Самые сильные уязвимости безопасности 2012 года, ошибки и промахи

Удушливый и слабый p @ $$ w0rd скоро укоренились, но если в 2012 году что-то доказано, то даже самые осторожные души, ориентированные на безопасность, должны удвоить об их защитных действиях и подумайте о лучших способах смягчения ущерба, если худшее произойдет в нашем мире, связанным с облаками.

Конечно, надежный инструментарий безопасности должен стать сердцем вашей защиты, но вам также понадобятся чтобы рассмотреть ваше основное поведение. Например, пропущенный пароль LinkedIn не наносит большого вреда, если эта конкретная буквенно-цифровая комбинация открывает дверь только этой учетной записи, а не любую учетную запись в социальных сетях, которую вы используете. Двухфакторная аутентификация может остановить нарушение до его возникновения. И ваши пароли сосут?

Я не пытаюсь вас напугать. Скорее, я заинтересован в том, чтобы открыть глаза на те меры предосторожности, которые необходимы в эпоху цифровых технологий, о чем свидетельствуют самые большие угрозы безопасности, промахи и неудача 2012 года. «Twas - знаменательный год для плохих парней.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Хэнань взломать атаку

Безумие Хэнанна было увеличено из-за его нехватки на физическое резервное копирование.

Самый высокий уровень взлома 2012 года не привлекал миллионы пользователей или лавину воровской платежной информации. Нет, подсветка безопасности - или это тот самый блеск? - в 2012 году был эпический взлом одного человека: проводной писатель Мат Хэнан.

В течение одного часа хакеры получили доступ к учетной записи Амазонки Хонана, удалили его Google учетной записи и удаленно вытерла его трио Apple устройств, что привело к тому, что хакеры в конечном итоге достигли своей конечной цели: захват контроля над обработкой Хэнань Twitter. Почему все разрушения? Потому что трехбуквенный статус трэпа @mat Twitter, по-видимому, делает его очень желанным призом. (Недовольные отправили несколько расистских и гомофобных твитов до того, как учетная запись была временно приостановлена.)

Разрушение стало возможным благодаря безопасности snafus на критически важных учетных записях Hon-end, отсутствие двухфакторной аутентификации, используя такой же базовой схемы именования на нескольких учетных записях электронной почты, а также конфликтующих протоколов безопасности учетной записи в Amazon и Apple, которые хакеры воспользовались с помощью некоторой хорошей социальной инженерии.

Самая страшная часть? Большинство людей, вероятно, используют одни и те же основные методы безопасности (читайте: lax), которые Хоннан сделал. К счастью, PCWorld уже объяснил, как подключить самые большие дыры в области безопасности.

Вирус пламени

Вирус Flame берет свое имя из своего кода.

Отслеживается еще в 2010 году, но только в мае 2012 года, вирус пламени имеет поразительное сходство с государственным вирусом Stuxnet со сложной базой кода и основным использованием в качестве шпионского инструмента в ближневосточных странах, таких как Египет, Сирия, Ливан, Судан и (чаще всего) Иран.

После того, как Flame запустил свои крючки в систему, он установил модули, которые, среди прочего, могли записывать разговоры в Skype или звуки всего, что происходит возле компьютера, захватывать скриншоты, отслеживать сетевые подключения и вести журналы всех нажатий клавиш и любых данных введенные в поля ввода. Другими словами, это противно, и Flame загрузил всю собранную информацию на серверы управления и управления. Вскоре после того, как исследователи обнаружили, что существует пламя, создатели вируса активировали команду kill, чтобы уничтожить программное обеспечение на зараженных компьютерах.

Инструмент для домашних животных стоимостью 50 долларов, который открывает двери отеля

На конференции Black Hat Security в июле исследователь Коди Вывешенное устройство позволило полуавтоматически открывать электронные дверные замки, сделанные Onity. Блокировка Onity находится на 4 миллионах дверей в тысячах отелей по всему миру, включая громкие сети, такие как Hyatt, Marriott и IHG (которому принадлежат как Holiday Inn, так и Crowne Plaza). Основанный на микроконтроллере Arduino и собранный менее чем за 50 долларов, инструмент может быть построен любым мошенником с изменением кармана и некоторыми навыками кодирования, и есть хотя бы один отчет о аналогичном инструменте, который используется для взлома гостиничных номеров в Техасе.

ArduinoArduino: Сердце с открытым исходным кодом взлома.

Страшно, конечно. Возможно, более тревожным был ответ Onity на ситуацию, которая была в основном «Положите штепсель через порт и замените винты».

В конечном итоге компания разработала фактическое решение для этой уязвимости, но оно включает в себя замену печатных плат затронутых блокировки - и Onity отказывается от затрат на это. В декабрьском отчете ArsTechnica говорится о том, что компания может быть более склонна субсидировать замену платформ после волнения в Техасе, хотя по состоянию на 30 ноября ^тыс. Onity предоставила всего 1,4 миллиона «решений для замков» «в том числе эти пластиковые заглушки - в отели по всему миру. Другими словами, уязвимость по-прежнему очень распространена. Epic потерпит неудачу.

Смерть на тысячу сокращений

Год не видел массового нарушения базы данных в духе 2011 года в PlayStation Network, но серия небольших проникновений быстро и яростно разрасталась весной и летом, Хотя выпуск 6,5 миллионов хэшей паролей LinkedIn, возможно, был самым заметным взломом, он был поддержан публикацией более 1,5 миллионов хэшированных паролей eHarmony, 450 000 учетных записей Yahoo Voice, неуказанного количества паролей Last.fm и полного вход в систему и информацию о профиле сотен пользователей форума Nvidia. Я мог продолжать идти, но вы поняли.

Что такое вынос? Вы не можете доверять веб-сайту, чтобы ваш пароль был безопасным, поэтому вы должны использовать разные пароли для разных сайтов, чтобы свести к минимуму потенциальный ущерб, если хакерам удастся устранить ваши учетные данные для учетной записи. Посмотрите наше руководство по созданию лучшего пароля, если вам нужны какие-то указатели.

Dropbox опустил свой страж

Логотип DropboxDropbox с открытым кодом оказался слишком верным для людей, которые повторно использовали пароли в 2012 году.

В июле, некоторые пользователи Dropbox начали замечать, что они получали большое количество спама в своих почтовых ящиках. После некоторых первоначальных опровержений, последовавших за некоторыми более глубокими копаниями, Dropbox обнаружил, что хакеры скомпрометировали учетную запись сотрудника и получили доступ к документу, содержащему адрес электронной почты пользователя. К сожалению! Урон был незначительным, но яйцо в лицо было большим.

В то же время у очень небольшого числа пользователей учетные записи Dropbox были активно разбиты на внешние источники. Исследования показали, что хакеры получили доступ к учетным записям, потому что жертвы повторно использовали одно и то же имя пользователя и пароль на нескольких сайтах. Когда учетные данные для входа в систему были просочились в нарушение другой службы, хакеры имели все, что им нужно, чтобы разблокировать учетные записи Dropbox.

Проблемы Dropbox снова подчеркивают необходимость использования отдельных паролей для разных сервисов, а также тот факт, что вы еще не можете доверять облаку. Вы можете взять облачную безопасность в свои руки с помощью стороннего инструмента для шифрования.

Миллионы южно-каролинских SSN похитили

Говоря о шифровании, было бы неплохо, если бы правительство следовало основным принципам безопасности.

После массового нарушения данных за октябрь произошел хакер, получивший номера социального страхования огромных 3,6 миллионов жителей Южной Каролины - в штате, где проживает всего 4,6 миллиона жителей! - государственные чиновники попытались возложить вину на ноги IRS. IRS не в частности требует, чтобы состояния шифровали SSN в налоговых документах, вы видите. Таким образом, Южная Каролина не была, хотя она планирует начать сейчас, задним числом будет 20/20 и все.

С точки зрения положительной стороны, данные о дебетовой и кредитной карточке 387 000 жителей Южной Каролины также были изъяты в цифровом хисте и большинство из них были зашифрованы, хотя для 16 000 человек, чьи данные о карте были украдены в текстовом виде, это было мало утешения.

Значительный недостаток безопасности Skype

Процедуры восстановления учетной записи Lax угрожали пользователям Skype в Ноябрь.

В ноябре пользователи Skype временно потеряли возможность запросить сброс пароля для своей учетной записи после того, как исследователи обнаружили эксплойт, который позволил кому-либо получить доступ к учетной записи Skype, если человек знал адрес электронной почты, связанный с учетной записью, Не пароль учетной записи, а не вопросы безопасности - просто простой адрес электронной почты.

Skype быстро подключил отверстие, когда он попал в глаза, но ущерб уже был нанесен. Уязвимость распространялась на российских форумах и активно использовалась в дикой природе до того, как она была закрыта.

Хакеры украли 1,5 миллиона номеров кредитных карт

В апреле хакеры смогли «экспортировать» колоссальные 1,5 миллиона номеров кредитных карт из базы данных Global Payments, службы обработки платежей, используемой государственными учреждениями, финансовыми учреждениями и около 1 миллиона глобальных витрин, среди прочих.

К счастью, нарушение было довольно сдержанным. Global Payments смог идентифицировать номера карт, затронутых взломом, а похищенные данные содержат только фактические номера карт и даты истечения срока действия, не имена владельцев карт или личную информацию. Тем не менее, хиты продолжались. В июне Global Payments объявила, что хакеры могут украсть личную информацию о лицах, которые подали заявку на учетную запись продавца в компании.

Microsoft Security Essentials не прошла сертификацию AV-Test

Ну, это не смущает. AV-Test - это независимый институт информационной безопасности, который регулярно заполняет все популярные продукты антивирусной защиты, которые находятся там, бросает целую кучу гадостей на упомянутые продукты и видит, как различные решения сохраняются под увядающим заграждением. Организация сделала именно это с 24 различными решениями безопасности, ориентированными на потребителя, в конце ноября, и только один из этих решений не соответствовал стандарту сертификации AV-Test: Microsoft Security Essentials для Windows 7.

Тот, у кого нет логотипа сертификации ? Это MSE.

MSE на самом деле выполнила достойную работу с использованием известных вирусов в тесте, но программа обеспечения обеспечила ужасно малое, ну, безопасность перед лицом эксплойтов с нулевым днем. Его 64 очков защиты от указанных атак с нулевым днем ​​на 25 пунктов ниже, чем в среднем по отрасли.

Ошибка, которой не было: исходный код Norton выпущен

Звучит страшно на поверхности: группы хакерских хакеров чтобы получить исходный код для одной из популярных утилит безопасности Norton от Symantec, а затем сбросил код в Pirate Bay, чтобы мир мог вскрыть. О, нос! Теперь ничто не может помешать плохим парням во что бы то ни стало пройти мимо защитных средств, которые устанавливаются на гаджиллионах (приблизительно) в коробках, продаваемых по всему миру - правильно?

Неверно. Исходный код принадлежал продуктам Norton Utilities, выпущенным в 2006 году, как видите, и текущие продукты Symantec с тех пор были перестроены с нуля, без общего кода, разделенного между ними. Другими словами, выпуск исходного кода 2006 года не представляет никакого риска для современных пользователей Norton - по крайней мере, если вы обновили свой антивирус в последние полвека.