O que podemos aprender com os desafios de segurança e privacidade on-line de 2015

Quando 2015 chega ao fim, vamos refletir sobre as lições de segurança que aprendemos em 2015. De Ashley Madison, a chaleiras hackeadas e conselhos de segurança duvidosos do governo, há muito sobre o que falar.

Quando 2015 chega ao fim, vamos refletir sobre as lições de segurança que aprendemos em 2015. De Ashley Madison, a chaleiras hackeadas e conselhos de segurança duvidosos do governo, há muito sobre o que falar.
Propaganda

À medida que nos aproximamos do precipício de 2016, vamos tirar um minuto para refletir sobre as lições de segurança que aprendemos em 2015. De Ashley Madison Ashley Madison não é grande coisa? Pensar novamente Ashley Madison Leak No Big Deal? Pense de novo Discreto site de namoro on-line Ashley Madison (alvejado principalmente em cônjuges de engano) foi hackeado. No entanto, esta é uma questão muito mais séria do que a que foi retratada na imprensa, com implicações consideráveis ​​para a segurança do usuário. Leia mais, para chaleiras hackeadas 7 razões pelas quais a Internet das coisas deve assustá-lo 7 razões pelas quais a Internet das coisas deve assustá-lo Os benefícios potenciais da Internet das Coisas brilham, enquanto os perigos são lançados nas sombras silenciosas. É hora de chamar a atenção para esses perigos com sete promessas aterrorizantes da IoT. Leia mais, e conselhos de segurança desonesto do governo, há muito o que falar.

Casas inteligentes ainda são um pesadelo de segurança

Em 2015, houve uma onda de pessoas atualizando seus itens domésticos analógicos existentes com alternativas informatizadas e conectadas à Internet. A tecnologia Smart Home realmente decolou este ano de uma forma que parece que vai continuar no novo ano. Mas, ao mesmo tempo, também foi martelado (desculpe) que alguns desses dispositivos não são tão seguros.

A maior história de segurança do Smart Home talvez tenha sido a descoberta de que alguns dispositivos estavam sendo entregues com certificados de criptografia duplicados (e muitas vezes codificados) e chaves privadas. Não foram apenas produtos da Internet of Things. Verificou-se que os roteadores emitidos pelos principais ISPs cometeram esse maior cardeal de pecados de segurança.

roteador2

Então, por que isso é um problema?

Essencialmente, isso torna trivial para um invasor espionar esses dispositivos através de um ataque "man-in-the-middle". O que é um ataque Man-in-the-middle? Jargão de Segurança Explicado O Que É um Ataque Man-in-the-Middle? Jargão de Segurança Explicado Se você já ouviu falar de ataques "man-in-the-middle", mas não tem certeza do que isso significa, este é o artigo para você. Leia mais, interceptando o tráfego enquanto permanece sem ser detectado pela vítima. Isso é preocupante, uma vez que a tecnologia Smart Home é cada vez mais usada em contextos incrivelmente sensíveis, como segurança pessoal, segurança doméstica Nest Protect Review e Giveaway Nest Protect Review e Giveaway Read More, e na área de saúde.

Se isso soa familiar, é porque vários grandes fabricantes de computadores foram pegos fazendo algo muito semelhante. Em novembro de 2015, foi descoberto que a Dell estava enviando computadores com um certificado raiz idêntico chamado eDellRoot Os últimos laptops da Dell estão infectados com eDellRoot Os últimos laptops da Dell estão infectados com eDellRoot Dell, o terceiro maior fabricante de computadores do mundo computadores - assim como a Lenovo fez com o Superfish. Veja como tornar seu novo Dell PC seguro. Leia mais, enquanto no final de 2014, a Lenovo começou intencionalmente quebrando conexões SSL Lenovo Laptop Owners Cuidado: Seu dispositivo pode ter malwares pré-instalados Lenovo Laptop Owners Cuidado: Seu dispositivo pode ter pré-instalado Malware fabricante de computadores chinês Lenovo admitiu que laptops enviados para lojas e consumidores no final de 2014 tinha malware pré-instalado. Leia mais para injetar anúncios em páginas criptografadas.

Não parou por aí. 2015 foi de fato o ano da insegurança do Smart Home, com muitos dispositivos identificados como tendo uma vulnerabilidade de segurança obscenamente óbvia.

Meu favorito era o iKettle Por que o Hacker iKettle deve preocupar você (mesmo se você não possui um) Por que o Hacky iKettle deve preocupá-lo (mesmo se você não possui um) O iKettle é uma chaleira WiFi que aparentemente veio com uma enorme falha de segurança que tinha o potencial de explodir redes WiFi inteiras. Leia mais (você adivinhou: Uma chaleira habilitada para Wi-Fi), que pode ser convencida por um invasor a revelar os detalhes do Wi-Fi (em texto não-menos) de sua rede doméstica.

ikettle-main

Para que o ataque funcione, você primeiro teve que criar uma rede sem fio falsificada que compartilha o mesmo SSID (o nome da rede) que possui o iKettle anexado a ela. Em seguida, conectando-se a ele através do utilitário Telnet do UNIX e percorrendo alguns menus, você poderá ver o nome de usuário e a senha da rede.

Em seguida, houve Wi-Fi da Samsung conectado Smart Fridge Smart Fridge da Samsung Just Got Pwned. Como sobre o resto da sua casa inteligente? Geladeira Inteligente da Samsung Só Tenho Pwned. Como sobre o resto da sua casa inteligente? Uma vulnerabilidade com a geladeira inteligente da Samsung foi descoberta pela firma de testes Infosec, do Reino Unido, Pen Test Parters. A implementação de criptografia SSL da Samsung não verifica a validade dos certificados. Leia mais, que falhou na validação de certificados SSL e permitiu que invasores interceptassem potencialmente as credenciais de login do Gmail.

samsung-smartfridge

À medida que a tecnologia Smart Home se torna cada vez mais popular, você pode esperar ouvir mais histórias sobre esses dispositivos que vêm com vulnerabilidades de segurança críticas e ser vítima de alguns hacks de alto perfil.

Governos ainda não entendem

Um tema recorrente que vimos nos últimos anos é o quanto a maioria dos governos desconhece quando se trata de questões de segurança.

Alguns dos exemplos mais notórios de analfabetismo infosec podem ser encontrados no Reino Unido, onde o governo mostrou repetida e consistentemente que eles simplesmente não entendem .

Uma das piores idéias que estão sendo levantadas no parlamento é a ideia de que a criptografia usada pelos serviços de mensagens (como Whatsapp e iMessage) deve ser enfraquecida, para que os serviços de segurança possam interceptá-los e decodificá-los. Como meu colega Justin Pot destacou no Twitter, é como enviar todos os cofres com um código mestre.

Imagine se o governo dissesse que todo cofre deveria ter um segundo código padrão, no caso de policiais quererem entrar. Esse é o debate de criptografia agora.

- Justin Pot (@jhpot) 9 de dezembro de 2015

Fica pior. Em dezembro de 2015, a National Crime Agency (a resposta do Reino Unido para o FBI) ​​emitiu alguns conselhos para os pais: “Seu filho é um hacker? As autoridades britânicas pensam que o seu filho é um hacker? As autoridades britânicas pensam assim A NCA, o FBI britânico, lançou uma campanha para dissuadir os jovens de crimes de computador. Mas o conselho deles é tão amplo que você pode pensar que qualquer um que leia este artigo seja um hacker - até mesmo você. Leia mais para que eles possam dizer quando seus filhos estão no caminho de se tornarem cibercriminosos endurecidos.

Essas bandeiras vermelhas, de acordo com a NCA, incluem “eles estão interessados ​​em codificar?” E “eles estão relutantes em falar sobre o que fazem online?”.

BadAdvice

Este conselho, obviamente, é lixo e foi amplamente ridicularizado, não só pelo MakeUseOf, mas também por outras publicações de tecnologia importantes, e pela comunidade infosec.

O @NCA_UK lista um interesse em codificar como um sinal de alerta para crimes cibernéticos! Bastante surpreendente. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz

- David G Smith (@aforethought) 9 de dezembro de 2015

Então, um interesse em codificação é agora um "sinal de alerta do crime cibernético". O NCA é basicamente um departamento de TI da escola dos anos 90. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10 de dezembro de 2015

As crianças que estavam "interessadas em codificar" cresceram para serem os engenheiros que criaram #Twitter, #Facebook e o site #NCA (entre outros)

- AdamJ (@IAmAdamJ) 9 de dezembro de 2015

Mas foi indicativo de uma tendência preocupante. Os governos não recebem segurança . Eles não sabem como se comunicar sobre ameaças à segurança e não entendem as tecnologias fundamentais que fazem a Internet funcionar. Para mim, isso é muito mais preocupante do que qualquer hacker ou terrorista cibernético.

Às vezes você deve negociar com terroristas

A maior história de segurança de 2015 foi, sem dúvida, o Ashley Madison hackear Ashley Madison Leak No Big Deal? Pensar novamente Ashley Madison Leak No Big Deal? Pense de novo Discreto site de namoro on-line Ashley Madison (alvejado principalmente em cônjuges de engano) foi hackeado. No entanto, esta é uma questão muito mais séria do que a que foi retratada na imprensa, com implicações consideráveis ​​para a segurança do usuário. Consulte Mais informação . Caso você tenha esquecido, deixe-me recapitular.

Lançado em 2003, Ashley Madison era um site de namoro com uma diferença. Permitiu que pessoas casadas se ligassem a pessoas que não eram realmente suas esposas. Seu slogan dizia tudo. "A vida é curta. Ter um caso."

Mas bruto como é, foi um grande sucesso. Em pouco mais de dez anos, Ashley Madison acumulou quase 37 milhões de contas registradas. Embora seja óbvio que nem todos estavam ativos. A grande maioria estava dormente.

No início deste ano, ficou claro que nem tudo estava bem com Ashley Madison. Um misterioso grupo de hackers chamado The Impact Team emitiu uma declaração alegando que eles conseguiram obter o banco de dados do site, além de um considerável cache de e-mails internos. Eles ameaçaram liberá-lo, a menos que Ashley Madison fosse fechada, junto com seu site irmão, Established Men.

A Avid Life Media, que é proprietária e operadora da Ashley Madison e da Established Men, publicou um comunicado de imprensa que minimizou o ataque. Eles enfatizaram que estavam trabalhando com a polícia para rastrear os criminosos e que eram “capazes de proteger nossos sites e fechar os pontos de acesso não autorizados”.

Declaração da Avid Life Media Inc .: http://t.co/sSoLWvrLoQ

- Ashley Madison (@ashleymadison) 20 de julho de 2015

No dia 18 de agosto, o Impact Team divulgou o banco de dados completo.

Foi uma demonstração incrível da rapidez e natureza desproporcional da justiça na Internet. Não importa o que você acha de trapacear (eu odeio isso pessoalmente), algo parecia totalmente errado . Famílias foram despedaçadas. Carreiras foram instantaneamente e muito publicamente arruinadas. Alguns oportunistas até enviaram e-mails de extorsão para os assinantes, por e-mail e por correio, fazendo-os extrair milhares deles. Alguns achavam que suas situações eram tão sem esperança, tinham que tirar suas próprias vidas. Foi ruim. 3 razões pelas quais o Hack Ashley Madison é um caso sério 3 razões pelas quais o Hack Ashley Madison é um caso sério A Internet parece em êxtase sobre o hack Ashley Madison, com detalhes de milhões de adúlteros e potenciais adúlteros hackeado e lançado on-line, com artigos indivíduos encontrados no despejo de dados. Hilário, certo? Não tão rápido. consulte Mais informação

O hack também brilhou nos holofotes de Ashley Madison.

Eles descobriram que das 1, 5 milhão de mulheres cadastradas no site, apenas cerca de 10 mil eram seres humanos autênticos. O resto eram robôs e contas falsas criadas pela equipe da Ashley Madison. Foi uma cruel ironia que a maioria das pessoas que se inscreveu provavelmente nunca conheceu ninguém através dele. Foi, para usar uma frase um pouco coloquial, uma 'festa de salsicha'.

a parte mais embaraçosa do seu nome sendo vazada do hack Ashley Madison é que você flertou com um bot. por dinheiro.

- espaço verbal (@VerbalSpacey) 29 de agosto de 2015

Não parou por aí. Por US $ 17, os usuários podem remover suas informações do site. Seus perfis públicos seriam apagados e suas contas seriam removidas do banco de dados. Isso foi usado por pessoas que se inscreveram e depois se arrependeram.

Mas o vazamento mostrou que Ashley Maddison na verdade não removeu as contas do banco de dados. Em vez disso, eles estavam apenas escondidos da Internet pública. Quando o banco de dados de usuários vazou, essas contas também foram divulgadas.

BoingBoing dias Ashley Madison despejo inclui informações de pessoas que pagaram AM para excluir suas contas.

- Denise Balkissoon (@ balkissoon) 19 de agosto de 2015

Talvez a lição que podemos aprender com a saga de Ashley Madison é que às vezes vale a pena concordar com as exigências dos hackers.

Sejamos honestos. A Avid Life Media sabia o que estava em seus servidores . Eles sabiam o que teria acontecido se tivesse vazado. Eles deveriam ter feito tudo ao seu alcance para impedir que vazassem. Se isso significasse fechar algumas propriedades on-line, tudo bem.

Vamos ser franco. Pessoas morreram porque a Avid Life Media tomou uma posição. E para quê?

Em uma escala menor, pode-se argumentar que muitas vezes é melhor atender às demandas de hackers e criadores de malware. O Ransomware é um ótimo exemplo disso. Não caia na armadilha dos golpistas: um guia para ransomware e outras ameaças não cai na armadilha dos golpistas: um guia para ransomware e outras ameaças Leia mais. Quando alguém é infectado, e seus arquivos são criptografados, as vítimas são solicitadas por um 'resgate' para descriptografá-las. Isso geralmente está nos limites de $ 200 ou mais. Quando pagos, esses arquivos geralmente são retornados. Para que o modelo de negócio do ransomware funcione, as vítimas precisam ter alguma expectativa de que possam recuperar seus arquivos.

Acho que daqui para frente, muitas das empresas que se encontram na posição da Avid Life Media vão questionar se uma postura desafiadora é a melhor a ser tomada.

Outras lições

2015 foi um ano estranho. Eu não estou falando apenas sobre Ashley Madison.

O VTech Hack VTech é hackeado, a Apple odeia os fones de ouvido ... [Tech News Digest] VTech é hackeado, a Apple odeia os fones de ouvido ... [Tech News Digest] Hackers expõem usuários VTech, a Apple considera remover o fone de ouvido, luzes de Natal Reduza a velocidade do seu Wi-Fi, o Snapchat entra na cama com o (RED) e lembra do Star Wars Holiday Special. Leia mais foi um trocador de jogo. Este fabricante de brinquedos infantis de Hong Kong ofereceu um computador tablet bloqueado, com uma loja de aplicativos para crianças, e a capacidade dos pais de controlá-lo remotamente. No início deste ano, foi hackeado, com mais de 700.000 perfis de crianças sendo vazados. Isso mostrou que a idade não é uma barreira para ser vítima de uma violação de dados.

Foi também um ano interessante para a segurança do sistema operacional. Enquanto questões foram levantadas sobre a segurança geral do GNU / Linux, o Linux foi vítima de seu próprio sucesso? O Linux foi vítima de seu próprio sucesso? Por que o diretor da Linux Foundation, Jim Zemlin, disse recentemente que a "era de ouro do Linux" pode acabar em breve? A missão de "promover, proteger e promover o Linux" falhou? Leia mais, o Windows 10 fez grandes promessas de ser o mais seguro do Windows 7 maneiras Windows 10 é mais seguro do que o Windows XP 7 maneiras Windows 10 é mais seguro que o Windows XP Mesmo se você não gostar do Windows 10, você deve ter migrado do Windows XP até agora. Mostramos a você como o sistema operacional de 13 anos agora está repleto de problemas de segurança. Consulte Mais informação . Este ano, fomos forçados a questionar o adágio de que o Windows é inerentemente menos seguro.

Basta dizer que 2016 será um ano interessante.

Que lições de segurança você aprendeu em 2015? Você tem alguma lição de segurança para adicionar? Deixe-os nos comentários abaixo.

In this article