Was können wir aus den Online-Sicherheits- und Datenschutzherausforderungen von 2015 lernen?
Wenn wir uns dem Abgrund von 2016 nähern, nehmen wir uns eine Minute Zeit, um über die Sicherheitslektionen zu reflektieren, die wir im Jahr 2015 gelernt haben. Von Ashley Madison Ashley Madison Leak Kein großer Deal? Denken Sie noch einmal nach Ashley Madison Leak keine große Sache? Denken Sie nochmal an die diskrete Online-Dating-Seite Ashley Madison (die hauptsächlich darauf ausgerichtet ist, Ehepartner zu betrügen) wurde gehackt. Dies ist jedoch ein weitaus ernsteres Problem als in der Presse dargestellt, was erhebliche Auswirkungen auf die Anwendersicherheit hat. Lesen Sie mehr, gehackte Kessel 7 Gründe, warum das Internet der Dinge Sie erschrecken sollte 7 Gründe, warum das Internet der Dinge Sie erschrecken sollten Die potenziellen Vorteile des Internets der Dinge werden hell, während die Gefahren in den ruhigen Schatten geworfen werden. Es ist an der Zeit, mit sieben furchterregenden Versprechen des IoT auf diese Gefahren aufmerksam zu machen. Lesen Sie mehr und zwielichtige Sicherheitsratschläge der Regierung, es gibt viel zu besprechen.
Smart Homes sind immer noch ein Alptraum der Sicherheit
2015 gab es eine Eile von Leuten, die ihre bestehenden analogen Haushaltsgegenstände mit computergestützten, mit dem Internet verbundenen Alternativen aufrüsteten. Smart Home-Technologie Ja wirklich hat dieses Jahr auf eine Art und Weise begonnen, die sich auch im neuen Jahr fortsetzen wird. Gleichzeitig wurde jedoch auch nach Hause gehämmert (sorry), dass einige dieser Geräte sind nicht alle so sicher.
Die größte Sicherheitsgeschichte von Smart Home bestand möglicherweise darin, dass bei einigen Geräten doppelte (und oft hartcodierte) Verschlüsselungszertifikate und private Schlüssel ausgeliefert wurden. Es waren auch nicht nur Internet-of-Things-Produkte. Es wurde festgestellt, dass Router, die von großen Internetdienstanbietern herausgegeben wurden, diesen Kardinal der Sicherheitssünden begangen haben.
Warum ist es ein Problem??
Dies macht es für einen Angreifer so einfach, dass er diese Geräte durch einen Man-in-the-Middle-Angriff ausspioniert. Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Wenn Sie von "Man-in-the-Middle" -Angriffen gehört haben, sich aber nicht ganz sicher sind, was das bedeutet, ist dies der Artikel für Sie. Lesen Sie mehr, um den Verkehr abzufangen und gleichzeitig vom Opfer nicht erkannt zu werden. Dies ist besorgniserregend, da die Smart Home-Technologie zunehmend in äußerst sensiblen Kontexten eingesetzt wird, z. B. in den Bereichen persönliche Sicherheit, Sicherheit im Haushalt, Nest Protect Review und Giveaway. Nest Protect Review und Giveaway Read More sowie im Gesundheitswesen.
Wenn Ihnen das bekannt vorkommt, liegt das daran, dass eine Reihe großer Computerhersteller auf ähnliche Weise erwischt wurde. Im November 2015 hatte Dell herausgefunden, dass Computer mit einem identischen Stammzertifikat namens eDellRoot ausgeliefert wurden. Dells neueste Laptops sind mit eDellRoot infiziert. Dells neueste Laptops sind infiziert Computer - genau wie Lenovo mit Superfish. So machen Sie Ihren neuen Dell-PC sicher. Lesen Sie mehr. Ende 2014 begann Lenovo absichtlich, SSL-Verbindungen zu brechen. Lenovo Laptop-Besitzer Achtung: Ihr Gerät hat möglicherweise Malware vorinstalliert. Lenovo Laptop-Besitzer Achtung: Ihr Gerät hat möglicherweise vorinstallierte Malware Ende 2014 war Malware vorinstalliert. Lesen Sie weiter, um Anzeigen in verschlüsselte Webseiten einzufügen.
Es hat dort nicht aufgehört. 2015 war in der Tat das Jahr der Unsicherheit in Bezug auf Smart Home. Viele Geräte wiesen eine offensichtliche offensichtliche Sicherheitslücke auf.
Mein Favorit war der iKettle, warum der iKettle-Hack Ihnen Sorgen bereiten sollte (selbst wenn Sie keinen besitzen). Warum der iKettle-Hack Ihnen Sorgen bereitet (auch wenn Sie keinen besitzen) ein massiver, klaffender Sicherheitsfehler, der das Potenzial hatte, ganze WiFi-Netzwerke aufzubrechen. Lesen Sie mehr (Sie haben es erraten: Ein Wi-Fi-fähiger Wasserkocher), der von einem Angreifer überzeugt werden könnte, um die Wi-Fi-Details (in Klartext, nicht weniger) seines Heimnetzwerks preiszugeben.
Damit der Angriff funktionieren kann, mussten Sie zunächst ein gefälschtes drahtloses Netzwerk erstellen, das die gleiche SSID (den Namen des Netzwerks) hat wie die, an die der iKettle angeschlossen ist. Wenn Sie dann über das UNIX-Dienstprogramm Telnet eine Verbindung dazu herstellen und durch einige Menüs navigieren, können Sie den Benutzernamen und das Kennwort des Netzwerks sehen.
Dann gab es Samsungs Wi-Fi-Verbindung mit Smart Fridge. Samsung Smart Fridge Just Got Pwned. Wie wäre es mit dem Rest Ihres Smart Home? Samsungs intelligenter Kühlschrank hat gerade Pwned. Wie wäre es mit dem Rest Ihres Smart Home? Eine Schwachstelle des intelligenten Kühlschranks von Samsung wurde von Pen Test Parters aus Großbritannien entdeckt. Samsungs Implementierung der SSL-Verschlüsselung prüft nicht die Gültigkeit der Zertifikate. Read More (Weitere Informationen), bei dem SSL-Zertifikate nicht überprüft wurden, und Angreifern wurde die Möglichkeit gegeben, die Anmeldeinformationen für Google Mail abzufangen.
Da die Smart Home-Technologie immer mehr zum Mainstream wird, werden Sie davon ausgehen, dass weitere Geräte über kritische Sicherheitslücken berichten und einigen hochkarätigen Hacks zum Opfer fallen.
Regierungen verstehen es immer noch nicht
Ein wiederkehrendes Thema, das wir in den letzten Jahren gesehen haben, ist das völlige Vergessen der meisten Regierungen, wenn es um Sicherheitsfragen geht.
Einige der ängstlichsten Beispiele für Infosec-Analphabeten sind in Großbritannien zu finden, wo die Regierung wiederholt und konsequent gezeigt hat, dass dies der Fall ist versteh es einfach nicht.
Eine der schlimmsten Ideen, die im Parlament verbreitet werden, ist die Idee, dass die Verschlüsselung, die von Messaging-Diensten (wie Whatsapp und iMessage) verwendet wird, geschwächt werden muss, sodass die Sicherheitsdienste sie abfangen und entschlüsseln können. Wie mein Kollege Justin Pot auf Twitter hervorgehoben hat, sind alle Safes mit einem Master-Keycode zu versenden.
Stellen Sie sich vor, wenn die Regierung sagte, dass jeder Tresor einen standardmäßigen zweiten Code haben sollte, falls die Polizei es will. Dies ist die Verschlüsselungsdebatte.
- Justin Pot (@jhpot) 9. Dezember 2015
Es wird schlimmer. Im Dezember 2015 gab die Nationale Kriminalitätsbehörde (Antwort des Vereinigten Königreichs auf das FBI) einen Ratschlag für Eltern heraus. Ist Ihr Kind ein Hacker? Die britischen Behörden glauben, dass Ihr Kind ein Hacker ist? Britische Behörden denken so Die NCA, das britische FBI, hat eine Kampagne gestartet, um junge Menschen von Computerkriminalität abzuhalten. Aber ihr Rat ist so umfassend, dass Sie davon ausgehen können, dass jeder, der diesen Artikel liest, ein Hacker ist - auch Sie. Lesen Sie mehr, um zu erfahren, wann ihre Kinder auf dem Weg zu hartgesottenen Cyberkriminellen sind.
Diese roten Flaggen schließen laut NCA ein “interessieren sie sich für die Kodierung??” und “Zögern sie nicht darüber zu reden, was sie online tun?”.
Dieser Rat ist offensichtlich Müll und wurde vielfach verspottet, nicht nur von MakeUseOf, sondern auch von anderen wichtigen Technologiepublikationen und der Infosec-Community.
Die @NCA_UK nennt ein Interesse an der Codierung als Warnzeichen für Cyber-Kriminalität! Sehr erstaunlich. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz
- David G Smith (@aforethought) 9. Dezember 2015
Ein Interesse an der Kodierung ist jetzt ein "Warnzeichen für Cyberkriminalität". Die NCA ist im Grunde eine IT-Abteilung der 1990er Jahre. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 10. Dezember 2015
Kinder, die sich für das Programmieren interessieren, sind zu den Ingenieuren geworden, die #Twitter, #Facebook und die #NCA-Website (unter anderem) erstellt haben.
- AdamJ (@IAmAdamJ) 9. Dezember 2015
Es war jedoch ein Hinweis auf einen beunruhigenden Trend. Regierungen bekommen keine Sicherheit. Sie wissen nicht, wie sie über Sicherheitsbedrohungen kommunizieren sollen, und sie verstehen nicht die grundlegenden Technologien, die das Internet zum Funktionieren bringen. Für mich ist das weitaus besorgniserregender als jeder Hacker oder Cyber-Terrorist.
Manchmal ...... du Sollte Verhandle mit Terroristen
Die größte Sicherheitsgeschichte des Jahres 2015 war zweifellos der Ashley Madison-Hack Ashley Madison Leak No Big Deal? Denken Sie noch einmal nach Ashley Madison Leak keine große Sache? Denken Sie nochmal an die diskrete Online-Dating-Seite Ashley Madison (die hauptsächlich darauf ausgerichtet ist, Ehepartner zu betrügen) wurde gehackt. Dies ist jedoch ein weitaus ernsteres Problem als in der Presse dargestellt, was erhebliche Auswirkungen auf die Anwendersicherheit hat. Weiterlesen . Falls Sie es vergessen haben, lassen Sie mich das zusammenfassen.
Ashley Madison wurde im Jahr 2003 ins Leben gerufen und war eine Dating-Site, die etwas Besonderes darstellt. Es ermöglichte es verheirateten Menschen, sich mit Menschen zu treffen, die eigentlich nicht ihre Ehepartner waren. Ihr Slogan sagte alles. “Das Leben ist kurz. Eine Affäre haben.”
Aber so ekelhaft es auch war, es war ein voller Erfolg. In knapp zehn Jahren hatte Ashley Madison fast 37 Millionen registrierte Konten gesammelt. Es versteht sich von selbst, dass nicht alle von ihnen aktiv waren. Die große Mehrheit schlummerte.
Anfang des Jahres wurde deutlich, dass mit Ashley Madison nicht alles gut war. Eine mysteriöse Hacking-Gruppe namens The Impact Team gab eine Erklärung ab, in der behauptet wurde, sie hätten die Standortdatenbank abrufen können, sowie einen umfangreichen Cache mit internen E-Mails. Sie drohten, ihn freizulassen, es sei denn, Ashley Madison wurde zusammen mit seiner Schwesterstelle Established Men geschlossen.
Avid Life Media, Eigentümer und Betreiber von Ashley Madison und Established Men, veröffentlichten eine Pressemitteilung, in der der Angriff heruntergespielt wurde. Sie betonten, dass sie mit den Strafverfolgungsbehörden zusammenarbeiteten, um die Täter aufzuspüren, und waren dies auch “in der Lage, unsere Websites abzusichern und nicht autorisierte Zugriffspunkte zu schließen”.
Erklärung von Avid Life Media Inc.: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 20. Juli 2015
Am 18th Im August veröffentlichte das Impact Team die vollständige Datenbank.
Es war eine unglaubliche Demonstration der Schnelligkeit und Unverhältnismäßigkeit der Internetjustiz. Egal wie du dich beim Betrügen fühlst (ich hasse es persönlich), etwas fühlte sich an völlig falsch darüber. Familien wurden auseinander gerissen. Karrieren wurden sofort und sehr öffentlich ruiniert. Einige Opportunisten schickten ihren Abonnenten sogar per E-Mail und per Post Erpressungs-E-Mails, die sie zu Tausenden abmelkten. Einige hielten ihre Situation für so hoffnungslos, dass sie sich das Leben nehmen mussten. Es war schlecht. 3 Gründe, warum der Ashley Madison Hack eine ernste Angelegenheit ist 3 Gründe, warum der Ashley Madison Hack eine schwerwiegende Angelegenheit ist Das Internet scheint begeistert zu sein, wenn es um den Ashley Madison-Hack geht Personen, die im Datenspeicher gefunden wurden. Urkomisch, richtig? Nicht so schnell. Weiterlesen
Der Hack beleuchtete auch das Innenleben von Ashley Madison.
Sie stellten fest, dass von den 1,5 Millionen Frauen, die auf dem Gelände registriert waren, nur etwa 10.000 echte Menschen waren. Der Rest waren Roboter und falsche Konten, die von den Mitarbeitern von Ashley Madison erstellt wurden. Es war eine grausame Ironie, dass die meisten Leute, die sich angemeldet haben, wahrscheinlich nie jemanden getroffen haben. Es war, um eine etwas umgangssprachliche Phrase zu gebrauchen, ein 'Wurstfest'..
Der peinlichste Teil deines Namens, der aus dem Ashley Madison-Hack geleckt wird, ist, dass du mit einem Bot geflirtet hast. für Geld.
- verbal spacey (@VerbalSpacey) 29. August 2015
Es hat dort nicht aufgehört. Für 17 US-Dollar konnten Benutzer ihre Informationen von der Website entfernen. Ihre öffentlichen Profile würden gelöscht und ihre Konten aus der Datenbank gelöscht. Dies wurde von Leuten genutzt, die sich angemeldet haben und es später bereuen.
Aber das Leck zeigte, dass Ashley Maddison das nicht tat tatsächlich Entfernen Sie die Konten aus der Datenbank. Stattdessen wurden sie lediglich vor dem öffentlichen Internet verborgen. Als ihre Benutzerdatenbank durchgesickert war, waren dies auch diese Konten.
Die Tage von BoingBoing Ashley Madison enthalten Informationen über Personen, die AM für das Löschen ihrer Konten bezahlt haben.
- Denise Balkissoon (@balkissoon) 19. August 2015
Die Lehre, die wir aus der Ashley Madison-Saga lernen können, ist vielleicht die Manchmal lohnt es sich, den Anforderungen von Hackern nachzukommen.
Lass uns ehrlich sein. Avid Life Media wusste, was auf ihren Servern war. Sie wussten, was passiert wäre, wenn es durchgesickert wäre. Sie hätten alles in ihrer Macht Stehende tun sollen, um ein Durchsickern zu verhindern. Wenn dies bedeutete, dass einige Online-Immobilien geschlossen wurden, dann sei es so.
Lass uns stumpf sein. Menschen starben, weil Avid Life Media Stellung bezogen hat. Und wofür?
In einem kleineren Maßstab kann man argumentieren, dass es oft besser ist, die Anforderungen von Hackern und Malware-Entwicklern zu erfüllen. Ransomware ist ein großartiges Beispiel dafür. Fallen Sie nicht von den Betrügern ab: Ein Leitfaden für Ransomware und andere Bedrohungen Fallen Sie nicht unter den Betrügern: Ein Leitfaden für Ransomware und andere Bedrohungen Lesen Sie weiter. Wenn jemand infiziert ist und seine Dateien verschlüsselt sind, werden die Opfer nach einem Lösegeld gefragt, um sie zu entschlüsseln. Dies ist im Allgemeinen in der Größenordnung von 200 $ oder so. Bei Bezahlung werden diese Dateien im Allgemeinen zurückgegeben. Damit das Ransomware-Geschäftsmodell funktioniert, müssen die Opfer einige Erwartungen haben, dass sie ihre Dateien zurückerhalten können.
Ich denke, viele der Unternehmen, die sich in der Position von Avid Life Media befinden, werden sich fragen, ob eine trotzige Haltung die beste ist.
Andere Lektionen
2015 war ein merkwürdiges Jahr. Ich spreche nicht nur von Ashley Madison.
Der VTech-Hack VTech wird gehackt, Apple hasst Kopfhörerbuchsen… [Tech News Digest] VTech wird gehackt, Apple-Hates-Kopfhörerbuchsen… [Tech News Digest] Hacker setzen VTech-Benutzer frei -Fi, Snapchat kommt mit (RED) ins Bett und erinnert sich an das Star Wars Holiday Special. Mehr lesen war ein Spielwechsler. Der in Hongkong ansässige Hersteller von Kinderspielzeug bot einen abgesperrten Tablet-Computer mit einem kinderfreundlichen App-Store und die Möglichkeit der Fernsteuerung durch Eltern. Anfang des Jahres wurde es gehackt, wobei über 700.000 Kinderprofile durchgesickert wurden. Dies zeigte, dass das Alter kein Hindernis darstellt, um Opfer einer Datenverletzung zu werden.
Es war auch ein interessantes Jahr für die Betriebssystemsicherheit. Während Fragen zur Gesamtsicherheit von GNU / Linux aufgeworfen wurden, war Linux ein Opfer seines eigenen Erfolgs? War Linux ein Opfer seines eigenen Erfolgs? Warum sagte der Chef der Linux-Stiftung, Jim Zemlin, kürzlich, dass das "goldene Zeitalter von Linux" bald zu Ende gehen könnte? Ist die Mission "Linux fördern, schützen und weiterentwickeln" fehlgeschlagen? Lesen Sie mehr, Windows 10 hat große Versprechungen gemacht, das sicherste Windows zu sein. 7 Wege Windows 10 ist sicherer als Windows XP 7 Wege Windows 10 ist sicherer als Windows XP Auch wenn Sie Windows 10 nicht mögen, sollten Sie wirklich migriert haben von Windows XP jetzt. Wir zeigen Ihnen, wie das 13 Jahre alte Betriebssystem jetzt mit Sicherheitslücken übersät ist. Weiterlesen . Dieses Jahr mussten wir das Sprichwort in Frage stellen, dass Windows von Natur aus weniger sicher ist.
Es genügt zu sagen, dass 2016 ein interessantes Jahr wird.
Welche Sicherheitslektionen haben Sie 2015 gelernt? Haben Sie Sicherheitslektionen hinzu? Hinterlassen Sie sie in den Kommentaren unten.
Erfahren Sie mehr über: Verschlüsselung, Hacking, Internet der Dinge.