Zhackowane e-maile o zmianach klimatycznych Wyróżnij obawy dotyczące bezpieczeństwa

Debata nad zmianami klimatu - i co jest faktem, a co pasuje do programu jednej lub drugiej strony - szaleje w w ślad za zhackowanymi e-mailami, twierdząc, że fakty zostały ukryte. Pozwolę rywalom zajmującym się zmianami klimatycznymi na walkę, ale przyjrzyjmy się bliżej aspektom bezpieczeństwa w e-mailu i sposobom, w jaki napastnicy mogli zdobyć te wiadomości.

Serwer w Hadley Climate Research Center w Stanach Zjednoczonych Królestwo zostało naruszone, a atakujący mógł zdobyć tysiące wiadomości e-mail i poufnych dokumentów, które następnie zostały przesłane na serwer FTP w Rosji i od tego czasu były publicznie udostępniane i analizowane na całym świecie.

Urzędnicy nie komentowali autentyczność danych, chociaż co najmniej jego część została potwierdzona jako zgodna z prawem. W oświadczeniu urzędnicy potwierdzili jednak naruszenie: "Jesteśmy świadomi, że informacje z serwera w jednej dziedzinie uniwersytetu zostały udostępnione na publicznych stronach internetowych."

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie ze swojego Komputer z systemem Windows]

Oczywiście, nie po raz pierwszy wyciekło potencjalnie szkodliwych informacji z powodu włamania do poczty e-mail. Przypomnij sobie, że osobiste konto Yahoo e-mail Sarah Palin zostało zhakowane podczas kampanii prezydenckiej w zeszłym roku.

Twitter był w tym roku dwukrotnie represjonowany. Po pierwsze, w styczniu zagrażono niektórym prominentnym kontom na Twitterze, co doprowadziło do fałszywych wiadomości, takich jak rzekomo z kotwicy CNN, Ricka Sancheza, który powiedział: "Jestem w szoku, może teraz nie przyjdzie do pracy dzisiaj". Następnie w maju osoba atakująca mogła zagrozić wewnętrznym dokumentom i informacjom o wynagrodzeniach pracowników i opublikować je w Internecie.

Ataki te nie są niestety całkowicie wyizolowane lub unikalne. W przypadku włamania Palin i co najmniej jednego naruszenia Twittera, słaby link może być powiązany z kontrolą bezpieczeństwa w internetowych usługach e-mail. Atakujący byli w stanie wykorzystać system w celu odzyskania utraconych nazw użytkowników i haseł, a zamiast tego użyć go do uzyskania nieautoryzowanego dostępu.

Pogwałcenie klimatu Hadley i kompromis wrażliwych dokumentów na Twitterze pokazują jednak, dlaczego jest ważne, aby szyfrować dane - nawet dane znajdujące się w stanie spoczynku na wewnętrznych serwerach, które nie są przeznaczone do wyświetlania w publicznym Internecie. Ulepszone mechanizmy zabezpieczające, które zapobiegają nieautoryzowanemu dostępowi w pierwszej kolejności, również byłyby dobre, ale szyfrowanie danych przeważy wszystko inne i praktycznie gwarantuje, że nie zostanie naruszone.

Ben Rothke, starszy konsultant ds. Bezpieczeństwa w BT Global Services zauważa, że rodzaje ataków to po prostu perfekcyjna burza, w której spotykają się haktywistów, łącza szerokopasmowe, słabe zabezpieczenia i tanie miejsca przechowywania.

Wszystkie naruszenia, włamania, kompromisy i ataki również podkreślają inny punkt - jeśli to napiszesz, nagraj go, sfotografuj to, lub w jakikolwiek sposób dokumentuje lub archiwizuje coś, zakłada, że ​​pewnego dnia będzie widziane przez ogół społeczeństwa. Z praktycznie nieskończoną ilością pamięci masowej i społecznym charakterem komunikacji online, nie można zagwarantować, że dane nigdy nie zostaną ujawnione.

Nie mówię, że "niebo pada" lub deklaruje, że bezpieczeństwo jest martwe. Dzięki silnym hasłom, solidnym praktykom bezpieczeństwa i wystarczającemu szyfrowaniu większość danych nigdy nie ujrzy światła dziennego. Mówię jednak, że możliwe jest ujawnienie informacji pomimo twoich najlepszych starań, i że powinieneś dwa razy pomyśleć o tym, co piszesz w e-mailu lub poście w aktualizacji statusu na Facebooku, aby nie stała się ona paleniem Szkielet w twojej szafie.

Rothke mówi: "Przesłanie jest takie, że każda organizacja musi poważnie traktować bezpieczeństwo, ale organizacje kontrowersyjne lub przechowujące kontrowersyjne dane, czy to bank, ambasada, twórca systemu operacyjnego czy organizacja polityczna, muszą być wyjątkowo staranne w zabezpieczaniu swojej infrastruktury. "

Upewnij się, że masz zainstalowane zabezpieczenia, aby uniemożliwić nieautoryzowany dostęp. Zaszyfruj dane, aby nie można było ich przejąć, nawet jeśli kontrola bezpieczeństwa się nie powiedzie. I ostatecznie, nie pisz w e-mailach, których nie chciałbyś nadawać na dużym ekranie w nowojorskim Times Square.

Nadzieja na najlepsze, ale plan na najgorsze. Jak mówi Rothke "Dopóki tego nie zrobią, University of East Anglia będzie tylko jednym z wielu takich ataków."

Tony Bradley wpisuje jako @PCSecurityNews, i można się z nim skontaktować na jego stronie na Facebooku.