A medida que nos acercamos al precipicio de 2016, tomémonos un minuto para reflexionar sobre las lecciones de seguridad que aprendimos en 2015. De Ashley Madison Ashley Madison Leak No Big Deal? Piense de nuevo Ashley Madison Leak No Big Deal? Piensa otra vez El sitio discreto de citas en línea Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido pirateado. Sin embargo, este es un problema mucho más serio que el que se ha presentado en la prensa, con implicaciones considerables para la seguridad del usuario. Leer más, para teteras pirateadas 7 Razones por las que el Internet de las cosas debería asustarle 7 razones por las cuales el Internet de las cosas debería asustarlo Los beneficios potenciales del Internet de las cosas se vuelven brillantes, mientras que los peligros se arrojan a las sombras silenciosas. Es hora de llamar la atención sobre estos peligros con siete aterradoras promesas del IoT. Lea más, y consejos de seguridad dudosos del gobierno, hay mucho de qué hablar.
Las casas inteligentes siguen siendo una pesadilla de seguridad
En 2015, hubo una avalancha de personas que actualizaron sus artículos análogos para el hogar con alternativas computarizadas conectadas a Internet. La tecnología Smart Home realmente despegó este año de una manera que parece que continuará en el Año Nuevo. Pero al mismo tiempo, también fue martillado en casa (lo siento) que algunos de estos dispositivos no son tan seguros.
La mayor historia de seguridad de Smart Home fue tal vez el descubrimiento de que algunos dispositivos se enviaban con certificados de cifrado duplicados (y, a menudo, codificados) y claves privadas. Tampoco fueron solo productos de Internet of Things. Se ha descubierto que los enrutadores emitidos por los principales proveedores de servicios de Internet han cometido los pecados más importantes de seguridad.
Entonces, ¿por qué es un problema?
Esencialmente, esto hace que sea trivial para un atacante espiar estos dispositivos a través de un ataque de 'hombre en el medio'. ¿Qué es un ataque de hombre en el medio? Jerga de Seguridad Explicada ¿Qué es un ataque Man-in-the-Middle? Explicación de jerga de seguridad Si ha oído hablar de ataques de "hombre en el medio" pero no está seguro de lo que eso significa, este es el artículo para usted. Lea más, interceptando el tráfico mientras permanece al mismo tiempo sin ser detectado por la víctima. Esto es preocupante, dado que la tecnología Smart Home se usa cada vez más en contextos increíblemente sensibles, como la seguridad personal, la seguridad doméstica Nest Protect Review y Giveaway Nest Protect Review y Giveaway Read More, y en el cuidado de la salud.
Si esto suena familiar, es porque varios fabricantes importantes de computadoras han sido atrapados haciendo algo muy similar. En noviembre de 2015, se descubrió que Dell enviaba computadoras con un certificado raíz idéntico llamado eDellRoot Las últimas computadoras portátiles de Dell están infectadas con eDellRoot Las últimas computadoras portátiles de Dell están infectadas con eDellRoot Dell, el tercer fabricante de computadoras más grande del mundo, ha descubierto certificados de raíz rogue en todos los nuevos computadoras, al igual que Lenovo hizo con Superfish. A continuación, le mostramos cómo hacer que su nueva PC Dell sea segura. Leer más, mientras que a fines de 2014 Lenovo comenzó a romper intencionalmente conexiones SSL Propietarios de computadoras portátiles de Lenovo Cuidado: su dispositivo puede tener malware preinstalado Propietarios de computadoras Lenovo Tenga cuidado: su dispositivo puede tener malware preinstalado El fabricante chino de computadoras Lenovo admitió que las computadoras portátiles se enviaron a tiendas y consumidores a finales de 2014 tenía el malware preinstalado. Lea más para insertar anuncios en páginas web encriptadas.
No se detuvo allí. 2015 fue, de hecho, el año de la inseguridad de Smart Home, con muchos dispositivos identificados con una vulnerabilidad de seguridad obscenamente obvia.
Mi favorito era el iKettle ¿Por qué el Hack de iKettle debería preocuparte? (Incluso si no tienes uno) ¿Por qué el Hack de iKettle debería preocuparte? (Incluso si no tienes uno) El iKettle es un hervidor con WiFi que aparentemente vino con una falla de seguridad enorme y enorme que tenía el potencial de explotar redes WiFi enteras. Lea más (lo habrá adivinado: un hervidor con Wi-Fi habilitado), que un atacante podría convencerle de que revele los detalles del Wi-Fi (en texto claro, nada menos) de su red doméstica.
Para que el ataque funcione, primero tuvo que crear una red inalámbrica falsificada que comparte el mismo SSID (el nombre de la red) que el que tiene asociado el iKettle. Luego, al conectarse a través de la herramienta de UNIX Telnet, y atravesar algunos menús, puede ver el nombre de usuario y la contraseña de la red.
Luego estaba el Smart Fridge Samsung Smart Wi-Fi de Samsung conectado a Wi-Fi. ¿Qué tal el resto de su casa inteligente? Smart Fridge de Samsung acaba de ser patentado. ¿Qué tal el resto de su casa inteligente? Una vulnerabilidad con el refrigerador inteligente de Samsung fue descubierta por la firma de informática Pen Test Parters, con sede en el Reino Unido. La implementación de Samsung de encriptación SSL no verifica la validez de los certificados. Leer más, que no validó los certificados SSL, y permitió a los atacantes interceptar las credenciales de inicio de sesión de Gmail.
A medida que la tecnología Smart Home se vuelve cada vez más común, y lo hará, usted puede esperar escuchar más historias de estos dispositivos que vienen con vulnerabilidades críticas de seguridad y ser víctimas de algunos hacks de alto perfil.
Los gobiernos aún no lo entienden
Un tema recurrente que hemos visto en los últimos años es cuán completamente ajeno a la mayoría de los gobiernos cuando se trata de cuestiones de seguridad.
Algunos de los ejemplos más atroces de analfabetismo infosec se pueden encontrar en el Reino Unido, donde el gobierno ha demostrado repetida y consistentemente que simplemente no lo entienden .
Una de las peores ideas que se publica en el parlamento es la idea de que la encriptación utilizada por los servicios de mensajería (como Whatsapp e iMessage) debería debilitarse, por lo que los servicios de seguridad pueden interceptarla y decodificarla. Como señaló mi colega Justin Pot en Twitter, eso es como enviar todas las cajas fuertes con un código clave maestro.
Imagínese si el gobierno dijera que cada caja de seguridad debería tener un segundo código estándar, en caso de que los policías lo necesiten. Ese es el debate sobre encriptación en este momento.
- Justin Pot (@jhpot) 9 de diciembre de 2015
Se pone peor. En diciembre de 2015, la Agencia Nacional del Crimen (la respuesta del Reino Unido al FBI) emitió algunos consejos para los padres ¿Es su hijo un pirata informático? Las autoridades británicas ¿Piensan que su hijo es un hacker? Las autoridades británicas piensan que la NCA, el FBI británico, ha lanzado una campaña para disuadir a los jóvenes de los delitos informáticos. Pero su consejo es tan amplio que podría suponer que cualquiera que lea este artículo es un hacker, incluso usted. Lea más para que puedan ver cuándo sus hijos están en el camino de convertirse en cibercriminales endurecidos.
Estas banderas rojas, según la NCA, incluyen "¿están interesados en la codificación?" Y "¿son reacios a hablar sobre lo que hacen en línea?".
Este consejo, obviamente, es basura y fue ampliamente burlado, no solo por MakeUseOf, sino también por otras publicaciones tecnológicas importantes y la comunidad infosec.
El @NCA_UK muestra un interés en la codificación como una señal de advertencia para el delito cibernético. Muy sorprendente. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz
- David G Smith (@aforethought) 9 de diciembre de 2015
Entonces, el interés por la codificación es ahora una "señal de advertencia de delito cibernético". El NCA es básicamente un departamento de informática de la escuela de los 90. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 10 de diciembre de 2015
Los niños que estaban "interesados en la codificación" crecieron para ser los ingenieros que crearon #Twitter, #Facebook y el sitio web #NCA (entre otros)
- AdamJ (@IAmAdamJ) 9 de diciembre de 2015
Pero fue indicativo de una tendencia preocupante. Los gobiernos no tienen seguridad . No saben cómo comunicarse sobre amenazas de seguridad y no entienden las tecnologías fundamentales que hacen que Internet funcione. Para mí, eso es mucho más preocupante que cualquier hacker o ciber-terrorista.
Algunas veces debes negociar con terroristas
La historia de seguridad más grande de 2015 fue, sin duda, el hack Ashley Madison Ashley Leak No Big Deal? Piense de nuevo Ashley Madison Leak No Big Deal? Piensa otra vez El sitio discreto de citas en línea Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido pirateado. Sin embargo, este es un problema mucho más serio que el que se ha presentado en la prensa, con implicaciones considerables para la seguridad del usuario. Lee mas . En caso de que lo hayas olvidado, déjame recapitular.
Lanzado en 2003, Ashley Madison era un sitio de citas con una diferencia. Permitió que las personas casadas se conectaran con personas que en realidad no eran sus cónyuges. Su lema lo decía todo. "La vida es corta. Tener una aventura."
Pero asqueroso como es, fue un éxito desbocado. En poco más de diez años, Ashley Madison había acumulado casi 37 millones de cuentas registradas. Aunque es evidente que no todos estaban activos. La gran mayoría estaba dormida.
A principios de este año, se hizo evidente que todo no estaba bien con Ashley Madison. Un misterioso grupo de piratería llamado The Impact Team emitió un comunicado afirmando que habían podido obtener la base de datos del sitio, además de un considerable caché de correos electrónicos internos. Amenazaron con liberarlo, a menos que Ashley Madison fuera clausurada, junto con su sitio hermano Establecido Hombres.
Avid Life Media, que son los propietarios y operadores de Ashley Madison and Established Men, emitió un comunicado de prensa que restó importancia al ataque. Hicieron hincapié en que estaban trabajando con las fuerzas del orden para rastrear a los perpetradores, y "pudieron proteger nuestros sitios y cerrar los puntos de acceso no autorizados".
Declaración de Avid Life Media Inc .: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison) 20 de julio de 2015
El 18 de agosto, Impact Team publicó la base de datos completa.
Fue una demostración increíble de la rapidez y la naturaleza desproporcionada de la justicia en Internet. No importa cómo te sientas acerca de hacer trampa (lo odio, personalmente), algo se sentía completamente mal al respecto . Las familias fueron destrozadas. Las carreras se arruinaron instantáneamente y públicamente. Algunos oportunistas incluso enviaron correos electrónicos de extorsión a los suscriptores, por correo electrónico y por correo postal, ordeñándolos de miles. Algunos pensaban que su situación era tan desesperada, que tenían que quitarse la vida. Estuvo mal. 3 Razones por las cuales Ashley Madison hack es un asunto serio 3 razones por las cuales el Ashley Madison es un asunto serio Internet parece estar extasiada con el hack de Ashley Madison, con millones de adúlteros y posibles adúlteros que se piratean y lanzan en línea, con artículos de salida individuos encontrados en el vertedero de datos. Hilarante, ¿verdad? No tan rapido. Lee mas
El truco también brilló en el funcionamiento interno de Ashley Madison.
Descubrieron que de las 1.5 millones de mujeres que se registraron en el sitio, solo alrededor de 10, 000 eran verdaderos seres humanos. El resto eran robots y cuentas falsas creadas por el personal de Ashley Madison. Fue una cruel ironía que la mayoría de las personas que se registraron probablemente nunca conocieron a nadie a través de ella. Fue, para usar una frase un tanto coloquial, un "festival de salchichas".
La parte más vergonzosa de tu nombre que se filtró del hack de Ashley Madison es que coqueteaste con un bot. por dinero.
- espacio verbal (@VerbalSpacey) 29 de agosto de 2015
No se detuvo allí. Por $ 17, los usuarios podrían eliminar su información del sitio. Sus perfiles públicos se borrarían y sus cuentas se borrarían de la base de datos. Esto fue utilizado por personas que se registraron y luego lo lamentaron.
Pero la filtración mostró que Ashley Maddison en realidad no eliminó las cuentas de la base de datos. En cambio, simplemente se ocultaron de la Internet pública. Cuando su base de datos de usuarios se filtró, también lo fueron estas cuentas.
Días de BoingBoing El volcado de Ashley Madison incluye información de personas que pagaron AM para borrar sus cuentas.
- Denise Balkissoon (@balkissoon) 19 de agosto de 2015
Quizás la lección que podemos aprender de la saga de Ashley Madison es que a veces vale la pena ceder a las demandas de los piratas informáticos.
Seamos honestos. Avid Life Media sabía qué había en sus servidores . Sabían lo que hubiera pasado si se hubiera filtrado. Deberían haber hecho todo lo posible para evitar que se filtre. Si eso significa cerrar un par de propiedades en línea, que así sea.
Seamos francos. La gente murió porque Avid Life Media tomó una posición. ¿Y para qué?
En una escala más pequeña, se puede argumentar que a menudo es mejor satisfacer las demandas de los piratas informáticos y los creadores de malware. Ransomware es un gran ejemplo de esto. No te caigas en la ruina de los estafadores: una guía para el ransomware y otras amenazas No te caigas mal de los estafadores: una guía para el ransomware y otras amenazas Leer más. Cuando alguien está infectado y sus archivos están encriptados, se les pide a las víctimas un "rescate" para descifrarlos. Esto es generalmente en los límites de $ 200 más o menos. Cuando se paga, estos archivos generalmente se devuelven. Para que funcione el modelo de negocio de ransomware, las víctimas deben tener alguna expectativa de que puedan recuperar sus archivos.
Creo que de ahora en adelante, muchas de las compañías que se encuentran en el puesto de Avid Life Media se preguntan si una postura desafiante es la mejor para tomar.
Otras lecciones
2015 fue un año extraño. No solo estoy hablando de Ashley Madison, tampoco.
El VTech Hack VTech es pirateado, Apple odia los enchufes de los auriculares ... [Tech News Digest] VTech es pirateado, Apple odia los enchufes de los auriculares ... [Tech News Digest] Los hackers exponen a los usuarios de VTech, Apple considera quitar el conector de los auriculares, las luces de Navidad pueden reduzca la velocidad de su Wi-Fi, Snapchat se mete en la cama con (RED), y recuerde The Star Wars Holiday Special. Leer más fue un cambio de juego. Este fabricante de juguetes para niños con sede en Hong Kong ofrece una tableta con llave, una tienda de aplicaciones apta para niños y la posibilidad de que los padres la controlen remotamente. A principios de este año, fue pirateado, con más de 700, 000 perfiles de niños que se filtraron. Esto demostró que la edad no es una barrera para ser víctima de una violación de datos.
También fue un año interesante para la seguridad del sistema operativo. Si bien se plantearon preguntas sobre la seguridad general de GNU / Linux ¿Ha sido Linux una víctima de su propio éxito? ¿Ha sido Linux una víctima de su propio éxito? ¿Por qué el director de la Fundación Linux, Jim Zemlin, dijo recientemente que la "edad de oro de Linux" pronto podría llegar a su fin? ¿Ha fallado la misión de "promover, proteger y avanzar Linux"? Leer más, Windows 10 hizo grandes promesas de ser el Windows más seguro de la historia. 7 Formas Windows 10 es más seguro que Windows XP 7 Formas Windows 10 es más seguro que Windows XP Incluso si no le gusta Windows 10, realmente debería haber migrado de Windows XP por ahora. Le mostramos cómo el sistema operativo de 13 años ahora está plagado de problemas de seguridad. Lee mas . Este año, nos vimos obligados a cuestionar el adagio de que Windows es intrínsecamente menos seguro.
Baste decir que 2016 va a ser un año interesante.
¿Qué lecciones de seguridad aprendiste en 2015? ¿Tiene alguna lección de seguridad para agregar? Déjalos en los comentarios a continuación.