5 вещей, которые мы узнали об онлайн-безопасности в 2013 году

Дни новостей, беспокоящих весь Интернет, могут быть закрыты простым (но эффективным) компьютерным червем, но это не означает, что онлайн-безопасность больше не является проблемой. Угрозы стали более сложными и, что еще хуже, теперь исходят из мест, которые большинство никогда бы не ожидали, таких как правительство. Вот 5 тяжелых уроков, которые мы узнали об онлайн-безопасности в 2013 году.

Правительство следит за тобой ...

Самой большой темой разговоров о компьютерной безопасности в 2013 году было, конечно, открытие того, что части правительства Соединенных Штатов (прежде всего Агентство национальной безопасности) шпионят за гражданами без ограничений..

Согласно документам, просочившимся от бывшего сотрудника АНБ Эдварда Сноудена и подкрепленным другими источниками, такими как бывший сотрудник АНБ Уильям Бинни, американские разведывательные службы имеют доступ не только к телефонным записям и метаданным социальных сетей, но также могут использовать широкий спектр услуг, включая сотовые телефоны. звонки, электронные письма и онлайн-разговоры, либо через прямое прослушивание телефонных разговоров, либо через секретные ордера.

Что это значит для тебя? Трудно сказать, потому что АНБ настаивает, что программа является секретом национальной безопасности. Хотя информаторы отмечают, что размер центров обработки данных АНБ подразумевает, что правительство записывает и хранит довольно большой объем видео- и аудиоданных, невозможно точно знать, что было записано и сохранено, пока американские шпионы продолжают чтобы обуздать публику.

Вызывает беспокойство то, что есть вы ничего не можете сделать обеспечить вашу конфиденциальность, потому что степень, в которой он может быть скомпрометирован, и то, как он может быть скомпрометирован, известны лишь наполовину.

… И все остальные

Не только правительство заинтересовано в том, чтобы шпионить за людьми. Люди также могут использовать скрытое видео или аудио, взятые с компьютера жертвы. Часто она имеет меньше общего с мошенничеством, чем это имеет отношение к шалостям и порно, хотя два могут сходиться.

Подземный мир наблюдения за ничего не подозревающими жертвами называется “ratting” был блестяще разоблачен в статье от Ars Technica. Хотя включение веб-камеры человека и удаленная запись его часто воспринимаются как взлом, теперь это можно сделать с относительной легкостью, используя программы с такими именами, как Fun Manager. После того, как на компьютер жертвы был установлен ratting клиент, ratters могут подключиться и посмотреть, что происходит.

Часто, “что происходит” напрямую означает возможность увидеть ничего не подозревающих женщин в снятой одежде, хотя программное обеспечение также можно использовать для розыгрыша, например, случайного открытия тревожных изображений, чтобы увидеть реакцию жертвы. В худшем случае, крысиный перевод может напрямую привести к шантажу, так как он собирает неловкие или обнаженные изображения жертвы, а затем угрожает выпустить их, если им не заплатили выкуп..

Ваши пароли все еще не защищены

Безопасность пароля - это обычное дело, и на то есть веская причина. Пока единственная строка текста - это все, что стоит между миром и вашим банковским счетом, сохранение этого текста в секрете будет иметь первостепенное значение. К сожалению, компании, которые просят нас войти с паролем, не так обеспокоены, и теряют их с угрожающей скоростью.

Основным нарушением этого года стала любезность Adobe, которая потеряла более 150 миллионов паролей в результате огромной атаки, которая также (по мнению компании) позволила злоумышленникам завершить работу над кодом для программного обеспечения, все еще находящимся в разработке, и украсть информацию для некоторых клиентов. Хотя пароли были зашифрованы, они были все защищены с использованием устаревшего метода шифрования и того же ключа шифрования. Что означает, что их расшифровка была намного проще, чем следовало бы.

Хотя подобные нарушения уже случались, Adobe является крупнейшим по количеству потерянных паролей, что показывает, что еще компании, которые не относятся к безопасности серьезно. К счастью, есть простой способ узнать, были ли данные вашего пароля взломаны; просто зайдите на HaveIBeenPwned.com и введите свой адрес электронной почты.

Взлом это бизнес

Поскольку компьютеры стали более сложными, преступники, желающие использовать их в качестве средства для получения нелегальной прибыли, также стали более изощренными. Дни одинокого хакера, наглого выпускающего вирус, просто чтобы посмотреть, что происходит, сменяются группами, которые работают вместе, чтобы заработать деньги.

Одним из примеров является Paunch, российский хакер, который возглавлял продажи комплекта эксплойтов, известного как Blackhole. Комплект, созданный Paunch и несколькими соучастниками, был разработан с использованием частично продуманной бизнес-тактики. Вместо того, чтобы пытаться придумать эксплойты нулевого дня самостоятельно, группа Паунча приобрела эксплойты нулевого дня у других хакеров. Затем они были добавлены в комплект, который продавался по подписке за 500-700 долларов в месяц. Часть прибыли была реинвестирована в покупку еще большего количества эксплойтов, что сделало Blackhole еще более способным.

Так работает любой бизнес. Продукт разрабатывается, и, в случае успеха, часть прибыли реинвестируется, чтобы сделать продукт лучше и, как мы надеемся, привлекательным для еще большего бизнеса. Повторите до богатого. К несчастью для Паунча, его схема в конце концов была разыскана российской полицией, и теперь он находится под стражей.

Даже ваш номер социального страхования в нескольких кликах

Существование бот-сетей известно в течение некоторого времени, но их использование часто связано с относительно простыми, но массовыми атаками, такими как отказ в обслуживании. Что такое DDoS-атака? [MakeUseOf Объясняет] Что такое DDoS-атака? [MakeUseOf Объясняет] Термин DDoS свистит, когда кибер-активность поднимает голову в массовом порядке. Подобные атаки попадают в международные заголовки по нескольким причинам. Проблемы, которые запускают эти DDoS-атаки, часто являются спорными или весьма… или спамом по электронной почте, а не кражей данных. Команда хакеров-подростков на русском языке напомнила нам, что они могут сделать больше, чем просто заполнить наши почтовые ящики рекламой Виагры, когда им удалось установить ботнет в крупных брокеров данных (таких как LexisNexis) и украсть объемы конфиденциальных данных..

Это привело к “оказание услуг” называется SSNDOB, который продавал информацию о жителях США. Цена? Только пара долларов за базовую запись и до 15 долларов за полную проверку или проверку данных. Вот так; если вы являетесь гражданином США, ваш номер социального страхования и кредитная информация могут быть получены по цене, меньшей стоимости питания в The Olive Garden.

И это становится хуже. Помимо хранения информации, некоторые брокерские компании также используют ее для аутентификации. Вы, возможно, сталкивались с этим самостоятельно, если вы когда-либо пытались подать заявку на кредит, чтобы встретить вас такими вопросами, как, “Какой был твой адрес пять лет назад?” Поскольку сами брокеры данных были скомпрометированы, на такие вопросы можно было легко ответить.

Заключение

2013 год не был хорошим годом для онлайн-безопасности. На самом деле, это был немного кошмар. Правительственный шпионаж, похищенные номера социального страхования, шантаж веб-камеры незнакомцами; многие представляют их как сценарии наихудшего случая, которые могут произойти только в самых экстремальных условиях, однако в этом году все вышеперечисленное оказалось возможным с удивительно небольшими усилиями. Надеемся, что в 2014 году будут предприняты шаги по решению этих вопиющих проблем, хотя я лично сомневаюсь, что нам повезет.

Изображение предоставлено: Flickr / Shane Becker, Flickr / Steve Rhodes