Joseph Goodman
0 
5014
1147
2016'nın zirvesine yaklaştığımızda, 2015'te öğrendiğimiz güvenlik derslerine bir dakika ayıralım. Ashley Madison'dan Ashley Madison Leak No Big Deal? Tekrar Düşün Ashley Madison Büyük Anlaşma Yapmaz mı? Tekrar düşünün Gizli çevrimiçi tanışma siteleri Ashley Madison (öncelikle hile yapan eşleri hedef alan) saldırıya uğradı. Ancak bu, kullanıcı güvenliği için önemli etkileri olan, basında tasvir edilenden çok daha ciddi bir konudur. , su ısıtıcıları hack için 7 Sebepler Neden Nesnelerin İnterneti Sizi Korkutmalı 7 Neden Nesnelerin İnterneti Sizi Korkutmalı? IoT'nin yedi korkunç vaadiyle bu tehlikelere dikkat çekmenin zamanı geldi. ve hükümetten tehlikeli güvenlik önerileri hakkında konuşacak çok şey var..
Akıllı Evler Hala Güvenlik Kabusu
2015 yılı bilgisayarlı, internete bağlı alternatiflerle mevcut analog ev eşyalarını geliştiren bir acele gördü. Akıllı ev teknolojisi Gerçekten mi Bu yıl, Yeni Yıla devam edecek gibi göründü. Ancak aynı zamanda, bu cihazlardan bazılarının evinde de (üzgünüm) dövülmüş olması. hepsi o kadar güvenli değil mi.
En büyük Akıllı Ev güvenlik hikayesi, belki de bazı cihazların iki kez (ve genellikle kodlanmış) şifreleme sertifikaları ve özel anahtarlar ile birlikte gönderildiğini keşfediyordu. Bu da sadece Nesnelerin İnterneti ürünleri değildi. Belli başlı ISS'ler tarafından verilen yönlendiricilerin, bu en önemli güvenlik günahlarının temelini oluşturduğu tespit edildi..
Öyleyse neden sorun?
Temel olarak, bu, bir saldırganın 'ortadaki adam' saldırısı yoluyla bu cihazlara casusluk yapmasını önemsiz kılıyor. Ortadaki Adam saldırısı nedir? Güvenlik Jargon Açıkladı Ortadaki Bir Adam Saldırısı Nedir? Güvenlik Jargon Açıklaması “Ortadaki adam” saldırılarını duyduysanız ancak bunun ne anlama geldiğinden tam olarak emin değilseniz, bu makale sizin için. Aynı anda kurban tarafından tespit edilmeden kalarak trafiği ele geçirmek. Bu, Akıllı Ev teknolojisinin, kişisel güvenlik, ev güvenliği Yuva Koruma İncelemesi ve Giveaway Yuva Koruma İncelemesi ve Giveaway gibi inanılmaz hassas bağlamlarda ve sağlık sektöründe giderek daha fazla kullanılmaya başlanmasıyla ilgilidir..
Bu tanıdık geliyorsa, bunun nedeni birçok büyük bilgisayar üreticisinin benzer bir şeyi yaparken yakalanmış olmasıdır. Kasım 2015'te Dell, eDellRoot Dell'in En Son Dizüstü Bilgisayarlarına Enfekte Edilmiş eDellRoot Dell ile aynı kök sertifikaya sahip bilgisayarları nakliye ettiği bulundu. Dell'in En Son Dizüstü Bilgisayarlarına Enfekte Etildi eDellRoot Dell'e, dünyanın en büyük üçüncü bilgisayar üreticisi, tüm yeni dolandırıcılık sertifikasını getirdi bilgisayarlar - tıpkı Lenovo'nun Superfish ile yaptığı gibi. İşte yeni Dell PC'nizi güvenli hale getirmenin yolu. , 2014 yılının sonlarında, Lenovo bilinçli olarak SSL bağlantılarını kesmeye başladı. Lenovo Dizüstü Bilgisayar Sahipleri Dikkat Edin: Cihazınız Önceden Yüklenmiş Malware Yapmış Olabilir Lenovo Dizüstü Sahipleri Dikkat: Cihazınız Önceden Yüklenmiş Zararlı Yazılımlar Yapmış Olabilir Çinli bilgisayar üreticisi Lenovo dizüstü bilgisayarların mağazaların ve tüketicilerin geç saatlerde sevk edildiğini itiraf etti 2014 önceden kurulmuş kötü amaçlı yazılım kullanıyordu. şifreli web sayfalarına reklam enjekte etmek için.
Orada durmadı. 2015 gerçekten de Akıllı Ev güvensizliği yılıydı, birçok cihaz müstehcen bir şekilde açık bir güvenlik açığı ile geldiği belirlendi.
En sevdiğim iKettle oldu Neden iKettle Hack Endişelenmeli (Siz Olmasanız bile) iKettle Hack Neden Endişelenmeli (Sahip Olmasanız bile) iKettle, görünüşte birlikte verilen WiFi özellikli bir su ısıtıcısıdır. Tüm WiFi ağlarını açma potansiyeli olan büyük, ağzı açık bir güvenlik açığı. (tahmin ettin: Wi-Fi özellikli bir su ısıtıcısı), bir saldırgan tarafından ev ağının Wi-Fi ayrıntılarını (düz metin olarak, daha az değil) ortaya çıkarmaya ikna edebilecek.
Saldırının işe yaraması için, önce iKettle'ın bağlı olduğu SSID'yi (ağın adı) paylaşan sahte bir kablosuz ağ oluşturmanız gerekiyordu. Daha sonra UNIX yardımcı programı Telnet üzerinden bağlanarak ve birkaç menüden geçerek, ağ kullanıcı adını ve şifresini görebilirsiniz..
Sonra Samsung'un Wi-Fi bağlantılı Akıllı Buzdolabı vardı Samsung'un Akıllı Buzdolabı Pwned. Akıllı Evinizin Kalanı Nasıl? Samsung'un Akıllı Buzdolabı Pwned. Akıllı Evinizin Kalanı Nasıl? İngiltere merkezli infosec firması Pen Test Parters tarafından Samsung'un akıllı buzdolabındaki bir güvenlik açığı keşfedildi. Samsung'un SSL şifrelemesi uygulaması, sertifikaların geçerliliğini kontrol etmez. , SSL sertifikalarını doğrulayamadı ve saldırganların Gmail giriş kimlik bilgilerini potansiyel olarak ele geçirmelerine izin verdi.
Smart Home teknolojisi gittikçe daha yaygın hale geldikçe ve olacağından, kritik güvenlik açıkları ile gelen ve bazı yüksek profilli bilgisayar korsanlarının kurbanı haline gelen bu cihazlarla ilgili daha fazla hikaye duymayı bekleyebilirsiniz.
Hükümetler Hala Anlamadı
Geçtiğimiz birkaç yıl boyunca gördüğümüz yinelenen bir tema, hükümetlerin güvenlik meseleleri söz konusu olduğunda ne kadar kayıtsız olduğu..
Infosec okuma yazma bilmeme konusundaki en korkunç örneklerden bazıları, hükümetin defalarca ve sürekli olarak gösterdiklerini gösterdiği İngiltere'de bulunabilir. sadece anlamadım.
Parlamentoda süzülen en kötü fikirlerden biri, mesajlaşma servisleri (Whatsapp ve iMessage gibi) tarafından kullanılan şifrelemenin zayıflatılması gerektiği, dolayısıyla güvenlik servislerinin onları yakalayıp çözebileceği düşüncesidir. Meslektaşım Justin Pot'un Twitter'a dikkatlice işaret ettiği gibi, tüm kasaları bir ana anahtar kodla göndermek gibi..
Devletin, her kasanın standart bir ikinci koda sahip olması gerektiğini, polislerin isteme ihtimaline karşı olduğunu söylediğini düşünün. Şu anda şifreleme tartışması..
- Justin Pot (@jhpot) 9 Aralık 2015
Kötüleşiyor. Aralık 2015’te, Ulusal Suç Ajansı (İngiltere’nin FBI’ya cevabı), ebeveynler için bazı tavsiyeler verdi Çocuğunuz Korsan mı? İngiliz Yetkililer Çocuğunuz Hacker mı? İngiliz Yetkililer Düşünüyor So NCA, İngiltere'nin FBI'sı, gençleri bilgisayar suçundan caydırmak için bir kampanya başlattı. Ancak onların önerileri o kadar geniştir ki, bu makaleyi okuyanların bir bilgisayar korsanı olduğunu düşünebilirsiniz - siz bile bu yüzden çocuklarının sertleşmiş siber suçlu olma yolunda olduklarını söyleyebilirler..
NCA’ya göre bu kırmızı bayraklar arasında “kodlama ile ilgileniyorlar mı?” ve “çevrimiçi yaptıkları hakkında konuşmakta isteksizler mi??”.
Açıkçası, bu tavsiye çöptür ve sadece MakeUseOf tarafından değil, aynı zamanda diğer büyük teknoloji yayınları ve infosec topluluğu tarafından da yaygın olarak karşılanmıştır..
@NCA_UK, siber suçlar için uyarı işareti olarak kodlamaya ilgi duyuyor! Oldukça şaşırtıcı. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz
- David G Smith (@aforethought) 9 Aralık 2015
Yani kodlamaya ilgi şimdi "siber suçun uyarı işareti" oldu. NCA temelde 1990'ların bir okul BT departmanıdır. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) Tarafindan 10 Aralık 2015
'Kodlama ile ilgilenen' çocuklar, #Twitter, #Facebook ve #NCA web sitesini (diğerleri arasında) yaratan mühendisler olarak büyüdüler.
- AdamJ (@IAmAdamJ) 9 Aralık 2015
Fakat sıkıntılı bir eğilimin göstergesiydi. Hükümetler güvenlik alamıyor. Güvenlik tehditleri hakkında nasıl iletişim kuracaklarını bilmiyorlar ve interneti çalıştıran temel teknolojileri anlamıyorlar. Benim için bu, herhangi bir hacker veya siber-teröristten çok daha fazlası ile ilgili..
Bazen sen Meli Teröristler ile müzakere
2015'in en büyük güvenlik hikayesi hiç kuşkusuz Ashley Madison’ı kesmek oldu Ashley Madison Leak No Big Deal mı? Tekrar Düşün Ashley Madison Büyük Anlaşma Yapmaz mı? Tekrar düşünün Gizli çevrimiçi tanışma siteleri Ashley Madison (öncelikle hile yapan eşleri hedef alan) saldırıya uğradı. Ancak bu, kullanıcı güvenliği için önemli etkileri olan, basında tasvir edilenden çok daha ciddi bir konudur. . Unuttuysan, tekrar özetleyeyim..
2003 yılında başlatılan Ashley Madison, farklı bir buluşma yeriydi. Evli insanların eşleri olmayan insanlarla ilişki kurmasına izin verdi. Onların sloganı her şeyi söyledi. “Hayat kısa. Bir ilişki var.”
Ancak olduğu gibi brüt, kaçak bir başarıydı. On yıldan biraz daha uzun bir süre önce Ashley Madison neredeyse 37 milyon kayıtlı hesap biriktirmişti. Bunların hepsinin aktif olmadığını söylemeden geçmesine rağmen. Büyük çoğunluk uykuda kaldı.
Bu yılın başlarında, her şeyin Ashley Madison ile iyi olmadığı anlaşıldı. The Impact Team adlı gizemli bir bilgisayar korsanlığı grubu, site veritabanını elde edebildiklerini iddia eden bir açıklama ile büyük bir iç e-posta önbelleği yayınladı. Ashley Madison kapatılmadığı sürece, kardeş sitesi Established Men ile birlikte serbest bırakılmakla tehdit ettiler..
Ashley Madison ve Established Men'ın sahipleri ve işletmecileri olan Avid Life Media, saldırıyı küçümseyen bir basın açıklaması yaptı. Faillerin izini sürmek için kolluk kuvvetleriyle çalıştıklarını vurguladılar ve “sitelerimizi güvence altına alabilir ve yetkisiz erişim noktalarını kapatabilir”.
Avid Life Media Inc.'in açıklaması: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 20 Temmuz 2015
18’deinci Ağustos’ta, Impact Team tam veritabanını yayınladı.
İnternet adaletinin hızlılığının ve orantısız niteliğinin inanılmaz bir gösterisiydi. Hile konusunda nasıl hissettiğiniz önemli değil (kişisel olarak nefret ediyorum), bir şeyler hissettim tamamen yanlış hakkında. Aileler yıkıldı. Kariyer anında ve çok açık bir şekilde harap oldu. Hatta bazı fırsatçılar abonelere haraç e-postaları, e-posta yoluyla ve posta yoluyla binlerce kişiyi sağmalarını bile gönderdi. Bazıları durumlarının çok umutsuz olduğunu, kendi hayatlarını almak zorunda kaldıklarını düşünüyordu. Bu kötü oldu. Ashley Madison Hack'un Ciddi Bir İlişki Olduğu 3 Sebep Neden Ashley Madison Hack'un Ciddi Bir İlişki Olduğu Neden İnternet Milyonlarca Zina ve potansiyel Zina Usulü'nün makaleleri yayınlandığında çevrimiçi olarak serbest bırakıldığı ve yayınlandığı The Ashley Madison hackinden bahsetti. Veri dökümünde bulunan bireyler. Komik, değil mi? Çok hızlı değil.
Hack, Ashley Madison'ın iç işleyişinde de bir projektör oldu.
Sitede kayıtlı bulunan 1.5 milyon kadının sadece 10.000'inin gerçek insan olduğunu keşfetmişlerdir. Gerisi Ashley Madison personeli tarafından yaratılan robotlar ve sahte hesaplardı. Katılan çoğu insanın muhtemelen hiç kimseyle görüşmediği, acımasız bir ironi idi. Hafifçe konuşulan bir cümleyi kullanmak, 'sosis festivali' idi..
İsminin Ashley Madison hackinden sızdırılmasının en utanç verici kısmı, bir botla flört etmen. para için.
- sözlü boşluk (@VerbalSpacey) 29 Ağustos 2015
Orada durmadı. 17 $ için kullanıcılar bilgilerini siteden kaldırabilir. Herkese açık profilleri silinecek ve hesapları veritabanından silinecekti. Bu kaydoldu ve sonra pişman olan insanlar tarafından kullanıldı.
Fakat sızıntı, Ashley Maddison’un yapmadığını gösterdi. aslında hesapları veritabanından kaldırın. Bunun yerine, yalnızca halka açık İnternetten gizlendiler. Kullanıcı veritabanı sızdırıldığı zaman, bu hesaplar da.
BoingBoing günleri Ashley Madison dökümü, hesaplarını silmek için AM ödeme yapan kişilerin bilgilerini içerir..
- Denise Balkissoon (@balkissoon) 19 Ağustos 2015
Belki de Ashley Madison destanından öğrenebileceğimiz ders budur. bazen bilgisayar korsanlarının taleplerine cevap vermeye değer.
Dürüst olalım. Avid Life Media sunucularında ne olduğunu biliyordu. Sızdıysa ne olacağını biliyorlardı. Sızdırılmasını önlemek için güçleri dahilinde her şeyi yapmış olmalılar. Bu birkaç çevrimiçi özelliği kapatmak anlamına geliyorsa,.
Künt olalım. İnsanlar öldü çünkü Avid Life Media durdu. Ve ne için?
Daha küçük bir ölçekte, bilgisayar korsanlarının ve kötü amaçlı yazılım yaratıcılarının taleplerini yerine getirmenin genellikle daha iyi olduğu söylenebilir. Ransomware, Dolandırıcıların Düşme Dolandırıcılığına harika bir örnektir: Ransomware ve Diğer Tehditlere Yönelik Dolandırıcılığa Düşmeyen Dolandırıcılık: Ransomware ve Diğer Tehditlere Yönelik Bir Kılavuz. Birine virüs bulaşmışsa ve dosyaları şifrelenmişse, mağdurlardan şifresini çözmek için 'fidye' istenir. Bu, genellikle 200 ABD doları civarındadır. Ödeme yapıldığında, bu dosyalar genellikle iade edilir. Fidye yazılımı işletme modelinin çalışması için mağdurların dosyalarını geri alabilecekleri gibi beklentileri var..
İlerliyor, kendilerini Avid Life Media pozisyonunda bulan firmaların birçoğunun, meydan okuyan bir duruşun en iyisi olup olmadığını sorgulamaları.
Diğer Dersler
2015 garip bir yıldı. Sadece Ashley Madison hakkında da konuşmuyorum.
VTech Hack VTech Hacklendi, Apple Nefret Kulaklık Jakı… [Tech News Digest] VTech Hacklendi, Apple Nefret Kulaklık Jakı… [Tech News Digest] Bilgisayar korsanları VTech kullanıcılarına maruz kaldı -Fi, Snapchat (RED) ile yatağa giriyor ve Star Wars Holiday Special'ı hatırlıyor. bir oyun değiştiriciydi. Bu Hong Kong merkezli çocuk oyuncakları üreticisi, çocuk dostu bir uygulama mağazasına sahip, kilitli bir tablet bilgisayar ve ebeveynlerin uzaktan kontrol etmesini sağladı. Bu yılın başlarında saldırıya uğradı ve 700.000'den fazla çocuk profilini sızdırıldı. Bu, yaşın bir veri ihlali kurbanı olmak için bir engel olmadığını göstermiştir.
Ayrıca işletim sistemi güvenliği için ilginç bir yıl oldu. GNU / Linux'un genel güvenliği hakkında sorular sorulurken, Linux Kendi Başarısının Mağduru Oldu mu? Linux Kendi Başarısının Kurbanı Oldu mu? Neden Linux Vakfı başkanı Jim Zemlin kısa süre önce "Linux'un altın çağı" nın yakında sona erebileceğini söyledi? "Linux'u tanıtmak, korumak ve ilerletmek" görevi başarısız oldu mu? , Windows 10 şimdiye kadarki en güvenli Windows olacağına dair büyük sözler verdi 7 Yol Windows 10, Windows XP'den Daha Güvenli 7 Yol Windows 10'dan Windows XP'den Daha Güvenli Oldu Windows 10'u sevmeseniz bile, gerçekten Windows'tan taşınmalıydınız Şimdilik XP. 13 yıllık işletim sisteminin şimdi güvenlik sorunlarıyla nasıl ilişkilendirildiğini gösteriyoruz. . Bu yıl, Windows'un doğası gereği daha az güvenli olduğu kimliğini sorgulamaya zorlandık.
Söylemek yeterli, 2016 ilginç bir yıl olacak.
2015'te hangi güvenlik derslerini öğrendiniz? Eklemek için herhangi bir güvenlik dersiniz var mı? Bunları aşağıdaki yorumlara bırak.