Lo que podemos aprender de los desafíos de seguridad y privacidad en línea de 2015
A medida que nos acercamos al precipicio de 2016, tomemos un minuto para reflexionar sobre las lecciones de seguridad que aprendimos en 2015. De Ashley Madison Ashley Madison ¿No hay gran problema? Piense otra vez Ashley Madison fuga No es gran cosa? Think Again El sitio de citas en línea discreto Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido hackeado. Sin embargo, este es un problema mucho más serio que el que se ha descrito en la prensa, con implicaciones considerables para la seguridad del usuario. Más información, a las calderas pirateadas 7 razones por las que la Internet de las cosas debería asustarte 7 razones por las que la Internet de las cosas debería asustarte Los beneficios potenciales de la Internet de las cosas crecen, mientras que los peligros se proyectan en las sombras silenciosas. Es hora de llamar la atención sobre estos peligros con siete prometedoras promesas del IoT. Lea más, y un poco sospechoso consejo de seguridad del gobierno, hay mucho de qué hablar..
Las casas inteligentes siguen siendo una pesadilla de seguridad
El 2015 vio a una gran cantidad de personas actualizando sus artículos domésticos analógicos existentes con alternativas computarizadas conectadas a Internet. Tecnología de casa inteligente De Verdad despegó este año de una manera que parece que continuará en el Año Nuevo. Pero al mismo tiempo, también fue criticado (lo siento) que algunos de estos dispositivos no son tan seguros.
La mayor historia de seguridad de Smart Home fue quizás el descubrimiento de que algunos dispositivos se enviaban con certificados de cifrado duplicados (y con frecuencia con codificación rígida) y claves privadas. No era solo productos de Internet de las cosas tampoco. Se ha encontrado que los enrutadores emitidos por los principales ISP han cometido este pecado de seguridad más cardinal.
Entonces, ¿por qué es un problema?
Esencialmente, esto hace que sea trivial para un atacante espiar estos dispositivos a través de un ataque de "hombre en el medio" ¿Qué es un ataque de hombre en el medio? Explicación de la jerga de seguridad ¿Qué es un ataque de hombre en el medio? Explicación de la jerga de seguridad Si ha oído hablar de ataques "intermediarios" pero no está seguro de lo que eso significa, este es el artículo para usted. Lea más, interceptando el tráfico mientras simultáneamente no es detectado por la víctima. Esto es preocupante, dado que la tecnología de Smart Home se está utilizando cada vez más en contextos increíblemente sensibles, como la seguridad personal, la seguridad doméstica, la Revisión de Nest Protect y la Revisión de Nest Protect de Giveaway y la Leer más de Giveaway, y en la atención médica.
Si esto suena familiar, es porque varios fabricantes de computadoras importantes han sido sorprendidos haciendo algo muy similar. En noviembre de 2015, se descubrió que Dell enviaba computadoras con un certificado raíz idéntico llamado eDellRoot. Las últimas computadoras portátiles de Dell están infectadas con eDellRoot. Las computadoras portátiles más recientes de Dell están infectadas con eDellRoot Dell, el tercer fabricante de computadoras más grande del mundo: computadoras - al igual que Lenovo hizo con Superfish. Aquí le indicamos cómo hacer que su nueva PC de Dell sea segura. Lea más, mientras que a fines de 2014, Lenovo comenzó a romper conexiones SSL intencionalmente. Propietarios de computadoras portátiles de Lenovo Cuidado: su dispositivo puede tener malware preinstalado Propietarios de computadoras portátiles de Lenovo Cuidado: su dispositivo puede tener malware preinstalado. A finales de 2014 había malware preinstalado. Lea más para inyectar anuncios en páginas web cifradas..
No se detuvo allí. 2015 fue de hecho el año de la inseguridad en el hogar inteligente, con muchos dispositivos identificados con una vulnerabilidad de seguridad obscenamente obvia..
Mi favorito fue el iKettle. Por qué el iKettle Hack debería preocuparte (incluso si no tienes uno). Por qué el iKettle Hack debería preocuparte (incluso si no tienes uno). El iKettle es un hervidor habilitado para WiFi que aparentemente viene con un defecto de seguridad enorme y enorme que tenía el potencial de hacer explotar redes WiFi completas. Más información (lo has adivinado: un hervidor habilitado para Wi-Fi), que podría ser convencido por un atacante para revelar los detalles de Wi-Fi (en texto plano, no menos) de su red doméstica.
Para que el ataque funcionara, primero tenía que crear una red inalámbrica falsificada que comparta el mismo SSID (el nombre de la red) que tiene el iKettle adjunto. Luego, conectándose a él a través de la utilidad Telnet de UNIX y atravesando algunos menús, puede ver el nombre de usuario y la contraseña de la red.
Luego estaba el refrigerador inteligente conectado a Wi-Fi de Samsung. El refrigerador inteligente de Samsung se acaba de encender. ¿Qué tal el resto de su casa inteligente? La nevera inteligente de Samsung acaba de ser lanzada. ¿Qué tal el resto de su casa inteligente? Una vulnerabilidad con el refrigerador inteligente de Samsung fue descubierta por la empresa de infoseción en el Reino Unido, Pen Test Parters. La implementación del cifrado SSL de Samsung no comprueba la validez de los certificados. Lea más, que no pudo validar los certificados SSL y permitió a los atacantes interceptar las credenciales de inicio de sesión de Gmail.
A medida que la tecnología de Smart Home se vuelve cada vez más popular, y lo hará, puede esperar escuchar más historias de estos dispositivos que vienen con vulnerabilidades críticas de seguridad y ser víctimas de algunos ataques de alto perfil..
Los gobiernos todavía no lo entienden
Un tema recurrente que hemos visto en los últimos años es cuán absolutamente inconscientes son la mayoría de los gobiernos cuando se trata de asuntos de seguridad..
Algunos de los ejemplos más notorios de analfabetismo infosec se pueden encontrar en el Reino Unido, donde el gobierno ha demostrado repetida y consistentemente que simplemente no lo entiendo.
Una de las peores ideas lanzadas en el parlamento es la idea de que el cifrado utilizado por los servicios de mensajería (como Whatsapp y iMessage) debería debilitarse, por lo que los servicios de seguridad pueden interceptarlos y decodificarlos. Como lo señaló mi colega Justin Pot en Twitter, eso es como enviar todas las cajas fuertes con un código clave maestro.
Imagínese si el gobierno dijera que todas las cajas fuertes deberían tener un segundo código estándar, en caso de que los policías quieran ingresar. Ese es el debate sobre el cifrado en este momento.
- Justin Pot (@jhpot) 9 de diciembre de 2015
Se pone peor. En diciembre de 2015, la Agencia Nacional de Delitos (respuesta del Reino Unido al FBI) emitió algunos consejos para los padres ¿Es su hijo un pirata informático? Las autoridades británicas piensan que sí, ¿es tu hijo un hacker? Las autoridades británicas piensan lo mismo La NCA, el FBI de Gran Bretaña, ha lanzado una campaña para disuadir a los jóvenes de los delitos informáticos. Pero su consejo es tan amplio que podría suponer que cualquiera que lea este artículo es un hacker, incluso usted. Lea más para que puedan saber cuándo sus hijos están en el camino de endurecerse de los ciberdelincuentes.
Estas banderas rojas, según la NCA, incluyen “¿Están interesados en la codificación??” y “¿Se muestran reacios a hablar sobre lo que hacen en línea??”.
Este consejo, obviamente, es basura y fue ampliamente burlado, no solo por MakeUseOf, sino también por otras importantes publicaciones de tecnología y la comunidad infosec..
¡El @NCA_UK muestra un interés en la codificación como una señal de advertencia para los delitos cibernéticos! Bastante asombroso. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz
- David G Smith (@aforethought) 9 de diciembre de 2015
Por lo tanto, un interés en la codificación es ahora una "señal de advertencia de delito cibernético". La NCA es básicamente un departamento de informática escolar de los años noventa. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 10 de diciembre de 2015
Los niños que estaban 'interesados en la codificación' se convirtieron en los ingenieros que crearon #Twitter, #Facebook y el sitio web #NCA (entre otros)
- AdamJ (@IAmAdamJ) 9 de diciembre de 2015
Pero era indicativo de una tendencia preocupante.. Los gobiernos no consiguen seguridad. No saben cómo comunicarse acerca de las amenazas de seguridad y no comprenden las tecnologías fundamentales que hacen que Internet funcione. Para mí, eso es mucho más preocupante que cualquier hacker o ciberterrorista..
A veces tu Debería Negociar con terroristas
La historia de seguridad más grande de 2015 fue, sin duda, el hack de Ashley Madison. Piense otra vez Ashley Madison fuga No es gran cosa? Think Again El sitio de citas en línea discreto Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido hackeado. Sin embargo, este es un problema mucho más serio que el que se ha descrito en la prensa, con implicaciones considerables para la seguridad del usuario. Lee mas . En caso de que lo hayas olvidado, déjame recapitular..
Lanzado en 2003, Ashley Madison era un sitio de citas con una diferencia. Permitió a las personas casadas relacionarse con personas que no eran realmente sus cónyuges. Su eslogan lo decía todo.. “La vida es corta. Tener una aventura.”
Pero asqueroso como es, fue un gran éxito. En poco más de diez años, Ashley Madison había acumulado casi 37 millones de cuentas registradas. Aunque no hace falta decir que no todos estaban activos. La gran mayoría estaban latentes..
A principios de este año, se hizo evidente que no todo estaba bien con Ashley Madison. Un misterioso grupo de piratería llamado The Impact Team emitió una declaración en la que afirmaba que había podido obtener la base de datos del sitio, además de una gran cantidad de correos internos. Amenazaron con liberarlo, a menos que Ashley Madison fuera cerrada, junto con su sitio hermano Established Men..
Avid Life Media, que son los propietarios y operadores de Ashley Madison y Established Men, emitieron un comunicado de prensa que minimizó el ataque. Enfatizaron que estaban trabajando con la policía para rastrear a los perpetradores, y fueron “poder asegurar nuestros sitios y cerrar los puntos de acceso no autorizados”.
Declaración de Avid Life Media Inc .: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 20 de julio de 2015
En el 18th de agosto, Impact Team lanzó la base de datos completa..
Fue una demostración increíble de la rapidez y la naturaleza desproporcionada de la justicia en Internet. No importa cómo te sientas por hacer trampa (lo odio, personalmente), sentí algo. completamente equivocado al respecto. Las familias fueron destrozadas. Las carreras se arruinaron al instante y muy públicamente. Algunos oportunistas incluso enviaron correos electrónicos de extorsión a los suscriptores, a través de correo electrónico y por correo postal, ordeñándolos de entre miles. Algunos pensaron que sus situaciones eran tan desesperadas, que tenían que quitarse la vida. Estuvo mal. 3 razones por las que el Ashley Madison Hack es un asunto serio 3 razones por las que el Ashley Madison Hack es un asunto serio Internet parece extasiado sobre el hack de Ashley Madison, con millones de adúlteros y los posibles adúlteros hackeados y publicados en línea, con artículos publicados Individuos encontrados en el volcado de datos. Hilarante, ¿verdad? No tan rapido. Lee mas
El truco también brilló en el funcionamiento interno de Ashley Madison..
Descubrieron que de los 1,5 millones de mujeres que estaban registradas en el sitio, solo alrededor de 10,000 eran verdaderos seres humanos. El resto eran robots y cuentas falsas creadas por el personal de Ashley Madison. Fue una cruel ironía que la mayoría de las personas que se registraron probablemente nunca conocieron a nadie a través de ella. Era, para usar una frase un poco coloquial, una 'fiesta de salchichas'.
La parte más vergonzosa de tu nombre que se filtró del hack de Ashley Madison es que coqueteaste con un bot. por dinero.
- espacio verbal (@VerbalSpacey) 29 de agosto de 2015
No se detuvo allí. Por $ 17, los usuarios podrían eliminar su información del sitio. Sus perfiles públicos se borrarán y sus cuentas se eliminarán de la base de datos. Esto fue usado por personas que se registraron y luego lo lamentaron..
Pero la filtración mostró que Ashley Maddison no lo hizo. actualmente eliminar las cuentas de la base de datos. En su lugar, estaban simplemente ocultos de la Internet pública. Cuando su base de datos de usuario se filtró, también lo fueron estas cuentas.
BoingBoing days Ashley Madison dump incluye información de personas que pagaron a AM para eliminar sus cuentas.
- Denise Balkissoon (@balkissoon) 19 de agosto de 2015
Quizás la lección que podemos aprender de la saga de Ashley Madison es que A veces vale la pena aceptar las demandas de los hackers..
Seamos honestos. Avid Life Media Sabía lo que había en sus servidores. Sabían lo que habría pasado si se hubiera filtrado. Deberían haber hecho todo lo posible para evitar que se filtre. Si eso significaba cerrar un par de propiedades en línea, que así sea.
Seamos francos. La gente murió porque Avid Life Media tomó una posición.. Y para qué?
En una escala más pequeña, se puede argumentar que a menudo es mejor satisfacer las demandas de los hackers y creadores de malware. Ransomware es un excelente ejemplo de esto: No caer en la falta de los estafadores: una guía para el ransomware y otras amenazas No caer en la falta de los estafadores: una guía para el ransomware y otras amenazas Lea más. Cuando alguien está infectado y sus archivos están encriptados, se les pide a las víctimas un "rescate" para descifrarlos. Esto es generalmente en los límites de $ 200 o menos. Cuando se paga, estos archivos generalmente se devuelven. Para que el modelo de negocio de ransomware funcione, las víctimas deben tener alguna expectativa de que pueden recuperar sus archivos.
Creo que en el futuro, muchas de las compañías que se encuentran en la posición de Avid Life Media cuestionarán si una postura desafiante es la mejor a tomar..
Otras lecciones
2015 fue un año extraño. No solo estoy hablando de Ashley Madison, tampoco.
VTech Hack VTech es hackeado, Apple odia los conectores para auriculares ... [Tech News Digest] VTech es hackeado, Apple odia los auriculares para auriculares ... [Tech News Digest] Los hackers exponen a los usuarios de VTech, Apple considera la eliminación del conector para auriculares, las luces de Navidad pueden reducir la velocidad de su Wi -Fi, Snapchat se acuesta con (RED), y recuerda el especial de vacaciones de Star Wars. Leer más fue un cambio de juego. Este fabricante de juguetes para niños, con sede en Hong Kong, ofreció una tableta bloqueada, una tienda de aplicaciones para niños y la capacidad de los padres para controlarla de forma remota. A principios de este año, fue hackeado, con más de 700,000 perfiles de niños filtrados. Esto mostró que la edad no es una barrera para ser víctima de una violación de datos..
También fue un año interesante para la seguridad del sistema operativo. Si bien surgieron preguntas sobre la seguridad general de GNU / Linux, ¿Linux ha sido una víctima de su propio éxito? ¿Linux ha sido una víctima de su propio éxito? ¿Por qué el jefe de la Fundación Linux, Jim Zemlin, dijo recientemente que la "edad de oro de Linux" podría llegar pronto a su fin? ¿Ha fallado la misión de "promover, proteger y avanzar Linux"? Más información: Windows 10 hizo grandes promesas de ser el más seguro de Windows 7 maneras en que Windows 10 es más seguro que Windows XP 7 formas en que Windows 10 es más seguro que en Windows XP Aunque no te guste Windows 10, deberías haber migrado de Windows XP por ahora. Le mostramos cómo el sistema operativo de 13 años ahora está plagado de problemas de seguridad. Lee mas . Este año, nos vimos obligados a cuestionar el adagio de que Windows es intrínsecamente menos seguro..
Basta con decir que 2016 va a ser un año interesante..
¿Qué lecciones de seguridad aprendiste en 2015? ¿Tienes alguna lección de seguridad para agregar? Déjalos en los comentarios a continuación..
Explorar más sobre: cifrado, piratería, Internet de las cosas.