Η χειρότερη ασφάλεια του 2012 εκμεταλλεύεται, αποτυγχάνει και γκρινιάζει

Ένας ανόητος και το αδύναμο p @ $$ w0rd του είναι σύντομα ριζωμένοι, αλλά εάν το 2012 έχει αποδείξει τίποτα, είναι ότι ακόμη και οι πιο προσεκτικές ψυχικές ψυχές πρέπει να διπλασιάσουν για τις προστατευτικές πρακτικές τους και σκεφτείτε τους καλύτερους τρόπους για να μετριάσετε τις ζημιές αν το χειρότερο συμβεί στον κόσμο που συνδέεται ολοένα και περισσότερο με το σύννεφο.

Μια σταθερή εργαλειοθήκη ασφαλείας θα πρέπει να αποτελέσει φυσικά την καρδιά της άμυνας σας, αλλά θα χρειαστείτε επίσης να εξετάσετε τη βασική σας συμπεριφορά. Για παράδειγμα, ένας διαρρεύσιμος κωδικός πρόσβασης LinkedIn δεν προκαλεί καμιά βλάβη εάν ο συγκεκριμένος αλφαριθμητικός συνδυασμός ανοίγει μόνο την πόρτα σε αυτόν τον συγκεκριμένο λογαριασμό και όχι σε κάθε λογαριασμό κοινωνικής δικτύωσης που χρησιμοποιείτε. Ο έλεγχος ταυτότητας δύο παραγόντων μπορεί να σταματήσει μια παραβίαση πριν συμβεί. Και οι κωδικοί σου να πιπιλίζουν;

Δεν προσπαθώ να σε τρομάσω. Αντίθετα, ενδιαφέρομαι να ανοίξω τα μάτια σας για τα είδη των προφυλάξεων που είναι απαραίτητες στην ψηφιακή εποχή - όπως αποδεικνύεται από τα μεγαλύτερα προβλήματα εκμετάλλευσης ασφαλείας, λάθη και αποτυχίες του 2012. 'Twas a year banner για τους κακούς. >

Η καταστροφή του Honan

Η καταστροφή του Honan ενισχύθηκε από την έλλειψη φυσικών εφεδρικών αντιγράφων.

Το υψηλότερο προφίλ του hack του 2012 δεν αφορούσε εκατομμύρια χρήστες ή μια χιονοστιβάδα από παράνομες πληροφορίες πληρωμής. Όχι, το highlight -ή είναι το φως του φθινοπώρου; -το 2012 ήταν η επική χάκερ ενός ατόμου: Ενσύρματο συγγραφέα Mat Honan.

Κατά τη διάρκεια μίας μόνο ώρας, οι χάκερ απέκτησαν πρόσβαση στο λογαριασμό του Amazon της Honan, και απομακρύνονται εξ αποστάσεως το τρίο των συσκευών της Apple, με αποκορύφωμα το γεγονός ότι οι χάκερ επιτύχουν τελικά τον τελικό τους στόχο: να καταλάβουν τον έλεγχο του χειριστή Twitter του Honan. Γιατί όλη η καταστροφή; Επειδή η κατάσταση των τριών γραμμάτων του @mat Twitter χειρίζεται προφανώς ένα εξαιρετικά πολυπόθητο βραβείο. (Οι κακοτυχίες δημοσίευσαν διάφορα ρατσιστικά και ομοφοβικά tweets πριν από την προσωρινή αναστολή του λογαριασμού.)

Η καταστροφή έγινε όλα δυνατή από τον snafus ασφαλείας στους κρίσιμους λογαριασμούς της Chan-Chan, την έλλειψη ενεργοποίησης ταυτότητας δύο παραγόντων, το ίδιο βασικό σύστημα ονοματοδοσίας σε διάφορους λογαριασμούς ηλεκτρονικού ταχυδρομείου και αντικρουόμενα πρωτόκολλα ασφάλειας λογαριασμού στο Amazon και την Apple, τα οποία οι χάκερ εκμεταλλεύτηκαν με τη βοήθεια κάποιων καλών κοινωνικών μηχανικών.

Το πιο τρομακτικό κομμάτι; Οι περισσότεροι άνθρωποι χρησιμοποιούν πιθανώς τις ίδιες βασικές πρακτικές ασφαλείας (διαβάσει: χαλαρές) που έκανε ο Honan. Ευτυχώς, το PCWorld έχει ήδη εξηγήσει πώς να συνδέσει τις μεγαλύτερες τρύπες ψηφιακής ασφάλειας

Ο ιός Flame

Ο ιός Flame παίρνει το όνομά του από τον κώδικα του.

Ανιχνεύθηκε ήδη από το 2010 αλλά ανακαλύφθηκε μόνο τον Μάιο του 2012, ο ιός Flame φέρει μια εντυπωσιακή ομοιότητα με τον κυβερνητικά ανεπτυγμένο ιό Stuxnet, με σύνθετη βάση κώδικα και πρωταρχική χρήση ως εργαλείο κατασκοπείας σε χώρες της Μέσης Ανατολής, όπως η Αίγυπτος, η Συρία, ο Λίβανος, το Σουδάν και το Ιράν.

Μόλις η Flame βυθίσει τα άγκιστρά της σε ένα σύστημα, εγκατέστησε μονάδες που θα μπορούσαν, μεταξύ άλλων, να καταγράψουν συνομιλίες Skype ή ήχο οτιδήποτε συμβαίνει κοντά στον υπολογιστή, snag screenshots, snoop στις συνδέσεις δικτύου και να διατηρούν αρχεία καταγραφής όλων των πλήκτρων εισήλθαν σε πλαίσια εισαγωγής. Είναι άσχημη, με άλλα λόγια-και η Flame ανέβασε όλες τις πληροφορίες που συγκέντρωσε για να ελέγξει και να ελέγξει τους διακομιστές. Λίγο μετά την έρευνα της Kaspersky από την ύπαρξη της φλόγας, οι δημιουργοί του ιού ενεργοποίησαν μια εντολή kill για να σβήσουν το λογισμικό από τους μολυσμένους υπολογιστές.

Το εργαλείο homebrew $ 50 που ξεκλειδώνει τις πόρτες των ξενοδοχείων

Ο Brocious αποκάλυψε μια συσκευή που θα μπορούσε να ανοίξει ημι-αξιόπιστα τις ηλεκτρονικές κλειδαριές πόρτας του Onity. Οι κλειδαριές Onity βρίσκονται σε 4 εκατομμύρια πόρτες σε χιλιάδες ξενοδοχεία σε ολόκληρο τον κόσμο, συμπεριλαμβανομένων των αλυσίδων υψηλού προφίλ, όπως το Hyatt, το Marriott και το IHG (το οποίο κατέχει και το Holiday Inn και το Crowne Plaza). Βασισμένο σε έναν μικροελεγκτή Arduino και συναρμολογημένο για λιγότερο από $ 50, το εργαλείο μπορεί να κατασκευαστεί από οποιονδήποτε απατεώνα με αλλαγή τσέπης και μερικές δεξιότητες κωδικοποίησης και υπάρχει τουλάχιστον μία αναφορά ενός παρόμοιου εργαλείου που χρησιμοποιείται για να σπάσει σε δωμάτια ξενοδοχείων στο Τέξας. >ArduinoArduino: Η ανοικτή πηγή της καρδιάς του hack.

Φυσικά πράγματα, για να είμαστε σίγουροι. Ίσως πιο ανησυχητική ήταν η απάντηση της Onity στην κατάσταση, η οποία ήταν βασικά "Βάλτε ένα βύσμα πάνω από το λιμάνι και αλλάξτε τις βίδες".

Η εταιρεία τελικά ανέπτυξε μια πραγματική λύση για την ευπάθεια, αλλά περιλαμβάνει την εναλλαγή των πλακέτων κυκλωμάτων των επηρεαζόμενων κλειδαριές - και η Onity αρνείται να επιβαρύνει το κόστος για αυτό. Μια έκθεση του ArsTechnica του Δεκεμβρίου υποδεικνύει ότι η εταιρεία μπορεί να είναι πιο πρόθυμη να επιχορηγήσει τα συμβούλια αντικατάστασης μετά από το ξέσπασμα του Τέξας, αν και στις 30 Νοεμβρίου

, η Onity είχε προμηθεύσει συνολικά 1,4 εκατομμύρια "λύσεις για κλειδαριές "-περιλαμβανομένων αυτών των πλαστικών βυσμάτων - σε ξενοδοχεία παγκοσμίως. Με άλλα λόγια, η ευπάθεια εξακολουθεί να είναι πολύ διαδεδομένη. ^{Ο θάνατος από χίλιες περικοπές} Το έτος δεν είδε μια τεράστια παραβίαση της βάσης δεδομένων από την πτώση του PlayStation Network του 2011, αλλά μια σειρά μικρότερων διεισδύσεων ήρθε γρήγορα και εξαγριωμένη καθ 'όλη την άνοιξη και το καλοκαίρι. Ενώ η αποδέσμευση 6,5 εκατομμυρίων κωδικών πρόσβασης LinkedIn μπορεί να ήταν η πιο αξιοσημείωτη hack, ενισχύθηκε από την απόσπαση περισσότερων από 1,5 εκατομμυρίων κωδικών πρόσβασης eHarmony, 450,000 διαπιστευτηρίων σύνδεσης στο Yahoo Voice, έναν απροσδιόριστο αριθμό κωδικών πρόσβασης Last.fm και το πλήρες πληροφορίες σύνδεσης και προφίλ εκατοντάδων χρηστών του forum Nvidia. Θα μπορούσα να συνεχίσω, αλλά παίρνετε το θέμα.

Ποιο είναι το παιχνίδι; Δεν μπορείτε να εμπιστευτείτε έναν ιστότοπο για να διατηρήσετε ασφαλή τον κωδικό πρόσβασής σας, οπότε θα πρέπει να χρησιμοποιήσετε διαφορετικούς κωδικούς πρόσβασης για διαφορετικούς ιστότοπους για να ελαχιστοποιήσετε τις πιθανές ζημιές αν οι χάκερ καταφέρουν να αποκωδικοποιήσουν τα διαπιστευτήρια σύνδεσης σας για έναν συγκεκριμένο λογαριασμό. Ανακαλύψτε τον οδηγό μας για να δημιουργήσετε έναν καλύτερο κωδικό πρόσβασης εάν χρειάζεστε κάποιους δείκτες

Το Dropbox πέφτει από το φρουρό του

Το λογότυπο του ανοιχτού κουτιού του DropboxDropbox αποδείχθηκε υπερβολικά αληθές για τους ανθρώπους που επαναχρησιμοποιούν τους κωδικούς πρόσβασης το 2012.

ορισμένοι χρήστες του Dropbox άρχισαν να παρατηρούν ότι έλαβαν μεγάλο αριθμό ανεπιθύμητων μηνυμάτων στα εισερχόμενά τους. Μετά από κάποιες αρχικές αρνήσεις που ακολουθήθηκαν από κάποιο βαθύτερο σκάψιμο, το Dropbox διαπίστωσε ότι οι χάκερ είχαν παραβιάσει έναν λογαριασμό υπαλλήλου και απέκτησαν πρόσβαση σε ένα έγγραφο που περιέχει διευθύνσεις ηλεκτρονικού ταχυδρομείου χρήστη. Ωχ! Η ζημιά ήταν ήσσονος σημασίας, αλλά το αυγό στο πρόσωπο ήταν σημαντικό.

Παράλληλα, ένας πολύ μικρός αριθμός χρηστών είχε τους λογαριασμούς Dropbox ενεργά διασπασμένους από εξωτερικές πηγές. Οι έρευνες αποκάλυψαν ότι οι χάκερ απέκτησαν πρόσβαση στους λογαριασμούς επειδή τα θύματα επαναχρησιμοποιούν τον ίδιο συνδυασμό ονόματος χρήστη / κωδικού πρόσβασης σε διάφορες ιστοσελίδες. Όταν τα διαπιστευτήρια σύνδεσης είχαν διαρρεύσει σε μια παραβίαση σε μια άλλη υπηρεσία, οι χάκερ είχαν όλα όσα χρειάζονταν για να ξεκλειδώσουν τους λογαριασμούς Dropbox.

Τα δεινά του Dropbox υπογραμμίζουν και πάλι την ανάγκη χρήσης ξεχωριστών κωδικών πρόσβασης για διαφορετικές υπηρεσίες, καθώς και το γεγονός ότι δεν μπορείτε να εμπιστευτείτε πλήρως το σύννεφο. Μπορείτε να πάρετε την ασφάλεια του cloud στα δικά σας χέρια με τη βοήθεια ενός εργαλείου κρυπτογράφησης τρίτου μέρους.

Εκατομμύρια SSN της Νότιας Καρολίνας απέτυχαν

Μιλώντας για κρυπτογράφηση, θα ήταν ωραίο αν η κυβέρνηση ακολούθησε βασικές αρχές ασφάλειας. > Μετά από μια τεράστια παραβίαση δεδομένων τον Οκτώβριο, ένας χάκερ κατέκτησε τους αριθμούς κοινωνικής ασφάλισης ενός εκπληκτικού 3.6 εκατομμυρίου πολιτών της Νότιας Καρολίνας - σε ένα κράτος με μόλις 4,6 εκατομμύρια κατοίκους! - οι κρατικοί αξιωματούχοι προσπάθησαν να τοποθετήσουν την ευθύνη στα πόδια του IRS. Το IRS δεν

συγκεκριμένα

απαιτεί από τα κράτη να κρυπτογραφούν τα SSN σε φορολογικές καταθέσεις, βλέπετε. Έτσι, η Νότια Καρολίνα δεν είχε - παρόλο που σχεδιάζει να ξεκινήσει τώρα, οπότε είναι 20/20 και όλοι.

Σχετικά με την θετική πλευρά, στοιχεία χρέωσης και πιστωτικής κάρτας των 387.000 πολιτών της Νότιας Καρολίνας έπεσαν επίσης στην ψηφιακή ληστεία και τα περισσότερα από αυτά ήταν κρυπτογραφημένα, αν και αυτό είναι πιθανό λίγη παρηγοριά για τους 16.000 ανθρώπους των οποίων τα στοιχεία της κάρτας είχαν κλαπεί σε μορφή απλού κειμένου.

Το μαζικό σφάλμα ασφαλείας του Skype Τον Νοέμβριο, οι χρήστες του Skype χάθηκαν προσωρινά την δυνατότητα να ζητήσουν επαναφορά κωδικού πρόσβασης για το λογαριασμό τους, αφού οι ερευνητές αναγνώρισαν μια εκμετάλλευση που επέτρεπε σε οποιονδήποτε να αποκτήσει πρόσβαση σε έναν λογαριασμό Skype, εφόσον το πρόσωπο γνώριζε τη διεύθυνση ηλεκτρονικού ταχυδρομείου που σχετίζεται με τον λογαριασμό. Δεν είναι ο κωδικός πρόσβασης λογαριασμού, όχι τα ερωτήματα ασφαλείας - απλά η απλή διεύθυνση ηλεκτρονικού ταχυδρομείου μόνο. ​​ Το Skype έσπειρε γρήγορα την τρύπα όταν έπεσε το μάτι του κοινού, αλλά η ζημιά είχε ήδη γίνει. Το

Hackers κλέβουν 1.5 εκατομμύρια αριθμούς πιστωτικών καρτών

Τον Απρίλιο, οι χάκερ κατάφεραν να "εξάγουν" ένα επιβλητικό 1,5 εκατομμύριο αριθμούς πιστωτικών καρτών από τη βάση δεδομένων της Global Payments, μια υπηρεσία επεξεργασίας πληρωμών που χρησιμοποιείται από κυβερνητικές υπηρεσίες, χρηματοπιστωτικά ιδρύματα και περίπου 1 εκατομμύριο παγκόσμιες αποθήκες, μεταξύ άλλων.

Ευτυχώς, η παραβίαση ήταν αρκετά περιορισμένη. Η Global Payments ήταν σε θέση να προσδιορίσει τους αριθμούς των καρτών που επηρεάστηκαν από το hack και τα κλεμμένα δεδομένα περιείχαν μόνο τους πραγματικούς αριθμούς καρτών και τις ημερομηνίες λήξης, όχι

ονόματα κατόχων καρτών ή προσωπικά αναγνωρίσιμα στοιχεία. Οι επιτυχίες έρχονταν, όμως. Τον Ιούνιο, η Global Payments ανακοίνωσε ότι οι χάκερ μπορεί να έχουν κλέψει τα προσωπικά στοιχεία των ανθρώπων που υπέβαλαν αίτηση για λογαριασμό εμπόρου στην εταιρεία.

Η Microsoft Security Essentials αποτυγχάνει στην πιστοποίηση AV-Test

Λοιπόν, δεν είναι αυτό ενοχλητικό. Το AV-Test είναι ένα ανεξάρτητο ινστιτούτο ασφάλειας πληροφοριών που συσπειρώνει τακτικά όλα τα κορυφαία προϊόντα αντιμολικής ακεραιότητας που είναι εκεί έξω, ρίχνει μια ολόκληρη δέσμη ριπών στα εν λόγω προϊόντα και βλέπει πώς οι διάφορες λύσεις συγκρατούνται κάτω από το μαρασμό φράγμα. Η οργάνωση έκανε ακριβώς αυτό με 24 διαφορετικές λύσεις ασφάλειας που επικεντρώθηκαν στους καταναλωτές στα τέλη Νοεμβρίου και μόνο μία από αυτές τις λύσεις απέτυχε να ανταποκριθεί στο πρότυπο πιστοποίησης AV-Test: Microsoft Security Essentials για Windows 7. Ότι ένα χωρίς λογότυπο πιστοποίησης; Είναι MSE. Η MSE έκανε πραγματικά μια αξιοπρεπή δουλειά για την αντιμετώπιση γνωστών ιών στη δοκιμασία, αλλά το πρόγραμμα ασφαλείας παρείχε τρομακτικά λίγα, καλά,

ασφάλεια

μπροστά σε εκμεταλλεύσεις μηδενικών ημερών. Η βαθμολογία προστασίας του 64 έναντι των εν λόγω επιθέσεων μηδενικών ημερών είναι κατά 25 μονάδες χαμηλότερη από τον μέσο όρο της βιομηχανίας.

Η σφάλμα που δεν ήταν: ο πηγαίος κώδικας του Norton απελευθερώθηκε

Ακούγεται τρομακτικό στην επιφάνεια: Ομάδες αδίστακτων χάκερ για να αποκτήσετε τον πηγαίο κώδικα για ένα από τα δημοφιλέστερα βοηθητικά προγράμματα ασφαλείας της Norton της Symantec και στη συνέχεια να πετάξει τον κώδικα στον Pirate Bay για να αναλύσει τον κόσμο. Ναι! Τώρα, τίποτα δεν μπορεί να σταματήσει τους κακούς από το να τρέχουν αδιάκριτα πέρα ​​από τις άμυνες που έρχονται προεγκατεστημένες στα gajillions (περίπου) των boxed συστημάτων που πωλούνται σε όλο τον κόσμο - δεξιά; Λάθος. Ο πηγαίος κώδικας ανήκε στα προϊόντα Norton Utilities που κυκλοφόρησαν το 2006, βλέπετε και τα τρέχοντα προϊόντα της Symantec έχουν ξαναχτιστεί από το έδαφος μέχρι τώρα χωρίς κοινό κωδικό που μοιράζεται μεταξύ τους. Με άλλα λόγια, η απελευθέρωση του πηγαίου κώδικα του 2006 δεν δημιουργεί κανένα κίνδυνο για τους σημερινούς συνδρομητές του Norton - τουλάχιστον εάν έχετε ενημερώσει το antivirus σας την τελευταία μισή δεκαετία.