Advertentie

Laten we, nu we de afgrond van 2016 naderen, even stilstaan ​​bij de beveiligingslessen die we in 2015 hebben geleerd. Van Ashley Madison Ashley Madison Leak No Big Deal? Denk nog eens naDiscrete online datingsite Ashley Madison (voornamelijk gericht op bedriegende echtgenoten) is gehackt. Dit is echter een veel ernstiger probleem dan in de pers is beschreven, met aanzienlijke gevolgen voor de veiligheid van gebruikers. Lees verder , naar gehackte ketels 7 redenen waarom het internet der dingen u zou moeten afschrikkenDe potentiële voordelen van het Internet of Things worden helder, terwijl de gevaren in de stille schaduwen worden geworpen. Het is tijd om de aandacht te vestigen op deze gevaren met zeven angstaanjagende beloften van het IoT. Lees verder en onbetrouwbaar veiligheidsadvies van de overheid, er is veel om over te praten.

Slimme huizen zijn nog steeds een beveiligingsnachtmerrie

In 2015 was er een golf van mensen die hun bestaande analoge huishoudelijke artikelen opwaardeerden met geautomatiseerde, met internet verbonden alternatieven. Smart Home-technologie

werkelijk is dit jaar van start gegaan op een manier die in het nieuwe jaar lijkt door te gaan. Maar tegelijkertijd werd het ook gehamerd (sorry) dat sommige van deze apparaten zijn niet zo veilig.

Het grootste Smart Home-beveiligingsverhaal was misschien de ontdekking dat sommige apparaten dat waren verzending met dubbele (en vaak hard gecodeerde) versleutelingscertificaten en privésleutels. Het waren ook niet alleen Internet of Things-producten. Routers uitgegeven door grote ISP's is gevonden deze meest kardinale beveiligingszonden te hebben begaan.

router2

Dus waarom is het een probleem?

In wezen maakt dit het voor een aanvaller triviaal om deze apparaten te bespioneren via een 'Man-in-the-middle'-aanval Wat is een man-in-the-middle-aanval? Beveiligingsjargon uitgelegdAls je hebt gehoord van "man-in-the-middle" -aanvallen maar niet helemaal zeker weet wat dat betekent, dan is dit het artikel voor jou. Lees verder , het onderscheppen van verkeer en tegelijkertijd onopgemerkt blijven door het slachtoffer. Dit is zorgwekkend, aangezien Smart Home-technologie steeds vaker wordt gebruikt in ongelooflijk gevoelige contexten, zoals persoonlijke beveiliging, huishoudelijke veiligheid Nest Protect Review en Giveaway Lees verder en in de gezondheidszorg.

Als dit bekend klinkt, komt dat omdat een aantal grote computerfabrikanten is betrapt op iets vergelijkbaars. In november 2015 bleek Dell computers te leveren met een identiek exemplaar root-certificaat genaamd eDellRoot De nieuwste laptops van Dell zijn besmet met eDellRootDell, de op twee na grootste computerfabrikant ter wereld, is betrapt op het verzenden van frauduleuze rootcertificaten op alle nieuwe computers, net zoals Lenovo deed met Superfish. Hier leest u hoe u uw nieuwe Dell pc veilig kunt maken. Lees verder , terwijl Lenovo eind 2014 begon opzettelijk SSL-verbindingen verbreken Eigenaren van Lenovo-laptops Let op: op uw apparaat is mogelijk vooraf malware geïnstalleerdDe Chinese computerfabrikant Lenovo heeft toegegeven dat op laptops die eind 2014 naar winkels en consumenten zijn verzonden, vooraf malware is geïnstalleerd. Lees verder om advertenties in versleutelde webpagina's te injecteren.

Daar bleef het niet bij. 2015 was inderdaad het jaar van Smart Home-onveiligheid, waarbij veel apparaten werden geïdentificeerd met een obsceen voor de hand liggende beveiligingskwetsbaarheid.

Mijn favoriet was de iKettle Waarom de iKettle-hack u zorgen zou moeten maken (zelfs als u er geen bezit)De iKettle is een waterkoker met WiFi die blijkbaar kwam met een enorme, gapende beveiligingsfout die het potentieel had om hele WiFi-netwerken open te blazen. Lees verder (je raadt het al: een voor Wi-Fi geschikte waterkoker), die door een aanvaller kan worden overtuigd om de Wi-Fi-details (in duidelijke tekst, niet minder) van zijn thuisnetwerk te onthullen.

ikettle-main

Om de aanval te laten werken, moest je eerst een vervalst draadloos netwerk maken dat dezelfde SSID (de naam van het netwerk) deelt als degene waaraan de iKettle is gekoppeld. Door er vervolgens verbinding mee te maken via het UNIX-hulpprogramma Telnet en door een paar menu's te bladeren, kunt u de gebruikersnaam en het wachtwoord van het netwerk zien.

Dan was er De met wifi verbonden Smart Fridge van Samsung De slimme koelkast van Samsung is net gepwned. Hoe zit het met de rest van uw slimme huis?Een in het VK gevestigde infobedrijf Pen Test Parters ontdekte een kwetsbaarheid met de slimme koelkast van Samsung. De implementatie van SSL-codering door Samsung controleert de geldigheid van de certificaten niet. Lees verder , waarmee SSL-certificaten niet konden worden gevalideerd en aanvallers mogelijk inloggegevens van Gmail konden onderscheppen.

Samsung-smartfridge

Naarmate Smart Home-technologie steeds meer mainstream wordt, en dat zal het ook zijn, kun je meer verhalen over horen deze apparaten worden geleverd met kritieke beveiligingsproblemen en worden het slachtoffer van enkele spraakmakende hacks.

Regeringen snappen het nog steeds niet

Een terugkerend thema dat we de afgelopen jaren hebben gezien, is hoe onbewust de meeste regeringen zijn als het gaat om veiligheidsaangelegenheden.

Enkele van de meest flagrante voorbeelden van analfabetisme zijn te vinden in het VK, waar de regering herhaaldelijk en consequent heeft aangetoond dat zij snap het gewoon niet.

Een van de slechtste ideeën die in het parlement naar voren komen, is het idee dat de codering die wordt gebruikt door berichtenservices (zoals WhatsApp en iMessage) moet worden verzwakt, zodat de veiligheidsdiensten ze kunnen onderscheppen en decoderen. Zoals mijn collega Justin Pot opmerkelijk opmerkte op Twitter, is dat alsof je alle kluizen verzendt met een hoofdsleutelcode.

Stel je voor dat de regering zou zeggen dat elke kluis een standaard tweede code zou moeten hebben, voor het geval de politie dat wil. Dat is nu het coderingsdebat.

- Justin Pot (@jhpot) 9 december 2015

Het wordt erger. In december 2015 heeft de National Crime Agency (het antwoord van het VK op de FBI) gaf wat advies voor ouders Is uw kind een hacker? De Britse autoriteiten denken van welDe NCA, de Britse FBI, heeft een campagne gelanceerd om jongeren af ​​te schrikken van computercriminaliteit. Maar hun advies is zo breed dat je zou kunnen aannemen dat iedereen die dit artikel leest een hacker is, zelfs jij. Lees verder zodat ze kunnen zien wanneer hun kinderen op weg zijn om geharde cybercriminelen te worden.

Deze rode vlaggen, volgens de NCA, omvatten 'Zijn ze geïnteresseerd in coderen?' en "Zijn ze terughoudend om te praten over wat ze online doen?".

BadAdvice

Dit advies is natuurlijk rotzooi en werd op grote schaal bespot, niet alleen door MakeUseOf, maar ook door andere grote technologiepublicaties, en de infosec-gemeenschap.

De @NCA_UK noemt interesse in codering als waarschuwing voor cybercriminaliteit! Heel verbazingwekkend. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- David G Smith (@aforethought) 9 december 2015

Belangstelling voor codering is nu dus een "waarschuwingssignaal voor cybercriminaliteit". De NCA is eigenlijk een IT-afdeling van de jaren negentig. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10 december 2015

Kinderen die 'geïnteresseerd waren in coderen' groeiden op tot de ingenieurs die hebben gemaakt #Twitter, #Facebook en de #NCA website (onder andere)

- AdamJ (@IAmAdamJ) 9 december 2015

Maar het duidde op een verontrustende trend. Regeringen krijgen geen beveiliging. Ze weten niet hoe ze moeten communiceren over beveiligingsbedreigingen en ze begrijpen de fundamentele technologieën die het internet laten werken niet. Voor mij is dat veel zorgwekkender dan welke hacker of cyberterrorist dan ook.

Soms jij Moet Onderhandel met terroristen

Het grootste beveiligingsverhaal van 2015 was ongetwijfeld de hack van Ashley Madison Ashley Madison Leak No Big Deal? Denk nog eens naDiscrete online datingsite Ashley Madison (voornamelijk gericht op bedriegende echtgenoten) is gehackt. Dit is echter een veel ernstiger probleem dan in de pers is beschreven, met aanzienlijke gevolgen voor de veiligheid van gebruikers. Lees verder . Voor het geval je het bent vergeten, laat het me even herhalen.

Ashley Madison, gelanceerd in 2003, was een datingsite met een verschil. Het stelde getrouwde mensen in staat contact te maken met mensen die niet echt hun echtgenoten waren. Hun slogan zei het allemaal. "Het leven is kort. Heb een affaire. '

Maar hoe vies het ook was, het was een enorm succes. In iets meer dan tien jaar had Ashley Madison bijna 37 miljoen geregistreerde accounts opgebouwd. Hoewel het vanzelfsprekend is dat ze niet allemaal actief waren. De overgrote meerderheid was inactief.

Eerder dit jaar werd duidelijk dat het niet goed ging met Ashley Madison. Een mysterieuze hackgroep genaamd The Impact Team heeft een verklaring uitgegeven waarin wordt beweerd dat ze de sitedatabase en een flinke cache aan interne e-mails hebben kunnen verkrijgen. Ze dreigden het vrij te geven, tenzij Ashley Madison werd gesloten, samen met de zustersite Established Men.

Avid Life Media, de eigenaren en exploitanten van Ashley Madison en Established Men, hebben een persbericht uitgebracht waarin de aanval werd afgezwakt. Ze benadrukten dat ze met wetshandhavers werkten om de daders op te sporen en "in staat waren om onze sites te beveiligen en de ongeautoriseerde toegangspunten te sluiten".

Verklaring van Avid Life Media Inc.: http://t.co/sSoLWvrLoQ

- Ashley Madison (@ashleymadison) 20 juli 2015

Op 18th van augustus heeft Impact Team de volledige database vrijgegeven.

Het was een ongelooflijke demonstratie van de snelheid en het onevenredige karakter van internetrechtvaardigheid. Het maakt niet uit hoe je denkt over vals spelen (ik haat het persoonlijk), er voelde iets helemaal verkeerd over het. Families werden uiteengereten. Carrières werden onmiddellijk en zeer publiekelijk verpest. Sommige opportunisten stuurden zelfs abonnees afpersings-e-mails, via e-mail en per post, waardoor ze uit duizenden werden gemolken. Sommigen dachten dat hun situaties zo uitzichtloos waren, dat ze zelfmoord moesten plegen. Het was slecht. 3 redenen waarom de Ashley Madison-hack een serieuze aangelegenheid isHet internet lijkt extatisch over de hack van Ashley Madison, met miljoenen overspelers en potentieel de details van overspelers gehackt en online vrijgegeven, met artikelen over individuen die in de gegevens zijn gevonden dump. Hilarisch, toch? Niet zo snel. Lees verder

De hack zette ook de schijnwerpers op de innerlijke werking van Ashley Madison.

Ze ontdekten dat van de 1,5 miljoen vrouwen die op de site waren geregistreerd, er slechts ongeveer 10.000 waren echte echte mensen. De rest waren robots en nepaccounts gemaakt door het personeel van Ashley Madison. Het was een wrede ironie dat de meeste mensen die zich aanmeldden er waarschijnlijk nooit iemand mee ontmoetten. Het was, om een ​​enigszins informele uitdrukking te gebruiken, een 'worstfeest'.

het meest gênante deel van je naam dat uit de hack van Ashley Madison is gelekt, is dat je met een bot hebt geflirt. voor geld.

- verbaal spacey (@VerbalSpacey) 29 augustus 2015

Daar bleef het niet bij. Voor $ 17 konden gebruikers hun informatie van de site verwijderen. Hun openbare profielen zouden worden gewist en hun accounts zouden uit de database worden verwijderd. Dit werd gebruikt door mensen die zich hadden aangemeld en er later spijt van hadden.

Maar het lek toonde aan dat Ashley Maddison dat niet deed werkelijk verwijder de accounts uit de database. In plaats daarvan waren ze alleen verborgen voor het openbare internet. Toen hun gebruikersdatabase lekte, waren deze accounts dat ook.

BoingBoing dagen Ashley Madison dump bevat informatie van mensen die AM hebben betaald om hun accounts te verwijderen.

- Denise Balkissoon (@balkissoon) 19 augustus 2015

Misschien is de les die we kunnen leren van de Ashley Madison-sage dat soms is het de moeite waard om in te stemmen met de eisen van hackers.

Laten we eerlijk zijn. Avid Life Media wisten wat er op hun servers stond. Ze wisten wat er zou zijn gebeurd als het was gelekt. Ze hadden er alles aan moeten doen om te voorkomen dat het lekt. Als dat betekende dat een paar online eigendommen moesten worden gesloten, dan zij dat.

Laten we bot zijn. Mensen stierven omdat Avid Life Media een standpunt innam. En voor wat?

Op kleinere schaal kan worden gesteld dat het vaak beter is om te voldoen aan de eisen van hackers en makers van malware. Ransomware is daar een goed voorbeeld van Val niet in de problemen van de oplichters: een gids voor ransomware en andere bedreigingen Lees verder . Wanneer iemand is geïnfecteerd en hun bestanden zijn versleuteld, wordt de slachtoffers om een ​​'losgeld' gevraagd om ze te kunnen ontsleutelen. Dit is over het algemeen binnen de grenzen van $ 200 of zo. Bij betaling worden deze bestanden doorgaans geretourneerd. Om het bedrijfsmodel van ransomware te laten werken, moeten slachtoffers enige verwachting hebben dat ze hun bestanden terug kunnen krijgen.

Ik denk dat in de toekomst veel van de bedrijven die zich in de positie van Avid Life Media bevinden, zich zullen afvragen of een uitdagende houding de beste is om in te nemen.

Andere lessen

2015 was een vreemd jaar. Ik heb het ook niet alleen over Ashley Madison.

De VTech Hack VTech wordt gehackt, Apple haat hoofdtelefoonaansluitingen... [Tech News Digest]Hackers stellen VTech-gebruikers bloot, Apple overweegt de koptelefoonaansluiting te verwijderen, kerstverlichting kan je wifi vertragen, Snapchat gaat in bed met (RED) en herinnert zich The Star Wars Holiday Special. Lees verder was een game changer. Deze in Hong Kong gevestigde fabrikant van kinderspeelgoed bood een afgesloten tabletcomputer aan, met een kindvriendelijke app store en de mogelijkheid voor ouders om het op afstand te bedienen. Eerder dit jaar werd het gehackt, waarbij meer dan 700.000 kinderprofielen werden gelekt. Hieruit bleek dat leeftijd geen belemmering vormt om slachtoffer te worden van een datalek.

Het was ook een interessant jaar voor de beveiliging van besturingssystemen. Terwijl vragen werden gesteld over de algehele beveiliging van GNU / Linux Is Linux het slachtoffer geworden van zijn eigen succes?Waarom zei het hoofd van de Linux Foundation, Jim Zemlin, onlangs dat de "gouden eeuw van Linux" binnenkort zou kunnen eindigen? Is de missie om "Linux te promoten, beschermen en vooruit te helpen" mislukt? Lees verder , Maakte Windows 10 grote beloften de veiligste Windows ooit zijn 7 manieren waarop Windows 10 veiliger is dan Windows XPZelfs als je Windows 10 niet leuk vindt, zou je nu al moeten migreren van Windows XP. We laten u zien hoe het 13 jaar oude besturingssysteem nu vol zit met beveiligingsproblemen. Lees verder . Dit jaar waren we genoodzaakt het adagium te betwijfelen dat Windows inherent minder veilig is.

Het volstaat te zeggen dat 2016 een interessant jaar gaat worden.

Welke beveiligingslessen heb je in 2015 geleerd? Heb je nog beveiligingslessen toe te voegen? Laat ze achter in de reacties hieronder.

Matthew Hughes is een softwareontwikkelaar en schrijver uit Liverpool, Engeland. Hij wordt zelden gevonden zonder een kopje sterke zwarte koffie in zijn hand en is dol op zijn Macbook Pro en zijn camera. Je kunt zijn blog lezen op http://www.matthewhughes.co.uk en volg hem op twitter op @matthewhughes.