eDellRoot ile EtkileniyorDünyanın üçüncü büyük bilgisayar üreticisi Dell, tıpkı Lenovo'nun Superfish ile yaptığı gibi, tüm yeni bilgisayarlara haydut kök sertifikalar gönderiyor. Yeni Dell PC'nizi nasıl güvenli hale getireceğiniz aşağıda açıklanmıştır. Daha fazla oku , 2014'ün sonlarında Lenovo başladı SSL bağlantılarını bilerek kırmak Lenovo Dizüstü Bilgisayar Sahipleri Dikkat: Cihazınız Önceden Yüklenmiş Kötü Amaçlı Yazılımlara Sahip OlabilirÇinli bilgisayar üreticisi Lenovo, 2014 sonlarında mağazalara gönderilen tüketicilerin ve tüketicilerin kötü amaçlı yazılımların önceden yüklendiğini itiraf etti. Daha fazla oku reklamları şifreli web sayfalarına enjekte etmek için.

Orada bitmedi. 2015 gerçekten de Akıllı Ev güvensizliği yılıydı, birçok cihaz açık bir güvenlik açığıyla geliyor.

Benim favorim iKettle'dı İKettle Hack'i Neden Endişelenmeli (Sahip olmasanız bile)İKettle, tüm WiFi ağlarını açma potansiyeli olan devasa, açık bir güvenlik açığıyla gelen WiFi özellikli bir su ısıtıcısıdır. Daha fazla oku (tahmin ettiniz: Saldırganın ev ağının Wi-Fi ayrıntılarını (düz metin olarak, daha az değil) göstermeye ikna edebilecek Wi-Fi özellikli bir su ısıtıcısı).

ikettle-ana

Saldırının çalışması için, önce iKettle'ın bağlı olduğu SSID'yi (ağın adını) paylaşan sahte bir kablosuz ağ oluşturmanız gerekiyordu. Daha sonra UNIX yardımcı programı Telnet üzerinden bağlanarak ve birkaç menüden geçerek ağ kullanıcı adını ve parolasını görebilirsiniz.

Sonra vardı Samsung’un Wi-Fi bağlantılı Akıllı Buzdolabı Samsung'un Akıllı Buzdolabı Yeni Açıldı. Akıllı Evinizin Geri Kalanı Hakkında Nasıl?İngiltere merkezli infosec firması Pen Test Parters tarafından Samsung'un akıllı buzdolabında bir güvenlik açığı bulundu. Samsung’un SSL şifrelemesi uygulaması, sertifikaların geçerliliğini kontrol etmez. Daha fazla oku SSL sertifikaları doğrulanamadı ve saldırganların Gmail giriş kimlik bilgilerini potansiyel olarak engellemesine izin verdi.

samsung-smartfridge

Akıllı Ev teknolojisi giderek yaygınlaştıkça ve olacak, daha fazla hikaye duymayı bekleyebilirsiniz bu cihazlar kritik güvenlik açıkları ile geliyor ve bazı yüksek profilli saldırılara kurban gidiyor.

Hükümetler Hala Anlayamıyor

Geçtiğimiz birkaç yıl boyunca gördüğümüz yinelenen bir tema, güvenlik konularında çoğu hükümetin ne kadar kayıtsız olduğudur.

Infosec cehaletinin en berbat örneklerinden bazıları, hükümetin defalarca ve tutarlı bir şekilde sadece anlamıyorum.

Parlamentoda yüzen en kötü fikirlerden biri, mesajlaşma servisleri (Whatsapp ve iMessage gibi) tarafından kullanılan şifrelemenin zayıflatılmalı, böylece güvenlik hizmetleri bunları kesebilir ve kodunu çözebilir. Meslektaşım Justin Pot'un Twitter'da dikkat çektiği gibi, tüm kasaları ana anahtar koduyla göndermek gibi.

Devletin, polislerin girmesi durumunda her kasanın standart bir ikinci kodu olması gerektiğini söyleyin. Bu şu anda şifreleme tartışması.

- Justin Pot (@jhpot) Instagram Profilini Görüntüle 9 Aralık 2015

Daha da kötüleşiyor. Aralık 2015'te Ulusal Suç Ajansı (İngiltere'nin FBI'a cevabı) ebeveynler için bazı tavsiyeler verdi Çocuğunuz Hacker mı? İngiliz Yetkilileri Öyle Düşünüyorİngiltere'nin FBI'sı olan NCA, gençleri bilgisayar suçlarından caydırmak için bir kampanya başlattı. Ancak tavsiyeleri o kadar geniştir ki, bu makaleyi okuyan herhangi birinin bir hacker olduğunu varsayabilirsiniz - hatta siz. Daha fazla oku böylece çocuklarının sertleşmiş siber suçlular olma yolunda ne zaman olduğunu söyleyebilirler.

NCA'ya göre bu kırmızı bayraklar “Kodlama ile ilgileniyorlar mı?” ve “Çevrimiçi ortamda yaptıklarıyla ilgili konuşmak istemiyorlar mı?”.

Kötü tavsiye

Bu tavsiye, açıkçası, çöptür ve sadece MakeUseOf tarafından değil, aynı zamanda diğer büyük teknoloji yayınları tarafındanve infosec topluluğudur.

@NCA_UK kodlamaya ilgiyi siber suç için bir uyarı işareti olarak listeliyor! Oldukça şaşırtıcı. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- David G Smith (@aforethought) Instagram Profilini Görüntüle 9 Aralık 2015

Dolayısıyla, kodlamaya ilgi artık "siber suçun uyarı işareti" dir. NCA temelde 1990'lı yıllarda okulun BT departmanıdır. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) Instagram Profilini Görüntüle 10 Aralık 2015

'Kodlama ile ilgilenen' çocuklar oluşturan mühendisler olarak büyüdüler #Twitter, #Facebook ve #NCA web sitesi (diğerleri arasında)

- AdamJ (@IAmAdamJ) 9 Aralık 2015

Ancak bu, rahatsız edici bir eğilimin göstergesiydi. Hükümetler güvenlik almıyor. Güvenlik tehditleri hakkında nasıl iletişim kuracaklarını bilmiyorlar ve İnternet'i çalıştıran temel teknolojileri anlamıyorlar. Benim için bu, herhangi bir hacker veya siber teröristten çok daha önemli.

Bazen sen Meli Teröristler ile Müzakere

2015'in en büyük güvenlik hikayesi şüphesiz Ashley Madison kesmek Ashley Madison Sızıntı Yok Büyük Anlaşma? Tekrar düşünSağduyulu çevrimiçi tanışma sitesi Ashley Madison (öncelikle hile eşlerini hedefleyen) saldırıya uğradı. Ancak bu, kullanıcı güvenliğini önemli ölçüde etkileyecek şekilde basında tasvir edilenden çok daha ciddi bir konudur. Daha fazla oku . Unuttuysan, tekrar özetleyeyim.

2003 yılında başlatılan Ashley Madison, farklı bir tanışma sitesiydi. Evli insanların aslında eşleri olmayan insanlarla bağlantı kurmasına izin verdi. Sloganları her şeyi söyledi. "Hayat kısa. Bir ilişkiniz var. ”

Ama iğrenç olduğu gibi, kaçak bir başarıydı. On yıldan fazla bir süre içinde, Ashley Madison neredeyse 37 milyon kayıtlı hesap biriktirmişti. Her ne kadar hepsinin aktif olmadığını söylemeye gerek yok. Büyük çoğunluğu uykudaydı.

Bu yılın başlarında, her şeyin Ashley Madison ile iyi olmadığı belli oldu. The Impact Team adlı gizemli bir saldırı grubu, site veritabanını alabileceklerini ve dahili e-postaların büyük bir önbelleğini alabildiklerini iddia eden bir açıklama yayınladı. Ashley Madison kapatılmadığı takdirde kardeş sitesi Established Men ile birlikte serbest bırakmakla tehdit ettiler.

Ashley Madison ve Established Men'in sahibi ve işletmecisi olan Avid Life Media, saldırıyı önemsiz gösteren bir basın bülteni yayınladı. Faillerin izini sürmek için kolluk kuvvetleri ile çalıştıklarını ve “sitelerimizi güvence altına alabildiklerini ve yetkisiz erişim noktalarını kapatabileceklerini” vurguladılar.

Avid Life Media Inc. http://t.co/sSoLWvrLoQ

- Ashley Madison (@ashleymadison) Instagram Profilini Görüntüle 20 Temmuz 2015

18 Yaşındainci Ağustos ayının sonunda, Etki Ekibi tüm veritabanını yayınladı.

İnternet adaletinin hızlı ve orantısız doğasının inanılmaz bir gösterisiydi. Hile hakkında nasıl hissediyor olursanız olun (kişisel olarak nefret ediyorum), bir şey hissetti tamamen yanlış hakkında. Aileler parçalanmıştı. Kariyer anında ve çok kamuya mahvoldu. Hatta bazı oportünistler, e-posta ve posta yoluyla abonelerine gasp e-postaları göndererek binlerce kişiden sağım yaptılar. Bazıları durumlarının çok umutsuz olduğunu düşündüler, kendi hayatlarını almak zorunda kaldılar. Bu kötü oldu. Ashley Madison Hack Ciddi Bir Olay Olduğunu 3 Sebepİnternet, milyonlarca zina ve potansiyeli olan Ashley Madison kesmek konusunda kendinden geçmiş gibi görünüyor zina yapanların bilgileri çevrimiçi olarak saldırıya uğradı ve serbest bırakıldı. dökümü. Komik, değil mi? Çok hızlı değil. Daha fazla oku

Hack ayrıca Ashley Madison'ın iç işleyişinde de dikkat çekti.

Siteye kayıtlı 1,5 milyon kadının sadece 10.000'inin gerçek gerçek insanlar. Geri kalanlar, Ashley Madison personeli tarafından yaratılan robotlar ve sahte hesaplardı. Kaydolan çoğu insan muhtemelen onunla hiç kimseyle tanışmamıştı. Biraz konuşma diline özgü bir ifade kullanmak, bir 'sosis festivali' idi.

Ashley Madison kesmek isminden sızan en utanç verici kısmı bir bot ile flört olmasıdır. para için.

- Sözel uzaylı (@VerbalSpacey) 29 Ağustos 2015

Orada bitmedi. Kullanıcılar, 17 ABD doları karşılığında bilgilerini siteden kaldırabilir. Herkese açık profilleri silinir ve hesapları veritabanından temizlenir. Bu, kaydolan ve daha sonra pişman olan insanlar tarafından kullanıldı.

Ancak sızıntı Ashley Maddison'un aslında hesapları veritabanından kaldırın. Bunun yerine, sadece kamuya açık İnternetten gizlendiler. Kullanıcı veritabanı sızdırıldığında bu hesaplar da sızdı.

Ashley Madison dökümü, hesaplarını silmek için AM ödeyen kişilerin bilgilerini içerir.

- Denise Balkissoon (@balkissoon) Instagram Profilini Görüntüle 19 Ağustos 2015

Belki de Ashley Madison destanından öğrenebileceğimiz ders şudur: bazen bilgisayar korsanlarının taleplerini kabul etmeye değer.

Dürüst olalım. Avid Life Media sunucularında ne olduğunu biliyordu. Sızıntı olsaydı ne olacağını biliyorlardı. Sızmasını önlemek için ellerinden gelen her şeyi yapmış olmalılar. Bu, birkaç çevrimiçi mülkün kapatılması anlamına geliyorsa, öyle olsun.

Künt olalım. İnsanlar öldü çünkü Avid Life Media tavır aldı. Ve ne için?

Daha küçük bir ölçekte, bilgisayar korsanlarının ve kötü amaçlı yazılım yaratıcılarının taleplerini karşılamanın genellikle daha iyi olduğu söylenebilir. Fidye yazılımı bunun harika bir örneğidir Dolandırıcılar Faul Düşmeyin: Fidye Yazılımı ve Diğer Tehditler Rehberi Daha fazla oku . Birisine virüs bulaştığında ve dosyaları şifrelendiğinde, mağdurlardan şifresini çözmek için bir 'fidye' istenir. Bu genellikle 200 dolar civarındadır. Ödendiğinde, bu dosyalar genellikle iade edilir. Fidye yazılımı iş modelinin çalışması için, mağdurların dosyalarını geri alabilecekleri beklentisi olmalıdır.

İleride, Avid Life Media pozisyonunda bulunan birçok şirket, meydan okuyan bir tutumun alınacak en iyi tutum olup olmadığını sorgulayacaktır.

Diğer Dersler

2015 tuhaf bir yıldı. Ben de sadece Ashley Madison'dan bahsetmiyorum.

VTech Hack VTech Hacked Alır, Apple Kulaklık Jakları Nefret... [Teknoloji Haberleri Özeti]Hackerlar VTech kullanıcılarını ortaya çıkarır, Apple kulaklık jakını çıkarmayı düşünür, Noel ışıkları Wi-Fi'nizi yavaşlatabilir, Snapchat (RED) ile yatağa girer ve Star Wars Holiday Special'ı hatırlar. Daha fazla oku bir oyun değiştiriciydi. Bu Hong Kong merkezli çocuk oyuncakları üreticisi, çocuk dostu bir uygulama mağazası ve ebeveynlerin uzaktan kontrol edebilmesi için kilitli bir tablet bilgisayar sundu. Bu yılın başlarında, 700.000'den fazla çocuk profili sızdırılmıştı. Bu, yaşın veri ihlalinin kurbanı olmasının önünde bir engel olmadığını gösterdi.

Ayrıca işletim sistemi güvenliği için ilginç bir yıl oldu. Hakkında sorular sorulurken GNU / Linux'un genel güvenliği Linux Kendi Başarısının Kurbanı Oldu mu?Neden Linux Vakfı başkanı Jim Zemlin yakın zamanda "Linux'un altın çağı" nın yakında sona erebileceğini söyledi? "Linux'u tanıtmak, korumak ve ilerletmek" misyonu başarısız oldu mu? Daha fazla oku , Windows 10 büyük vaatlerde bulundu şimdiye kadarki en güvenli Windows olmak Windows 10, Windows XP'den Daha GüvenliWindows 10'u beğenmeseniz bile, şimdiye kadar gerçekten Windows XP'den taşınmış olmalısınız. 13 yaşındaki işletim sisteminin şimdi güvenlik sorunları ile nasıl çözüldüğünü gösteriyoruz. Daha fazla oku . Bu yıl, Windows'un doğası gereği daha az güvenli olduğu fikrini sorgulamak zorunda kaldık.

2016'nın ilginç bir yıl olacağını söylemek yeterli.

2015 yılında hangi güvenlik derslerini öğrendiniz? Eklenecek güvenlik dersiniz var mı? Onları aşağıdaki yorumlarda bırakın.

Matthew Hughes, Liverpool, İngiltere'den bir yazılım geliştiricisi ve yazarıdır. Elinde bir fincan güçlü siyah kahve olmadan nadiren bulunur ve kesinlikle Macbook Pro ve kamerasına hayran kalır. Blogunu şurada okuyabilirsiniz: http://www.matthewhughes.co.uk ve @matthewhughes'da Twitter'da onu takip edin.