2012S verste sikkerhetsutnyttelser, feiler og blunders

En dum og hans svake p @ $$ wrd er snart rotfestet, men hvis 2012 har bevist noe, er det at selv de mest forsiktige sikkerhetsinnstillede sjelene må doble ned på deres beskyttende praksis, og tenk på de beste måtene å redusere skade hvis det verste skjer i vår stadig større skyforbundne verden.

En solid sikkerhetsverktøyskasse bør selvfølgelig danne hjerte i forsvaret ditt selvfølgelig, men du trenger også å vurdere din grunnleggende oppførsel. Et lekket LinkedIn-passord gjør for eksempel lite skade hvis den aktuelle alfanumeriske kombinasjonen bare åpner døren til den aktuelle kontoen, i stedet for alle sosiale medier-kontoer du bruker. Tofaktorautentisering kan stoppe brudd før det skjer. Og passordene dine suger?

Jeg prøver ikke å skremme deg. Snarere er jeg interessert i å åpne øynene dine for de typer forholdsregler som er nødvendige i den digitale tidsalderen, som det fremgår av de største sikkerhetsutnyttelsene, blunders, og feiler i 2012. 'Twas et bannerår for de onde.

Honans katastrofe ble forstørret av hans mangel på fysiske sikkerhetskopier.

Den høyeste profilen hack av 2012 innebar ikke millioner av brukere eller en lavine av pilfered betalingsinformasjon. Nei, sikkerhetshøydepunktet - eller er det lowlight? -I 2012 var det episke hackingen av en enkelt mann: Wired forfatter Mat Honan.

I løpet av en time fikk hackere tilgang til Honans Amazon-konto, slettet hans Google konto, og fjernet fjernet sin trio av Apple-enheter, som kulminerte i hackerne til slutt å oppnå sitt mål: å ta kontroll over Honans Twitter-håndtak. Hvorfor hele ødeleggelsen? Fordi @mat Twitter-håndtakets tre-bokstavsstatus tilsynelatende gjør det til en høyt ettertraktet premie. (The malcontents postet flere rasistiske og homofobiske tweets før kontoen ble midlertidig suspendert.)

Ødeleggelsen ble alle gjort mulig av sikkerhetsfritfus på Honans kritiske kontoer for sluttbrukerkjøring, mangel på tofaktorautentiseringsaktivering ved bruk av samme grunnleggende navngivningssystem på tvers av flere e-postkontoer og motstridende kontosikkerhetsprotokoller i Amazon og Apple, som hackerne benyttet seg av med hjelp av noen gode oljede sosiale ingeniører.

Den skummeste delen? De fleste bruker sannsynligvis samme grunnleggende (les: lax) sikkerhetspraksis som Honan gjorde. Heldigvis har PCWorld allerede forklart hvordan du kobler de største digitale sikkerhetshullene.

The Flame-viruset

The Flame-viruset tar sitt navn fra sin kode.

Spor så langt tilbake som 2010, men bare oppdaget i mai 2012, Flame-viruset har en slående likhet med det statsstøttede Stuxnet-viruset, med en kompleks kodebase og en primær bruk som spionasjeverktøy i Midtøsten-land som Egypt, Syria, Libanon, Sudan og (oftest) Iran.

Når Flame senket krokene inn i et system, installerte det moduler som blant annet kunne ta opp Skype-samtaler eller lyd av alt som skjer i nærheten av datamaskinen, snag skjermbilder, snoop på nettverksforbindelser og holde logger over alle tastetrykk og alle data inngikk innsatsbokser. Det er ille, med andre ord - og Flame lastet opp all informasjonen den samlet inn for å styre og kontrollere servere. Kort tid etter at Kaspersky-forskerne sanket ut Flams eksistens, aktiverte virusets skapere en kill-kommando for å tørke programvaren fra infiserte datamaskiner.

Den $ 50 homebrew-verktøyet som låser hotelldørene

På Black Hat Security-konferansen i juli studerte forsker Cody Brocious avdekket en enhet kunne semi-pålitelig åpne elektroniske dørlåser laget av Onity. Onity låser finnes på 4 millioner dører i tusenvis av hoteller over hele verden, inkludert høyprofilerte kjeder som Hyatt, Marriott og IHG (som eier både Holiday Inn og Crowne Plaza). Basert rundt en Arduino microcontroller og samlet for mindre enn $ 50, kan verktøyet bygges av noen skurk med lommeskift og noen kodende ferdigheter, og det er minst en rapport av et lignende verktøy som brukes til å bryte inn hotellrom i Texas.

ArduinoArduino: Hakkens åpne kjernehjerte.

Skremmende ting, for å være sikker. Kanskje mer bekymringsfull var Onitys svar på situasjonen, som i utgangspunktet var "Plug over porten og skift skruene."

Selskapet utviklet til slutt en faktisk løsning for sikkerhetsproblemet, men det innebærer å bytte ut kretsplater av berørt Låser og Onity nekter å koste kostnadene for å gjøre det. En desember ArsTechnica-rapport antyder at selskapet kan være mer villig til å subsidiere utskiftingskort i kølvandet på Texas-forbrytelsen, selv om Onity bare hadde levert totalt 1,4 millioner løsninger til låsene den 30. november. "- inkludert de plastpluggene - til hoteller globalt. Sårbarheten er med andre ord fortsatt svært utbredt. Epic fail.

Død med tusen kutt ^{Året så ikke en massiv databasebrudd i årene av PlayStation Network-nedtaket, men en serie mindre penetrasjoner kom raskt og rasende gjennom våren og sommeren. Mens utgivelsen av 6,5 millioner hashed LinkedIn-passord kan ha vært den mest bemerkelsesverdige hacken, ble den oppdratt av å legge ut mer enn 1,5 millioner hashed eHarmony-passord, 450.000 Yahoo Voice-påloggingsopplysninger, et uspesifisert antall Last.fm-passord og den fulle login og profilinformasjon av hundrevis av Nvidia forum brukere. Jeg kunne fortsette, men du får poenget.} Hva er takeaway? Du kan ikke stole på et nettsted for å holde passordet ditt trygt, så du bør bruke forskjellige passord for forskjellige nettsteder for å minimere potensiell skade hvis hackere klarer å kaste ut påloggingsinformasjonen din for en bestemt konto. Se gjennom vår guide til å bygge et bedre passord hvis du trenger noen poeng.

Dropbox faller sin vakt

DropboxDropboxs loggbok "åpen boks" viste seg altfor sant for folk som brukte på nytt passord i 2012.

Tilbake i juli, Noen Dropbox-brukere begynte å merke seg at de mottok en stor mengde spam i innbokser. Etter noen innledende fornektelser etterfulgt av noe dypere graving, fant Dropbox at hackere hadde kompromittert en ansattes konto og fikk tilgang til et dokument som inneholder brukerens e-postadresser. Oops! Skaden var liten, men egget i ansiktet var stort.

Samtidig hadde et svært lite antall brukere deres Dropbox-kontoer aktivt brutt inn av eksterne kilder. Undersøkelser viste at hackerne fikk tilgang til regnskapene fordi ofrene reuserte samme brukernavn / passordkombinasjon på flere nettsteder. Når innloggingsinformasjonen ble lekket i brudd på en annen tjeneste, hadde hackerne alt de trengte for å låse opp Dropbox-kontoene.

Dropboxs elendigheter markerer igjen - behovet for å bruke separate passord for ulike tjenester, samt at Du kan ikke stole på skyen helt ennå. Du kan ta skyvesikkerhet i egne hender ved hjelp av et tredjeparts krypteringsverktøy.

Millioner av South Carolina SSNs pilfered

Når det gjelder kryptering, ville det være fint om regjeringen fulgte grunnleggende sikkerhetsansvarlige.

Etter en massiv oktober-datatbrudd resulterte i at hacker oppnådde personnummeret til en hel del 3,6 millioner South Carolina-borgere - i en stat med bare 4,6 millioner innbyggere! - Statlige tjenestemenn prøvde å sette skylden på føttene til IRS. IRS ikke

spesifikt

krever stater for å kryptere SSNene i skattefiler, ser du. Så South Carolina gjorde det ikke, selv om det planlegger å starte nå, etterpå er 20/20 og alt.

På den ganske positive siden ble også debet- og kredittkortopplysninger om 387.000 South Carolina-borgere swiped i digital heist og mest av disse var kryptert, men det er sannsynligvis lite trøst for de 16.000 menneskene hvis kortdetaljer ble stjålet i vanlig tekst.

Skypes massive sikkerhetsfeil Lax-kontoopprettingsprosedyrer truet Skype-brukere i November. I november mistet Skype-brukere midlertidig muligheten til å be om tilbakestilling av passord for kontoen sin etter at forskerne hadde identifisert en utnyttelse som tillot at noen fikk tilgang til en Skype-konto så lenge personen visste e-postadressen som var knyttet til kontoen. Ikke kontopassordet, ikke sikkerhetsspørsmålene, bare den enkle e-postadressen alene.

Skype plugget raskt hullet da det kom i offentligheten, men skaden hadde allerede blitt gjort. Sårbarheten svingte rundt på russiske fora og ble aktivt brukt i naturen før den ble slått av.

Hackere stjeler 1,5 millioner kredittkortnumre

I april klarte hackere å "eksportere" et stort antall 1,5 millioner kredittkortnumre fra databasen med Global Payments, en betalingsbehandlingstjeneste som brukes av offentlige etater, finansinstitusjoner, og blant annet rundt 1 million globale butikkfronter, blant annet.

Heldigvis var bruddet ganske begrenset. Global Payments var i stand til å identifisere kortnummerene som ble berørt av hacken, og dataene som ble stjålet, inneholdt bare de faktiske kortnumrene og utløpsdatoer,

ikke

noen kortholdernavn eller personlig identifiserbar informasjon. Treffene fortsatte å komme, skjønt. I juni annonserte globale utbetalinger at hackere kan ha stjålet personlige opplysninger fra personer som søkte om en selgerkonto hos selskapet.

Microsoft Security Essentials mislykkes AV-test sertifisering Vel, er dette ikke pinlig. AV-Test er et uavhengig informasjonssikkerhetsinstitutt som regelmessig rundser opp alle de beste antimalware-produktene som er der ute, kaster en hel masse nasties på nevnte produkter, og ser hvordan de forskjellige løsningene holder seg under forkledningsbarrieren. Organisasjonen gjorde nettopp det med 24 forskjellige konsumentfokuserte sikkerhetsløsninger i slutten av november, og bare en av disse løsningene klarte ikke å oppfylle AV-Tests sertifiseringsstandard: Microsoft Security Essentials for Windows 7. Den ene uten sertifiseringslogo ? Det er MSE.

MSE gjorde faktisk en anstendig jobb som tok hånd om kjente virus i testen, men sikkerhetsprogrammet ga forferdelig lite, vel,

sikkerhet

i lys av nulldagseffekter. Den 64 beskyttelsesscore mot nulldagsangrepene er en full 25 poeng lavere enn bransjens gjennomsnitt.

Blunderen som ikke var: Norton kildekoden utgitt Det lyder skummelt på overflaten: Grupper av rogue hackere klarte å klare seg for å få kildekoden til en av Symantecs populære Norton-sikkerhetsverktøy, dumpet koden på Pirate Bay for verden å dissekere. Åh nei! Nå kan ingenting hindre at de slemme gutta går forbi de forsvarene som kommer forhåndsinstallert på gajillions (omtrent) av boksesystemer som er solgt over hele verden - riktig? Feil. Kildekoden tilhørte Norton Utilities-produkter som ble utgitt i 2006, og du ser, og Symantecs nåværende produkter har siden blitt gjenoppbygget fra grunnen, uten felles kode delt mellom de to. Med andre ord, utgivelsen av kildekode fra 2006 utgjør ikke noen risiko for dagens Norton-abonnenter, i hvert fall hvis du har oppdatert antivirusprogrammet i løpet av det siste halv tiåret.