Ce que nous pouvons apprendre de la sécurité en ligne et défis à la vie privée de 2015
Alors que nous approchons du précipice de 2016, nous allons prendre une minute pour réfléchir sur les leçons de sécurité que nous avons apprises en 2015. De Ashley Madison
Contenu
- Smart homes sont toujours un cauchemar de sécurité
- Video: comment traverser les épreuves de la vie ? - grandir, ensemble #1
- Les gouvernements encore ne pas le faire
- Parfois tu devrait négocier avec les terroristes
- Video: parties sans ath
- Video: what can sexting teach us about privacy? | amy adele hasinoff | tedxmilehigh
- Autres enseignements
Smart Homes sont toujours un cauchemar de sécurité
2015 a vu une ruée des personnes mise à niveau de leurs articles ménagers analogiques existants avec des solutions de rechange informatiques, connectés à Internet. technologie Smart Home vraiment a décollé cette année d`une manière qui semble se poursuivre dans la nouvelle année. Mais en même temps, il a également été martelée (désolé) que certains de ces dispositifs ne sont pas tout ce qui sécurisé.
La plus grande histoire de la sécurité Smart Home était peut-être que la découverte que certains appareils expédiaient avec double certificats de chiffrement (et souvent codées en dur) et les clés privées. Il était non seulement Internet des choses produits non plus. Les routeurs émis par les principaux fournisseurs d`accès Internet ont été trouvés avoir commis ce plus cardinal des péchés de sécurité.
Alors, pourquoi est-il un problème?
Essentiellement, cela rend trivial pour un attaquant d`espionner ces appareils via une « Man-in-the-middle » attaque, intercepter le trafic tout en restant simultanément détectés par la victime. Ceci est inquiétant, étant donné que la technologie Smart Home est de plus en plus utilisé dans des contextes extrêmement sensibles, tels que la sécurité personnelle, la sécurité des ménages, et en soins de santé.Qu`est-ce qu`un homme-In-The-Middle Attack? Sécurité Jargon ExplainedQu`est-ce qu`un homme-In-The-Middle Attack? Sécurité Jargon ExplainedLire la suite
Si cela semble familier, c`est parce qu`un certain nombre de grands fabricants d`ordinateurs ont été pris en flagrant délit une chose très similaire. En Novembre 2015, Dell a été trouvé à des ordinateurs avec une expédition identique certificat racine appelé eDellRoot, tout à la fin de 2014, Lenovo a commencé intentionnellement rupture des connexions SSL afin d`injecter des annonces dans des pages Web cryptées.
Il n`a pas arrêté là. 2015 est en effet l`année d`insécurité Smart Home, avec de nombreux appareils identifiés comme provenant d`une vulnérabilité de sécurité vulgairement évidente.
Mon préféré était le iKettle (Vous l`aurez deviné: Une bouilloire compatible Wi-Fi), qui pourrait être convaincu par un attaquant de révéler les détails Wi-Fi (en clair, pas moins) de son réseau domestique.Pourquoi le Hack iKettle Si vous vous inquiétez (même si vous ne possédez pas)Pourquoi le Hack iKettle Si vous vous inquiétez (même si vous ne possédez pas)Le iKettle est une bouilloire WiFi activée qu`apparemment est venu avec un massif, une faille de sécurité béante qui avait le potentiel de faire sauter les réseaux WiFi ouverts entiers.Lire la suite
Pour l`attaque au travail, il fallait d`abord créer un réseau sans fil falsifié qui partage le même SSID (le nom du réseau) comme celui qui a le iKettle attaché. Ensuite, en se connectant à travers le Telnet utilitaire UNIX, et traversant à travers quelques menus, vous pouvez voir le nom d`utilisateur et mot de passe réseau.
Video: Comment traverser les épreuves de la vie ? - Grandir, ensemble #1
Ensuite, il y avait Wi-Fi Samsung connecté intelligent Réfrigérateur, qui n`a pas réussi à valider les certificats SSL, et a permis aux pirates d`intercepter potentiellement les informations de connexion Gmail.Réfrigérateur intelligent de Samsung Got Pwned juste. Comment le reste de votre Smart Home?Réfrigérateur intelligent de Samsung Got Pwned juste. Comment le reste de votre Smart Home?Une vulnérabilité avec un réfrigérateur intelligent de Samsung a été découvert par la firme INFOSEC britannique Pen test Parters. La mise en œuvre de Samsung de cryptage SSL ne vérifie pas la validité des certificats.Lire la suite
Comme la technologie Smart Home devient de plus en plus grand public, et il, vous pouvez vous attendre à entendre des histoires plus de ces dispositifs à venir avec des failles de sécurité critiques, et être victime de quelques hacks de grande envergure.
Les gouvernements encore ne pas le faire
Un thème récurrent que nous avons vu au cours des dernières années est la façon dont la plupart des gouvernements totalement inconscients sont en ce qui concerne les questions de sécurité.
Certains des exemples d`analphabétisme infosec les plus flagrants se trouvent au Royaume-Uni, où le gouvernement a à plusieurs reprises et démontré de façon constante qu`ils Il suffit de ne pas.
L`une des pires idées qui est en cours de flottaient au Parlement est l`idée que le cryptage utilisé par les services de messagerie (tels que WhatsApp et iMessage) devrait être affaibli, de sorte que les services de sécurité peuvent intercepter et les décoder. Comme mon collègue Justin Pot saliently a sur Twitter, qui est comme embarquant tous les coffres-forts avec un code clé maître.
Ça a empiré. En Décembre 2015, l`Agence nationale de la criminalité (la réponse du Royaume-Uni au FBI) publié quelques conseils pour les parents afin qu`ils puissent savoir quand leurs enfants sont sur la voie de devenir des cybercriminels endurcis.Votre enfant est-un Hacker? Les autorités britanniques pensent ainsiVotre enfant est-un Hacker? Les autorités britanniques pensent ainsiLe PANE, le FBI de la Grande-Bretagne, a lancé une campagne visant à dissuader les jeunes de la criminalité informatique. Mais leur conseil est si large que vous pouvez supposer tous ceux qui lisent cet article est un pirate informatique - même vous.Lire la suite
Ces drapeaux rouges, selon la NCA, comprennent « Sont-ils intéressés par le codage? » et « Sont-ils réticents à parler de ce qu`ils font en ligne? ».
Ce conseil, de toute évidence, est des ordures et a été largement moqué, non seulement par MakeUseOf, mais aussi par d`autres publications technologiques majeures, et la communauté INFOSEC.
Mais il est révélateur d`une tendance inquiétante. Les gouvernements ne reçoivent pas la sécurité. Ils ne savent pas comment communiquer au sujet des menaces de sécurité, et ils ne comprennent pas les technologies fondamentales qui font le travail sur Internet. Pour moi, c`est beaucoup plus inquiétant que tout pirate informatique ou cyber-terroriste.
Parfois tu Devrait Négocier avec les terroristes
La plus grande histoire de 2015 de sécurité a été sans aucun doute le hack Ashley Madison. Si vous avez oublié, permettez-moi de récapituler.Ashley Madison Leak No Big Deal? Détrompez-vousAshley Madison Leak No Big Deal? Détrompez-vousDiscret en ligne sortir ensemble le site Ashley Madison (principalement aux conjoints tricherie) a été piraté. Toutefois, c`est un problème beaucoup plus grave que ce qui a été dépeint dans la presse, avec des implications considérables pour la sécurité des utilisateurs.Lire la suite
Lancé en 2003, Ashley Madison était un site de rencontres avec une différence. Il a permis aux gens mariés à brancher avec des gens qui ne sont pas réellement leurs conjoints. Leur slogan dit tout. "La vie est courte. Avoir une affaire."
Mais brut tel qu`il est, ce fut un succès fulgurant. Dans un peu plus de dix ans, Ashley Madison avait accumulé près de 37 millions de comptes enregistrés. Bien qu`il va sans dire que tous d`entre eux étaient actifs. La grande majorité était en sommeil.
Plus tôt cette année, il est devenu évident que tout était pas bien avec Ashley Madison. Un groupe de hacking mystérieux appelé L`équipe d`impact a publié une déclaration affirmant qu`ils avaient été en mesure d`obtenir la base de données du site, en plus d`une cache importante des e-mails internes. Ils ont menacé de le libérer, à moins que Ashley Madison a été arrêté, ainsi que son site soeur établies hommes.
Avid Life Media, qui sont les propriétaires et les exploitants d`Ashley Madison et établis hommes, a publié un communiqué de presse qui a minimisé l`attaque. Ils ont souligné qu`ils travaillaient avec application de la loi pour traquer les auteurs, et étaient « en mesure de sécuriser nos sites et fermer les points d`accès non autorisés ».
Le 18e d`Août, l`Impact a publié la base de données complète.
Ce fut une incroyable démonstration de la rapidité et de la nature disproportionnée de la justice Internet. Peu importe comment vous vous sentez tricher (je déteste personnellement), quelque chose ressenti tout à fait tort à propos de ça. Les familles ont été déchirées. Carrières ont été instantanément et publiquement ruinés. Certains opportunistes ont même envoyé des e-mails d`extorsion d`abonnés, par courrier électronique et par la poste, les traite de milliers. Certains pensaient que leur situation était si désespérée, ils ont dû prendre leur propre vie. C`était mauvais.3 raisons pour lesquelles le Ashley Madison Hack est une affaire sérieuse3 raisons pour lesquelles le Ashley Madison Hack est une affaire sérieuseL`Internet semble extatique à propos du hack Ashley Madison, avec des millions d`adultères et des potentiels de détails adultères piraté et publié en ligne, avec des articles sortie individus se trouvent dans la décharge de données. Hilarant, non? Pas si vite.Lire la suite
Le hack également un coup de projecteur à rayonnait les rouages internes de Ashley Madison.
Ils ont découvert que des 1,5 million de femmes qui ont été enregistrées sur le site, seulement environ 10 000 étaient de véritables êtres humains réels. Les autres étaient des robots et des faux comptes créés par le personnel Ashley Madison. Ce fut une cruelle ironie que la plupart des gens qui ont signé sans doute jamais rencontré quelqu`un à travers elle. Il était, d`utiliser une expression légèrement dialectal, un fest de saucisse.
Video: PARTIES SANS ATH
Il n`a pas arrêté là. Pour 17 $, les utilisateurs peuvent supprimer leurs informations sur le site. Leurs profils publics seraient effacés, et leurs comptes seront purgés de la base de données. Il a été utilisé par des personnes qui ont signé et plus tard regretté.
Mais la fuite a montré que Ashley Maddison n`a pas réellement supprimer les comptes de la base de données. , Ils étaient plutôt simplement cachés à l`Internet. Lorsque leur base de données de l`utilisateur a été divulgué, étaient donc ces comptes.
Peut-être la leçon que nous pouvons apprendre de la saga Ashley Madison est que parfois, il vaut la peine d`acquiescer aux demandes des pirates.
Soyons honnêtes. Avid Life Media savait ce qui était sur leurs serveurs. Ils savaient ce qui serait arrivé si elle était une fuite. Ils auraient dû le faire tout en leur pouvoir pour l`empêcher d`être une fuite. Si cela signifiait arrêter quelques propriétés en ligne, soit.
Soyons franc. Des gens sont morts parce que Avid Life Media a pris position. Et pour quoi?
A plus petite échelle, on peut affirmer qu`il est souvent préférable de répondre aux demandes des pirates et les créateurs de logiciels malveillants. Ransomware est un excellent exemple de ce. Quand quelqu`un est infecté, et leurs fichiers sont cryptés, les victimes sont demandé une « rançon » afin de les décrypter. Ceci est généralement dans les limites de 200 $ ou plus. Lorsque libérées, ces fichiers sont généralement renvoyés. Pour le modèle d`affaires ransomware pour travailler, les victimes doivent avoir une certaine attente qu`ils peuvent obtenir leurs fichiers en arrière.Ne pas tomber sous le coup des Arnaques: Guide de Ransomware & autres menacesNe pas tomber sous le coup des Arnaques: Guide de Ransomware & autres menacesLire la suite
Video: What can sexting teach us about privacy? | Amy Adele Hasinoff | TEDxMileHigh
Je pense à l`avenir, la plupart des entreprises qui se trouvent dans la position d`Avid Life Media se demander si une position provocante est le meilleur à prendre.
autres enseignements
2015 a été une année étrange. Je ne parle pas seulement de Ashley Madison, que ce soit.
le VTech Hack était un changeur de jeu. Ce fabricant de Hong Kong des jouets pour enfants offerts un ordinateur tablette verrouillé, avec un magasin d`application kid-friendly, et la possibilité pour les parents de le contrôler à distance. Plus tôt cette année, il a été piraté, avec plus de 700 000 profils d`enfants étant une fuite. Cela montre que l`âge est pas un obstacle à être victime d`une violation de données.VTech se piraté, d`Apple Hates casque ... Jacks [Tech Digest Nouvelles]VTech se piraté, d`Apple Hates casque ... Jacks [Tech Digest Nouvelles]Les pirates informatiques exposent les utilisateurs VTech, Apple considère retirer la prise casque, lumières de Noël peuvent ralentir votre connexion Wi-Fi, Snapchat se met au lit avec (RED), et en se rappelant la Star Wars Holiday Special.Lire la suite
Il a également été une année intéressante pour la sécurité du système d`exploitation. Alors que les questions ont été soulevées au sujet de la la sécurité générale de GNU / Linux, Windows 10 a fait de grandes promesses de étant de Windows jamais le plus sûr. Cette année, nous avons été obligés de remettre en question l`adage selon lequel Windows est moins sécurisé.
Qu`il suffise de dire, 2016 va être une année intéressante.
Quelles leçons avez-vous appris la sécurité en 2015? Avez-vous des leçons de sécurité à ajouter? Laissez-les dans les commentaires ci-dessous.