מנצל האבטחה הגרוע ביותר של 2012, נכשל ו Blunders

טיפש וחולשה p @ $$ w0rd שלו הם מושרשים בקרוב, אבל אם 2012 הוכיחה משהו, זה כי גם את הנשמה הבטוחה ביותר נשמות צריך להכפיל על שיטות הגנתי שלהם, ולחשוב על הדרכים הטובות ביותר כדי לצמצם את הנזק אם הגרוע ביותר קורה בעולם שלנו יותר ויותר ענן מחובר.

ארגז כלים אבטחה מוצק צריך להיות לב ההגנה שלך, כמובן, אבל תצטרך גם לשקול את ההתנהגות הבסיסית שלך. לדוגמה, סיסמת LinkedIn דלפה אינה מזיקה אם השילוב האלפאנומרי המסוים הזה רק פותח את הדלת לחשבון מסוים זה, ולא כל חשבון מדיה חברתית שבו אתה משתמש. אימות שני גורמים יכול לעצור את הפרה לפני שזה יקרה. והאם הסיסמאות שלך מוצצות?

אני לא מנסה להפחיד אותך. במקום זאת, אני מעוניין לפקוח את עיניך לסוגי אמצעי הזהירות הנדרשים בעידן הדיגיטלי - כפי שמעידים המנצחים הבטחוניים הגדולים ביותר, שגיאות וכישלונות של שנת 2012. "היתה שנת באנר לרעים. > [קרא עוד: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

Honan התקפה גרזן

אסון של הונאן היה מוגדל על ידי חוסר שלו על גיבוי פיזי.

פרופיל הגבוהה ביותר גרזן של 2012 לא לערב מיליוני משתמשים או מפולת של מידע תשלום שגוי. לא, ההדגשה הבטחונית - או שמא הדליקה הזאת - שנת 2012 היתה פריצתו האפית של אדם אחד: סופר חוור מאט הונאן. במשך 9 שעות, האקרים קיבלו גישה לחשבון האמזון של הונאן, חשבון, וניגב מרחוק את השלישייה שלו של מכשירי אפל, שהגיעה לשיאה בהאקרים שהשיגו בסופו של דבר את המטרה הסופית שלהם: השתלטות על הידית של טוני. למה כל ההרס? מכיוון שהמצב של מטאל בטוויטר בן שלוש האותיות הופך אותו לפרס נלהב. (המתלוננים פירסמו כמה טוויטים גזעניים והומופובים לפני שהחשבון הושעה באופן זמני).

ההרס נעשה הכל על-ידי אבטחה על חשבונות קריטית של הונאן, שבלעדיהם לא ניתן היה לבצע אימות דו-כיווני, אותה תוכנית בסיסית של מתן שמות בכמה חשבונות דואר אלקטרוני - ופרוטוקולים של חשבונות אבטחה מתנגשים בין אמזון ואפל, שהאקרים ניצלו בעזרתם של כמה מהנדסאות חברתיות טובות. רוב האנשים כנראה להעסיק אותו בסיסי (קרא: lax) נוהלי אבטחה הונאן עשה. למרבה המזל, PCWorld כבר הסבירה כיצד לחבר את חורי האבטחה הדיגיטליים הגדולים ביותר.

נגיף הלהבה

נגיף הלהבה מקבל את שמו מהקוד שלו.

נמדד עד 2010 אך התגלה רק במאי 2012, נגיף הלהבה נושא דמיון בולט עם וירוס Stuxnet בחסות ממשלתית, עם בסיס קוד מורכב ושימוש עיקרי ככלי ריגול במדינות המזרח התיכון כמו מצרים, סוריה, לבנון, סודאן, ואיראן (בתדירות הגבוהה ביותר).

פעם להבה שקע ווים שלה לתוך מערכת, זה מותקן מודולים שיכולים, בין היתר, להקליט שיחות סקייפ או שמע של כל דבר שקורה ליד המחשב, צילומי מסך snag, לחטט על חיבורי רשת, ולשמור יומנים של כל keypresses וכל הנתונים נכנסו לתוך תיבות קלט. זה מגעיל, במילים אחרות - ולהבה העלה את כל המידע שנאסף כדי לפקח על השרתים. זמן קצר לאחר שחוקרי קספרסקי זעקו את קיומה של הלהבה, יוצרי הווירוסים הפעילו פקודת להרוג כדי לנגב את התוכנה ממחשבים נגועים.

כלי הבית של $ 50, אשר פותח את דלתות המלון

בכנס Black Hat Security בחודש יולי, חוקר Cody בחשמל חשפה מכשיר יכול למחצה באופן אמין לפתוח מנעולים הדלת האלקטרונית שנעשו על ידי אחדות. מנעולי אחדות נמצאו על 4 מיליון דלתות באלפי בתי מלון ברחבי העולם, כולל רשתות יוקרה כמו Hyatt, Marriott ו- IHG (אשר בבעלותם את הולידיי אין והן את קראון פלאזה). בהתבסס על מיקרו-בקר Arduino והורכב עבור פחות מ 50 $, הכלי יכול להיות בנוי על ידי כל נוכל עם שינוי בכיס וכמה מיומנויות קידוד, ויש לפחות דוח אחד של כלי דומה המשמש לפרוץ חדרי מלון בטקסס. >ArduinoArduino: הלב קוד פתוח של גרזן.

דברים מפחידים, כדי להיות בטוח. אולי היה מדאיג יותר את תגובתה של אוניטי למצב, שהיה בעיקרון "תוחב את הנמל ושינה את הברגים".

החברה פיתחה בסופו של דבר פתרון ממשי לפגיעות, אך היא כרוכה בהחלפת לוחות המעגלים מנעולים - ואת האחדות מסרב רגל עלויות לעשות זאת. דו"ח של ארס-טקניקה מעיד על כך שהחברה עשויה להיות מוכנה יותר לסבסד לוחות חלופיים בעקבות מסע הפשיעה בטקסס, אם כי נכון ל 30 בנובמבר

, Onity סיפקה רק 1.4 מיליון פתרונות למנעולים "- כולל אלה פלסטיק plugs- מלונות ברחבי העולם. במילים אחרות, הפגיעות עדיין נפוצה מאוד. האפוס נכשל.

מוות על ידי אלף חתכים

השנה לא ראתה פריצת מסד נתונים מסיבית ברוח ההשתלטות של PlayStation Network 2011, אך סדרה של חדירות קטנות יותר הגיעה במהירות וזועמת לאורך האביב והקיץ. בעוד שחרורו של 6.5 מיליון סיסמאות hashed LinkedIn עשוי להיות הבולט ביותר גרזן, זה היה buoyed על ידי פרסום של יותר מ 1.5 מיליון סיסמאות eHarmony hashed, 450,000 Yahoo אישורי הכניסה, מספר לא מוגדר של סיסמאות Last.fm, ואת מלא כניסה ומידע פרופיל של מאות משתמשים בפורום Nvidia. אני יכול להמשיך, אבל אתה מבין את הנקודה. אינך יכול לסמוך על אתר אינטרנט כדי לשמור על בטיחות הסיסמה שלך, לכן עליך להשתמש בסיסמאות שונות עבור אתרים שונים כדי למזער את הנזק הפוטנציאלי אם האקרים אכן יצליחו לפתור את פרטי הכניסה שלך לחשבון מסוים. בדוק את המדריך שלנו לבניית סיסמה טובה יותר אם אתה צריך כמה עצות. ^{Dropbox טיפות שומר שלה} הלוגו של "DropboxDropbox" של DropboxDropbox הוכיח את עצמו נכון מדי עבור אנשים שעשו שימוש חוזר סיסמאות בשנת 2012.

חזרה ביולי, כמה משתמשים Dropbox החלו לשים לב שהם מקבלים כמות גדולה של דואר זבל בתיבות הדואר הנכנס שלהם. לאחר כמה הכחשות ראשונות ואחריו חפירה עמוקה יותר, מצא Dropbox כי האקרים נפרצו חשבון של עובד וקיבל גישה למסמך המכיל כתובות דוא"ל של משתמשים. אופס! הנזק היה קטן, אבל הביצה בפנים היתה גדולה. עם זאת, מספר קטן מאוד של משתמשים היו חשבונות Dropbox שלהם מחולקים באופן פעיל על ידי מקורות חיצוניים. חקירות חשפו כי האקרים קיבל גישה חשבונות כי הקורבנות היו שימוש חוזר באותו שם משתמש / סיסמה שילוב במספר אתרי אינטרנט. כאשר אישורי הכניסה הודלפו בפריצה לשירות אחר, האקרים היו כל מה שהם צריכים כדי לפתוח את חשבונות Dropbox.

צרות של Dropbox להדגיש שוב, את הצורך להשתמש בסיסמאות נפרדות עבור שירותים שונים, כמו גם את העובדה אתה עדיין לא יכול לסמוך על ענן לחלוטין. אתה יכול לקחת אבטחה ענן לידיים שלך בעזרת כלי הצפנה של צד שלישי.

מיליוני SSN דרום דרום קרנו

אם כבר מדברים על הצפנה, זה יהיה נחמד אם הממשלה עקבה אחר עקרונות אבטחה בסיסיים. > לאחר הפרת נתונים מאסיבית באוקטובר הביא האקר קבלת מספר הביטוח הלאומי של 3.6 מיליון אזרחים דרום קרוליינה עצום - במדינה עם רק 4.6 מיליון תושבים! - פקידי המדינה ניסה לשים את האשמה לרגלי מס הכנסה. ה- IRS אינו

במיוחד

מחייב מדינות להצפין את ה- SSN במס הכנסה, אתה מבין. אז דרום קרולינה לא - למרות שזה מתכנן להתחיל עכשיו, בדיעבד להיות 20/20 וכל.

בצד חיובי חיובי, חיוב פרטי כרטיס האשראי של 387,000 אזרחי דרום קרוליינה היו גם סחב את שוד דיגיטלי

רוב

של אלה היו מוצפנים, למרות שזה נחמה קטנה עבור 16,000 אנשים שפרטי כרטיס שלהם נגנבו בטקסט רגיל.

פגם אבטחה מסיבי של סקייפ

הליכים התאוששות חשבון Lax איים משתמשי סקייפ ב בנובמבר, משתמשי Skype איבדו זמנית את היכולת לבקש איפוס סיסמה עבור החשבון שלהם, לאחר שחוקרים זיהו ניצול המאפשר לכל אחד לקבל גישה לחשבון Skype, כל עוד האדם ידע את כתובת הדוא"ל המשויכת לחשבון. לא את סיסמת החשבון, לא את שאלות האבטחה - רק את כתובת הדואר האלקטרוני הפשוטה. סקייפ חיברה במהירות את החור כאשר היא תפסה את העין הציבורית, אבל הנזק כבר נעשה. הפגיעות צפתה בפורומים רוסיים ונמצאת בשימוש פעיל בטבע לפני סגירתו. האקרים גונבים 1.5 מיליון כרטיסי אשראי

בחודש אפריל הצליחו האקרים "לייצא" מספר עצום של 1.5 מיליון כרטיסי אשראי ממסד הנתונים של גלובל פיינמס, שירות עיבוד תשלומים המשמש את משרדי הממשלה, המוסדות הפיננסיים, וכ -1 מיליון חנויות ברחבי העולם, בין היתר. למרבה המזל, ההפרה הייתה די מוכללת. התשלומים הגלובליים הצליחו לזהות את מספרי הכרטיסים המושפעים מהגרזן, והנתונים שנגנבו רק הכילו את מספרי הכרטיסים ותאריכי התפוגה בפועל, לא

את שמות בעלי הכרטיס או פרטים אישיים מזהים. אבל הלהיטים הגיעו. בחודש יוני, גלובל תשלומים הודיעה כי האקרים אולי גנבו את המידע האישי של אנשים אשר הגישו בקשה לחשבון סוחר עם החברה.

Microsoft Security Essentials נכשל AV- מבחן הסמכה

ובכן, זה לא מביך. AV-Test הוא מוסד עצמאי לאבטחת מידע שמקיף באופן קבוע את כל מוצרי האנטי-תוכנה המובילים הנמצאים שם, זורק חבורה שלמה של נבלים במוצרים האמורים, ורואה כיצד הפתרונות השונים מחזיקים מעמד תחת מטח הקסם. הארגון עשה בדיוק את זה עם 24 פתרונות אבטחה שונים ממוקד צרכן בסוף נובמבר, ורק אחד הפתרונות הללו לא עמד בסטנדרט הסמכה של AV-Test: Microsoft Security Essentials עבור Windows 7.

זה ללא לוגו הסמכה ? זה MSE.

MSE למעשה עשתה עבודה הגונה להתמודד עם וירוסים ידועים במבחן, אבל תוכנית האבטחה סיפקה בזעזוע מעט, טוב,

אבטחה

מול ניצול יום אפס. ציון ההגנה שלה 64 נגד התקפות יום אפס כאמור הוא מלא 25 נקודות נמוך יותר מאשר הממוצע בתעשייה. blunder שלא היה: קוד המקור נורטון שוחרר זה נשמע מפחיד על פני השטח: קבוצות של האקרים נוכלים הצליח כדי לקבל את קוד המקור עבור אחד מאמצעי האבטחה הנפוצים של סימנטק, ולאחר מכן זרק את הקוד על מפרץ פיראט עבור העולם כדי לנתח. הו, לא! עכשיו, שום דבר לא יכול לעצור את הרעים מלהפעיל willy-nilly בעבר את ההגנות שמגיע מותקן מראש על gajillions (כ) של מערכות boxed שנמכרו ברחבי העולם, נכון? קוד המקור שייך למוצרי Norton Utilities שפורסמו ב -2006, כפי שאתם רואים, והמוצרים הנוכחיים של סימנטק נבנו מחדש מהיסוד, ללא קוד משותף משותף בין השניים. במילים אחרות, שחרור קוד המקור של 2006 אינו מהווה סיכון כלשהו למנויי Norton המודרניים - לפחות אם עדכנת את האנטי-וירוס שלך בחצי העשור האחרון.