在临近2016年的绝境时,让我们花点时间回顾一下我们在2015年吸取的安全经验。从Ashley Madison以及政府的狡猾安全建议中,有很多话要讨论。
2015年,人们急忙使用计算机化的,联网的替代品来升级其现有的模拟家居用品。智能家居技术确实在今年开始起飞,并且看起来将持续到新年。但是与此同时,让家庭感到遗憾的是(对不起)这些设备中的某些设备不够安全。
最大的智能家居安全故事也许就是发现某些设备附带了重复的(通常是硬编码的)加密证书和私钥。这也不只是物联网产品。已经发现由主要ISP发行的路由器犯下了这种最主要的安全漏洞。
那么,为什么会出问题呢?
从本质上讲,这对于攻击者而言却微不足道。通过“中间人"攻击和医疗保健来监视这些设备。
如果听起来很熟悉,那是因为许多主要的计算机制造商都被捕做类似的事情。在2015年11月,戴尔被发现运送带有相同根证书(称为eDellRoot)的计算机,以将广告注入加密的网页。
它并没有在那里停止。 2015年确实是智能家居不安全的一年,许多设备被确定带有明显的安全漏洞。
我最喜欢的是iKettle(您猜对了:支持Wi-Fi的水壶),它可以要让攻击者说服其披露其家庭网络的Wi-Fi详细信息(以明文形式,至少要这样)。
为使攻击有效,您首先必须创建一个欺骗无线网络,该网络共享与已附加iKettle的SSID(网络名称)相同的SSID。然后,通过UNIX实用程序Telnet连接到它,并遍历几个菜单,您可以看到网络用户名和密码。
然后是三星的Wi-Fi连接的Smart Fridge,它无法验证SSL证书,并允许攻击者潜在地拦截Gmail登录凭据。
随着智能家居技术日益成为主流,您将可以听到更多有关这些设备具有严重安全漏洞的故事,并且
政府仍然不了解
我们在过去几年中看到的一个反复出现的主题是,大多数政府在什么时候完全无视
在英国可以找到一些最令人震惊的信息安全文盲示例,英国政府一再证明他们根本就不了解 em>。
在议会中流传的最糟糕的想法之一ent的想法是应削弱消息传递服务(如Whatsapp和iMessage)使用的加密,以便安全服务可以对其进行拦截和解码。正如我的同事贾斯汀·波特(Justin Pot)在Twitter上指出的那样,这就像运送所有带有主密码的保险箱一样。
—贾斯汀·波特(@jhpot),2015年12月9日
它情况变得更糟。 .2015年12月,国家犯罪局(英国对联邦调查局的答复)向父母发布了一些建议,以便他们可以告知子女何时正逐渐成为网络犯罪分子。
NCA认为,这些危险信号包括“他们对编码感兴趣吗?" 和“他们不愿意谈论他们在网上做什么?"。
该建议显然是垃圾,不仅被PCPC.me,而且还受到其他主要技术出版物和信息安全社区的嘲笑。
-David G Smith(@aforethought )2015年12月9日
— Graeme Cole(@elocemearg)2015年12月10日
— AdamJ(@IAmAdamJ)2015年12月9日
表示令人不安的趋势。 政府没有安全保障。他们不知道如何就安全威胁进行沟通,也不了解使互联网正常运行的基本技术。对我而言,这比任何黑客或网络恐怖分子都更加令人担忧。
有时候,您应该与恐怖分子进行谈判
毫无疑问,2015年最大的安全故事是Ashley Madison的骇客。如果您忘记了,请允许我回顾一下。
Ashley Madison于2003年推出,是一个与众不同的约会网站。它允许已婚人士与实际上不是他们的配偶的人联系起来。他们的口号说明了一切。 “生命短暂。
但总的来说,这是一次失控的成功。在短短十年间,Ashley Madison累积了近3,700万个注册帐户。尽管不用说,并不是所有人都活跃。绝大多数人处于休眠状态。
今年早些时候,很明显,阿什利·麦迪逊(Ashley Madison)的情况并不理想。一个名为The Impact Team的神秘黑客组织发表了一项声明,声称他们已经能够获取网站数据库以及相当数量的内部电子邮件缓存。他们威胁要释放它,除非Ashley Madison及其姊妹网站Founded Men被关闭。
Ashley Madison和Manufactured Men的所有者和经营者Avid Life Media发布了一份新闻稿,淡化了攻击。他们强调,他们正在与执法部门合作,追查肇事者,并且“能够保护我们的网站,并关闭未经授权的访问点"。
— Ashley Madison(@ashleymadison)2015年7月20日
在8月18日,Impact团队发布了完整的数据库。
这令人难以置信地展示了互联网正义的迅速性和不成比例的性质。无论您对作弊有何感受(我个人都不喜欢),都会感到某件事完全错误。家庭被撕成碎片。职业生涯立即被公开毁掉。一些机会主义者甚至通过电子邮件和邮寄方式向订户发送勒索电子邮件,使他们成千上万。一些人认为他们的处境是如此绝望,他们不得不自杀。这不怎么样。
这次黑客袭击也使Ashley Madison的内部运作成为人们关注的焦点。
他们发现,在该网站上注册的150万女性中,只有约10,000名是真正的真实人类众生。其余的是阿什利·麦迪逊(Ashley Madison)员工创建的机器人和假账户。具有讽刺意味的是,大多数签约的人可能从未通过它见过任何人。
-口头空间(@VerbalSpacey),2015年8月29日
它并没有止步于此。用户可以花17美元从网站上删除他们的信息。他们的公开个人资料将被删除,并且他们的帐户将从数据库中清除。
但这是签名的人使用的,后来对此感到遗憾。
但泄漏显示Ashley Maddison并未实际上从数据库中删除帐户。相反,它们只是对公共Internet隐藏。
-Denise Balkissoon(@balkissoon),2015年8月19日
也许从他们的用户数据库被泄露时,我们可以从Ashley Madison传奇中学到的是有时候值得默认黑客的要求。
坦白地说。 Avid Life Media 了解其服务器上的内容。他们知道如果泄漏了会发生什么。他们应该尽其所能防止泄漏。如果那意味着要关闭一些在线资产,那就这样吧。
直言不讳。人们死于Avid Life Media的立场。 为什么呢?
在较小的规模上,可以说满足黑客和恶意软件创建者的需求通常会更好。勒索软件就是一个很好的例子。当某人被感染并对其文件进行加密时,会要求受害者提供“赎金"以对其解密。这通常在200美元左右的范围内。付款后,通常会返回这些文件。为了使勒索软件业务模型正常运行,受害者必须有一定的期望,他们可以取回文件。
我认为,今后,许多发现自己处于Avid Life Media地位的公司都会质疑挑衅的态度是最好的选择。
其他经验教训
2015年是一个奇怪的年份。我也不只是在谈论Ashley Madison。
VTech Hack改变了游戏规则。这家总部位于香港的儿童玩具制造商提供了一款锁定平板电脑,一个对儿童友好的应用商店,并且父母可以对其进行远程控制。今年早些时候,它遭到了黑客攻击,有700,000多名儿童的个人资料被泄露。这表明年龄并不是成为数据泄露受害者的障碍。
对于操作系统安全而言,这也是有趣的一年。尽管有人对GNU / Linux的整体安全性提出了疑问。今年,我们被迫质疑Windows本质上不安全的格言。
足以说,2016年将是有趣的一年。
哪些安全课程您在2015年学习了吗?您是否需要添加任何安全性课程?将它们留在下面的评论中。
