Eksploitasi, terbengkalai dan kesilapan keselamatan terburuk 2012

Orang bodoh dan lemahnya lemahnya tidak lama lagi berakar, tetapi jika tahun 2012 telah membuktikan apa-apa, itu adalah bahawa jiwa yang berhati-hati yang paling berhati-hati perlu menggandakan pada amalan perlindungan mereka, dan berfikir tentang cara terbaik untuk mengurangkan kerosakan jika yang paling teruk berlaku di dunia kita yang semakin terhubungan awan.

Kotak peralatan keselamatan pepejal harus membentuk hati pertahanan anda, sudah tentu, tetapi anda juga perlu untuk mempertimbangkan tingkah laku asas anda. Contohnya, kata laluan LinkedIn yang bocor tidak banyak membahayakan jika kombinasi alfanumerik tertentu hanya membuka pintu ke akaun tertentu, bukannya setiap akaun media sosial yang anda gunakan. Pengesahan dua faktor boleh menghentikan pelanggaran sebelum ia berlaku. Dan adakah kata laluan anda menghisap?

Saya tidak cuba menakutkan anda. Sebaliknya, saya berminat membuka mata anda untuk jenis langkah berjaga-jaga yang diperlukan dalam era digital-seperti yang terbukti oleh eksploit keselamatan, kesilapan, dan kegagalan 2012. Twas adalah tahun banner untuk orang jahat.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows anda]

Honan hack serangan

Bencana Honan telah diperbesar oleh kekurangannya pada backup fizikal.

Hack profil tertinggi 2012 tidak melibatkan berjuta-juta pengguna atau longsoran maklumat pembayaran yang dicuri. Tidak, kemuncak keselamatan - atau yang paling rendah? -pada tahun 2012 adalah penggodam epik seorang lelaki: Penulis berwayar Mat Honan.

Sepanjang satu jam, penggodam mendapat akses ke akaun Amazon Honan, menghapuskan Google akaun, dan dari jauh menghapuskan tiga peranti Apple, yang memuncak dalam penggodam akhirnya mencapai matlamat akhir mereka: merebut kawalan pengendali Twitter Honan. Mengapa semua kemusnahan? Kerana status tiga-surat pemegang Twitter @mata menjadikannya hadiah yang sangat didambakan. (The malcontents mencatatkan beberapa rasis dan homophobic tweets sebelum akaun itu digantung sementara.)

Keruntuhan itu semua dimungkinkan oleh snafus keselamatan pada akaun kritikal akhir Honan-chaining Honan, kekurangan pengaktifan dua faktor pengesahan, menggunakan skim penamaan asas yang sama merentasi beberapa akaun e-mel dan protokol keselamatan akaun yang bertentangan di Amazon dan Apple, yang mana penggodam memanfaatkan dengan bantuan beberapa kejuruteraan sosial yang baik.

Bahagian paling menakutkan? Kebanyakan orang mungkin menggunakan amalan keselamatan asas (baca: kurang) yang dilakukan Honan. Nasib baik, PCWorld telah menjelaskan cara memasang lubang keselamatan digital terbesar.

Virus Flame

Virus Flame mengambil nama dari kodanya.

Dikesan sejauh 2010 tetapi hanya ditemui pada bulan Mei 2012, virus Flame menimbulkan persamaan yang menakjubkan kepada virus Stuxnet yang ditaja oleh kerajaan, dengan asas kod kompleks dan penggunaan utama sebagai alat pengintip di negara-negara Timur Tengah seperti Mesir, Syria, Lubnan, Sudan, dan Iran (paling kerap).

Setelah Flam menenggelamkan cangkuknya ke dalam sistem, ia memasang modul yang boleh, antara lain, merakam perbualan Skype atau audio apa-apa yang berlaku berhampiran komputer, tangkapan skrin, mengintip sambungan rangkaian, dan menyimpan log semua kekunci dan sebarang data memasuki kotak input. Ia jahat, dengan kata lain-dan Flame memuatkan semua maklumat yang dikumpulkannya untuk memerintahkan dan mengawal pelayan. Tidak lama selepas penyelidik Kaspersky mencetuskan kewujudan Flame, pencipta virus itu mengaktifkan perintah membunuh untuk menghapus perisian dari komputer yang dijangkiti.

Alat homebrew $ 50 yang membuka pintu hotel

Pada persidangan Black Hat Security pada bulan Julai, penyelidik Cody Brosur yang melancarkan peranti boleh membuka kunci pintu elektronik yang sepatutnya boleh diamanahkan oleh Onity. Kunci onity terdapat pada 4 juta pintu di ribuan hotel di seluruh dunia, termasuk rantaian berprofil tinggi seperti Hyatt, Marriott, dan IHG (yang memiliki Holiday Inn dan Crowne Plaza). Berpangkalan di sekitar mikrokontroler Arduino dan berkumpul kurang dari $ 50, alat ini boleh dibina oleh mana-mana penjahat dengan perubahan poket dan beberapa kemahiran pengkodan, dan terdapat sekurang-kurangnya satu laporan alat yang sama digunakan untuk memasuki bilik hotel di Texas.

ArduinoArduino: Hati terbuka sumber hack itu.

Perkara menakutkan, pasti. Mungkin lebih membimbangkan adalah tindak balas Onity terhadap keadaan, yang pada asasnya "Pasang plag ke atas pelabuhan dan ubah skru."

Syarikat itu akhirnya membangunkan penyelesaian sebenar untuk kelemahan, tetapi ia melibatkan pertukaran papan litar yang terkena kunci-dan Onity menolak untuk membayar kos untuk berbuat demikian. Laporan Disember ArsTechnica mencadangkan supaya syarikat lebih bersedia untuk memberi subsidi penggantian selepas kejahatan Texas, walaupun pada 30 November ^{, Onity hanya membekalkan sejumlah 1.4 juta "penyelesaian untuk kunci "termasuk palam plastik-ke hotel di seluruh dunia. Dengan kata lain, kelemahan itu masih sangat meluas. Epic fail.} Kematian oleh seribu potongan

Tahun ini tidak menyaksikan pelanggaran pangkalan data secara besar-besaran dalam urat rawak PlayStation Network 2011, tetapi satu siri penembusan yang lebih kecil datang cepat dan marah sepanjang musim bunga dan musim panas. Walaupun pembebasan sebanyak 6.5 juta kata laluan LinkedIn telah menjadi hack yang paling ketara, ia telah disokong oleh pengeposan lebih daripada 1.5 juta kata laluan eHarmony yang telah dirumuskan, 450,000 kosa kata login Yahoo Voice, nombor kata laluan Last.fm yang tidak ditentukan dan penuh log masuk dan maklumat profil ratusan pengguna forum Nvidia. Saya boleh teruskan, tetapi anda mendapat titik.

Apa yang perlu dilakukan? Anda tidak boleh mempercayai tapak web untuk menyimpan kata laluan anda dengan selamat, jadi anda harus menggunakan kata laluan yang berlainan untuk laman web yang berbeza untuk meminimumkan kerosakan yang berpotensi jika penggodam tidak dapat mengabaikan kelayakan login anda untuk akaun tertentu. Lihatlah panduan kami untuk membina kata laluan yang lebih baik jika anda memerlukan beberapa petunjuk.

Dropbox menjatuhkan pengawasnya

DropboxDropbox "kotak terbuka" logo terbukti terlalu berlaku untuk orang yang menggunakan semula kata laluan pada 2012.

Kembali pada bulan Julai, beberapa pengguna Dropbox mula menyedari bahawa mereka menerima sejumlah besar spam dalam peti masuk mereka. Selepas beberapa penafian awal diikuti oleh beberapa penggali yang lebih mendalam, Dropbox mendapati bahawa penggodam telah menjejaskan akaun pekerja dan mendapat akses kepada dokumen yang mengandungi alamat e-mel pengguna. Oops! Kerosakannya adalah kecil, tetapi telur di muka adalah besar.

Pada masa yang sama, sejumlah pengguna yang sangat kecil mempunyai akaun Dropbox mereka secara aktif dipecah oleh sumber luar. Siasatan mendedahkan bahawa penggodam mendapat akses ke akaun kerana mangsa menggunakan semula kombinasi nama pengguna / kata laluan yang sama di beberapa laman web. Apabila kelayakan pendaftaran telah dibocorkan dalam pelanggaran pada perkhidmatan lain, penggodam mempunyai semua yang diperlukan untuk membuka kunci akaun Dropbox.

Kesalahan Dropbox menyerlahkan-sekali lagi-keperluan untuk menggunakan kata laluan yang berasingan untuk perkhidmatan yang berbeza, serta hakikat bahawa anda tidak boleh mempercayai awan sepenuhnya lagi. Anda boleh mengambil keselamatan awan ke dalam tangan anda sendiri dengan bantuan alat penyulitan pihak ketiga.

Jutaan South Carolina SSNs mencuri

Bercakap tentang penyulitan, adalah baik jika kerajaan mengikuti prinsipal keselamatan asas

Selepas pelanggaran data besar bulan Oktober mengakibatkan seorang penggodam mendapat jumlah keselamatan sosial 3.6 juta warga Carolina Selatan - dalam keadaan dengan hanya 4.6 juta penduduk! - Para pegawai negeri cuba menyalahkan di kaki IRS. IRS tidak

khusus memerlukan negeri untuk menyulitkan SSN dalam pemfailan cukai, yang anda lihat. Jadi South Carolina tidak-walaupun ia merancang untuk memulakan sekarang, menjadi 20/20 dan semuanya. Di sisi positifnya, butiran kad debit dan kad kredit 387,000 warga Carolina Selatan juga dipinjam dalam heist digital dan

kebanyakan daripada mereka yang disulitkan, walaupun itu mungkin sedikit kesenangan untuk 16,000 orang yang butiran kadnya dicuri dalam bentuk teks biasa. Skype keselamatan kecacatan besar-besaran

Lax prosedur pemulihan akaun mengancam pengguna Skype November.

Pada bulan November, pengguna Skype buat sementara waktu kehilangan keupayaan untuk meminta reset kata laluan untuk akaun mereka selepas penyelidik mengenal pasti eksploit yang membenarkan sesiapa pun mendapat akses ke akaun Skype selagi orang tahu alamat e-mel yang dikaitkan dengan akaun. Bukan kata laluan akaun, bukan soalan keselamatan-hanya alamat e-mel yang mudah sahaja.

Skype dengan cepat memasang lubang apabila ia menangkap mata orang ramai, tetapi kerosakan telah dilakukan.

Hacker mencuri 1.5 juta nombor kad kredit

Pada bulan April, peretas berjaya "mengeksport" sejumlah 1.5 juta nombor kad kredit dari pangkalan data Global Payments, perkhidmatan pemprosesan pembayaran yang digunakan oleh agensi kerajaan, institusi kewangan, dan sekitar 1 juta gedung etalase global, antara lain.

Untungnya, pelanggaran itu cukup terkandung. Pembayaran Global dapat mengenal pasti nombor kad yang dipengaruhi oleh hack, dan data yang dicuri hanya mengandungi nombor kad sebenar dan tarikh tamat tempoh, tidak nama pemegang kad atau maklumat peribadi. Namun, hits terus datang. Pada bulan Jun, Global Payments mengumumkan bahawa penggodam mungkin telah mencuri maklumat peribadi orang yang memohon akaun saudagar dengan syarikat. Microsoft Security Essentials gagal pensijilan AV-Test

Nah, ini tidak memalukan. Ujian AV adalah sebuah institut keselamatan maklumat bebas yang secara kerap melengkapkan semua produk antimalware teratas yang berada di luar sana, melelurkan sekumpulan nasties pada produk tersebut, dan melihat bagaimana pelbagai penyelesaian terus berada di bawah rentetan yang dahat. Organisasi itu hanya melakukannya dengan 24 penyelesaian keselamatan yang berfokuskan pengguna yang berbeza pada akhir bulan November, dan hanya satu daripada penyelesaian tersebut gagal memenuhi standard pensijilan AV-Test: Microsoft Security Essentials untuk Windows 7.

Itu tanpa logo pensijilan ? MSE.

MSE benar-benar melakukan pekerjaan yang baik untuk mengatasi virus-virus terkenal dalam ujian, tetapi program keselamatan menyediakan sedikit

keamanan yang sangat buruk dalam menghadapi eksploitasi sifar hari. Skor perlindungan 64 terhadap serangan sifar hari ini adalah 25 mata lebih rendah daripada purata industri. Kesilapan yang tidak: Kod sumber Norton yang dikeluarkan

Bunyi menakutkan di permukaan: Kumpulan hacker yang terancam untuk mendapatkan kod sumber untuk salah satu utiliti keselamatan Norton yang popular di Symantec, kemudian membuang kod di Pirate Bay untuk membedah dunia. Oh, jangan! Sekarang, tiada apa yang dapat menghalang orang jahat daripada berjalan tidak sengaja melewati pertahanan yang telah dipasang sebelum ini pada sistem (hampir) sistem kotak yang dijual di seluruh dunia?

Salah. Kod sumber milik produk Norton Utilities yang dilancarkan pada 2006, anda lihat, dan produk semasa Symantec telah dibina semula dari awal hingga tidak ada kod biasa yang dikongsi antara kedua-duanya. Dengan kata lain, pelepasan kod sumber 2006 tidak menimbulkan sebarang risiko kepada pelanggan Norton moden-sekurang-kurangnya jika anda telah mengemas kini antivirus anda dalam dekad yang lalu.