Michael Fisher
0 
2781
51
Dni prezenterów obawiających się, że cały Internet może zostać zamknięty przez prosty (ale skuteczny) robak komputerowy, już minęły, ale to nie znaczy, że bezpieczeństwo online nie jest już problemem. Zagrożenia stały się bardziej złożone, a co gorsza, pochodzą teraz z miejsc, których większość nigdy by się nie spodziewała - takich jak rząd. Oto 5 trudnych lekcji na temat bezpieczeństwa w Internecie w 2013 roku.
Rząd cię obserwuje…
Największym tematem rozmów na temat bezpieczeństwa komputerowego w 2013 r. Było oczywiście odkrycie, że część rządu Stanów Zjednoczonych (przede wszystkim Narodowej Agencji Bezpieczeństwa) szpieguje obywateli bez ograniczeń.
Według dokumentów ujawnionych przez byłego kontrahenta NSA Edwarda Snowdena i wzmocnionych przez inne źródła, takie jak były urzędnik NSA William Binney, amerykańskie służby wywiadowcze mają dostęp nie tylko do rejestrów telefonów i metadanych sieci społecznościowych, ale mogą również korzystać z szerokiej gamy usług, w tym telefonów komórkowych połączenia, wiadomości e-mail i rozmowy online, albo przez bezpośrednie podsłuchy, albo przez tajne nakazy.
Co to dla ciebie znaczy? Trudno powiedzieć, ponieważ NSA twierdzi, że program jest tajemnicą bezpieczeństwa narodowego. Chociaż informatorzy wskazali, że rozmiar centrów danych NSA implikuje, że rząd rejestruje i przechowuje dość dużą ilość danych wideo i audio, nie ma sposobu, aby wiedzieć na pewno, co zostało nagrane i zapisane, dopóki amerykańscy szpieganci będą kontynuować stonewall publiczności.
Niepokojący wniosek jest taki, że istnieje nie możesz nic zrobić aby zapewnić Twoją prywatność, ponieważ stopień, w jakim można to zrobić, i jak można to zrobić, jest znany tylko w połowie.
… I wszyscy są inni
Nie tylko rząd jest zainteresowany szpiegowaniem ludzi. Osoby fizyczne mogą również korzystać z ukrytego wideo lub dźwięku pobranego z komputera ofiary. Często ma to mniej wspólnego z oszustwami niż z psikusami i pornografią, choć te dwie rzeczy mogą się ze sobą łączyć.
Podziemny świat obserwowania niczego niepodejrzewających ofiar, zwany “ratowanie” został znakomicie wyeksponowany w artykule z Ars Technica. Chociaż włączanie kamery internetowej danej osoby i zdalne jej nagrywanie jest często uważane za hakowanie, można to teraz zrobić ze względną łatwością za pomocą programów o nazwach takich jak Fun Manager. Gdy klient ratujący zostanie zainstalowany na komputerze ofiary, grzechotnicy mogą się zorientować i zobaczyć, co się dzieje.
Często, “co się dzieje” Bezpośrednio przekłada się to na szansę zobaczenia niczego nie podejrzewających kobiet bez ubrania, chociaż oprogramowanie może być również używane do gry w figle, takie jak przypadkowe otwieranie niepokojących obrazów, aby zobaczyć reakcję ofiary. W najgorszych przypadkach ratowanie może bezpośrednio przełożyć się na szantaż, ponieważ ratter rejestruje zawstydzające lub nagie zdjęcia ofiary, a następnie grozi ich zwolnieniem, jeśli nie otrzymają okupu.
Twoje hasła nadal nie są bezpieczne
Bezpieczeństwo hasła jest powszechnym zmartwieniem i nie bez powodu. Tak długo, jak tylko jeden ciąg tekstu stoi pomiędzy światem a twoim kontem bankowym, utrzymanie tego tekstu w tajemnicy będzie miało ogromne znaczenie. Niestety firmy, które proszą nas o zalogowanie się za pomocą hasła, nie są tak zaniepokojone i tracą je w alarmującym tempie.
Tegoroczne poważne naruszenie nastąpiło dzięki uprzejmości Adobe, która straciła ponad 150 milionów haseł w ogromnym ataku, który również (według firmy) pozwolił atakującym uciec się do kodu oprogramowania będącego w fazie rozwoju i ukraść informacje rozliczeniowe dla niektórych klientów. Podczas gdy hasła były szyfrowane, były wszystko zabezpieczone przy użyciu przestarzałej metody szyfrowania i tego samego klucza szyfrowania. Co oznacza, że odkodowanie ich było znacznie łatwiejsze niż powinno.
Podczas gdy podobne naruszenia miały miejsce wcześniej, Adobe jest największy pod względem liczby utraconych haseł, co pokazuje, że istnieją nadal firmy, które nie traktują bezpieczeństwa poważnie. Na szczęście istnieje prosty sposób na sprawdzenie, czy dane hasła zostały naruszone; wystarczy wejść na HaveIBeenPwned.com i wpisać swój adres e-mail.
Hakowanie to biznes
W miarę jak komputery stają się coraz bardziej złożone, przestępcy, którzy chcą je wykorzystać jako środek do uzyskania nielegalnego zysku, stają się coraz bardziej wyrafinowani. Dni samotnego hakera bezczelnie wypuszczającego wirusa, aby zobaczyć, co się dzieje, wydają się być skończone, zastąpione grupami, które współpracują, aby zarabiać pieniądze.
Jednym z przykładów jest Paunch, haker w Rosji, który kierował sprzedażą zestawu exploitów znanego jako Blackhole. Zestaw, stworzony przez Pauncha i kilku współspiskowców, został opracowany częściowo sprytną taktyką biznesową. Zamiast próbować wymyślać exploity zero-day we własnym zakresie, grupa Pauncha kupiła exploity zero-day od innych hakerów. Zostały one następnie dodane do zestawu, który był sprzedawany jako subskrypcja za 500 do 700 USD miesięcznie. Część zysków została ponownie zainwestowana w zakup jeszcze większej liczby exploitów, dzięki czemu Blackhole był jeszcze bardziej zdolny.
Tak działa każda firma. Produkt jest opracowywany i, jeśli się powiedzie, część zysku jest ponownie inwestowana, aby uczynić go lepszym i, miejmy nadzieję, atrakcyjnym jeszcze większym biznesem. Powtarzaj, aż bogaty. Na nieszczęście dla Pauncha, jego plan został ostatecznie wyśledzony przez rosyjską policję i jest teraz w areszcie.
Nawet Twój numer ubezpieczenia społecznego to tylko kilka kliknięć
Istnienie botnetów jest znane od pewnego czasu, ale ich użycie często wiąże się ze stosunkowo prostymi, ale masowymi atakami, takimi jak odmowa usługi Czym jest atak DDoS? [MakeUseOf wyjaśnia] Co to jest atak DDoS? [MakeUseOf wyjaśnia] Termin DDoS gwiżdże w przeszłości, ilekroć cyberaktywizm zbiera się w głowie. Tego rodzaju ataki pojawiają się w nagłówkach międzynarodowych z wielu powodów. Kwestie, które przyspieszają te ataki DDoS, są często kontrowersyjne lub wysoce… lub spamują pocztą elektroniczną, a nie kradzieżą danych. Zespół nastoletnich hakerów po rosyjsku przypomniał nam, że mogą zrobić coś więcej niż wypełnić nasze skrzynki odbiorcze reklamami Viagry, gdy udało im się zainstalować botnet w głównych brokerach danych (takich jak LexisNexis) i ukraść dużą ilość poufnych danych.
Spowodowało to “usługa” o nazwie SSNDOB, który sprzedawał informacje o mieszkańcach Stanów Zjednoczonych. Cena? Tylko kilka dolców za podstawowy rekord i do 15 USD za pełny kredyt lub sprawdzenie przeszłości. Zgadza się; jeśli jesteś obywatelem USA, możesz uzyskać numer ubezpieczenia społecznego i dane kredytowe za cenę niższą niż cena posiłku w The Olive Garden.
I robi się coraz gorzej. Oprócz przechowywania informacji, niektóre firmy pośredniczące w danych są również wykorzystywane do ich uwierzytelnienia. Być może natknąłeś się na to sam, jeśli kiedykolwiek próbowałeś ubiegać się o pożyczkę tylko po to, by powitać cię takie pytania, “Jaki był twój adres pięć lat temu?” Ponieważ sami brokerzy danych byli zagrożeni, na takie pytania można było łatwo odpowiedzieć.
Wniosek
Rok 2013 nie był świetnym rokiem dla bezpieczeństwa online. W rzeczywistości był to trochę koszmar. Rządowe szpiegostwo, skradzione numery ubezpieczenia społecznego, szantażowanie kamerą internetową przez nieznajomych; wielu wyobraża sobie, że są to najgorsze scenariusze, które mogą wystąpić tylko w najbardziej ekstremalnych okolicznościach, ale w tym roku okazało się, że wszystkie powyższe możliwe są przy zaskakująco małym wysiłku. Mamy nadzieję, że w 2014 r. Zostaną podjęte kroki w celu rozwiązania tych rażących problemów, chociaż osobiście wątpię, abyśmy mieli tyle szczęścia.
Źródło zdjęcia: Flickr / Shane Becker, Flickr / Steve Rhodes