Vad vi kan lära oss av 2015: s utmaningar för säkerhet och integritet online

Annons

När vi närmar oss fällningen 2016, låt oss ta en minut att reflektera över de säkerhetslärdomar vi lärde oss 2015. Från Ashley Madison Ashley Madison Leak No Big Deal? Tänk omDiskret online-datingsida Ashley Madison (främst inriktad på att fuska makar) har hackats. Detta är emellertid en mycket allvarligare fråga än vad som har framställts i pressen, med betydande konsekvenser för användarsäkerheten. Läs mer , till hackade vattenkokare 7 orsaker till att tingenes internet ska skrämma digDe potentiella fördelarna med Internet of Things blir ljusa, medan farorna kastas i de tysta skuggorna. Det är dags att uppmärksamma dessa faror med sju skrämmande löften från IoT. Läs mer , och dodgy säkerhetsråd från regeringen, det finns mycket att prata om.

Smarta hem är fortfarande en säkerhetsmardröm

2015 såg ett brådskande folk att uppgradera sina befintliga analoga hushållsartiklar med datoriserade, Internet-anslutna alternativ. Smart Home-teknik verkligen tog fart i år på ett sätt som ser ut att fortsätta in i det nya året. Men samtidigt hamrade det också hem (ledsen) att vissa av dessa enheter

är inte så säker.

Den största säkerhetshistorien för Smart Home var kanske att upptäckten att vissa enheter var frakt med duplicerade (och ofta hårkodade) krypteringscertifikat och privata nycklar. Det var inte heller bara Internet of Things-produkter. Routrar utgivna av stora Internetleverantörer har visat sig ha begått denna mest kardinal av säkerhetssynder.

Så varför är det ett problem?

I huvudsak gör detta det trivialt för en angripare att spionera på dessa enheter genom en "Man-i-mitten" attack Vad är en man i mittenattack? Säkerhetsjargong förklarasOm du har hört talas om "man-in-the-middle" -attacker men inte är helt säker på vad det betyder, är det här artikeln för dig. Läs mer , avlyssnar trafik och samtidigt förblir oupptäckt av offret. Detta gäller, med tanke på att Smart Home-tekniken alltmer används i otroligt känsliga sammanhang, som personlig säkerhet, hushållens säkerhet Nest Protect Review and Giveaway Läs mer och inom hälso- och sjukvård.

Om detta låter bekant beror det på att ett antal stora datortillverkare har fångats och gör en mycket liknande sak. I november 2015 befanns Dell leverera datorer med en identisk rotcertifikat som heter eDellRoot Dells senaste bärbara datorer är infekterade med eDellRootDell, världens tredje största datortillverkare, har fångats med frakta rotcertifikat på alla nya datorer - precis som Lenovo gjorde med Superfish. Så här gör du din nya Dell PC säker. Läs mer medan Lenovo inleddes i slutet av 2014 avsiktligt bryta SSL-anslutningar Lenovo bärbara datorer Se upp: Din enhet kan ha förinstallerat skadlig programvaraDen kinesiska datortillverkaren Lenovo har medgett att bärbara datorer som skickades till butiker och konsumenter i slutet av 2014 hade skadlig programvara förinstallerats. Läs mer för att injicera annonser på krypterade webbsidor.

Det slutade inte där. 2015 var verkligen året för Smart Home-osäkerhet, med många enheter som identifierats som kommer med en obsceniskt uppenbar säkerhetssårbarhet.

Min favorit var iKettle Varför iKettle Hack bör oroa dig (även om du inte äger en)IKettle är en WiFi-aktiverad vattenkokare som uppenbarligen kom med en massiv, gapande säkerhetsfel som hade potential att blåsa öppna hela WiFi-nätverk. Läs mer (du gissade det: en vattenkokare med Wi-Fi-aktivering), som en angripare kunde övertyga om att avslöja Wi-Fi-detaljerna (i ren text, inte mindre) i sitt hemnätverk.

För att attacken skulle fungera måste du först skapa ett falskt trådlöst nätverk som delar samma SSID (namnet på nätverket) som det som har iKettle ansluten till. Sedan kan du se nätverksnamn och lösenord genom att ansluta till det via UNIX-verktyget Telnet och genom att gå igenom några menyer.

Då fanns det Samsungs Wi-Fi-anslutna Smart Kylskåp Samsungs Smart Kylskåp Just Got Pwned. Vad sägs om resten av ditt smarta hem?En sårbarhet med Samsungs smarta kylskåp upptäcktes av UK-baserade infosecföretag Pen Test Parters. Samsungs implementering av SSL-kryptering kontrollerar inte certifikatens giltighet. Läs mer , som inte validerade SSL-certifikat och gjorde det möjligt för angripare att eventuellt fånga inloggningsuppgifter för Gmail.

När Smart Home-tekniken blir allt vanligare och det kommer, kan du förvänta dig att höra om fler berättelser om dessa enheter kommer med kritiska säkerhetsproblem och faller offer för några högprofilerade hackor.

Regeringar förstår det fortfarande inte

Ett återkommande tema som vi har sett under de senaste åren är hur helt glömska de flesta regeringar är när det gäller säkerhetsfrågor.

Några av de mest olyckliga exemplen på infosec-analfabetism finns i Storbritannien, där regeringen upprepade gånger och konsekvent har visat att de bara förstår det inte.

En av de värsta idéerna som flyter i parlamentet är tanken att krypteringen som används av meddelandetjänster (som Whatsapp och iMessage) bör försvagas, så att säkerhetstjänsterna kan fånga upp och avkoda dem. Som min kollega Justin Pot påpekade på Twitter är det som att skicka alla kassaskåp med en huvudnyckelkod.

Föreställ dig om regeringen sa att varje kassaskåp ska ha en standardkod för andra, om poliser vill ha in. Det är krypteringsdebatten just nu.

- Justin Pot (@jhpot) 9 december 2015

Det blir värre. I december 2015, National Crime Agency (Storbritanniens svar på FBI) gav ut några råd för föräldrar Är ditt barn en hacker? De brittiska myndigheterna tror detNCA, Storbritanniens FBI, har inlett en kampanj för att avskräcka ungdomar från datorbrott. Men deras råd är så breda att du kan anta att alla som läser den här artikeln är en hacker - även du. Läs mer så att de kan berätta när deras barn är på väg att bli härdade cyberbrottslingar.

Dessa röda flaggor inkluderar enligt NCA "Är de intresserade av kodning?" och "Är de ovilliga att prata om vad de gör online?".

Det här rådet är uppenbarligen skräp och hånades allmänt, inte bara av MakeUseOf, utan också av andra stora teknikpublikationer, och infosec-gemenskapen.

De @NCA_UK listar intresse för kodning som ett varningstecken för cyberbrott! Ganska häpnadsväckande. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- David G Smith (@aforethought) 9 december 2015

Så ett intresse för kodning är nu ett "varningstecken för cyberbrott". NCA är i princip ett 1990-talets IT-avdelning. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10 december 2015

Barn som var "intresserade av kodning" växte upp till att vara ingenjörerna som skapade #Twitter, #Facebook och den #NCA webbplats (bland andra)

- AdamJ (@IAmAdamJ) 9 december 2015

Men det tyder på en oroande trend. Regeringar får inte säkerhet. De vet inte hur de ska kommunicera om säkerhetshot och de förstår inte de grundläggande teknikerna som gör att Internet fungerar. För mig är det mycket mer relevant än någon hacker eller cyberterrorist.

Ibland du Skall Förhandla med terrorister

Den största säkerhetshistorien 2015 var utan tvekan Ashley Madison hackar Ashley Madison Leak No Big Deal? Tänk omDiskret online-datingsida Ashley Madison (främst inriktad på att fuska makar) har hackats. Detta är emellertid en mycket allvarligare fråga än vad som har framställts i pressen, med betydande konsekvenser för användarsäkerheten. Läs mer . Om du har glömt, låt mig återfå.

Ashley Madison startades 2003 och var en datingsida med skillnad. Det gjorde det möjligt för gifta personer att ansluta sig till människor som inte egentligen var deras makar. Deras slogan sa allt. "Livet är kort. Ha en affär."

Men brutto som det är, det var en framgångsrik framgång. På drygt tio år hade Ashley Madison ackumulerat nästan 37 miljoner registrerade konton. Även om det självklart att inte alla var aktiva. De allra flesta var vilande.

Tidigare i år blev det uppenbart att allt inte var bra med Ashley Madison. En mystisk hackgrupp, The Impact Team, utfärdade ett uttalande där de hävdade att de hade kunnat skaffa webbplatsdatabasen, plus en stor cache med interna e-postmeddelanden. De hotade att släppa den, såvida inte Ashley Madison stängdes, tillsammans med dess systerwebbplats etablerade män.

Avid Life Media, som är ägare och operatörer av Ashley Madison och Established Men, gav ut ett pressmeddelande som bagatelliserade attacken. De betonade att de arbetade med brottsbekämpning för att spåra gärningsmännen och "kunde säkra våra webbplatser och stänga de obehöriga åtkomstpunkterna".

Uttalande från Avid Life Media Inc.: http://t.co/sSoLWvrLoQ

- Ashley Madison (@ashleymadison) 20 juli 2015

Den 18^th i augusti släppte Impact Team hela databasen.

Det var en otrolig demonstration av snabbhet och oproportionerlig karaktär av Internet-rättvisa. Oavsett hur du känner för att fuska (jag hatar det, personligen), kände något helt fel om det. Familjer rivs ihop. Karriärer förstördes direkt och mycket offentligt. Vissa opportunister skickade till och med prenumeranter med utpressning via e-post och per post och mjölkade dem av tusentals. Vissa tyckte att deras situationer var så hopplösa, de var tvungna att ta sina egna liv. Det var dåligt. 3 skäl till varför Ashley Madison Hack är en allvarlig affärInternet verkar extatiskt om Ashley Madison-hacket, med miljontals äktenskapsbrytare och potential äktenskapsbrytares detaljer hackade och släpptes online, med artiklar som utflykter individer som finns i uppgifterna dumpa. Hilarious, eller hur? Inte så fort. Läs mer

Hacket lyste också i rampljuset vid Ashley Madisons inre verk.

De upptäckte att av de 1,5 miljoner kvinnor som var registrerade på webbplatsen var det bara cirka 10 000 personer faktiska äkta människor. Resten var robotar och falska konton skapade av Ashley Madison-personalen. Det var en grym ironi att de flesta som registrerade sig antagligen aldrig träffade någon genom den. Det var, för att använda en något kollokvial fras, en "korvfest".

Den mest pinsamma delen av ditt namn som läckt ut från Ashley Madison-hacket är att du flirtade med en bot. för pengar.

- verbal spacey (@VerbalSpacey) 29 augusti 2015

Det slutade inte där. För 17 $ kan användare ta bort sin information från webbplatsen. Deras offentliga profiler skulle raderas och deras konton rensas från databasen. Detta användes av personer som registrerade sig och senare ångrade det.

Men läckan visade att Ashley Maddison inte gjorde det faktiskt ta bort kontona från databasen. Istället döljdes de bara för det offentliga Internet. När deras användardatabas läckte ut så var dessa konton också.

BoingBoing dagar Ashley Madison dump innehåller information om personer som betalade AM för att radera sina konton.

- Denise Balkissoon (@balkissoon) 19 augusti 2015

Kanske är lektionen vi kan lära av Ashley Madison-sagan den ibland är det värt att acceptera hackarens krav.

Låt oss vara ärliga. Avid Life Media visste vad som stod på deras servrar. De visste vad som skulle ha hänt om det läckte ut. De borde ha gjort allt för att hindra det från att läcka ut. Om det innebar att ett par onlineegenskaper stängs av, så var det.

Låt oss vara trubbiga. Människor dog eftersom Avid Life Media tog ställning. Och för vad?

I mindre skala kan man hävda att det ofta är bättre att uppfylla kraven från hackare och skapare av skadlig kod. Ransomware är ett bra exempel på detta Don't Fall Foul of the Scammers: En guide till Ransomware & andra hot Läs mer . När någon är infekterad, och deras filer är krypterade, omfrågas offren för ett "lösen" för att dekryptera dem. Detta är vanligtvis inom ramen för $ 200 eller så. När de betalas tillbaka returneras vanligtvis dessa filer. För att affärsmodellen för ransomware ska fungera måste offren förvänta sig att de kan få tillbaka sina filer.

Jag tror att framöver kommer många av de företag som befinner sig i positionen för Avid Life Media att ifrågasätta om en trotsande inställning är den bästa att ta.

Andra lektioner

2015 var ett konstigt år. Jag pratar inte bara om Ashley Madison.

De VTech Hack VTech blir hackad, Apple hatar hörlursuttag... [Tech News Digest]Hackare utsätter VTech-användare, Apple överväger att ta bort hörlursuttaget, julljus kan bromsa din Wi-Fi, Snapchat går i sängen med (RED) och minns Star Wars Holiday Special. Läs mer var en spelbytare. Denna Hong Kong-baserade tillverkare av barns leksaker erbjöd en inlåst surfplatta med en barnvänlig appbutik och förmågan för föräldrar att fjärrkontrollera den. Tidigare i år hackades det, med över 700 000 barns profiler läckte ut. Detta visade att ålder inte är något hinder för att bli offer för ett dataintrång.

Det var också ett intressant år för operativsystemets säkerhet. Medan frågor togs upp om allmän säkerhet för GNU / Linux Har Linux varit ett offer för sin egen framgång?Varför sa Linux Foundation-chef, Jim Zemlin, nyligen att "Linux-guldåldern" snart skulle komma till slut? Har uppdraget att "marknadsföra, skydda och främja Linux" misslyckats? Läs mer , Windows 10 gav stora löften om att vara det säkraste Windows någonsin 7 sätt Windows 10 är säkrare än Windows XPÄven om du inte gillar Windows 10, borde du verkligen ha migrerat från Windows XP nu. Vi visar dig hur det 13-åriga operativsystemet nu är förtrollat ​​med säkerhetsproblem. Läs mer . I år var vi tvungna att ifrågasätta orden om att Windows i sig är mindre säkert.

Det räcker med att säga 2016 kommer att bli ett intressant år.

Vilka säkerhetslektioner lärde du dig 2015? Har du några säkerhetslektioner att lägga till? Lämna dem i kommentarerna nedan.