Najgorsze luki w bezpieczeństwie w 2012 roku, niepowodzenia i błędy

Głupiec i jego słabiutki p @ $ $ w0rd są wkrótce zakorzenione, ale jeśli rok temu udowodnił cokolwiek, to jest tak, że nawet najbardziej ostrożne dusze o zabezpieczonych umysłach muszą podwoić w sprawie ich praktyk ochronnych i pomyśl o najlepszych sposobach na złagodzenie szkód, jeśli najgorsze wydarzy się w naszym coraz bardziej połączonym z chmurą świecie.

Solidny zestaw narzędzi do ochrony powinien stanowić serce twojej obrony, oczywiście, ale będziesz także potrzebował rozważyć twoje podstawowe zachowanie. Na przykład, przecieknięte hasło LinkedIn nie zaszkodzi, jeśli ta konkretna kombinacja alfanumeryczna otworzy tylko drzwi do tego konkretnego konta, a nie każde konto społecznościowe, z którego korzystasz. Uwierzytelnianie dwuskładnikowe może powstrzymać naruszenie przed jego wystąpieniem. I czy twoje hasła są do niczego?

Nie próbuję cię przestraszyć. Chciałbym raczej otworzyć oczy na rodzaje środków ostrożności, które są niezbędne w erze cyfrowej - o czym świadczą największe exploity związane z bezpieczeństwem, błędy i porażki w 2012 roku. "To rok banerów dla złych facetów."

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Atak hakera na Honan

Katastrofa Honana została powiększona przez brak fizycznej kopii zapasowej.

Hack najwyższego poziomu w 2012 roku nie angażował milionów użytkowników lub lawina skradzionych informacji o płatnościach. Nie, najważniejszym punktem bezpieczeństwa - czy jest to lżejsze? - w roku 2012 było epickie hakowanie jednego człowieka: Wired pisarza Mat Honan.

W ciągu jednej godziny hakerzy uzyskali dostęp do konta Amazon Honan, usunęli jego Google konto i zdalnie wyczyścił swoje trio urządzeń Apple, co doprowadziło do hakerów, którzy ostatecznie osiągnęli swój końcowy cel: przejęcie kontroli nad uchwytem na Twitterze firmy Honan. Po co wszystkie zniszczenia? Ponieważ status trzyliterowej pastylki @mat na Twitterze sprawia, że ​​jest to bardzo pożądana nagroda. (Malkontenci zamieścili kilka rasistowskich i homofobicznych tweetów, zanim konto zostało tymczasowo zawieszone.)

Dewastacja była możliwa dzięki snafusowi bezpieczeństwa na końcowych kontakowaniu Honana, braku aktywacji uwierzytelniania dwuskładnikowego, przy użyciu ten sam podstawowy schemat nazewnictwa na kilku kontach e-mail - i sprzeczne protokoły zabezpieczeń kont w Amazon i Apple, z których hakerzy korzystali przy pomocy jakiejś dobrej inżynierii społecznej.

Najstraszniejsza część? Większość ludzi prawdopodobnie posługuje się tymi samymi podstawowymi (czytaj: luźnymi) praktykami bezpieczeństwa, które zastosował Honan. Na szczęście, PCWorld już wyjaśnił, jak podłączyć największe cyfrowe luki bezpieczeństwa.

Wirus Flame

Wirus Flame bierze swoją nazwę od swojego kodu.

Odszukany już w 2010 roku, ale odkryty dopiero w maju 2012 roku wirus Flame wykazuje uderzające podobieństwo do sponsorowanego przez rząd wirusa Stuxnet, o złożonej podstawie kodu i podstawowym zastosowaniu jako narzędzie szpiegowskie w krajach Bliskiego Wschodu, takich jak Egipt, Syria, Liban, Sudan i (najczęściej) Iran.

Kiedy Flame zatopił swoje haki w systemie, zainstalował moduły, które mogą między innymi rejestrować rozmowy Skype lub audio z dowolnego wydarzenia w pobliżu komputera, zrzuty ekranowe, śledzić połączenia sieciowe i przechowywać dzienniki wszystkich naciśnięć klawiszy i dowolnych danych wprowadzane do pól wprowadzania. Innymi słowy, to jest paskudne - a Flame załadował wszystkie zebrane informacje, by sterować serwerami. Wkrótce po tym, jak badacze Kaspersky sondowali istnienie Flame'a, twórcy wirusa aktywowali polecenie "zabicia", aby wyczyścić oprogramowanie z zainfekowanych komputerów.

Narzędzie homebrew na 50 dolarów, które otwiera drzwi do hotelu

Na konferencji Black Hat Security w lipcu, badacz Cody Brocious odsłonił urządzenie, które może częściowo niezawodnie otwierać elektroniczne zamki drzwi wykonane przez firmę Onity. Zamki na żądanie znajdują się w 4 milionach drzwi w tysiącach hoteli na całym świecie, w tym w takich znanych sieciach jak Hyatt, Marriott i IHG (które są właścicielami hoteli Holiday Inn i Crowne Plaza). Oparte na mikrokontrolerach Arduino i zmontowane za mniej niż 50 USD, narzędzie może zostać zbudowane przez każdego oszusta z wymianą kieszeni i umiejętnościami kodowania, a istnieje co najmniej jeden raport o podobnym narzędziu służącym do włamywania się do pokoi hotelowych w Teksasie.

ArduinoArduino: Otwarte źródło serca hakera.

Straszne rzeczy, na pewno. Być może bardziej niepokojąca była reakcja firmy Onity na tę sytuację, która w zasadzie polegała na "założeniu wtyczki przez port i zmianie śrub".

Firma ostatecznie opracowała rzeczywiste rozwiązanie dla luki, ale wiąże się to z wymianą płytek obwodów blokuje - a Onity odmawia ponoszenia kosztów za to. Grudniowy raport ArsTechnica sugeruje, że firma może być bardziej skłonna do subsydiowania zastępczych tablic w następstwie trzęsienia w Teksasie, ale od 30 listopada , Onity dostarczył tylko 1,4 miliona "rozwiązań dla zamków "- w tym plastikowe wtyczki - do hoteli na całym świecie. Innymi słowy, luka w zabezpieczeniach jest nadal bardzo rozpowszechniona. Epicka porażka.

Śmierć na tysiąc kawałków

W roku 2011 nie doszło do masowego naruszenia bazy danych w stylu PlayStation Network w 2011 roku, ale seria mniejszych penetracji pojawiła się szybko i wściekle na wiosnę i lato. Podczas gdy wydanie 6,5 miliona zahartowanych haseł LinkedIn mogło być najbardziej znanym hackerem, podtrzymywało je zamieszczanie ponad 1,5 miliona zaszyfrowanych haseł eHarmony, 450 000 danych uwierzytelniających Yahoo Voice, nieokreślona liczba haseł Last.fm i pełne dane logowania i profilu setek użytkowników forum Nvidia. Mogę iść dalej, ale rozumiesz.

Co tam na wynos? Nie możesz ufać witrynie, która chroni twoje hasło, więc powinieneś używać różnych haseł dla różnych stron, aby zminimalizować potencjalne szkody, jeśli hakerzy zdołają rozwiązać twoje dane logowania dla danego konta. Zapoznaj się z naszym przewodnikiem na temat budowania lepszego hasła, jeśli potrzebujesz wskazówek.

Dropbox rezygnuje z ochrony

Logo "otwartego pola" w DropboxDropbox okazało się zbyt prawdziwe dla osób, które wykorzystały hasła w 2012 roku.

W lipcu, niektórzy użytkownicy Dropbox zaczęli zauważać, że otrzymywali dużą ilość spamu w swoich skrzynkach odbiorczych. Po kilku początkowych zaprzeczeniach, po których nastąpiło głębsze wykopywanie, Dropbox wykrył, że hakerzy naruszyli konto pracownika i uzyskali dostęp do dokumentu zawierającego adresy e-mail użytkowników. Ups! Obrażenia były niewielkie, ale jajko na twarzy było poważne.

Jednocześnie bardzo mała liczba użytkowników miała aktywne konta Dropbox, które zostały włamane przez zewnętrzne źródła. Dochodzenia ujawniły, że hakerzy uzyskali dostęp do kont, ponieważ ofiary korzystały z tej samej kombinacji nazwy użytkownika i hasła na kilku stronach internetowych. Gdy poświadczenia logowania zostały ujawnione podczas naruszenia innej usługi, hakerzy mieli wszystko, czego potrzebowali, aby odblokować konta Dropbox.

Nieszczęścia Dropboksa podkreślają - ponownie - potrzebę użycia osobnych haseł dla różnych usług, a także faktu, że nie możesz całkowicie ufać chmurę. Możesz zabrać ochronę chmury do własnych rąk za pomocą zewnętrznego narzędzia szyfrującego.

Miliony z SSN w Południowej Karolinie splądrowane

Mówiąc o szyfrowaniu, byłoby miło, gdyby rząd przestrzegał podstawowych zasad bezpieczeństwa

Po ogromnym październikowym naruszeniu danych, haker uzyskał numery ubezpieczenia społecznego liczące 3,6 miliona obywateli Południowej Karoliny - w stanie liczącym zaledwie 4,6 miliona mieszkańców! - urzędnicy państwowi próbowali zrzucić winę u stóp IRS. IRS nie konkretnie wymaga stanów do szyfrowania numerów SSN w dokumentach podatkowych, widzicie. Tak więc Południowa Karolina tego nie robiła, choć planuje się teraz rozpocząć, perspektywa czasu to 20/20 i wszystko.

Po pozytywnej stronie karty debetowe i karty kredytowe 387 000 obywateli Południowej Karoliny zostały również przeskoczone w cyfrowym napadzie i większość z nich była zaszyfrowana, ale jest to prawdopodobnie mała pociecha dla 16 000 osób, których dane karty zostały skradzione w formie zwykłego tekstu.

Skromna luka bezpieczeństwa firmy Skype

Lax procedury odzyskiwania konta zagrażały użytkownikom Skype w Listopad.

W listopadzie użytkownicy Skype'a tymczasowo utracili możliwość zażądania zresetowania hasła do swojego konta po tym, jak naukowcy zidentyfikowali exploit, który pozwolił każdemu uzyskać dostęp do konta Skype, o ile osoba znała adres e-mail powiązany z kontem.. Nie hasło do konta, a nie pytania bezpieczeństwa - tylko prosty adres e-mail.

Skype szybko zamknął dziurę, gdy złapał publicznie oko, ale obrażenia już zostały zrobione. Luka rozprzestrzeniała się na rosyjskich forach i była aktywnie wykorzystywana na wolności przed jej zamknięciem.

Hakerzy kradną 1,5 miliona numerów kart kredytowych

W kwietniu hakerzy zdołali "wyeksportować" aż 1,5 miliona numerów kart kredytowych z bazy danych Global Payments, usługi przetwarzania płatności wykorzystywanej między innymi przez agencje rządowe, instytucje finansowe i około 1 milion globalnych witryn sklepowych.

Na szczęście naruszenie było dość ograniczone. Firma Global Payments była w stanie zidentyfikować numery kart dotknięte skutkami włamania, a skradzione dane zawierały jedynie rzeczywiste numery kart i daty wygaśnięcia, nie nazwy posiadaczy kart ani danych osobowych. Jednak hity wciąż nadchodziły. W czerwcu Global Payments ogłosiło, że hakerzy mogą ukraść dane osobowe osób, które złożyły wniosek o konto handlowe w firmie.

Microsoft Security Essentials nie przechodzi certyfikatu testowego AV

Cóż, czy to nie jest takie kłopotliwe. AV-Test jest niezależnym instytutem zajmującym się bezpieczeństwem informacji, który regularnie zaokrągla w górę wszystkie najlepsze produkty antymalware, które tam są, rzuca całą masę złośliwości na wspomniane produkty i widzi, jak różne rozwiązania utrzymują się w więzieniu. Organizacja zrobiła to właśnie z 24 różnymi, skoncentrowanymi na konsumentach rozwiązaniami bezpieczeństwa pod koniec listopada, a tylko jedno z tych rozwiązań nie spełniło normy certyfikacyjnej AV-Test: Microsoft Security Essentials dla Windows 7.

Ta bez logo certyfikacji ? To jest MSE.

MSE faktycznie wykonało przyzwoitą robotę zajmując się dobrze znanymi wirusami w teście, ale program bezpieczeństwa dostarczał zaskakująco mało, dobrze, bezpieczeństwa w obliczu exploitów zero-day. Jego 64 punkty ochrony przed wspomnianymi atakami zero-day są o 25 punktów niższe niż średnia w branży.

Błąd, który nie był: wydany kod źródłowy Norton

Brzmi strasznie na powierzchni: Grupy nieuczciwych hakerów zarządzane aby uzyskać kod źródłowy dla jednego z popularnych programów Norton Security dla Symantec, po czym zrzucił kod do Pirate Bay, aby świat mógł je przeanalizować. Och nie! Nic nie jest w stanie powstrzymać złych facetów przed nieubłaganym przejściem przez systemy obronne, które są preinstalowane na gajillionach (w przybliżeniu) pudełkowych systemów sprzedawanych na całym świecie - prawda?

Zła. Kod źródłowy należał do produktów Norton Utilities wydanych w 2006 r., A obecne produkty firmy Symantec zostały odtworzone od podstaw, bez wspólnego kodu dzielonego między tymi dwoma. Innymi słowy, wydanie kodu źródłowego 2006 nie stanowi żadnego zagrożenia dla współczesnych subskrybentów programu Norton - przynajmniej jeśli zaktualizowałeś swój program antywirusowy w ciągu ostatnich pięciu lat.