Anuncio

A medida que nos acercamos al precipicio de 2016, tomemos un minuto para reflexionar sobre las lecciones de seguridad que aprendimos en 2015. De Ashley Madison Ashley Madison Fuga ¿No es gran cosa? Piensa otra vezEl discreto sitio de citas en línea Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido pirateado. Sin embargo, este es un problema mucho más grave de lo que se ha presentado en la prensa, con considerables implicaciones para la seguridad del usuario. Lee mas , a teteras pirateadas 7 razones por las cuales el Internet de las cosas debería asustarteLos beneficios potenciales del Internet de las cosas se vuelven brillantes, mientras que los peligros se proyectan en las sombras silenciosas. Es hora de llamar la atención sobre estos peligros con siete terribles promesas de IoT. Lee mas y consejos de seguridad dudosos del gobierno, hay mucho de qué hablar.

Las casas inteligentes siguen siendo una pesadilla de seguridad

En 2015, se produjo una avalancha de personas que actualizaron sus artículos domésticos analógicos existentes con alternativas informatizadas y conectadas a Internet. Smart Home tech

instagram viewer
De Verdad despegó este año de una manera que parece que continuará en el Año Nuevo. Pero al mismo tiempo, también fue criticado en casa (lo siento) que algunos de estos dispositivos no son tan seguros

La mayor historia de seguridad de Smart Home fue quizás el descubrimiento de que algunos dispositivos eran envío con certificados de cifrado duplicados (y a menudo codificados) y llaves privadas. Tampoco eran solo productos de Internet de las cosas. Enrutadores emitidos por los principales ISP se ha encontrado que ha cometido este pecado más grave de seguridad.

enrutador2

Entonces, ¿por qué es un problema?

Esencialmente, esto hace que sea trivial para un atacante espiar estos dispositivos a través de un Ataque "hombre en el medio" ¿Qué es un ataque de hombre en el medio? Jerga de seguridad explicadaSi has oído hablar de ataques de "hombre en el medio" pero no estás muy seguro de lo que eso significa, este es el artículo para ti. Lee mas , interceptando el tráfico sin dejar de ser detectado por la víctima. Esto es preocupante, dado que la tecnología Smart Home se utiliza cada vez más en contextos increíblemente sensibles, como la seguridad personal, seguridad del hogar Nest Protect Review y Sorteo Lee mas y en sanidad.

Si esto le suena familiar, se debe a que muchos de los principales fabricantes de computadoras han sido sorprendidos haciendo algo muy similar. En noviembre de 2015, se descubrió que Dell enviaba computadoras con idéntico certificado raíz llamado eDellRoot Las últimas computadoras portátiles de Dell están infectadas con eDellRootDell, el tercer mayor fabricante de computadoras del mundo, ha sido sorprendido enviando certificados de root deshonestos en todas las computadoras nuevas, al igual que Lenovo hizo con Superfish. Aquí le mostramos cómo hacer que su nueva computadora Dell sea segura. Lee mas , mientras que a finales de 2014, se inició Lenovo romper intencionalmente las conexiones SSL Tenga cuidado con los propietarios de computadoras portátiles Lenovo: su dispositivo puede tener malware preinstaladoEl fabricante chino de computadoras Lenovo ha admitido que las computadoras portátiles enviadas a tiendas y consumidores a fines de 2014 tenían malware preinstalado. Lee mas para inyectar anuncios en páginas web encriptadas.

No se detuvo ahí. De hecho, 2015 fue el año de la inseguridad de Smart Home, con muchos dispositivos identificados con una vulnerabilidad de seguridad obscenamente obvia.

Mi favorito fue el iKettle ¿Por qué el Hack iKettle debería preocuparte (incluso si no tienes uno)El iKettle es un hervidor habilitado para WiFi que aparentemente venía con una falla de seguridad enorme y enorme que tenía el potencial de reventar redes WiFi completas. Lee mas (lo adivinó: un hervidor habilitado para Wi-Fi), que podría ser convencido por un atacante para revelar los detalles de Wi-Fi (en texto plano, nada menos) de su red doméstica.

ikettle-main

Para que el ataque funcionara, primero tenía que crear una red inalámbrica falsificada que compartiera el mismo SSID (el nombre de la red) que la que tiene el iKettle conectado. Luego, conectándose a través de la utilidad Telnet de UNIX y atravesando algunos menús, puede ver el nombre de usuario y la contraseña de la red.

Luego hubo Refrigerador inteligente con conexión Wi-Fi de Samsung El Smart Fridge de Samsung acaba de comenzar. ¿Qué tal el resto de su casa inteligente?Una vulnerabilidad con el refrigerador inteligente de Samsung fue descubierta por la firma de información del Reino Unido Pen Test Parters. La implementación de encriptación SSL de Samsung no verifica la validez de los certificados. Lee mas , que no pudo validar los certificados SSL y permitió a los atacantes interceptar potencialmente las credenciales de inicio de sesión de Gmail.

samsung-smartfridge

A medida que la tecnología Smart Home se vuelve cada vez más convencional, y lo hará, puede esperar escuchar más historias de Estos dispositivos vienen con vulnerabilidades críticas de seguridad y son víctimas de algunos hacks de alto perfil.

Los gobiernos aún no lo entienden

Un tema recurrente que hemos visto en los últimos años es cuán completamente ajenos a la mayoría de los gobiernos cuando se trata de asuntos de seguridad.

Algunos de los ejemplos más atroces de analfabetismo infosec se pueden encontrar en el Reino Unido, donde el gobierno ha demostrado reiterada y sistemáticamente que simplemente no lo entiendo.

Una de las peores ideas que se presenta en el parlamento es la idea de que el cifrado utilizado por los servicios de mensajería (como Whatsapp e iMessage) debería estar debilitado, para que los servicios de seguridad puedan interceptarlos y decodificarlos. Como señaló mi colega Justin Pot en Twitter, es como enviar todas las cajas fuertes con un código maestro.

Imagínese si el gobierno dijera que cada caja fuerte debería tener un segundo código estándar, en caso de que los policías lo deseen. Ese es el debate de cifrado en este momento.

- Justin Pot (@jhpot) 9 de diciembre de 2015

Se pone peor. En diciembre de 2015, la Agencia Nacional del Crimen (la respuesta del Reino Unido al FBI) emitió algunos consejos para padres ¿Es su hijo un hacker? Las autoridades británicas piensan esoLa NCA, el FBI de Gran Bretaña, lanzó una campaña para disuadir a los jóvenes del delito informático. Pero su consejo es tan amplio que podrías asumir que cualquiera que lea este artículo es un hacker, incluso tú. Lee mas para que puedan saber cuándo sus hijos están en camino de convertirse en ciberdelincuentes endurecidos.

Estas banderas rojas, según la NCA, incluyen "¿Están interesados ​​en la codificación?" y "¿Son reacios a hablar sobre lo que hacen en línea?".

Mal consejo

Este consejo, obviamente, es basura y fue ampliamente burlado, no solo por MakeUseOf, sino también por otras publicaciones tecnológicas importantesy la comunidad infosec.

los @NCA_UK ¡muestra un interés en la codificación como una señal de advertencia para el delito cibernético! Muy asombroso. https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- David G Smith (@aforethought) 9 de diciembre de 2015

Por lo tanto, el interés en la codificación es ahora una "señal de advertencia de delito cibernético". El NCA es básicamente un departamento de informática escolar de la década de 1990. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10 de diciembre de 2015

Los niños que estaban "interesados ​​en la codificación" crecieron para ser los ingenieros que crearon #Gorjeo, #Facebook y el #NCA sitio web (entre otros)

- AdamJ (@IAmAdamJ) 9 de diciembre de 2015

Pero era indicativo de una tendencia preocupante. Los gobiernos no obtienen seguridad. No saben cómo comunicarse sobre las amenazas de seguridad y no entienden las tecnologías fundamentales que hacen que Internet funcione. Para mí, eso es mucho más preocupante que cualquier hacker o ciber-terrorista.

A veces tu Debería Negociar con terroristas

La mayor historia de seguridad de 2015 fue, sin duda, el truco de Ashley Madison Ashley Madison Fuga ¿No es gran cosa? Piensa otra vezEl discreto sitio de citas en línea Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido pirateado. Sin embargo, este es un problema mucho más grave de lo que se ha presentado en la prensa, con considerables implicaciones para la seguridad del usuario. Lee mas . En caso de que lo hayas olvidado, déjame recapitular.

Lanzado en 2003, Ashley Madison era un sitio de citas con una diferencia. Permitía a las personas casadas conectarse con personas que en realidad no eran sus cónyuges. Su eslogan lo decía todo. "La vida es corta. Tener una aventura."

Pero asqueroso como es, fue un gran éxito. En poco más de diez años, Ashley Madison había acumulado casi 37 millones de cuentas registradas. Aunque no hace falta decir que no todos estaban activos. La gran mayoría estaban inactivos.

A principios de este año, se hizo evidente que no todo estaba bien con Ashley Madison. Un misterioso grupo de piratas informáticos llamado The Impact Team emitió una declaración alegando que habían podido obtener la base de datos del sitio, más un caché considerable de correos electrónicos internos. Amenazaron con liberarlo, a menos que Ashley Madison fuera clausurada, junto con su sitio hermano masculina establecida.

Avid Life Media, quienes son los propietarios y operadores de Ashley Madison y de consolidado Men, emitió un comunicado de prensa que minimizó el ataque. Hicieron hincapié en que estaban trabajando con las fuerzas del orden para localizar a los perpetradores y que "podían proteger nuestros sitios y cerrar los puntos de acceso no autorizados".

Declaración de Avid Life Media Inc.: http://t.co/sSoLWvrLoQ

- Ashley Madison (@ashleymadison) 20 de julio de 2015

El 18th de agosto, Impact Team lanzó la base de datos completa.

Fue una demostración increíble de la rapidez y la naturaleza desproporcionada de la justicia en Internet. No importa cómo te sientas sobre hacer trampa (lo odio personalmente), algo se sintió completamente equivocado al respecto. Las familias fueron destrozadas. Las carreras se arruinaron instantánea y públicamente. Algunos oportunistas incluso enviaron a los suscriptores correos electrónicos de extorsión, por correo electrónico y por correo, ordeñándolos de miles. Algunos pensaron que sus situaciones eran tan desesperadas que tuvieron que quitarse la vida. Estuvo mal. 3 razones por las que el truco de Ashley Madison es un asunto serioInternet parece extasiado con el hack de Ashley Madison, con millones de adúlteros y potenciales Los detalles de los adúlteros pirateados y publicados en línea, con artículos que muestran a individuos encontrados en los datos tugurio. Hilarante, ¿verdad? No tan rapido. Lee mas

El truco también destacó el funcionamiento interno de Ashley Madison.

Descubrieron que de las 1.5 millones de mujeres que estaban registradas en el sitio, solo alrededor de 10,000 eran seres humanos genuinos reales. El resto eran robots y cuentas falsas creadas por el personal de Ashley Madison. Fue una cruel ironía que la mayoría de las personas que se inscribieron probablemente nunca conocieron a nadie a través de él. Era, para usar una frase ligeramente coloquial, un "festival de salchichas".

La parte más vergonzosa de tu nombre que se filtró del hack de Ashley Madison es que coqueteaste con un bot. por dinero.

- verbal spacey (@VerbalSpacey) 29 de agosto de 2015

No se detuvo ahí. Por $ 17, los usuarios podrían eliminar su información del sitio. Sus perfiles públicos se borrarían y sus cuentas se eliminarían de la base de datos. Esto fue utilizado por personas que se inscribieron y luego lo lamentaron.

Pero la filtración mostró que Ashley Maddison no Realmente eliminar las cuentas de la base de datos. En cambio, simplemente estaban ocultos de la Internet pública. Cuando se filtró su base de datos de usuarios, también lo fueron estas cuentas.

BoingBoing days Ashley Madison dump incluye información de personas que pagaron AM para eliminar sus cuentas.

- Denise Balkissoon (@balkissoon) 19 agosto 2015

Quizás la lección que podemos aprender de la saga Ashley Madison es que a veces vale la pena aceptar las demandas de los hackers.

Seamos honestos. Avid Life Media sabía lo que había en sus servidores. Sabían lo que habría pasado si se hubiera filtrado. Deberían haber hecho todo lo posible para evitar que se filtre. Si eso significaba cerrar un par de propiedades en línea, que así sea.

Seamos francos. La gente murió porque Avid Life Media tomó una posición. ¿Y para qué?

A menor escala, se puede argumentar que a menudo es mejor satisfacer las demandas de los piratas informáticos y los creadores de malware. El ransomware es un gran ejemplo de esto No caiga mal de los estafadores: una guía para ransomware y otras amenazas Lee mas . Cuando alguien está infectado y sus archivos están encriptados, se les pide a las víctimas un "rescate" para descifrarlos. Esto generalmente está en los límites de $ 200 más o menos. Cuando se paga, estos archivos generalmente se devuelven. Para que el modelo de negocio de ransomware funcione, las víctimas tienen que esperar que puedan recuperar sus archivos.

Creo que en el futuro, muchas de las compañías que se encuentran en la posición de Avid Life Media se preguntarán si una postura desafiante es la mejor para tomar.

Otras lecciones

2015 fue un año extraño. Tampoco estoy hablando solo de Ashley Madison.

los VTech Hack VTech es hackeado, Apple odia las tomas de auriculares... [Resumen de noticias tecnológicas]Los hackers exponen a los usuarios de VTech, Apple considera quitar el conector de los auriculares, las luces de Navidad pueden ralentizar su Wi-Fi, Snapchat se mete en la cama con (ROJO) y recuerda The Star Wars Holiday Special. Lee mas fue un cambio de juego. Este fabricante de juguetes para niños con sede en Hong Kong ofreció una tableta cerrada, con una tienda de aplicaciones para niños y la capacidad de los padres de controlarla de forma remota. A principios de este año, fue pirateado, con más de 700,000 perfiles de niños filtrados. Esto demostró que la edad no es una barrera para ser víctima de una violación de datos.

También fue un año interesante para la seguridad del sistema operativo. Si bien se plantearon preguntas sobre el seguridad general de GNU / Linux ¿Linux ha sido víctima de su propio éxito?¿Por qué el director de la Fundación Linux, Jim Zemlin, dijo recientemente que la "era dorada de Linux" podría llegar a su fin pronto? ¿Ha fallado la misión de "promover, proteger y avanzar Linux"? Lee mas , Windows 10 hizo grandes promesas de siendo el Windows más seguro 7 maneras en que Windows 10 es más seguro que Windows XPIncluso si no te gusta Windows 10, ya deberías haber migrado de Windows XP. Le mostramos cómo el sistema operativo de 13 años ahora está plagado de problemas de seguridad. Lee mas . Este año, nos vimos obligados a cuestionar el dicho de que Windows es inherentemente menos seguro.

Basta decir que 2016 va a ser un año interesante.

¿Qué lecciones de seguridad aprendiste en 2015? ¿Tienes alguna lección de seguridad para agregar? Déjalos en los comentarios a continuación.

Matthew Hughes es un desarrollador y escritor de software de Liverpool, Inglaterra. Raramente se lo encuentra sin una taza de café negro fuerte en la mano y adora absolutamente su Macbook Pro y su cámara. Puedes leer su blog en http://www.matthewhughes.co.uk y síguelo en twitter en @matthewhughes.