Yang Dapat Kita Pelajari dari Tantangan Keamanan & Privasi Online 2015

Iklan

Saat kami mendekati jurang tahun 2016, mari luangkan waktu sejenak untuk merenungkan pelajaran keamanan yang kami pelajari di 2015. Dari Ashley Madison Kebocoran Ashley Madison Bukan Masalah Besar? Pikirkan lagiSitus kencan online diam-diam Ashley Madison (yang ditargetkan terutama untuk pasangan yang selingkuh) telah diretas. Namun ini adalah masalah yang jauh lebih serius daripada yang digambarkan di media, dengan implikasi yang cukup besar bagi keselamatan pengguna. Baca lebih banyak untuk ceret yang diretas 7 Alasan Mengapa Internet of Things Harusnya Menakutkan AndaPotensi manfaat dari Internet of Things tumbuh cerah, sementara bahaya dilemparkan ke dalam bayangan yang tenang. Sudah waktunya untuk menarik perhatian pada bahaya ini dengan tujuh janji menakutkan dari IoT. Baca lebih banyak , dan saran keamanan yang cerdik dari pemerintah, ada banyak hal untuk dibicarakan.

Rumah Pintar Masih Menjadi Mimpi Buruk Keamanan

2015 melihat orang-orang meningkatkan barang-barang rumah tangga analog yang ada dengan alternatif terkomputerisasi dan terhubung melalui internet. Rumah pintar teknologi

Betulkah berangkat tahun ini dengan cara yang tampaknya akan berlanjut ke Tahun Baru. Tetapi pada saat yang sama, itu juga dipalu rumah (maaf) bahwa beberapa perangkat ini bukan semua yang aman.

Kisah keamanan Smart Home terbesar mungkin adalah penemuan beberapa perangkat pengiriman dengan sertifikat enkripsi duplikat (dan seringkali hard-coded) dan kunci pribadi. Itu bukan hanya produk Internet of Things. Router yang dikeluarkan oleh ISP utama telah ditemukan telah melakukan dosa keamanan yang paling utama.

Jadi, mengapa ini menjadi masalah?

Pada dasarnya, ini membuatnya sepele bagi penyerang untuk memata-matai perangkat ini melalui a Serangan 'man-in-the-middle' Apa itu Serangan Manusia-di-Tengah? Jargon Keamanan DijelaskanJika Anda pernah mendengar tentang serangan "man-in-the-middle" tetapi tidak yakin apa artinya itu, ini adalah artikel untuk Anda. Baca lebih banyak , mencegat lalu lintas sementara secara bersamaan tetap tidak terdeteksi oleh korban. Ini mengkhawatirkan, mengingat bahwa teknologi Smart Home semakin banyak digunakan dalam konteks yang sangat sensitif, seperti keamanan pribadi, keamanan rumah tangga Nest Protect Review dan Giveaway Baca lebih banyak , dan dalam perawatan kesehatan.

Jika ini terdengar familier, itu karena sejumlah produsen komputer besar kedapatan melakukan hal yang sangat mirip. Pada November 2015, Dell didapati pengiriman komputer dengan identik sertifikat root yang disebut eDellRoot Laptop Terbaru Dell Terinfeksi eDellRootDell, produsen komputer terbesar ketiga di dunia telah ketahuan mengirimkan sertifikat root ganas di semua komputer baru - seperti yang Lenovo lakukan dengan Superfish. Inilah cara membuat PC Dell baru Anda aman. Baca lebih banyak , sedangkan pada akhir 2014, Lenovo dimulai sengaja memutuskan koneksi SSL Waspadai Pemilik Laptop Lenovo: Perangkat Anda Mungkin Telah Memasang MalwarePabrikan komputer China Lenovo telah mengakui bahwa laptop yang dikirim ke toko-toko dan konsumen pada akhir tahun 2014 telah terinstal malware. Baca lebih banyak untuk menyuntikkan iklan ke halaman web terenkripsi.

Itu tidak berhenti di situ. 2015 memang merupakan tahun ketidakamanan Rumah Pintar, dengan banyak perangkat yang diidentifikasi memiliki kerentanan keamanan yang sangat jelas.

Kesukaanku adalah iKettle Mengapa Retas iKettle Harus Membuat Anda KhawatirIKettle adalah ketel berkemampuan WiFi yang tampaknya datang dengan cacat keamanan besar dan menganga yang berpotensi meledakkan seluruh jaringan WiFi. Baca lebih banyak (Anda dapat menebaknya: Ketel berkemampuan Wi-Fi), yang dapat diyakinkan oleh penyerang untuk mengungkapkan detail Wi-Fi (dalam plaintext, tidak kurang) dari jaringan induknya.

Agar serangan berhasil, pertama-tama Anda harus membuat jaringan nirkabel palsu yang berbagi SSID (nama jaringan) yang sama dengan yang memiliki iKettle yang melekat padanya. Kemudian dengan menghubungkannya melalui utilitas UNIX Telnet, dan menelusuri melalui beberapa menu, Anda dapat melihat nama pengguna dan kata sandi jaringan.

Lalu ada Samsung Smart Kulkas yang terhubung dengan Wi-Fi Samsung's Smart Fridge Baru Pwned. Bagaimana Dengan Sisa Rumah Pintar Anda?Kerentanan dengan kulkas pintar Samsung ditemukan oleh perusahaan infosec Pen Test Parters yang berbasis di Inggris. Implementasi enkripsi SSL oleh Samsung tidak memeriksa validitas sertifikat. Baca lebih banyak , yang gagal memvalidasi sertifikat SSL, dan memungkinkan penyerang berpotensi mencegat kredensial masuk Gmail.

Seiring teknologi Smart Home menjadi semakin populer, dan Anda akan dapat mendengar lebih banyak cerita perangkat ini datang dengan kerentanan keamanan kritis, dan menjadi korban beberapa peretasan profil tinggi.

Pemerintah Masih Tidak Mendapatnya

Satu tema berulang yang telah kita lihat selama beberapa tahun terakhir adalah betapa sangat tidak disadari sebagian besar pemerintah mengenai masalah keamanan.

Beberapa contoh buta huruf infosec yang paling mengerikan dapat ditemukan di Inggris, di mana pemerintah telah berulang kali dan secara konsisten menunjukkan bahwa mereka jangan mendapatkannya.

Salah satu ide terburuk yang sedang mengambang di parlemen adalah gagasan bahwa enkripsi digunakan oleh layanan pengiriman pesan (seperti Whatsapp dan iMessage) harus dilemahkan, sehingga layanan keamanan dapat mencegat dan memecahkan kode mereka. Seperti yang ditunjukkan rekan saya, Justin Pot di Twitter, itu seperti mengirim semua brankas dengan kode kunci utama.

Bayangkan jika pemerintah mengatakan setiap brankas harus memiliki kode kedua standar, kalau-kalau polisi ingin masuk. Itulah debat enkripsi sekarang.

- Justin Pot (@jhpot) 9 Desember 2015

Itu semakin buruk. Pada bulan Desember 2015, National Crime Agency (jawaban Inggris untuk FBI) mengeluarkan beberapa saran untuk orang tua Apakah Anak Anda Peretas? Otoritas Inggris Pikirkan JadiNCA, FBI Inggris, telah meluncurkan kampanye untuk mencegah kaum muda dari kejahatan komputer. Tetapi saran mereka sangat luas sehingga Anda bisa menganggap siapa pun yang membaca artikel ini adalah seorang peretas - bahkan Anda. Baca lebih banyak sehingga mereka dapat mengetahui kapan anak-anak mereka berada di jalan untuk menjadi penjahat cyber yang keras.

Bendera merah ini, menurut NCA, termasuk "Apakah mereka tertarik pada pengkodean?" dan "Apakah mereka enggan berbicara tentang apa yang mereka lakukan online?".

Saran ini, jelas, adalah sampah dan banyak diejek, tidak hanya oleh MakeUseOf, tetapi juga oleh publikasi teknologi besar lainnya, dan komunitas infosec.

Itu @NCA_UK daftar minat dalam pengkodean sebagai tanda peringatan untuk kejahatan dunia maya! Cukup mencengangkan. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- David G Smith (@aforethought) 9 Desember 2015

Jadi minat dalam pengkodean sekarang menjadi "tanda peringatan kejahatan cyber". NCA pada dasarnya adalah departemen TI sekolah tahun 1990-an. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10 Desember 2015

Anak-anak yang 'tertarik pada pengkodean' tumbuh menjadi insinyur yang menciptakan #Indonesia, #Facebook dan #NCA situs web (antara lain)

- AdamJ (@IAmAdamJ) 9 Desember 2015

Tapi itu menunjukkan tren yang meresahkan. Pemerintah tidak mendapatkan keamanan. Mereka tidak tahu bagaimana berkomunikasi tentang ancaman keamanan, dan mereka tidak memahami teknologi dasar yang membuat Internet berfungsi. Bagi saya, itu jauh lebih memprihatinkan daripada para peretas atau teroris cyber.

Terkadang kamu Sebaiknya Bernegosiasi dengan Teroris

Kisah keamanan terbesar tahun 2015 tidak diragukan lagi hack Ashley Madison Kebocoran Ashley Madison Bukan Masalah Besar? Pikirkan lagiSitus kencan online diam-diam Ashley Madison (yang ditargetkan terutama untuk pasangan yang selingkuh) telah diretas. Namun ini adalah masalah yang jauh lebih serius daripada yang digambarkan di media, dengan implikasi yang cukup besar bagi keselamatan pengguna. Baca lebih banyak . Jika Anda lupa, biarkan saya rekap.

Diluncurkan pada tahun 2003, Ashley Madison adalah situs kencan dengan perbedaan. Itu memungkinkan orang yang menikah untuk berhubungan dengan orang-orang yang sebenarnya bukan pasangan mereka. Slogan mereka mengatakan itu semua. "Hidup ini singkat. Berselingkuhlah. ”

Tapi kotor seperti itu, itu adalah kesuksesan yang tak terkendali. Hanya dalam sepuluh tahun, Ashley Madison telah mengakumulasi hampir 37 juta akun terdaftar. Meskipun tak perlu dikatakan bahwa tidak semua dari mereka aktif. Sebagian besar tidak aktif.

Awal tahun ini, menjadi jelas bahwa semuanya tidak baik dengan Ashley Madison. Grup peretas misterius bernama Tim Dampak mengeluarkan pernyataan yang mengklaim bahwa mereka dapat memperoleh basis data situs, ditambah cache email internal yang cukup besar. Mereka mengancam akan melepaskannya, kecuali Ashley Madison ditutup, bersama dengan situs saudara perempuannya, Men Men.

Avid Life Media, yang adalah pemilik dan operator Ashley Madison dan Didirikan Men, mengeluarkan siaran pers yang meremehkan serangan itu. Mereka menekankan bahwa mereka bekerja dengan penegak hukum untuk melacak para pelakunya, dan "mampu mengamankan situs kami, dan menutup titik akses yang tidak sah".

Pernyataan dari Avid Life Media Inc.: http://t.co/sSoLWvrLoQ

- Ashley Madison (@ashleymadison) 20 Juli 2015

Pada tanggal 18^th Agustus, Impact Team merilis basis data lengkap.

Itu adalah demonstrasi yang luar biasa dari kecepatan dan sifat keadilan Internet yang tidak proporsional. Tidak peduli bagaimana perasaan Anda tentang selingkuh (saya benci, secara pribadi), sesuatu terasa sangat salah tentang itu. Keluarga hancur berantakan. Karier secara instan dan sangat terbuka hancur. Beberapa oportunis bahkan mengirim email pemerasan pelanggan, melalui email dan melalui pos, memeras mereka dari ribuan. Beberapa mengira situasi mereka sangat tidak ada harapan, mereka harus mengambil nyawa mereka sendiri. Itu buruk. 3 Alasan Mengapa The Ashley Madison Hack Adalah Suatu Urusan Yang SeriusInternet tampak gembira dengan peretasan Ashley Madison, dengan jutaan pezina dan potensi rincian pezina diretas dan dirilis secara online, dengan artikel outing individu ditemukan dalam data membuang. Lucu kan? Tidak secepat itu. Baca lebih banyak

Peretasan ini juga menyorot kerja keras Ashley Madison.

Mereka menemukan bahwa dari 1,5 juta wanita yang terdaftar di situs, hanya sekitar 10.000 yang terdaftar manusia asli yang sebenarnya. Sisanya adalah robot dan akun palsu yang dibuat oleh staf Ashley Madison. Ironisnya kejam bahwa kebanyakan orang yang mendaftar mungkin tidak pernah bertemu siapa pun melalui itu. Itu, untuk menggunakan frasa yang sedikit bahasa sehari-hari, 'perayaan sosis'.

Bagian paling memalukan dari nama Anda yang bocor dari hack Ashley Madison adalah Anda bermain-main dengan bot. untuk uang.

- verbal spacey (@VerbalSpacey) 29 Agustus 2015

Itu tidak berhenti di situ. Untuk $ 17, pengguna dapat menghapus informasi mereka dari situs. Profil publik mereka akan dihapus, dan akun mereka akan dihapus dari database. Ini digunakan oleh orang-orang yang mendaftar dan kemudian menyesalinya.

Tetapi bocoran itu menunjukkan bahwa Ashley Maddison tidak sebenarnya hapus akun dari basis data. Sebaliknya, mereka hanya disembunyikan dari Internet publik. Ketika basis data pengguna mereka bocor, begitu pula akun-akun ini.

BoingBoing hari Ashley Madison dump mencakup informasi orang-orang yang membayar AM untuk menghapus akun mereka.

- Denise Balkissoon (@balkissoon) 19 Agustus 2015

Mungkin pelajaran yang bisa kita pelajari dari kisah Ashley Madison adalah itu terkadang ada baiknya menyetujui tuntutan peretas.

Mari jujur. Avid Life Media tahu apa yang ada di server mereka. Mereka tahu apa yang akan terjadi jika bocor. Mereka seharusnya melakukan segala daya mereka untuk menghentikannya agar tidak bocor. Jika itu berarti mematikan beberapa properti online, ya sudah.

Mari menjadi tumpul. Orang-orang meninggal karena Avid Life Media mengambil sikap. Dan untuk apa?

Pada skala yang lebih kecil, dapat dikatakan bahwa seringkali lebih baik untuk memenuhi permintaan peretas dan pembuat malware. Ransomware adalah contoh yang bagus untuk ini Jangan Jatuh dari Scammers: Panduan Untuk Ransomware & Ancaman Lainnya Baca lebih banyak . Ketika seseorang terinfeksi, dan file mereka dienkripsi, para korban diminta 'tebusan' untuk mendekripsi mereka. Ini umumnya dalam batas $ 200 atau lebih. Ketika dibayar, file-file ini umumnya dikembalikan. Agar model bisnis ransomware berfungsi, para korban harus memiliki harapan bahwa mereka dapat memperoleh kembali file mereka.

Saya pikir ke depan, banyak perusahaan yang berada dalam posisi Avid Life Media akan mempertanyakan apakah sikap menantang adalah yang terbaik untuk diambil.

Pelajaran Lainnya

2015 adalah tahun yang aneh. Saya tidak hanya berbicara tentang Ashley Madison.

Itu VTech Hack VTech Akan Diretas, Apple Membenci Headphone Jacks... [Tech News Digest]Peretas mengekspos pengguna VTech, Apple mempertimbangkan melepas jack headphone, lampu Natal dapat memperlambat Wi-Fi Anda, Snapchat naik ke ranjang (RED), dan mengingat The Star Wars Holiday Special. Baca lebih banyak adalah pengubah game. Produsen mainan anak-anak yang berbasis di Hong Kong ini menawarkan komputer tablet yang terkunci, dengan toko aplikasi yang ramah anak, dan kemampuan bagi orang tua untuk mengontrolnya dari jarak jauh. Awal tahun ini, sistem ini diretas, dengan lebih dari 700.000 profil anak-anak bocor. Ini menunjukkan bahwa usia bukanlah halangan untuk menjadi korban pelanggaran data.

Itu juga merupakan tahun yang menarik untuk keamanan sistem operasi. Sementara pertanyaan diajukan tentang keamanan keseluruhan GNU / Linux Sudahkah Linux Menjadi Korban Keberhasilannya Sendiri?Mengapa kepala Linux Foundation, Jim Zemlin, baru-baru ini mengatakan bahwa "zaman keemasan Linux" akan segera berakhir? Apakah misi untuk "mempromosikan, melindungi dan memajukan Linux" gagal? Baca lebih banyak , Windows 10 membuat janji besar menjadi Windows paling aman yang pernah ada 7 Cara Windows 10 Lebih Aman daripada Windows XPBahkan jika Anda tidak menyukai Windows 10, Anda seharusnya sudah bermigrasi dari Windows XP sekarang. Kami menunjukkan kepada Anda bagaimana sistem operasi yang berusia 13 tahun sekarang penuh dengan masalah keamanan. Baca lebih banyak . Tahun ini, kami terpaksa mempertanyakan pepatah bahwa Windows secara inheren kurang aman.

Cukuplah untuk mengatakan, 2016 akan menjadi tahun yang menarik.

Pelajaran keamanan apa yang Anda pelajari di 2015? Apakah Anda memiliki pelajaran keamanan untuk ditambahkan? Biarkan mereka di komentar di bawah.