Während wir uns dem Abgrund des Jahres 2016 nähern, lassen Sie uns eine Minute über die Sicherheitslehren nachdenken, die wir 2015 gelernt haben. Von Ashley Madison Ashley Madison Leak No Big Deal? Think Again Ashley Madison Leak Keine große Sache? Think Again Discreet Online-Dating-Website Ashley Madison (vor allem auf betrügerische Ehepartner gerichtet) wurde gehackt. Dies ist jedoch ein viel ernsthafteres Problem, als in der Presse dargestellt wurde, mit erheblichen Auswirkungen auf die Benutzersicherheit. Lesen Sie mehr, zu gehackten Kesseln 7 Gründe, warum das Internet der Dinge Sie erschrecken sollte 7 Gründe, warum das Internet der Dinge Sie erschrecken sollte Die potenziellen Vorteile des Internets der Dinge wachsen hell, während die Gefahren in die stillen Schatten geworfen werden. Es ist Zeit, mit sieben schrecklichen Versprechungen des IoT auf diese Gefahren aufmerksam zu machen. Lesen Sie mehr, und zwielichtige Sicherheitsratschläge von der Regierung, es gibt viel zu reden.
Smart Homes sind immer noch ein Sicherheits-Albtraum
2015 gab es eine Flut von Menschen, die ihre bestehenden analogen Haushaltsgegenstände mit computergestützten, mit dem Internet verbundenen Alternativen aufwerteten. Die Smart Home-Technologie hat dieses Jahr in einer Art und Weise begonnen, die bis ins neue Jahr gehen wird. Aber zur gleichen Zeit wurde auch gehämmert, dass einige dieser Geräte nicht so sicher sind.
Die größte Smart-Home-Sicherheitsgeschichte war vielleicht die Entdeckung, dass einige Geräte mit doppelten (und oft fest codierten) Verschlüsselungszertifikaten und privaten Schlüsseln ausgeliefert wurden. Es waren auch nicht nur Produkte des Internet of Things. Von Routern, die von großen ISPs herausgegeben wurden, wurde festgestellt, dass sie diesen größten Kardinal von Sicherheits-Sünden begangen haben.
Also, warum ist das ein Problem?
Dies macht es im Prinzip für einen Angreifer trivial, diese Geräte durch einen Man-in-the-Middle-Angriff auszuspionieren. Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Was ist ein Man-in-the-Middle Angriff? Sicherheitsjargon erklärt Wenn Sie von "Man-in-the-Middle" -Angriffen gehört haben, aber nicht ganz sicher sind, was das bedeutet, ist dies der Artikel für Sie. Lesen Sie mehr und fangen Sie Verkehr ab, während Sie gleichzeitig vom Opfer unbemerkt bleiben. Dies ist insofern bedenklich, als Smart Home-Technologie zunehmend in äußerst sensiblen Kontexten wie der persönlichen Sicherheit, der Sicherheit im Haushalt, Nest Protect Review und Giveaway Nest Protect Review und Giveaway Read More sowie im Gesundheitswesen eingesetzt wird.
Wenn das bekannt vorkommt, liegt es daran, dass eine Reihe von großen Computerherstellern dabei ertappt wurde, dass sie eine sehr ähnliche Sache machen. Im November 2015 wurde Dell Computer mit einem identischen Stammzertifikat namens eDellRoot ausgeliefert. Dells neueste Laptops sind mit eDellRoot infiziert. Dells neueste Laptops sind mit eDellRoot infiziert. Dell, der drittgrößte Computerhersteller der Welt, wurde beim Versand von Rogue Root-Zertifikaten auf allen neuen Produkten erwischt Computer - genau wie Lenovo mit Superfish. So können Sie Ihren neuen Dell PC sicher machen. Lesen Sie mehr, während Ende 2014 Lenovo begann absichtlich brechen SSL-Verbindungen Lenovo Laptop Besitzer Vorsicht: Ihr Gerät möglicherweise Malware vorinstalliert haben Lenovo Laptop Besitzer Vorsicht: Ihr Gerät möglicherweise Malware vorinstalliert chinesischen Computerhersteller Lenovo hat zugegeben, dass Laptops zu Geschäften und Verbrauchern ausgeliefert Ende 2014 war Malware vorinstalliert. Lesen Sie mehr, um Werbung in verschlüsselte Webseiten zu integrieren.
Es hörte nicht dort auf. 2015 war in der Tat das Jahr der Unsicherheit im Smart Home. Viele Geräte wurden mit einer obszön offensichtlichen Sicherheitslücke identifiziert.
Mein Favorit war der iKettle Warum der iKettle Hack Sie beunruhigen sollte (auch wenn Sie keinen besitzen) Warum sollte der iKettle Hack Sie beunruhigen (auch wenn Sie keinen besitzen) Der iKettle ist ein WiFi-fähiger Wasserkocher, der anscheinend mit geliefert wurde ein riesiger Sicherheitslücken, der das Potenzial hat, ganze WiFi-Netzwerke zu sprengen. Lesen Sie weiter (Sie haben es erraten: Ein WiFi-fähiger Wasserkocher), der von einem Angreifer überzeugt werden könnte, die Wi-Fi-Details (im Klartext, nicht weniger) seines Heimnetzwerks preiszugeben.
Damit der Angriff funktioniert, mussten Sie zunächst ein gefälschtes Drahtlosnetzwerk erstellen, das die gleiche SSID (den Namen des Netzwerks) verwendet wie das Gerät, an das das iKettle angeschlossen ist. Wenn Sie sich dann über das UNIX-Dienstprogramm Telnet mit ihm verbinden und einige Menüs durchlaufen, können Sie den Benutzernamen und das Kennwort des Netzwerks sehen.
Dann gab es Samsung Wi-Fi-Verbindung Smart Fridge Samsungs Smart Fridge Just Got Pwned. Wie wäre es mit dem Rest Ihres Smart Home? Samsungs intelligenter Kühlschrank erhielt gerade Pwned. Wie wäre es mit dem Rest Ihres Smart Home? Eine Schwachstelle mit Samsungs Smart-Kühlschrank wurde von der britischen Infosec-Firma Pen Test Parters entdeckt. Die Implementierung der SSL-Verschlüsselung durch Samsung überprüft nicht die Gültigkeit der Zertifikate. Lesen Sie weiter, da SSL-Zertifikate nicht überprüft werden konnten und Angreifer möglicherweise die Anmeldeinformationen für Google Mail abfangen konnten.
Da Smart-Home-Technologie immer mehr zum Mainstream wird und es auch wird, können Sie davon ausgehen, dass mehr von diesen Geräten mit kritischen Sicherheitslücken zu hören sein wird, und dass sie Opfer einiger bekannter Hacks werden.
Regierungen bekommen es immer noch nicht
Ein wiederkehrendes Thema, das wir in den letzten Jahren gesehen haben, ist die Tatsache, dass die meisten Regierungen die Sicherheitsfragen völlig ignorieren.
Einige der schlimmsten Beispiele für infosec Analphabetismus finden sich im Vereinigten Königreich, wo die Regierung wiederholt und konsequent gezeigt hat, dass sie es einfach nicht bekommen .
Eine der schlimmsten Ideen, die im Parlament verbreitet wird, ist die Idee, dass die Verschlüsselung von Messaging-Diensten (wie WhatsApp und iMessage) geschwächt werden sollte, damit die Sicherheitsdienste sie abfangen und entschlüsseln können. Wie mein Kollege Justin Pot auf Twitter hervorhebt, ist das so, als würde man alle Safes mit einem Masterkeycode versenden.
Stellen Sie sich vor, wenn die Regierung sagt, dass jeder Safe einen zweiten Standardcode haben sollte, falls die Polizei will. Das ist die Verschlüsselungsdebatte gerade.
- Justin Pot (@jhpot) 9. Dezember 2015
Es wird schlimmer. Im Dezember 2015 gab die National Crime Agency (die britische Antwort an das FBI) Ratschläge für Eltern heraus. Ist Ihr Kind ein Hacker? Die britischen Behörden denken, dass Ihr Kind ein Hacker ist? Die britischen Behörden denken so Das NCA, Großbritanniens FBI, hat eine Kampagne gestartet, um junge Menschen vor Computerkriminalität zu schützen. Aber ihr Rat ist so breit, dass man annehmen könnte, dass jeder, der diesen Artikel liest, ein Hacker ist - sogar Sie. Lies weiter, damit sie sehen können, wenn ihre Kinder auf dem Weg zu gehärteten Cyberkriminellen sind.
Zu diesen roten Fahnen gehören laut NCA " Sind sie an der Codierung interessiert?" Und "zögern sie, darüber zu reden, was sie online machen?".
Dieser Ratschlag ist offensichtlich Müll und wurde nicht nur von MakeUseOf, sondern auch von anderen wichtigen Technologieveröffentlichungen und der Infosec-Community verbreitet.
Die @NCA_UK listet ein Interesse an Codierung als Warnzeichen für Cyberkriminalität auf! Ganz erstaunlich. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz
- David G Smith (@vorausedt) 9. Dezember 2015
Daher ist das Interesse an Kodierung jetzt ein "Warnzeichen für Cyberkriminalität". Die NCA ist im Grunde eine Schule EDV-Abteilung der 1990er Jahre. https://t.co/r8CR6ZUEern
- Graeme Cole (@elocemearg) 10. Dezember 2015
Kinder, die an Kodierung interessiert waren, wurden zu den Ingenieuren, die #Twitter, #Facebook und die #NCA-Website (unter anderem) kreierten.
- AdamJ (@IAmAdamJ) 9. Dezember 2015
Aber es war bezeichnend für einen beunruhigenden Trend. Regierungen erhalten keine Sicherheit . Sie wissen nicht, wie sie über Sicherheitsbedrohungen kommunizieren sollen, und sie verstehen nicht die grundlegenden Technologien, die das Internet zum Funktionieren bringen. Für mich ist das viel besorgniserregender als jeder Hacker oder Cyber-Terrorist.
Manchmal solltest du mit Terroristen verhandeln
Die größte Sicherheitsgeschichte des Jahres 2015 war zweifellos der Ashley Madison Hack Ashley Madison Leak No Big Deal? Think Again Ashley Madison Leak Keine große Sache? Think Again Discreet Online-Dating-Website Ashley Madison (vor allem auf betrügerische Ehepartner gerichtet) wurde gehackt. Dies ist jedoch ein viel ernsthafteres Problem, als in der Presse dargestellt wurde, mit erheblichen Auswirkungen auf die Benutzersicherheit. Weiterlesen . Falls Sie vergessen haben, lassen Sie mich zusammenfassen.
Im Jahr 2003 ins Leben gerufen, war Ashley Madison eine Dating-Site mit einem Unterschied. Es erlaubte verheirateten Menschen, sich mit Menschen zu verbinden, die nicht wirklich ihre Ehepartner waren. Ihr Slogan sagte alles. "Das Leben ist kurz. Eine Affäre haben."
Aber so ekelhaft es war, es war ein durchgehender Erfolg. In etwas mehr als zehn Jahren hatte Ashley Madison fast 37 Millionen registrierte Konten angesammelt. Obwohl nicht alle aktiv waren. Die überwiegende Mehrheit ruhte.
Anfang dieses Jahres wurde klar, dass Ashley Madison alles nicht gut ging. Eine mysteriöse Hacker-Gruppe namens The Impact Team gab eine Erklärung heraus, in der sie behaupteten, dass sie die Site-Datenbank sowie einen beträchtlichen Cache an internen E-Mails erhalten habe. Sie drohten damit, es zu veröffentlichen, es sei denn, Ashley Madison wurde zusammen mit seiner Schwester-Site Established Men geschlossen.
Avid Life Media, Eigentümer und Betreiber von Ashley Madison und Established Men, veröffentlichte eine Pressemitteilung, in der der Angriff heruntergespielt wurde. Sie betonten, dass sie mit den Strafverfolgungsbehörden zusammenarbeiten, um die Täter ausfindig zu machen und "in der Lage sind, unsere Standorte zu sichern und die nicht autorisierten Zugangspunkte zu schließen".
Statement von Avid Life Media Inc .: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 20. Juli 2015
Am 18. August veröffentlichte das Impact Team die vollständige Datenbank.
Es war eine unglaubliche Demonstration der Schnelligkeit und Unverhältnismäßigkeit der Internet-Justiz. Egal, wie Sie sich über Betrug fühlen (ich hasse es, persönlich), irgendetwas fühlte sich absolut falsch an . Familien wurden auseinandergerissen. Karrieren wurden sofort und sehr öffentlich ruiniert. Einige Opportunisten schickten sogar Abonnenten Erpressungs-E-Mails, per E-Mail und auf dem Postweg, melkten sie aus Tausenden. Einige dachten, ihre Situation sei so hoffnungslos, dass sie sich das Leben nehmen mussten. Es war schlecht. 3 Gründe, warum der Ashley Madison Hack eine ernsthafte Angelegenheit ist 3 Gründe, warum der Ashley Madison Hack eine ernsthafte Affäre ist Das Internet scheint ekstatisch über die Ashley Madison Hack, mit Millionen von Ehebrecher und potenziellen Ehebrecher Details gehackt und online veröffentlicht, mit Artikeln Personen, die im Daten-Dump gefunden wurden. Urkomisch, oder? Nicht so schnell. Weiterlesen
Der Hack beleuchtete auch das Innenleben von Ashley Madison.
Sie entdeckten, dass von den 1, 5 Millionen Frauen, die auf der Website registriert waren, nur etwa 10.000 echte Menschen waren. Der Rest waren Roboter und gefälschte Konten, die von den Mitarbeitern von Ashley Madison erstellt wurden. Es war eine grausame Ironie, dass die meisten Leute, die sich anmeldeten, wahrscheinlich nie jemanden damit getroffen haben. Es war, um eine leicht umgangssprachliche Phrase zu verwenden, ein "Wurstfest".
Der peinlichste Teil deines Namens, der aus dem Ashley Madison Hack stammt, ist, dass du mit einem Bot geflirtet hast. für Geld.
- verbale spacery (@VerbalSpacey) 29. August 2015
Es hörte nicht dort auf. Für 17 US-Dollar konnten Benutzer ihre Informationen von der Website entfernen. Ihre öffentlichen Profile würden gelöscht und ihre Konten würden aus der Datenbank gelöscht. Dies wurde von Leuten benutzt, die sich anmeldeten und es später bereuten.
Aber das Leck zeigte, dass Ashley Maddison die Konten nicht wirklich aus der Datenbank löschte. Stattdessen wurden sie lediglich vor dem öffentlichen Internet verborgen. Als ihre Benutzerdatenbank durchgesickert war, waren auch diese Konten.
BoingBoing Tage Ashley Madison Dump enthält Informationen von Menschen, die AM bezahlt haben, um ihre Konten zu löschen.
- Denise Balkissoon (@Balkissoon) 19. August 2015
Vielleicht können wir aus der Ashley Madison-Saga lernen, dass es sich manchmal lohnt, den Forderungen von Hackern nachzugeben.
Lass uns ehrlich sein. Avid Life Media wusste, was auf ihren Servern war . Sie wussten, was passiert wäre, wenn es durchgesickert wäre. Sie hätten alles in ihrer Macht Stehende tun müssen, um zu verhindern, dass es durchsickert. Wenn das bedeutete, ein paar Online-Immobilien herunterzufahren, sei es so.
Lass uns unverblümt sein. Menschen starben, weil Avid Life Media Stellung bezog. Und wofür?
In einem kleineren Maßstab kann argumentiert werden, dass es oft besser ist, die Anforderungen von Hackern und Malware-Erstellern zu erfüllen. Ransomware ist ein großartiges Beispiel für diese Do not Fall Foul der Betrüger: Ein Leitfaden für Ransomware und andere Bedrohungen Fallen Sie nicht mit den Betrügern: Ein Leitfaden für Ransomware und andere Bedrohungen Lesen Sie mehr. Wenn jemand infiziert ist und seine Dateien verschlüsselt sind, werden die Opfer nach einem "Lösegeld" gefragt, um sie zu entschlüsseln. Dies ist im Allgemeinen in den Grenzen von $ 200 oder so. Bei einer Zahlung werden diese Dateien in der Regel zurückgegeben. Damit das Ransomware-Geschäftsmodell funktioniert, müssen die Opfer die Erwartung haben, dass sie ihre Dateien zurückbekommen.
Ich denke, viele der Unternehmen, die sich in der Position von Avid Life Media befinden, werden sich fragen, ob eine trotzige Haltung die beste ist.
Andere Lektionen
2015 war ein seltsames Jahr. Ich rede nicht nur von Ashley Madison.
Der VTech Hack VTech wird gehackt, Apple hasst Kopfhörer-Buchsen ... [Tech News Digest] VTech wird gehackt, Apple hasst Kopfhörer-Buchsen ... [Tech News Digest] Hacker entlarven VTech Benutzer, denkt Apple, die Kopfhörersteckfassung entfernend, Weihnachtslichter können Verlangsamen Sie Ihr WLAN, Snapchat geht mit (RED) ins Bett und erinnert sich an das Star Wars Holiday Special. Read More war ein Game Changer. Dieser in Hongkong ansässige Hersteller von Kinderspielzeug bot einen gesperrten Tablet-Computer mit einem kinderfreundlichen App-Store und die Möglichkeit, dass Eltern ihn fernsteuern können. Anfang dieses Jahres wurde es gehackt, und über 700.000 Kinderprofile wurden durchgesickert. Dies zeigte, dass das Alter kein Hindernis für das Opfer einer Datenpanne ist.
Es war auch ein interessantes Jahr für Betriebssystemsicherheit. Während Fragen über die allgemeine Sicherheit von GNU / Linux aufgeworfen wurden, war Linux ein Opfer seines eigenen Erfolges? Ist Linux ein Opfer seines eigenen Erfolgs? Warum hat der Leiter der Linux Foundation, Jim Zemlin, kürzlich gesagt, dass das "goldene Zeitalter von Linux" bald zu Ende gehen könnte? Ist die Mission "Linux fördern, schützen und weiterentwickeln" gescheitert? Lesen Sie mehr, Windows 10 verspricht, das sicherste Windows aller Zeiten zu sein 7 Möglichkeiten, wie Windows 10 sicherer ist als Windows XP Wie Windows 10 sicherer ist als Windows XP Selbst wenn Sie Windows 10 nicht mögen, sollten Sie wirklich migriert haben von Windows XP jetzt. Wir zeigen Ihnen, wie das 13 Jahre alte Betriebssystem jetzt mit Sicherheitsproblemen durchsetzt ist. Weiterlesen . In diesem Jahr waren wir gezwungen, das Sprichwort zu hinterfragen, dass Windows von Natur aus weniger sicher ist.
Es genügt zu sagen, dass 2016 ein interessantes Jahr wird.
Welche Sicherheitslektionen haben Sie 2015 gelernt? Hast du irgendwelche Sicherheitslektionen hinzuzufügen? Hinterlasse sie in den Kommentaren unten.