De slechtste beveiligingsuitbraken in 2012, mislukkingen en blunders

Een dwaas en zijn zwakke p @ $$ w0rd zijn snel geworteld, maar als 2012 iets heeft bewezen, dan is het dat zelfs de meest voorzichtige, beveiligingszusten moeten verdubbelen over hun beschermende praktijken en nadenken over de beste manieren om schade te beperken als het ergste gebeurt in onze steeds meer met de cloud verbonden wereld.

Een degelijke beveiligingsbox zou natuurlijk het hart van je verdediging moeten vormen, maar je zult ook behoefte hebben aan om je basisgedrag te overwegen. Bijvoorbeeld, een gelekt LinkedIn-wachtwoord schaadt weinig als die bepaalde alfanumerieke combinatie alleen de deur opent naar dat specifieke account, in plaats van naar elke sociale media-account die je gebruikt. Twee-factor-authenticatie kan een inbreuk stoppen voordat het gebeurt. En zuigen je wachtwoorden?

Ik probeer je niet bang te maken. Integendeel, ik ben geïnteresseerd in het openen van uw ogen voor de soorten voorzorgsmaatregelen die nodig zijn in het digitale tijdperk - zoals blijkt uit de grootste veiligheidsexploitaties, blunders en mislukkingen van 2012. 'Twas een spandoekjaar voor de slechteriken.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Honan hack-aanval

Honan's ramp werd vergroot door zijn gebrek aan fysieke back-ups.

De hoogste profielhack van 2012 had geen miljoenen gebruikers nodig of een lawine van gestolen betalingsinformatie. Nee, het beveiligingsbelang - of is dat het geval? - van 2012 was het epische hacken van een enkele man: bedreven schrijfster Mat Honan.

De verwoesting werd allemaal mogelijk gemaakt door security snafus op Honans end-daisychain-chaining kritische accounts, een gebrek aan authenticatie-activering met twee factoren, met behulp van de hetzelfde basissysteem voor naamgeving voor meerdere e-mailaccounts - en conflicterende beveiligingsprotocollen voor accounts bij Amazon en Apple, waar de hackers gebruik van hebben gemaakt met behulp van een goede ouderwetse social engineering.

Het engste onderdeel? De meeste mensen gebruiken waarschijnlijk dezelfde basis (lees: laks) beveiligingsprocedures die Honan heeft gedaan. Gelukkig heeft PCWorld al uitgelegd hoe de grootste gaten in digitale beveiliging moeten worden aangesloten.

The Flame virus

The Flame-virus ontleent zijn naam aan zijn code.

Getraceerd zo ver terug als in 2010 maar alleen ontdekt in mei 2012, het Flame-virus vertoont een opvallende gelijkenis met het door de overheid gesponsorde Stuxnet-virus, met een complexe codebasis en een primair gebruik als spionagegereedschap in landen in het Midden-Oosten zoals Egypte, Syrië, Libanon, Soedan en (meestal) Iran.

Zodra Flame zijn haken in een systeem liet zakken, installeerde het modules die onder meer Skype-conversaties of audio konden opnemen van alles wat er in de buurt van de computer gebeurde, schermafbeeldingen haperen, snoop op netwerkverbindingen en logboeken bijhouden van alle toetsaanslagen en alle gegevens ingevoerd in invoervakken. Het is smerig, met andere woorden, en Flame heeft alle verzamelde informatie geüpload om servers te beheren en te besturen. Kort nadat Kaspersky-onderzoekers het bestaan ​​van Flame uitsloegen, activeerden de makers van het virus een kill-opdracht om de software van geïnfecteerde computers te wissen.

De homebrew-tool voor het ontgrendelen van hoteldeuren

Op de Black Hat Security-conferentie in juli, onderzoekster Cody Brocious onthulde een apparaat en kon op semi-betrouwbare wijze elektronische deursloten van Onity openen. Onity-sloten zijn te vinden op 4 miljoen deuren in duizenden hotels over de hele wereld, waaronder spraakmakende ketens zoals Hyatt, Marriott en IHG (die zowel Holiday Inn als Crowne Plaza bezitten). Gebaseerd op een Arduino microcontroller en geassembleerd voor minder dan $ 50, kan de tool door elke boef worden gebouwd met pocketverwisseling en enkele codeervaardigheden, en er is ten minste één rapport van een vergelijkbaar hulpmiddel dat wordt gebruikt om in te breken in hotelkamers in Texas.

ArduinoArduino: Het open-sourcehart van de hack. Enge dingen zijn dat zeker. Misschien zorgwekkender was het antwoord van Onity op de situatie, dat in feite was: "Steek een plug over de poort en verander de schroeven".

Uiteindelijk ontwikkelde het bedrijf een daadwerkelijke oplossing voor de kwetsbaarheid, maar het omvat het uitwisselen van printplaten van getroffen sluizen - en Onity weigert om de kosten daarvoor te betalen. Een ArsTechnica-rapport uit december suggereert dat het bedrijf meer bereid zou kunnen zijn vervangingsborden te subsidiëren na de misdaad in Texas, hoewel Onity op 30 november

slechts in totaal 1,4 miljoen "oplossingen voor sloten had geleverd" "inclusief die plastic pluggen" naar hotels wereldwijd. Met andere woorden, de kwetsbaarheid is nog steeds erg wijdverspreid. Epic faalt.

Dood door duizend keer knippen ^{Het jaar zag geen enorme database-inbreuk in de lijn van de PlayStation Network-afname in 2011, maar een reeks kleinere penetraties kwam snel en furieus gedurende de lente en de zomer. Hoewel het vrijgeven van 6,5 miljoen gehashte LinkedIn-wachtwoorden de meest opvallende hack was, werd het gesteund door het plaatsen van meer dan 1,5 miljoen hashed eHarmony-wachtwoorden, 450.000 aanmeldingsreferenties van Yahoo Voice, een onbepaald aantal Last.fm-wachtwoorden en de volledige login- en profielinformatie van honderden Nvidia-forumgebruikers. Ik zou door kunnen gaan, maar je snapt het.} Wat is de afhaalmaaltijd? U kunt een website niet vertrouwen om uw wachtwoord veilig te houden, dus u moet verschillende wachtwoorden gebruiken voor verschillende sites om de potentiële schade te beperken als hackers uw inloggegevens voor een bepaald account weten te puzzelen. Bekijk onze handleiding voor het bouwen van een beter wachtwoord als je een aantal aanwijzingen nodig hebt.

Dropbox laat zijn hoedje vallen

Het "open vak" -logo van DropboxDropbox bleek maar al te waar voor mensen die wachtwoorden in 2012 opnieuw gebruikten.

Terug in juli, Sommige Dropbox-gebruikers merkten dat ze een grote hoeveelheid spam ontvingen in hun inbox. Na enkele eerste weigeringen gevolgd door wat dieper graven, ontdekte Dropbox dat hackers het account van een medewerker hadden aangetast en toegang hadden gekregen tot een document met e-mailadressen van gebruikers. Oops! De schade was klein, maar het eitje in het gezicht was groot. Tegelijkertijd had een zeer klein aantal gebruikers hun Dropbox-accounts actief laten inbellen door externe bronnen. Onderzoek heeft uitgewezen dat de hackers toegang hebben gekregen tot de accounts omdat de slachtoffers dezelfde gebruikersnaam / wachtwoord-combinatie op verschillende websites hebben gebruikt. Toen de inloggegevens werden gelekt in een inbreuk op een andere service, hadden de hackers alles wat ze nodig hadden om de Dropbox-accounts te ontgrendelen.

De problemen van Dropbox benadrukken - nogmaals - de noodzaak om afzonderlijke wachtwoorden voor verschillende services te gebruiken, evenals het feit dat je kunt de cloud nog niet volledig vertrouwen. U kunt de cloudbeveiliging in eigen handen nemen met behulp van een coderingshulpprogramma van derden.

Miljoenen SSN's in South Carolina hebben gestolen

Over versleuteling gesproken, het zou fijn zijn als de overheid de basisbeveiligingsprincipals zou volgen.

Na een massale datalek van oktober resulteerde een hacker in het verkrijgen van de sociale zekerheidsaantallen van maar liefst 3,6 miljoen inwoners van South Carolina - in een staat met slechts 4,6 miljoen inwoners! - ambtenaren van de staat probeerde de schuld aan de voeten van de IRS te leggen. De IRS vereist niet

specifiek

toestanden om de SSN's in belastingaangiften te versleutelen, ziet u. Dus South Carolina deed het niet - hoewel het van plan is om nu te beginnen, achteraf gezien 20/20 en zo.

Aan de positieve kant werden ook de debet- en creditcardgegevens van 387.000 inwoners van South Carolina in de digitale overval vernield en

de meeste daarvan waren versleuteld, maar dat is waarschijnlijk weinig troost voor de 16.000 mensen van wie de kaartgegevens in gewone tekst zijn gestolen. Skype's enorme beveiligingsfout

Lax-accountherstelprocedures bedreigden Skype-gebruikers in November. In november verloren Skype-gebruikers tijdelijk de mogelijkheid om een ​​wachtwoordreset voor hun account aan te vragen nadat onderzoekers een exploit hadden geïdentificeerd waardoor iedereen toegang kon krijgen tot een Skype-account zolang de persoon wist welk e-mailadres aan het account was gekoppeld. Niet het accountwachtwoord, niet de beveiligingsvragen - alleen het eenvoudige e-mailadres alleen. Skype plugde snel het gat toen het de aandacht van het publiek trok, maar de schade was al opgelopen. De kwetsbaarheid zweefde rond op Russische fora en werd actief in het wild gebruikt voordat het werd afgesloten.

Hackers stelen 1,5 miljoen creditcardnummers

In april slaagden hackers erin om maar liefst 1,5 miljoen creditcardnummers te "exporteren" uit de database van Global Payments, een betalingsverwerkingsservice die wordt gebruikt door overheidsinstanties, financiële instellingen en ongeveer 1 miljoen wereldwijde storefronts.

Gelukkig was de inbreuk redelijk beperkt. Global Payments kon de kaartnummers identificeren waarop de hack van invloed was, en de gestolen gegevens bevatten alleen de feitelijke kaartnummers en vervaldatums, niet

namen van kaarthouders of persoonlijk identificeerbare informatie. De hits bleven echter komen. In juni heeft Global Payments aangekondigd dat hackers mogelijk de persoonlijke gegevens hebben gestolen van mensen die een zakelijk account bij het bedrijf hebben aangevraagd.

Microsoft Security Essentials voldoet niet aan AV-testcertificering

Nou, is dit niet gênant. AV-Test is een onafhankelijk informatiebeveiligingsinstituut dat regelmatig alle antimalwareproducten van de bovenste plank afrondt, een hele hoop nasties naar de genoemde producten gooit en ziet hoe de verschillende oplossingen standhouden in het vernietigende spervuur. De organisatie deed dat precies met 24 verschillende op de consument gerichte beveiligingsoplossingen eind november en slechts één van die oplossingen voldeed niet aan de certificeringsnorm van AV-Test: Microsoft Security Essentials voor Windows 7. Die zonder een certificeringslogo ? Het is MSE. MSE deed het behoorlijk goed met het aanpakken van bekende virussen in de test, maar het beveiligingsprogramma leverde verschrikkelijk weinig, wel,

beveiliging

op tegen zero-day exploits. Zijn 64 beschermingsscore tegen genoemde zero-day aanvallen is 25 punten lager dan het industriegemiddelde.

De blunder die dat niet was: Norton-broncode vrijgegeven

Het klinkt eng aan de oppervlakte: groepen hackers van rogue beheren om de broncode te krijgen voor een van Symantec's populaire Norton-beveiligingshulpprogramma's, en vervolgens de code op Pirate Bay gedumpt om de wereld te ontleden. Oh nee! Nu kan niets de slechteriken ervan weerhouden voorbij te rennen voorbij de verdedigingen die vooraf geïnstalleerd zijn op gokkasten (ongeveer) van omdoossystemen die over de hele wereld worden verkocht, toch? Fout. De broncode behoorde toe aan Norton Utilities-producten die in 2006 zijn uitgebracht, zie je, en de huidige producten van Symantec zijn sindsdien opnieuw opgebouwd, zonder gemeenschappelijke code tussen beide. Met andere woorden, de release van de broncode van 2006 vormt geen enkel risico voor hedendaagse Norton-abonnees, tenminste als u uw antivirusprogramma in het afgelopen half jaar hebt bijgewerkt.