Ce que nous pouvons apprendre des défis de sécurité et de confidentialité en ligne de 2015

Publicité

Alors que nous approchons du précipice de 2016, prenons une minute pour réfléchir aux leçons de sécurité que nous avons apprises en 2015. De Ashley Madison Ashley Madison n'a pas de grosse affaire? Détrompez-vousLe site de rencontres en ligne discret Ashley Madison (destiné principalement aux conjoints tricheurs) a été piraté. Cependant, il s'agit d'un problème beaucoup plus grave que celui décrit dans la presse, avec des implications considérables pour la sécurité des utilisateurs. Lire la suite , à bouilloires piratées 7 raisons pour lesquelles l'Internet des objets devrait vous faire peurLes avantages potentiels de l'Internet des objets brillent, tandis que les dangers sont jetés dans l'ombre silencieuse. Il est temps d'attirer l'attention sur ces dangers avec sept promesses terrifiantes de l'IoT. Lire la suite , et les conseils de sécurité louches du gouvernement, il y a beaucoup à dire.

Les maisons intelligentes sont toujours un cauchemar pour la sécurité

L'année 2015 a été marquée par une vague de personnes qui ont amélioré leurs articles ménagers analogiques existants avec des alternatives informatisées connectées à Internet. Technologie Smart Home

vraiment a décollé cette année d'une manière qui devrait se poursuivre dans la nouvelle année. Mais en même temps, il a également été martelé à la maison (désolé) que certains de ces appareils ne sont pas si sûrs.

La plus grande histoire de sécurité Smart Home est peut-être que la découverte que certains appareils étaient expédition avec des certificats de chiffrement en double (et souvent codés en dur) et clés privées. Il ne s'agissait pas seulement des produits de l'Internet des objets. Routeurs émis par les principaux FAI se sont avérés avoir commis ce péché le plus cardinal de sécurité.

Alors, pourquoi est-ce un problème?

Essentiellement, cela rend trivial pour un attaquant d'espionner ces appareils via un Attaque «homme au milieu» Qu'est-ce qu'une attaque d'homme au milieu? Explication du jargon de sécuritéSi vous avez entendu parler d'attaques de type "homme du milieu" mais n'êtes pas sûr de ce que cela signifie, cet article est pour vous. Lire la suite , interceptant le trafic tout en restant non détecté par la victime. Cela est préoccupant, étant donné que la technologie Smart Home est de plus en plus utilisée dans des contextes incroyablement sensibles, tels que la sécurité personnelle, la sécurité des ménages Avis et cadeau Nest Protect Lire la suite et dans les soins de santé.

Si cela vous semble familier, c'est parce qu'un certain nombre de grands fabricants d'ordinateurs ont été surpris en train de faire une chose très similaire. En novembre 2015, Dell expédiait des ordinateurs avec un ordinateur identique certificat racine appelé eDellRoot Les derniers ordinateurs portables de Dell sont infectés par eDellRootDell, le troisième plus grand fabricant d'ordinateurs au monde, a été surpris en train d'expédier des certificats racine non fiables sur tous les nouveaux ordinateurs, tout comme Lenovo l'a fait avec Superfish. Voici comment sécuriser votre nouveau PC Dell. Lire la suite , alors que fin 2014, Lenovo a commencé rompre intentionnellement les connexions SSL Les propriétaires d'ordinateurs portables Lenovo se méfient: votre appareil peut avoir préinstallé un logiciel malveillantLe fabricant chinois d'ordinateurs Lenovo a admis que les ordinateurs portables livrés aux magasins et aux consommateurs fin 2014 avaient un logiciel malveillant préinstallé. Lire la suite afin d'injecter des publicités dans des pages Web cryptées.

Cela ne s'est pas arrêté là. 2015 a en effet été l'année de l'insécurité de la maison intelligente, avec de nombreux appareils identifiés comme présentant une vulnérabilité de sécurité obscurément évidente.

Mon préféré était l'iKettle Pourquoi le iKettle Hack devrait vous inquiéter (même si vous n'en possédez pas)L'iKettle est une bouilloire compatible WiFi qui apparemment était accompagnée d'une faille de sécurité massive et béante qui avait le potentiel de faire exploser des réseaux WiFi entiers. Lire la suite (vous l'avez deviné: une bouilloire compatible Wi-Fi), qui pourrait être convaincu par un attaquant de révéler les détails Wi-Fi (en clair, pas moins) de son réseau domestique.

Pour que l'attaque fonctionne, vous devez d'abord créer un réseau sans fil usurpé qui partage le même SSID (le nom du réseau) que celui auquel l'iKettle est attachée. Ensuite, en vous y connectant via l'utilitaire UNIX Telnet et en parcourant quelques menus, vous pouvez voir le nom d'utilisateur et le mot de passe du réseau.

Puis il y a eu Réfrigérateur intelligent connecté par Wi-Fi de Samsung Le réfrigérateur intelligent de Samsung vient d'être mis en marche. Que diriez-vous du reste de votre maison intelligente?Une faille avec le réfrigérateur intelligent de Samsung a été découverte par la firme britannique Infosec Pen Test Parters. L'implémentation du cryptage SSL par Samsung ne vérifie pas la validité des certificats. Lire la suite , qui n'a pas pu valider les certificats SSL et a permis aux attaquants d'intercepter potentiellement les informations de connexion Gmail.

Alors que la technologie Smart Home devient de plus en plus courante, et cela arrivera, vous pouvez vous attendre à entendre plus d'histoires de ces appareils présentent des vulnérabilités de sécurité critiques et sont victimes de certains hacks de haut niveau.

Les gouvernements ne comprennent toujours pas

Un thème récurrent que nous avons vu au cours des dernières années est à quel point la plupart des gouvernements sont complètement inconscients en matière de sécurité.

Certains des exemples les plus flagrants de l'analphabétisme infosec se trouvent au Royaume-Uni, où le gouvernement a démontré à plusieurs reprises et ne comprends tout simplement pas.

L'une des pires idées qui a été lancée au Parlement est l'idée que le cryptage utilisé par les services de messagerie (tels que Whatsapp et iMessage) devrait être affaibli, afin que les services de sécurité puissent les intercepter et les décoder. Comme mon collègue Justin Pot l'a souligné sur Twitter, cela revient à envoyer tous les coffres-forts avec un code clé maître.

Imaginez si le gouvernement disait que chaque coffre-fort devrait avoir un deuxième code standard, au cas où les flics le souhaiteraient. C'est le débat sur le chiffrement en ce moment.

- Justin Pot (@jhpot) 9 décembre 2015

Ça s'empire. En décembre 2015, la National Crime Agency (la réponse du Royaume-Uni au FBI) émis des conseils aux parents Votre enfant est-il un pirate? Les autorités britanniques le pensentLa NCA, le FBI britannique, a lancé une campagne pour dissuader les jeunes de la criminalité informatique. Mais leurs conseils sont si larges que vous pourriez supposer que quiconque lit cet article est un pirate informatique - même vous. Lire la suite afin qu'ils puissent savoir quand leurs enfants sont en passe de devenir des cybercriminels endurcis.

Ces drapeaux rouges, selon la NCA, comprennent "Sont-ils intéressés à coder?" et «Sont-ils réticents à parler de ce qu'ils font en ligne?».

Ce conseil, évidemment, est des ordures et a été largement moqué, non seulement par MakeUseOf, mais aussi par d'autres publications technologiques majeureset la communauté infosec.

le @NCA_UK fait part de son intérêt pour le codage comme signe d'avertissement pour la cybercriminalité! Assez étonnant. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- David G Smith (@aforethought) 9 décembre 2015

L'intérêt pour le codage est donc désormais un "signe avant-coureur de cybercriminalité". La NCA est essentiellement un département informatique des années 90. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10 décembre 2015

Les enfants qui étaient «intéressés par le codage» ont grandi pour devenir les ingénieurs qui ont créé #Twitter, #Facebook et le #NCA site web (entre autres)

- AdamJ (@IAmAdamJ) 9 décembre 2015

Mais cela indique une tendance inquiétante. Les gouvernements n’obtiennent pas de sécurité. Ils ne savent pas comment communiquer sur les menaces de sécurité et ils ne comprennent pas les technologies fondamentales qui font fonctionner Internet. Pour moi, c'est beaucoup plus préoccupant que n'importe quel hacker ou cyber-terroriste.

Parfois tu Devrait Négocier avec des terroristes

La plus grande histoire de sécurité de 2015 a sans aucun doute été le hack d'Ashley Madison Ashley Madison n'a pas de grosse affaire? Détrompez-vousLe site de rencontres en ligne discret Ashley Madison (destiné principalement aux conjoints tricheurs) a été piraté. Cependant, il s'agit d'un problème beaucoup plus grave que celui décrit dans la presse, avec des implications considérables pour la sécurité des utilisateurs. Lire la suite . Au cas où vous auriez oublié, permettez-moi de récapituler.

Lancé en 2003, Ashley Madison était un site de rencontres avec une différence. Cela a permis aux personnes mariées de rencontrer des gens qui n'étaient pas réellement leur conjoint. Leur slogan disait tout. "La vie est courte. Avoir une affaire."

Mais aussi grossier soit-il, ce fut un succès fulgurant. En un peu plus de dix ans, Ashley Madison avait accumulé près de 37 millions de comptes enregistrés. Il va sans dire que tous n'étaient pas actifs. La grande majorité était en sommeil.

Plus tôt cette année, il est devenu évident que tout n'allait pas bien avec Ashley Madison. Un mystérieux groupe de piratage appelé The Impact Team a publié une déclaration affirmant qu'ils avaient pu obtenir la base de données du site, ainsi qu'un cache important d'e-mails internes. Ils ont menacé de le libérer, à moins qu'Ashley Madison ne soit fermé, ainsi que son site sœur Established Men.

Avid Life Media, propriétaires et exploitants d'Ashley Madison et d'Established Men, a publié un communiqué de presse qui minimisait l'attaque. Ils ont souligné qu’ils travaillaient avec les forces de l’ordre pour retrouver les coupables et «étaient en mesure de sécuriser nos sites et de fermer les points d’accès non autorisés».

Déclaration d'Avid Life Media Inc.: http://t.co/sSoLWvrLoQ

- Ashley Madison (@ashleymadison) 20 juillet 2015

Le 18^e d'août, Impact Team a publié la base de données complète.

C'était une démonstration incroyable de la rapidité et du caractère disproportionné de la justice sur Internet. Peu importe ce que vous pensez de la triche (je déteste ça personnellement), quelque chose tout à fait faux à propos de ça. Les familles ont été déchirées. Les carrières ont été instantanément et très publiquement ruinées. Certains opportunistes ont même envoyé des e-mails d'extorsion aux abonnés, par e-mail et par la poste, les trayant par milliers. Certains pensaient que leur situation était si désespérée qu'ils devaient se suicider. C'était mauvais. 3 raisons pour lesquelles le hack Ashley Madison est une affaire sérieuseInternet semble ravi du piratage d'Ashley Madison, avec des millions d'adultères et des potentiels les détails des adultères piratés et publiés en ligne, avec des articles sur les individus trouvés dans les données déverser. Hilarant, non? Pas si vite. Lire la suite

Le hack a également braqué les projecteurs sur le fonctionnement interne d'Ashley Madison.

Ils ont découvert que sur les 1,5 million de femmes inscrites sur le site, seulement 10 000 environ étaient véritables êtres humains réels. Les autres étaient des robots et de faux comptes créés par le personnel d'Ashley Madison. C'était une ironie cruelle que la plupart des personnes qui se sont inscrites n'ont probablement jamais rencontré personne à travers elle. C’était, pour reprendre une expression un peu familière, une «fête des saucisses».

la partie la plus embarrassante de votre nom ayant été divulguée par le hack Ashley Madison est que vous avez flirté avec un bot. pour de l'argent.

- espace verbal (@VerbalSpacey) 29 août 2015

Cela ne s'est pas arrêté là. Pour 17 $, les utilisateurs pouvaient supprimer leurs informations du site. Leurs profils publics seraient effacés et leurs comptes seraient supprimés de la base de données. Cela a été utilisé par les personnes qui se sont inscrites et l'ont regretté plus tard.

Mais la fuite a montré qu'Ashley Maddison n'avait pas réellement supprimez les comptes de la base de données. Au lieu de cela, ils étaient simplement cachés de l'Internet public. Lorsque leur base de données d'utilisateurs a été divulguée, il en était de même de ces comptes.

BoingBoing days Le vidage d'Ashley Madison comprend des informations sur les personnes qui ont payé AM pour supprimer leurs comptes.

- Denise Balkissoon (@balkissoon) 19 août 2015

Peut-être la leçon que nous pouvons tirer de la saga Ashley Madison est que Parfois, cela vaut la peine de répondre aux demandes des pirates.

Soyons honnêtes. Avid Life Media savait ce qui était sur leurs serveurs. Ils savaient ce qui se serait passé en cas de fuite. Ils auraient dû faire tout ce qui était en leur pouvoir pour empêcher sa fuite. Si cela signifiait la fermeture de quelques propriétés en ligne, tant pis.

Soyons francs. Des gens sont morts parce qu'Avid Life Media a pris position. Et pour quoi?

À plus petite échelle, on peut affirmer qu'il est souvent préférable de répondre aux demandes des pirates et des créateurs de logiciels malveillants. Les ransomwares en sont un excellent exemple Ne tombez pas dans le piège des escrocs: un guide sur les ransomwares et autres menaces Lire la suite . Lorsqu'une personne est infectée et que ses fichiers sont cryptés, les victimes sont priées de demander une «rançon» afin de les décrypter. C'est généralement dans les limites de 200 $ ou plus. Une fois payés, ces fichiers sont généralement retournés. Pour que le modèle commercial des ransomwares fonctionne, les victimes doivent s'attendre à pouvoir récupérer leurs fichiers.

Je pense qu'à l'avenir, de nombreuses entreprises qui se retrouvent dans la position d'Avid Life Media se demanderont si une position de défi est la meilleure à adopter.

Autres leçons

2015 a été une année étrange. Je ne parle pas seulement d'Ashley Madison non plus.

le VTech Hack VTech obtient piraté, Apple déteste les prises casque... [Recueil de nouvelles techniques]Les pirates informatiques exposent les utilisateurs de VTech, Apple envisage de retirer la prise casque, les lumières de Noël peuvent ralentir votre Wi-Fi, Snapchat se met au lit avec (ROUGE) et se souvient du Star Wars Holiday Special. Lire la suite a changé la donne. Ce fabricant de jouets pour enfants basé à Hong Kong a offert une tablette verrouillée, un magasin d'applications adapté aux enfants et la possibilité pour les parents de le contrôler à distance. Plus tôt cette année, il a été piraté, avec plus de 700 000 profils d'enfants divulgués. Cela montre que l'âge n'est pas un obstacle pour être victime d'une violation de données.

Ce fut également une année intéressante pour la sécurité des systèmes d'exploitation. Alors que des questions ont été soulevées sécurité globale de GNU / Linux Linux a-t-il été victime de son propre succès?Pourquoi le chef de la Fondation Linux, Jim Zemlin, a-t-il récemment déclaré que «l'âge d'or de Linux» pourrait bientôt prendre fin? La mission de "promouvoir, protéger et faire progresser Linux" a-t-elle échoué? Lire la suite , Windows 10 a fait de grandes promesses étant le Windows le plus sécurisé de tous les temps 7 façons dont Windows 10 est plus sécurisé que Windows XPMême si vous n'aimez pas Windows 10, vous devriez vraiment avoir migré de Windows XP maintenant. Nous vous montrons comment le système d'exploitation âgé de 13 ans est désormais criblé de problèmes de sécurité. Lire la suite . Cette année, nous avons été contraints de remettre en question l'adage selon lequel Windows est intrinsèquement moins sécurisé.

Autant dire que 2016 va être une année intéressante.

Quelles leçons de sécurité avez-vous apprises en 2015? Avez-vous des leçons de sécurité à ajouter? Laissez-les dans les commentaires ci-dessous.