Som vi nær afgrund 2016, lad os tage et minut til at reflektere over de sikkerhedsmæssige erfaringer, vi lærte i 2015. Fra Ashley Madison, til hackede elkedler, og risikable sikkerhedsrådgivning fra regeringen, der er en masse at tale om .
Smart Homes er stadig en Security Nightmare
2015 oplevede en bølge af folk at opgradere deres eksisterende analoge husholdningsartikler med edb, Internet-tilsluttet alternativer. Smart Hjem tech virkelig tog fart i år på en måde, ser ud til at fortsætte ind i det nye år. Men på samme tid, blev det også hamret hjem (sorry), at nogle af disse enheder er ikke alle, der sikkert.
Den største Smart Home sikkerhed historie blev måske den opdagelse, at nogle enheder blev skibsfart med to eksemplarer (og ofte hårdt kodet) kryptering certifikater og private nøgler. Det var ikke bare af tingenes internet produkter enten. Routere er udstedt af de store internetudbydere har vist sig at have begået denne mest kardinal af sikkerhedsmæssige synder.
Så hvorfor er det et problem?
I bund og dette gør det trivielt for en hacker at udspionere disse enheder via en "man-in-the-middle" angreb, opsnappe trafikken samtidig forbliver uopdaget af offeret. Dette er bekymrende, da Smart Home tech stigende grad brugt i utroligt følsomme sammenhænge, såsom personlig sikkerhed, husholdningsbrug sikkerhed, og i sundhedssektoren.
Hvis det lyder bekendt, er det fordi en række store computerproducenter har blevet fanget gør en meget lignende ting. I november 2015 blev Dell fundet at være shipping computere med en identisk rodcertifikat kaldet eDellRoot, mens i slutningen af 2014, blev Lenovo begyndte med vilje bryde SSL-forbindelser for at injicere reklamer i krypterede websider.
Det gjorde ikke stoppe der. 2015 var faktisk året for Smart Home usikkerhed, med mange enheder identificeret som kommer med en obskønt indlysende sikkerhedsbrist
Min favorit var den iKettle (du gættede det: En Wi-Fi aktiveret kedel)., Som kunne være overbevist af en hacker at afsløre de Wi-Fi-detaljer (i klartekst, ikke mindre) i sit hjemmenetværk.
for at angrebet til at arbejde, skal du først nødt til at skabe en falsk trådløst netværk der deler den samme SSID (navnet på netværket) som den, der har iKettle knyttet til den. Så ved at forbinde til det gennem UNIX hjælpeprogrammet Telnet, og gennemkører gennem et par menuer, kan du se brugernavn og adgangskode netværk.
Så var der Samsungs Wi-Fi tilsluttet Smart Køleskab, der har undladt at validere SSL-certifikater , og tillod hackere at potentielt opfange Gmail loginoplysninger.
Som Smart Home tech bliver stadig mainstream, og det vil, kan du forvente at høre om flere historier om disse enheder, der kommer med kritiske sikkerhed sårbarheder, og ofre for nogle højt profilerede hacks.
regeringer stadig ikke får det
Et tilbagevendende tema, vi har set i de seneste par år er hvordan fuldstændig uvidende fleste regeringer er når det kommer til sikkerhedsspørgsmål.
Nogle af de mest ekstreme eksempler på INFOSEC analfabetisme findes i Storbritannien, hvor regeringen har gentagne gange og konsekvent vist, at de bare ikke få det En af de værste ideer, der bliver flød i parlamentet er tanken, at den anvendte kryptering af messaging-tjenester (såsom Whatsapp og iMessage) bør svækkes, så sikkerhedstjenesterne kan opfange og afkode dem. Som min kollega Justin Pot saliently påpeget på Twitter, det er ligesom skibsfart alle pengeskabe med en master keycode. - Justin Pot (@jhpot) 9. december 2015 Det bliver værre. I december 2015 National Crime Agency (Storbritanniens svar på FBI) udstedte nogle råd til forældre, så de kan fortælle, når deres børn er på vej til at blive hærdede cyberkriminelle. Disse røde flag, i henhold til NCA, omfatte "er de interesseret i kodning?" og "er de tilbageholdende med at tale om, hvad de gør online?". Dette råd, naturligvis, er skrald og var bredt hånet, ikke kun af MakeUseOf, men også af andre store teknologiske publikationer, og INFOSEC samfund. - David G Smith (@aforethought) 9 December, 2015 - Graeme Cole (@elocemearg) December 10, 2015 - AdamJ (@IAmAdamJ) december 9, 2015 Men det var tegn på en bekymrende tendens. Regeringerne ikke får sikkerhed. De ved ikke, hvordan man kan kommunikere om sikkerhedstrusler, og de forstår ikke de grundlæggende teknologier, der gør internettet arbejde. For mig, det er langt mere om end nogen hacker eller cyber-terrorisme. Den største sikkerhed Historien om 2015 var utvivlsomt Ashley Madison hack. Hvis du har glemt, lad mig opsummere. Lanceret i 2003, Ashley Madison var et dating site med en forskel. Det tilladt gifte folk til at alliere sig med folk, der ikke var faktisk deres ægtefæller. Deres slogan siger det hele. "Livet er kort. Har en affære. " Men brutto som det er, det var en stor succes. I lidt over ti år, havde Ashley Madison akkumuleret næsten 37 millioner registrerede konti. Selv om det er indlysende, at ikke alle af dem var aktive. Langt de fleste var i dvale. Tidligere på året blev det klart, at alt ikke var godt med Ashley Madison. En mystisk hacking gruppe kaldet The Impact Team udsendte en erklæring hævder de havde været i stand til at opnå webstedet databasen, plus en betydelig cache af interne e-mails. De truede med at udløse den, medmindre Ashley Madison blev lukket ned, sammen med sine søster websted Etablerede mænd. Avid Life Media, der er ejere og operatører af Ashley Madison og Etablerede Mænd, udsendte en pressemeddelelse, der bagatelliseret angrebet. De understregede, at de arbejdede med politiet at opspore gerningsmændene, og var "i stand til at sikre vores hjemmesider, og luk de uautoriserede adgangspunkter". -. Ashley Madison (@ashleymadison) 20 juli 2015 den 18. th august, Impact Team har udgivet den fulde database det var en utrolig demonstration af hurtighed og uforholdsmæssig Internet retfærdighed. Ligegyldigt hvordan du føler om snyd (Jeg hader det, personligt), noget følte helt galt om det hack også skinnede en spotlight på de indre funktioner i Ashley Madison. De opdagede, at de 1,5 millioner kvinder, der er registreret på sitet, kun omkring 10.000 var faktiske ægte mennesker. Resten var robotter og falske konti skabt af Ashley Madison personale. Det var en grusom ironi, at de fleste mennesker, der har tilmeldt sig sandsynligvis aldrig mødt nogen igennem det. Det var, for at bruge et lidt dagligdags sætning, en 'pølse fest ". -. verbal spacey (@VerbalSpacey) 29 August, 2015 Det gjorde ikke stoppe der. For $ 17, kunne brugerne fjerne deres oplysninger fra stedet. Deres offentlige profiler ville blive slettet, og deres regnskaber ville blive slettet fra databasen. Dette blev brugt af folk, der har tilmeldt sig og senere fortrudt det. Men læk viste, at Ashley Maddison faktisk ikke fjerne konti fra databasen. I stedet blev de blot skjult for offentligheden internettet. Da deres brugerdatabase blev lækket, så var disse konti -.. Denise Balkissoon (@balkissoon) August 19, 2015 Måske den lektie, vi kan lære af Ashley Madison saga er, at nogle gange er det værd at føje sig efter de krav, som hackere. Lad os være ærlige. Avid Life Medier vidste hvad der var på deres servere Lad os være stump. Folk døde, fordi Avid Life Media tog et standpunkt. Og for hvad? På en mindre skala, kan det hævdes, at det er ofte bedre at opfylde kravene fra hackere og malware skabere. Ransomware er et godt eksempel på dette. Når nogen er inficeret, og deres filer er krypteret, bliver ofrene bedt om en "løsesum" for at dekryptere dem. Dette er generelt i grænserne for $ 200 eller deromkring. Når indbetalt, er disse filer generelt returneres. For ransomware forretningsmodel til at arbejde, ofrene nødt til at have nogle forventninger, de kan få deres filer tilbage. Jeg tror fremover, mange af de virksomheder, der befinder sig i den situation Avid Life Media vil sætte spørgsmålstegn ved, om en trodsig holdning er den bedste til at tage. 2015 var en mærkelig år. Jeg taler ikke kun om Ashley Madison, enten. VTech Hack var en game changer. Denne Hongkong baserede producent af legetøj til børn tilbydes en låst ned tablet computer, med en børnevenlige app store, og evnen for forældre at fjernstyre den. Tidligere på året blev det hacket, med over 700.000 børns profiler bliver lækket. Dette viste, at alder ikke er nogen hindring for at blive offer for et brud data. Det var også et interessant år for operativsystem sikkerhed. Mens spørgsmål er blevet rejst om den generelle sikkerhed i GNU /Linux, Windows 10 gjorde store løfter om at være den mest sikre Windows nogensinde. I år var vi tvunget til at sætte spørgsmålstegn ved mundheld om, at Windows er i sagens natur mindre sikker. Tilstrækkeligt til at sige, 2016 bliver et spændende år. Hvad sikkerhed lektioner har du lært i 2015 ? Har du nogen sikkerheds lektioner at tilføje? Lad dem i kommentarerne nedenfor.
.
Tænk, hvis regeringen sagde hver sikker bør have en standard anden kode, i tilfælde betjente ønsker i. Det er den kryptering debat lige nu.
@NCA_UK viser en interesse i kodning som en advarsel tegn for cyberkriminalitet! Ganske forbløffende. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz
Så en interesse i kodning nu en "advarsel tegn på cyberkriminalitet". NCA er dybest set en 1990'erne skole IT afd. https://t.co/r8CR6ZUErn
Børn, der var "interesseret i kodning" voksede op til at være de ingeniører, der skabt #Twitter, #Facebook og #NCA hjemmeside (blandt andre)
Sommetider du Bør
Forhandle med terrorister
Statement fra Avid Life Media Inc .: http://t.co /sSoLWvrLoQ
. Familier blev sønderrevet. Karriere blev øjeblikkeligt og meget offentligt ødelagt. Nogle opportunister sendt endda abonnenter afpresning e-mails, via e-mail og med post, malke dem ud af tusinder. Nogle mente deres situation var så håbløs, at de måtte tage deres eget liv. Det var slemt.
Mest pinlige del af dit navn bliver lækket fra Ashley Madison hack er du flirtede med en bot. for pengene
BoingBoing dag Ashley Madison dump indeholder oplysninger om mennesker, der betalte AM til at slette deres konti
. De vidste, hvad der ville være sket, hvis det blev lækket. De skulle have gjort alt i deres magt for at stoppe det fra at blive lækket. Hvis det betød lukke et par online egenskaber, så må det være.
Andre lektioner