Alors que nous approchons du précipice de 2016, prenons une minute pour réfléchir aux leçons de sécurité que nous avons apprises en 2015. D'Ashley Madison Ashley Madison Fuite No Big Deal? Réfléchissez encore Ashley Madison Fuite No Big Deal? Think Again Site de rencontre en ligne discret Ashley Madison (ciblant principalement les conjoints tricheurs) a été piraté. Cependant, cette question est beaucoup plus grave que celle qui a été décrite dans la presse, avec des implications considérables pour la sécurité des utilisateurs. Lire la suite, casser des bouilloires 7 Raisons pour lesquelles l'Internet des objets devrait vous faire peur 7 Raisons pour lesquelles l'Internet des objets devrait vous effrayer Les avantages potentiels de l'Internet des objets deviennent brillants, tandis que les dangers sont jetés dans l'ombre. Il est temps d'attirer l'attention sur ces dangers avec sept promesses terrifiantes de l'IoT. Pour en savoir plus, et les conseils de sécurité douteux du gouvernement, il y a beaucoup à dire.
Maisons intelligentes sont toujours un cauchemar de sécurité
L'année 2015 a vu une foule de personnes améliorer leurs articles ménagers analogiques existants avec des solutions informatisées connectées à Internet. Smart Home Tech a vraiment décollé cette année d'une manière qui semble prête à continuer dans la nouvelle année. Mais en même temps, il a également été martelé à la maison (désolé) que certains de ces appareils ne sont pas tous sécurisés.
La plus grande histoire de sécurité de Smart Home était peut-être la découverte que certains appareils étaient livrés avec des certificats de chiffrement en double (et souvent codés en dur) et des clés privées. Ce n'était pas seulement des produits de l'Internet des objets. Les routeurs émis par les principaux FAI ont été jugés avoir commis ce péché cardinal de la sécurité.
Alors, pourquoi est-ce un problème?
Essentiellement, ceci rend trivial pour un attaquant d'espionner ces dispositifs par le biais d'une attaque 'man-in-the-middle'. Qu'est-ce qu'un Attaque de l'Homme au Milieu? Le jargon de sécurité a expliqué ce qu'est un homme dans le milieu? Explication du jargon de la sécurité Si vous avez entendu parler d'attaques «d'homme à l'autre», mais que vous ne savez pas très bien ce que cela signifie, c'est l'article pour vous. Lire la suite, intercepter le trafic tout en restant non détecté par la victime. Cela est préoccupant, étant donné que la technologie Smart Home est de plus en plus utilisée dans des contextes incroyablement sensibles, tels que la sécurité personnelle, la sécurité des foyers, la Nest Protect Review et Giveaway Nest Protect Review et Giveaway Read More.
Si cela vous semble familier, c'est parce qu'un certain nombre de grands fabricants d'ordinateurs ont été surpris en train de faire une chose très similaire. En novembre 2015, Dell a expédié des ordinateurs avec un certificat racine identique appelé eDellRoot Les derniers ordinateurs portables de Dell sont infectés par eDellRoot Les derniers ordinateurs portables de Dell sont infectés par eDellRoot Dell, le troisième plus grand fabricant d'ordinateurs au monde ordinateurs - tout comme Lenovo a fait avec Superfish. Voici comment rendre votre nouveau PC Dell sûr. Lire la suite, tandis que fin 2014, Lenovo a commencé intentionnellement briser les connexions SSL Lenovo Owners Owners Attention: Votre appareil peut avoir préinstallé Malware Ordinateurs portables Lenovo Attention: votre appareil peut avoir préinstallé Malware Lenovo fabricant d'ordinateurs chinois a admis que les ordinateurs portables expédiés aux magasins et les consommateurs à la fin de 2014, un logiciel malveillant était préinstallé. Lire la suite afin d'injecter des publicités dans des pages Web cryptées.
Cela ne s'est pas arrêté là. 2015 était en effet l'année de l'insécurité de Smart Home, avec de nombreux appareils identifiés comme présentant une vulnérabilité de sécurité obscène.
Mon préféré était l'iKettle Pourquoi l'iKettle Hack devrait vous inquiéter (même si vous n'en possédez pas) Pourquoi le iKettle Hack devrait vous inquiéter (même si vous n'en possédez pas) L'iKettle est une bouilloire WiFi qui est apparemment venu avec une énorme faille de sécurité béante qui avait le potentiel d'ouvrir des réseaux WiFi entiers. Lire la suite (vous l'avez deviné: une bouilloire Wi-Fi), qui pourrait être convaincu par un attaquant de révéler les détails Wi-Fi (en clair, pas moins) de son réseau domestique.
Pour que l'attaque fonctionne, vous devez d'abord créer un réseau sans fil usurpé qui partage le même SSID (le nom du réseau) que celui auquel iKettle est rattaché. Ensuite, en vous connectant à l'aide de l'utilitaire UNIX Telnet et en parcourant quelques menus, vous pouvez voir le nom d'utilisateur et le mot de passe du réseau.
Ensuite, il y avait Smart Wi-Fi de Samsung connecté Smart Fridge Samsung Smart Fridge Just Got Pwned. Que diriez-vous du reste de votre maison intelligente? Smart Fridge de Samsung Just Got Pwned. Que diriez-vous du reste de votre maison intelligente? Une faille avec le réfrigérateur intelligent de Samsung a été découverte par Pen Test Parters, société d'information basée au Royaume-Uni. La mise en œuvre du cryptage SSL par Samsung ne vérifie pas la validité des certificats. En savoir plus, qui n'a pas réussi à valider les certificats SSL et a permis aux attaquants d'intercepter potentiellement les informations d'identification Gmail.
Au fur et à mesure que la technologie Smart Home devient de plus en plus répandue, vous pouvez vous attendre à avoir plus d'informations sur ces périphériques présentant des vulnérabilités de sécurité critiques et étant victimes de certains hacks très médiatisés.
Les gouvernements ne l'obtiennent toujours pas
L'un des thèmes récurrents que nous avons vus au cours des dernières années est l'oubli total de la plupart des gouvernements en matière de sécurité.
Certains des exemples les plus flagrants de l'analphabétisme d'infosec peuvent être trouvés au Royaume-Uni, où le gouvernement a montré à plusieurs reprises et de manière cohérente qu'ils ne comprennent tout simplement pas .
L'idée que le chiffrement utilisé par les services de messagerie (tels que WhatsApp et iMessage) devrait être affaibli est l'une des pires idées qui circulent au parlement, de sorte que les services de sécurité peuvent les intercepter et les décoder. Comme mon collègue Justin Pot l'a fait remarquer sur Twitter, c'est comme envoyer tous les coffres-forts avec un code maître.
Imaginez que le gouvernement dise que chaque coffre-fort devrait avoir un deuxième code standard, au cas où les flics voudraient y entrer. C'est le débat sur le cryptage en ce moment.
- Justin Pot (@jhpot) 9 décembre 2015
Ça a empiré. En décembre 2015, la National Crime Agency (la réponse du Royaume-Uni au FBI) a publié des conseils à l'intention des parents. Votre enfant est-il un hacker? Les autorités britanniques pensent que votre enfant est un hacker? Les autorités britanniques pensent que le NCA, le FBI britannique, a lancé une campagne pour dissuader les jeunes de commettre des crimes informatiques. Mais leur conseil est si large que vous pourriez supposer que quiconque lit cet article est un hacker - même vous. Lire la suite afin qu'ils puissent dire quand leurs enfants sont sur le chemin de devenir des cybercriminels durcis.
Ces drapeaux rouges, selon la NCA, comprennent «sont-ils intéressés à coder?» Et «sont-ils réticents à parler de ce qu'ils font en ligne?
Ce conseil, évidemment, est de la foutaise et a été largement raillé, non seulement par MakeUseOf, mais aussi par d'autres publications importantes de technologie, et la communauté d'infosec.
Le @NCA_UK mentionne un intérêt pour le codage comme un signe d'avertissement pour le cybercrime! Assez étonnant. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz
- David G Smith (@aforethought) 9 décembre 2015
Donc, un intérêt pour le codage est maintenant un «signe d'alerte de la cybercriminalité». La NCA est fondamentalement un département informatique des années 1990. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 10 décembre 2015
Les enfants qui étaient «intéressés par le codage» ont grandi pour devenir les ingénieurs qui ont créé #Twitter, #Facebook et le site #NCA (entre autres)
- AdamJ (@IAmAdamJ) 9 décembre 2015
Mais c'était révélateur d'une tendance troublante. Les gouvernements n'obtiennent pas de sécurité . Ils ne savent pas comment communiquer sur les menaces de sécurité, et ils ne comprennent pas les technologies fondamentales qui font fonctionner Internet. Pour moi, c'est beaucoup plus inquiétant que n'importe quel hacker ou cyber-terroriste.
Parfois, vous devriez négocier avec les terroristes
La plus grande histoire de sécurité de 2015 était sans aucun doute le Ashley Madison hack Ashley Madison Leak No Big Deal? Réfléchissez encore Ashley Madison Fuite No Big Deal? Think Again Site de rencontre en ligne discret Ashley Madison (ciblant principalement les conjoints tricheurs) a été piraté. Cependant, cette question est beaucoup plus grave que celle qui a été décrite dans la presse, avec des implications considérables pour la sécurité des utilisateurs. Lire la suite . Au cas où vous auriez oublié, laissez-moi récapituler.
Lancé en 2003, Ashley Madison était un site de rencontre avec une différence. Cela permettait aux personnes mariées de fréquenter des personnes qui n'étaient pas leur conjoint. Leur slogan a tout dit. "La vie est courte. Avoir une affaire."
Mais grossier comme il est, c'était un succès fulgurant. En un peu plus de dix ans, Ashley Madison avait accumulé près de 37 millions de comptes enregistrés. Bien qu'il soit évident que tous n'étaient pas actifs. La grande majorité était en sommeil.
Plus tôt cette année, il est devenu évident que tout n'allait pas bien avec Ashley Madison. Un groupe de piratage mystérieux appelé The Impact Team a publié une déclaration affirmant qu'ils avaient pu obtenir la base de données du site, ainsi qu'un important cache de courriels internes. Ils ont menacé de le libérer, à moins qu'Ashley Madison ne soit fermée, ainsi que son site affilié Established Men.
Avid Life Media, qui sont les propriétaires et les exploitants d'Ashley Madison et de Established Men, ont publié un communiqué de presse qui minimise l'attaque. Ils ont insisté sur le fait qu'ils travaillaient avec les forces de l'ordre pour traquer les auteurs et qu'ils étaient «en mesure de sécuriser nos sites et de fermer les points d'accès non autorisés».
Déclaration d'Avid Life Media Inc.: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 20 juillet 2015
Le 18 août, Impact Team a publié la base de données complète.
Ce fut une démonstration incroyable de la rapidité et de la nature disproportionnée de la justice sur Internet. Peu importe ce que vous ressentez à propos de la triche (je déteste ça, personnellement), quelque chose me semblait complètement faux . Les familles ont été déchirées. Les carrières ont été instantanément et très publiquement ruinées. Certains opportunistes ont même envoyé aux abonnés des courriels d'extorsion, par e-mail et par la poste, les trafiquant par milliers. Certains pensaient que leurs situations étaient si désespérées qu'ils devaient se suicider. C'était mauvais. 3 raisons pour lesquelles l'Ashley Madison Hack est une affaire sérieuse 3 raisons pour lesquelles l'Ashley Madison Hack est une affaire sérieuse L'Internet semble extatique sur le hack Ashley Madison, avec des millions d'adultères et d'adultères potentiels des détails piratés et libérés en ligne, avec des articles de sortie individus trouvés dans le fichier de données. Hilarant, non? Pas si vite. Lire la suite
Le hack a également mis en lumière les rouages internes d'Ashley Madison.
Ils ont découvert que sur les 1, 5 million de femmes qui étaient enregistrées sur le site, seulement 10 000 étaient de vrais êtres humains. Le reste étaient des robots et de faux comptes créés par le personnel d'Ashley Madison. C'était une ironie cruelle que la plupart des gens qui ont signé n'ont probablement jamais rencontré personne. C'était, pour employer une expression légèrement familière, un «festival de saucisse».
La partie la plus embarrassante de votre nom étant fuit du bidouillage d'Ashley Madison est que vous avez flirté avec un bot. pour de l'argent.
- verbal spacey (@VerbalSpacey) 29 août 2015
Cela ne s'est pas arrêté là. Pour 17 $, les utilisateurs peuvent supprimer leurs informations du site. Leurs profils publics seraient effacés, et leurs comptes seraient purgés de la base de données. Cela a été utilisé par les gens qui se sont inscrits et plus tard regretté.
Mais la fuite a montré qu'Ashley Maddison n'a pas réellement supprimé les comptes de la base de données. Au lieu de cela, ils étaient simplement cachés de l'Internet public. Lorsque leur base de données d'utilisateurs a été divulguée, il en était de même pour ces comptes.
BoingBoing jours Ashley Madison dump comprend des informations sur les personnes qui ont payé AM pour supprimer leurs comptes.
- Denise Balkissoon (@balkissoon) 19 août 2015
Peut-être que la leçon que nous pouvons tirer de la saga Ashley Madison est que parfois cela vaut la peine d'acquiescer aux demandes des pirates.
Soyons honnêtes. Avid Life Media savait ce qu'il y avait sur leurs serveurs . Ils savaient ce qui se serait passé s'il avait été divulgué. Ils auraient dû faire tout ce qui était en leur pouvoir pour empêcher les fuites. Si cela signifiait fermer quelques propriétés en ligne, qu'il en soit ainsi.
Soyons francs. Les gens sont morts parce qu'Avid Life Media a pris position. Et pour quoi?
À plus petite échelle, on peut dire qu'il est souvent préférable de répondre aux demandes des pirates informatiques et des créateurs de logiciels malveillants. Ransomware est un excellent exemple de cela Ne pas tomber en panne des escrocs: Un guide de Ransomware et autres menaces Ne tombez pas Faute des escrocs: Un guide de Ransomware et autres menaces Lire la suite. Lorsqu'une personne est infectée et que ses fichiers sont cryptés, on demande aux victimes une «rançon» afin de les décrypter. C'est généralement dans les limites de 200 $ ou plus. Lorsqu'ils sont payés, ces fichiers sont généralement retournés. Pour que le modèle d'entreprise de ransomware fonctionne, les victimes doivent s'attendre à pouvoir récupérer leurs fichiers.
Je pense qu'à l'avenir, beaucoup de sociétés qui se retrouvent dans la position d'Avid Life Media se demanderont si une position défiante est la meilleure à prendre.
Autres leçons
2015 a été une année étrange. Je ne parle pas seulement d'Ashley Madison, non plus.
VTech Hack VTech est piraté, Apple déteste les prises casque ... [Tech Nouvelles Digest] VTech est piraté, Apple déteste les prises casque ... [Tech News Digest] Les pirates exposent les utilisateurs VTech, Apple envisage de retirer la prise casque, les lumières de Noël peuvent ralentissez votre Wi-Fi, Snapchat se couche avec (RED) et se souvient de The Star Wars Holiday Special. Lire la suite a été un changeur de jeu. Ce fabricant de jouets pour enfants basé à Hong Kong offrait un ordinateur tablette verrouillé, avec un app store adapté aux enfants, et la possibilité pour les parents de le contrôler à distance. Plus tôt cette année, il a été piraté, avec plus de 700 000 profils d'enfants ayant été divulgués. Cela a montré que l'âge n'est pas un obstacle à être victime d'une violation de données.
C'était aussi une année intéressante pour la sécurité du système d'exploitation. Alors que des questions ont été soulevées au sujet de la sécurité globale de GNU / Linux Linux a-t-il été victime de son propre succès? Linux a-t-il été victime de son propre succès? Pourquoi le président de la Fondation Linux, Jim Zemlin, a-t-il récemment déclaré que «l'âge d'or de Linux» pourrait bientôt prendre fin? La mission de «promouvoir, protéger et faire progresser Linux» a-t-elle échoué? Windows 10 est plus sécurisé que Windows XP 7 façons Windows 10 est plus sécurisé que Windows XP Même si vous n'aimez pas Windows 10, vous devriez avoir migré à partir de Windows XP maintenant. Nous vous montrons comment le système d'exploitation vieux de 13 ans est maintenant criblé de problèmes de sécurité. Lire la suite . Cette année, nous avons été contraints de remettre en question l'adage selon lequel Windows est intrinsèquement moins sécurisé.
Qu'il suffise de dire, 2016 va être une année intéressante.
Quelles leçons de sécurité avez-vous apprises en 2015? Avez-vous des leçons de sécurité à ajouter? Laissez-les dans les commentaires ci-dessous.