Propaganda
Ao nos aproximarmos do precipício de 2016, vamos refletir um pouco sobre as lições de segurança que aprendemos em 2015. De Ashley Madison Ashley Madison vazar não é grande coisa? Pense de novoO site discreto de namoro online Ashley Madison (direcionado principalmente para cônjuges trapaceiros) foi invadido. No entanto, esse é um problema muito mais sério do que o descrito na imprensa, com implicações consideráveis para a segurança do usuário. consulte Mais informação , para chaleiras hackeadas 7 razões pelas quais a Internet das coisas deve assustá-loOs benefícios potenciais da Internet das Coisas aumentam, enquanto os perigos são lançados nas sombras silenciosas. É hora de chamar a atenção para esses perigos com sete promessas aterradoras da IoT. consulte Mais informação , e conselhos de segurança do governo, há muito o que falar.
Casas inteligentes ainda são um pesadelo de segurança
Em 2015, houve uma multidão de pessoas atualizando seus itens domésticos analógicos existentes com alternativas computadorizadas e conectadas à Internet. Tecnologia Smart Home
realmente decolou este ano de uma maneira que parece continuar no Ano Novo. Mas, ao mesmo tempo, também foi martelado em casa (desculpe) que alguns desses dispositivos não é tão seguro.A maior história de segurança da Casa Inteligente foi talvez a descoberta de que alguns dispositivos estavam remessa com certificados de criptografia duplicados (e frequentemente codificados) e chaves privadas. Também não eram apenas produtos da Internet das Coisas. Roteadores emitidos pelos principais ISPs Verificou-se que cometeu o mais importante dos pecados de segurança.
Então, por que isso é um problema?
Essencialmente, isso torna trivial para um invasor espionar esses dispositivos por meio de um Ataque do tipo "homem do meio" O que é um ataque do tipo intermediário? Jargão de segurança explicadoSe você já ouviu falar de ataques "intermediários", mas não sabe ao certo o que isso significa, este é o artigo para você. consulte Mais informação , interceptando o tráfego e permanecendo simultaneamente não detectado pela vítima. Isso é preocupante, já que a tecnologia Smart Home está sendo cada vez mais usada em contextos incrivelmente sensíveis, como segurança pessoal, segurança doméstica Revisão e distribuição do Nest Protect consulte Mais informação e na área da saúde.
Se isso soa familiar, é porque vários fabricantes importantes de computadores foram pegos fazendo uma coisa muito semelhante. Em novembro de 2015, descobriu-se que a Dell vendia computadores com um idêntico certificado raiz chamado eDellRoot Os mais recentes laptops da Dell são infectados com o eDellRootA Dell, o terceiro maior fabricante de computadores do mundo, foi pego enviando certificados raiz não autorizados em todos os novos computadores - assim como a Lenovo com a Superfish. Veja como tornar seu novo PC Dell seguro. consulte Mais informação , enquanto no final de 2014, a Lenovo foi iniciada quebrar intencionalmente conexões SSL Os proprietários de laptops da Lenovo devem ter cuidado: o dispositivo pode ter malware pré-instaladoA fabricante chinesa de computadores Lenovo admitiu que os laptops enviados para lojas e consumidores no final de 2014 tinham o malware pré-instalado. consulte Mais informação para injetar anúncios em páginas da Web criptografadas.
Não parou por aí. De fato, 2015 foi o ano da insegurança da Casa Inteligente, com muitos dispositivos identificados como apresentando uma vulnerabilidade de segurança obscenamente óbvia.
Meu favorito foi o iKettle Por que o iKettle Hack deve se preocupar com você (mesmo se você não possui um)O iKettle é uma chaleira habilitada para WiFi que aparentemente veio com uma falha de segurança enorme e aberta que tinha o potencial de explodir redes WiFi inteiras. consulte Mais informação (você adivinhou: uma chaleira habilitada para Wi-Fi), que poderia ser convencida por um invasor a revelar os detalhes de Wi-Fi (em texto simples, nada menos) de sua rede doméstica.
Para que o ataque funcione, primeiro você precisa criar uma rede sem fio falsificada que compartilhe o mesmo SSID (o nome da rede) que aquele com o iKettle anexado. Em seguida, conectando-o através do utilitário Telnet do UNIX e percorrendo alguns menus, é possível ver o nome de usuário e a senha da rede.
Então houve Geladeira inteligente conectada à rede Wi-Fi da Samsung O refrigerador inteligente da Samsung acabou de aparecer. Como sobre o resto da sua casa inteligente?Uma vulnerabilidade do frigorífico inteligente da Samsung foi descoberta pela empresa de infosec britânica Pen Test Parters. A implementação da criptografia SSL da Samsung não verifica a validade dos certificados. consulte Mais informação , que falhou ao validar certificados SSL e permitiu que os invasores interceptassem potencialmente as credenciais de login do Gmail.
À medida que a tecnologia do Smart Home se torna cada vez mais popular, você pode esperar ouvir mais histórias de esses dispositivos vêm com vulnerabilidades críticas de segurança e são vítimas de alguns hacks de alto perfil.
Os governos ainda não entendem
Um tema recorrente que vimos nos últimos anos é o quão completamente inconsciente a maioria dos governos é quando se trata de questões de segurança.
Alguns dos exemplos mais flagrantes de analfabetismo infosec podem ser encontrados no Reino Unido, onde o governo mostrou repetida e consistentemente que eles só não entendi.
Uma das piores idéias que estão sendo divulgadas no parlamento é a idéia de que a criptografia usada pelos serviços de mensagens (como Whatsapp e iMessage) deve ser enfraquecido, para que os serviços de segurança possam interceptá-los e decodificá-los. Como destacou meu colega Justin Pot no Twitter, é como enviar todos os cofres com um código-chave mestre.
Imagine se o governo dissesse que todo cofre deveria ter um segundo código padrão, caso a polícia queira entrar. Esse é o debate sobre criptografia no momento.
- Justin Pot (@jhpot) 9 de dezembro de 2015
Fica pior. Em dezembro de 2015, a National Crime Agency (a resposta do Reino Unido ao FBI) emitiu alguns conselhos para os pais Seu filho é um hacker? As autoridades britânicas pensam assimA NCA, o FBI da Grã-Bretanha, lançou uma campanha para impedir jovens de crimes com computadores. Mas o conselho deles é tão amplo que você pode assumir que qualquer pessoa que esteja lendo este artigo é um hacker - até você. consulte Mais informação para que possam saber quando seus filhos estão a caminho de se tornarem cibercriminosos endurecidos.
Essas bandeiras vermelhas, de acordo com a NCA, incluem "Eles estão interessados em codificar?" e "Eles relutam em falar sobre o que fazem online?".
Esse conselho, obviamente, é lixo e foi amplamente ridicularizado, não apenas pelo MakeUseOf, mas também por outras importantes publicações de tecnologiae a comunidade infosec.
o @NCA_UK lista um interesse em codificar como um sinal de alerta para crimes cibernéticos! Bastante surpreendente. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz
- David G Smith (@aforethought) 9 de dezembro de 2015
Portanto, o interesse pela codificação é agora um "sinal de alerta de crimes cibernéticos". A NCA é basicamente um departamento de TI da escola dos anos 90. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 10 de dezembro de 2015
As crianças que estavam "interessadas em codificar" cresceram e se tornaram os engenheiros que criaram #Twitter, #Facebook e a #NCA site (entre outros)
- AdamJ (@IAmAdamJ) 9 de dezembro de 2015
Mas era indicativo de uma tendência preocupante. Os governos não recebem segurança. Eles não sabem como se comunicar sobre ameaças à segurança e não entendem as tecnologias fundamentais que fazem a Internet funcionar. Para mim, isso é muito mais preocupante do que qualquer hacker ou ciberterrorista.
As vezes você Devemos Negocie com terroristas
A maior história de segurança de 2015 foi, sem dúvida, o corte de Ashley Madison Ashley Madison vazar não é grande coisa? Pense de novoO site discreto de namoro online Ashley Madison (direcionado principalmente para cônjuges trapaceiros) foi invadido. No entanto, esse é um problema muito mais sério do que o descrito na imprensa, com implicações consideráveis para a segurança do usuário. consulte Mais informação . Caso você tenha esquecido, deixe-me recapitular.
Lançada em 2003, Ashley Madison era um site de namoro com uma diferença. Isso permitiu que as pessoas casadas se relacionassem com pessoas que não eram realmente seus cônjuges. O slogan deles dizia tudo. "A vida é curta. Ter um caso."
Mas, por mais bruto que seja, foi um grande sucesso. Em pouco mais de dez anos, Ashley Madison acumulou quase 37 milhões de contas registradas. Embora não seja preciso dizer que nem todos eles estavam ativos. A grande maioria estava adormecida.
No início deste ano, ficou claro que nem tudo estava bem com Ashley Madison. Um misterioso grupo de hackers chamado The Impact Team emitiu uma declaração alegando que eles haviam conseguido obter o banco de dados do site, além de um cache considerável de emails internos. Eles ameaçaram liberá-lo, a menos que Ashley Madison fosse fechada, junto com o site irmão, Established Men.
A Avid Life Media, proprietária e operadora da Ashley Madison e da Established Men, divulgou um comunicado de imprensa que minimizou o ataque. Eles enfatizaram que estavam trabalhando com a aplicação da lei para rastrear os autores e foram “capazes de proteger nossos sites e fechar os pontos de acesso não autorizados”.
Declaração da Avid Life Media Inc.: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 20 de julho de 2015
Nos 18º Em agosto, a Impact Team lançou o banco de dados completo.
Foi uma demonstração incrível da rapidez e natureza desproporcional da justiça na Internet. Não importa como você se sinta em fazer batota (eu odeio isso pessoalmente), algo pareceu totalmente errado sobre isso. Famílias foram despedaçadas. Carreiras foram instantaneamente e muito arruinadas publicamente. Alguns oportunistas chegaram a enviar e-mails de extorsão aos assinantes, por e-mail e por correio, ordenando-os aos milhares. Alguns pensaram que suas situações eram tão desesperadoras que tiveram que tirar suas próprias vidas. Foi ruim. 3 razões pelas quais o Ashley Madison Hack é um caso sérioA Internet parece extática com o hack de Ashley Madison, com milhões de adúlteros e potenciais detalhes dos adúlteros hackeados e divulgados on-line, com artigos divulgando indivíduos encontrados nos dados despejo. Hilariante, certo? Não tão rápido. consulte Mais informação
O hack também refletiu o funcionamento interno de Ashley Madison.
Eles descobriram que dos 1,5 milhão de mulheres registradas no site, apenas cerca de 10 mil eram seres humanos genuínos reais. O resto eram robôs e contas falsas criadas pela equipe da Ashley Madison. Era uma ironia cruel que a maioria das pessoas que se inscreveu provavelmente nunca conheceu ninguém através dela. Foi, para usar uma frase um pouco coloquial, uma 'festa da salsicha'.
a parte mais embaraçosa do seu nome vazada do hacker Ashley Madison é que você paquerou um bot. por dinheiro.
- espaço verbal (@VerbalSpacey) 29 de agosto de 2015
Não parou por aí. Por US $ 17, os usuários podem remover suas informações do site. Seus perfis públicos seriam apagados e suas contas removidas do banco de dados. Isso foi usado por pessoas que se inscreveram e depois se arrependeram.
Mas o vazamento mostrou que Ashley Maddison não na realidade remova as contas do banco de dados. Em vez disso, eles estavam apenas ocultos da Internet pública. Quando o banco de dados do usuário vazou, essas contas também.
Dias do BoingBoing O despejo de Ashley Madison inclui informações de pessoas que pagaram AM para excluir suas contas.
- Denise Balkissoon (@balkissoon) 19 de agosto de 2015
Talvez a lição que possamos aprender da saga Ashley Madison seja que às vezes vale a pena atender às demandas dos hackers.
Sejamos honestos. Avid Life Media sabia o que estava em seus servidores. Eles sabiam o que teria acontecido se vazasse. Eles deveriam ter feito tudo ao seu alcance para impedir que vazassem. Se isso significou encerrar algumas propriedades online, que assim seja.
Vamos ser francos. As pessoas morreram porque a Avid Life Media se posicionou. E para quê?
Em uma escala menor, pode-se argumentar que geralmente é melhor atender às demandas de hackers e criadores de malware. O ransomware é um ótimo exemplo disso Não se deixe enganar pelos golpistas: um guia para ransomware e outras ameaças consulte Mais informação . Quando alguém é infectado e seus arquivos são criptografados, solicita-se às vítimas um "resgate" para descriptografá-las. Isso geralmente é de US $ 200 ou mais. Quando pagos, esses arquivos geralmente são retornados. Para que o modelo de negócios de ransomware funcione, as vítimas precisam ter alguma expectativa de que podem recuperar seus arquivos.
Acho que, daqui para frente, muitas das empresas que se encontram na posição de Avid Life Media questionarão se uma postura desafiadora é a melhor a ser adotada.
Outras Lições
2015 foi um ano estranho. Também não estou falando apenas de Ashley Madison.
o VTech Hack VTech é hackeada, Apple odeia fones de ouvido... [Tech News Digest]Os hackers expõem os usuários da VTech, a Apple considera remover o fone de ouvido, as luzes de Natal podem diminuir a velocidade do seu Wi-Fi, o Snapchat deita na cama com (RED) e lembra o Star Wars Holiday Special. consulte Mais informação foi um divisor de águas. Esse fabricante de brinquedos para crianças de Hong Kong ofereceu um tablet bloqueado, com uma loja de aplicativos para crianças e a capacidade dos pais de controlá-lo remotamente. No início deste ano, ele foi hackeado, com mais de 700.000 perfis de crianças vazando. Isso mostrou que a idade não é uma barreira para ser vítima de uma violação de dados.
Foi também um ano interessante para a segurança do sistema operacional. Embora tenham sido levantadas questões sobre o segurança geral do GNU / Linux O Linux foi vítima de seu próprio sucesso?Por que o diretor da Linux Foundation, Jim Zemlin, disse recentemente que a "era de ouro do Linux" chegaria ao fim em breve? A missão de "promover, proteger e avançar o Linux" falhou? consulte Mais informação , O Windows 10 fez grandes promessas de sendo o Windows mais seguro de todos os tempos 7 maneiras pelo qual o Windows 10 é mais seguro que o Windows XPMesmo se você não gosta do Windows 10, realmente deveria ter migrado do Windows XP agora. Mostramos como o sistema operacional de 13 anos está cheio de problemas de segurança. consulte Mais informação . Este ano, fomos forçados a questionar o ditado de que o Windows é inerentemente menos seguro.
Basta dizer que 2016 será um ano interessante.
Que lições de segurança você aprendeu em 2015? Você tem alguma lição de segurança a adicionar? Deixe-os nos comentários abaixo.
Matthew Hughes é desenvolvedor e escritor de software de Liverpool, Inglaterra. Ele raramente é encontrado sem uma xícara de café preto forte na mão e adora absolutamente o Macbook Pro e a câmera. Você pode ler o blog dele em http://www.matthewhughes.co.uk e siga-o no twitter em @matthewhughes.
