Lo que podemos aprender de 2015 de los desafíos de seguridad y privacidad en línea

Vídeo: #SuperProgramadoresOrange

A medida que nos acercamos al precipicio de 2016, vamos a tomar un minuto para reflexionar sobre las lecciones que aprendimos de seguridad en 2015. Desde Ashley Madison, a teteras hackeados, y el consejo poco fiable de seguridad del gobierno, hay mucho de que hablar.Ashley Madison fugas no es gran cosa? Piensa otra vezAshley Madison fugas no es gran cosa? Piensa otra vezDiscreto en línea citas El sitio Ashley Madison (dirigida principalmente a los esposos de engaño) ha sido hackeado. Sin embargo, esto es un problema mucho más serio que ha sido retratado en la prensa, con considerables implicaciones para la seguridad del usuario.Lee mas

Casas inteligentes siguen siendo una pesadilla para la seguridad

2015 vio una avalancha de gente que actualicen sus artículos para el hogar analógicas existentes con alternativas computarizados, conectados a Internet. Inicio inteligente tecnología De Verdad despegó este año de una manera que parece que va a continuar en el Año Nuevo. Pero, al mismo tiempo, también fue recalcada (lo siento) que algunos de estos dispositivos no son tan seguro.

La historia más grande de seguridad Inicio de Smart fue tal vez que el descubrimiento de que algunos dispositivos se envío con duplicado (ya menudo difíciles de codificar) los certificados de cifrado y claves privadas. No era sólo por Internet de productos cosas bien. Se han encontrado routers emitidos por los principales proveedores de Internet que ha cometido este cardenal más de los pecados de seguridad.

router2

Así que, ¿por qué es un problema?

Esencialmente, esto hace que sea trivial para un atacante para espiar a estos dispositivos a través de una ‘Man-in-the-middle` ataque, interceptar el tráfico, mientras que al mismo tiempo que no se detecten por la víctima. Esto es preocupante, dado que el hogar inteligente tecnología cada vez se utiliza en contextos muy sensibles, como la seguridad personal, seguridad en el hogar, y en cuidado de la salud.¿Qué es un man-in-the-middle? Seguridad jerga explicados¿Qué es un man-in-the-middle? Seguridad jerga explicadosLee mas

Si esto suena familiar, es porque varios de los principales fabricantes de ordenadores han sido sorprendido haciendo algo muy similar. En noviembre de 2015, Dell se encontró que se envía ordenadores con una idéntica certificado raíz llama eDellRoot, mientras que a finales de 2014, se comenzó a Lenovo romper intencionalmente conexiones SSL con el fin de inyectar anuncios en páginas web cifrados.

No se detuvo allí. 2015 fue de hecho el año de la inseguridad hogar inteligente, con muchos dispositivos identificados como procedentes de una vulnerabilidad de seguridad obscenamente obvio.

Mi favorito fue el iKettle (Lo has adivinado: Una caldera activado para Wi-Fi), lo que podría ser convencido por un atacante para revelar los detalles de Wi-Fi (en texto plano, no menos) de su red doméstica.¿Por qué la iKettle Hack Usted debe preocuparse (incluso si usted no tiene uno)¿Por qué la iKettle Hack Usted debe preocuparse (incluso si usted no tiene uno)El iKettle es un hervidor de agua con WiFi que al parecer llegó con una enorme falla masiva, la seguridad que tenía el potencial para hacer estallar las redes WiFi abiertas enteras.Lee mas

ikettle-principal

Para el ataque a la obra, primero tenía que crear una red inalámbrica falsificada que comparte el mismo SSID (el nombre de la red) como el que ha iKettle la que se le atribuye. A continuación, mediante la conexión a la misma a través de la utilidad de UNIX Telnet, y atravesando a través de unos menús, se puede ver el nombre de usuario y la contraseña de la red.

Luego hubo Wi-Fi de Samsung Smart Connected Nevera, que no pudo validar los certificados SSL, y permitió a los atacantes potencialmente interceptar Gmail credenciales de inicio de sesión.Nevera inteligente de Samsung Sólo consiguió pwned. ¿Cómo sobre el resto de su hogar inteligente?Nevera inteligente de Samsung Sólo consiguió pwned. ¿Cómo sobre el resto de su hogar inteligente?Una vulnerabilidad con nevera inteligente de Samsung fue descubierto por la firma británica infosec pluma de la prueba Parters. implementación de cifrado SSL de Samsung no comprueba la validez de los certificados.Lee mas

Samsung-smartfridge

Vídeo: Charla de la Policía en colegios sobre uso seguro de Internet

Como el hogar inteligente tecnología se vuelve cada vez más corriente principal, y será, usted puede esperar oír de más historias de estos dispositivos viene con vulnerabilidades de seguridad críticos, y ser víctima de algunos cortes de alto perfil.

Los gobiernos todavía no lo entiendo

Un tema recurrente que hemos visto en los últimos años es lo absolutamente ajenos mayoría de los gobiernos son cuando se trata de asuntos de seguridad.

Algunos de los ejemplos más flagrantes de analfabetismo infosec se pueden encontrar en el Reino Unido, donde el gobierno tiene repetida y consistentemente demostrado que simplemente no lo entiendo.

Una de las peores ideas que está siendo flotaban en el parlamento es la idea de que el cifrado utilizado por los servicios de mensajería (como Whatsapp y iMessage) debe ser debilitado, por lo que los servicios de seguridad pueden interceptar y decodificar. Como mi colega Justin Pot saliently señaló en Twitter, que es como enviar todas las cajas fuertes con un código de llave maestra.

Se pone peor. En diciembre de 2015, la Agencia Nacional del crimen (la respuesta del Reino Unido para el FBI) emitido algunos consejos para los padres por lo que pueden decir cuando sus hijos están en el camino de convertirse en delincuentes endurecidos.Es su hijo un hacker? Las autoridades británicas lo creoEs su hijo un hacker? Las autoridades británicas lo creoEl NCA, el FBI de Gran Bretaña, ha puesto en marcha una campaña para disuadir a los jóvenes de la delincuencia informática. Sin embargo, su consejo es tan amplia que se podría suponer que cualquiera que lea este artículo es un hacker - incluso usted.Lee mas

Estas señales de alerta, según la NCA, incluyen “Están interesados ​​en la codificación?” y “¿Son reacios a hablar sobre lo que hacen en línea?”.

Mal consejo

Este consejo, obviamente, es la basura y fue ampliamente burlado, no sólo por MakeUseOf, sino también por otras importantes publicaciones de la tecnología, y la comunidad infosec.

Pero era indicativo de una tendencia preocupante. Los gobiernos no consiguen la seguridad. Ellos no saben cómo comunicar acerca de las amenazas de seguridad, y que no entienden las tecnologías fundamentales que hacen que el trabajo de Internet. Para mí, eso es mucho más preocupante que cualquier hacker o ciber-terrorista.

A veces tu Debería Negociar con los terroristas

La historia de seguridad más grande de 2015 fue, sin duda el hack Ashley Madison. En caso de que haya olvidado, me recapitulemos.Ashley Madison fugas no es gran cosa? Piensa otra vezAshley Madison fugas no es gran cosa? Piensa otra vezDiscreto en línea citas El sitio Ashley Madison (dirigida principalmente a los esposos de engaño) ha sido hackeado. Sin embargo, esto es un problema mucho más serio que ha sido retratado en la prensa, con considerables implicaciones para la seguridad del usuario.Lee mas

Lanzado en 2003, Ashley Madison era un sitio de citas con una diferencia. Se permitió que las personas casadas para conectar con personas que no eran en realidad sus cónyuges. Su lema lo dice todo. "La vida es corta. Tener una aventura."

Vídeo: Desafíos de Ciberseguridad y Privacidad en el IoT

Pero bruto como es, fue un gran éxito. En poco más de diez años, Ashley Madison había acumulado casi 37 millones de cuentas registradas. Aunque no hace falta decir que no todos ellos eran activos. La gran mayoría eran inactivos.

A principios de este año, se hizo evidente que no todo estaba bien con Ashley Madison. Un grupo de hackers misterioso llamado El Equipo de Impacto emitió un comunicado afirmando que habían sido capaces de obtener la base de datos del sitio, además de un caché considerable de correos electrónicos internos. Amenazaron a liberarlo, a menos que Ashley Madison fue cerrado, junto con sus hombres la empresa hermana sitio.

Avid Life Media, que son los propietarios y operadores de Ashley Madison y Hombres establecidos, emitió un comunicado de prensa que minimizó el ataque. Hicieron hincapié en que estaban trabajando con la policía para localizar a los autores, y eran “capaces de asegurar a nuestros sitios, y cerrar los puntos de acceso no autorizados”.

En el 18º de agosto de Equipo de Impacto lanzado la base de datos completa.

Fue una increíble demostración de la rapidez y el carácter desproporcionado de la justicia a Internet. No importa cómo se siente acerca de hacer trampa (odio que, en lo personal), algo que sentía absolutamente erróneo al respecto. Las familias fueron desgarrados. Carreras fueron al instante y de forma muy notoria en ruinas. Algunos oportunistas incluso envían mensajes de correo electrónico de suscriptores de extorsión, a través de correo electrónico y por correo postal, el ordeño sacarlos de miles de personas. Algunos pensaban que sus situaciones eran tan desesperada, que tenían que quitarse la vida. Estuvo mal.3 razones por las que Ashley Madison Hack es una grave Affair3 razones por las que Ashley Madison Hack es una grave AffairInternet parece entusiasmado con el Ashley Madison corte, con millones de adúlteros y potenciales adúlteros hackeados detalles y liberados en línea, con los artículos excursión de las personas que se encuentran en el volcado de datos. Hilarante, ¿verdad? No tan rapido.Lee mas

El hack también brillaba un centro de atención en el funcionamiento interno de Ashley Madison.

Descubrieron que de los 1,5 millones de mujeres que se registraron en el sitio, a tan sólo 10.000 eran seres humanos auténticos reales. El resto eran robots y cuentas falsas creadas por el personal de Ashley Madison. Era una cruel ironía que la mayoría de las personas que se inscribieron probablemente nunca conocido a nadie a través de él. Era, para usar una frase poco coloquial, una ‘salchicha Fest`.

No se detuvo allí. Por $ 17, los usuarios podrían eliminar su información del sitio. Sus perfiles públicos serían borrados, y sus cuentas se purgan de la base de datos. Esto fue utilizado por las personas que se inscribieron y más tarde se arrepintió.

Pero la fuga mostró que Ashley Maddison no lo hizo actualmente eliminar las cuentas de la base de datos. En cambio, no eran más que ocultan de la Internet pública. Cuando se filtró su base de datos de usuario, por lo que eran estas cuentas.

Tal vez la lección que podemos aprender de la saga Ashley Madison es que A veces vale la pena consentir a las exigencias de los piratas informáticos.

Seamos honestos. Avid Life Media sabía lo que estaba en sus servidores. Sabían lo que habría ocurrido si se filtró. Se debería haber hecho todo lo que esté a su alcance para evitar que se filtre. Si eso significaba el cierre de un par de propiedades en línea, que así sea.

Vamos a ser francos. Personas murieron a causa de Avid Life Media tomó una posición. ¿Y para qué?

En una escala más pequeña, se puede argumentar que a menudo es mejor para satisfacer las demandas de los hackers y creadores de malware. Ransomware es un gran ejemplo de esto. Cuando una persona está infectada, y sus archivos están encriptados, las víctimas se les pide una ‘rescate` con el fin de descifrarlos. Esto está generalmente en los límites de $ 200 más o menos. Cuando desembolsado, estos archivos son generalmente devueltos. Para el modelo de negocio ransomware para trabajar, las víctimas tienen que tener alguna expectativa de que pueden tener en sus archivos de nuevo.No caiga Falta de los estafadores: Una guía para ransomware & otras amenazasNo caiga Falta de los estafadores: Una guía para ransomware & otras amenazasLee mas

Creo que en el futuro, muchas de las empresas que se encuentran en la posición de Avid Life Media se pregunta si una postura desafiante es el mejor para tomar.

otras Clases

2015 fue un año extraño. No estoy hablando sólo de Ashley Madison, tampoco.

los VTech Hack Fue un cambio de juego. Este fabricante de Hong Kong con base de juguetes para niños que ofrece un equipo Tablet PC bloqueado, con una tienda de aplicaciones amigable para los niños, y la capacidad de los padres para controlar a distancia la misma. A principios de este año, se cortó, con más de 700.000 perfiles de los niños se filtraron. Esto mostró que la edad no es obstáculo para ser víctima de una violación de datos.VTech está pirateada, de Apple odia Tomas para auriculares ... [Tech News Digest]VTech está pirateada, de Apple odia Tomas para auriculares ... [Tech News Digest]Los hackers exponen a los usuarios VTech, Apple considera que la eliminación de la toma de auriculares, las luces de Navidad puede ralentizar su conexión Wi-Fi, Snapchat se mete en la cama con (RED), y recordando La guerra de las galaxias de fiesta especial.Lee mas

También fue un año interesante para la seguridad del sistema operativo. Se plantearon preguntas acerca de la seguridad general de GNU / Linux, Windows 10 hizo grandes promesas de siendo la más segura de Windows cada vez. Este año, nos vimos obligados a cuestionar el dicho de que Windows es inherentemente menos seguro.

Basta con decir que 2016 va a ser un año interesante.

¿Qué lecciones ha aprendido de seguridad en 2015? ¿Tiene alguna lecciones de seguridad que añadir? Dejarlas en los comentarios a continuación.

Artículos Relacionados