När vi är nära 2016, tar vi en liten stund för att reflektera över de säkerhetslärdomar som vi lärde oss 2015. Från Ashley Madison Ashley Madison Lek Ingen Stor Deal? Tänk igen Ashley Madison läcka ingen stor överenskommelse? Tänk igen Diskret online-datingsida Ashley Madison (riktade främst till otrogen makar) har hackats. Men det här är en mycket allvarligare fråga än vad som har skildrats i pressen, med betydande konsekvenser för användarsäkerheten. Läs mer, hackade vattenkokare 7 Anledningar till att saker på Internet ska skrämma dig 7 Anledningar till att saker på Internet ska skrämma dig De potentiella fördelarna med saker i Dina blir ljusa, medan farorna kastas i de tysta skuggorna. Det är dags att uppmärksamma dessa faror med sju skrämmande löften om IoT. Läs mer, och tvivelaktiga säkerhetsråd från regeringen, det finns mycket att prata om.
Smart Homes är fortfarande en säkerhetsmardröm
2015 såg en skräck av människor som uppgraderade sina existerande analoga hushållsprodukter med datoriserade, internetanslutna alternativ. Smart Home Tech tog verkligen av i år på ett sätt som ser ut att fortsätta till det nya året. Men samtidigt hamnade det också hemma (ledsen) att några av dessa enheter inte är allt som är säkra.
Den största Smart Home-säkerhetshistorien var kanske att upptäckten att vissa enheter skickades med dubbla (och ofta hårdkodade) krypteringscertifikat och privata nycklar. Det var inte bara Internet of Things-produkterna heller. Routrar som utfärdats av större Internetleverantörer har visat sig ha begått detta mest kardinal av säkerhetssyn.
Så varför är det ett problem?
I grund och botten gör det det trivialt för en angripare att spionera på dessa enheter genom en "man-in-the-middle" attack. Vad är en man-i-mittattack? Säkerhetsjargon förklarade Vad är en man-i-mittenattack? Security Jargon Explained Om du har hört talas om "man-in-the-middle" -attacker men inte helt säkra på vad det betyder är det här artikeln för dig. Läs mer, avlyssning av trafik samtidigt som oupptäckt av offret kvarstår. Det handlar om att Smart Home tech i allt högre grad används i otroligt känsliga sammanhang, såsom personlig säkerhet, hushållssäkerhet, Nest Protect Review och Giveaway Nest Protect Review och Giveaway Read More, och i vården.
Om detta låter bekant, beror det på att ett antal stora datortillverkare har fångats gör en mycket liknande sak. I november 2015 upptäcktes Dell att vara fraktdatorer med ett identiskt rotcertifikat som heter eDellRoot Dells senaste bärbara datorer är infekterade med eDellRoot Dells senaste bärbara datorer är infekterade med eDellRoot Dell, världens tredje största datortillverkare har fångats skicka rogue root certifikat på alla nya datorer - precis som Lenovo gjorde med Superfish. Så här gör du din nya Dell-dator säker. Läs mer, sen i slutet av 2014 började Lenovo avsiktligt bryta SSL-anslutningar. Lenovo bärbara ägare Var uppmärksam: Din enhet kan ha förinstallerad skadlig kod Lenovo bärbara ägare Var uppmärksam: Din enhet kan ha förinstallerad skadlig kod Kinesisk datortillverkare Lenovo har medgett att bärbara datorer levereras till butiker och konsumenter i slutet av 2014 hade skadlig programvara förinstallerats. Läs mer för att injicera annonser i krypterade webbsidor.
Det stannade inte där. 2015 var verkligen året för Smart Home-osäkerhet, med många enheter identifierade som att komma med en obscen uppenbar säkerhetsrisk.
Min favorit var iKettle Varför iKettle Hack borde oroa dig (även om du inte äger en) Varför iKettle Hack borde oroa dig (även om du inte äger en) IKettle är en WiFi-aktiverad vattenkokare som tydligen kom med en massiv, gapande säkerhetsfel som hade potential att blåsa upp hela WiFi-nätverket. Läs mer (du gissade den: En Wi-Fi-aktiverad vattenkokare), som kan övertygas av en angripare för att avslöja Wi-Fi-detaljerna (i ren text, inte mindre) i sitt hemnätverk.
För attacken till jobbet måste du först skapa ett spoofed trådlöst nätverk som delar samma SSID (nätverksnamnet) som det som har iKettle kopplat till det. Därefter kan du se nätverks användarnamnet och lösenordet genom att ansluta till det via UNIX-verktyget Telnet och genomgå några menyer.
Då var det Samsungs Wi-Fi-anslutna Smart Kylskåp Samsungs Smart Kylare blev bara pwned. Hur om resten av ditt smarta hem? Samsungs Smart Kylskåp blev bara pwned. Hur om resten av ditt smarta hem? En sårbarhet med Samsungs smarta kylskåp upptäcktes av UK-baserade Infosec-företag Pen Test Parters. Samsungs genomförande av SSL-kryptering kontrollerar inte certifikatets giltighet. Läs mer, vilket misslyckades med att validera SSL-certifikat och tillåta angripare att eventuellt avlyssna inloggningsuppgifter för Gmail.
Eftersom Smart Home tech blir alltmer vanligt och det kan du förvänta dig att höra om fler historier om dessa enheter som kommer med kritiska säkerhetsproblem och faller offer för några högprofilerade hackar.
Regeringarna får fortfarande inte det
Ett återkommande tema vi har sett de senaste åren är hur fullständigt oblivious de flesta regeringar är när det gäller säkerhetsfrågor.
Några av de mest egregiousexemplen på infosec analfabetism finns i Storbritannien, där regeringen har upprepade gånger och konsekvent visat att de bara inte får det .
En av de värsta idéerna som floats i parlamentet är tanken att krypteringen som används av meddelandetjänster (som Whatsapp och iMessage) bör försvagas, så säkerhetstjänsten kan fånga och avkoda dem. Som min kollega Justin Pot tydligt påpekade på Twitter, är det som att skicka alla kassaskåp med en huvudnyckelkod.
Tänk dig om regeringen sa att varje trygghet borde ha en standard andra kod, om polisen vill ha det. Det är krypteringsdebatten just nu.
- Justin Pot (@jhpot) 9 december 2015
Det blir värre. I december 2015 utfärdade Byrån för brottsbekämpning (Storbritanniens svar till FBI) några råd till föräldrarna Är ditt barn en hackare? De brittiska myndigheterna tror så är ditt barn en hackare? De brittiska myndigheterna tror så NCA, Storbritanniens FBI, har lanserat en kampanj för att avskräcka ungdomar från datorbrottslighet. Men deras råd är så bred att du kan anta att någon som läser den här artikeln är en hacker - även du. Läs mer så att de kan berätta när deras barn är på väg till att bli hårda cyberkriminella.
Dessa röda flaggor, enligt NCA, inkluderar "är de intresserade av kodning?" Och "är de ovilliga att prata om vad de gör online?".
Detta råd är uppenbarligen skräp och var allmänt bespottat, inte bara av MakeUseOf, utan även av andra stora tekniska publikationer och infosec-samhället.
@NCA_UK visar ett intresse för kodning som ett varningsskylt för cyberbrott! Ganska förbluffande. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz
- David G Smith (@aforethought) 9 december 2015
Så ett intresse för kodning är nu ett "varningsskylt för cyberbrott". NCA är i grunden en skola IT-avdelning från 1990-talet. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 10 december 2015
Barn som var intresserade av kodning växte upp till de ingenjörer som skapade #Twitter, #Facebook och #NCA-webbplatsen (bland andra)
- AdamJ (@IAmAdamJ) 9 december 2015
Men det var en indikation på en oroande trend. Regeringar får inte säkerhet . De vet inte hur man ska kommunicera om säkerhetshot och de förstår inte de grundläggande teknikerna som gör Internet. För mig är det mycket mer än någon hacker eller cyber-terrorist.
Ibland bör du förhandla med terrorister
Den största säkerhetshistorien från 2015 var utan tvekan Ashley Madison-hacken Ashley Madison Leka No Big Deal? Tänk igen Ashley Madison läcka ingen stor överenskommelse? Tänk igen Diskret online-datingsida Ashley Madison (riktade främst till otrogen makar) har hackats. Men det här är en mycket allvarligare fråga än vad som har skildrats i pressen, med betydande konsekvenser för användarsäkerheten. Läs mer . Om du har glömt, låt mig läsa om.
Lanserad 2003, Ashley Madison var en datingsida med en skillnad. Det gav gifte människor möjlighet att ansluta sig till människor som inte var deras makar. Deras slogan sa allt. "Livet är kort. Ha en affär."
Men brutto som det är, det var en olycka framgång. På drygt tio år hade Ashley Madison ackumulerat nästan 37 miljoner registrerade konton. Även om det är självklart att inte alla av dem var aktiva. Den stora majoriteten var vilande.
Tidigare i år blev det uppenbart att allt var inte bra med Ashley Madison. En mystisk hackinggrupp som heter The Impact Team utfärdat ett uttalande som hävdade att de hade kunnat hämta webbplatsdatabasen, plus en betydande cache av interna e-postmeddelanden. De hotade att släppa det, om inte Ashley Madison stängdes, tillsammans med sin systerplats Established Men.
Avid Life Media, som är ägare och operatörer av Ashley Madison och Established Men, utfärdat ett pressmeddelande som nedspelade attacken. De betonade att de arbetade med brottsbekämpning för att spåra förövarna och kunde "säkra våra webbplatser och stänga obehöriga åtkomstpunkter".
Uttalande från Avid Life Media Inc .: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 20 juli 2015
Den 18 augusti släppte Impact Team den fullständiga databasen.
Det var en otrolig demonstration av Internet-rättvisans snabbhet och oproportionerliga karaktär. Oavsett hur du känner för fusk (jag hatar det personligen), något kände mig helt fel på det . Familjer slogs iväg. Karriärer blev omedelbart och mycket offentligt förstörda. Vissa opportunister skickade även abonnenter utpressning e-post, via e-post och post, mjölka dem ur tusentals. Vissa trodde att deras situationer var så hopplösa, de var tvungna att ta sina egna liv. Det var dåligt. 3 skäl till att Ashley Madison Hack är ett allvarligt affärer 3 skäl till att Ashley Madison Hack är en allvarlig affärsverksamhet Internet verkar extatisk om Ashley Madison hack, med miljontals äktenskapsbrott och potentiella äktenskapsuppgifter hackade och släpptes online med artiklar utflykt individer som finns i datadumpen. Hilarious, eller hur? Inte så fort. Läs mer
Hacket skenade också en strålkastare vid Ashley Madisons inre arbete.
De upptäckte att av de 1, 5 miljoner kvinnorna som registrerades på webbplatsen var endast omkring 10 000 verkliga äkta människor. Resten var robotar och falska konton skapade av Ashley Madison personal. Det var en grym ironi att de flesta som registrerade sig förmodligen aldrig träffade någon genom den. Det var att använda en lite sammankomstlig fras, en "korvfest".
mest pinsamma delen av ditt namn läckt från Ashley Madison hack är du flirtade med en bot. för pengar.
- verbal spacey (@VerbalSpacey) 29 augusti 2015
Det stannade inte där. För $ 17 kan användarna ta bort sin information från webbplatsen. Deras offentliga profiler skulle raderas, och deras konton skulle rensas ur databasen. Detta användes av personer som registrerade sig och senare beklagade det.
Men läckan visade att Ashley Maddison inte faktiskt tog bort kontona från databasen. Istället var de bara dolda från det offentliga Internet. När deras användardatabas läckte, så var dessa konton.
BoingBoing-dagar Ashley Madison-dump innehåller information om personer som betalat AM för att radera sina konton.
- Denise Balkissoon (@balkissoon) 19 augusti 2015
Kanske den lektion vi kan lära av Ashley Madison saga är att det ibland är värt att erkänna kraven på hackare.
Låt oss vara ärliga. Avid Life Media visste vad som var på sina servrar . De visste vad som skulle ha hänt om det läckte. De borde ha gjort allt inom sin makt för att hindra det från att läckas. Om det skulle innebära att du stängde ett par online-egenskaper, så var det.
Låt oss vara trubbiga. Människor dog för att Avid Life Media tog ställning. Och för vad?
I mindre skala kan det hävdas att det ofta är bättre att uppfylla kraven hos hackare och malware skapare. Ransomware är ett bra exempel på det här faller inte fel mot svindlarna: En guide till Ransomware och andra hot kommer inte att falla oskadd av svindlarna: En guide till Ransomware och andra hot Läs mer. När någon är smittad, och deras filer krypteras, blir offren efterfrågade om ett "lösen" för att dekryptera dem. Detta är generellt i gränserna på $ 200 eller så. När de betalas upp returneras dessa filer vanligtvis. För att ransomware affärsmodell ska fungera måste offren ha viss förväntan att de kan få sina filer tillbaka.
Jag tror framöver, många av de företag som befinner sig i positionen av Avid Life Media kommer att ifrågasätta huruvida en tuff hållning är den bästa att ta.
Andra lektioner
2015 var ett underligt år. Jag pratar inte bara om Ashley Madison.
VTech Hack VTech Gets Hacked, Apple Hates Headphone Jacks ... [Tech News Digest] VTech Gets Hacked, Apple Hates Headphone Jacks ... [Tech News Digest] Hackers avslöjar VTech-användare, Apple anser att ta bort hörlursuttaget, julljus kan Sakta ner din Wi-Fi, Snapchat går i säng med (RED), och kommer ihåg Star Wars Holiday Special. Read More var en spelväxlare. Denna Hongkongbaserade tillverkare av barnleksaker erbjöd en låst ner tablettdator med en barnvänlig appbutik och möjligheten för föräldrar att fjärrkontrollera den. Tidigare i år blev det hackat, med över 700 000 barns profiler läckta. Detta visade att ålder inte är ett hinder för att bli offer för en databrott.
Det var också ett intressant år för operativsystemsäkerhet. Medan frågor höjdes om GNU / Linuxs övergripande säkerhet har Linux varit ett offer för sin egen framgång? Har Linux varit ett offer för sin egen framgång? Varför sade Linux Foundation Head, Jim Zemlin, nyligen att "Golden Age of Linux" snart kommer att sluta? Har uppdraget att "främja, skydda och avancera Linux" misslyckats? Läs mer, Windows 10 gjorde stora löften om att vara den säkraste Windows någonsin 7 sätt Windows 10 är säkrare än Windows XP 7 sätt Windows 10 är säkrare än Windows XP Även om du inte gillar Windows 10 borde du verkligen ha migrerat från Windows XP nu. Vi visar dig hur det 13-åriga operativsystemet nu är riddled med säkerhetsproblem. Läs mer . I år var vi tvungna att fråga frågan om att Windows i sig är mindre säkra.
Räcker med att säga, 2016 kommer att bli ett intressant år.
Vilka säkerhetslektioner lärde du dig i 2015? Har du några säkerhetslektioner att lägga till? Lämna dem i kommentarerna nedan.