2012 Legrosszabb biztonsági kihasználása, sikertelen és hibás

A bolond és a gyenge p @ $$ w0rd hamarosan gyökerezik, de ha 2012 bizonyítékot mutat be, az is, hogy még a leg óvatosabb biztonsági gondolkodású lelkeknek is meg kell kettőzniük és gondolja át a kár megtérülésének legjobb módjait, ha a legrosszabb történik az egyre inkább felhőalapú világunkban.

Természetesen egy szilárd biztonsági eszköztárnak kell a védelem középpontjává válnia, de szüksége lesz rá is hogy fontolja meg az alapvető viselkedését. Például egy szivárgott LinkedIn jelszó kevés kárt okoz, ha az adott alfanumerikus kombináció csak az adott fiókhoz nyitja meg az ajtót, nem pedig minden olyan közösségi médiafiókot, amelyet használ. A kétütemű hitelesítés megakadályozhatja a sérülést, mielőtt megtörténne. És a jelszavait szopják?

Nem akarlak megijeszteni. Inkább a digitális korszakban szükséges óvintézkedések fajtáit szeretném felnyitni - amint azt a legnagyobb biztonsági kihívások, hibák és a 2012-es évek sikertelenségei mutatják. "Ez egy bannerév a rosszfiúknak.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépéről]

Honan hack támadás

Honan katasztrófáját nagyra becsülték a fizikai mentések hiánya.

A legmagasabb profilú hack 2012-ben nem jelent több millió felhasználót vagy a lepusztult fizetési információk lavina. Nem, a biztonsági kiemelés - vagy ez a gyenge fény? - 2012-ben volt egy epikus hackelés egyetlen férfinak: Wired író Mat Honan.

Egy óra alatt a hackerek hozzáférést kaptak Honan Amazon-fiókjához, törölték Google és távolról törölte az Apple eszközök trióját, végül a hackerek végül elérte végcéljait: megragadta a Honan Twitter címének ellenőrzését. Miért van az összes pusztítás? Mivel a @mat Twitter fogantyú három betűs státusza nyilvánvalóan nagyon kívánatos díjat jelent. (A rosszallók több rasszista és homofób tweetet tettek közzé, mielőtt a számlát ideiglenesen felfüggesztették.)

A pusztítást mindenki lehetővé tette Honan véghalmozó láncolásának kritikus beszámolóiban, a kétfaktoros hitelesítési aktiválás hiányával, a ugyanaz az alapnevezési rendszer több e-mail fiókon keresztül - és egymásnak ellentmondó fiókbiztonsági protokollok az Amazonban és az Appleben, amelyet a hackerek kihasználtak valami jó és kifinomult szociális tervezés segítségével.

A legfélelmetesebb rész? A legtöbb ember valószínűleg ugyanazokat az alapvető (olvasható: laza) biztonsági gyakorlatokat alkalmazza Honan. Szerencsére a PCWorld már elmagyarázta, hogyan csatlakoztassa a legnagyobb digitális biztonsági lyukakat.

A Flame vírus

A Flame vírus nevét a kódjából kapta.

2010-ben nyomon követhető, de csak 2012 májusában fedezték fel a lángvírus feltűnő hasonlóságot mutat a kormány által szponzorált Stuxnet-vírussal, komplex kódbázisokkal és kémiai eszközökkel, mint például Egyiptomban, Szíriában, Libanonban, Szudánban és (leggyakrabban Iránban).

Miután a Flame egy rendszerbe süllyesztette a horgokat, olyan modulokat telepített, amelyek többek között Skype-beszélgetések vagy hangok felvételét tehetik lehetővé a számítógép közelében, rögzíthetik a képernyőn megjelenő képeket, a hálózati kapcsolatokat, és nyomon követhetik az összes billentyűleütést és bármilyen adatot belépett a beviteli mezőkbe. Más szóval csúnya, és a Flame feltöltötte az összes összegyűjtött információt a parancsok irányítására és ellenőrzésére. Nem sokkal azután, hogy a Kaspersky-kutatók elhagyták a Flame létezését, a vírus létrehozói aktiválták az ölési parancsot, hogy töröljék a szoftvert a fertőzött számítógépeikről.

A $ 50 homebrew eszköz, amely kinyitja a szállodaajtókat

A Black Hat Security konferencián júliusban Cody kutató A Brocy bemutatta a készüléket az Onity által készített félig megbízhatóan nyitott elektronikus ajtózárak. A világszerte több ezer szállodában 4 millió ajtó található az Onity zárakban, beleértve a nagyszerű láncokat, például a Hyatt, a Marriott és az IHG-t (amely mind a Holiday Inn, mind a Crowne Plaza tulajdonosa). Az Arduino mikrokontrollerrel és kevesebb mint 50 dollárra összeszerelve, az eszközt bárkinek a zsebváltással és néhány kódolási készséggel lehet építeni, és legalább egy beszámolót készítenek egy hasonló eszközről, amelyet Texasban lévő szállodai szobákba lehet átvinni.

ArduinoArduino: A hack nyitott forrása.

Ijesztő dolgok, biztosak lehetünk. Talán még aggasztóbb volt az Onity válasza a helyzetre, amely lényegében "Csatlakoztassa a csatlakozót a kikötő fölé és cserélje ki a csavarokat."

A vállalat végül kifejlesztett egy tényleges megoldást a sérülékenységre, de az érintett áramkörök kicserélésére és az Onity megtagadja a költségek megtérítését. Egy decemberi ArsTechnica-jelentés azt sugallja, hogy a vállalat hajlandóbb támogatni a csere-táblákat a Texas-bűnözés miatt, bár november 30-ig ^th , az Onity csak 1,4 millió " "- beleértve a műanyag dugókat - a szállodák világszerte. Más szóval, a sebezhetőség még mindig nagyon elterjedt. Epic sikertelen.

Ezer darabos halál

A 2011-es PlayStation Network lemorzsolódás évében nem látott tömeges adatbázis-megsértést, de tavasszal és nyáron egy sor kisebb behatolás jött gyorsan és dühösvé. Míg a 6.5 millió megszakított LinkedIn jelszó kiadása lehetett a legjelentősebb hack, több mint 1.5 millió elhatárolt eHarmony jelszó, 450.000 Yahoo Voice bejelentkezési hitelesítő, nem meghatározott számú Last.fm jelszó és a teljes bejelentkezési és profilinformációk több száz Nvidia fórum felhasználók számára. Folytathatnék, de a lényeg.

Mi az elvihető? Nem biztos abban, hogy a webhely biztonságban tartja a jelszavát, ezért különböző helyszíneken különböző jelszavakat kell használnia, hogy minimalizálják a potenciális károkat, ha a hackerek elhárítják egy adott fiók bejelentkezési adatait. Nézze meg útmutatónkat, ha jobb jelszót szeretne felépíteni, ha valami mutatóra van szüksége.

A Dropbox elhárítja védőjét

A DropboxDropbox "open box" emblémája mindazoknak igaznak bizonyult azok számára, akik újra felhasználták a jelszavakat 2012-ben.

néhány Dropbox felhasználó észrevette, hogy nagy mennyiségű levélszemetet kap a postaládájukban. Egyes kezdeti megtagadások után néhány mélyebb ásás után a Dropbox megállapította, hogy a hackerek veszélyeztették a munkavállaló számláját, és hozzáférést nyertek a felhasználói e-mail címeket tartalmazó dokumentumhoz. Hoppá! A kár kisebb volt, de a tojás az arcon jelentős volt.

Ugyanakkor nagyon kevés felhasználó kapta meg a Dropbox számláit, amelyek aktívan behatoltak a külső forrásokból. A vizsgálatok azt mutatták, hogy a hackerek hozzáférést kaptak a számlákhoz, mivel az áldozatok ugyanazt a felhasználónevet / jelszót kombinálták több weboldalon. Amikor a bejelentkezési adatok egy másik szolgáltatásban megsértették őket, a hackereknek mindössze annyit kellett kapniuk, hogy feloldják a Dropbox fiókokat.

A Dropbox bánatai újra hangsúlyozzák - külön jelszavakat kell igénybe venni a különféle szolgáltatásokért, valamint azt a tényt, hogy nem bízhatsz teljesen a felhőben. A felhőbiztonságot saját kezébe teheti egy harmadik fél titkosítási eszköz segítségével.

Millions of South Carolina SSNs pilfered

A titkosításról szólva, jó lenne, ha a kormány követné az alapvető biztonsági parancsokat.

Miután egy hatalmas októberi adatszegés eredményeképpen egy hacker megszerezte a 3,6 millió dél-karolinai állampolgár - mindössze 4,6 millió lakos - társadalombiztosítási számát - az állami tisztviselők megpróbálták az IRS lábát helyezni. Az IRS nem kifejezetten azt írja elő az államoknak, hogy titkosítják az SSN-eket az adóbevallásokban. Tehát Dél-Karolina nem tudta - bár a tervek szerint elkezdődik, a 20/20 és az utóbbi időben.

A kedvező pozitív oldalról a 387 000 dél-karolinai állampolgár debit- és hitelkártya adatait a digitális heiszt és a ezek közül legfeljebb titkosítva volt, bár ez valószínűleg kevés vigasztalást jelent a 16 000 ember számára, akiknek a kártyáit ellopták egyszerű formában.

A Skype masszív biztonsági hibája

A Lax számlanyitási eljárások veszélyeztették a Skype felhasználókat Novemberben.

Novemberben a Skype-felhasználók átmenetileg elvesztették a fiókjukra vonatkozó jelszó-visszaállítás kérését, miután a kutatók olyan kizsákmányolást azonosítottak, amely lehetővé tette bárki számára, hogy hozzáférjen egy Skype-fiókhoz, amennyiben az ismerős a fiókhoz társított e-mail címet. Nem a fiók jelszava, hanem a biztonsági kérdések, csak az egyszerű e-mail cím.

A Skype gyorsan csatlakoztatta a lyukat, amikor elkapta a nyilvánosságot, de a kár már megtörtént. A sebezhetőség az orosz fórumokon lebegett és aktívan a vadon élt, mielőtt leállt volna.

A hackerek ellopnak 1,5 millió hitelkártyaszámot

Áprilisban a hackerek sikerült "exportálni" egy óriási 1,5 millió hitelkártya számot a globális fizetések adatbázisából, a kormányzati szervek, pénzintézetek által használt fizetési feldolgozási szolgáltatásból, és többek között az 1 millió globális üzletből.

Szerencsére a szabálysértés meglehetősen korlátozott volt. A globális fizetések képesek voltak azonosítani a hack által érintett kártyaszámokat, és az ellopott adatok csak a tényleges kártyaszámokat és lejárati dátumokat tartalmazták, nem a kártyatulajdonos nevét vagy személyazonosításra alkalmas adatait. A találatok azonban folyamatosan jöttek. A Global Payments júniusban bejelentette, hogy a hackerek ellophatják azon személyek személyes adatait, akik a céggel kereskedői számlát kérelmeztek.

A Microsoft Security Essentials sikertelen AV-teszt tanúsítás

Nos, ez nem kínos. Az AV-Test egy független információbiztonsági intézet, amely rendszeresen kerekíti fel az összes olyan top antimalware terméket, amely ott van, összecsomagol egy csomó nastiát az említett termékeken, és látja, hogy a különféle megoldások miként tartják magukat az elárasztó duzzasztómű alatt. A szervezet mindössze 24 különböző fogyasztóközpontú biztonsági megoldással foglalkozott november végén, és csak egy ilyen megoldás nem felelt meg az AV-Test minősítési szabványnak: a Microsoft Security Essentials for Windows 7.

? Ez az MSE.

Az MSE valóban tisztességes munkát végzett a jól ismert vírusokkal szemben, de a biztonsági program szörnyen kevés, jól, biztonságot nyújtott a nulla napi kihasználás ellen. 64 napos támadása ellenére a nulla napos támadások teljes 25 ponttal alacsonyabbak az iparág átlagánál.

A hiba, ami nem volt: a Norton forráskód megjelent

A felszínen ijesztőnek tűnik: a letartóztatott hackerek csoportjai hogy megkapja a Symantec népszerű Norton biztonsági segédprogramja forráskódját, majd a Pirate Bay-ba bontotta a kódot, hogy kiszűrje a világot. Ó, noe! Most semmi sem tudja megakadályozni, hogy a rosszfiúk vágyakozhassanak - nemsokára a védekezésen túlmenően, amely előre be van építve az egész világon értékesített dobozos rendszerek (kb.) Gajillionjaival - helyes?

Rossz. A forráskód a 2006-ban megjelent Norton Utilities termékekhez tartozott, és a Symantec jelenlegi termékei azóta felújításra kerültek, és a kettő között nincs közös kód. Más szóval, a 2006-os forráskód kiadása semmilyen kockázatot nem jelent a mai Norton előfizetők számára - legalábbis, ha az elmúlt fél évtizedben frissítette a vírusirtót.