I peggiori exploit di sicurezza del 2012, fallimenti e errori

Un pazzo e il suo debole p @ $$ w0rd sono presto radicati, ma se il 2012 ha provato qualcosa, è anche che le anime più caute della sicurezza devono raddoppiare sulle loro pratiche di protezione e pensa ai modi migliori per mitigare i danni se il peggio accade nel nostro mondo sempre più connesso al cloud.

Un solido strumento di sicurezza dovrebbe costituire il cuore della tua difesa, ovviamente, ma avrai anche bisogno considerare il tuo comportamento di base. Ad esempio, una password di LinkedIn trapelata non danneggia molto se quella particolare combinazione alfanumerica apre solo le porte a quel particolare account, piuttosto che ogni account di social media che usi. L'autenticazione a due fattori può interrompere una violazione prima che accada. E fai succhiare le tue password?

Non sto cercando di spaventarti. Piuttosto, sono interessato ad aprire gli occhi ai tipi di precauzioni che sono necessarie nell'era digitale, come dimostrano i più grandi exploit di sicurezza, errori e fallimenti del 2012. "È stato un anno di insegne per i cattivi.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Attacco Hack Honan

Il disastro di Honan è stato amplificato dalla mancanza di backup fisici.

L'attacco più alto del 2012 non ha coinvolto milioni di utenti o una valanga di informazioni di pagamento rubacchiate. No, il punto saliente della sicurezza - o è il punto debole? - del 2012 è stato l'epico hacking di un singolo uomo: lo scrittore Wired Mat Honan.

Nel corso di un'ora sola, gli hacker hanno avuto accesso all'account Amazon di Honan, cancellato il suo Google account e cancellato da remoto il suo trio di dispositivi Apple, culminando con gli hacker che alla fine hanno raggiunto il loro obiettivo finale: prendere il controllo del manico di Twitter di Honan. Perché tutta la distruzione? A quanto pare lo status di tre lettere di @mat Twitter handle lo rende un premio molto ambito. (I malcontenti hanno postato diversi tweet razzisti e omofobici prima che l'account fosse temporaneamente sospeso.)

La devastazione è stata resa possibile dagli attacchi di sicurezza sui conti critici di Honan, che non hanno attivato l'autenticazione a due fattori, utilizzando il lo stesso schema di denominazione di base su diversi account e-mail e protocolli di sicurezza degli account in conflitto su Amazon e Apple, che gli hacker hanno sfruttato con l'aiuto di un buon vecchio stile di ingegneria sociale.

La parte più spaventosa? La maggior parte delle persone utilizza probabilmente le stesse pratiche di sicurezza di base (leggi: lax) Honan. Fortunatamente, PCWorld ha già spiegato come collegare i più grandi buchi di sicurezza digitale.

Il virus Flame

Il virus Flame prende il nome dal suo codice.

Tracciato fino al 2010 ma scoperto solo a maggio 2012, il virus Flame ha una sorprendente somiglianza con il virus Stuxnet sponsorizzato dal governo, con una complessa base di codici e un uso primario come strumento di spionaggio nei paesi del Medio Oriente come Egitto, Siria, Libano, Sudan e (più frequentemente) Iran.

Una volta che Flame affondò i suoi ganci in un sistema, installò moduli che potevano, tra le altre cose, registrare conversazioni Skype o audio di qualsiasi cosa accadesse vicino al computer, catturare schermate, curiosare su connessioni di rete e tenere registri di tutti i tasti e di tutti i dati inserito in caselle di input. In altre parole è brutto, e Flame ha caricato tutte le informazioni raccolte per comandare e controllare i server. Poco dopo i ricercatori di Kaspersky scoprirono l'esistenza di Flame, i creatori del virus attivarono un comando kill per cancellare il software dai computer infetti.

Lo strumento homebrew da $ 50 che sblocca le porte dell'hotel

Alla conferenza Black Hat Security di luglio, il ricercatore Cody Brocious ha svelato che un dispositivo può aprire in modo semi-affidabile le serrature elettroniche realizzate da Onity. Le serrature Onity si trovano su 4 milioni di porte in migliaia di hotel in tutto il mondo, comprese catene di alto profilo come Hyatt, Marriott e IHG (che possiede sia Holiday Inn che Crowne Plaza). Basato su un microcontrollore Arduino e assemblato per meno di $ 50, lo strumento può essere costruito da qualsiasi truffatore con cambio di tasca e alcune capacità di codifica, e c'è almeno un rapporto di uno strumento simile utilizzato per irrompere nelle camere d'albergo in Texas.

ArduinoArduino: il cuore open source dell'hack.

Roba spaventosa, certo. Forse più preoccupante è stata la risposta di Onity alla situazione, che era sostanzialmente "Metti una spina sulla porta e cambia le viti".

La società alla fine ha sviluppato una soluzione reale per la vulnerabilità, ma comporta lo scambio delle schede dei circuiti interessati serrature - e Onity si rifiuta di pagare i costi per farlo. Un rapporto di ArsTechnica di dicembre suggerisce che la compagnia potrebbe essere più disponibile a sovvenzionare commissioni di sostituzione in seguito alla criminalità del Texas, anche se al 30 novembre , Onity aveva fornito solo 1,4 milioni di "soluzioni per serrature" "-includendo quei tappi di plastica-agli hotel di tutto il mondo. In altre parole, la vulnerabilità è ancora molto diffusa. Fallimento epico

Morte da mille tagli

L'anno non ha visto una massiccia violazione del database nel filone del PlayStation Network del 2011, ma una serie di piccole penetrazioni è arrivata veloce e furiosa durante la primavera e l'estate. Sebbene il rilascio di 6,5 milioni di hash password di LinkedIn potrebbe essere stato l'hack più notevole, è stato sostenuto dalla pubblicazione di oltre 1,5 milioni di password eHarmony hash, 450.000 credenziali di accesso di Yahoo Voice, un numero imprecisato di password Last.fm e il pieno login e informazioni sul profilo di centinaia di utenti del forum Nvidia. Potrei andare avanti, ma hai capito il punto.

Qual è il cibo da asporto? Non è possibile fidarsi di un sito Web per mantenere la propria password sicura, quindi è necessario utilizzare password diverse per siti diversi per ridurre al minimo il potenziale danno se gli hacker riescono a eliminare le credenziali di accesso per un determinato account. Consulta la nostra guida sulla creazione di una password migliore se hai bisogno di alcuni suggerimenti.

Dropbox abbassa la guardia

Il logo "open box" di DropboxDropbox è risultato assolutamente valido per le persone che hanno riutilizzato le password nel 2012.

Indietro a luglio, alcuni utenti di Dropbox hanno iniziato a notare che stavano ricevendo una grande quantità di spam nelle loro caselle di posta. Dopo alcuni smentiti iniziali seguiti da alcuni scavi più approfonditi, Dropbox ha scoperto che gli hacker avevano compromesso l'account di un dipendente e ottenuto l'accesso a un documento contenente gli indirizzi email degli utenti. Oops! Il danno era minore, ma l'uovo in faccia era maggiore.

Allo stesso tempo, un numero molto esiguo di utenti aveva i propri account Dropbox attivamente suddivisi da fonti esterne. Le indagini hanno rivelato che gli hacker hanno avuto accesso agli account perché le vittime stavano riutilizzando la stessa combinazione nome utente / password su diversi siti web. Quando le credenziali di accesso sono trapelate in una violazione a un altro servizio, gli hacker avevano tutto ciò che serviva per sbloccare gli account Dropbox.

I problemi di Dropbox evidenziano ancora una volta la necessità di utilizzare password separate per servizi diversi, oltre al fatto che non puoi ancora fidarti completamente del cloud. Puoi prendere la sicurezza del cloud nelle tue mani con l'aiuto di uno strumento di crittografia di terze parti.

Milioni di SSN della Carolina del Sud rubati

Parlando di crittografia, sarebbe bello se il governo seguisse i principi di base della sicurezza. > Dopo una massiccia violazione dei dati di ottobre, un hacker ha ottenuto i numeri di previdenza sociale di ben 3,6 milioni di cittadini della Carolina del Sud - in uno Stato con appena 4,6 milioni di residenti - i funzionari statali hanno provato a dare la colpa ai piedi dell'IRS. L'IRS non

specificamente richiede agli stati di crittografare i SSN nelle registrazioni fiscali, vedi. Quindi South Carolina non lo fece, anche se ora ha in programma di iniziare, con il senno di poi 20/20 e tutti. Sul lato positivo, i dettagli della carta di debito e di credito di 387.000 cittadini della Carolina del Sud sono stati spazzati via dal colpo digitale e

la maggior parte dei di quelli sono stati crittografati, anche se questo è probabilmente un piccolo conforto per le 16.000 persone i cui dettagli delle carte sono stati rubati in forma di testo semplice. L'enorme errore di sicurezza di Skype

Le procedure di recupero dell'account Lax hanno minacciato gli utenti Skype Novembre.

A novembre, gli utenti Skype hanno perso temporaneamente la possibilità di richiedere una reimpostazione della password per il proprio account dopo che i ricercatori hanno identificato un exploit che consentiva a chiunque di accedere a un account Skype purché la persona conoscesse l'indirizzo email associato all'account. Non la password dell'account, non le domande di sicurezza, solo il semplice indirizzo email.

Skype ha rapidamente colmato il buco quando ha catturato l'attenzione del pubblico, ma il danno era già stato fatto. La vulnerabilità era diffusa nei forum russi e veniva utilizzata attivamente prima che venisse chiusa.

Gli hacker rubano 1,5 milioni di numeri di carta di credito

In aprile, gli hacker sono riusciti a "esportare" ben 1,5 milioni di numeri di carte di credito dal database di Global Payments, un servizio di elaborazione dei pagamenti utilizzato da agenzie governative, istituzioni finanziarie e circa 1 milione di vetrine globali, tra gli altri.

Fortunatamente, la violazione è stata abbastanza contenuta. Global Payments è stato in grado di identificare i numeri delle carte interessate dall'hack e i dati rubati contenevano solo i numeri effettivi delle carte e le date di scadenza, non i nomi di titolari di carte di credito o le informazioni personali identificabili. I colpi continuavano ad arrivare, comunque. A giugno, Global Payments ha annunciato che gli hacker potrebbero aver rubato le informazioni personali delle persone che hanno fatto domanda per un account commerciante con la società. Microsoft Security Essentials non ha la certificazione AV-Test

Beh, non è imbarazzante. AV-Test è un istituto indipendente per la sicurezza delle informazioni che raccoglie periodicamente tutti i migliori prodotti antimalware che sono là fuori, lancia un sacco di fastidi a questi prodotti e vede come le varie soluzioni reggono sotto la raffica di fuoco. L'organizzazione ha fatto proprio questo con 24 diverse soluzioni di sicurezza focalizzate sul consumatore alla fine di novembre, e solo una di queste soluzioni non è riuscita a soddisfare lo standard di certificazione di AV-Test: Microsoft Security Essentials per Windows 7.

Quello senza logo di certificazione ? È MSE.

MSE ha effettivamente svolto un lavoro decente affrontando virus noti nel test, ma il programma di sicurezza ha fornito in modo spaventosamente piccolo, beh,

sicurezza di fronte a exploit zero-day. Il suo punteggio di protezione 64 contro gli attacchi zero-day è di ben 25 punti inferiore alla media del settore. Lo svarione che non era: codice sorgente Norton rilasciato

Sembra spaventoso in superficie: gruppi di hacker canaglia gestiti per ottenere il codice sorgente per una delle famose utilità di sicurezza Norton di Symantec, quindi scaricato il codice su Pirate Bay per il mondo da analizzare. Oh, no! Ora, nulla può impedire ai cattivi di eseguire, volenti o nolenti, le difese che vengono preinstallate su gajillions (approssimativamente) di sistemi in scatola venduti in tutto il mondo, giusto?

Sbagliato. Il codice sorgente apparteneva ai prodotti Norton Utilities rilasciati nel 2006, si vede, e gli attuali prodotti Symantec sono stati ricostruiti da zero, senza alcun codice comune condiviso tra i due. In altre parole, il rilascio del codice sorgente del 2006 non pone alcun rischio per gli abbonati Norton dei giorni nostri, almeno se hai aggiornato il tuo antivirus nell'ultima decade.