Als we de afgrond van 2016 naderen, nemen we even de tijd om stil te staan bij de beveiligingslessen die we in 2015 hebben geleerd. Van Ashley Madison Ashley Madison Leak No Big Deal? Think Again Ashley Madison Leak No Big Deal? Think Again Discreet online datingsite Ashley Madison (voornamelijk gericht op vals spelende echtgenoten) is gehackt. Dit is echter een veel ernstiger probleem dan in de pers is verbeeld, met aanzienlijke gevolgen voor de gebruikersveiligheid. Lees meer, naar gehackte ketels 7 Redenen waarom het internet der dingen u zou moeten afschrikken 7 Redenen waarom het internet der dingen u bang zou moeten maken De potentiële voordelen van het internet der dingen worden helder, terwijl de gevaren in de stille schaduwen worden geworpen. Het is tijd om de aandacht te vestigen op deze gevaren met zeven angstaanjagende beloften van het ivd. Read More, en dodgy veiligheidsadvies van de overheid, er is veel om over te praten.
Smart Homes zijn nog steeds een beveiligingsnachtmerrie
In 2015 hebben veel mensen hun bestaande analoge huishoudelijke apparaten geüpgraded naar gecomputeriseerde, op internet aangesloten alternatieven. Smart Home-technologie is dit jaar echt van start gegaan op een manier die lijkt door te zetten in het nieuwe jaar. Maar tegelijkertijd werd het ook gehamerd (sorry) dat sommige van deze apparaten niet zo veilig zijn.
Het grootste verhaal over Smart Home-beveiliging was misschien dat de ontdekking dat sommige apparaten werden verzonden met dubbele (en vaak hard gecodeerde) coderingscertificaten en privésleutels. Het waren niet alleen producten van Internet of Things. Van routers die zijn uitgegeven door grote ISP's is vastgesteld dat deze deze kardinaal van beveiligingszonden hebben begaan.
Dus, waarom is het een probleem?
In wezen maakt dit het voor een aanvaller triviaal om deze apparaten te bespioneren via een 'man-in-the-middle'-aanval. Wat is een man-in-het-middenaanval? Beveiliging Jargon verklaarde wat een man-in-het-middenaanval is? Beveiliging Jargon uitgelegd Als je hebt gehoord van "man-in-the-middle" -aanvallen, maar niet helemaal zeker bent wat dat betekent, is dit het artikel voor jou. Meer lezen, verkeer onderscheppen en tegelijk onopgemerkt blijven door het slachtoffer. Dit is zorgwekkend, aangezien Smart Home-technologie steeds vaker wordt gebruikt in ongelooflijk gevoelige contexten, zoals persoonlijke veiligheid, Nest Protect-beoordeling voor huishoudens en Nest Protect Review en Giveaway Read More, en in de gezondheidszorg.
Als dit bekend klinkt, komt dat omdat een aantal grote computerfabrikanten betrapt zijn op een vergelijkbaar ding. In november 2015 bleek Dell computers te verzenden met een identiek rootcertificaat met de naam eDellRoot Dell's nieuwste laptops zijn geïnfecteerd met eDellRoot Dell's nieuwste laptops zijn geïnfecteerd met eDellRoot Dell, 's werelds derde grootste computerfabrikant is betrapt op het verzenden van valse rootcertificaten op alle nieuwe computers - net zoals Lenovo deed met Superfish. Hier leest u hoe u uw nieuwe Dell-pc veilig kunt maken. Read More, terwijl eind 2014 Lenovo opzettelijk door SSL-verbindingen werd verbroken Lenovo Laptop-eigenaren Pas op: Uw apparaat heeft malware van tevoren geïnstalleerd Lenovo Laptop-eigenaren Pas op: Uw apparaat is vooraf geïnstalleerd Malware Chinese computerfabrikant Lenovo heeft toegegeven dat laptops naar winkels en consumenten zijn verzonden eind 2014 was malware vooraf geïnstalleerd. Lees meer om advertenties in gecodeerde webpagina's te injecteren.
Daar bleef het niet bij. 2015 was inderdaad het jaar van Smart Home-onveiligheid, met veel apparaten waarvan werd vastgesteld dat ze met een obsceen overduidelijk beveiligingskwetsuur kwamen.
Mijn favoriet was de iKettle Waarom de iKettle-hack je zorgen moet maken (zelfs als je er zelf geen hebt) Waarom de iKettle-hack je zorgen moet maken (zelfs als je er zelf geen hebt) De iKettle is een waterkoker met wifi die klaarblijkelijk met een enorme, gapende beveiligingsfout die het potentieel had om hele WiFi-netwerken open te blazen. Read More (u raadt het al: een waterkoker met Wi-Fi), die door een aanvaller overtuigd zou kunnen worden om de Wi-Fi details (in gewone tekst, niet minder) van zijn thuisnetwerk te onthullen.
Om de aanval te laten werken, moest je eerst een vervalst draadloos netwerk maken dat dezelfde SSID (de naam van het netwerk) deelt als degene met de iKettle eraan gekoppeld. Door er vervolgens via het UNIX-hulpprogramma Telnet verbinding mee te maken en door enkele menu's te bladeren, ziet u de gebruikersnaam en het wachtwoord van het netwerk.
Toen was er Samsung's WiFi verbonden Smart Fridge Samsung's Smart Fridge Just Got Pwned. Hoe zit het met de rest van uw Smart Home? De Smart Koelkast van Samsung is net Pwned geworden. Hoe zit het met de rest van uw Smart Home? Een kwetsbaarheid met de slimme koelkast van Samsung werd ontdekt door het in het Verenigd Koninkrijk gevestigde infosec-bedrijf Pen Test Parters. Samsung's implementatie van SSL-codering controleert niet de geldigheid van de certificaten. Read More, waardoor SSL-certificaten niet konden worden gevalideerd en aanvallers mogelijk in staat werden gesteld Gmail-inloggegevens te onderscheppen.
Omdat Smart Home-technologie steeds mainstream wordt, kun je verwachten dat meer verhalen over deze apparaten gepaard gaan met kritieke beveiligingsproblemen en het slachtoffer worden van een aantal spraakmakende hacks.
Regeringen snappen het nog steeds niet
Een terugkerend thema dat we de afgelopen jaren hebben gezien, is hoe zeer de meeste regeringen zich niet bewust zijn van beveiligingsaangelegenheden.
Enkele van de meest flagrante voorbeelden van infosec-analfabetisme zijn te vinden in het Verenigd Koninkrijk, waar de regering herhaaldelijk en consequent heeft laten zien dat ze het gewoon niet snappen .
Een van de slechtste ideeën die in het parlement wordt aangedragen, is het idee dat de codering die wordt gebruikt door berichtenservices (zoals WhatsApp en iMessage) moet worden verzwakt, zodat de beveiligingsdiensten ze kunnen onderscheppen en decoderen. Zoals mijn collega Justin Pot opmerkte op Twitter, lijkt het erop dat alle kluizen worden verzonden met een mastercode.
Stel je voor dat de overheid zei dat elke kluis een standaard tweede code zou moeten hebben, voor het geval politieagenten dat willen. Dat is nu het coderingsdebat.
- Justin Pot (@jhpot) 9 december 2015
Het wordt erger. In december 2015 heeft het National Crime Agency (het Britse antwoord aan de FBI) advies uitgebracht aan ouders Is Your Child een hacker? De Britse autoriteiten denken dat uw kind een hacker is? The British Authorities Think So De NCA, de Britse FBI, heeft een campagne gelanceerd om jongeren af te houden van computercriminaliteit. Maar hun advies is zo breed dat je zou kunnen aannemen dat iedereen die dit artikel leest een hacker is - zelfs jij. Meer lezen zodat ze kunnen zien wanneer hun kinderen op weg zijn om geharde cybercriminelen te worden.
Deze rode vlaggen, volgens de NCA, omvatten "zijn ze geïnteresseerd in codering?" En "zijn ze terughoudend om te praten over wat ze online doen?".
Dit advies is overduidelijk rommel en werd breed bespot, niet alleen door MakeUseOf, maar ook door andere belangrijke technologiepublicaties en de infosec-gemeenschap.
De @NCA_UK noemt een interesse in codering als een waarschuwing voor cybercriminaliteit! Heel verbazingwekkend. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz
- David G Smith (@aforethought) 9 december 2015
Dus interesse in codering is nu een 'waarschuwingsbord voor cybercriminaliteit'. De NCA is in feite een IT-afdeling uit de jaren 90 van de vorige eeuw. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 10 december 2015
Kinderen die 'geïnteresseerd waren in codering' groeiden op tot de ingenieurs die #Twitter, #Facebook en de #NCA-website (onder andere) creëerden
- AdamJ (@IAmAdamJ) 9 december 2015
Maar het was een aanwijzing voor een verontrustende trend. Overheden krijgen geen beveiliging . Ze weten niet hoe ze moeten communiceren over beveiligingsrisico's en ze begrijpen de fundamentele technologieën die internet gebruiken niet. Voor mij is dat veel zorgwekkender dan welke hacker of cyberterrorist dan ook.
Soms moet je onderhandelen met terroristen
Het grootste beveiligingsverhaal van 2015 was ongetwijfeld de Ashley Madison hack Ashley Madison Leak No Big Deal? Think Again Ashley Madison Leak No Big Deal? Think Again Discreet online datingsite Ashley Madison (voornamelijk gericht op vals spelende echtgenoten) is gehackt. Dit is echter een veel ernstiger probleem dan in de pers is verbeeld, met aanzienlijke gevolgen voor de gebruikersveiligheid. Lees verder . Als je het bent vergeten, laat me het dan samenvatten.
Gelanceerd in 2003, Ashley Madison was een datingsite met een verschil. Het liet getrouwde mensen toe om contact te maken met mensen die niet echt hun echtgenoten waren. Hun slogan zei het allemaal. "Het leven is kort. Heb een affaire. "
Maar hoe grof het ook is, het was een weggelopen succes. In iets meer dan tien jaar tijd had Ashley Madison bijna 37 miljoen geregistreerde accounts verzameld. Hoewel het vanzelfsprekend is dat ze niet allemaal actief waren. De overgrote meerderheid was slapend.
Eerder dit jaar werd duidelijk dat alles niet goed ging met Ashley Madison. Een mysterieuze hackgroep genaamd The Impact Team gaf een verklaring af waarin ze beweerden dat ze de sitedatabase hadden kunnen bemachtigen, plus een flinke hoeveelheid interne e-mails. Ze dreigden het uit te geven, tenzij Ashley Madison werd gesloten, samen met haar zustersite Established Men.
Avid Life Media, de eigenaren en exploitanten van Ashley Madison en Established Men, hebben een persbericht uitgegeven waarin de aanval werd gebagatelliseerd. Ze benadrukten dat ze met wetshandhavers werkten om de daders op te sporen en "onze sites konden beveiligen en onbevoegde toegangspunten konden sluiten".
Verklaring van Avid Life Media Inc .: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 20 juli 2015
Op 18 augustus heeft Impact Team de volledige database vrijgegeven.
Het was een ongelooflijke demonstratie van de snelheid en onevenredigheid van internetjustitie. Het maakt niet uit hoe je je voelt voor vals spelen (ik haat het, persoonlijk), er was iets dat er totaal niet goed aan was . Families werden uit elkaar getrokken. Carrières werden onmiddellijk en zeer publiekelijk geruïneerd. Sommige opportunisten stuurden zelfs abonnees e-mails over afpersing, per e-mail en per post, en melken ze uit duizenden. Sommigen dachten dat hun situaties zo hopeloos waren dat ze hun eigen leven moesten leiden. Het was slecht. 3 redenen waarom de Ashley Madison-hack een serieuze zaak is 3 Redenen waarom de Ashley Madison-hack een serieuze zaak is Het internet lijkt extatisch over de hack van Ashley Madison, waarbij miljoenen overspelige en potentiële overspelige personen zijn gehackt en online zijn vrijgegeven, met artikelen personen gevonden in de gegevensverzameling. Hilarisch, toch? Niet zo snel. Lees verder
De hack scheen ook een schijnwerper op de innerlijke werking van Ashley Madison.
Ze ontdekten dat van de 1, 5 miljoen vrouwen die op de site waren geregistreerd, slechts ongeveer 10.000 echte echte mensen waren. De rest bestond uit robots en nep-accounts die werden gemaakt door personeel van Ashley Madison. Het was een wrede ironie dat de meeste mensen die zich hadden aangemeld waarschijnlijk nooit iemand hebben ontmoet. Het was, om een enigszins omgangstaal te gebruiken, een 'worstfeest'.
meest gênante deel van je naam wordt gelekt uit de Ashley Madison hack is je geflirt met een bot. voor geld.
- mondelinge spacey (@VerbalSpacey) 29 augustus 2015
Daar bleef het niet bij. Voor $ 17 konden gebruikers hun informatie van de site verwijderen. Hun openbare profielen zouden worden gewist en hun accounts zouden uit de database worden verwijderd. Dit werd gebruikt door mensen die zich hebben aangemeld en later spijt hebben gehad.
Maar het lek toonde aan dat Ashley Maddison de rekeningen niet echt uit de database verwijderde. In plaats daarvan waren ze alleen verborgen voor het openbare internet. Toen hun gebruikersdatabase werd gelekt, waren dit ook deze accounts.
BoingBoing-dagen Ashley Madison dump bevat informatie van mensen die AM hebben betaald om hun accounts te verwijderen.
- Denise Balkissoon (@balkissoon) 19 augustus 2015
Misschien is de les die we kunnen leren van de saga van Ashley Madison dat het soms de moeite waard is om te berusten bij de eisen van hackers.
Laten we eerlijk zijn. Avid Life Media wist wat er op hun servers stond . Ze wisten wat er zou zijn gebeurd als het zou lekken. Ze hadden alles in het werk moeten stellen om te voorkomen dat het wordt gelekt. Als dat betekende dat een paar online-eigendommen gesloten moesten worden, dan was het maar.
Laten we bot zijn. Mensen stierven omdat Avid Life Media een standpunt innam. En voor wat?
Op kleinere schaal kan worden gesteld dat het vaak beter is om te voldoen aan de eisen van makers van hackers en malware. Ransomware is een goed voorbeeld van deze Do not Fall Foul of the Scammers: A Guide to Ransomware & Other Threats Do not Fall Foul of the Scammers: A Guide to Ransomware & Other Threats Lees meer. Wanneer iemand is geïnfecteerd en zijn bestanden zijn gecodeerd, worden de slachtoffers om een 'losgeld' gevraagd om ze te ontcijferen. Dit is over het algemeen ongeveer $ 200 of zo. Als deze worden betaald, worden deze bestanden over het algemeen geretourneerd. Om het bedrijfsmodel van ransomware te laten werken, moeten slachtoffers enige verwachting hebben dat ze hun bestanden terug kunnen krijgen.
Ik denk dat in de toekomst veel van de bedrijven die zich in de positie van Avid Life Media bevinden, zullen afvragen of een uitdagende houding de beste is die ze moeten nemen.
Andere lessen
2015 was een raar jaar. Ik heb het niet alleen over Ashley Madison.
De VTech Hack VTech wordt gehackt, Apple Hates Headphone Jacks ... [Tech News Digest] VTech wordt gehackt, Apple Hates Headphone Jacks ... [Tech News Digest] Hackers stellen VTech-gebruikers bloot, Apple overweegt de koptelefoonaansluiting te verwijderen, kerstverlichting kan vertraag uw wifi, Snapchat gaat naar bed met (RED) en onthoudt de Star Wars Holiday Special. Read More was een game-wisselaar. Deze in Hong Kong gevestigde fabrikant van kinderspeelgoed bood een afgesloten tabletcomputer, een kindvriendelijke appstore en de mogelijkheid voor ouders om het op afstand te bedienen. Eerder dit jaar werd het gehackt, met meer dan 700.000 kinderprofielen gelekt. Hieruit bleek dat leeftijd geen belemmering vormt om slachtoffer te worden van een datalek.
Het was ook een interessant jaar voor de beveiliging van besturingssystemen. Terwijl er vragen rijzen over de algehele veiligheid van GNU / Linux Is Linux een slachtoffer van zijn eigen succes geweest? Is Linux een slachtoffer van zijn eigen succes geweest? Waarom zei het hoofd van Linux Foundation, Jim Zemlin, onlangs dat de 'gouden eeuw van Linux' binnenkort ten einde zou kunnen zijn? Is de missie om "Linux te promoten, beschermen en vooruit te helpen" mislukt? Meer lezen, Windows 10 heeft grootse beloften gemaakt om de meest veilige Windows ooit 7 manieren te zijn Windows 10 is veiliger dan Windows XP 7 manieren waarop Windows 10 veiliger is dan Windows XP Zelfs als je Windows 10 niet leuk vindt, zou je echt gemigreerd moeten zijn van Windows XP nu. We laten u zien hoe het 13 jaar oude besturingssysteem nu vol zit met beveiligingsproblemen. Lees verder . Dit jaar moesten we het adagium dat Windows inherent minder veilig is, in vraag stellen.
Het volstaat te zeggen dat 2016 een interessant jaar gaat worden.
Welke beveiligingslessen hebt u in 2015 geleerd? Heb je beveiligingsles om toe te voegen? Laat ze achter in de reacties hieronder.