Pinakamasamang pagsasamantala sa seguridad, nabigo at mga blunders

Ang isang tanga at ang kanyang mahina p @ $$ w0rd ay sa wakas ay naka-root, ngunit kung ang 2012 ay napatunayan na kahit ano, ito ay na kahit na ang pinaka-maingat na seguridad na isip kaluluwa kailangang i-double down sa kanilang mga kasanayan sa proteksiyon, at pag-isipan ang mga pinakamahusay na paraan upang pagaanin ang pinsala kung ang pinakamasama ay nangyayari sa ating lalong pagkakaharap ng cloud-connected world.

Ang isang solidong toolbox ng seguridad ay dapat bumuo ng puso ng iyong depensa, siyempre, ngunit kakailanganin mo rin upang isaalang-alang ang iyong pangunahing pag-uugali. Halimbawa, ang isang password na leaked LinkedIn ay maliit na pinsala kung ang partikular na kumbinasyon ng alphanumeric na ito ay nagbukas lamang ng pinto sa partikular na account na iyon, kaysa sa bawat social media account na iyong ginagamit. Ang dalawang-factor na pagpapatotoo ay maaaring huminto ng isang paglabag bago ito mangyari. At sasaktan mo ba ang iyong mga password?

Hindi ko sinisikap na matakot ka. Sa halip, interesado ako sa pagbubukas ng iyong mga mata sa mga uri ng pag-iingat na kinakailangan sa digital age-bilang evidenced ng pinakamalaking pagsasamantala sa seguridad, mga blunder, at nabigo ng 2012. 'Twas isang taon ng banner para sa masamang tao.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Honan hack atake

Ang kalamidad ni Honan ay pinalaki ng kanyang kakulangan sa mga pisikal na pag-backup.

Ang pinakamataas na profile hack ng 2012 ay hindi nagsasangkot ng milyun-milyong mga gumagamit o isang pagguho ng impormasyon tungkol sa pilfered payment. Hindi, ang pag-highlight ng seguridad-o ito ba ay mababa? -sa 2012 ay ang epic na pag-hack ng isang lalaki: Wired writer na si Mat Honan.

Sa paglipas ng isang oras, ang mga hacker ay nakakuha ng access sa Amazon account ni Honan, tinanggal ang kanyang Google account, at malayo wiped ang kanyang trio ng mga aparatong Apple, culminating sa hackers sa huli pagkamit ng kanilang layunin sa pagtatapos: pagsamsam kontrol ng Honan's Twitter handle. Bakit ang lahat ng pagkawasak? Sapagkat ang katayuang tatlo-titik na katayuan ng handle ng Twitter ng Twitter ay tila gumagawa ng isang mataas na coveted na premyo. (Ang malcontents ay nai-post ng ilang mga rasista at homophobic tweet bago ang account ay pansamantalang sinuspinde.)

Ang pagkawasak ay ang lahat ng ginawa posible sa pamamagitan ng seguridad snafus sa Honan's end-daisy-chaining kritikal na mga account, isang kakulangan ng dalawang-factor authentication activation, gamit ang ang parehong pangunahing pamamaraan sa pagbibigay ng pangalan sa ilang mga email account-at magkakontrahan ng mga protocol sa seguridad ng account sa Amazon at Apple, na kinuha ng mga hacker sa tulong ng ilang mga mahusay na teknolohiyang pang-sosyal.

Ang pinakasindak na bahagi? Karamihan sa mga tao ay malamang na gumamit ng parehong batayan (read: lax) na mga gawi sa seguridad na ginawa ni Honan. Sa kabutihang palad, naipaliwanag na ng PCWorld kung paano i-plug ang pinakamalaking digital security hole.

Ang Flame virus

Ang Flame virus ay tumatagal ng pangalan nito mula sa code nito.

Sinusubaybayan pa rin ng 2010 ngunit natuklasan noong Mayo ng 2012, ang Flame virus ay may kapansin-pansin na pagkakatulad sa Stuxnet virus na inisponsor ng gobyerno, na may isang kumplikadong base ng code at pangunahing paggamit bilang isang kasangkapan sa paniniktik sa mga bansa sa Middle Eastern tulad ng Ehipto, Syria, Lebanon, Sudan, at (pinaka madalas) Iran.

Sa sandaling naka-install ang Flame ang mga kawit nito sa isang system, naka-install ito ng mga module na maaaring, sa iba pang mga bagay, mag-record ng mga pag-uusap sa Skype o audio ng anumang nangyayari malapit sa computer, mga snag na screenshot, maniktik sa mga koneksyon sa network, at panatilihin ang mga log ng lahat ng mga keypress at anumang data pumasok sa mga kahon ng input. Ito ay pangit, sa ibang salita-at ang Flame ay na-upload ang lahat ng impormasyong natipon nito sa command at control server. Sa ilang sandali lamang matapos ang mga mananaliksik ng Kaspersky na sumisilip sa pagkakaroon ng Flame, ang aktibong killer command ng virus ay nagsasagawa ng pag-wipe ng software mula sa mga nahawaang computer.

Ang tool na $ 50 homebrew na nagbubukas ng pinto ng hotel

Sa conference ng Black Hat Security noong Hulyo, ang mananaliksik na si Cody Ang malukong unveiled ng isang aparato ay maaaring semi-mapagkakatiwalaan buksan electronic lock ng pinto na ginawa ng Onity. Ang mga lock ng onity ay matatagpuan sa 4 milyong pintuan sa libu-libong hotel sa buong mundo, kabilang ang mga high-profile chain tulad ng Hyatt, Marriott, at IHG (na nagmamay-ari ng Holiday Inn at Crowne Plaza). Batay sa paligid ng isang microcontroller sa Arduino at binuo para sa mas mababa sa $ 50, ang tool ay maaaring itatayo ng anumang manloloko na may pagbabago sa bulsa at ilang mga kasanayan sa coding, at may hindi bababa sa isang ulat ng isang katulad na tool na ginagamit upang masira sa mga kuwarto ng hotel sa Texas. >ArduinoArduino: Ang open-source na puso ng hack.

Nakakatakot na bagay, upang matiyak. Marahil ay higit na nababahala ang tugon ng Onity sa sitwasyon, na kung saan ay karaniwang "Maglagay ng plug sa port at baguhin ang mga tornilyo."

Ang kumpanya sa kalaunan ay bumuo ng isang aktwal na solusyon para sa kahinaan, ngunit ito ay nagsasangkot ng pagpapalit ng circuit boards ng apektado mga kandado-at ang Onity ay tumangging magpalakad ng mga gastos para sa paggawa nito. Ang isang ulat ng Disyembre ArsTechnica ay nagpapahiwatig na ang kumpanya ay maaaring maging mas handang sumaklaw sa mga board ng pagpapalit sa kalagayan ng pagsasabwatan ng Texas crime, bagama't noong Nobyembre 30

ika ^{, ibinigay lamang ng Onity ang isang kabuuang 1.4 milyon na "solusyon para sa mga kandado "-naglalaman ang mga plastic plugs-sa mga hotel sa buong mundo. Sa madaling salita, ang kahinaan ay pa rin ang laganap. Ang epic fail.} Kamatayan sa pamamagitan ng isang libong pagbawas

Ang taon ay hindi nakakakita ng isang napakalaking paglabag sa database sa ugat ng PlayStation Network ng 2011 na pagbaba, ngunit isang serye ng mga mas maliit na mga penetrasyon ang dumating mabilis at galit sa buong tagsibol at tag-init. Habang ang paglabas ng 6.5 milyon na naubusan ng mga password ng LinkedIn ay maaaring ang pinaka-kapansin-pansing pataga, ito ay buoyed sa pamamagitan ng pag-post ng higit sa 1.5 milyong hashed password eHarmony, 450,000 Yahoo Voice mga kredensyal sa pag-login, isang hindi tinukoy na bilang ng Last.fm password, at ang buong impormasyon sa pag-login at profile ng daan-daang mga gumagamit ng forum ng Nvidia. Maaari akong magpatuloy, ngunit nakuha mo ang punto.

Ano ang takeaway? Hindi mo mapagkakatiwalaan ang isang website upang mapanatiling ligtas ang iyong password, kaya dapat mong gumamit ng iba't ibang mga password para sa iba't ibang mga site upang mabawasan ang potensyal na pinsala kung ang mga hacker ay namamahala upang i-puzzle ang iyong mga kredensyal sa pag-login para sa isang naibigay na account. Tingnan ang aming gabay sa pagbuo ng isang mas mahusay na password kung kailangan mo ng ilang mga payo.

Dropbox ay bumaba ang bantay nito

Ang "open box" ng DropboxDropbox ay pinatunayan na ang lahat ay masyadong totoo para sa mga taong nagamit muli ang mga password noong 2012.

Bumalik sa Hulyo, ang ilang mga gumagamit ng Dropbox ay nagsimulang mapansin na sila ay tumatanggap ng isang malaking halaga ng spam sa kanilang mga inbox. Matapos ang ilang mga unang pagtanggi na sinusundan ng ilang mas malalim na paghuhukay, natagpuan ng Dropbox na ang mga hacker ay nakakompromiso sa isang account ng empleyado at nakakuha ng access sa isang dokumento na naglalaman ng mga email address ng gumagamit. Oops! Ang pinsala ay menor de edad, ngunit ang itlog sa mukha ay pangunahing.

Kasabay nito, ang isang napakaliit na bilang ng mga gumagamit ay nagkaroon ng kanilang mga Dropbox account aktibong nasira sa pamamagitan ng mga pinagkukunan sa labas. Inihayag ng mga imbestigasyon na nakakuha ang mga hacker ng access sa mga account dahil ang mga biktima ay muling ginagamit ang parehong kumbinasyon ng username / password sa maraming mga website. Kapag ang mga kredensyal sa pag-login ay leaked sa isang paglabag sa isa pang serbisyo, ang mga hacker ay ang lahat ng kailangan nila upang i-unlock ang Dropbox account.

Dropbox ng woes highlight-muli-ang pangangailangan na gumamit ng magkakahiwalay na mga password para sa iba't ibang mga serbisyo, pati na rin ang katotohanan na hindi mo lubos na mapagkakatiwalaan ang ulap. Maaari kang kumuha ng seguridad ng ulap sa iyong sariling mga kamay sa tulong ng isang tool sa pag-encrypt ng third-party.

Milyun-milyong mga South Carolina SSNs pilfered

Nagsasalita ng encryption, magiging maganda kung sinunod ng gobyerno ang mga pangunahing prinsipal ng seguridad. > Matapos ang labis na paglabag sa datos ng Oktubre ay nagresulta sa isang hacker na nakakuha ng mga numero ng sosyal na seguridad ng isang napakalaki 3.6 milyong mamamayan ng South Carolina-sa isang estado na may lamang 4.6 milyong residente! - Sinubukan ng mga opisyal ng estado ang pagsisisi sa paanan ng IRS. Ang IRS ay hindi

partikular

ay nangangailangan ng mga estado na i-encrypt ang mga SSN sa mga pag-file ng buwis, nakikita mo. Ang South Carolina ay hindi-bagama't planong magsimula ngayon, ang pagbabalik-tanaw ay 20/20 at ang lahat. Sa positibong bahagi, ang mga detalye ng debit at credit card ng 387,000 mamamayan ng South Carolina ay din swiped sa digital heist at karamihan sa

ng mga naka-encrypt, bagaman malamang na ito ay kaunting kaaliwan para sa 16,000 katao na ang mga detalye ng card ay ninakaw sa plain-text form. Napakalaking kapintasan ng security ng Skype Nobyembre.

Noong Nobyembre, pansamantalang nawalan ng kakayahan ng mga gumagamit ng Skype na humiling ng pag-reset ng password para sa kanilang account pagkatapos makilala ng mga mananaliksik ang isang pagsasamantala na pinapayagan ang sinuman na makakuha ng access sa isang Skype account hangga't alam ng tao ang email address na nauugnay sa account. Hindi ang password ng account, hindi ang mga tanong sa seguridad-lamang ang simpleng email address na nag-iisa.

Ang skype ay mabilis na naka-plug sa butas kapag nahuli ito sa pampublikong mata, ngunit ang pinsala ay nagawa na.

Ang mga hacker ay nakawin ang 1.5 milyong credit card number

Noong Abril, pinamamahalaang ang mga hacker sa "pag-export" ng isang napakalaki 1.5 milyong numero ng credit card mula sa database ng Global Payments, isang serbisyo sa pagpoproseso ng pagbabayad na ginagamit ng mga ahensya ng pamahalaan, mga institusyong pinansyal, at sa paligid ng 1 milyong pandaigdigang storefronts, sa iba pa.

Sa kabutihang palad, ang paglabag ay medyo nakapaloob. Nakilala ng Global Payments ang mga numero ng card na apektado ng hack, at ang data na ninakaw ay naglalaman lamang ng mga aktwal na numero ng card at mga petsa ng pag-expire,

hindi

anumang mga pangalan ng cardholder o personal na pagkakakilanlan ng impormasyon. Ang mga hit ay patuloy na dumarating. Sa Hunyo, inihayag ng Global Payments na ang mga hacker ay maaaring ninakaw ang personal na impormasyon ng mga taong nag-aplay para sa isang merchant account sa kumpanya.

Microsoft Security Essentials nabigo ang AV-Test certification Well, hindi ito nakakahiya. Ang AV-Test ay isang independiyenteng instituto ng seguridad ng impormasyon na regular na nag-uukol ng lahat ng mga nangungunang produkto ng antimalware na lumabas doon, nililipat ang isang buong pangkat ng mga nasties sa mga nasabing mga produkto, at nakikita kung paano pinanatili ang iba't ibang mga solusyon sa ilalim ng pagkalanta ng pagkalanta. Ang organisasyon ay gumawa lamang ng 24 na magkakaibang solusyon sa seguridad na nakatuon sa consumer sa pagtatapos ng Nobyembre, at isa lamang sa mga solusyon na iyon ang nabigo upang matugunan ang pamantayan ng sertipikasyon ng AV-Test: Microsoft Security Essentials para sa Windows 7. Iyon ang walang logo ng certification ? Ang MSE ay talagang ginawa ng isang disenteng trabaho sa pagtatalumpati ng mga kilalang virus sa pagsusulit, ngunit ang programa ng seguridad ay nagbibigay ng kakila-kilabot na maliit, mahusay,

seguridad

sa harap ng mga zero-day na pagsasamantala. Ang 64 na marka ng proteksyon laban sa sinabi na zero-day na pag-atake ay isang buong 25 puntos na mas mababa kaysa sa average ng industriya.

Ang pagkakamali na hindi: Norton source code pinakawalan

Ito tunog nakakatakot sa ibabaw: Mga grupo ng mga rogue hacker pinamamahalaang upang makuha ang source code para sa isa sa mga sikat na utility Norton ng Symantec na seguridad, pagkatapos ay itapon ang code sa Pirate Bay para sa mundo na mag-dissect. Oh, noes! Ngayon, walang makapagpapatigil sa mga masasamang tao mula sa pagtakbo ng walang kabuluhan sa nakaraan ang mga depensa na naunang naka-install sa mga gajillion (humigit-kumulang) ng mga boxed system na ibinebenta sa buong mundo-right? Maling. Ang source code ay kabilang sa mga produkto ng Norton Utilities na inilabas noong 2006, nakikita mo, at ang kasalukuyang mga produkto ng Symantec ay naitayo mula sa simula, na walang karaniwang code na ibinahagi sa pagitan ng dalawa. Sa ibang salita, ang paglabas ng 2006 source code ay hindi nagpapakita ng kahit anong panganib sa mga tagatangkilik ng Norton sa kasalukuyan-hindi bababa sa kung na-update mo ang iyong antivirus sa nakalipas na kalahating dekada.